Digitale Schwachstellensuche im Fokus
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet die Entwicklung mit großer Sorge. Obwohl die deutsche Behörde das Modell bisher nicht selbst testen konnte, lieferten Gespräche mit den US-Entwicklern tiefe Einblicke in dessen Potenzial. Die Bilanz von Anthropic ist bereits jetzt beeindruckend wie beunruhigend: Tausende schwerwiegende Sicherheitslücken wurden identifiziert.
Die technologische Beschleunigung durch Künstliche Intelligenz droht das Gleichgewicht zwischen Verteidigung und Angriff zu verschieben. Da „Claude Mythos“ Schwachstellen in nahezu allen gängigen Systemen findet, ist es laut Experten nur eine Frage der Zeit, bis ähnliche Werkzeuge für großflächige Cyberattacken missbraucht werden. Aktuell wird die Software unter Verschluss gehalten, um die globale Sicherheit nicht unmittelbar zu gefährden.
Mythos nicht öffentlich verfügbar
In einer Kooperation sollten deshalb Konzerne wie Apple, Amazon und Microsoft Zugang zu Mythos bekommen, um Sicherheitslücken in ihrer Software zu finden, teilte das Unternehmen mit. Anthropic plane nicht, Mythos allgemein zugänglich zu machen. Unter den weiteren Kooperationspartnern sind die Linux-Stiftung, die IT-Sicherheitsfirmen Crowdstrike und Palo Alto Networks sowie der Netzwerk-Spezialist Cisco.
Eine Frage der nationalen Sicherheit
Das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“, sagte Plattner. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Zudem stelle sich die Frage, ob und wenn ja, wie lange, derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität.“
Das BSI untersteht dem Bundesinnenministerium und dem neuen Digitalministerium. Das in Bonn angesiedelte Bundesamt ist die zentrale nationale Behörde für IT- und Cybersicherheit.
Einfallstor für Hacker
Schwachstellen in Software, Hardware oder Netzwerken sind Einfallstore für Cyberangriffe durch Kriminelle oder Hacker im Dienste ausländischer Geheimdienste. Je länger eine Schwachstelle bekannt, aber nicht geschlossen ist, desto größer ist das Risiko für Unternehmen, staatliche Einrichtungen und private Nutzer, Opfer von Datendiebstahl zu werden oder von Erpressung nach dem Aufspielen von Schadsoftware. Auch deutsche Nachrichtendienste und Ermittler nutzen für bestimmte Zwecke Schwachstellen, etwa um Terrornetzwerke oder schwere Straftaten aufzuklären beziehungsweise zur Gefahrenabwehr. Relevant sind hier vor allem sogenannte Zero-Day-Schwachstellen, die den Herstellern noch nicht bekannt sind.
Eine vom US-Geheimdienst NSA genutzte Sicherheitslücke war 2017 von Hackern ausgenutzt worden, um im großen Stil Computer mit der Erpressungs-Software WannaCry zu infizieren. Solche Programme verschlüsseln die Festplatte und verlangen Geld für die Freigabe. Damals waren unter anderem britische Krankenhäuser und Anzeigetafeln der Deutschen Bahn betroffen. Die NSA geriet in die Kritik, weil sie die Sicherheitslücke nicht schließen ließ.
Auf das potenziell gefährliche neue Werkzeug angesprochen, sagte ein Sprecher des Digitalministeriums: „Das Beispiel zeigt, welche große Dynamik bei der Entwicklung von KI-Tools vorherrscht.“ Auch das Digitalministerium beobachte dies sehr genau.
Grünen-Innenpolitiker kritisiert Rolle des Bundesinnenministeriums
Der stellvertretende Vorsitzende des für die Kontrolle der Geheimdienste verantwortlichen Parlamentarischen Kontrollgremiums, Konstantin von Notz, lobte Plattner dafür, dass sie „deutlich auf diese Bedrohungslagen hinweist“. Der Grünen-Politiker sieht die Bundesregierung insgesamt jedoch eher als Teil des Problems und nicht als Teil der Lösung. Er sagt: „Es gab und gibt Kräfte innerhalb der Bundesregierung, vor allem im Bundesinnenministerium, die alles daran setzen, dass der staatliche Umgang mit Sicherheitslücken gänzlich unreguliert bleibt.“
Über die Jahre sei so die Einführung eines Schwachstellenmanagements regelrecht hintertrieben worden, kritisiert von Notz. Der stellvertretende Fraktionsvorsitzende fügte hinzu: „Solange sie hier selbst keine Verantwortung übernimmt und sich gleichzeitig mit Steuergeld am weltweiten Handel mit Sicherheitslücken beteiligt, ist die Bundesregierung, man muss es leider so sagen, eher Teil des Problems und nicht der Lösung.“
