BSI-Chefin Plattner warnt vor KI-gestützter Schwachstellensuche
Ein vom US-Unternehmen Anthropic entwickeltes KI-Modell namens Mythos, das verborgene Software-Schwachstellen aufspürt, könnte nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhebliche Auswirkungen auf die Cyberbedrohungslage haben. BSI-Präsidentin Claudia Plattner äußerte in einer Stellungnahme deutliche Bedenken und verwies auf mögliche Konsequenzen für die nationale Sicherheit Deutschlands.
KI-Modell Mythos findet tausende kritische Schwachstellen
Das Unternehmen Anthropic teilte mit, dass Mythos bereits tausende schwerwiegende Schwachstellen entdeckt habe, darunter in jedem weit verbreiteten Betriebssystem und Webbrowser. Mit dem rasanten Fortschritt bei Künstlicher Intelligenz sei zu erwarten, dass solche Fähigkeiten bald auch Onlineangreifern zur Verfügung stehen könnten, warnte Anthropic selbst. Das Tool ist derzeit nicht öffentlich verfügbar, sondern wird in einer Kooperation mit Konzernen wie Apple, Amazon und Microsoft sowie Organisationen wie der Linux-Stiftung und IT-Sicherheitsfirmen wie Crowdstrike und Palo Alto Networks eingesetzt.
BSI im Austausch mit Anthropic
»Wir stehen zu Claude Mythos mit dem Hersteller Anthropic im Austausch«, erklärte Plattner. Die Behörde habe das Tool zwar noch nicht testen können, aber im persönlichen Gespräch mit den Entwicklern Einblick in die Funktionsweise erhalten. Das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt. Plattner betonte: Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben.
Paradigmenwechsel in der Cyberbedrohungslage
Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben. Zudem stelle sich die Frage, ob – und wenn ja, wie lange – derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. »Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität«, so Plattner. Schwachstellen in Software, Hardware oder Netzwerken sind Einfallstore für Cyberangriffe durch Kriminelle oder Hacker im Dienste ausländischer Geheimdienste.
Historische Beispiele und aktuelle Risiken
Je länger eine Schwachstelle bekannt, aber nicht geschlossen ist, desto größer ist das Risiko für Unternehmen, staatliche Einrichtungen und private Nutzer. Ein historisches Beispiel ist die vom US-Geheimdienst NSA genutzte Sicherheitslücke, die 2017 von Hackern ausgenutzt wurde, um im großen Stil Computer mit der Erpressungs-Software WannaCry zu infizieren. Damals waren unter anderem britische Krankenhäuser und Anzeigetafeln der Deutschen Bahn betroffen. Auch deutsche Nachrichtendienste und Ermittler nutzen für bestimmte Zwecke Schwachstellen, etwa zur Aufklärung von Terrornetzwerken oder schweren Straftaten.
Das BSI warnt daher vor den potenziellen Folgen der KI-gestützten Schwachstellensuche und betont die Notwendigkeit, die Cyberabwehr in Deutschland und Europa zu stärken, um den neuen Herausforderungen gerecht zu werden.
