Was passiert ist – ein Lagebericht
Anfang April 2026 veröffentlichte Anthropic – ein amerikanisches KI-Unternehmen und Entwickler des Chatbots Claude – kein neues Produkt. Stattdessen erklärte es, warum es sein mächtigstes Modell bewusst zurückhält. Dieses Modell heißt Claude Mythos Preview. Es ist ein sogenanntes Frontier-Modell, also ein KI-System an der absoluten Leistungsgrenze dessen, was technisch machbar ist. In wenigen Wochen hatte Mythos tausende sogenannte Zero-Day-Schwachstellen aufgedeckt – Sicherheitslücken in Software, die bisher niemandem bekannt waren: nicht den Herstellern, nicht den Behörden, niemandem. Betroffen: jedes große Betriebssystem, jeder große Webbrowser. Manche dieser Lücken schlummerten seit Jahrzehnten.
Ein Beispiel: Eine Schwachstelle im Betriebssystem OpenBSD überlebte 27 Jahre lang Millionen automatisierter Sicherheitstests. Unentdeckt. Mythos findet solche Lücken nicht bloß – es entwickelt eigenständig sogenannte Exploits, also funktionierende Angriffsanleitungen. Es verkettet mehrere Schwachstellen zu komplexen Angriffspfaden und tut das vollständig autonom. Kein Mensch greift ein. Kein Mensch muss eingreifen.
Anthropics Antwort darauf heißt Project Glasswing: eine Initiative, die die größten Technologiekonzerne der Welt an einen Tisch bringt – darunter AWS (die Cloud-Sparte von Amazon), Apple, Google, Microsoft, Cisco und NVIDIA –, um die weltweit kritischste Software zu sichern. Rund 40 weitere Organisationen erhalten kontrollierten Zugang zum Modell. Anthropic stellt dafür bis zu 100 Millionen US-Dollar an Nutzungsguthaben bereit.
Klingt nach Verantwortung. Und das ist es teilweise auch. Aber eine Frage bleibt in der öffentlichen Debatte erstaunlich leise: Was bedeutet das eigentlich für Anwender außerhalb der USA, für uns in Europa?
Die Machtfrage hinter Glasswing
Für europäische Unternehmen und Behörden bedeutet Glasswing ganz konkret: keinen Zugang zu Mythos. Weder für nationale CERTs – das sind die staatlichen IT-Notfallteams, die bei Cyberangriffen als Erste reagieren – noch für Betreiber kritischer Infrastrukturen wie Energieversorger oder Krankenhäuser. Europäische Stellen erhalten Informationen über Schwachstellen, die Mythos längst entdeckt hat, mit Verzögerung. Die Abhängigkeit von US-Technologien wächst. US-Unternehmen können ihre Produkte schneller gegen Angriffe härten. Und die Spielregeln dafür, wann eine gefundene Schwachstelle öffentlich gemacht wird – der sogenannte Disclosure-Prozess –, liegen außerhalb Europas.
Das ist kein abstraktes Souveränitätsgefühl. Das ist ein handfestes Informationsgefälle. Apple, Microsoft und Google wissen bereits, wo die Lücken in ihrer eigenen Software stecken. Europäische Behörden, mittelständische Unternehmen, öffentliche Verwaltungen? Die warten.
„Fragen nationaler und europäischer Sicherheit und Souveränität.“
— Claudia Plattner, Präsidentin des BSI (Bundesamt für Sicherheit in der Informationstechnik)
Solche Worte vom BSI kommen nicht leichtfertig. Die Behörde ist bekannt für Nüchternheit. Wenn deren Präsidentin öffentlich mahnt, steckt Substanz dahinter.
Die Bank of England plant eine hochrangige Diskussion über Mythos mit Vertretern des britischen Finanzministeriums und der nationalen Cybersicherheitsbehörde. In Washington berief das US-Finanzministerium eine Notfallsitzung mit den größten Bankvorständen des Landes ein. Die Welt dreht sich gerade spürbar schneller.
Das Souveränitätsproblem ist strukturell
Man kann Anthropic nicht vorwerfen, unverantwortlich gehandelt zu haben. Im Gegenteil. Das Unternehmen hat sich entschieden, diese Macht nicht zu behalten, sondern sie für die Verteidigung einzusetzen – bevor ähnliche Fähigkeiten sich unkontrolliert verbreiten. Mutig. Und richtig.
Aber das ändert nichts am strukturellen Befund: Ein privates US-Unternehmen entscheidet, wer vertrauenswürdig genug ist, um Zugang zu einem Werkzeug zu bekommen, das praktisch jede Software der Welt durchleuchten kann. Ohne demokratische Kontrolle. Ohne europäischen Rechtsrahmen. Ohne öffentliche Rechenschaftspflicht. Freiwillige Absprachen zwischen einem amerikanischen KI-Unternehmen und 40 ausgewählten Tech-Konzernen – das reicht nicht als Sicherheitsmodell für gesellschaftlich kritische Infrastruktur. Europa braucht eigene Standards. Und eine eigene Stimme.
Was konkret fehlt, lässt sich benennen: verbindliche Offenlegungspflichten für gefundene Schwachstellen in europäischer Infrastruktur. Regulatorische Anforderungen an Testverfahren. Und ein europäisches Gegenstück zu Glasswing – koordiniert statt reaktiv. Zur Einordnung: Die durchschnittliche Zeitspanne zwischen der Entdeckung einer Sicherheitslücke und dem ersten Angriff, der sie ausnutzt, schrumpfte von gut zwei Jahren (2018) auf wenige Stunden. Europa kann sich weitere Verzögerungen schlicht nicht leisten.
Das Zeitfenster ist klein
Alex Stamos, früherer Sicherheitschef bei Facebook und Yahoo, fasst das Kernproblem knapp zusammen: Wir haben ungefähr sechs Monate, bevor sogenannte Open-Weight-Modelle – also KI-Systeme, deren Baupläne frei zugänglich sind – bei der Schwachstellensuche mit Spitzenmodellen wie Mythos gleichziehen. Ab diesem Punkt kann im Grunde jede kriminelle Gruppe Sicherheitslücken aufspüren und in Angriffswaffen verwandeln. Ohne Spuren. Ohne nennenswerte Kosten.
Sechs Monate. Das ist die eigentliche Dringlichkeit hinter Glasswing. Nicht die Fähigkeiten von Mythos selbst, sondern die Erkenntnis, dass vergleichbare Werkzeuge bald breiter verfügbar sein werden. Staatliche Hacker aus China, Russland, Iran oder Nordkorea werden keine Pressemitteilung herausgeben, bevor sie handeln.
„Selbst wenn Anthropic Mythos nicht veröffentlicht, wird China in fünf oder sechs Monaten eine eigene Version haben – und in ein bis zwei Jahren eine frei verfügbare Variante.“
— Branchenkenner, zitiert in Fortune
Keine Panikmache. Normaler Verlauf technologischer Verbreitung.
Drei Szenarien: Wie es weitergehen könnte
Die nächsten 12 bis 18 Monate werden zeigen, ob Glasswing ein Wendepunkt war oder eine Fußnote. Drei Entwicklungspfade zeichnen sich ab – keiner davon ist rein hypothetisch.
Szenario 1: Der Pax-Americana-Pfad – US-Dominanz verfestigt sich
Anthropic weitet Glasswing aus, beschränkt den Zugang aber auf US-nahe Verbündete. Die großen US-Cloud-Anbieter – Amazon, Microsoft, Google – integrieren KI-gestützte Schwachstellensuche als kostenpflichtiges Premiumfeature in ihre Dienste. Europäische Unternehmen kaufen Sicherheit ein, statt sie selbst zu entwickeln. Das BSI erhält Schwachstelleninformationen über diplomatische Kanäle – mit Verzögerung. Der europäische Mittelstand, der seine Geschäftssoftware auf frei zugänglichen Programmbibliotheken betreibt, bleibt auf sich gestellt. De facto entsteht ein Zwei-Klassen-System der Cybersicherheit: Insider und Outsider. Europa gewinnt Stabilität, verliert aber strategische Eigenständigkeit. Ein bequemer Deal – bis er es nicht mehr ist.
Szenario 2: Der Fragmentierungspfad – Technologische Blockbildung
China präsentiert innerhalb von sechs bis neun Monaten ein eigenes Modell mit vergleichbaren Fähigkeiten. Russland nutzt frei verfügbare Alternativen für Cyberangriffe. Die Welt spaltet sich in Sicherheitssphären: eine US-geführte, eine chinesische und eine fragmentierte Grauzone dazwischen – in der Europa steht. Die Frage, wann eine Sicherheitslücke öffentlich gemacht wird, wird zur geopolitischen Verhandlungsmasse. Staaten horten Wissen über Schwachstellen, statt sie offenzulegen. Die Zeitspanne zwischen Fund und Ausnutzung einer Lücke schrumpft auf Minuten. Für Unternehmen bedeutet das: Jedes nicht aktualisierte System wird zum Einfallstor, jede Verzögerung beim Software-Update zur Einladung. Das Szenario, das Sicherheitsexperten nachts wachhält.
Szenario 3: Der Kooperationspfad – Europa wird handlungsfähig
Die EU lanciert ein eigenes Programm – nennen wir es „Project Sentinel“ – in Zusammenarbeit mit dem BSI, der europäischen Cybersicherheitsagentur ENISA und nationalen IT-Notfallteams. Die Finanzierung kommt aus EU-Töpfen wie dem Digital Europe Programme. Europäische Forschungsinstitutionen wie das Helmholtz-Zentrum CISPA in Saarbrücken, das Fraunhofer-Institut oder die ETH Zürich entwickeln eigene, spezialisierte Sicherheitsmodelle – kleiner als Mythos, aber gezielt auf europäische Infrastruktur trainiert. Verbindliche Meldepflichten für Schwachstellen schaffen Transparenz. Die europäische NIS2-Richtlinie – ein Gesetz, das Mindeststandards für Cybersicherheit in kritischen Sektoren vorschreibt – liefert den rechtlichen Rahmen, den Glasswing nicht hat. Europa wäre nicht unabhängig von US-Modellen, aber souverän genug, um auf Augenhöhe zu verhandeln. Das ambitionierteste Szenario. Und das Einzige, das langfristig trägt.
Welches Szenario eintritt, hängt weniger von der Technologie ab als von politischem Willen und Geschwindigkeit. Die Technik existiert. Die Bedrohung existiert. Was fehlt, sind Entscheidungen.
Was Unternehmen jetzt konkret tun sollten
Dieser Teil ist unbequem. Aber er ist wichtiger als jede geopolitische Analyse.
Angriffsfläche kennen. Wie alt ist die Kernsoftware im eigenen Haus? Welche Systeme laufen noch auf veralteter Technik – nicht weil, man es so wollte, sondern weil man nie Zeit fand, sie abzulösen? Das ist kein IT-Problem. Das ist ein Führungsthema. Vorstandsebene.
Software-Updates radikal beschleunigen. Notfallprozesse für kritische Systeme müssen stehen, bevor sie gebraucht werden. Dass KI-Systeme Sicherheitslücken im großen Maßstab aufspüren, wird künftig normal sein. Wer erst dann einen Krisenprozess aufbaut, wenn die Krise da ist, hat verloren.
KI-gestützte Sicherheitswerkzeuge jetzt einführen. Nicht in zwei Jahren. Jetzt. Automatisierte Schwachstellensuche, KI-gestützte Angriffssimulationen, maschinelle Überprüfung von Programmcode – das ist kein Luxus mehr. Grundausstattung. Wer diese Werkzeuge nicht selbst einsetzt, überlässt das Feld den Angreifern.
KI-Systeme mit Eigenleben gesondert absichern. Mythos ist in Tests aus abgeschirmten Testumgebungen ausgebrochen und hat eigenmächtig E-Mails versendet. KI-Systeme, die eigenständig Programme ausführen, Dateien verwalten oder andere Systeme steuern, brauchen eigene Sicherheitsarchitekturen – abgeschottete Bereiche, klar definierte Berechtigungen und eine automatische Überwachung auf ungewöhnliches Verhalten. Das gilt auch für Programmierassistenten, die intern genutzt werden.
Softwarelieferketten durchleuchten. Frei verfügbare Programmbibliotheken – sogenannte Open-Source-Software – stecken in praktisch jedem modernen System: vom Videocodec bis zur Verschlüsselungstechnik. Das macht sie zum blinden Fleck vieler Sicherheitskonzepte. Wer hat eine automatisierte Übersicht darüber, welche fremden Softwarebausteine im eigenen System stecken? Wer nicht?
Den Draht zu Behörden suchen. Das BSI, die europäische Cybersicherheitsagentur ENISA, nationale IT-Notfallteams – diese Institutionen sind keine Bürokratiehürden. Sie sind Frühwarnsysteme. Das BSI steht im direkten Austausch mit Anthropic. Wer auf offizielle Warnungen wartet, wartet zu lang.
Digitale Souveränität ist kein Politikprojekt
Es wäre bequem, das Thema als politische Forderung abzuhaken. Europäische KI-Souveränität als Aufgabe der Kommission, als Hausaufgabe für den Gesetzgeber. Das greift zu kurz.
Widerstandsfähigkeit ist kein Krisenprojekt – sie ist ein Wettbewerbsfaktor. Unternehmen, die ihre Softwarearchitektur kennen, ihre Schwachstellen verstehen und das Einspielen von Sicherheitsupdates automatisiert haben, werden in einer Welt mit KI-gestützten Angreifern besser überstehen. Nicht, weil sie sich auf staatlichen Schutz verlassen. Sondern weil sie selbst handlungsfähig sind.
Der einzige Weg zu echter digitaler Souveränität führt über konsequente Eigenständigkeit. Nicht über die Einladung von Konzernen, die eigene Infrastruktur zu durchleuchten. Eigene Kompetenzen aufbauen. Eigene Werkzeuge bewerten. Eigene Standards setzen. Jetzt – nicht, wenn das nächste Modell die nächste Warnung auslöst.
