Autonom Sicherheitslücken ausnutzen: BSI warnt vor Konsequenzen von Modellen wie Claude Mythos
Wenn Anthropics neues Modell Claude Mythos tatsächlich in der Lage ist, autonom Sicherheitslücken zu entdecken und dann auch auszunutzen, steht ein gravierender Wandel bei der IT-Sicherheit bevor. Das BSI nimmt die Ankündigung sehr ernst.
Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), äußerte sich entsprechend gegenüber dem Spiegel. Das BSI erwarte demnach „Umwälzungen im Umgang mit Sicherheitslücken und der Schwachstellenlandschaft“. Denke man die Auswirkungen konsequent zu Ende, könnte es mittelfristig der Fall sein, dass keine unbekannten klassischen Software-Schwachstellen mehr existieren.
Damit würden sich Angriffsvektoren verschieben und es gebe einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage, so Plattner. Es stellt sich aber die Frage, inwieweit so mächtige Modelle wie Claude Mythos auf dem freien Markt verfügbar sein werden.
Claude Mythos ist nicht für Allgemeinheit geplant
Bislang hat Anthropic nicht die Absicht, das neue Spitzenmodell für die Allgemeinheit freizugeben. Stattdessen hat das Unternehmen in dieser Woche das Projekt Glasswing angekündigt, bei dem rund 40 Organisationen beteiligt sind. Dazu zählen Konzerne wie Amazon, Apple, Google und Microsoft sowie Organisationen wie die Linux Foundation und weitere Open-Source-Anbieter.
- Autonom Exploits entwickeln: Anthropics neues Modell ist so stark, dass es nicht veröffentlicht wird
- Sicherheitsanalyse mit KI: Anthropics Opus 4.6 findet 22 Sicherheitslücken in Firefox
Das Ziel: Diese sollen das Modell nutzen, um die bestehende IT-Infrastruktur abzusichern.
Konsequenzen für Deutschland
Wenn sich die IT-Sicherheitslage gravierend wandelt, stellt sich jedoch die Frage, inwieweit sich die neuen Modelle auf die nationale und europäische Sicherheit sowie die Souveränität auswirken, so Plattner im Spiegel.
Neben Kriminellen nutzen auch staatliche Akteure wie Geheimdienste Sicherheitslücken in IT-Systemen aus, um Verdächtige zu überwachen. In Deutschland wurde speziell für die Entwicklung solcher als Staatstrojaner bekannter Technologie die Behörde Zitis gegründet.
Regierungsvertreter betonen in Deutschland immer wieder, dass Behörden auf den Staatstrojaner angewiesen sind. Eingesetzt werden darf dieser etwa beim Aufklären schwerer Straftaten, der Gefahrenabwehr oder im Anti-Terror-Kampf. Die Maßnahme ist aber umstritten, weil staatliche Akteure bei diesem Instrument Sicherheitslücken ausnutzen, die auch für Kriminelle oder andere feindliche Dienste offenstehen.
Verschwinden Schwachstellen, die bislang die Grundlage für den Staatstrojaner bilden, hat dies massiven Einfluss auf die Arbeit von Behörden wie Geheimdiensten. Ebenso hat es aber auch gravierenden Einfluss auf die IT-Sicherheit, wenn Modelle verfügbar sind, die enorme Mengen an Schwachstellen entdecken können.
US-Finanzminister warnt die Wall Street
Besorgt sind Behörden auch in den USA. Die Nachrichtenagentur Reuters meldet heute, dass US-Finanzminister Scott Bessent und der amerikanische Notenbankchef Jerome Powell sich mit den Spitzen der Wall Street getroffen haben. Diese wurden gewarnt, welche Konsequenzen Modelle wie Claude Mythos für die Sicherheit der Finanzinstitute haben könnten.