Mythen und die Kosten von Angriffen

Warum Kosten im Zeitalter günstiger Intelligenz immer noch wichtig sind

Vor zwei Wochen kündigte Anthropic das Projekt Glasswing an und gab einer kleinen Gruppe von Startpartnern, darunter Microsoft, Google und CrowdStrike, sowie etwa vierzig weiteren kritischen Infrastruktureinrichtungen frühzeitigen Zugang zu einem Modell namens Claude Mythos Preview. Anthropic sagte, Mythos sei zu gefährlich, um es öffentlich freizugeben. In den Wochen vor der Ankündigung hatte es bereits Tausende von Zero-Day-Schwachstellen in allen wichtigen Betriebssystemen und Browsern aufgedeckt, darunter einen 27 Jahre alten Fehler in OpenBSD.¹ Der Markt reagierte so, wie Märkte auf existenzielle Nachrichten reagieren: Die Aktien großer Cybersicherheitsanbieter fielen um bis zu zehn Prozent aus Angst, dass die Entdeckung von Schwachstellen im KI-Maßstab die Arbeit traditioneller Sicherheitstools zur Ware mache.² Am selben Tag rief Finanzminister Bessent und Fed-Chef Powell die CEOs der größten US-Banken zusammen, um darüber zu sprechen.³

Also: Ist Mythos das Ende der Cybersicherheitsbranche, der Anfang einer neuen oder ein gut ausgeführtes PR-Stück von Anthropic? Ich denke, es ist keine davon. Um zu verstehen, warum, hilft es, zwanzig Jahre zurückzugehen.

Die älteste Idee in der Verteidigung

Mitte der 2000er Jahre war ich im Sicherheitsteam bei General Electric, wo ich einen der damals größten Lieferanten der Verteidigungsindustrie im Land schützte. Wir sprachen ständig über eine Idee, die alles, was wir taten, prägte: die Kosten für Angriffe auf uns zu erhöhen.

Diese Idee gehörte zu einer Generation von Verteidigern, Menschen wie meinen Kollegen Richard Bejtlich und David Bianco sowie dem Mandiant-Team, dem ich später beitrat, die argumentierten, dass perfekte Prävention unmöglich sei, aber dass Verteidigung immer noch ein Spiel sei, das man gewinnen könne, wenn man das Angreifen so teuer machte, dass der Gegner aufgab und weiterzog.⁴ Biancos Pyramid of Pain⁵ formalisierte die Intuition. Einige Kompromittierungsindikatoren kosten Angreifer fast nichts, um sie zu umgehen; ein Datei-Hash zum Beispiel ändert sich mit einem einzigen Byte. Andere kosten sie viel, zwingen sie, Werkzeuge neu zu entwickeln, umzuschulen oder Infrastruktur neu aufzubauen. Je höher man sie die Pyramide hinaufschob, desto schmerzhafter und daher seltener wurde der Angriff.

Kostensteigerungen nahmen viele Formen an. Veröffentlichung hochpräziser Indikatoren, die Angreifer zwangen, ihre Werkzeugkästen auszutauschen. Offenlegung von Malware-Familien, sodass Gegner neue schreiben mussten. Infrastruktur zerstören, damit Kommando und Kontrolle neu aufgebaut werden mussten. Das beste Beispiel war der APT1-Bericht von 2013 bei Mandiant, der eine von chinesischem Staat gesponserte Gruppe so öffentlich nannte und enthüllte, dass sie im Grunde von Grund auf neu ausrüsten mussten. Jahrelang danach war APT1 ein Lehrbuchbeispiel für Verteidigung als Wirtschaft.

Das gesamte Modell – schnell erkennen, gut reagieren, den Angreifer dafür bezahlen lassen, zurückzukommen – beruhte auf einer unausgesprochenen Annahme: dass die Arbeit des Angreifers langsam und menschlich war. Die Aufklärung dauerte Wochen. Die Exploit-Entwicklung dauerte Monate. Infrastruktur kostete Geld und Fachwissen. Wenn du irgendetwas davon teurer machen konntest, hast du gewonnen.

Was Mythos tatsächlich verändert

Mythos (und ehrlich gesagt jedes fähige Modell der letzten achtzehn Monate) bewirkt das Gegenteil von Kostenerhöhung. Es senkt sie drastisch. Die Analyse der Software eines Ziels auf Schwachstellen, das Testen einer Webanwendung auf unsichere Eingaben, das Einrichten von Kommando- und Kontrollinfrastruktur, das Verfassen des Phishing-Köders: Jede Phase des Angreifer-Lebenszyklus, die früher Zeit und spezialisiertes Talent erforderte, läuft jetzt mit Modellgeschwindigkeit.

Obwohl Mythos viel Aufmerksamkeit erhält, hat die Sicherheitsfirma Aisle die präsentierten Schwachstellen von Mythos an kleinen, günstigen Open-Weight-Modellen getestet und festgestellt, dass die meisten der zugrunde liegenden Analysen reproduzierbar waren. Alle sechs getesteten Modelle erkannten den Flaggschiff-FreeBSD-Exploit in mindestens einem von drei Tests, darunter eines mit 3,6 Milliarden Parametern zu etwa fünf Cent pro Million Tokens. Ihr Argument ist, dass die KI-Cybersicherheitsfähigkeit unregelmäßig ist; sie skaliert nicht gleichmäßig mit der Modellgröße, und der eigentliche Schutzgraben ist das System und die Expertise rund um das Modell, nicht das Modell selbst.⁶Mythos ist weniger ein Wendepunkt als eine Bestätigung, dass die Wende bereits stillschweigend über eine Generation günstigerer Modelle stattgefunden hat.

Ich denke, das zeigt sich auch in den Daten. Der Mandiant M-Trends-Bericht 2026, basierend auf über 500.000 Stunden Incident-Response-Arbeit im Jahr 2025, dokumentiert, dass die globale mittlere Verweildauer von 11 auf 14 Tage gestiegen ist, der erste bedeutende Anstieg nach einem Jahrzehnt stetiger Verringerung von 146 Tagen im Jahr 2015.⁷ Noch auffälliger ist, dass die mittlere Zeit zwischen dem Kompromittieren einer Umgebung durch einen Initial Access Broker und der Übergabe an einen sekundären Bedrohungsakteur (typischerweise einen Ransomware-Betreiber) von über acht Stunden im Jahr 2022 auf 22 Sekunden im Jahr 2025 zusammengebrochen ist. Zweiundzwanzig Sekunden reichen nicht aus, damit ein SOC-Analyst die Warnung lesen kann, geschweige denn darauf zu reagieren. Exploits bleiben im sechsten Jahr in Folge der führende anfängliche Infektionsvektor und machen 32 % der Eindringlinge aus. Außerdem wurden Malware-Familien wie PROMPTFLUX und PROMPTSTEAL dokumentiert, die während der Ausführung große Sprachmodelle abfragen, um der Erkennung zu entgehen. Der QUIETVAULT-Credential-Stealer scannt sogar kompromittierte Maschinen nach lokalen KI-Tools, um sie gegen ihre Besitzer einzusetzen. Zu Mandiants Verdienst geben sie der KI nicht die Schuld für all dies. Sie sagen ausdrücklich, dass die meisten Verstöße immer noch auf menschliches und systemisches Versagen zurückzuführen sind, nicht auf KI-Fähigkeiten. Aber die Trendlinie beginnt sich zu bewegen, da die Kosten für Kompromittierungen weiter sinken.

Diese Modelle sind seit achtzehn Monaten weit verbreitet verfügbar, aber Angreifer sind menschliche Organisationen; sie passen sich an menschliche Zeitpläne an. Spielbücher müssen neu geschrieben werden, Taktiken müssen getestet werden, Betreiber müssen geschult werden. Die nächsten Jahre, nicht die letzten achtzehn Monate, werden zeigen, was passiert, wenn ein ausgereifter Gegner diese Werkzeuge vollständig verinnerlicht hat.

Verteidiger können diese Werkzeuge ebenfalls nutzen, und sie tun es. Die optimistische Sichtweise ist, dass Verteidiger tatsächlich den Vorteil haben: Sie besitzen ihre Umgebung, ihre Telemetrie, ihre Baselines und können Modelle kontinuierlich gegen einen bekannten guten Zustand laufen lassen. Das ist die Wahrheit, und deshalb denke ich nicht, dass Mythos unsere Branche beendet. Aber es unterschätzt die strukturelle Asymmetrie, die in der Cybersicherheit schon immer vorhanden war – der Angreifer braucht nur einen Weg zum Erfolg; der Verteidiger muss alle schließen. Günstige Informationen machen die Suche nach Wegen dramatisch billiger, während das Schließen dieser Wege weiterhin koordinierte Veränderungen bei Menschen, Prozessen und Technologie erfordert. Die Kostenkurve des Angreifers fällt schneller als die des Verteidigers.

Aber die tiefere Asymmetrie betrifft nicht nur, wer das schnellere Modell hat. Es geht darum, wer üben, iterieren und lernen kann – das, worin LLMs wirklich gut sind. Ein Angreifer mit günstiger, schneller Intelligenz kann tausendmal am Tag iterieren. Er kann eine Phishing-Variante ausprobieren, anpassen, es erneut versuchen, einen anderen Identitätspfad sondieren, aus einem anderen Winkel erneut versuchen und ohne menschliche Engpässe mit Maschinenkosten weitermachen. Sie haben praktisch unbegrenzte Versuche. Der Verteidiger hingegen lernt hauptsächlich aus realen Vorfällen und begrenzten Simulationen. Er kann nicht tausende realistische Angriffe mit derselben Genauigkeit gegen seine eigene Umgebung durchführen und findet die Schwachstellen oft erst, nachdem der Angreifer sie gefunden hat. Diese Lücke zwischen der Iterationsschleife des Angreifers und der Lernschleife des Verteidigers ist es, die KI am meisten vergrößert.

Der Wendepunkt

Während der meisten Zeit meiner Karriere war der Konsens in unserer Branche eine Version von: Kompromisse sind unvermeidlich, also investieren Sie in Erkennung und schnelle Reaktion. Es ist eine gute Doktrin. Sie hat Unternehmen wie CrowdStrike und Mandiant aufgebaut und Organisationen viel Geld und Reputation gespart.

Aber ich denke, dass diese Doktrin an ihre Grenzen stößt. Wenn die OODA-Schleife des Angreifers von Wochen auf Sekunden komprimiert wird, wird „erkennen und reagieren“ zu einem Rennen, das der Verteidiger nicht zuverlässig gewinnen kann. Nicht weil die Werkzeuge schlecht sind, sondern weil die Zeit abläuft, bevor ein Mensch eine Entscheidung treffen kann. Um klar zu sein: Prävention war schon immer eine große Kategorie, EDR, E-Mail-Sicherheit, WAF, MFA, Patch-Management. Die Behauptung ist nicht, dass die Branche sie ignoriert hat. Die Behauptung ist, dass die Präventionslatte sich verschieben muss, vom Blockieren bekannter schlechter Signaturen hin zur Vorhersage der Absicht des Angreifers anhand des Verhaltens, und das ist ein anderes Ingenieurproblem, das niemand in unserer Kategorie vollständig gelöst hat.

Wie sich das auf das auswirkt, was wir bauen

Bei Netwrix haben wir uns auf Prävention mit der besten Suite von Daten- und Identitätslösungen der Branche konzentriert: Identitätsverwaltung, privilegierter Zugriff, Verzeichnissicherheit und Management der Datensicherheitslage. Was sich jetzt ändert, ist, wie wir die Telemetriedaten nutzen, die diese Produkte sammeln. Wir setzen stark auf Vorhersage.

So sieht das in der Praxis aus. Unsere DSPM-Plattform klassifiziert die sensiblen Daten in der Umgebung eines Kunden: was existiert, was exponiert ist, wer Zugriff hat und welche Identitäten tatsächlich darauf zugegriffen haben. In einem traditionellen Modell zeigen wir dieses Inventar an und markieren Richtlinienverstöße nachträglich.

Das, worauf wir hinarbeiten, ist anders. Wenn eine Datei mit regulierten PII oder Zugangsdaten von einem Konto aufgerufen wird, das diese Datenklasse zuvor nie berührt hat, fällt dieser Zugriff auf. Fügen Sie eine kürzlich eskalierte Berechtigung hinzu oder eine Identität, deren Rolle keinen Grund hat, auf diese Daten zuzugreifen, und die Kombination ist es wert, unterbrochen zu werden, bevor es zur Exfiltration kommt. Jedes Signal für sich könnte erlaubt sein, aber zusammen beschreiben sie eine Absicht.

Die Art des Akteurs ist fast zweitrangig. Eine privilegierte Admin-Sitzung, ein kompromittiertes Dienstkonto und ein KI-Agent, dem mehr Zugriff gewährt wurde, als seine Besitzer beabsichtigten, können alle dasselbe Verhaltensmuster gegenüber einem sensiblen Datensatz erzeugen. Unsere Aufgabe ist es, dieses Muster zu erkennen und zu handeln, bevor etwas entweicht.

Das ist die Art von Signal, von der wir denken, dass Vorhersage in dieser Ära bedeuten muss. Es gut zu liefern bedeutet, das richtige Modell für die richtige Aufgabe zu verwenden. Allgemeine LLMs sind außergewöhnlich darin, über unordentlichen Kontext zu schlussfolgern, und wir verlassen uns stark auf sie, wo es darauf ankommt. Daneben entwickelt unser F&E-Team zweckgebundene Modelle, die auf die spezifischen Anwendungsfälle zugeschnitten sind, die wir am besten beherrschen. Klassifizieren, ob ein Zugriff auf sensible Daten zum etablierten Muster einer Identität passt, anomales Verhalten gegen eine gelernte Basislinie bewerten, in Millisekunden entscheiden, ob ein Token widerrufen wird. Dies sind Aufgaben, bei denen Latenz, Determinismus und die richtigen Trainingsdaten wichtiger sind als breites Weltwissen. Beide Arbeitsströme sind im Gange.

Zwanzig Jahre später

Mythos hat nicht verändert, was Verteidigung ist, aber es hat die Preisschilder verändert. Die Dinge, die früher für einen Angreifer teuer waren – eine Schwachstelle zu finden, den Exploit zu schreiben, den Köder zu basteln – sind jetzt billig. Die Dinge, die für einen Verteidiger früher unerschwinglich schwer waren – Absicht aus Verhalten zu lesen, bevor Schaden entsteht – werden endlich möglich. Unsere Aufgabe, die Aufgabe der ganzen Branche, ist sicherzustellen, dass die zweite Kurve mit der ersten Schritt hält.

Referenzen

1. Anthropic, „Projekt Glasswing: Sicherung kritischer Software für die KI-Ära“, April 2026.

2. Fortune, „Anthropic gewährt einigen Unternehmen frühzeitigen Zugang zu Claude Mythos, um die Cybersicherheitsabwehr zu stärken“, 7. April 2026.

3. The Hill, „Anthropics Mythos versetzt DC und die Wall Street in höchste Alarmbereitschaft“, April 2026.

4. Richard Bejtlich, „Volle Offenlegung für Angreifer-Tools“, TaoSecurity, Juni 2010. https://taosecurity.blogspot.com/2010/06/full-disclosure-for-attacker-tools.html

5. David Bianco, „Die Pyramide des Schmerzes“, Enterprise Detection & Response, März 2013.https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

6. Stanislav Fort, „KI-Cybersicherheit nach Mythos: Die zerklüftete Grenze“, AISLE, 7. April 2026. https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier

7. Mandiant, „M-Trends 2026“, April 2026.