Executive Summary: Ist Claude Mythos ein Sicherheitsrisiko?

Mit Claude Mythos Preview hat Anthropic im April 2026 ein KI-Modell vorgestellt, das so leistungsfähig im Auffinden und Ausnutzen von Sicherheitslücken sein soll, dass es bewusst nicht öffentlich verfügbar gemacht wird. Stattdessen erhalten ausgewählte Unternehmen im Rahmen der Initiative „Project Glasswing“ exklusiven Zugriff, um kritische Software abzusichern. Aber schon wenige Tage nach der Vorstellung wurde bekannt, dass Unbefugte bereits am Tag der Veröffentlichung Zugang zu Mythos erlangt haben sollen. Alles nur Marketing? Oder ist Claude Mythos wirklich ein großes Sicherheitsrisiko für Unternehmen und Behörden? Aus Sicht von Governance, Risk & Compliance (GRC) wirft der Fall grundlegende Fragen auf: zur Risikoeinstufung leistungsfähiger KI-Modelle, zur Lieferketten- und Dienstleistersicherheit sowie zur Verantwortung der Geschäftsleitung beim Einsatz und beim Schutz solcher Systeme. Unternehmen, die KI strategisch einsetzen oder regulatorisch betroffen sind (z.B. durch NIS-2 oder den EU AI Act), sollten den Fall Mythos als Frühindikator für kommende Anforderungen verstehen.

Der Fall Claude Mythos ist mehr als eine Schlagzeile aus der KI-Entwicklung der letzten Wochen. Er macht sichtbar, was viele GRC-Verantwortliche seit Monaten ahnen: Hochleistungs-KI ist nicht nur ein wachsender Produktivitätsfaktor, sondern zunehmend auch ein systemisches Sicherheitsrisiko, mit Auswirkungen auf Cybersicherheit, Compliance und Governance im Unternehmen.

Was ist Claude Mythos? Kurze Einordnung

Claude Mythos Preview ist nach Angaben des Herstellers (Entwicklers) Anthropic ein KI-Modell, das auf das Auffinden und Ausnutzen von Software-Schwachstellen spezialisiert ist. Laut Heise online habe das Modell bereits tausende hochriskante Zero-Day-Schwachstellen in allen großen Betriebssystemen, Browsern und weiterer Software identifiziert. Auffällig ist dabei nicht nur die schiere Menge an Sicherheitslücken, sondern die Fähigkeit, aus identifizierten Lücken funktionierende Exploits abzuleiten, teilweise durch Verkettung mehrerer Schwachstellen. Insbesondere die Verkettung war für menschliche Sicherheitsforscher bis dato eine fast unlösbare Komplexität.

Anthropic verweist exemplarisch auf eine 27 Jahre lang unentdeckte Schwachstelle in der OpenBSD Pipeline sowie eine 16 Jahre alte Lücke in FFmpeg, die in Millionen automatisierter Scans nicht aufgefallen sei. Aufgrund dieser Fähigkeiten verzichtet Anthropic auf eine breite Veröffentlichung und stellt Mythos im Rahmen der Initiative „Project Glasswing“ ausschließlich ausgewählten Unternehmen aus dem Bereich IT-Sicherheit und kritische Infrastruktur zur Verfügung. Beteiligt sind unter anderem AWS, Apple, Cisco, CrowdStrike, Google, Microsoft und die Linux Foundation.

Warum gilt Mythos als „zu gefährlich“ für die Öffentlichkeit?

Die Argumentation Anthropics folgt einem klaren Muster: Solange noch kein vergleichbar leistungsfähiges Modell öffentlich verfügbar ist, soll Mythos genutzt werden, um Schwachstellen zu schließen, bevor andere KI-Systeme zu Mythos aufholen. Das scheint zunächst wie eine bloße Wette gegen den Markt. Sobald andere Modelle – auch in den Händen von Kriminellen oder staatlichen Akteuren – ähnliche Fähigkeiten erreichen, wäre der defensive Vorsprung verloren. Ein neues Wettrüsten hat also längst begonnen!

Dieser Ansatz ist sicherlich nachvollziehbar, aber risikobehaftet. Er basiert auf der Annahme, dass:

• der Zugriff auf Mythos kontrollierbar bleibt und die Öffentlichkeit keinen Zugriff erlangt,
• die beteiligten Unternehmen vertrauenswürdig und sicher genug sind, um das Modell zu schützen,
• und dass das Tempo der defensiven Nutzung schneller ist als das Aufholen offensiver Akteure.

Genau an diesen Annahmen entzündet sich aus einer GRC-Perspektive die Kritik.

Der Vorfall: Unbefugter Zugriff auf Claude Mythos seit Tag 1

Wenige Wochen nach der Vorstellung berichtete Heise online unter Berufung auf einen Bloomberg-Bericht, dass eine Gruppe Unbekannter bereits am Tag der Vorstellung Zugriff auf Mythos erlangt haben soll. Der Zugang sei laut Bericht über einen Drittanbieter-Mitarbeiter sowie über eine „fundierte Vermutung“ zur internen URL des Modells möglich gewesen. Die Gruppe tausche sich in einem privaten Discord-Kanal aus und nutze Mythos demnach für vergleichsweise harmlose Aufgaben, etwa den Bau von Websites – nicht für Angriffe. So wird berichtet.

Anthropic habe zugesichert, den Vorgang zu prüfen, und betont, es gebe keine Hinweise auf Auswirkungen über die Drittanbieter-Umgebung hinaus. Aus GRC-Sicht ist genau das aber der Punkt: Selbst wenn keine kriminelle Nutzung nachweisbar ist, zeigt der Vorfall, wie schwer der „kontrollierte Zugriff“ auf hochsensible KI-Modelle wie Claude Mythos in der Praxis durchzusetzen ist.

Bewertung aus GRC-Sicht: Drei zentrale Risken bei Claude Mythos

1. Lieferketten- und Dienstleistersicherheit

Der Vorfall macht erneut deutlich, dass Sicherheit nicht an der eigenen Unternehmensgrenze endet. Mit jedem Dienstleister, jedem Drittanbieter-Tool und jedem KI-Modell, das in Geschäftsprozesse integriert wird, vergrößert sich die Angriffsfläche. Frameworks wie NIS-2, BSI IT-Grundschutz und ISO 27001 fordern zu Recht eine systematische Bewertung der gesamten Lieferkette – inklusive KI-Komponenten und angebundener Systeme.

2. Risikoeinstufung leistungsfähiger KI-Modelle

Mythos ist ein praktisches Beispiel für ein Hochrisiko-KI-System im Sinne des EU AI Acts – auch wenn es formal nicht als solches reguliert wird, weil es nicht öffentlich angeboten wird. Unternehmen sollten den Fall zum Anlass nehmen, eingesetzte KI-Modelle systematisch zu klassifizieren:

• Welches Modell hat welche Fähigkeiten?
• Wo wird es verarbeitet?
• Welche Daten fließen ein?
• Welche vertragliche Grundlagen haben wir für diese Daten?
• Und welche Konsequenzen hätte ein Missbrauch oder Datenabfluss?

3. Verantwortung der Geschäftsleitung

Sowohl NIS-2 als auch der EU AI Act verlagern die Verantwortung für Cybersicherheit und KI-Compliance ausdrücklich auf die Leitungsebene. Der Fall Mythos zeigt, dass „die KI-Themen kennt sich der CTO schon mit aus“ als Governance-Ansatz nicht mehr ausreicht. Geschäftsführung und Vorstand müssen Risiken durch leistungsfähige KI-Modelle – eigene wie fremde – in ihre Risikolandschaft aufnehmen.

Was bedeutet das für deutsche Unternehmen und öffentliche Stellen?

Auch wenn Claude Mythos für die meisten Organisationen nicht direkt verfügbar ist, hat der Fall mittelbare Konsequenzen, für jede erarbeitete und bereits implementiert KI-Strategie:

• Schwachstellen in weitverbreiteter Software (Betriebssysteme, Browser, Open-Source-Bibliotheken) können durch Mythos und vergleichbare Modelle schneller identifiziert werden, im Idealfall (vor Exploit) durch Verteidiger, im Worst Case (nach Exploit) durch Angreifer.
• Patch-Management und Vulnerability-Management gewinnen weiter an Bedeutung. Wer Updates verzögert, riskiert, in einem Zeitfenster angegriffen zu werden, das KI-Tools dramatisch verkürzen. Wir reden nicht von Monaten oder Wochen, sondern von Tagen bei kritischen Sektoren.
• Die Bedeutung von Threat Intelligence und Incident Response wächst, weil Angriffe potenziell schneller, automatisierter und schwerer zuzuordnen werden.
• Regulierte Sektoren (Finanzwesen, KRITIS, öffentliche Verwaltung) müssen damit rechnen, dass Aufsichtsbehörden KI-bezogene Anforderungen verschärfen, etwa im Rahmen von NIS-2-Prüfungen oder DORA.

Bedeutung für Governance, Risk und Compliance

Aus GRC-Sicht ist Claude Mythos kein Einzelrisiko, sondern ein Vorbote. Das Thema KI-Sicherheit verlagert sich gerade vom „IT-Thema“ auf die Steuerungsebene der Organisation:

• Governance muss klären, wer im Unternehmen über den Einsatz von KI-Systemen entscheidet, welche Modelle erlaubt sind und welche Daten sie sehen dürfen.
• Risk Management muss KI-spezifische Risiken (Modellmissbrauch, Datenabfluss, Halluzinationen, Modell-Diebstahl oder Exploits sicherheitsrelevanter Systeme) systematisch erfassen und mit klassischen Cyber-Risiken verknüpfen.
• Compliance muss die Brücke schlagen zu DSGVO, EU AI Act, NIS-2, BSI C5 und sektorspezifischen Vorgaben und dabei nachweisbar bleiben.

Wer KI-Sicherheit weiterhin nur als technische Frage behandelt, wird im Ernstfall weder gegenüber Aufsichtsbehörden noch gegenüber Kunden erklären können, warum bestimmte Risiken nicht erkannt oder nicht adressiert wurden.

Unterstützung durch Elsen GRC

Elsen GRC unterstützt Unternehmen und öffentliche Stellen dabei, KI-Risiken strukturiert zu bewerten und in bestehende Governance-, Risk- und Compliance-Strukturen zu integrieren. Dazu gehören die Bewertung eingesetzter KI-Systeme, der Aufbau einer KI-Governance im Sinne des EU AI Acts, die Verzahnung mit NIS-2- und Datenschutzanforderungen durch KI-orientierte Datenschutzberatung sowie die Sensibilisierung der Geschäftsleitung.

Der Fall Claude Mythos sollte nicht Anlass für Panik, sondern für eine nüchterne Bestandsaufnahme sein: Welche KI-Systeme nutzen wir? Wer ist verantwortlich? Welche Risiken akzeptieren wir bewusst und welche nicht?

Gerne unterstütze ich Sie dabei im Rahmen eines unverbindlichen Erstgesprächs.

Foto: Foto von Palash Jain auf Unsplash

Quellen:

• Anthropics neues KI-Modell Mythos: Zu gefährlich für die Öffentlichkeit – Heise online
• Anthropics gefährliche KI Mythos: Unbefugte wohl mit Zugriff seit dem ersten Tag – Heise online
• Project Glasswing – Anthropic
• Mythos Preview – Anthropic Red Team Blog

Der Beitrag Ist Claude Mythos ein Sicherheitsrisiko? Eine GRC-Perspektive erschien zuerst auf ELSEN GRC.

Hintergrund und Einordnung

Der Bericht von Anthropic beschreibt einen Angriff, der durch die vermutlich staatlich finanzierte Gruppe „GTG-1002″ ausgeführt wurde. Die Angreifer sollen Zugriff auf Claude Code erhalten und ihn genutzt haben, um große Teile der Cyberoperation automatisch zu koordinieren. Dazu zählen das Auswerten öffentlich verfügbarer Informationen über Zielorganisationen, die Generierung von Angriffscodes, automatisierte Testläufe, das Erstellen neuer Exploit-Varianten und die schrittweise Ausweitung des Angriffs auf weitere Systeme. In der Darstellung von Anthropic übernahm die KI rund 80 bis 90 Prozent dieser Schritte ohne manuellen Eingriff, also quasi autonom, gesteuert über nur wenige High-Level-Prompts.

Heise stellt diese Darstellung allerdings infrage. Laut mehreren Expert:innen fehlen konkrete technische Details, die notwendig wären, um die Analyse nachzuvollziehen. Es wurden weder technische Indikatoren für Kompromittierung noch nachvollziehbare Datenpunkte veröffentlicht, anhand derer nachvollziehbar wäre, wie autonom Claude tatsächlich agiert hat. Einige Fachleute bewerten den Bericht eher als Warnsignal denn als belastbares Ereignis: ein Szenario, das grundsätzlich möglich ist, dessen konkrete Ausgestaltung aber nicht zweifelsfrei belegt scheint.

Gerade diese Gemengelage – technisch plausibel, aber faktisch unklar – macht den Fall für das Risiko-Management so relevant. Unternehmen können es sich nicht leisten, auf vollständige Evidenz zu warten. Die entscheidende Frage lautet: Wie schnell können Angreifer KI-Modelle in reale Angriffsketten einbauen – und wie gut sind Organisationen darauf vorbereitet?

Das Architektur-Diagramm des versuchten Angriffs laut Anthropic (Bild: © Anthropic)

Auswirkungen auf Unternehmen und Behörden

Für Unternehmen bedeutet der Fall vor allem eine Verschiebung der Bedrohungsrealität. KI-gestützte Werkzeuge ermöglichen eine deutlich höhere Geschwindigkeit, Skalierung und Variabilität von Cyber-Angriffen. Reconnaissance, Code-Erstellung und Exploit-Anpassung können in Sekunden erfolgen und in Varianten, die klassische Signatur- oder Mustererkennungen umgehen. Organisationen, die KI bereits intern einsetzen, schaffen darüber hinaus selbst neue Angriffsflächen: unzureichend abgesicherte Modelle, API-Zugänge, Prompt-Pipelines und interne Agentensysteme können missbraucht werden, wenn sie nicht klar überwacht und kontrolliert werden.

Für Behörden, kritische Infrastrukturen und öffentliche Einrichtungen entsteht ein zusätzlicher Handlungsdruck. Die Kombination aus politisch motivierten Akteuren und KI-gestützten Tools führt zu einer Bedrohungslage, die unmittelbare Auswirkungen auf demokratische, wirtschaftliche und administrative Prozesse haben kann. Die Aufklärung KI-gestützter Angriffe ist zudem schwieriger, weil Attribution, Log-Analyse und Beweisführung deutlich komplexer werden, wenn wesentliche Teile der Angriffskette nicht mehr direkt menschlich gesteuert sind oder nicht zusammenhängend protokolliert werden können.

Sowohl privatwirtschaftliche als auch öffentliche Organisationen müssen daher ihre bestehenden Sicherheitsarchitekturen auf KI-spezifische Risiken überprüfen: Welche Systeme könnten automatisiert ausgenutzt werden? Welche internen KI-Werkzeuge müssten stärker überwacht werden? Und wie schnell können Incident-Response-Prozesse reagieren, wenn die Angriffsgeschwindigkeit nicht mehr menschlich, sondern maschinell ist?

Bedeutung für Governance, Risk & Compliance

Der Fall zeigt, dass Unternehmen nicht nur technische Sicherheitsmaßnahmen anpassen müssen, sondern auch ihre Governance-, Risk- und Compliance-Strukturen. KI-Modelle und Agentensysteme benötigen klare Verantwortlichkeiten, definierte Daten- und Zugriffskontrollen sowie revisionssichere Überwachungsmechanismen sind ein Muss. Risikobewertungen sollten künftig künstliche Autonomie, sog. „adversarial prompts“ (zum ausloten von Exploit-Möglichkeiten in KI Modellen), Missbrauch über APIs und potenziell selbstständig eskalierende Angriffspfade berücksichtigen. Die Compliance wiederum muss sicherstellen, dass alle KI-gestützten Prozesse nachvollziehbar dokumentiert, auditierbar und robust gegenüber Fehlverhalten oder Missbrauch sind.

Einschätzung zum KI-Cyberangriff mit Claude

Ob es sich im konkreten Fall um einen tatsächlich autonomen KI-Cyberangriff mit Claude handelte oder teilweise um ein „Warnszenario“ mit „Marketingcharakter“,  die zentrale Erkenntnis bleibt: KI wird zum möglichen Angriffsvektor. Unternehmen, die ihre Sicherheitsarchitektur weiterhin nur im klassischen IT-Kontext betrachten, übersehen eine wesentliche Risikoentwicklung. KI-Systeme müssen künftig als eigenständige, dynamische Komponenten im Angriffsökosystem bewertet werden.

Beratung für Cyberangriffe durch KI durch Elsen GRC

Elsen GRC berät Unternehmen und Behörden dabei, ihre Cybersecurity- und Risikoarchitektur an dieses neue Bedrohungsbild anzupassen. Dazu gehört die Analyse möglicher KI-Angriffsvektoren, die Bewertung der eigenen Exponiertheit, die Entwicklung robuster Governance-Modelle für KI-Systeme sowie die Integration KI-spezifischer Risikofaktoren in bestehende Compliance- und Incident-Response-Strukturen. Darüber hinaus begleitet Elsen GRC Organisationen bei der Dokumentation, Überwachung und dem sicheren Betrieb von KI-gestützten Anwendungen – mit einem klaren Fokus auf Risikominimierung, Transparenz und praktische Umsetzbarkeit, die aus der echten Praxis von über 14 Jahren Software-Entwicklung stammt.

Unverbindliche Beratung anfordern

Der Beitrag Angeblicher KI-Cyberangriff mit Claude? Was der Fall für Risiko-Management wirklich bedeutet erschien zuerst auf ELSEN GRC.