Auch nationale Aufsichten reagieren. Die australische Bankenaufsicht APRA (Australian Prudential Regulation Authority) erklärte, dass KI‑Modelle mit Fähigkeiten wie Claude Mythos Angreifern Werkzeuge geben könnten, auf die der Bankensektor derzeit nicht ausreichend vorbereitet ist . Gleichzeitig schlug sie vor, dass Banken kontrollierten Zugang zu solchen Tools erhalten sollten, um ihre eigenen Systeme dagegen testen zu können.
In vielen Ländern zeichnen sich ähnliche regulatorische Prioritäten ab:
Das Ziel: Banken sollen in der Lage sein, auf Bedrohungen zu reagieren, die sich in maschineller Geschwindigkeit entwickeln statt im Tempo menschlicher Analysten .
Anthropic stellte Claude Mythos Preview als ein KI‑System mit starken Cybersecurity‑Fähigkeiten vor. Berichten zufolge kann das Modell verborgene Schwachstellen in großen Softwareprojekten aufspüren und potenziell ausnutzen .
Anthropic erklärte, das Modell habe „tausende schwerwiegende Sicherheitslücken“ entdeckt, darunter Probleme in wichtigen Betriebssystemen und Webbrowsern . In einem Beispiel fand die KI angeblich eine Schwachstelle im Betriebssystem OpenBSD, die über Jahrzehnte unentdeckt geblieben war
.
Der entscheidende Punkt ist Geschwindigkeit. Eine KI kann viele Schritte eines Cyberangriffs automatisieren:
Für Banken ist das besonders heikel. Viele Institute betreiben noch komplexe Legacy‑Systeme, also ältere IT‑Architekturen, die über Jahrzehnte gewachsen sind und schwer zu modernisieren sind. Genau dort könnten KI‑Tools besonders schnell verwundbare Stellen finden .
Wichtig ist allerdings: Viele Details zu Mythos stammen aus Berichten und sekundären Quellen. Einige technische Behauptungen lassen sich öffentlich nicht unabhängig überprüfen. Dennoch reichen die möglichen Auswirkungen aus, um weltweit regulatorische Aufmerksamkeit auszulösen .
Als Reaktion auf solche Risiken entwickeln KI‑Unternehmen zunehmend Tools für die Verteidigungsseite. Ein aktuelles Beispiel ist OpenAIs Daybreak, eine Initiative zur automatisierten Erkennung und Behebung von Sicherheitslücken.
Daybreak kombiniert fortschrittliche OpenAI‑Modelle mit Codex Security, einem agentenbasierten System zur Analyse von Quellcode und Sicherheitsrisiken . Die Idee dahinter: Sicherheitsprüfungen sollen direkt in den Software‑Entwicklungsprozess integriert werden – nicht erst nach einem Angriff.
Zu den Funktionen gehören unter anderem:
OpenAI hat außerdem spezielle Modellstufen für Cybersecurity‑Anwendungen vorgestellt, darunter GPT‑5.5‑Cyber, die in kontrollierten Umgebungen für Sicherheitsforschung und Penetrationstests genutzt werden sollen .
Der zentrale Vorteil: Die Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und dem Einspielen eines Patches kann drastisch verkürzt werden – ein entscheidender Faktor, wenn Angriffe ebenfalls durch KI beschleunigt werden .
Die parallele Entwicklung von Systemen wie Claude Mythos und Daybreak zeigt eine grundlegende Veränderung im Sicherheitsbereich.
Fortgeschrittene KI beschleunigt Angriff und Verteidigung zugleich:
Damit verschiebt sich die zentrale Frage der Cybersecurity: Wer automatisiert schneller – Angreifer oder Verteidiger?
Viele Regulierungsbehörden gehen inzwischen davon aus, dass Finanzinstitute KI‑basierte Verteidigungsstrategien einsetzen müssen, um mit KI‑gestützten Angriffen Schritt zu halten.
Neben der Technik rückt auch Governance stärker in den Fokus. Banken müssen zunehmend nachweisen, dass sie KI sicher einsetzen und ihre Risiken kontrollieren können.
Zu den wichtigsten Erwartungen der Aufsicht gehören derzeit:
Der Hintergrund: In Zukunft könnten Unternehmen nicht mehr nur gelegentlich mit neuen Sicherheitslücken konfrontiert werden. Stattdessen könnten ihre Systeme kontinuierlich von KI‑Tools auf Schwachstellen geprüft werden.
Die Entstehung von KI‑Modellen, die Sicherheitslücken automatisch entdecken können, zwingt Banken und Regulierer zu einem Umdenken in der Cyberstrategie. Während Systeme wie Claude Mythos zeigen, wie schnell Software‑Schwachstellen identifiziert werden können, sollen Initiativen wie OpenAIs Daybreak Verteidigern ähnliche Automatisierungsmöglichkeiten geben.
Ob am Ende Angreifer oder Verteidiger die Oberhand behalten, hängt vor allem davon ab, wie schnell Organisationen KI‑basierte Sicherheitslösungen einsetzen – und wie effektiv Regulierer den verantwortungsvollen Umgang mit diesen Technologien durchsetzen.