Ein vom US-Unternehmen Anthropic entwickeltes KI-Modell zum Auffinden verborgener Software-Schwachstellen könnte nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhebliche Auswirkungen auf die Cyberbedrohungslage haben. „Wir stehen zu Claude Mythos mit dem Hersteller Anthropic im Austausch“, teilte die BSI-Präsidentin, Claudia Plattner, auf Anfrage mit. Ihre Behörde habe das neue Tool zwar bisher nicht testen können. Im persönlichen Gespräch mit den Entwicklern habe man jedoch Einblick in die Funktionsweise gewinnen können.
Das US-Unternehmen hatte diese Woche mitgeteilt, insgesamt habe man mit Mythos bereits „tausende“ schwerwiegende Schwachstellen gefunden – darunter in jedem viel genutzten Betriebssystem und Webbrowser. Mit dem schnellen Fortschritt bei Künstlicher Intelligenz sei davon auszugehen, dass solche Fähigkeiten recht bald auch Online-Angreifern zur Verfügung stehen könnten, warnte Anthropic.
Mythos nicht öffentlich verfügbar
In einer Kooperation sollten deshalb Konzerne wie Apple, Amazon und Microsoft Zugang zu Mythos bekommen, um Sicherheitslücken in ihrer Software zu finden, teilte das Unternehmen mit. Anthropic plane nicht, Mythos allgemein zugänglich zu machen. Unter den weiteren Kooperationspartnern sind die Linux-Stiftung, die IT-Sicherheitsfirmen Crowdstrike und Palo Alto Networks sowie der Netzwerk-Spezialist Cisco.
Eine Frage der nationalen Sicherheit
Das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“, sagte Plattner. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Zudem stelle sich die Frage, ob und wenn ja, wie lange, derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität.“
Einfallstor für Hacker
Schwachstellen in Software, Hardware oder Netzwerken sind Einfallstore für Cyberangriffe durch Kriminelle oder Hacker im Dienste ausländischer Geheimdienste. Je länger eine Schwachstelle bekannt, aber nicht geschlossen ist, desto größer ist das Risiko für Unternehmen, staatliche Einrichtungen und private Nutzer, Opfer von Datendiebstahl zu werden oder von Erpressung nach dem Aufspielen von Schadsoftware. Auch deutsche Nachrichtendienste und Ermittler nutzen für bestimmte Zwecke Schwachstellen, etwa um Terrornetzwerke oder schwere Straftaten aufzuklären beziehungsweise zur Gefahrenabwehr. Relevant sind hier vor allem sogenannte Zero-Day-Schwachstellen, die den Herstellern noch nicht bekannt sind.
Eine vom US-Geheimdienst NSA genutzte Sicherheitslücke war 2017 von Hackern ausgenutzt worden, um im großen Stil Computer mit der Erpressungs-Software WannaCry zu infizieren. Solche Programme verschlüsseln die Festplatte und verlangen Geld für die Freigabe. Damals waren unter anderem britische Krankenhäuser und Anzeigetafeln der Deutschen Bahn betroffen. Die NSA geriet in die Kritik, weil sie die Sicherheitslücke nicht schließen ließ.