Kommentar
Mit der Vorstellung von „Claude Mythos“ hat das US-Unternehmen Anthropic im Frühjahr 2026 eine neue Qualität von KI-Modellen in die Diskussion gebracht. Anders als klassische Large Language Models ist Mythos gezielt auf Cybersicherheit ausgerichtet. Doch Sicherheit darf nicht auf Kosten von Vertraulichkeit und Souveränität gehen.
Zur TÜVIT-Position
Das System kann eigenständig Software analysieren, bislang unbekannte Schwachstellen („Zero Days“) identifizieren und diese teilweise sogar ausnutzen. Aktuellen Berichten zufolge hat das Modell bereits „tausende hochkritische Sicherheitslücken“ in Betriebssystemen und Browsern entdeckt – teilweise in Code, der seit Jahrzehnten im Einsatz ist. Gleichzeitig soll der Zugang stark eingeschränkt bleiben: Im Rahmen von „Project Glasswing“ erhalten nur ausgewählte Organisationen Zugriff, da das Missbrauchspotenzial als erheblich eingeschätzt wird.
Paradigmenwechsel in der Security – kommt ein „Tsunami“ an Schwachstellen?
Aus Sicht einer Prüfstelle ist klar: Die technologischen Möglichkeiten sind beeindruckend. KI-Modelle wie Mythos beschleunigen Schwachstellenanalysen drastisch – Aufgaben, für die menschliche Experten Wochen benötigen, können automatisiert in Stunden erfolgen.
Damit entsteht ein potenzieller Paradigmenwechsel:
Einige Experten sprechen bereits von einer „Zäsur für die Cybersicherheit“, da erstmals KI in der Lage ist, Sicherheitslücken systematisch und umfassend aufzudecken. Angesicht der umfassenden Integration und Möglichkeiten befürchten einzelne Experten diesmal jedoch einen Tsunami an „Zero Days“, keine einfache Welle.
Wenn Verteidigung zur Waffe wird
Doch genau hier liegt der Kern des „Mythos“-Narrativs - dieselben Fähigkeiten können auch offensiv genutzt werden. Das Modell ist laut Experten in der Lage, Schwachstellen nicht nur zu finden, sondern auch zu verketten und auszunutzen. Dies ist ein Szenario, das bisher nur hochspezialisierten Angreifern möglich war.
Der ETH-Sicherheitsforscher Florian Tramèr bringt es auf den Punkt:
„Mit Claude Mythos hat ein einzelner Hacker plötzlich viel mehr Angriffsmöglichkeiten.“
Auch Behörden wie das Bundesamt für Sicherheit in der Informationstechnik warnen vor „Umwälzungen im Umgang mit Sicherheitslücken“.
Gleichzeitig gibt es Stimmen, die den Hype relativieren. Einige Experten sehen in Mythos weniger eine unmittelbare Bedrohung als vielmehr eine konsequente Weiterentwicklung bestehender Technologien und damit auch eine Chance für bessere Verteidigungsmechanismen. Selbst eine reine Integration bestehender LLMs wäre schon ein enormer Fortschritt.
Dr.-Ing. Dietmar Rosenthal
Fachexperte für Softwaresicherheit @TÜVIT
Zwischen Hype und Realität
Aus Sicht einer unabhängigen Prüfstelle lässt sich festhalten:
Claude Mythos ist weder reine „Cyber-Apokalypse“ noch bloß Marketinginstrument, sondern ein Beschleuniger bestehender Trends.
Die entscheidende Frage ist nicht, ob solche Modelle eingesetzt werden, sondern wie und unter welchen Rahmenbedingungen. Besonders kritisch für Code-Entwickler sind dabei:
Auch Sicherheitsforscher und Prüflabore sind eine wichtige Säule der digitalen Souveränität in Europa und müssen ihre speziellen Fähigkeiten schützen, um die Sicherheit kritischer Infrastrukturen zu gewährleisten. Würde dieses Expertenwissen über den Umweg Anthropic Mythos an Angreifer in der ganzen Welt fließen, wäre das ein Problem per-se. Würde sich das Expertenwissen in Europa perspektivisch gar rückläufig entwickeln, stünden wir vor einem viel größeres Problem. Europa muss daher auch eigene Wege gehen.
Vertrauenswürdige KI in der Softwaresicherheitsprüfung
Als TÜV-Prüfstelle für Softwaresicherheit sehen wir den Einsatz von KI in der Schwachstellenanalyse grundsätzlich als sinnvollen und notwendigen Schritt. Entscheidend ist jedoch der Rahmen: Sicherheit darf nicht auf Kosten von Vertraulichkeit und Souveränität gehen.
TÜVIT setzt bereits heute KI-gestützte Source-Code-Analysen ein, jedoch unter klar definierten Bedingungen:
Gerade im Vergleich zu US-basierten Modellen zeigt sich: Technologische Leistungsfähigkeit allein reicht nicht aus. Vertrauen entsteht durch kontrollierte, auditierbare und datenschutzkonforme Implementierung. TÜVIT setzt dabei auf abgeschirmte KI-Labors, vollständig lokale KI-Pipelines, die öffentliche KI-Modelle unter voller Kontrolle ersetzen können, sowie auf gezielte Weiterentwicklung von Tests, die Expertenwissen, technologische Trends integrieren und fortschreiben.
Fazit: Claude Mythos markiert einen Wendepunkt in der Cybersicherheit. Die Zukunft gehört jedoch nicht den leistungsstärksten Modellen, sondern den sichersten und vertrauenswürdigsten Gesamtkonzepten.
Künstliche Intelligenz ermöglicht heute eine drastische Beschleunigung der Analyse von Software-Schwachstellen, sowohl auf der Angreifer-, als auch auf der Verteidigerseite. KI‑basierte Modelle können sicherheitsrelevante Fehler in großem Umfang automatisiert identifizieren.
Das sind die Folgen:
Der Einsatz leistungsfähiger, KI‑gestützter Sicherheitswerkzeuge darf nicht auf Kosten von …
erfolgen.
Insbesondere bei kritischer Infrastruktur, Industrie‑IP und sicherheitsrelevanter Software ist die Abhängigkeit von außereuropäischen Cloud‑ und Analyseplattformen wie z.B. Claude Mythos ein strategisches Risiko.
TÜVIT, als größtes Sicherheitsprüflabor in Deutschland, betreibt bereits heute …
Damit steht eine leistungsfähige, vertrauenswürdige Alternative zu ausländischen Anbietern zur Verfügung.
EU Cyber Resilience Act als strategischer Hebel
Der CRA verpflichtet Unternehmen, schwachstellenfreie Software auf den EU‑Markt zu bringen.
Insbesondere für sicherheitsrelevante Systeme und kritische Infrastrukturen (z. B. Energie, Gesundheit, Mobilität, Space, etc.) braucht es verbindliche, präventive Prüfungen sicherheitskritischer Software‑Komponenten.
