Cybersicherheit: KI-Modell deckt 10.000 Schwachstellen in 30 Tagen auf

Der erste großflächige Einsatz künstlicher Intelligenz in der Cybersicherheit hat eine beispiellose Flut von Sicherheitslücken offengelegt. In nur 30 Tagen identifizierte Anthropics KI-Modell „Mythos" mehr als 10.000 kritische Schwachstellen in großen Unternehmens- und Open-Source-Umgebungen. Die Ergebnisse zwingen Regierungen und Konzerne weltweit zu drastischen Reaktionen.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book: Cyber-Security-Trends entdecken

Rekordfund in Open-Source-Projekten

Die spektakulären Ergebnisse stammen aus dem Projekt Glasswing, einer im April 2026 gestarteten Kooperation zwischen Anthropic und rund 50 Partnerorganisationen – darunter Apple, Microsoft und Google. Das Mythos-Modell durchforstete mehr als 1.000 Open-Source-Repositories.

Das Ergebnis: Insgesamt 23.019 potenzielle Sicherheitsprobleme wurden aufgespürt. Davon stuften die Analysten 6.202 als hoch oder kritisch ein. Die Trefferquote lag bei über 90 Prozent. Besonders spektakulär: ein 27 Jahre alter Fehler in OpenBSD, der seit 1998 unentdeckt geblieben war, sowie ein 16 Jahre alter Bug im Multimedia-Framework FFmpeg.

Eine als CVE-2026-5194 registrierte Schwachstelle fand sich in wolfSSL – einer Sicherheitsbibliothek, die in rund zwei Milliarden IoT-Geräten steckt. Trotz der hohen Entdeckungsrate: Bislang wurden weniger als ein Prozent aller identifizierten Schwachstellen behoben.

Unternehmen am Limit: Der Patch-Engpass

Die Folgen sind dramatisch. Cloudflare meldete 2.000 entdeckte Bugs, davon 400 hoch- oder kritisch. Mozilla berichtete von 271 Zero-Day-Schwachstellen allein im Firefox-Browser – das ist eine 20-fache Steigerung gegenüber dem monatlichen Durchschnitt von 2025.

Doch die Kehrseite der Medaille: Die Kapazität zur Überprüfung und Behebung wird zum Flaschenhals. Im Schnitt dauert es zwei Wochen, einen kritischen Bug zu patchen. Einige Open-Source-Maintainer bitten bereits um ein langsameres Tempo bei der Offenlegung.

Internationale Krisenreaktion

Die Dimension der Funde hat politische Wellen geschlagen. Die Bank von Italien leitete unter Fabio Panetta Notfallgespräche ein. Die EU-Kommission entsandte Beamte nach San Francisco, um breiteren Zugang zur Mythos-Technologie zu verhandeln. IBM startete „Project Lightwell" – ein 5-Milliarden-Euro-Programm mit 20.000 Ingenieuren.

Währenddessen sorgt der ungleiche Zugang für Spannungen. Die Bank von England zeigt sich besorgt, dass britische Finanzinstitute sechs Wochen nach Bekanntwerden der Fähigkeiten keinen Zugang zu Mythos haben. Japanische Institute sollen ab Juni 2026 Zugang erhalten.

Die dunkle Seite: KI-gestützte Cyberkriminalität

Doch die Entwicklung ist zweischneidig. Mitte Mai 2026 meldete die Google Threat Intelligence Group den ersten bestätigten Fall von Cyberkriminellen, die KI zur Entdeckung von Zero-Day-Lücken nutzen. Die Zahl neuer CVE-Identifikatoren erreichte 184 pro Tag – mehr als das Doppelte des Durchschnitts von 86 zwischen 2020 und 2025.

Auch KI-gestützter Betrug verursacht massive Schäden. Das FBI verzeichnete für 2025 Verluste von über 893 Millionen Euro allein in den USA. Aktuelle Fälle aus Deutschland:

• 28. Mai: Betrug im sechsstelligen Bereich in München, ein 82-Jähriger in Brunsbüttel verlor 18.000 Euro
• 29. Mai: Phishing-Wellen gegen Signal-Nutzer und Kunden von Aldi, Rewe und Edeka
• Ende Mai: Polizei-Razzia in Goa, Indien – 26 Festnahmen, 145 Laptops beschlagnahmt

Angesichts der Zunahme von KI-gestützten Angriffen und Phishing-Wellen ist proaktiver Schutz für Firmen essenziell. Dieser Leitfaden zeigt in 4 Schritten, wie Sie Ihr Unternehmen gegen moderne Hacker-Methoden absichern. Kostenloses Anti-Phishing-Paket herunterladen

Regulierung und Ausblick

Die Bedrohungslage zwingt Regierungen zum Handeln. Das britische NCSC und GCHQ entwickeln KI-basierte Abwehrmechanismen. Die EU setzt eine Frist für neue Schutzmaßnahmen wie Sandboxing bis Herbst 2026.

Das Weiße Haus hat den Zugang zu Mythos auf rund 50 Organisationen beschränkt – eine geplante Ausweitung auf 120 Einheiten wurde gestoppt. Grund sind Warnungen des israelischen National Cyber Directorate vor einem möglichen „Vulnerability Storm". Anthropic schätzt, dass es sechs bis zwölf Monate dauern wird, bis Angreifer vergleichbare Fähigkeiten entwickeln.

In der Wirtschaft zeigt sich ein paradoxes Bild: Laut einer Deloitte-Umfrage haben sich Ransomware-Angriffe auf österreichische Unternehmen seit 2024 verdoppelt. Dennoch halten rund 60 Prozent der befragten Organisationen ihre Sicherheitsbudgets konstant – und das, obwohl die NIS-II-Richtlinie am 1. Oktober 2026 in Kraft tritt.

de | wirtschaft | 69459867 |