Die Ankündigung von Mythos durch Anthropic markiert einen echten Wendepunkt in der Bedrohungslandschaft. Früher benötigte ein erfahrener Angreifer fast ein ganzes Jahr, um einen zuverlässig funktionierenden Exploit zu entwickeln. Mit KI-gestützten Angriffstools sind es nun möglicherweise nur noch Tage. Diese Verkürzung verändert die gesamte Kalkulation des Cybersicherheits-Risikomanagements über Nacht.

Jay Kaplan, CEO und Mitbegründer von Synack, Anbieter hybrider IT-Sicherheitstests, erläutert die zu erwartenden Effekte:

Der Start von Project Glasswing unterstreicht, wie bedeutsam dieser Moment ist. Als kollaborative Initiative zur Cybersicherheitsverteidigung entwickelt, setzt Glasswing Mythos gemeinsam mit grossen Technologiepartnern ein, um kritische Schwachstellen zu finden und zu beheben, bevor Angreifer sie ausnutzen können. Wenn die Guten bereits Modelle wie dieses nutzen, um Zero-Day-Schwachstellen in grossem Massstab aufzudecken, ist es nur eine Frage der Zeit, bis Angreifer über vergleichbare Fähigkeiten verfügen. Unternehmen müssen dies bei ihrer Strategie zum Angriffsflächenmanagement berücksichtigen – und zwar jetzt.

Warum herkömmliche Sicherheitsstrategien gegen KI-gestützte Angriffe versagen

Jahrelang bestand die vorherrschende Sicherheitsstrategie darin, die kritischsten Ressourcen, die Kronjuwelen, zu identifizieren und die Verteidigungsressourcen auf deren Schutz zu konzentrieren. Das war ein vernünftiger Ansatz, als Angreifer ihre Ziele noch sorgfältig auswählen mussten. Diese Kalkulation ist nun hinfällig. Selbst als beispielsweise ein nicht-technischer Nutzer Mythos aufforderte, einen Browser-Exploit zu finden und zu instrumentalisieren, gelang dies dem Modell innerhalb von nur eineinhalb Tagen.

Dann tat es etwas, worum niemand es gebeten hatte: Es brach aus seiner Sandbox aus und schickte dem Nutzer eine E-Mail mit seinen Ergebnissen. Dies bedeutet, das Modell entkam eigenständig seiner Isolierung und nahm Kontakt auf. Das Aufspüren von Schwachstellen in Firefox, FreeBSD und Systemen dieser Ebene war historisch gesehen das Revier von Nationalstaaten. Es war eine Fähigkeit, deren Entwicklung Jahre dauerte, tiefgreifendes Fachwissen erforderte und nur den raffiniertesten Angreifern der Welt zugänglich war. Diese Fähigkeit ist nun für fast jeden nur noch eine gut formulierte Aufforderung entfernt.

Wenn offensive KI eine Angriffsfläche schnell kartieren, Schwachstellen identifizieren und Exploits mit Maschinen-Geschwindigkeit iterieren kann, wird alles zu einem potenziellen Angriffsvektor: der veraltete Router in einer Zweigstelle, die in die Jahre gekommene Firewall, die schon seit zwei Jahren ersetzt werden sollte, oder der vergessene API-Endpunkt eines Produkts, das ein Unternehmen auslaufen liess.

Nichts davon ist mehr nur Hintergrundrauschen. Es ist alles eine Gelegenheit für einen Angreifer, der automatisierte, KI-gesteuerte Exploits in grossem Massstab durchführt. Unternehmen müssen nun einen neuen Ansatz verfolgen. Es geht nicht mehr darum, das zu schützen, was am wichtigsten ist. Es geht darum, ihre gesamte Angriffsfläche vollständig abzudecken.

Das Zeitfenster zwischen Erkennung und Patch schrumpft rapide

Im letztjährigen Beitrag über das KI-Wettrüsten stellte Mark Kuhr, CTO und Mitbegründer von Synack, fest, dass die Zeit bis zur Ausnutzung von Zero-Day-Schwachstellen im Jahr 2024 von 32 Tagen auf nur fünf Tage gesunken ist. Es ist davon auszugehen, dass sich dieser Trend fortsetzen würde. Ankündigungen wie die von Mythos deuten darauf hin, dass sich diese Verkürzung nicht verlangsamt, sie könnte sich sogar beschleunigen.

Für jedes Sicherheitsteam darf der Übergang von der Erkennung zur Behebung nicht länger Wochen oder gar Tage dauern. Wir nähern uns einer Welt, in der dieses Zeitfenster in Stunden und schliesslich in Minuten gemessen werden muss. Genau aus diesem Grund hat Synack seine Plattform unter Berücksichtigung dieses Drucks entwickelt. Synack setzt bereits auf KI-gesteuerte Exploitation – und nutzt Agenten, um Schwachstellen schneller zu entdecken und zu validieren, als es mit herkömmlichen Methoden möglich ist. Das Ziel ist es, das Alarmfenster auf Minuten zu verkürzen, denn die Zeit, die Angreifern zur Verfügung steht, wird immer kürzer, ob Unternehmen darauf vorbereitet sind oder nicht.

Nicht warten, bis Mythos weit verbreitet ist

Einer der gefährlichsten Reflexe ist es derzeit, abzuwarten und zu beobachten, wie sich Mythos tatsächlich entwickelt, bevor man entscheidet, wie man darauf reagiert. Das ist der falsche Weg. Die Angriffsfähigkeiten nichtstaatlicher Akteure werden zunehmen. Die Frage ist nicht ob, sondern wann. Die Unternehmen, die diese Zeit überstehen werden, sind diejenigen, die die Zeit bis dahin nutzen, um bereits bekannte Schwachstellen zu beheben.

Das bedeutet, die alte Architektur kritisch unter die Lupe zu nehmen, also veraltete Router, in die Jahre gekommene Firewalls und alles, was nicht unter Berücksichtigung moderner Bedrohungsszenarien entwickelt wurde. Es bedeutet, eine lückenlose Abdeckung der gesamten Angriffsfläche zu gewährleisten – nicht nur der Systeme, bei deren Kompromittierung es peinlich wäre.

Das Zeitfenster für Vorbereitungen ist gerade offen. Unternehmen, die dies als Brandschutzübung betrachten, werden weitaus besser aufgestellt sein als diejenigen, die auf einen tatsächlichen Brand warten.

Ein Hinweis für CIOs und CFOs

Die Sicherheitscommunity versteht die Bedrohung. Dieser Moment erfordert aber auch ein Gespräch mit der Unternehmensführung, in dem die Situation direkt in finanzielle und operative Risiken übersetzt wird. Ein KI-beschleunigter Angriff gefährdet nicht nur Daten, er bedeutet wahrscheinlich auch Ausfallzeiten, Betriebsstörungen und Umsatzverluste. Die Geschwindigkeit von KI-Angriffen verändert das Ausmass einer Sicherheitsverletzung, und hier geht es um Geschäftsrisiken, nicht nur um Sicherheit. Wenn ein Sicherheitsteam Schwierigkeiten hat, die Aufmerksamkeit der Führungsebene auf dieses Thema zu lenken, ist die Ankündigung von Mythos eine Chance. Die Dringlichkeit ist real und kommt zum richtigen Zeitpunkt.

Was Unternehmen jetzt tun sollten

Sicherheit muss in dieser Situation nicht reaktiv sein. Die folgende Vorgehensweise ist empfehlenswert:

Unternehmen sollten sich darüber informieren, was diese neuen Modellfähigkeiten tatsächlich für Ihre Bedrohungslage bedeuten. Die Details sind entscheidend, und vage Bedenken führen nicht zu guten Entscheidungen.
Es gilt, die gesamte Angriffsfläche zu erfassen, nicht nur die Teile, bei denen man sich sicher ist. Zu achten ist besonders auf veraltete Infrastruktur, die nie dafür ausgelegt war, modernen Angriffstools standzuhalten.
Die Denkweise dreht sich mittlerweile um kontinuierlichen Tests und schnelle Behebungszyklen, nicht um jährliche Penetrationstests. Angreifer richten sich nicht nach dem Compliance-Kalender.

Synack sieht bereits, was möglich ist, wenn KI-gesteuerte Exploitation mit dem Urteilsvermögen erstklassiger menschlicher Forscher kombiniert wird. Mit dieser Kombination bleiben Unternehmen einen Schritt voraus, wenn die Angriffsfähigkeiten der Gegenseite zunehmen. Der richtige Zeitpunkt, diese Fähigkeit aufzubauen, ist nicht erst, wenn Mythos bereits im Umlauf ist, sondern jetzt.

Wenn Unternehmen verstehen möchten, wo ihre tatsächliche Anfälligkeit gegenüber dieser neuen KI-Generation liegt, sollten sie damit beginnen, ihre gesamte Angriffsfläche zu erfassen und ihre Strategie auf kontinuierliche Tests umzustellen.