Während wir uns jahrelang in der Sicherheit wähnten, dass hochkomplexe Cyberangriffe nur von staatlichen Akteuren oder Eliteteams durchgeführt werden können, zeigt Mythos, dass diese Fähigkeiten nun per Knopfdruck skalierbar sind. Für den deutschen Mittelstand (KMU) bedeutet dies: Die Zeit der Ausreden ist vorbei.
Die technologische Übermacht in Zahlen
Die Leistungsdaten von Claude Mythos Preview sind kein Marketing-Hype, sondern eine Machtdemonstration. Im SWE-bench Pro, einem Test für reale Programmieraufgaben, erzielt Mythos eine Lösungsrate von 87,3 Prozent. Zum Vergleich: Konkurrenzmodelle wie GPT-5.4 oder Gemini liegen lediglich zwischen 53 und 58 Prozent.
Besonders beängstigend ist die Effizienz als Zero-Day-Jäger. Das Modell identifizierte autonom Sicherheitslücken in jedem gängigen Betriebssystem und Webbrowser. Darunter befand sich ein 27 Jahre alter Bug im als extrem sicher geltenden OpenBSD sowie eine 16 Jahre alte Lücke in FFmpeg. Was Experten früher Wochen an manueller Arbeit gekostet hätte, erledigt Mythos heute in Stunden. In einem Testlauf wurde eine kritische Lücke für weniger als 50 US-Dollar gefunden. Zudem entwickelte das Modell vollkommen selbstständig funktionierende Exploits, etwa für eine 17 Jahre alte FreeBSD-Kernel-Lücke, die unauthentifizierten Fernzugriff mit Root-Rechten ermöglicht.
Die Zahlen in der Übersicht:
- Benchmark-Dominanz: Im *SWE-bench Pro*, der reale Programmieraufgaben testet, erzielt Mythos eine Lösungsrate von **87,3 %** – weit vor GPT-5.4 (ca. 58 %) und Gemini (ca. 53 %).
- Zero-Day-Jäger: Das Modell identifizierte autonom Sicherheitslücken in *jedem* gängigen Betriebssystem und Webbrowser. Darunter befand sich ein **27 Jahre alter Bug** im als extrem sicher geltenden OpenBSD sowie eine 16 Jahre alte Lücke in FFmpeg.
- Effizienzschock: Was Experten Wochen an manueller Arbeit kosten würde, erledigt Mythos in Stunden. Eine kritische Lücke wurde in einem Testlauf für weniger als **50 US-Dollar** gefunden.
- Autonome Exploits: Das Modell entwickelte vollkommen selbstständig einen funktionierenden Exploit für eine 17 Jahre alte FreeBSD-Kernel-Lücke (CVE-2026-4747), die Fernzugriff mit Root-Rechten ermöglicht.
Was das für die Sicherheit bedeutet
Das BSI steht in Kontakt mit Anthropic und BSI-Chefin, Claudia Plattner, ist besorgt. Wie der Spiegel berichtet, spricht sie von einem Paradigmenwechsel und Umwälzungen, die bevorstehen. Die Angelegenheit sei eine Frage der nationalen Sicherheit.
Die Daten von Anthropic bestätigen dies drastisch: Ingenieure ohne formale Sicherheitsausbildung konnten das Modell über Nacht mit der Suche nach Fernzugriff-Lücken beauftragen und am nächsten Morgen funktionierende Ergebnisse vorfinden. Dies bedeutet, dass KI-Modelle nun ein Niveau erreicht haben, auf dem sie die meisten Menschen beim Auffinden und Ausnutzen von Schwachstellen übertreffen.
Das Ende der Sicherheit durch Unbekanntheit
Es ist Zeit für eine unangenehme Wahrheit: Unser bisheriges Vertrauen in Software war naiv. Wenn eine KI innerhalb weniger Wochen tausende kritische Lücken findet, die Jahrzehnte lang unentdeckt blieben, bedeutet das, dass wir bisher nicht durch gute Sicherheit geschützt waren, sondern lediglich durch die begrenzte Zeit menschlicher Forscher.
Dies wirft fundamentale Fragen für jedes KMU auf:
- Ist Closed-Source-Software noch tragbar? Mythos ist brillant im Reverse-Engineering von Binärcode. Das Verstecken von Code bietet keinen Schutz mehr.
- Können wir Patches noch trauen? Da die KI aus einer Patch-Notiz in Stunden einen Exploit generieren kann, liefert der Hersteller die Roadmap für den Angriff faktisch zeitgleich mit der Lösung.
- Wer gewinnt das Wettrüsten? Anthropic hält Mythos unter Verschluss, aber was passiert, wenn unregulierte Modelle dieser Klasse auf dem Schwarzmarkt auftauchen?
Meine Meinung: Das Ende der "Security by Obscurity"?
Es ist Zeit für eine unangenehme Wahrheit: Unser bisheriges Vertrauen in Software war naiv. Wenn eine KI innerhalb weniger Wochen tausende kritische Lücken findet, die Jahrzehnte lang unentdeckt blieben, bedeutet das, dass wir bisher nicht durch gute Sicherheit geschützt waren, sondern lediglich durch die begrenzte Zeit menschlicher Forscher.
Was KMU jetzt tun müssen: Ein 4-Punkte-Plan
Viele KMU glauben, sie seien kein lohnendes Ziel für High-End-Angriffe. Ein fataler Irrtum: KI macht diese Angriffe so billig, dass sie massentauglich werden.
- Patch-Zyklen radikal verkürzen. Sicherheits-Updates dürfen nicht mehr Wochen warten. Unternehmen müssen auf automatisierte Updates und Verfahren setzen, die Fixes ohne Ausfallzeiten einspielen.
- KI zur Verteidigung nutzen. Sie müssen nicht auf Mythos warten. Nutzen Sie bereits verfügbare (sichere) Modelle, um Ihren eigenen Code oder Ihre Cloud-Konfigurationen auf Lücken zu prüfen. KI kann die Priorisierung von Sicherheitsalarmen übernehmen, für die Ihr Team keine Zeit hat.
- Zero-Trust-Architektur forcieren. Da wir davon ausgehen müssen, dass jede Software Lücken enthält, muss die Strategie lauten: Gehen Sie davon aus, dass der Angreifer bereits im System ist. Minimieren Sie Berechtigungen konsequent nach dem Prinzip des Least Privilege.
- Vorfallreaktion automatisieren. Ein manuelles Eingreifen bei einem KI-gesteuerten Angriff ist oft zu langsam. KMU sollten Tools evaluieren, die mithilfe von KI Vorfälle priorisieren und erste Abwehrmaßnahmen autonom einleiten.
Fazit: Die tumultreiche Übergangsphase
Die Entwickler von Anthropic warnen davor, dass die Übergangsphase bis zu einem neuen Sicherheitsgleichgewicht tumultreich sein wird. Wir bewegen uns auf eine Welt zu, in der Software durch KI massiv gehärtet wird, aber bis dahin sind wir verwundbarer denn je. Für den deutschen Mittelstand ist dies der Weckruf, IT-Sicherheit nicht mehr als lästige Kostenposition, sondern als überlebenskritische Kernkompetenz zu begreifen. Die Sicherheit von gestern ist die Verwundbarkeit von morgen.
