Ein geschickt eingefädelter Marketing-Coup oder tatsächlich eine neue Bedrohungslage? Am 7. April stellte der US-Software-Konzern Anthropic das Programm "Claude Mythos Preview" vor, eine hochfähige künstliche Intelligenz (KI), die unter anderem beim Erkennen und Ausnutzen von Software-Schwachstellen menschlichen Profis weit überlegen ist, wie Anthropic informiert. Seitdem häufen sich im Finanzwesen die Krisensitzungen und die Diskussionen über die Stabilität der Märkte.  

Auch in Österreich ist das Thema angekommen. "FMA und OeNB stehen zu 'Mythos' in engem Austausch und sind auch in Kontakt mit der Fed", sagte FMA-Sprecher Boris Gröndahl zur Redaktion. "Mythos" sei aber nicht isoliert zu betrachten und stelle keine fundamental neue Bedrohungslage dar, sondern sei Teil der generell leistungsfähiger werdenden KI-Entwicklungen. Am Montag (20.4.) hat die FMA jedenfalls auf ihrer DORA-Serviceseite (EU-Verordnung Digital Operational Resilience) einen Informationstext zur "Mythos"-KI veröffentlicht.

FMA: Druck auf Unternehmen steigt
Dort heißt es, auf Finanzunternehmen werde der Druck "deutlich steigen". Diese müssten damit rechnen, dass künftig mehr Sicherheitslücken entdeckt werden. IKT-Verantwortliche sollten ihre Systeme verstärkt auf eine erhöhte Beanspruchung testen und dabei auch Drittdienstleister einbinden, so die Empfehlung.  

Ob die Institute in Österreich bereits gezielte Maßnahmen ergreifen, konnte bei den gesetzlichen Interessensvertretern vorerst nicht in Erfahrung gebracht werden. Die Sparte Bank und Versicherung in der Wirtschaftskammer antwortete nicht auf eine Anfrage.

Behörden global alarmiert
Weltweit loten gerade Finanzminister und Aufseher Schritte aus, um sich gegen Hacker-Attacken zu wappnen, bei denen "Mythos" zum Einsatz kommt. Fed-Chef Jerome Powell und US-Finanzminister Scott Bessent reagierten kurz nachdem Anthropic über sein Produkt informiert hatte und zitierten die Wall-Street-Banken zu einer Dringlichkeitssitzung über Cybergefahren.

"Claude Mythos" war auch bei den in der Vorwoche abgehaltenen Frühlingstreffen des Internationalen Währungsfonds (IWF) und der Weltbank eines der wichtigen Themen und lief beinahe dem Nahostkonflikt den Rang ab, wie die "Financial Times" berichtete. Von einer "sehr ernsten Herausforderung für uns alle", sprach Andrew Bailey, Gouverneur der Bank of England, beim IWF-Treffen. Christine Lagarde, Chefin der Europäischen Zentralbank (EZB), sagte im Umfeld des Meetings: "Wenn es in die falschen Hände gerät, könnte es wirklich schlimm werden." Gegenüber Bloomberg-TV betonte sie, die bestehenden Governance-Rahmen würden die Gefahren kaum abbilden, "wir müssen daran arbeiten".

Abstimmungen in Deutschland 
Deutsche-Bank-CEO Christian Sewing sagte soeben gegenüber Reuters: "Wir sind in engem Kontakt mit europäischen Aufsehern wegen 'Mythos'." Bereits vor Tagen hat der Bundesverband deutscher Banken gemeinsame Abstimmungen mit dem Finanzministerium und weiteren Behörden zur Sache bestätigt.

Anthropic warnte bei der Vorstellung von "Mythos" quasi im Beipackzettel selbst vor den Gefahren seines Produkts für die öffentliche Sicherheit. Laut einem Blog-Beitrag des Unternehmens hat "Claude" "Tausende" Schwachstellen in gängigen Anwendungen entdeckt. Darunter ein 27 Jahre nicht detektiertes Problem im als sicher geltenden Betriebssystem OpenBSD und eine 16 Jahre alte Lücke im weltweit gut getesteten Bild- und Videoformat FFmpeg. "Mythos" sei zudem in der Lage, innerhalb weniger Stunden Programme zu schreiben, um diese Schwachstellen auszunutzen, wofür Experten Wochen brauchen würden.

Kleiner Anwenderkreis
Vorerst haben offiziell nur gut 50 Unternehmen und Organisationen Zugang zu "Mythos". Aus Sicherheitsgründen, um die sensible Infrastruktur anzupassen, wie Anthropic erklärt. Es gibt aber auch Wettbewerbs- und Marketing-Vermutungen. Offiziell wurden in den Testlauf unter dem Namen "Glasswing" nur US-Unternehmen einbezogen.  

Auf der Liste stehen Namen wie Amazon Web Services, Apple, Broadcom, Google (Alphabet), Microsoft, Nvidia, Linux, Crowdstrike, Cisco. Im Finanzwesen haben zahlreiche Wall-Street-Banken Zugang. JP Morgan Chase wurde von Anthropic direkt als "Launch-Partnerin" benannt. Goldman Sachs und Morgan Stanley haben ihren Zugang zu "Mythos" in der Zwischenzeit selbst bestätigt. BNY deutete das ebenfalls an. Reuters zitiert mit der Sache vertraute Personen, wonach zumindest auch die Bank of America und die Citigroup das System testen.

Britische Banken bald Anwender
Europäische Banken zählen indes bis jetzt nicht offiziell zu den Anwendern. Der "Guardian" berichtete jedoch vergangenen Freitag (17.4.), Anthropic werde seine KI in den kommenden Tagen bei britischen Instituten ausrollen. Abgesehen davon ist davon auszugehen, dass europäische Geheimdienste die Software nutzen. So hat das KI-Sicherheitsinstitut AISI der britischen Regierung (AI Security Institute) knapp eine Woche nach der Bekanntgabe der "Glasswing"-Initiative einen Testbericht zu "Mythos Preview" online gestellt.

Zudem häufen sich in den vergangenen Tagen die Berichte, wonach der US-Auslandsgeheimdienst NSA das Tool bereits einsetzt. Erstaunlich ist das, weil Anthropic sich in einem Rechtsstreit mit der Regierung befindet, nachdem es einen Einsatz seiner KI zu bestimmten militärischen Zwecken ablehnt. US-Präsident Donald Trump übt Druck aus und hat den Bundesbehörden die "Mythos"-Anwendung untersagt. Das Verteidigungsministerium, dem die NSA unterstellt ist, bezeichnet "Mythos" als Sicherheitsrisiko. Vergangene Woche kam es laut Medienberichten jedoch zu einem Treffen zwischen Anthropic-Führungskräften mit dem Verteidigungsministerium.

Wie stark ist "Mythos"?
Über die tatsächliche Leistungsfähigkeit von "Claude Mythos Preview" ist angesichts des eingeschränkten Nutzerkreises wenig bekannt. Dass Anthropic sein Produkt über ein exklusives Test-Szenario an den Markt bringt und das mit den Gefahren argumentiert, wurde in etlichen Berichten als Marketing-Aktion gewertet. Immerhin sind zunehmende Cyberbedrohungen durch ständig schlagkräftiger werdende KI-Tools längst Realität.

Die britische KI-Behörde AISI teilt in ihrem Bericht jedenfalls nicht die dystopische Aufregung, an deren Verbreitung Anthropic selbst beteiligt ist, stellt aber fest, dass "Mythos Preview" bei Cyberangriffen stärker ist als andere Anwendungen. Besonders treffe das auf schlecht geschützte und kleinere Systeme zu. Ausdrücklich weist AISI darauf hin, dass seine Untersuchung nicht nachweisen könne, wie leicht "Mythos" gut gerüstete Systeme kompromittieren kann. Es brauche künftig realistischere, verteidigte Szenarien, um die tatsächlichen Bedrohungen zu beurteilen. (eml)