Mythos verändert alles: Gesamte Angriffsfläche der Unternehmen im Visier

„Mythos“ von Anthropic markiert laut Jay Kaplan einen „echten Wendepunkt in der Bedrohungslandschaft“

[datensicherheit.de, 23.04.2026] Auch Jay Kaplan, CEO und Mitbegründer von Synack, geht in seiner aktuellen Stellungnahme auf die Ankündigung von „Mythos“ durch Anthropic ein, welche demnach einen „echten Wendepunkt in der Bedrohungslandschaft“ markiert. „Früher benötigte ein erfahrener Angreifer fast ein ganzes Jahr, um einen zuverlässig funktionierenden ,Exploit’ zu entwickeln. Mit KI-gestützten Angriffstools sind es nun möglicherweise nur noch Tage“, erläutert Kaplan. Diese Verkürzung verändere die gesamte Kalkulation des Cybersicherheits-Risikomanagements über Nacht.

Jay Kaplan: Der richtige Zeitpunkt, diese Fähigkeit aufzubauen, ist nicht erst, wenn „Mythos“ bereits im Umlauf ist, sondern jetzt!

Unternehmen müssen „Mythos“ bei ihrer Strategie zum Angriffsflächenmanagement ab sofort berücksichtigen

Der Start von „Project Glasswing“ unterstreiche die Bedeutsamkeit dieses Moments: „Als kollaborative Initiative zur Cybersicherheitsverteidigung entwickelt, setzt ,Glasswing’ ,Mythos’ gemeinsam mit großen Technologiepartnern ein, um kritische Schwachstellen zu finden und zu beheben, bevor Angreifer sie ausnutzen können.“

• Wenn „die Guten“ bereits Modelle wie dieses nutzten, um Zero-Day-Schwachstellen in großem Maßstab aufzudecken, sei es indes nur eine Frage der Zeit, bis Angreifer über vergleichbare Fähigkeiten verfügten.

Unternehmen müssten dies bei ihrer Strategie zum Angriffsflächenmanagement berücksichtigen – „und zwar jetzt!“

„Mythos“ macht herkömmliche Sicherheitsstrategien obsolet

Jahrelang habe die vorherrschende Sicherheitsstrategie darin bestanden, die kritischsten Ressourcen – die „Kronjuwelen“ – zu identifizieren und die Verteidigungsressourcen auf deren Schutz zu konzentrieren. „Das war ein vernünftiger Ansatz, als Angreifer ihre Ziele noch sorgfältig auswählen mussten. Diese Kalkulation ist nun hinfällig“, kommentiert Kaplan.

• Selbst als beispielsweise ein nicht-technischer Nutzer „Mythos“ aufgefordert habe, einen Browser-„Exploit“ zu finden und zu instrumentalisieren, sei dies dem Modell innerhalb von nur eineinhalb Tagen gelungen. „Dann tat es etwas, worum niemand es gebeten hatte: Es brach aus seiner ,Sandbox’ aus und schickte dem Nutzer eine E-Mail mit seinen Ergebnissen. Dies bedeutet, das Modell entkam eigenständig seiner Isolierung und nahm Kontakt auf.“

Das Aufspüren von Schwachstellen in „Firefox“, „FreeBSD“ und Systemen dieser Ebene sei historisch gesehen das Revier von Nationalstaaten gewesen. „Es war eine Fähigkeit, deren Entwicklung Jahre dauerte, tiefgreifendes Fachwissen erforderte und nur den raffiniertesten Angreifern der Welt zugänglich war.“ Diese Fähigkeit sei nun für fast jeden nur noch eine gut formulierte Aufforderung entfernt.

„Mythos“ als dringende Mahnung, die gesamte Angriffsfläche vollständig abzusichern

Wenn offensive Künstliche Intelligenz (KI) eine Angriffsfläche schnell kartieren, Schwachstellen identifizieren und „Exploits“ mit Maschinen-Geschwindigkeit iterieren kann, wird laut Kaplan „alles zu einem potenziellen Angriffsvektor“:

• Der veraltete Router in einer Zweigstelle, die in die Jahre gekommene Firewall, die schon seit zwei Jahren ersetzt werden sollte, oder der vergessene API-Endpunkt eines Produkts, das ein Unternehmen auslaufen ließ…

Nichts davon sei mehr nur „Hintergrundrauschen“. Es sei alles eine Gelegenheit für einen Angreifer, automatisierte, KI-gesteuerte „Exploits“ in großem Maßstab durchzuführen. „Unternehmen müssen nun einen neuen Ansatz verfolgen! Es geht nicht mehr darum, das zu schützen, was am wichtigsten ist. Es geht darum, ihre gesamte Angriffsfläche vollständig abzudecken!“

„Mythos“ lässt Zeitfenster zwischen Erkennung und Patch rapide schrumpfen

Im letztjährigen Beitrag über das „KI-Wettrüsten“ habe Mark Kuhr, CTO und Mitbegründer von Synack, festgestellt, dass die Zeit bis zur Ausnutzung von Zero-Day-Schwachstellen im Jahr 2024 von 32 Tagen auf nur fünf Tage gesunken sei. Es sei davon auszugehen, dass sich dieser Trend fortsetzen würde. Ankündigungen wie die von „Mythos“ deuteten darauf hin, dass sich diese Verkürzung nicht verlangsame – „sie könnte sich sogar beschleunigen“, so Kaplan.

• Für jedes Sicherheitsteam dürfe der Übergang von der Erkennung zur Behebung nicht länger Wochen oder gar Tage dauern. „Wir nähern uns einer Welt, in der dieses Zeitfenster in Stunden und schließlich in Minuten gemessen werden muss.“

Genau aus diesem Grund habe Synack seine Plattform unter Berücksichtigung dieses Drucks entwickelt. Synack setze bereits auf KI-gesteuerte „Exploitation“ – und nutze Agenten, „um Schwachstellen schneller zu entdecken und zu validieren, als es mit herkömmlichen Methoden möglich ist“. Das Ziel sei es, das Alarmfenster auf Minuten zu verkürzen – „denn die Zeit, die Angreifern zur Verfügung steht, wird immer kürzer, ob Unternehmen darauf vorbereitet sind oder nicht“.

Unternehmen sollten nicht warten, bis „Mythos“ erst weit verbreitet ist

Einer der gefährlichsten Reflexe sei es derzeit, abzuwarten und zu beobachten, wie sich „Mythos“ tatsächlich entwickelt, „bevor man entscheidet, wie man darauf reagiert“. Dies sei der falsche Weg. Die Angriffsfähigkeiten nichtstaatlicher Akteure würden zunehmen.

• „Die Frage ist nicht ob, sondern wann. Die Unternehmen, die diese Zeit überstehen werden, sind diejenigen, die die Zeit bis dahin nutzen, um bereits bekannte Schwachstellen zu beheben. Das bedeutet, die alte Architektur kritisch unter die Lupe zu nehmen, also veraltete Router, in die Jahre gekommene Firewalls und alles, was nicht unter Berücksichtigung moderner Bedrohungsszenarien entwickelt wurde.“

Es bedeutet, so Kaplan, eine lückenlose Abdeckung der gesamten Angriffsfläche zu gewährleisten – nicht nur der Systeme, bei deren Kompromittierung es peinlich wäre. Das Zeitfenster für Vorbereitungen sei gerade offen. „Unternehmen, die dies als ,Brandschutzübung’ betrachten, werden weitaus besser aufgestellt sein als diejenigen, die auf einen tatsächlichen ,Brand’ warten.“

„Mythos“ als Chance für CIOs und CFOs

„Die Sicherheitscommunity versteht die Bedrohung.“ Dieser Moment erfordere aber auch ein Gespräch mit der Unternehmensführung, um die Situation direkt in finanzielle und operative Risiken zu übersetzen. „Ein KI-beschleunigter Angriff gefährdet nicht nur Daten, er bedeutet wahrscheinlich auch Ausfallzeiten, Betriebsstörungen und Umsatzverluste.“

• Die Geschwindigkeit von KI-Angriffen verändere das Ausmaß einer Sicherheitsverletzung – „und hier geht es um Geschäftsrisiken, nicht nur um Sicherheit“.

Kaplan gibt zu bedenken: „Wenn ein Sicherheitsteam Schwierigkeiten hat, die Aufmerksamkeit der Führungsebene auf dieses Thema zu lenken, ist die Ankündigung von ,Mythos’ eine Chance. Die Dringlichkeit ist real und kommt zum richtigen Zeitpunkt.“

Was Unternehmen im Kontext der „Mythos“-Bedrohung jetzt tun sollten:

Sicherheit müsse in dieser Situation nicht reaktiv sein – die folgende Vorgehensweise sei empfehlenswert:

• Unternehmen sollten sich darüber informieren
  was diese neuen Modellfähigkeiten tatsächlich für Ihre Bedrohungslage bedeuten! Die Details seien entscheidend – und vage Bedenken führten nicht zu guten Entscheidungen.
• Es gilt, die gesamte Angriffsfläche zu erfassen,
  nicht nur die Teile, bei denen man sich sicher ist!
  Zu achten sei besonders auf veraltete Infrastruktur, welche nie dafür ausgelegt gewesen sei, modernen Angriffstools standzuhalten.
• Die Denkweise dreht sich mittlerweile um kontinuierlichen Tests und schnelle Behebungszyklen
  nicht um jährliche Penetrationstests!
  Angreifer richteten sich nicht nach dem „Compliance“-Kalender.

Strategie auf kontinuierliche Tests umstellen, um noch vor die „Mythos“-Bedrohung zu kommen

Synack sieht laut Kaplan bereits, was möglich ist, wenn KI-gesteuerte „Exploitation“ mit dem Urteilsvermögen erstklassiger menschlicher Forscher kombiniert wird. Mit dieser Kombination blieben Unternehmen einen Schritt voraus, „wenn die Angriffsfähigkeiten der Gegenseite zunehmen“.

• Kaplan legt abschließend nahe: „Der richtige Zeitpunkt, diese Fähigkeit aufzubauen, ist nicht erst, wenn ,Mythos’ bereits im Umlauf ist, sondern jetzt!“

Wenn Unternehmen verstehen möchten, wo ihre tatsächliche Anfälligkeit gegenüber dieser neuen KI-Generation liegt, sollten sie damit beginnen, ihre gesamte Angriffsfläche zu erfassen und ihre Strategie auf kontinuierliche Tests umzustellen.

Häufig gestellte Fragen im „Mythos“-Kontext:

1. Was sind „Mythos“ und „Glasswing“ und was müssen Unternehmen darüber wissen?
   „Mythos“ ist das neueste KI-Modell von Anthropic und hat im Gegensatz zu früheren Versionen erhebliche Auswirkungen auf die offensive Sicherheit. Anthropic hat das „Project Glasswing“ ins Leben gerufen, eine kooperative Initiative zur Cybersicherheitsverteidigung, bei der „Mythos“ gemeinsam mit großen Technologiepartnern eingesetzt wird, um kritische Schwachstellen zu finden und zu beheben, bevor Angreifer sie ausnutzen können. Die Tatsache, dass „Mythos“ bereits in diesem Umfang eingesetzt wird, um bisher unbekannte Schwachstellen aufzudecken, ist ein Zeichen dafür, dass dieses Modell auf einer anderen Ebene operiert. „Für Sicherheitsverantwortliche ist nicht das Modell selbst das Problem, sondern die Frage, was passiert, wenn diese Fähigkeiten in die Hände von Angreifern gelangen!“
2. „Wie verändert ,Mythos’ die Risikoberechnung?“
   Die kurze Antwort: „dramatisch!“ Früher benötigte ein erfahrener Angreifer fast ein Jahr, um einen zuverlässig funktionierenden „Exploit“ zu entwickeln. KI-gestützte Offensiv-Tools verkürzen diese Zeit potenziell auf wenige Tage. Die Zeit bis zur Ausnutzung von Zero-Day-Schwachstellen ist bereits von 32 Tagen auf fünf Tage im Jahr 2024 gesunken. „,Mythos’ deutet darauf hin, dass sich diese Verkürzung noch beschleunigen könnte.“
3. „Wie sollten Unternehmen ihre Sicherheitsstrategie ändern, jetzt, da ein Modell wie ,Mythos’ existiert?“
   Es reicht nicht mehr aus, die Sicherheitsstrategie allein auf die „Kronjuwelen“ zu konzentrieren. Dieses Modell ging davon aus, dass Angreifer selektiv vorgehen mussten, da die Ausnutzung von Schwachstellen teuer und zeitaufwendig war. Wenn KI eine Angriffsfläche schnell abbilden und „Exploits“ mit maschineller Geschwindigkeit iterieren kann, wird jede Schwachstelle zu einem möglichen Einfallstor. „Die vollständige Abdeckung der Angriffsfläche ist nun die Grundvoraussetzung, kein weit entferntes Ziel.“
4. „Wie schnell müssen Unternehmen auf eine erkannte Bedrohung reagieren können?“
   Das Zeitfenster von der Erkennung bis zur Behebung, das früher in Wochen gemessen wurde, muss sich in Richtung Stunden und schließlich Minuten verschieben. Jährliche Penetrationstests und vierteljährliche Behebungszyklen sind strukturell nicht auf den neuen Zeitplan des Angreifers abgestimmt. „Kontinuierliche Tests und schnelle Behebungszyklen sind die Richtung, in die sich jedes Sicherheitsteam bewegen muss.“
5. „,Mythos’ ist noch nicht weit verbreitet. Sollten Unternehmen abwarten und sehen, was daraus tatsächlich wird, bevor sie reagieren?“
   Nein, die Offensivfähigkeiten nichtstaatlicher Akteure werden zunehmen, unabhängig davon, wann oder wie „Mythos“ verfügbar wird. „Das Zeitfenster für Vorbereitungen ist gerade jetzt offen, und Unternehmen, die dies als Brandschutzübung vor einem tatsächlichen Brand betrachten, werden in einer grundlegend stärkeren Position sein als diejenigen, die auf einen Vorfall warten, um Dringlichkeit zu erzeugen.“
6. „Wie bringe Sicherheitsverantwortliche das ihrem CFO und CEO nahe?“
   Es ist sinnvoll, das Ganze von einem Sicherheitsgespräch in ein Gespräch über Geschäftsrisiken zu verwandeln. Ein KI-beschleunigter Angriff bedeutet Ausfallzeiten, Betriebsstörungen und Umsatzverluste – nicht nur kompromittierte Daten. Die Geschwindigkeit von KI-Angriffen verändert das Ausmaß einer Sicherheitsverletzung. „Die Ankündigung von ,Mythos’ gibt Sicherheitsteams einen zeitgemäßen, konkreten Aufhänger, um dieses Gespräch mit der Führungsebene zu beginnen.“
7. „Was sollten Sicherheitsverantwortliche jetzt konkret tun?“
   Drei Dinge: Sie sollten sich darüber informieren, was diese neuen Modellfähigkeiten konkret für ihre Bedrohungslage bedeuten. Ebenso sollten sie ihre gesamte Angriffsfläche unter besonderer Berücksichtigung der „Legacy“-Infrastruktur erfassen. „Die Sicherheitsstrategie sollte sich hin zu kontinuierlichen Tests und schneller Behebung orientieren statt punktuellen Bewertungen, die an ,Compliance’-Zyklen gebunden sind.“

Weitere Informationen zum Thema:

Synack
About Synack

Synack
Leadership / Meet Synack’s Founders

Synack, Mark Kuhr, 03.03.2025
The Cyber AI Arms Race: How Agents Are Changing the Game in 2025

red.anthropic.com, Nicholas Carlini & Newton Cheng & Keane Lucas & Michael Moore & Milad Nasr & Vinay Prabhushankar & Winnie Xiao u.a., 07.04.2026
Assessing Claude Mythos Preview’s cybersecurity capabilities

ANTHROPIC
Project Glasswing / Securing critical software for the AI era

datensicherheit.de, 23.04.2026
Claude Mythos: Anthropic könnte Büchse der Pandora geöffnet haben​ / Über einen Mangel an Publicity kann sich Anthropic-Chef Dario Amodei dieser Tage sicher nicht beschweren, kommentiert Jochen Koehler

datensicherheit.de, 15.04.2026
Januskopf KI: Förderer und Zerstörer der IT-Sicherheit / „Assume a breach“ – d.h. grundsätzlich vom Eintritt eines schädlichen Vorfalls auszugehen – ist eine nützliche Denkweise in der IT-Sicherheit zur Prävention, Früherkennung und Reaktion

datensicherheit.de, 15.04.2026
Spontane Reaktion auf Mythos: SANS Institute veröffentlicht mit Partnern kostenloses Strategie-Briefing / Dieses Strategie-Briefing soll CISOs und Sicherheitsverantwortlichen ein umsetzbares Rahmenwerk an die Hand geben, um auf das zunehmende Tempo der Entdeckung und Ausnutzung von Schwachstellen durch KI zu reagieren