KI-Modell Mythos entdeckt Tausende Finanz-Schwachstellen

Ein neues KI-Modell namens Mythos hat Tausende bisher unbekannte Schwachstellen in kritischer Finanz-Infrastruktur aufgespürt. Diese Entdeckung löste einen Krisengipfel der US-Notenbank mit Top-Bankenchefs aus und stellt die globale Cybersicherheit auf den Prüfstand.

Notfalltreffen in Washington: Banken in Alarmbereitschaft

In der Woche vor dem 11. April 2026 riefen US-Notenbankchef Jerome Powell und Finanzminister Scott Bessent die CEOs der größten amerikanischen Banken zu einem Dringlichkeitsgipfel. Der Grund: Das von der Firma Anthropic entwickelte KI-Modell Mythos kann automatisiert Tausende versteckte Sicherheitslücken in Finanzsystemen identifizieren. Diese Fähigkeit stellt den traditionellen Zyklus aus Fehlerfindung und Patch-Entwicklung infrage – die KI arbeitet schlicht schneller.

Angesichts immer intelligenterer KI-Angriffe auf kritische Infrastrukturen wird die proaktive Absicherung der eigenen IT für Unternehmen überlebenswichtig. Dieses kostenlose E-Book liefert IT-Verantwortlichen aktuelle Strategien, um Sicherheitslücken effizient zu schließen und neue gesetzliche Anforderungen umzusetzen. Gratis Cyber-Security-Leitfaden für Unternehmen jetzt sichern

Die Nachricht sorgte für erhebliche Verunsicherung an den Marken. Bankaktien zeigten starke Schwankungen, und Cybersecurity-Werte wie CrowdStrike oder Palo Alto Networks büßten zeitweise an Wert ein. Die größte Sorge der Aufseher: KI kann nun schneller Einfallstore in sichere Systeme finden, als menschliche Entwickler Sicherheitsupdates schreiben und ausrollen können.

Mythos: Ein Paradigmenwechsel für die nationale Sicherheit

Die Entdeckungswelle des Mythos-Modells hat weltweit Cybersecurity-Behörden alarmiert. Bereits am 10. April äußerte die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, „tiefe Besorgnis“. Das Modell könne versteckte Software-Schwächen in nahezu jedem gängigen Betriebssystem und Webbrowser aufspüren.

Obwohl Mythos derzeit nicht öffentlich verfügbar ist und nur etwa 40 Technologiepartnern wie Microsoft, Google und Amazon vorbehalten bleibt, verändert seine Existenz die Bedrohungslage fundamental. Auf dem Bankengipfel wurden die Teilnehmer darüber informiert, wie solche KI-Tools potenziell waffenisiert werden könnten, um Finanzmärkte zu destabilisieren.

Doch die unmittelbarere Gefahr liegt woanders. Experten auf der NetDiligence-Konferenz Mitte April betonten: Während Modelle wie Mythos eine Bedrohung der Zukunft darstellen, ist die aktuelle Hauptgefahr KI-verstärktes Social Engineering. Diese Methoden ermöglichen es Kriminellen, Betrugsversuche in einem bisher unmöglichen Maßstab zu automatisieren und zu verfeiner.

API-Lücken: Die Achillesferse der KI-Integration

Während Finanzinstitute immer mehr KI-Agenten in ihre Abläufe integrieren, klafft eine gefährliche Lücke in den Verteidigungsmaßnahmen. Eine Studie des Unternehmens Salt Security vom 10. April offenbart: 92 % der Organisationen haben noch keine ausgereiften Sicherheitsprotokolle speziell für KI-Agenten.

Fast die Hälfte der befragten Unternehmen hat sogar die Einführung neuer Produkte verschoben – aus Sorge um die Sicherheit ihrer Programmierschnittstellen (APIs). Das Problem wächst rasant: 66 % der Firmen verzeichnen einen Anstieg des API-Datenverkehrs um mehr als 50 % im letzten Jahr.

Da Hacker zunehmend die neuen Möglichkeiten des AI Acts und automatisierte Angriffe nutzen, müssen Unternehmen ihre Compliance-Strategien dringend anpassen. Dieser kostenlose Report klärt darüber auf, welche rechtlichen Pflichten und Cyberbedrohungen Unternehmer jetzt im Blick behalten müssen. Kostenlosen Report zu KI-Gesetzen und Cyberrisiken herunterladen

Besonders alarmierend: 99 % der Angriffsversuche gehen mittlerweile von authentifizierten Quellen aus. Hacker nutzen zunehmend legitime Zugangsdaten oder missbrauchen das Vertrauen zwischen vernetzten KI-Systemen. Die Folge ist ein Strategiewechsel: Von der reinen Überwachung des Datenbestands (Data Security Posture Management) hin zur Echtzeit-Nachverfolgung von Datenflüssen. Nur so lässt sich verhindern, dass KI-Agenten unabsichtlich sensible Informationen preisgeben.

Als Reaktion auf diese Bedrohungen bringen Anbieter neue Abwehrtools auf den Markt. Das Unternehmen Certes kündigte um den 10. April Version 7 seiner Datenschutzplattform an, die Post-Quanten-Kryptografie für Edge-Computing-Umgebungen einführt – eine kritische Innovation für Banken mit komplexen Altsystemen.

Regulierungsdruck: EU geht gegen Tech-Giganten vor

Die Macht neuer KI-Tools verschärft den regulatorischen Blick auf große Technologiefirmen. Am 10. April wurde bekannt, dass die Europäische Kommission erwägt, OpenAIs ChatGPT als „sehr große Suchmaschine“ einzustufen. Diese Klassifizierung nach dem Digital Services Act (DSA) würde deutlich strengere Transparenz- und Risikomanagement-Pflichten nach sich ziehen. OpenAI hatte zuvor im EU-Raum durchschnittlich 120,4 Millionen monatliche Nutzer gemeldet und damit die Schwelle für verschärfte Aufsicht überschritten.

Diese regulatorische Unsicherheit hat bereits konkrete Auswirkungen. OpenAI gab am selben Tag bekannt, sein „Stargate UK“-Rechenzentrum-Projekt in North Tyneside vorerst auf Eis zu legen. Als Gründe nannte das Unternehmen hohe Industriestrompreise und Unklarheiten bei der rechtlichen Nutzung urheberrechtlich geschützter Trainingsdaten.

Gleichzeitig setzt die EU ihre strikte Durchsetzung bestehender Regeln fort: Amerikanische IT-Giganten mussten seit Anfang 2024 bereits Strafen von über sieben Milliarden Euro zahlen. Eine Bitkom-Umfrage vom 10. April zeigt, dass die öffentliche Stimmung diesen Kurs unterstützt: 99 % der Deutschen halten digitale Souveränität für wichtig. Doch 93 % glauben, ihr Land sei weiterhin stark von ausländischer Technologie abhängig. Der Marktanteil europäischer Anbieter liegt bei KI-Anwendungen bei nur 6 %, bei Suchmaschinen bei 13 %.

Lokale Infrastruktur unter Beschuss – Kooperation als Lösung

Neben den hochkomplexen KI-Bedrohungen bleibt auch die lokale Infrastruktur anfällig für traditionelle Cyber-Angriffe. Am 10. April waren Schulen in Stralsund gezwungen, ihre Netzwerke vorsorglich abzuschalten, nachdem eine Analyse Anomalien ergeben hatte. Zwar gab es keinen direkten Beweis für einen Datendiebstahl, doch der Vorfall unterstrich die Fragilität digitaler Systeme im öffentlichen Sektor.

Um die wachsende Intelligenzlücke zwischen staatlich unterstützten Hackern und dem Privatsektor zu schließen, erweiterte das US-Finanzministerium am 10. April seine Initiative „Project Fortress“. Künftig sollen qualifizierte Kryptobörsen und -verwalter Zugang zu derselben Echtzeit-Bedrohungsinformation erhalten, die bisher Großbanken vorbehalten war. Ziel ist eine vereinte Abwehr gegen hochspezialisierte Gruppen wie die nordkoreanische Lazarus Group, die regelmäßig Finanz- und Krypto-Vermögen angreift.

Auch der Rechtssektor steht vor einem Sicherheits-Check-up. Untersuchungen des Chaos Computer Clubs enthüllten schwerwiegende Schwachstellen in cloud-basierter Anwaltssoftware, bei der unverschlüsselte Backups Kundendaten und ungehashte Passwörter enthielten. Dies befeuert die Nachfrage nach lokalen, datenschutzkonformen KI-Lösungen. Einige deutsche Mittelständler setzen bereits auf neue, in Europa gehostete KI-Telefoniesysteme, die Kundengespräche automatisieren und gleichzeitig strenge regionale Datenschutzstandards einhalten.

Ausblick: Der Wettlauf zwischen Angriff und Abwehr beschleunigt sich

Die Finanzsicherheit befindet sich in einer Phase des rasanten Umbruchs. Das Wettrüsten zwischen KI-gestützter Schwachstellensuche und defensiver Fehlerbehebung nimmt Fahrt auf. Während US-Finanzministerium und Notenbank an einem robusteren Informationsaustausch zwischen Staat und Bankensektor arbeiten, deutet die Ankunft von Modellen wie Mythos an: Das Zeitfenster für Reaktionen schließt sich.

Aufseher werden ihren Fokus voraussichtlich auf die Sicherheit von KI-Lieferketten und Drittanbietertools legen. Künftige Prüfungen werden über die reine Existenz von Sicherheitsrichtlinien hinausgehen. Stattdessen steht die praktische, reale Wirksamkeit dieser Maßnahmen gegen automatisierte KI-Bedrohungen im Mittelpunkt. Die Bewährungsprobe für Risikomanagement-Rahmenwerke wie den Digital Operational Resilience Act (DORA) steht bevor.

de | boerse | 69128945 |