Schlösser fallen lautlos
Zwei Meldungen aus der Technikwelt beschreiben eine neue Sicherheitslage: KI-Systeme mutieren zum Angreifer, Quantencomputer bedrohen Verschlüsselung.
1992 erzählte der Film „Sneakers – Die Lautlosen“ von Kryptografie, Geheimdiensten und einem Gerät, das jeden Code knacken kann. Er war einer der ersten Filme, die Themen wie Datensicherheit, Kryptografie und die Rolle der NSA massentauglich aufgriffen. Und auch nach über 30 Jahren gelten seine Warnungen vor der Macht der Algorithmen und des Datenschutzes heute als visionär. Ich hatte mich schon damals gefragt, ob so etwas einmal technologisch möglich oder überhaupt umsetzbar wäre. Doch heute wirkt „Sneakers“ weniger wie eine Fiktion, sondern eher wie ein Vorlauf.
Denn Anfang April dieses Jahres kündigte Anthropic ein neues KI-Modell mit dem Namen Claude Mythos Preview an – und tat dann etwas, das in dieser Branche fast schon als Anomalie gelten muss: Das Unternehmen veröffentlichte sein Claude-Update nicht. Der Grund ist bemerkenswert. Nach Darstellung von Anthropic kann das Modell nicht nur Sicherheitslücken besonders gut erkennen, sondern daraus eigenständig funktionierende Angriffe bauen. Wenige Wochen zuvor zog Google seinen Zeitplan für die Umstellung auf Post-Quanten-Kryptografie deutlich nach vorn, auf 2029. Zwei Technologieschlagzeilen, die zusammengenommen eine tiefere Verschiebung markieren.
Die digitale Sicherheit gerät gleich von zwei Seiten unter Druck: durch automatisierte Angriffe und durch eine mögliche Erosion der Verschlüsselung.
Dass KI Fehler in Software aufspürt, ist nicht neu. Neu ist der qualitative Sprung vom Befund zum Einbruch. Anthropics Vorgängermodell konnte Schwachstellen identifizieren. Das ist nützlich, aber noch kein Angriff, und dieser Unterschied ist erheblich. Es ist etwas anderes, eine schlecht schließende Tür zu bemerken, als sie zu öffnen, einzutreten und das Gebäude zu übernehmen. Genau an dieser Schwelle setzt Mythos an. In einem von Anthropic beschriebenen Vergleichstest sollten zwei Modelle Schwachstellen in der Firefox-JavaScript-Engine von Mozialla finden und daraus Angriffe entwickeln. Das ältere Modell kam in hunderten Versuchen nur auf wenige Schwachstellen. Mythos dagegen lieferte eine Trefferquote in ganz anderer Größenordnung, es war 90 Mal effektiver als vorherige Modelle.
Der entscheidende Punkt liegt nicht nur in der Zahl, sondern auch in der Art der Leistung. Das Modell soll Zero-Day-Lücken in verbreiteten Betriebssystemen und Webbrowsern gefunden haben, also Schwachstellen, die zuvor nicht bekannt waren. In einem Fall blieb ein solcher Fehler demnach 27 Jahre unentdeckt. In einem anderen verband das System mehrere Schwachstellen zu einer Kette und arbeitete sich durch verschiedene Sicherheitsschichten. Aus einer Lücke wurde eine Route.
Anthropic beschreibt diese Fähigkeit in seinem Claude-Modell nicht als gezielt eingebauten Angriffsmodus, sondern als Nebenprodukt allgemeiner Verbesserungen im Codeverständnis und im logischen Schlussfolgern. Gerade das macht die Sache so heikel.
Was Modelle besser im Reparieren macht, macht sie offenkundig auch besser im Zerstören.
Noch beunruhigender ist eine zweite Konsequenz. Solche Fähigkeiten waren lange das Feld weniger Spezialisten. Wer komplexe Schwachstellen ausnutzen wollte, brauchte jahrelange Erfahrung mit Betriebssystemen, Speicherverwaltung, Netzwerkprotokollen und Exploit-Entwicklung. Diese hohe Eintrittsbarriere war nie Garantie einer digitalen Sicherheitsbarriere. Aber sie war ein faktischer Schutz, weil ihre Überwindung bisher immer sehr viel Zeit in Anspruch nahm.
Genau dieser Schutz beginnt zu bröckeln. Anthropic schildert einen Test, in dem Mitarbeiter ohne formale Sicherheitsausbildung das Modell abends baten, eine Schwachstelle für eine Fernübernahme zu finden. Am nächsten Morgen lag ein einsatzfähiges Angriffswerkzeug vor. Das ist mehr als eine technische Anekdote. Es beschreibt eine tektonische Verschiebung: Was früher Jahre an Wissen, Übung und Erfahrung erforderte, rückt in die Nähe eines Prompts.
Damit verändert sich die Bedrohungslage nun grundsätzlich. Hochentwickelte Cyberangriffe auf kritische Systeme waren bislang vor allem Sache staatlicher Dienste oder sehr kleiner, hochspezialisierter Gruppen. Wenn leistungsfähige Modelle diese Hürde absenken, verlieren Fachwissen und Zugang ihre alte Trennschärfe. Nicht jeder wird dadurch sofort zum Angreifer. Aber die Zahl potenziell befähigter Akteure steigt.
Die eigentliche Wucht entsteht dort, wo Einzelleistung in Skalierung umschlägt. Anthropic spricht von tausenden zusätzlich identifizierten Schwachstellen mit hoher oder kritischer Einstufung. Zugleich sollen mehr als 99 Prozent davon noch ungepatcht sein. Das ist deshalb entscheidend, weil IT-Sicherheit bisher auf einem Zeitfenster beruhte. Wird eine Lücke bekannt, beginnt immer ein Rennen, denn Verteidiger müssen aktualisieren, bevor Angreifer aus einer abstrakten Schwachstelle ein praxistaugliches Werkzeug machen. Dieser Puffer war oft entscheidend. Zwischen Kenntnis und funktionierendem Angriff lagen bisher nicht selten Tage oder Wochen.
Wenn Modelle diesen Abstand auf Stunden oder wenige Tage verkürzen, kippt das Verhältnis. Anthropic beschreibt einen Test mit 100 bekannten Schwachstellen im Betriebssystem Linux. Das Modell filterte daraus potenziell ausnutzbare Fälle und entwickelte für einen erheblichen Teil funktionierende Werkzeuge. In einem Fall reichten offenbar eine Kennnummer der Schwachstelle und der Verweis auf die betroffene Codestelle, um in weniger als einem Tag zu einem sogenannten Exploit zu gelangen, also einer Angriffssoftware.
Das ist der Moment, in dem aus Forschung industrielle Taktung wird. Nicht der einzelne brillante Angreifer steht dann im Zentrum, sondern eine Maschine, die parallel prüft, auswählt, verkettet und umsetzt. Der Engpass verlagert sich – weg vom Finden, hin zum Reagieren und zum Angreifen.
Dass Anthropic Mythos nicht freigegeben hat, lässt sich als Ausdruck von Vorsicht lesen. In einer Branche, die neue Modellgenerationen gewöhnlich mit maximaler Lautstärke ausrollt, ist der Verzicht auf Veröffentlichung selbst eine Nachricht.
Stattdessen baute das Unternehmen mit „Project Glasswing“ ein Bündnis aus großen Technologie- und Sicherheitsakteuren auf, darunter Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia, Palo Alto Networks, Broadcom und die Linux Foundation. Bis zu 100 Millionen Dollar an Nutzungskrediten sollen dazu dienen, verwundbare Software mit Hilfe des Modells abzusichern, bevor vergleichbare Fähigkeiten auf Angreiferseite breit verfügbar werden. Das klingt verantwortungsvoll. Es ist zugleich eine Machtfrage. Denn exklusiven Zugang erhalten hier nicht neutrale Instanzen, sondern einige der mächtigsten Technologie- und Finanzkonzerne der Welt. Sie bekommen damit Einblick in ein Werkzeug, das Schwachstellen in fremder Software sichtbar machen kann – auch bei Zulieferern, Partnern, Konkurrenten.
Das Kernproblem ist nicht nur technischer Natur, sondern politisch und ökonomisch. Die entscheidenden Fragen müssen gestellt werden: Wer kontrolliert dieses Wissen? Wer überwacht seine Verwendung? Und wer entscheidet, wann Verteidigung endet und strategischer Vorteil beginnt?
So kann man bei Anthropic die Selbstdarstellung als verantwortungsvoller Hüter gefährlicher Technologie als PR-Linie leicht erkennen. Nur folgt daraus nicht, dass die Gefahr eingebildet wäre, im Gegenteil. Gerade wenn der kommunikative Rahmen durchsichtig ist, bleibt die sachliche Frage bestehen. Wie groß ist das Zeitfenster, in dem Verteidiger tatsächlich Vorsprung gewinnen können?
So ernst das alles ist – es bleibt zunächst ein Softwareproblem. Lücken lassen sich schließen, Systeme härten, Codes neu schreiben. Es ist ein Wettlauf, aber keiner ohne Gegenmittel.
Die zweite Meldung spielt in einer anderen Kategorie. Noch einmal: Google hat seinen Zeitplan für die Umstellung auf Post-Quanten-Kryptografie auf 2029 vorgezogen. Die Post-Quanten-Kryptografie (PQC) umfasst Verschlüsselungsverfahren, die so konzipiert sind, dass sie selbst von extrem leistungsstarken Quantencomputern nicht geknackt werden können. Dahinter steht die Annahme, dass Quantencomputer bestimmte heute gebräuchliche Verschlüsselungsverfahren mit deutlich weniger Aufwand brechen könnten, als bisher angenommen. Und genau darin liegt der Unterschied zur Mythos-Frage.
Hier geht es nicht um einzelne Schwachstellen, sondern um die mathematische Grundlage, auf der digitale Sicherheit überhaupt beruht.
Bild: Google-Hauptsitz in Mountain View (The Pancake of Heaven!, CC BY-SA 4.0)
Online-Banking, E-Mail, medizinische Daten, Regierungs- und Militärkommunikation. All das hängt daran, dass bestimmte mathematische Probleme für klassische Rechner praktisch unlösbar sind. Für hinreichend leistungsfähige Quantencomputer gilt das nicht in derselben Weise. Der theoretische Weg ist seit 1994 bekannt. Was fehlte, war die Maschine, die ihn in relevantem Maßstab umsetzen kann.
Deshalb hat Googles Hinweis auf den eigenen Willow-Chip Gewicht. Der eigentliche Punkt ist nicht nur eine spektakuläre Rechenleistung, sondern die Aussicht auf Skalierung, also mehr Leistung bei sinkender Fehleranfälligkeit. Lange war genau das der Flaschenhals der Quanteninformatik. Sollte dieser Schritt belastbar sein, ändert sich der Zeithorizont. Dann ist Post-Quanten-Kryptografie, also die Etablierung von Verschlüsselungssystemen, die selbst mit Quantencomputer nicht geknackt werden können, kein fernes Vorsorgeprojekt mehr, sondern eine Migrationsaufgabe unter Zeitdruck.
Das vielleicht Unheimlichste an der Quantenfrage ist, dass man nicht auf den fertigen Quantencomputer warten muss, um schon heute anzugreifen.
In Sicherheitskreisen heißt die Strategie „Harvest now, decrypt later“: Daten werden jetzt abgefangen und gespeichert, um sie später zu entschlüsseln, sobald die technischen Voraussetzungen ausreichen. Wer heute Kommunikation, Gesundheitsdaten, Forschungsunterlagen oder Geschäftsgeheimnisse mit langem strategischem Wert sammelt, investiert damit in die Zukunft der Entschlüsselung. Deshalb ist diese Bedrohung nicht abstrakt. Sie läuft bereits an. Denn die nächste Eskalationsstufe besteht darin, dass solche Akteure zusätzlich Zugang zu stark automatisierten Angriffssystemen erhalten oder mittelbar von einer Erosion klassischer Verschlüsselung profitieren. Dann würden zwei Entwicklungen zusammenfallen: KI senkt die operative Hürde des Angriffs, Quantencomputing bedroht die mathematische Integrität des Schutzes.
Daraus ergibt sich eine Konsequenz, die technisch naheliegt und politisch unerquicklich ist. Wenn Angriffe mit der Geschwindigkeit autonomer Systeme entstehen und Abwehrmaßnahmen in immer kürzeren Zyklen reagieren müssen, wird der Mensch im laufenden Gefecht zum Flaschenhals. Die Verteidigung kritischer Infrastrukturen wird deshalb zunehmend an Systeme delegiert werden, die ihrerseits hochautonom agieren. Maschinen werden dann Maschinen abwehren, und das auf beiden Seiten.
Das wäre nicht einfach ein weiterer Technologiesprung. Es wäre eine neue Sicherheitsordnung, in der die operative Geschwindigkeit der Systeme das menschliche Urteilsvermögen überholt. Genau dort beginnt die eigentliche Zumutung dieser Entwicklung. Nicht nur, dass die Werkzeuge mächtiger werden. Auch ihre Steuerung hält immer schwerer mit der von ihnen erzeugten Dynamik Schritt.
Dass Anthropic einen Psychiater mit seinem Modell sprechen ließ, wirkt auf den ersten Blick wie eine kuriose Episode. Auf den zweiten Blick ist es ein Symptom. Ein Unternehmen versucht, Verhaltensmuster eines Systems zu verstehen, das es selbst gebaut hat und dessen Gefahren es zugleich öffentlich betont. Das ist keine Science-Fiction mehr, aber ein aus ihr vertrautes Motiv. Das erinnert mich doch sehr an meine Science-Fiktion-Literatur, die ich in meiner Jugend gelesen habe. Der Science-Fiction-Autor Isaac Asimov ließ seine Roboterpsychologin Susan Calvin genau dort auftreten, wo technische Systeme in Konflikte geraten, die ihre Schöpfer nicht mehr souverän beherrschen. Seine Robotergesetze, bereits 1942 formuliert, waren Literatur, keine Betriebsanleitung.
Zur Erinnerung: Diese Regeln sind ethische Richtlinien, die verhindern sollen, dass Roboter Menschen schaden. Die drei Gesetze der Robotik besagen, frei übertragen auf künstliche Intelligenzen:
In der Literatur wird noch ein „Nulltes Gesetz“ ergänzt, um das Überleben der Menschheit als Ganzes über das Individuum zu stellen. Sinngemäß übersetzt würde es lauten:
Eine KI darf die Menschheit nicht verletzen oder durch Untätigkeit zulassen, dass die Menschheit Schaden erleidet.
KI senkt die operative Schwelle für Angriffe, Quantencomputing bedroht die mathematische Basis der Verteidigung. Dazwischen agieren Staaten und Konzerne mit eigenen Interessen und asymmetrischem Zugriff auf Wissen. Das Zeitfenster für Gegenmaßnahmen schrumpft dramatisch. Sicherheit wird damit weniger zur Frage einzelner Patches als zur Frage struktureller Kontrolle. Wer die Werkzeuge besitzt, definiert die Regeln. Die eigentliche Zäsur liegt nicht im nächsten Hack, sondern im Verlust verlässlicher Schutzprinzipien.
Bastian Alexander Werner hat am Kompaktkurs Journalismus an der Freien Akademie für Medien & Journalismus teilgenommen.
Newsletter: Anmeldung über Pareto