Claude Mythos: KI-Sicherheitslücke bedroht europäische Unternehmen

Die rasante Entwicklung generativer KI stellt Europas Firmen vor eine doppelte Herausforderung: Immer mächtigere Angriffs-KIs treiben die Automatisierung von Hackerangriffen voran, während die ersten Strafen des EU AI Acts drohen.

Angriff aus der Maschine: Wenn KI selbst hackt

Die Zeiten, in denen Hacker manuell nach Sicherheitslücken suchten, könnten bald vorbei sein. Aktuelle Tests zeigen, dass große Sprachmodelle (LLMs) inzwischen in der Lage sind, Schwachstellen automatisiert zu finden und auszunutzen. Besonders beeindruckend: Anthropics Claude Mythos identifizierte in standardisierten Testumgebungen 160 Sicherheitslücken – und ließ damit selbst das leistungsstarke GPT-5.5 (120 Lücken) sowie diverse Open-Source-Modelle weit hinter sich.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book zu Cyber Security Trends jetzt herunterladen

Noch alarmierender: Spezialisierte Werkzeuge wie OpenClaw spürten in nur drei Stunden 23 Schwachstellen auf. Sicherheitsexperten des MPI Bochum warnen: Zwar führen aktuell noch proprietäre Modelle, doch Open-Source-Alternativen werden diese Lücke innerhalb der nächsten sechs bis zwölf Monate schließen. Die Folge: Hochwertige Angriffswerkzeuge werden für jedermann verfügbar – ein massives Risiko für kleinere Unternehmen ohne vergleichbare KI-gestützte Abwehr.

EU AI Act: Countdown läuft – 78 Prozent der Firmen unvorbereitet

Während die Angriffswelle anrollt, tickt die regulatorische Uhr. Seit Februar 2025 müssen Unternehmen ihre Mitarbeiter in KI-Kompetenz schulen. Der nächste Meilenstein folgt am 2. August 2026: Dann beginnt die Bundesnetzagentur (BNetzA) mit der aktiven Überwachung von KI-Systemen. Chatbots, KI-generierte Inhalte und Deepfakes müssen dann gekennzeichnet werden.

Doch die Vorbereitung der Unternehmen ist katastrophal:

• 78 Prozent der europäischen Firmen haben keine formale KI-Governance
• 83 Prozent führen kein zentrales Register ihrer KI-Anwendungen
• 74 Prozent haben keine klaren Compliance-Verantwortlichkeiten zugewiesen

Die Strafen sind happig: Bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes drohen bei Verstößen. Ein kleiner Lichtblick: Ein Digital-Omnibus-Beschluss Anfang Mai verschob einige Fristen für Hochrisiko-KI auf Dezember 2027 und für regulierte Produkt-KI auf August 2028. Die Kernanforderungen – Transparenz und Wasserzeichen für neue generative Systeme – bleiben jedoch für Sommer 2026 bestehen.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Dieser Umsetzungsleitfaden zum EU AI Act liefert Ihnen den nötigen Überblick über alle relevanten Übergangsfristen. Kostenloses E-Book zur EU-KI-Verordnung sichern

Der neue CISO: Vom Techniker zum Strategen

Die doppelte Bedrohung verändert auch die Rolle des Chief Information Security Officer (CISO) . Eine aktuelle KPMG-Analyse zeigt: Der CISO wandelt sich vom rein operativen Sicherheitschef zum strategischen Entscheider. KI hilft dabei, Bedrohungen zu priorisieren und ein Lagebild zu erstellen – die finale Entscheidung bleibt aber beim Menschen.

Unternehmenslenker betrachten Cybersicherheit zunehmend als zentrales Geschäftsrisiko. Der Fokus muss laut Experten auf einer end-to-end-Digitalisierung liegen, die souveräne Cloud-Lösungen und Managed-Security-Dienste integriert. Das ist dringend nötig: Phishing bleibt für über 90 Prozent aller Datenlecks verantwortlich. Erst im Mai trafen neue, hochentwickelte Angriffswellen – sogenannte „Adversary-in-the-Middle“-Attacken – die Finanzabteilungen großer Konzerne sowie Kunden von Amazon und Apple. Diese Methode kann selbst die Multi-Faktor-Authentifizierung umgehen.

KI gegen KI: Automatisierte Compliance als Rettungsanker?

Um die Dokumentationspflichten des EU AI Acts zu erfüllen, setzen viele Unternehmen auf die gleiche Technologie, die das Problem verursacht. KI-gesteuerte GRC-Plattformen (Governance, Risk & Compliance) automatisieren die Erstellung von Datenschutz-Folgenabschätzungen und technischen Dokumentationen. Firmen, die diese „agentischen KI-Assistenten“ nutzen, berichten von Zeitersparnissen zwischen 60 und 75 Prozent.

Die Tools erlauben ein Cross-Framework-Mapping – sie verknüpfen Anforderungen des EU AI Acts mit bestehenden Standards wie ISO 27001 oder der DSGVO. Doch Vorsicht: Sie ersetzen keine menschliche juristische Prüfung, sondern dienen als kontinuierliche Management-Ebene, die KI-Register aktuell hält und Dokumentationen auditfähig macht.

Ausblick: Die entscheidenden 18 Monate

Die nächsten 18 Monate werden für Europas Unternehmen zur Bewährungsprobe. Bis August 2026 müssen Systeme stehen, die KI-generierte Texte und Bilder kennzeichnen und Nutzer informieren, wenn sie mit einem künstlichen Agenten interagieren.

Während offensive KI-Modelle wie Mythos das Tempo und Volumen potenzieller Angriffe weiter erhöhen, verlagert sich der Fokus der Unternehmenssicherheit hin zur präventiven Cyber-Lageaufklärung: der proaktiven Analyse geleakter Zugangsdaten und der kontinuierlichen Härtung der technischen Infrastruktur. Für den europäischen Mittelstand wird es zur entscheidenden Aufgabe, die schnelle KI-Adoption für mehr Produktivität mit der gesetzlich vorgeschriebenen „KI-Kompetenz“ in Einklang zu bringen – damit Mitarbeiter die Risiken von Modellmanipulation und Prompt-Injection erkennen und abwehren können.

de | wirtschaft | 69376138 |