BSI warnt vor KI-gestützter Schwachstellensuche: Gefahr für Cyberabwehr und nationale Sicherheit
Ein vom US-Unternehmen Anthropic entwickeltes KI-Modell namens Claude Mythos, das verborgene Software-Schwachstellen aufspürt, könnte nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhebliche Auswirkungen auf die Cyberbedrohungslage haben. BSI-Präsidentin Claudia Plattner äußerte sich besorgt über die potenziellen Folgen für Deutschland und Europa.
KI-Modell Claude Mythos: Ein Werkzeug mit weitreichenden Konsequenzen
Anthropic gab bekannt, dass Claude Mythos bereits Tausende schwerwiegende Schwachstellen entdeckt hat, darunter in jedem weit verbreiteten Betriebssystem und Webbrowser. Das Unternehmen warnte davor, dass solche KI-Fähigkeiten bald auch Onlineangreifern zur Verfügung stehen könnten. Plattner teilte mit, dass das BSI zwar noch keine eigenen Tests durchführen konnte, aber im Austausch mit Anthropic stehe und Einblick in die Funktionsweise gewonnen habe.
Das KI-Modell ist nicht öffentlich zugänglich, sondern soll in einer Kooperation mit Konzernen wie Apple, Amazon und Microsoft sowie Organisationen wie der Linux-Stiftung und IT-Sicherheitsfirmen wie Crowdstrike und Palo Alto Networks eingesetzt werden, um Sicherheitslücken zu identifizieren.
Nationale Sicherheit und Souveränität im Fokus
Plattner betonte, dass das BSI die Ankündigungen von Anthropic sehr ernst nehme und Umwälzungen im Umgang mit Sicherheitslücken erwarte. Sie führte aus: "Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. Dies würde einen Paradigmenwechsel in der Cyberbedrohungslage bedeuten." Zudem stellte sich die Frage, wie lange derart mächtige Werkzeuge auf dem freien Markt verfügbar sein werden, was Fragen der nationalen und europäischen Sicherheit sowie Souveränität aufwerfe.
Schwachstellen als Einfallstor für Cyberangriffe
Software-, Hardware- oder Netzwerkschwachstellen dienen als Einfallstore für Cyberangriffe durch Kriminelle oder staatlich unterstützte Hacker. Je länger eine Schwachstelle bekannt, aber ungeschlossen bleibt, desto höher ist das Risiko für Unternehmen, staatliche Einrichtungen und Privatpersonen, Opfer von Datendiebstahl oder Erpressungssoftware zu werden. Auch deutsche Nachrichtendienste nutzen Schwachstellen, etwa zur Aufklärung von Terrorismus oder schweren Straftaten, wobei sogenannte Zero-Day-Schwachstellen besonders relevant sind.
Ein historisches Beispiel ist der WannaCry-Angriff im Jahr 2017, bei dem eine vom US-Geheimdienst NSA genutzte Sicherheitslücke von Hackern ausgenutzt wurde, um Computer weltweit zu infizieren. Dies führte zu erheblichen Schäden, unter anderem in britischen Krankenhäusern und bei der Deutschen Bahn, und löste Kritik an der NSA aus, die die Lücke nicht hatte schließen lassen.
Insgesamt unterstreicht die Entwicklung von KI-Tools wie Claude Mythos die Dringlichkeit, Cybersicherheitsstrategien anzupassen und internationale Kooperationen zu stärken, um den wachsenden Bedrohungen effektiv zu begegnen.
