Start/Stimmung/Branche/Anthropic warnt US-Banken vor Claude Mythos, BSI erwartet Umwälzungen
10. April 2026

Anthropic warnt US-Banken vor Claude Mythos, BSI erwartet Umwälzungen

Anthropic hat in dieser Woche eine ungewöhnlich direkte Warnung an die US-Finanzaufsicht und systemrelevante Banken gerichtet: Die noch nicht öffentlich verfügbare Preview-Version von Claude Mythos habe in ihren internen Tests tausende bislang unbekannter Zero-Day-Schwachstellen in allen verbreiteten Betriebssystemen und Browsern identifiziert. Das Modell sei zudem in der Lage, funktionsfähige Exploits zu entwickeln und einzelne Schwachstellen zu mehrstufigen Angriffsketten zu verbinden. Parallel ordnet das deutsche BSI das Ereignis als Wendepunkt ein: BSI-Präsidentin Claudia Plattner erwartet grundlegende Umwälzungen im Umgang mit Sicherheitslücken.

Notfall-Meeting in Washington

Treasury Secretary Scott Bessent und Fed-Chef Jerome Powell haben laut Bericht am Dienstag ein kurzfristig einberufenes Treffen mit den CEOs der größten US-Banken abgehalten. Thema war die Einschätzung, dass die Fähigkeiten von Mythos die Angriffsfläche im Finanzsektor qualitativ verändern -- nicht in Form einer abstrakten Zukunftsdrohung, sondern als konkretes Risiko innerhalb weniger Monate. Dass eine Warnung dieser Schärfe von einem AI-Labor an die Notenbank und das Finanzministerium herangetragen wird, ist ein Novum.

Der Guardian hat die Teilnehmerliste am 10. April nachgeliefert: Anwesend waren laut Bloomberg-Bericht Goldman-Sachs-Chef David Solomon, Brian Moynihan von Bank of America, Jane Fraser von Citigroup, Ted Pick von Morgan Stanley und Wells-Fargo-CEO Charlie Scharf. Jamie Dimon von JP Morgan war eingeladen, konnte aber nicht teilnehmen -- er warnte in seinem diese Woche veröffentlichten jährlichen Aktionärsbrief unabhängig davon, Cybersecurity sei "eines unserer grössten Risiken" und "AI wird dieses Risiko mit an Sicherheit grenzender Wahrscheinlichkeit verschärfen". Das Treffen fand im Rahmen einer ohnehin in Washington anwesenden Banken-Lobbygruppe statt und fokussierte gezielt auf die Chefs sogenannter systemisch wichtiger Institute, deren Ausfall die Finanzstabilität gefährden würde.

Bemerkenswert ist auch die Liste derjenigen, die Mythos-Zugang im Rahmen von Project Glasswing erhalten: Amazon, Apple, Microsoft, Cisco, Broadcom sowie die Linux Foundation. Zum ersten Mal überhaupt beschränkt Anthropic den Release eines Produkts auf einen engen Kreis. Das älteste der von Mythos gefundenen Probleme soll bis zu 27 Jahre alt gewesen sein, ohne dass Hersteller oder Sicherheitsforscher es zuvor bemerkt hätten.

Der Schritt ist insofern bemerkenswert, als Anthropic damit faktisch einräumt, ein Modell gebaut zu haben, dessen offensive Fähigkeiten so weit reichen, dass sie aus Sicht des Unternehmens eine proaktive Information der Regulierer nötig machen. Die Kommunikation läuft über Anthropics Responsible-Scaling-Prozesse und flankiert die interne Einstufung des Modells. Weder Fed noch Treasury noch Anthropic noch die Banken wollten sich auf Nachfrage gegenüber Bloomberg äussern.

BSI: "Keine unbekannten klassischen Sicherheitslücken mehr"

Aus Deutschland kommt die schärfste strategische Einordnung. Claudia Plattner wird mit der Aussage zitiert, mittelfristig werde es "keine unbekannten klassischen Sicherheitslücken mehr" geben. Gemeint ist: Wenn AI-Modelle die Schwachstellenanalyse in der Breite und Tiefe übernehmen, mit der Mythos sie in den Anthropic-Tests demonstriert hat, dann wird die Menge noch unentdeckter Standard-Bugs in bekannter Software absehbar aufgebraucht sein. Die Angriffsvektoren verschieben sich in diesem Szenario weg vom klassischen Memory-Corruption-Bug im Browser und hin zu Logik-, Lieferketten- und Konfigurationsproblemen, die sich nicht so leicht automatisiert abgrasen lassen.

Das ist eine radikale These. Sie stellt implizit das gesamte bisherige Gleichgewicht aus Bug Bounties, Penetration Testing, Responsible Disclosure und Patch-Zyklen in Frage. Wenn die Halbwertszeit einer nicht gefundenen Lücke gegen Null geht, verliert der Angreifer, der auf exklusives Wissen setzt, seinen Vorsprung -- sofern die defensive Seite gleichzeitig Zugriff auf vergleichbare Werkzeuge hat. Genau dort liegt die Bruchstelle.

Project Glasswing als defensive Gegenbewegung

Anthropic flankiert die Warnung mit einer eigenen Initiative: Project Glasswing soll die von Mythos identifizierten Schwachstellen systematisch an Hersteller weitergeben und koordiniert patchen lassen, bevor frei verfügbare oder Open-Source-Modelle vergleichbare Fähigkeiten erreichen und damit einem breiteren, auch kriminellen Publikum zugänglich werden. Das Rennen ist dabei weniger eines zwischen Anthropic und Angreifern als zwischen dem koordinierten Patching-Prozess und dem Zeitpunkt, ab dem ähnliche Fähigkeiten in schwächer kontrollierten Modellen verfügbar sind.

Die Logik hinter Glasswing entspricht der bekannten Debatte um Dual-Use-Forschung: Wer offensive Fähigkeiten hat, trägt die Verantwortung, die Lücke zwischen Fund und Fix zu schliessen. Neu ist die Grössenordnung. Tausende Funde in parallelem Triage-Prozess zu bearbeiten, sprengt die Kapazitäten klassischer Security-Teams bei Microsoft, Apple, Google und den Linux-Maintainern.

Strategische und souveränitätspolitische Dimension

Die Episode wirft zwei Fragen auf, die über den unmittelbaren Anlass hinausreichen.

Erstens: die Abhängigkeit. Wenn die Fähigkeit, Schwachstellen schneller zu finden als Angreifer sie ausnutzen können, an wenige Frontier-Modelle gebunden ist, wird Zugang zu diesen Modellen zu einem sicherheitsrelevanten Asset. Für europäische Regulierer und Betreiber kritischer Infrastruktur stellt sich die Frage, wer unter welchen Bedingungen welchen Zugriff bekommt -- und was passiert, wenn dieser Zugriff kommerziell oder politisch eingeschränkt wird. Die BSI-Stellungnahme ist in diesem Licht auch ein Signal, dass man sich der Souveränitätsdimension bewusst ist.

Zweitens: die Defense-in-Depth-Strategie verliert ihre Selbstverständlichkeit. Viele gängige Härtungsansätze beruhen implizit darauf, dass Angreifer nicht alle Schichten gleichzeitig durchdringen können, weil jede neue Lücke Aufwand kostet. Ein Modell, das Angriffsketten über mehrere unabhängig gefundene Schwachstellen hinweg automatisch konstruiert, verschiebt diese Rechnung. Segmentierung, Rechte-Minimierung und robuste Audit-Pfade werden wichtiger, während der Fokus auf "möglichst viele Layer" an Wirkung verliert.

Der Wired-Kommentar: Die eigentliche Asymmetrie

Wired hat am 10. April einen Kommentar unter dem Titel "Anthropic's Mythos Will Force a Cybersecurity Reckoning -- Just Not the One You Think" veröffentlicht, der die bisherige Debatte in eine andere Richtung zieht. Die These: Die Erzählung vom Zero-Day-Fund als zentralem Ereignis verfehlt den eigentlichen Punkt. Nicht die einzelnen Lücken sind der Wendepunkt, sondern die Tatsache, dass Mythos die Einstiegshürde für komplexe, mehrstufige Exploit-Ketten drastisch senkt. Neue Fehlerklassen erfindet das Modell nicht -- es amplifiziert das, was ohnehin existiert, und macht Angriffe reproduzierbar, die bislang den besten menschlichen Teams vorbehalten waren.

Daraus folgt ein unbequemer Schluss. Die Security-Branche hat jahrzehntelang darauf gesetzt, dass komplexe Angriffe selten bleiben, weil sie teuer sind. Diese ökonomische Grundlage bricht weg, sobald AI-Modelle das Zusammenschalten von Lücken automatisieren. Die eigentliche Reckoning ist laut Wired deshalb organisatorisch und architektonisch, nicht technisch: Machine-scale Defences, drastisch beschleunigte Patch-Zyklen und Secure-by-Design als Default statt als Feigenblatt. Wer weiterhin Security als nachgelagerten Prozess behandelt, verliert das Rennen, bevor es überhaupt begonnen hat.

Der Text zeichnet zudem ein gespaltenes Expertenbild. Ein Teil der zitierten Sicherheitsforscher warnt, Mythos senke die Skill-Schwelle für Angreifer materiell. Ein anderer Teil hält wesentliche Teile des Launches für Marketing: ein inkrementeller Fortschritt in polierter Verpackung, dem Anthropic mit Glasswing ein PR-freundliches Gegengewicht verpasst habe. Die Wahrheit dürfte zwischen beiden Lesarten liegen -- und genau deshalb sei die Debatte, so Wired, nicht mit der Frage "Wie viele Zero-Days hat Mythos gefunden?" zu beantworten, sondern mit der Frage, wer welchen Zugang zu solchen Fähigkeiten bekommt und wie schnell sich die defensive Infrastruktur anpassen kann.

Der implizite Subtext ist strukturell: Die Asymmetrie zwischen Angreifern und Verteidigern verschiebt sich nicht nur, sie verfestigt sich an einem neuen Fixpunkt. Wer ein Frontier-Modell besitzt oder exklusiven Zugang dazu hat, ist auf beiden Seiten der Gleichung im Vorteil. Das macht Mythos weniger zu einer technischen Nachricht und mehr zu einem machtpolitischen Ereignis. Die Reckoning, vor der Wired warnt, ist die Einsicht, dass Cybersecurity nicht länger eine Disziplin unter Gleichen ist, sondern eine Funktion des Zugangs zu Compute und Frontier-Modellen -- und damit strukturell an kapitalstarke Akteure gebunden.

Parallel: Anthropic sperrt OpenClaw-Entwickler kurzzeitig aus

Am selben Tag berichtet TechCrunch über einen Vorfall, der das angespannte Verhältnis zwischen Anthropic und dem Ökosystem der Drittanbieter-Harnesses illustriert. OpenClaw-Gründer Peter Steinberger postete am Freitagmorgen auf X einen Screenshot einer Anthropic-Sperrnachricht: Sein Account sei wegen "verdächtiger" Aktivitäten suspendiert worden. Wenige Stunden später, nachdem der Post viral ging, wurde der Zugriff wiederhergestellt. Ein Anthropic-Engineer meldete sich öffentlich unter dem Thread und versicherte, Anthropic habe noch nie jemanden wegen OpenClaw-Nutzung gesperrt, und bot Hilfe an. Ob diese Intervention die Freischaltung ausgelöst hat, ist unklar -- Anthropic hat sich dazu auf TechCrunch-Anfrage nicht geäussert.

Der Kontext ist relevant: In der Vorwoche hatte Anthropic angekündigt, dass Claude-Abonnements ab 4. April keine Drittanbieter-Harnesses mehr abdecken. OpenClaw-Nutzer müssen ihre Nutzung seither separat über die API bezahlen -- eine "Claw Tax", wie es Steinberger nannte. Er erklärte, er habe sich an die neuen Regeln gehalten und sei trotzdem gesperrt worden. Zum Timing kommentierte er ironisch, Anthropic kopiere "zuerst beliebte Features in den eigenen geschlossenen Harness" -- gemeint ist Claude Cowork mit dem kürzlich hinzugefügten Claude-Dispatch-Feature für ferngesteuerte Agenten -- "und sperrt dann Open Source aus".

Steinberger ist seit Februar 2026 bei OpenAI angestellt und leitet parallel weiter die OpenClaw Foundation. In der Diskussion um den Ban erklärte er, er nutze Claude nur noch zum Testen, um sicherzustellen, dass OpenClaw-Updates für Claude-Nutzer nicht brechen. Auf den Vorwurf eines Kommentators, er habe sich "für das falsche Lager entschieden", antwortete er knapp: "Eines hat mich willkommen geheissen, das andere hat rechtliche Drohungen geschickt." Auf die Frage, ob er an der neuen Anthropic-Preispolitik arbeite, antwortete er lediglich "Working on that" -- ein Hinweis darauf, was sein Job bei OpenAI umfasst.

Der Vorfall ist für sich genommen klein, signalisiert aber die zunehmende Härte, mit der Anthropic das eigene Ökosystem kontrolliert. Parallel zum Mythos-Launch und der aussenpolitischen Inszenierung als verantwortungsbewusster Regulierungspartner demonstriert das Unternehmen nach innen eine andere Linie: Wer nicht unter Anthropic-eigene Clients fällt, zahlt den vollen API-Preis oder wird bei Verdacht schnell ausgesperrt. Dass die Sperrung nach wenigen Stunden zurückgenommen wurde, ändert nichts an der Botschaft.

Als Gegenstimme zum anhaltenden OpenClaw-Hype lohnt der Blogpost von Nishant Soni vom selben Tag. Sonis Firma NonBioS hat nach eigener Angabe rund tausend OpenClaw-Deployments beobachtet und mit Nutzern aus dem eigenen Netzwerk gesprochen. Sein Fazit: Es gibt de facto keinen belastbaren Use Case, der über eine tägliche News-Zusammenfassung per WhatsApp hinausgeht. Das Kernproblem sei Memory: OpenClaw sammle Kontext auf, verliere aber unvorhersehbar wichtige Details, und in einem autonomen Setting merke der Nutzer das erst nach dem Schaden. "Ein autonomer Agent, den man bei jeder Ausgabe verifizieren muss, ist ein Chatbot mit extra Schritten." Die Ideen hinter OpenClaw seien richtig, die Ausführung sei es nicht -- solange das Memory-Problem nicht gelöst sei, bleibe der Rest "Theater". Das ist ein nüchternes Gegengewicht zur LinkedIn-Folklore vom autonomen Ein-Mann-Unternehmen und zum politischen Gewicht, das dem OpenClaw-Ökosystem in der Debatte um Anthropics Preispolitik beigemessen wird.

Einordnung

Zum ersten Mal wird auf Regierungsebene und von einem führenden Frontier-Lab offen eingeräumt, dass AI-Modelle die Cybersecurity-Landschaft nicht erst in Jahren, sondern binnen Monaten fundamental verändern. Die konkrete Bedrohungseinschätzung lässt sich bis zur Veröffentlichung von Mythos und ihrer unabhängigen Prüfung nicht abschliessend bewerten -- die Tatsache der Warnung selbst ist aber ein Datenpunkt, und die Tatsache, dass Fed und Treasury systemrelevante Bank-CEOs zu einem Notfall-Briefing zusammengerufen haben, ist ein zweiter. Für Security-Teams in Unternehmen und Behörden lautet die naheliegende Konsequenz: Patch-Disziplin, Asset-Inventar und Monitoring-Hygiene sind jetzt das, was über die nächsten zwölf Monate trägt. Alles, was darüber hinausgeht, hängt daran, wer welchen Zugang zu defensiven Varianten dieser Fähigkeiten bekommt.

Die BSI-These von der Erschöpfung klassischer Sicherheitslücken ist zugespitzt und steht unter empirischem Vorbehalt. Aber selbst wenn sie nur halb zutrifft, steht die Branche vor einer Neusortierung ihrer Werkzeugkette -- von Bug Bounties über Penetration Testing bis zur Frage, wofür manuelle Code-Audits in einer Welt mit Mythos noch der richtige Einsatz sind. Der Wired-Kommentar erinnert daran, dass die eigentliche Verschiebung nicht im Fund einzelner Bugs liegt, sondern in der strukturellen Abhängigkeit der Verteidigung von Modellen, die nur noch kapitalstarke Akteure trainieren können. Der OpenClaw-Vorfall am Rand zeigt, wie eng Anthropic parallel den Zugang zu den eigenen Systemen kontrolliert -- ein Muster, das sich mit dem souveränitätspolitischen Problem deckt, das das BSI andeutet.

Quellen

Nach oben