Die Suche nach Schwachstellen war bislang teuer, zeitintensiv und meist Experten vorbehalten. Mit Systemen wie Claude Mythos von Anthropic droht diese Kostenbarriere zu fallen und damit die Grundlage, auf der unsere Verteidigungslogik seit Jahren beruht. Das BSI spricht bereits von einem Paradigmenwechsel. Daniel Thomas Heessel, CISO des Jahres 2026, analysiert, was das konkret für CISOs und Sicherheitsarchitekturen bedeutet.
Claude Mythos senkt die Kostenbarriere für Schwachstellensuche drastisch. Die Mean Time to Exploit schrumpft damit 2026 auf unter einen Tag.
Daniel Thomas Heessel ist Gründer und Geschäftsführer der Threat-Informed Cybersecurity Solutions GmbH sowie Gründer von certmap.de. Er beschäftigt sich mit bedrohungsorientierter Informationssicherheit und der wirksamen Verbindung von Cybersecurity und Compliance. 2026 wurde er als CISO des Jahres ausgezeichnet.
(Bild: Fraunhofer ATHENE)
Als das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor wenigen Tagen verlauten ließ, man stehe in direktem Austausch mit Anthropic und erwarte nach Gesprächen mit den Entwicklern „erhebliche Disruptionen“ im Umgang mit Sicherheitslücken, war dies mehr als eine der üblichen Warnmeldungen. BSI-Präsidentin Claudia Plattner sprach ungewohnt deutlich von einem Paradigmenwechsel, von einer Verschiebung der Angriffsvektoren und rührte an die Grundfesten nationaler und europäischer Souveränität.
Bemerkenswert ist das nicht, weil staatliche Stellen vor neuen Technologien warnen – das gehört zu ihrem Pflichtenheft. Bemerkenswert ist es, weil sich die Behörde zu einem System äußert, das laut Herstellerangaben in der Lage sein soll, kritische Schwachstellen in Betriebssystemen und Browsern mit einer Effizienz aufzuspüren, die menschliche Research-Teams in den Schatten stellt. Dass das BSI zeitgleich einräumte, „Mythos“ noch nicht selbst geprüft zu haben, markiert das Spannungsfeld der aktuellen Debatte: Sie bewegt sich zwischen einer möglichen Zäsur und einem System, dessen tatsächliche Fähigkeiten bislang weitgehend im Dunkeln liegen.
Der Verlust der Kostenbarriere und der Kollaps der „Mean-Time“
Die aktuellen Diskussionen über Mythos kratzen bislang nur an der Oberfläche. Während die einen in dem System bereits einen Wendepunkt der Cybersicherheit sehen, halten andere es vor allem für eine gut inszenierte Technologieerzählung. Beides greift zu kurz. Entscheidend ist, ob eine Fähigkeit, die bislang knapp, teuer und exklusiv war, ihren Ausnahmecharakter verliert.
Die Verteidigungslogik der vergangenen Jahre beruhte wesentlich auf einer Kostenstruktur auf Angreiferseite, in der die Suche nach neuen Sicherheitslücken für die meisten Akteure außerhalb der Reichweite lag. Genau diese Struktur gerät nun ins Wanken.
Daniel Thomas Heessel
Denn die Verteidigungslogik der vergangenen Jahre beruhte wesentlich auf einer Kostenstruktur auf Angreiferseite, in der die Suche nach neuen Sicherheitslücken für die meisten Akteure außerhalb der Reichweite lag. Genau diese Struktur gerät nun ins Wanken. Wie dramatisch dieser Wandel ist, belegt die „Mean Time to Exploit“ (Mean TTE): Die mittlere Zeitspanne zwischen der Offenlegung einer Schwachstelle (CVE) und ihrer aktiven Ausnutzung ist im Jahr 2026 auf unter einen Tag geschrumpft – im Schnitt liegen zwischen Entdeckung und Angriff nur noch 20 Stunden.
Anthropic beschreibt „Mythos“ als autonomes System, das diesen Weg von der Entdeckung bis zum Angriffswerkzeug radikal weiter verkürzt. Um das Risiko zu kanalisieren, startete das Unternehmen mit „Project Glasswing“ ein exklusives Präventionsprogramm für Tech-Giganten wie Microsoft, Google und Amazon. Doch jenseits dieses Marketing-Rauschens wird deutlich: Wir sprechen hier über den Transfer von strategischen Elite-Fähigkeiten in den privaten Sektor.
Glasswing illustriert, dass es nicht nur um Technologie geht, sondern um Machtasymmetrien. Wenn ein elitärer Kreis frühzeitig Zugriff auf automatisierte Defensive erhält, während der Mittelstand im Unklaren bleibt, wird aus einer technischen Innovation eine politische Souveränitätsfrage. Wer die KI-gestützte Lupe zuerst hält, bestimmt die Regeln des Spiels. Gegenüber dieser Exklusivität müssen Verteidiger eine „Collective Defense“ entwickeln: Nur wenn wir uns wie Angreifer-Syndikate koordinieren und Bedrohungsdaten in Echtzeit teilen, lässt sich die Asymmetrie aufbrechen.
Gefährlich wird es dort, wo die „Industrie der Ausnutzung“ ihre exklusive Kostenstruktur verliert. Die Geschichte liefert hierfür eine düstere Blaupause: 2017 mutierte das NSA-Skalpell „EternalBlue“ in den Händen von Kriminellen zu den verheerenden Brechstangen WannaCry und NotPetya. Wenn die Kosten für High-End-Exploitation gegen Null sinken, ändert sich das Zielprofil der Angreifer radikal.
Dass die Flut bereits eingesetzt hat, zeigt die Lage bei Open-Source-Projekten: Beim Linux-Kernel stiegen die wöchentlichen Meldungen von zwei auf zehn; beim Projekt curl wich der anfängliche Frust über KI-generierten „Slop“ (halluzinierte Fehler) der Erkenntnis, dass die Berichte nun zunehmend verifizierte, hochwertige Sicherheitslücken enthalten.
Bisher trafen Angreifer rationale Budgetentscheidungen. Es war schlicht günstiger, Passwörter zu stehlen, als monatelang nach einer Lücke im Windows-Kernel zu suchen. Doch wenn Systeme wie „Mythos“ den Aufwand drastisch senken, werden hochentwickelte Cyber-Waffen vom teuren Randphänomen zum skalierbaren Standardwerkzeug.
Diese Entwicklung entlarvt die stille Abhängigkeit einer Branche von einer Knappheit, die keine bewusste Verteidigungsleistung, sondern ein glücklicher Umstand war. Dieser Umstand erodiert gerade im Zuge eines „AI Vulnerability Storms“, der die Verteidiger mit einer beispiellosen Frequenz an automatisierten Angriffen konfrontiert.
Für CISOs folgt daraus die Notwendigkeit einer strategischen Neukalibrierung:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
1. Etablierung von VulnOps: Wir müssen weg von reinem Scoring hin zu einer permanenten „Vulnerability Operations“-Funktion (VulnOps). Ähnlich wie DevOps muss VulnOps automatisierte Pipelines für die kontinuierliche Entdeckung und Behebung von Zero-Day-Lücken im eigenen Code und bei Drittanbietern schaffen.
2. Renaissance der Härtung und Segmentierung: Reduzierte Angriffsoberflächen und Zero-Trust-Architekturen sind in einer Welt automatisierter Angriffe die einzige wirksame Brandmauer, um den Explosionsradius (Blast Radius) eines erfolgreichen Exploits zu begrenzen.
3. Ressourcen-Resilienz und Burnout-Prävention: Die exponentiell steigende Last durch KI-generierten Code und die Flut an notwendigen Patches bringt Teams an ihre Kapazitätsgrenzen. CISOs müssen zusätzliche Köpfe und gezielte Automatisierung einplanen, um die menschliche Expertise vor dem Burnout zu schützen.
4. Prüfung der Axiome: Wer heute noch annimmt, dass seine Systeme für diesen Aufwand „zu unbedeutend“ sind, handelt fahrlässig. Das Signal von Mythos ist eindeutig: Die Ära, in der Knappheit unser bester Verteidiger war, geht zu Ende.
Wir haben solche Krisen schon einmal bewältigt. Als zur Jahrtausendwende weltweit Computersysteme auszufallen drohten, weil ihre Software nicht auf das Jahr 2000 vorbereitet war, hat die Branche das gemeinsam gemeistert – weil sie rechtzeitig verstand, dass es kein individuelles Problem war. Der Unterschied: Damals kannten wir die Deadline. Diesmal setzen sie die Angreifer.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a6/c2/a6c2513dd80fd074600664127715e1fe/0130649790v2.jpeg "Das technische Wissen über Vorgehensweisen von Angreifern und die Analyse geopolitischer Risiken ermöglichen in ihrer Kombination ein vorausschauendes Verständnis der Bedrohungslage, wodurch Organisationen ihre Abwehr gezielt auf komplexe, politisch motivierte Cyberoperationen vorbereiten und priorisieren können. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/8d/288d3be4ca5b8370139be805ad062997/0130056511v1.jpeg "Die in einer unveränderlichen Backup-Speicherlösung gespeicherten Daten können nicht manipuliert, beschädigt oder gelöscht werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/eb/efeb11606d0aa9e2cfe51594f75183ac/0130742308v2.jpeg "Claude Mythos senkt die Kostenbarriere für Schwachstellensuche drastisch. Die Mean Time to Exploit schrumpft damit 2026 auf unter einen Tag. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/07/1307082e4063d3eb4643133e67b02947/0130554631v2.jpeg "Die Forscher von Unit42 wiesen nach, wie sie mithilfe eines überprivilegierten KI‑Agenten in Vertex AI Zugangsdaten eines GCP‑Dienstkontos aus dem Metadienst auslesen und so auf Kundenprojekte zugreifen konnten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/d6/2ed6331cc7ca9ab4ea12cd3246d0f2da/0130374252v1.jpeg "Recovery-Strategien müssen die zugrunde liegende Infrastruktur berücksichtigen – allen voran Identitätssysteme. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/73/b0737698c01bffce828096309032c85f/0130547557v2.jpeg "Graphtechnologie und GraphRAG ermöglichen Sicherheitsbehörden neue Ansätze für investigative Datenanalyse gegen vernetzte Täterstrukturen und terroristische Netzwerke. (Bild: © Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/bd/a2bdcca213aa2b874c6e7289b7b9bda9/0130236872v1.jpeg "Palo Alto Networks stellt Prisma Browser for Business vor: ein Unternehmensbrowser für KMU mit Schutz vor Phishing, Ransomware und KI-Datenlecks. (Bild: Palo Alto Networks)")
:quality(80)/p7i.vogel.de/wcms/e2/6e/e26e519ff76693bec7bef7c0a6b39585/0130399340v1.jpeg "Werden HTTP-Header in Anwendungen nicht geschrieben, verlieren Webbrowser und Zwischenstellen wichtige Schutzmechanismen. Dieses Risiko besteht aufgrund einer kritischen Sicherheitslücke in Spring Security. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0a/74/0a74c3714733ee1150695c07122016d4/0130708767v1.jpeg "Gegenüber Bleeping Computer bestätigte Basic-Fit, dass von dem Datendiebstahl rund eine Million Mitglieder betroffen sind. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/36/c2/36c2b3ad18b26c71518d7dd219106338/0130706037v2.jpeg "Wie viele Nutzer von Booking.com von dem Datenabfluss betroffen sind, ist öffentlich nicht bekannt. Der Anbieter habe jedoch alle Betroffenen per E-Mail informiert. (Bild: © Apichat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/7a/177aa013037ddeab6caab9b8e0501772/0130577893v2.jpeg "Digitale Identitäten sind durch Quantencomputer akut gefährdet. Der Umstieg auf Post-Quanten-Kryptografie erfordert Kryptoagilität mit Krypto-Inventar, Hybridzertifikaten und kontinuierlicher Anpassung. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/52/a1/52a17d49a93b72767dbb13e2d825a33a/0130736402v1.jpeg "Mit KI-Modellen wie Mythos von Anthropic beginnt eine Zäsur: Die digitale Sicherheit, wie wir sie kennen, ist definitiv vorbei. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1229200/1229200/original.jpg "Die Ransomware WannaCrypt0r schlug weltweit zu, tausende Systeme wurden infiziert. Per Zufall fanden Forscher einen Kill Switch und stoppten den Angriff. (pixabay / SecureList)")
:quality(80)/images.vogel.de/vogelonline/bdb/1248200/1248222/original.jpg "Eine potentielle Abwandlung der Petya-Ransomware verbreitet sich global. Sie nutzt die gleiche Schwachstelle wie WannaCry, die initiale Infektion scheint über HR-Abteilungen zu laufen. (Forcepoint)")
:quality(80)/p7i.vogel.de/wcms/b6/9e/b69e228c644eed051d02361d30b25353/0104060447v2.jpeg "Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/95/8c952169f3c1d02127180ede18de651a/0130535511v2.jpeg "Claude Mythos wird von seinen Entwicklern als so gefährlich für weltweite IT-Systeme und Infrastrukturen eingeschätzt, dass das LLM nicht öffentlich verfügbar gemacht wird. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/52/a1/52a17d49a93b72767dbb13e2d825a33a/0130736402v1.jpeg "Mit KI-Modellen wie Mythos von Anthropic beginnt eine Zäsur: Die digitale Sicherheit, wie wir sie kennen, ist definitiv vorbei. (Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)")