Ende Mai 2026 brach die Europäische Zentralbank mit ihrer üblichen Zurückhaltung und warnte die Banken der Eurozone unmissverständlich vor Anthropics Claude Mythos Preview – einem KI Modell, das bereits 1.596 Schwachs... Die EZB bestellte europäische Bankchefs zu einem Notfalltreffen ein und forderte US Institute mi...

Create a landscape editorial hero image for this Studio Global article: What cybersecurity warnings did the European Central Bank issue to euro zone banks in late May 2026 regarding AI-powered threats, and what s. Article summary: Here is a comprehensive breakdown of the ECB's late-May 2026 cybersecurity warnings and the specific concerns raised about Anthropic's Claude Mythos Preview model.. Topic tags: general, news, general web, user generated, government. Reference image context from search candidates: Reference image 1: visual subject "A European Central Bank official wants bankers to test their infrastructure for artificial intelligence-related threats. “Recent developments in artificial intelligence force us to" source context "ECB Governor Sounds Warnings on AI and Stablecoins" Reference image 2: visual subject "### The Dutch member of the ECB's executive board, Frank Elderson, w
Ende Mai 2026 brach die Europäische Zentralbank (EZB) mit ihrem gewohnt abgewogenen Ton in der Bankenaufsicht und sandte eine unverblümte, dringende Botschaft an den Finanzsektor der Eurozone: Ein bestimmtes kommerzielles KI-Modell hat die Bedrohungslandschaft im Cyberraum grundlegend verändert, und die Zeit für standardmäßige Aktualisierungszyklen ist vorbei.
Bei dem Modell handelt es sich um Anthropics Claude Mythos Preview, ein System, das so versiert darin ist, Softwareschwachstellen zu finden und auszunutzen, dass die Entwickler selbst den öffentlichen Zugang beschränkt haben. Die Warnung der EZB war nicht hypothetisch. Zum Zeitpunkt der Gespräche hatte Mythos bereits 1.596 Zero-Day-Schwachstellen in 281 Open-Source-Projekten entdeckt, von denen nur 97 geschlossen waren . Anthropic selbst berichtete, dass über 99 Prozent der gefundenen Schwachstellen noch nicht behoben seien, was eine öffentliche Bekanntgabe unverantwortlich mache
.
Der Kern der Botschaft der EZB, die in einer Reihe eskalierender Gespräche mit den Geldhäusern übermittelt wurde, lautete, dass alle Banken Mythos als aktives Risiko behandeln und ihre Systeme umgehend patchen müssen – unabhängig davon, ob sie selbst Zugang zu dem Modell haben . Dieser Artikel beleuchtet die konkreten Bedenken, den angespannten geopolitischen Hintergrund und den regulatorischen Stillstand, der diese Krise prägt.
EZB-Vizepräsident Luis de Guindos brachte die neue Realität am 27. Mai auf den Punkt, als er vor Journalisten sagte, die Banken müssten „mehr in Cybersicherheit investieren, wenn sie mit neuen KI-Modellen fertig werden wollen, die Schwachstellen in Software finden können“ . Sein Stellvertreter im Aufsichtsgremium, Frank Elderson, wurde Tage zuvor noch deutlicher und beschrieb den Wandel in operativen Kategorien: „Die autonome Cyber-Fähigkeit von Frontier-Modellen schreitet rasant voran. Die Zeit, die solche Modelle für komplexe Cyber-Aufgaben benötigen, hat sich innerhalb weniger Monate halbiert“
.
Zwei spezifische Fähigkeiten lösten dabei den Alarm aus. Erstens arbeitete Mythos' Schwachstellenerkennung in einem Ausmaß und einer Geschwindigkeit, die traditionelle Sicherheitswerkzeuge und manuelle Aktualisierungsprozesse obsolet erscheinen lassen. Es hatte Tausende von Schwachstellen in hunderten Projekten schneller identifiziert, als es jedem menschlichen Team oder herkömmlichen Scanner möglich gewesen wäre . Zweitens und beunruhigender war die erwiesene doppelte Verwendbarkeit des Modells für offensive Zwecke: Es konnte die Schwachstellen nicht nur finden, sondern auch funktionierenden Schadcode (Exploits) dafür generieren – einigen Evaluierungen zufolge mit einer Erfolgsquote von über 83 Prozent beim ersten Versuch
.
Diese Kombination bedeutet, dass böswillige Akteure – seien es staatlich gesteuerte Gruppen oder hochentwickelte kriminelle Organisationen – theoretisch ähnliche KI-Tools einsetzen könnten, um die Bankeninfrastruktur zu scannen, ungepatchte Schwachstellen zu identifizieren und Angriffe zu starten, bevor die Institute reagieren können. Die EZB zog daraus den Schluss, dass der Zeitrahmen für die Verteidigung von Wochen oder Monaten auf Stunden oder Minuten schrumpfen muss .
Das vielleicht ungewöhnlichste Element der EZB-Botschaft war die präventive Entkräftung eines Arguments, von dem sie wusste, dass die Banken es vorbringen würden: „Wir haben keinen Zugang zu Mythos, wie sollen wir uns also dagegen verteidigen?“
Eldersons Antwort war unmissverständlich. „Fehlender Zugang ist keine Entschuldigung fürs Nichtstun. Im Gegenteil, es macht es umso kritischer, dass die Banken jetzt aktiv werden und handeln“, sagte er in einem Interview am 13. Mai . Bis Ende Mai hatte sich die Botschaft zu einer operativen Direktive verdichtet: Beschleunigt die Bereitstellung von Software-Updates. Die Aufsichtsbehörde betonte den „Ernst der Bedrohung für das Finanzsystem“ und drängte die Institute, ihre IT-Systeme schneller abzusichern und das Modell unabhängig vom eigenen Zugangsstatus als aktives Risiko zu betrachten
.
Das Vorgehen der EZB im Frühjahr 2026 offenbart eine Aufsichtsbehörde, die darum ringt, eine Bedrohung zu verstehen und einzudämmen, die schneller voranschreitet als ihr vorhandenes Instrumentarium.
Mitte April 2026: Die EZB berief eine Telefonkonferenz mit den Risikovorständen der Euro-Banken ein, um deren Einschätzung der Risiken durch Mythos zu erfragen . In dieser Phase war der Ton noch fragend – die Aufseher sammelten Informationen über eine neue potenzielle Gefahrenquelle.
13. Mai 2026: Der Ton schwenkte auf öffentliche Dringlichkeit um. Elderson nutzte ein Interview im EZB-Newsletter zur Bankenaufsicht, um die Banken zu drängen, sich schnellstmöglich auf KI-gestützte Cyberangriffe vorzubereiten, und nannte dabei Mythos und ähnliche Tools explizit beim Namen .
24.–26. Mai 2026: Das Engagement erreichte seinen Höhepunkt. Die EZB lud die Führungskräfte der Euro-Banken zu einer Dringlichkeitssitzung am 26. Mai ein und veranstaltete gleichzeitig eine Online-Sitzung, die „mehr als 300 Teilnehmer aus der Industrie, dem öffentlichen Sektor und Verbänden“ zusammenbrachte, um Erfahrungen auszutauschen und gemeinsame Herausforderungen zu besprechen .
Diese Abfolge zeigt den Übergang von der Informationsgewinnung zum operativen Druck. In der letzten Maiwoche fragte die EZB nicht mehr, was die Banken wussten – sie gab ihnen vor, was zu tun sei.
Im Zentrum der Krise steht Project Glasswing, das kontrollierte Verteilungsprogramm von Anthropic. Anstatt Mythos öffentlich freizugeben, gewährte das Unternehmen einem ausgewählten Konsortium von Partnern aus kritischen Infrastrukturen Zugang – darunter große US-Banken wie JPMorgan Chase und Bank of America –, die das Modell nutzen konnten, um Schwachstellen in ihren eigenen Systemen zu finden und zu beheben .
Europäische Banken waren davon weitgehend ausgeschlossen. Dies schuf eine scharfe Informationsasymmetrie: US-Institute konnten ihre Systeme mit der fortschrittlichsten Cybersecurity-KI sondieren, die je gebaut wurde, während die europäischen Geldhäuser im Dunkeln tappten – blind für dieselben Schwachstellen, die Mythos aufdecken und die potenzielle Angreifer ausnutzen könnten .
Die Reaktion der EZB bestand darin, US-Banken mit Geschäftsaktivitäten in der Eurozone zu bitten, freiwillig Bedrohungsinformationen und Erkenntnisse zur Schadensbegrenzung, die sie durch Glasswing gewonnen hatten, mit ihren europäischen Konkurrenten zu teilen . Es war eine außergewöhnliche Bitte – ein Appell an kommerzielle Wettbewerber, eine geopolitisch bedingte Zugangskluft durch freiwillige Kooperation zu überbrücken.
Die Zugangskluft blieb bestehen, weil die Verhandlungen auf höchster Ebene zwischen der EU und Anthropic Ende Mai 2026 offiziell ins Stocken geraten waren. Spaniens Wirtschaftsminister Carlos Cuerpo bestätigte vor einem Treffen der EU-Finanzminister am 22. Mai, dass es „leider nur begrenzte Fortschritte in diesem Bereich“ gegeben habe . Trotz mehrerer Gespräche zwischen Anthropic und EU-Beamten habe es laut Quellen „keine direkten Gespräche über den Zugang europäischer Einrichtungen zu Claude Mythos gegeben“, was ein Medium als Auslöser „starker Cybersicherheitsängste für den Kontinent“ bezeichnete
.
Anthropics Position war dabei kalkuliert. Das Unternehmen erklärte, dass die offensiven Cybersecurity-Fähigkeiten von Mythos eine Beschränkung der öffentlichen Verbreitung rechtfertigten, um Missbrauch zu verhindern, und deutete bereits im April 2026 Pläne an, europäischen Banken „bald“ Zugang zu gewähren. Doch bis Ende Mai war kein konkretes Abkommen zustande gekommen .
Erschwerend kam die regulatorische Realität hinzu. Artikel 92 des EU-KI-Gesetzes, der der Europäischen Kommission Zugang zu systemrelevanten KI-Modellen zur Evaluierung gewährt, war zwar bereits seit August 2025 in Kraft. Die obligatorischen Durchsetzungsbefugnisse – einschließlich der Möglichkeit, Bußgelder zu verhängen – werden jedoch erst am 2. August 2026 wirksam . Das bedeutete, dass das EU-KI-Büro um Zugang bitten, aber in genau dem Zeitraum, in dem die Bedrohung am akutesten erschien, keinen harten rechtlichen Hebel zu dessen Erzwingung besaß.
Elderson brachte das daraus resultierende Dilemma auf den Punkt, indem er andeutete, dass der fehlende Zugang der EU die Cybersicherheitslage sogar noch verschlimmere: Europäische Banken könnten genau das Werkzeug nicht nutzen, das ihre eigenen Schwachstellen aufdeckt, während ihre US-Konkurrenten ihre Abwehrkräfte aktiv stärken könnten .
Die Warnungen der EZB von Ende Mai markieren eine Zeitenwende an der Schnittstelle von KI-Fähigkeiten und Finanzstabilitätsrisiken. In der unmittelbaren Folge beeilten sich die Euro-Banken, ihre Aktualisierungszyklen zu beschleunigen, während die umfassenderen Fragen ungelöst bleiben. Wird Anthropic europäischen Zugang gewähren, bevor die EU im August neue Befugnisse erhält? Kann der freiwillige Informationsaustausch unter Banken die Kluft wirklich schließen? Und die grundlegendste Frage: Ist die Architektur der Finanzaufsicht, die für eine Ära menschengemachter Bedrohungen konzipiert wurde, einer Welt gewachsen, in der KI-Modelle Schwachstellen schneller finden und ausnutzen können, als Institute sie schließen können?
Für den Moment ist die Anweisung der EZB eindeutig: Jetzt patchen, Wissen teilen und davon ausgehen, dass die Bedrohung aktiv ist. Die Uhr tickt, wie es in Eldersons Lagebeurteilung heißt, bereits.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Ende Mai 2026 brach die Europäische Zentralbank mit ihrer üblichen Zurückhaltung und warnte die Banken der Eurozone unmissverständlich vor Anthropics Claude Mythos Preview – einem KI Modell, das bereits 1.596 Schwachs...
Ende Mai 2026 brach die Europäische Zentralbank mit ihrer üblichen Zurückhaltung und warnte die Banken der Eurozone unmissverständlich vor Anthropics Claude Mythos Preview – einem KI Modell, das bereits 1.596 Schwachs... Die EZB bestellte europäische Bankchefs zu einem Notfalltreffen ein und forderte US Institute mit Zugang zum Modell über ‚Project Glasswing‘ auf, ihr Wissen mit den außen vor gelassenen europäischen Wettbewerbern zu t...
Die Verhandlungen auf höchster Ebene über einen europäischen Zugang zu Mythos sind offiziell ins Stocken geraten.