KI‑Cybersecurity-Wettrüsten: Banken zwischen Claude Mythos und OpenAIs Daybreak

Auch nationale Aufsichten reagieren. Die australische Bankenaufsicht APRA (Australian Prudential Regulation Authority) erklärte, dass KI‑Modelle mit Fähigkeiten wie Claude Mythos Angreifern Werkzeuge geben könnten, auf die der Bankensektor derzeit nicht ausreichend vorbereitet ist ^[3]. Gleichzeitig schlug sie vor, dass Banken kontrollierten Zugang zu solchen Tools erhalten sollten, um ihre eigenen Systeme dagegen testen zu können.

In vielen Ländern zeichnen sich ähnliche regulatorische Prioritäten ab:

• KI‑gestützte Penetrationstests und Red‑Team‑Übungen
• schnellere Erkennung und Behebung von Sicherheitslücken
• strengere Kontrolle von Software‑Lieferketten und externen Dienstleistern
• detailliertere Meldepflichten und Governance für Cybervorfälle

Das Ziel: Banken sollen in der Lage sein, auf Bedrohungen zu reagieren, die sich in maschineller Geschwindigkeit entwickeln statt im Tempo menschlicher Analysten ^[1][3][5].

Warum Claude Mythos als besonders riskant gilt

Anthropic stellte Claude Mythos Preview als ein KI‑System mit starken Cybersecurity‑Fähigkeiten vor. Berichten zufolge kann das Modell verborgene Schwachstellen in großen Softwareprojekten aufspüren und potenziell ausnutzen ^[1][7].

Anthropic erklärte, das Modell habe „tausende schwerwiegende Sicherheitslücken“ entdeckt, darunter Probleme in wichtigen Betriebssystemen und Webbrowsern ^[1]. In einem Beispiel fand die KI angeblich eine Schwachstelle im Betriebssystem OpenBSD, die über Jahrzehnte unentdeckt geblieben war ^[7].

Der entscheidende Punkt ist Geschwindigkeit. Eine KI kann viele Schritte eines Cyberangriffs automatisieren:

• Analyse riesiger Codebasen
• Auffinden versteckter Schwachstellen
• Generieren von Exploit‑Code
• Kombination mehrerer Sicherheitslücken zu Angriffsketten

Für Banken ist das besonders heikel. Viele Institute betreiben noch komplexe Legacy‑Systeme, also ältere IT‑Architekturen, die über Jahrzehnte gewachsen sind und schwer zu modernisieren sind. Genau dort könnten KI‑Tools besonders schnell verwundbare Stellen finden ^[1].

Wichtig ist allerdings: Viele Details zu Mythos stammen aus Berichten und sekundären Quellen. Einige technische Behauptungen lassen sich öffentlich nicht unabhängig überprüfen. Dennoch reichen die möglichen Auswirkungen aus, um weltweit regulatorische Aufmerksamkeit auszulösen ^[1][3][5].

Die Gegenstrategie: OpenAIs Cyberinitiative Daybreak

Als Reaktion auf solche Risiken entwickeln KI‑Unternehmen zunehmend Tools für die Verteidigungsseite. Ein aktuelles Beispiel ist OpenAIs Daybreak, eine Initiative zur automatisierten Erkennung und Behebung von Sicherheitslücken.

Daybreak kombiniert fortschrittliche OpenAI‑Modelle mit Codex Security, einem agentenbasierten System zur Analyse von Quellcode und Sicherheitsrisiken ^[24][27]. Die Idee dahinter: Sicherheitsprüfungen sollen direkt in den Software‑Entwicklungsprozess integriert werden – nicht erst nach einem Angriff.

Zu den Funktionen gehören unter anderem:

• automatisierte Suche nach Schwachstellen in Code
• Bedrohungsmodellierung und Risikoanalyse
• Generierung und Prüfung von Sicherheitspatches
• Analyse von Abhängigkeiten und Software‑Lieferketten

OpenAI hat außerdem spezielle Modellstufen für Cybersecurity‑Anwendungen vorgestellt, darunter GPT‑5.5‑Cyber, die in kontrollierten Umgebungen für Sicherheitsforschung und Penetrationstests genutzt werden sollen ^[20][26].

Der zentrale Vorteil: Die Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und dem Einspielen eines Patches kann drastisch verkürzt werden – ein entscheidender Faktor, wenn Angriffe ebenfalls durch KI beschleunigt werden ^[27].

Ein neues Wettrüsten in der Cybersicherheit

Die parallele Entwicklung von Systemen wie Claude Mythos und Daybreak zeigt eine grundlegende Veränderung im Sicherheitsbereich.

Fortgeschrittene KI beschleunigt Angriff und Verteidigung zugleich:

• Offensiv orientierte Modelle könnten Schwachstellen in bisher unerreichter Geschwindigkeit entdecken.
• Verteidigungs‑KI kann Code analysieren, Angriffe simulieren und Patches automatisch erstellen.

Damit verschiebt sich die zentrale Frage der Cybersecurity: Wer automatisiert schneller – Angreifer oder Verteidiger?

Viele Regulierungsbehörden gehen inzwischen davon aus, dass Finanzinstitute KI‑basierte Verteidigungsstrategien einsetzen müssen, um mit KI‑gestützten Angriffen Schritt zu halten.

Worauf Banken und Unternehmen sich vorbereiten müssen

Neben der Technik rückt auch Governance stärker in den Fokus. Banken müssen zunehmend nachweisen, dass sie KI sicher einsetzen und ihre Risiken kontrollieren können.

Zu den wichtigsten Erwartungen der Aufsicht gehören derzeit:

• klare Governance und Auditierbarkeit von KI‑Systemen
• kontrollierter Zugang zu leistungsfähigen Cyber‑Modellen
• sichere Softwareentwicklung von Anfang an
• Resilienztests gegen fortgeschrittene KI‑Angriffe
• engere Zusammenarbeit zwischen Banken, Aufsichtsbehörden und Cybersecurity‑Firmen

Der Hintergrund: In Zukunft könnten Unternehmen nicht mehr nur gelegentlich mit neuen Sicherheitslücken konfrontiert werden. Stattdessen könnten ihre Systeme kontinuierlich von KI‑Tools auf Schwachstellen geprüft werden.

Fazit

Die Entstehung von KI‑Modellen, die Sicherheitslücken automatisch entdecken können, zwingt Banken und Regulierer zu einem Umdenken in der Cyberstrategie. Während Systeme wie Claude Mythos zeigen, wie schnell Software‑Schwachstellen identifiziert werden können, sollen Initiativen wie OpenAIs Daybreak Verteidigern ähnliche Automatisierungsmöglichkeiten geben.

Ob am Ende Angreifer oder Verteidiger die Oberhand behalten, hängt vor allem davon ab, wie schnell Organisationen KI‑basierte Sicherheitslösungen einsetzen – und wie effektiv Regulierer den verantwortungsvollen Umgang mit diesen Technologien durchsetzen.