Das vor rund zwei Wochen vorgestellte KI-Werkzeug des US-Unternehmens Anthropic zum Aufspüren von Software-Schwachstellen bereitet Verantwortlichen in mehreren deutschen Behörden erhebliche Sorgen. Zu der Befürchtung, dass das mächtige KI-Modell in die falschen Hände geraten könnte, gesellt sich nun auch die Sorge, dass Schwachstellen als Zugang zur Aufklärung verschlüsselter Kommunikation – etwa von Terroristen – künftig möglicherweise nur noch ausgewählten US-Behörden zur Verfügung stehen. Offiziell äußern sich die Verantwortlichen zurückhaltend zu den mit Claude Mythos Preview verbundenen Herausforderungen und Risiken.
Schwachstellen schließen ist zunächst positiv
„Es ist zunächst eine gute Entwicklung, wenn Schwachstellen schneller gefunden und geschlossen werden können“, teilt Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), auf Anfrage mit. Die Erfahrung zeige jedoch, dass sich kriminelle Vorgehensweisen und Angriffsvektoren sehr schnell an den Stand der Technik anpassten. Diese Dynamik lasse sich nicht einseitig aufhalten. Meywirth betont: „Cybersicherheit bleibt deshalb auch in Zukunft eine Gemeinschaftsaufgabe im steten Zusammenspiel von Software-Herstellern, Anwendern, privaten Sicherheitsdienstleistern und Behörden.“ Als Zentralstelle der deutschen Polizei fördere das BKA dabei die nationale und internationale Zusammenarbeit, auch mit dem privaten Sektor.
KI-Modell nicht öffentlich zugänglich
Mythos gelang es laut Anthropic, zum Teil über Jahrzehnte unentdeckt gebliebene Sicherheitslücken in verschiedener Software zu finden. In den falschen Händen könnte das KI-Modell zur Entwicklung gefährlicher Cyberwaffen führen. Anthropic hat keine Pläne, Mythos zu veröffentlichen, und gewährt bisher nur ausgewählten Unternehmen und Organisationen Zugang, damit sie Schwachstellen in ihrer Software schließen können.
Heikles Thema: Finanzministerium hält sich bedeckt
Wie sensibel das Thema ist, zeigt eine Antwort des Bundesfinanzministeriums auf die Frage, wie das Ministerium mit der Entwicklung des neuen potenziell gefährlichen KI-Modells umgehe. Das Informationstechnikzentrum Bund, der zentrale IT-Dienstleister der Bundesverwaltung, analysiere aktiv die Lage mit Blick auf Softwareschwachstellen. Zugleich bat das Finanzministerium um Verständnis, dass „zu den Details vorgenommener Schwachstellenanalysen“ und damit zusammenhängender Prozesse „aus Gründen der Sensibilität des Themas öffentlich keine weitergehenden Auskünfte gegeben werden können“.
BSI warnte früh vor Umwälzungen
Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte bereits kurz nach der Vorstellung von Claude Mythos Preview erklärt, das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Zudem stelle sich die Frage, ob und wenn ja wie lange derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. „Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität.“
