Übergang in eine Ära

Die Detection-Ära nähert sich dem Ende: Wie Mythos alles verändert

Claude-Mythos
Bildquelle-gguy-Shutterstock.com

Neue Frontier-KI-Modelle wie Mythos identifizieren und operationalisieren Schwachstellen schneller, als Unternehmen patchen und reagieren können.

Damit geraten Prävention und Detection strukturell an ihre Grenzen: Wenn das Zeitfenster zwischen Angriff und Schaden gegen null geht, beschreibt Erkennung oft nur noch, was bereits passiert ist. Gefragt ist ein Paradigmenwechsel hin zu präemptiver Cyberresilienz, die Wiederherstellung als Designprinzip verankert. So bleiben Unternehmen handlungsfähig, auch wenn der Angriff bereits erfolgreich war.

Anzeige

„Detection buys time“ war lange ein tragender Grundsatz der IT-Sicherheit. Die Annahme dahinter: Angreifer brauchen Zeit, um sich in einer Umgebung zu orientieren, Berechtigungen auszuweiten und ihren Angriff zum Abschluss zu bringen. Diese Zeit war der Puffer für die Verteidiger. Erkennung sollte nicht zwingend verhindern, aber früh genug sichtbar machen, damit Gegenmaßnahmen greifen können.

Mit neuen KI-Hochleistungsmodellen verschiebt sich dieses Zeitgefüge. Als Anthropic Anfang April bekannt gab, dass ein damals noch unveröffentlichtes Frontier-Modell namens Mythos Tausende hochkritische Schwachstellen identifiziert habe, darunter in allen großen Browsern und Betriebssystemen, wurde ein Trend sichtbar: Schwachstellen lassen sich zunehmend mit Maschinengeschwindigkeit finden, bewerten und in Angriffspfade überführen. Entscheidend ist weniger das einzelne Modell als die neue Taktung. Was heute „State of the Art“ ist, kann Wochen später bereits überholt sein.

Detection, Patch-Zyklen und Reaktion unter Druck

KI-gestützte Angriffe verändern die Dwell Time, also die Zeitspanne, bis ein Angriff sichtbar wird und Schaden entsteht. Was früher Stunden oder Tage dauern konnte, schrumpft auf Minuten oder Sekunden, wie auch Gartner bestätigt. In diesem Szenario verliert Detection ihren Status als Schutzinstrument, weil sie oft nur noch beschreibt, was bereits passiert ist. Das ist keine Absage an Monitoring oder SOC-Prozesse. Es ist die Feststellung, dass traditionelle Sicherheitsmodelle auf einer Zeitreserve beruhen, die zunehmend verschwindet.

Anzeige

Diese Beschleunigung trifft auf eine bekannte Schwäche vieler Organisationen: Patch-Rückstände. Mehr als 88 Prozent der bekannten Schwachstellen großer Unternehmen sind sechs Monate nach ihrer Veröffentlichung noch immer ungepatcht. Bei menschlicher Angriffsgeschwindigkeit war das riskant, aber oft durch richtige Priorisierung beherrschbar. Wenn jedoch KI-Systeme neue Lücken kurzfristig in praktikable Exploits übersetzen können, wird jedes offene Zeitfenster zur Einladung. Prävention bleibt essenziell, ist aber allein nicht mehr ausreichend, weil sie gegen eine maschinell skalierte Analyse- und Exploit-Fähigkeit anläuft.

Neben der Prävention gerät auch die klassische Reaktionslogik unter Druck. Incident Response rechnet oft mit sequenziellen Vorfällen, die menschliche Teams untersuchen, eindämmen und schrittweise abarbeiten. KI-gestützte Angriffe können parallel, automatisiert und in einer Größenordnung auftreten, die operative Kapazitäten überfordert. Damit verschiebt sich der Schwerpunkt: Reaktion muss im Kern vorab in Technik, Playbooks und Automatisierung gegossen werden, statt erst im Ernstfall mit manueller Koordination zu beginnen.

Neue Angriffsflächen: Daten, Identitäten, Agenten

Gleichzeitig verändern sich die Ziele:

  1. Daten inklusive KI-Daten: Datenbestände sind längst nicht mehr nur „zu schützen“, sondern aktiv zu verifizieren. In KI-Umgebungen kommen neue Angriffspunkte hinzu, etwa Vektor-Datenbanken und Retrieval-Systeme. Werden solche Datenquellen manipuliert, kann ein KI-System konsistent falsche oder schädliche Ausgaben erzeugen, ohne dass traditionelle Endpoint- oder Network-Security zwingend anschlägt.
  2. Menschliche und nichtmenschliche Identitäten: Gestohlene Credentials, gefälschte Tokens, MFA-Bypasses und fehlkonfigurierte Berechtigungen bleiben zentrale Hebel. Neu ist die Masse und die Automatisierung: Service Accounts, API Keys und Workload-Identitäten vervielfachen die Angriffsfläche. Wer Identitäten kontrolliert, braucht oft keinen Exploit mehr.
  3. Autonome Agenten: KI-Agenten, die mit echten Rechten Prozesse ausführen, werden zu einem eigenen Risikofeld. Wenn Agenten manipuliert werden, entstehen Schäden, die weniger wie ein externer Angriff aussehen und eher wie legitime Aktionen innerhalb erlaubter Systeme wirken. Damit werden Guardrails, Laufzeitüberwachung und klare Policy-Grenzen von Governance-Themen zu Sicherheitsanforderungen.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Präemptive Cyberresilienz statt „Nachsorge“

Die entscheidende Konsequenz ist konzeptionell: Recovery darf nicht länger als nachgelagerte Maßnahme verstanden werden. Wenn das Zeitfenster zwischen Angriff und Schaden gegen null geht, kommt eine Wiederherstellung, die erst im Ernstfall vorbereitet wird, zu spät. Benötigt wird präemptive Cyberresilienz, also Wiederherstellungsfähigkeit als Designprinzip.

Praktisch heißt das: Unternehmen müssen im Normalbetrieb kontinuierlich definieren, was ein sauberer, wiederherstellbarer Zustand ist. Abhängigkeiten zwischen Anwendungen, Identitäten, Konfigurationen und Daten müssen so vorbereitet sein, dass ein Wiederanlauf automatisiert möglich wird. Die forensische Einordnung, die sonst erst nach dem Vorfall beginnt, muss stärker als dauerhafter Hintergrundprozess gedacht werden, damit im Ernstfall nicht erst ermittelt werden muss, welche Daten und Systeme vertrauenswürdig sind.

Gartner betont in diesem Zusammenhang, dass neben Cyberresilienz präemptive Fähigkeiten benötigt werden, um KI-getriebene Bedrohungen zu adressieren. Entscheidend bleibt: Sicherheit misst sich weniger daran, ob ein Angriff vollständig verhindert wurde, sondern daran, wie schnell kritische Services wieder zuverlässig laufen.

Fazit

Mythos steht für den Übergang in eine Ära, in der Angriffe mit Maschinengeschwindigkeit ablaufen und Zeit als Puffer verschwindet. Prävention, Detection und klassische Reaktion bleiben wichtig, reichen aber in ihrer bisherigen Logik nicht mehr aus. Die strategische Antwort ist präemptive Cyberresilienz: Wiederherstellung, sauberer Zustand und automatisierter Wiederanlauf müssen vor dem Vorfall als Betriebskonzept existieren. Die zentrale Frage lautet: Wie schnell ist das Unternehmen nach einem erfolgreichen Angriff wieder vollständig handlungsfähig?

Schwaak

Frank

Schwaak

Field CTO EMEA

Rubrik

Seit über 20 Jahren ist Frank Schwaak als Data Protection und Recovery Spezialist tätig. 
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.