Der Mythos-Effekt und das Ende von „Business as usual“ für Security Operations und Risikomanagement

Etwas hat sich in der Cybersicherheit grundlegend verändert

Claude Mythos, das Frontier-KI-Modell von Anthropic, markiert den Beginn dessen, was die Cloud Security Alliance als einen „KI-getriebenen Schwachstellensturm“ bezeichnet hat: eine Welt, in der Schwachstellen mit Maschinengeschwindigkeit entdeckt und ausgenutzt werden.

Dies ist ein Moment der massiven Beschleunigung: Zeitfenster verkürzen sich drastisch, Angriffsflächen erweitern sich, und Unternehmen sind gezwungen, ihre Ansätze für Security Operations, Softwareentwicklung, Risikomanagement und letztlich ihre geschäftliche Resilienz neu zu denken.

The Mythos Effect“ ist eine neue Blogserie von Bitsight, die die Auswirkungen agentenbasierter Modelle wie Anthropic’s Mythos auf Sicherheits- und Risikoprogramme von Unternehmen untersucht. Wir beleuchten eine Reihe von Themen, darunter die stark verkürzte Zeit zwischen der Identifizierung und Ausnutzung von Schwachstellen, die Frage, was passiert, wenn das Ausmaß der Exponierung bestehende Priorisierungssysteme überfordert, sowie die wachsende Angriffsfläche, die zunehmend über die Grenzen des eigenen Netzwerkperimeters hinausgeht.

Darüber hinaus betrachten wir auch die andere Seite der Gleichung: die dynamische Welt der Bedrohungsakteure und die neuen Möglichkeiten, die diese Werkzeuge für ihre Aktivitäten schaffen. Abschließend werfen wir einen strategischen Blick auf die Auswirkungen für Exposure, Risiko, Resilienz und den neuen Handlungsauftrag für diejenigen, die all dies verantworten.

Unser Ziel ist es, Führungskräften sowohl Einblicke als auch Best Practices an die Hand zu geben, um Antworten auf einige der schwierigsten Fragen der heutigen Cybersicherheitslandschaft zu finden.

Was ist Mythos?

Mythos ist das kommende Frontier-KI-Modell von Anthropic. Neben weiteren Fortschritten bei seinen Fähigkeiten hat sich gezeigt, dass es außergewöhnlich gut darin ist, Software-Schwachstellen zu entdecken und, entscheidend, Exploits dafür zu entwickeln.

Diese Kombination ist relevant.

Historisch gesehen waren die Entdeckung von Schwachstellen und deren Ausnutzung durch Zeit, Fachwissen und Aufwand voneinander getrennt. Mythos lässt diese Lücke verschwinden. In vielen Fällen erfolgen Entdeckung und Ausnutzung heute nahezu gleichzeitig, wodurch das traditionelle „Sicherheitsfenster“, auf das Verteidiger bisher angewiesen waren, entfällt. Dadurch wird Cyberkriminalität demokratisiert, da die technische Raffinesse, die für das Finden und Ausnutzen einer Schwachstelle erforderlich ist, deutlich sinkt.

Ein unerfahrener Angreifer mit geringem technischem Hintergrund muss heute keine Exploit-Ketten mehr verstehen, keine Patches rückentwickeln oder maßgeschneiderte Malware schreiben. Mit KI kann ein sogenanntes „Script Kiddie“ ein Modell einfach bitten, verwundbare internetexponierte Systeme zu identifizieren, funktionsfähigen Exploit-Code zu generieren, Phishing-Köder auf eine Zielorganisation zuzuschneiden und nach erfolgreichem Zugriff laterale Bewegungen zu automatisieren.

Ein Angreifer, der früher darauf angewiesen war, Code-Fragmente aus Foren zu kopieren, kann heute anspruchsvolle Kampagnen über natürliche Spracheingaben und autonome Agenten orchestrieren.

Das Ergebnis ist ein sprunghafter Anstieg der Geschwindigkeit und Häufigkeit von Angriffen. Was früher Monate dauerte, kann heute in Stunden oder Minuten geschehen. Was früher für Teams mit Unterstützung von Tools noch handhabbar war, wächst nun um Größenordnungen und erzwingt ein Wettrüsten nach dem Prinzip „Maschine gegen Maschine“.

Ressourcen wie die Zero-day Clock zeigen bereits besorgniserregende Trends bei der Zeit bis zur Ausnutzung und der Häufigkeit von Zero-Day-Schwachstellen, während KI zunehmend Fuß fasst und das noch bevor Modelle wie Mythos überhaupt verfügbar sind.

Die CSA beschreibt Mythos nicht als bloßes Tool, sondern als eine treibende Kraft: KI-gestützte Schwachstellenerkennung beschleunigt sich schneller, als Verteidiger ihre Reaktion operativ umsetzen können.

Auswirkungen und Folgen: Der Zusammenbruch von Sicherheitszeitfenstern

Die unmittelbarste Auswirkung des Mythos-Effekts ist der Verlust von Zeit als defensivem Puffer.

• Schwachstellen werden in großem Umfang entdeckt werden.
• Exploits werden unmittelbar folgen.
• Angriffskampagnen werden sich überschneiden und vervielfachen.

Der traditionelle Lebenszyklus des Schwachstellenmanagements bricht unter diesem Druck zusammen. Patch-Zyklen, Priorisierungsprozesse und Remediation-SLAs wurden für eine langsamere Welt entwickelt.

Diese Welt gibt es nicht mehr.

Security-Teams werden nun aufgefordert, mit „Maschinengeschwindigkeit“ zu reagieren ein Tempo, für das heutige Betriebsmodelle nie ausgelegt waren. Und es ist nicht nur die eigene Umgebung, um die sie sich sorgen müssen, sondern auch das stetig wachsende Netzwerk aus Lieferanten und Partnern, auf das sie angewiesen sind, um den Geschäftsbetrieb aufrechtzuerhalten.

Die Flutwelle an Schwachstellen

Ein zweites sichtbares Symptom des Mythos-Effekts ist die Flutwelle an Schwachstellen: eine bevorstehende Zunahme von Warnmeldungen über Software, Infrastruktur und Drittanbieter hinweg, wie sie Security-Teams bisher noch nicht erlebt haben.

Backlogs wachsen zu umfangreichen Beständen an, während neue Exponierungen schneller entstehen, als bestehende untersucht werden können. Die Vorstellung einer handhabbaren, „priorisierten Warteschlange“ beginnt unter ihrem eigenen Gewicht zusammenzubrechen. Wenn alles als kritisch eingestuft wird, verliert „kritisch“ seine Bedeutung.

Die nachgelagerten Auswirkungen ziehen sich durch den gesamten Security-Stack. SIEM-Plattformen überfluten Analysten mit steigenden Mengen an Erkennungen, Korrelationen und Bedrohungsindikatoren, von denen viele mit neu auftretenden Exploits und sich überschneidenden Angriffskampagnen verbunden sind.

Die Alert Fatigue nimmt zu, während Teams darum kämpfen, relevante Signale vom Rauschen zu trennen. Mit der Zeit reduzieren Unternehmen nicht mehr aktiv ihr Risiko, sondern beginnen, es stillschweigend anzuhäufen. Dadurch entsteht eine gefährliche Erosion des operativen Vertrauens sowohl in die eigenen Prozesse als auch in die Systeme, die sie eigentlich schützen sollen.

Die unendliche Angriffsfläche

Mythos und andere Modelle beschleunigen einen Trend, der bereits im Gange war: das faktische Verschwinden von Grenzen. Moderne Unternehmen operieren heute über:

• Cloud-Umgebungen
• Drittanbieter-Ökosysteme
• Open-Source-Abhängigkeiten
• Hybride Infrastrukturen

KI macht es möglich, diese vernetzte Landschaft mühelos miteinander zu verknüpfen und Schwachstellen entlang der gesamten Lieferkette zu identifizieren. Risiken durch Dritt-, Viert- und n-te Parteien sind der neue Perimeter. Security-Verantwortliche stehen damit nicht mehr nur vor der Aufgabe, das eigene Haus zu schützen, sondern auch die gesamte Nachbarschaft.

Das Ergebnis ist eine nahezu unbegrenzte Angriffsfläche. Sicherheitsverantwortliche müssen nicht nur Transparenz gewinnen, sondern auch Kontrolle über Umgebungen ausüben, die außerhalb ihrer direkten Zuständigkeit liegen.

Umfassende, kontinuierliche Transparenz über dieses erweiterte digitale Ökosystem hinweg einschließlich Lieferanten und Partnern ist heute lediglich die Grundvoraussetzung. Die neue Frage lautet nicht mehr, ob man es sehen kann, sondern: Was tut man dagegen?

Shift Left

„Shift Left“ wird zu einem wesentlichen Bestandteil der Anpassung an den Mythos-Effekt werden. Reife Softwareunternehmen werden zunehmend KI über den gesamten Software Development Lifecycle hinweg einsetzen, um Schwachstellen früher zu erkennen, Code vor der Veröffentlichung zu verbessern und langfristig resilientere Produkte zu entwickeln.

Dieser Schutz wird jedoch ungleich verteilt sein. Nicht jedes Unternehmen wird sich im gleichen Tempo modernisieren. Große Mengen an Legacy-Software, nicht mehr unterstützter Infrastruktur und Open-Source-Abhängigkeiten werden noch über Jahre hinweg exponiert bleiben.

Und selbst wenn einige Organisationen ihre internen Entwicklungspraktiken verbessern, werden Angreifer weiterhin Chancen in unverwalteten externen Abhängigkeiten, schlecht abgesicherten Lieferanten und veralteter Software finden, die nach wie vor die Grundlage moderner Unternehmen bilden.

Auswirkungen und Folgen: Der Zusammenbruch von Sicherheitszeitfenstern

Nicht jedes Risiko ist gleich. In einer Welt, die von Schwachstellen überflutet wird, in der sich die Zeit bis zur Ausnutzung drastisch verkürzt und die Angriffsfläche nahezu unbegrenzt ist, wird Kontext zum entscheidenden Faktor.

• Welche Systeme unterstützen kritische Geschäftsprozesse?
• Welche Exponierungen schaffen ein echtes operatives Risiko?
• Welche Schwachstellen werden aktiv ausgenutzt?

Ohne diesen Kontext ertrinken Unternehmen im Rauschen. Sie generieren Findings, verfügen aber nicht über die Fähigkeit, diese Erkenntnisse mit geschäftlichen Auswirkungen zu verknüpfen.

Der Mythos-Effekt verstärkt dieses Problem. Wenn die Entdeckung von Schwachstellen exponentiell skaliert, wird Priorisierung zur zentralen Herausforderung. Sie lässt sich nicht lösen, wenn kein Kontext darüber vorhanden ist, was diese Schwachstellen für den Geschäftsbetrieb tatsächlich bedeuten.

Von Schutz zu Resilienz

Was daraus entsteht, ist eine Verschiebung weg vom reinen Schutz der Organisation hin zu einem höheren Anspruch. Wenn Schwachstellen mit Maschinengeschwindigkeit entdeckt und ausgenutzt werden, sind Sicherheitsvorfälle keine Ausnahmefälle mehr sie werden unvermeidlich.

Der Fokus muss sich von Schutz hin zu Resilienz verlagern:

• Wie proaktiv ist Ihr Ansatz, Schwachstellen über eine vernetzte Angriffsfläche hinweg zu entdecken?
• Wie effektiv priorisieren Sie Exponierungen in Systemen, deren Ausfall den Geschäftsbetrieb beeinträchtigen würde?
• Wie wirksam sind Ihre Investitionen und Kontrollen tatsächlich bei der Reduzierung von Risiken?

Dies erfordert einen neuen Standard der Einsatzbereitschaft, der zunehmend als „Minimum Viable Resilience“ bezeichnet wird gemessen an Faktoren wie den Kosten einer Ausnutzung und der Wirksamkeit der Eindämmung.

Erfolg wird künftig daran gemessen, ob ein Unternehmen einer Vielzahl von Bedrohungen standhalten und gleichzeitig den Geschäftsbetrieb aufrechterhalten kann.

Die operative Umsetzung des Risikomanagements über Nacht

Die Rolle des „Risk Managers“ im Unternehmen ist gerade deutlich spannender geworden. Mythos markiert das Ende eines schwerfälligen, langsamen und veralteten Risikomanagement-Prozesses. Das Risikomanagement der Zukunft wird in Echtzeit erfolgen mit aktiver, dynamischer Governance, die durch die sich ständig weiterentwickelnde Bedrohungslage informiert wird.

Das bedeutet, Risikomanagement organisationsweit operativ umzusetzen:

• Threat Intelligence in das Risikomanagement integrieren
• Drittanbieter-Risikosignale in das SOC einbringen
• Externe Exposure-Daten mit interner Telemetrie korrelieren
• Risikoannahmen kontinuierlich validieren

Die Grundlagen des Risikomanagements Segmentierung, Identitätskontrollen und Defense-in-Depth bleiben weiterhin relevant. Sie müssen jedoch kontinuierlich und in großem Maßstab angewendet werden.

Das Ende des Anfangs?

Wenn Mythos das Ende von „Business as usual“ markiert, dann markiert es zugleich den Beginn von etwas weitaus Folgenreicherem.

In den nächsten Teilen dieser Serie werden wir über die erste Schockwelle hinausgehen und uns mit den Auswirkungen zweiter Ordnung beschäftigen: Was passiert, wenn Priorisierung unter dem Druck von „alles ist kritisch“ zusammenbricht? Wie navigieren Verteidiger in einer Welt, in der Automatisierung kein Vorteil mehr ist, sondern eine Voraussetzung? Und wie entwickeln sich Bedrohungsakteure weiter, wenn dieselben Werkzeuge auch ihnen zur Verfügung stehen?

Wir werden die entstehenden Architekturen, Betriebsmodelle und Führungsentscheidungen untersuchen, die bestimmen werden, wer gewinnt und wer verliert.

Schnallen Sie sich an es wird eine wilde Fahrt!