Seit Anthropic das KI-Modell "Claude Mythos Preview" vorgestellt hat, ist die Cybersecurity-Szene in Aufruhr. ETH‑Professor Florian Tramèr erklärte
dazu im Interview: "Gemäss Anthropic kann man diesem Modell riesige Mengen an Quellcode geben und dann einfach sagen: 'Suche Sicherheitslücken'." Das sei beeindruckend. Und gleichzeitig beunruhigend, weil Cyberangriffe dadurch einfacher werden.
Anthropic hat bis jetzt keine Pläne, Mythos breit zu veröffentlichen. Einen Zugang haben bisher nur ausgewählte Unternehmen und Organisationen, damit sie Schwachstellen in ihrer Software schliessen können. Allerdings haben sich laut Berichten bereits "einige wenige Unbefugte"
Zugang zu dem Modell verschafft.
Noch keine Bacs-Analyse von Mythos
Noch ausgeschlossen von Mythos ist bislang das Bundesamt für Cybersicherheit (Bacs). Man habe deshalb noch keine eigenen Analysen der Fähigkeiten des Modells durchführen können, schreibt das Bacs in einer aktuellen Einschätzung "Mythos und anderen KI-Systemen beim Schwachstellenmanagement". Tests von anderen Organisationen wie dem britischen Artificial Intelligence Security Institute würden aber zeigen, dass Mythos verwundbare Unternehmensumgebungen autonom angreifen könnte.
"Auch wenn nicht geklärt ist, wie weit die Fähigkeiten von KI-Modellen zur autonomen Durchführung von Cyberangriffen tatsächlich gehen, schätzt das Bacs die Bedeutung der Entwicklung im Bereich der KI für die Cybersicherheit als hoch ein, weil KI die Arbeit von Cyberkriminellen stark vereinfacht", so das Bundesamt. Die Geschwindigkeit bei der Entwicklung und Durchführung von komplexen Cyberangriffen werde rasch zunehmen, was die Kosten und den Zeitbedarf für solche Angriffe deutlich senke. In erster Linie würden vermutlich Akteure profitieren, welche bereits heute über Erfahrung in der Planung und Durchführung von Cyberangriffen verfügen.
Zur
Lage bei den Schwachstellen hatte sich das Bundesamt kürzlich gegenüber inside-it.ch geäussert. Das Bewusstsein für die Thematik sei in der Schweiz generell gestiegen. "Trotzdem stösst das Bacs immer wieder auf kritische Schwachstellen, die nicht zeitnah gepatcht wurden. Zeitnahes Patchen ist und bleibt die effektivste Verteidigungsstrategie für jedes Unternehmen."
Mehr Schwachstellen in kürzerer Zeit
Vor dem Hintergrund der KI-Entwicklungen müsse Cyberresilienz von Unternehmen noch stärker im Zentrum stehen, heisst es jetzt in den neuen
Empfehlungen (PDF). "Das Bacs rechnet damit, dass in Zukunft mehr Schwachstellen in kürzerer Zeit gefunden werden." Neue KI-Modelle würden es aber auch den Angreifern ermöglichen, Schwachstellen zu analysieren, priorisieren und für ihre Zwecke zu kombinieren. "KI wirkt wie ein Beschleuniger der bestehenden Risiken, da Schwachstellen schneller entdeckt werden und Schadsoftware schneller entwickelt wird."
Ein positiver Nebeneffekt sei hingegen, dass dadurch Systeme mittelfristig weniger Schwachstellen haben und somit generell sicherer sein werden. Wenn Sicherheitsforschende durch Werkzeuge wie Mythos neue Lücken entdecken, die einen Bezug zur Schweiz aufweisen oder von Schweizer Forschern gemeldet werden, könne das Bacs die Koordination mit den Herstellern übernehmen und den Prozess bis zur Publikation begleiten. Weiter stehe das Bundesamt auch im Austausch mit internationalen Expertinnen und Experten und versuche gemeinsam mit anderen europäischen Behörden, direkte Informationen über neue KI-Modelle zu erhalten.