Schwachstellen-KI wirft neue Sicherheitsfragen auf

Das vor gut zwei Wochen vorgestellte KI-Werkzeug des US-Unternehmens Anthropic zum Aufspüren von Software-Schwachstellen bereitet den Verantwortlichen in mehreren deutschen Behörden Kopfzerbrechen. Denn zu der Sorge, das wirkmächtige KI-Modell könne in die falschen Hände geraten, gesellt sich inzwischen auch die Befürchtung, Schwachstellen als Zugang für die Aufklärung verschlüsselter Kommunikation - etwa von Terroristen - könnten in Zukunft womöglich nur noch ausgewählten Behörden in den USA zur Verfügung stehen. Offiziell äußern sich die Verantwortlichen vorsichtig zu den mit Claude Mythos Preview verbundenen Herausforderungen und Risiken. 

Schwachstellen zu schließen ist erst einmal gut

«Es ist zunächst eine gute Entwicklung, wenn Schwachstellen schneller gefunden und geschlossen werden können», teilt der Leiter der Abteilung Cybercrime beim Bundeskriminalamt (BKA), Carsten Meywirth, auf Anfrage mit. Die Erfahrung zeige jedoch, dass sich cyberkriminelle Vorgehensweisen und Angriffsvektoren sehr schnell an den Stand der Technik anpassten. Diese Dynamik lasse sich nicht einseitig aufhalten. 

Meywirth betont: «Cybersicherheit bleibt deshalb auch in Zukunft eine Gemeinschaftsaufgabe im steten Zusammenspiel von Software-Herstellern, Anwendern, privaten Sicherheitsdienstleistern und Behörden.» Als Zentralstelle der deutschen Polizei fördere das BKA dabei die nationale und internationale Zusammenarbeit, auch mit dem privaten Sektor.

KI-Modell soll nicht öffentlich zugänglich sein

Mythos gelang es laut Anthropic, zum Teil über Jahrzehnte unentdeckt gebliebene Sicherheitslücken in verschiedener Software zu finden. In den falschen Händen könnte das KI-Modell deshalb zur Entwicklung gefährlicher Cyberwaffen führen. Anthropic hat keine Pläne, Mythos zu veröffentlichen - und gewährt bisher Zugang für ausgewählte Unternehmen und Organisationen, damit sie Schwachstellen in ihrer Software schließen können. 

Sensibles Thema

Wie heikel das Thema ist, zeigt eine Antwort des Bundesfinanzministeriums auf die Frage, wie das Ministerium mit der Entwicklung des neuen potenziell gefährlichen KI-Modells umgehe. Das Informationstechnikzentrum Bund, der zentrale IT-Dienstleister der Bundesverwaltung, analysiere aktiv die Lage mit Blick auf Softwareschwachstellen. Zugleich bat das Finanzministerium um Verständnis, dass «zu den Details vorgenommener Schwachstellenanalysen» und damit zusammenhängender Prozesse «aus Gründen der Sensibilität des Themas öffentlich keine weitergehenden Auskünfte gegeben werden können».

BSI wies früh auf Umwälzungen hin

Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte bereits kurz nach der Vorstellung von Claude Mythos Preview erklärt, das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte «Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt». 

Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. «Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.» Zudem stelle sich die Frage, ob und wenn ja wie lange derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. «Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität.»