Blog

Claude Mythos: Was Unternehmen zur Sicherheit wissen müssen

28. Mai 2026 — Kategorie: Security / KI

Cybersicherheit und KI

Am 7. April 2026 veröffentlichte Anthropic eine Ankündigung, die die Cybersicherheitswelt nachhaltig verändert hat: Claude Mythos Preview, ein allgemeines KI-Modell, das in der Lage ist, selbstständig Sicherheitslücken in Software zu finden und auszunutzen – in einer Geschwindigkeit und Tiefe, die alles bisher Dagewesene übertrifft. Dieses Modell wurde nicht als Sicherheitswerkzeug entwickelt, sondern als leistungsfähiges Coding- und Reasoning-Modell. Die sicherheitsrelevanten Fähigkeiten sind ein emergentes Nebenprodukt dieser Entwicklung.

Dieser Artikel beleuchtet, was der „Mythos-Moment" für Unternehmen in den nächsten sechs bis zwölf Monaten bedeutet – aus sicherheitsrelevanter Perspektive. Welche konkreten Auswirkungen sind zu erwarten? Wo liegen die realen Risiken, und wo wird gerade mehr Hype gemacht, als sachlich gerechtfertigt ist?

TL;DR: Claude Mythos ist ein echter Gamechanger für die Sicherheitslandschaft. Die Fähigkeit, Zero-Day-Lücken autonom zu entdecken, ist real und von unabhängigen Stellen bestätigt. Die größte Gefahr für Unternehmen ist jedoch weniger der direkte Missbrauch von Mythos, sondern die bevorstehende „Vulnerability Tsunami" – eine Flut von Schwachstellen-Meldungen, auf die die meisten Sicherheitsteams personell und prozessual nicht vorbereitet sind.

Was Claude Mythos tatsächlich kann

Anthropic hat Mythos nicht leise gestartet. Das Unternehmen veröffentlichte detaillierte Ergebnisse eines internen Red-Team-Assessments. Die Kernaussagen sind durch das britische AI Security Institute (AISI) unabhängig bestätigt worden:

  • Mythos identifizierte tausende bisher unbekannte Zero-Day-Schwachstellen in allen großen Betriebssystemen und Webbrowsern – darunter eine 27 Jahre alte Lücke in OpenBSD, einem für seine gehärtete Sicherheit bekannten System.
  • In über 83 % der Fälle reproduzierte Mythos die Schwachstellen und entwickelte funktionsfähige Exploits beim ersten Versuch.
  • In einer 32-stufigen simulierten Cyber-Attacke des AISI („The Last Ones") war Mythos das erste Modell überhaupt, das die gesamte Angriffskette erfolgreich durchführte – eine Aufgabe, für die ein menschliches Team etwa 20 Stunden braucht.
  • Die Kosten für die Entdeckung der OpenBSD-Lücke beliefen sich auf unter 20.000 Dollar – ein Bruchteil dessen, was ein menschliches Sicherheitsteam für eine vergleichbare Leistung benötigt hätte.

Anthropic hat sich bewusst entschieden, Mythos nicht öffentlich zugänglich zu machen. Stattdessen wurde Project Glasswing ins Leben gerufen: ein Konsortium aus AWS, Apple, Google, Microsoft, CrowdStrike, Palo Alto Networks, JPMorgan Chase und über 40 weiteren Organisationen, die Mythos defensiv einsetzen – um Schwachstellen zu finden und zu schließen, bevor Angreifer sie ausnutzen können.

Wichtig: Anthropic selbst schätzt, dass innerhalb von 12 bis 18 Monaten vergleichbare Fähigkeiten auch von anderen KI-Labors entwickelt werden. OpenAI arbeitet nachweislich an einem Modell mit ähnlichen Fähigkeiten. Das Zeitfenster für Vorbereitungen ist eng.

Der „Vulnerability Tsunami" – die eigentliche Herausforderung

Die unmittelbarste Auswirkung von Claude Mythos ist nicht, dass Angreifer plötzlich Zugriff auf das Modell haben (obwohl es Berichte über unbefugten Zugriff gibt, die Anthropic derzeit untersucht). Die viel realistischere und bereits spürbare Konsequenz ist eine dramatische Zunahme des Schwachstellen-Volumens.

Schon heute sind über 99 % der von Mythos entdeckten Schwachstellen von den jeweiligen Maintainern noch nicht gepatcht. Die Koordination, Priorisierung und Behebung tausender neuartiger, hochkritischer Funde zieht sich über Monate und Jahre – nicht Tage.

Gleichzeitig ist die Zeit von der Entdeckung bis zum funktionsfähigen Exploit drastisch gesunken: von durchschnittlich 771 Tagen im Jahr 2018 auf unter vier Stunden im Jahr 2024. Für Ende 2026 wird eine weitere Verkürzung auf unter eine Stunde prognostiziert.

Die Konsequenz für Unternehmen: Die Anzahl der kritischen CVEs, die das eigene Sicherheitsteam erreichen, wird massiv steigen. Gleichzeitig schrumpft das Zeitfenster für Reaktionen. Ein Vulnerability-Management-Prozess, der auf manuelle Priorisierung, wöchentliche Scans und ticketbasierte Weiterleitung setzt, ist für diese neue Realität nicht ausgelegt.

Was sich in den nächsten 6–12 Monaten konkret ändert

1. Explosionsartig steigendes CVE-Aufkommen

Die von Mythos und seinen Nachfolgern entdeckten Schwachstellen werden nach und nach in öffentlichen CVE-Datenbanken veröffentlicht. Jedes Unternehmen, das gängige Open-Source-Bibliotheken, Linux-Distributionen oder Webtechnologien einsetzt, wird einen spürbaren Anstieg kritischer Meldungen erleben. Das betrifft nicht „nur" Sicherheitsteams, sondern auch Entwicklungsabteilungen, die Patches einspielen müssen.

2. Angreifer bekommen Zugang zu vergleichbaren Werkzeugen

Auch wenn Mythos selbst nicht öffentlich ist: Die zugrundeliegenden Techniken – insbesondere agentische KI mit langen Kontextfenstern und mehrstufiger Reasoning-Fähigkeit – werden sich verbreiten. Open-Source-Modelle holen auf. Angreifer, die heute manuell Schwachstellen suchen, werden innerhalb von 12 Monaten KI-gestützte Werkzeuge mit ähnlicher Effektivität nutzen können.

3. Security-Tooling bekommt einen KI-Boost

Auf der positiven Seite: Claude Security (öffentliche Beta seit April 2026) und vergleichbare Produkte nutzen genau diese Fähigkeiten defensiv. Sie scannen Codebasen, validieren Funde und schlagen gezielte Patches vor – immer mit menschlicher Entscheidungshoheit. Unternehmen, die solche Werkzeuge frühzeitig einführen, können ihre Reaktionszeit von Wochen auf Tage oder Stunden verkürzen.

4. Compliance und Governance werden nachziehen

Anthropic hat im Mai 2026 28 Integrationen mit führenden Sicherheitsplattformen (CrowdStrike, Palo Alto, Microsoft Purview, Wiz, Zscaler u. v. a.) veröffentlicht und eine Compliance API bereitgestellt, die Echtzeit-Überwachung von KI-Nutzung ermöglicht. Das senkt die Einstiegshürde für regulierte Branchen. Unternehmen sollten prüfen, ob ihre bestehenden Security-Tools bereits Claude-Integrationen unterstützen – das reduziert spätere Umstellungsaufwände.

Fakten-Check: Wo der Hype vom Realität abweicht

Nicht jede Behauptung rund um Mythos hält einer unabhängigen Prüfung stand. Eine differenzierte Betrachtung ist wichtig:

BehauptungRealität
Mythos findet tausende Zero-Days✅ Bestätigt durch AISI und Anthropic-Red-Team
Mythos kann jedes System kompromittieren⚠️ AISI: Mythos scheiterte an OT-Umgebungen („Cooling Tower") und an gut verteidigten Unternehmensnetzwerken
Mythos ist das erste Modell mit diesen Fähigkeiten⚠️ Teilweise. Andere, günstigere Modelle fanden einige der gleichen Lücken – Mythos ist breiter und tiefer
Angreifer haben bereits Zugriff🔶 Unbestätigt. Anthropic untersucht Berichte über unbefugten Zugriff, hat aber keine Bestätigung gegeben
Alle entdeckten Lücken sind kritisch❌ Wie bei jedem Scanner gilt: Ein Teil der Funde ist nicht in der realen Nutzung ausnutzbar. Priorisierung bleibt essenziell

Was Unternehmen jetzt tun sollten

Die folgenden Maßnahmen lassen sich in drei Handlungsfelder unterteilen: Prozesse, Technologie und Strategie.

Prozesse: Vulnerability Management auf VUCA-Niveau bringen

  • Continuous Exposure Management statt punktueller Scans: Schwachstellen müssen kontinuierlich mit der aktuellen Runtime-Topologie und Geschäftskritikalität abgeglichen werden.
  • Priorisierung automatisieren: EPSS (Exploit Prediction Scoring System) und具kontextbezogene Risikobewertung (asset criticality, reachability) einsetzen, um aus tausenden Funden die relevanten zu filtern.
  • Patch-Prozesse beschleunigen: SLA für kritische Schwachstellen auf Stunden statt Tage reduzieren. Automatisierte Deployment-Pipelines für Sicherheitspatches vorbereiten.

Technologie: KI-gestützte Abwehr aufbauen

  • Claude Security oder gleichwertige KI-Sicherheitswerkzeuge evaluieren: Die Beta ist gestartet und für Enterprise-Kunden verfügbar. Die Fähigkeit, Code über Dateigrenzen hinweg zu analysieren und logische Fehler zu erkennen, übertrifft pattern-basierte Scanner deutlich.
  • Compliance API von Claude Enterprise anbinden: Die 28 Integrationen mit führenden SIEM/SOAR-Plattformen erlauben es, KI-Nutzung in bestehende Sicherheits-Workflows einzubetten – das ist aktuell der effektivste Weg, Governance für KI herzustellen.
  • Agentic AI für die Verteidigung testen: KI-Agenten, die Schwachstellen scopen, Exploitability validieren und Patch-Vorschläge generieren, sind keine Zukunftsmusik mehr. Der Mensch bleibt im Loop, aber die Routinearbeit wird automatisiert.

Strategie: AI Governance jetzt aufsetzen

  • KI-Richtlinien definieren: Welche KI-Tools dürfen Mitarbeiter nutzen? Welche Daten dürfen in externe Modelle? Wer genehmigt den Einsatz von agentischen KI-Systemen?
  • Shadow AI verhindern: Mythos und Nachfolger werden als Coding-Assistenten oder Analyse-Tools getarnt in Unternehmen eindringen. Ohne klare Policy und technische Kontrolle (DLP, Access Controls) entstehen unkontrollierte Risiken.
  • Board und Management vorbereiten: Der „Mythos-Moment" ist ein Thema für die Geschäftsführung. Es geht nicht mehr nur um technische Schwachstellen, sondern um geschäftliche Risiken: Produktionsausfälle, Datenverlust, Reputationsschäden und Haftungsfragen.

Empfehlung: Starten Sie mit einem AI Security Gap Assessment. Prüfen Sie, wo Ihr Unternehmen aktuell in den Bereichen Prozesse, Technologie und Strategie steht. Die nächsten sechs Monate sind das Zeitfenster, um Strukturen aufzubauen, bevor die Welle der KI-generierten Schwachstellen und Angriffe den Alltag bestimmt.

Fazit: Mythos ist kein Science-Fiction – aber auch nicht das Ende der Welt

Claude Mythos markiert einen echten Wendepunkt. Die Fähigkeit, Software auf dem Niveau eines menschlichen Sicherheitsforschers zu analysieren und dabei tausende Jahre altes Code-Erbe zu durchdringen, ist real. Die Frage ist nicht, ob diese Fähigkeiten den Sicherheitsalltag verändern werden, sondern wie schnell Unternehmen ihre Abläufe anpassen.

Die gute Nachricht: Die Grundlagen der Sicherheit gelten weiterhin. Defense-in-Depth, gehärtete Systeme, sauberes Patch-Management, Zugriffskontrollen und Monitoring sind wirkungsvoller denn je – sie müssen nur schneller und automatisierter werden. Unternehmen, die jetzt in Continuous Exposure Management, KI-gestützte Abwehr und klare AI Governance investieren, werden von der Entwicklung profitieren. Alle anderen laufen Gefahr, von der Vulnerability Tsunami überrollt zu werden.

← Zurück zum Blog Beratung anfragen →