Anthropic Claude Mythos: BSI schlägt Alarm — Was deutsche Unternehmen jetzt wissen müssen

IT-Sicherheitsanalyst prüft KI-Schwachstellenreport auf Monitoren in einem Berliner Security Operations Center
Jens Jens FischerInformationstechnologie
4 Min. Lesezeit 18. April 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 17. April 2026 direkten Kontakt mit dem US-amerikanischen KI-Unternehmen Anthropic aufgenommen — wegen eines KI-Modells, das nach eigenen Angaben zu gefährlich für eine öffentliche Veröffentlichung ist. BSI-Präsidentin Claudia Plattner bestätigte den Austausch und machte damit Deutschland zum bislang einzigen EU-Land, das offiziell mit Anthropic über das Modell namens „Claude Mythos" kommuniziert. Für deutsche Unternehmen stellt sich nun die Frage: Was bedeutet das für ihre eigene IT-Sicherheitsstrategie?

Anthropic — bekannt durch seine KI-Assistenten der Claude-Reihe — hat intern ein Sprachmodell entwickelt, das laut Bloomberg-Recherchen vom 16. April 2026 in der Lage ist, Sicherheitslücken in Software mit außergewöhnlicher Präzision zu identifizieren. Das Modell wurde unter dem internen Projektnamen „Glasswing" gesteuert und ist bislang nur ausgewählten Unternehmen wie Apple, Amazon und Microsoft zugänglich.

Die Deutsche Kreditwirtschaft (DK) teilte am gleichen Tag mit, dass sie gemeinsam mit deutschen Banken, dem Bundesfinanzministerium und Cyber-Experten die Risiken von Claude Mythos prüfe. Kolja Gabriel, Vorstandsmitglied der DK, bestätigte die laufenden Konsultationen. Deutschland reagiert damit schneller als die meisten EU-Staaten — und sendet ein klares Signal: KI-Sicherheitsrisiken müssen behördlich begleitet werden, nicht nur vom Markt.

Was macht Claude Mythos so heikel?

Klassische KI-Modelle wie GPT-4 oder frühere Claude-Versionen können theoretisch bei Sicherheitsanalysen helfen, sind aber auf den breiten Einsatz ausgelegt. Claude Mythos hingegen wurde laut Anthropic-Angaben explizit auf die Identifikation von Zero-Day-Schwachstellen — also bisher unbekannten Sicherheitslücken — trainiert.

Das Problem: Dieselbe Fähigkeit, die ein Sicherheitsaudit beschleunigt, kann im falschen Kontext zur Waffe werden. Ein böswilliger Akteur, der Zugang zu einem solchen Modell erhält, könnte kritische Infrastruktur gezielt angreifen — ohne manuelles Hacking-Know-how.

Das BSI stuft solche „Dual-Use"-KI-Modelle als besonders überwachungsbedürftig ein, wie aus der aktuellen BSI-Übersicht zu Unternehmens-Cyberrisiken hervorgeht. Auch das laufende EU AI Act-Verfahren klassifiziert hochriskante KI-Systeme in einer eigenen Risikokategorie.

Was müssen deutsche Unternehmen jetzt konkret tun?

Die Aufregung um Claude Mythos ist kein isoliertes Ereignis. Sie zeigt, wie schnell neue KI-Fähigkeiten die Bedrohungslandschaft verändern — und wie wichtig ein professionelles IT-Sicherheitskonzept ist. Folgende Punkte sollten Unternehmen jetzt überprüfen:

1. KI-Tools im Unternehmenseinsatz inventarisieren Welche KI-gestützten Dienste nutzen Ihre Mitarbeitenden? Viele Tools wie Copilot, ChatGPT oder Claude werden ohne zentrale Freigabe eingesetzt. Ein IT-Experte kann helfen, den Überblick zu behalten und Nutzungsrichtlinien zu entwickeln.

2. Lieferketten auf KI-Abhängigkeiten prüfen Cloudanbieter, Softwarehersteller und SaaS-Lösungen integrieren zunehmend KI-Module — oft ohne explizite Kommunikation an ihre Kunden. Prüfen Sie Ihre Dienstleisterverträge auf entsprechende Klauseln.

3. Sicherheitslücken-Monitoring professionalisieren Modelle wie Claude Mythos werden — in kontrollierten Umgebungen — bereits von großen Tech-Konzernen zum Auffinden von Sicherheitslücken genutzt. Auch mittelständische Unternehmen sollten regelmäßige Penetrationstests und Schwachstellenanalysen beauftragen. Mehr zu aktuellen Zero-Day-Risiken erfahren Sie in unserem Artikel zu Zero-Day-Lücken und was Unternehmen jetzt tun können.

4. EU AI Act-Compliance vorbereiten Ab 2026 gelten für Hochrisiko-KI-Systeme in der EU verbindliche Anforderungen — unter anderem zur Risikobewertung, Transparenz und Protokollierung. IT-Berater und Rechtsexperten helfen, die eigene KI-Nutzung rechtssicher zu gestalten.

Anthropic und die Regulierungsdebatte in Deutschland

Anthropic ist nicht das erste KI-Unternehmen, das mit deutschen Behörden in Kontakt steht. Bereits 2024 hatte OpenAI Gespräche mit dem Bundesdatenschutzbeauftragten geführt. Neu ist die Geschwindigkeit: BSI-Präsidentin Plattner reagierte innerhalb von 24 Stunden auf die Bloomberg-Enthüllungen — ein ungewöhnlich rasches Signal für eine Bundesbehörde.

Das zeigt: Deutschland will in der KI-Regulierung keine Zaungast-Rolle spielen. Für Unternehmen bedeutet das aber auch: Der regulatorische Druck wächst. Wer heute noch keine KI-Governance-Strategie hat, riskiert morgen Compliance-Lücken.

Wann brauche ich als Unternehmen einen IT-Experten?

Nicht jede KI-Meldung erfordert sofortiges Handeln. Aber es gibt klare Signale, dass professionelle IT-Beratung sinnvoll ist:

  • Sie nutzen Cloud-Dienste mit integrierter KI (Microsoft 365 Copilot, Google Workspace AI, etc.)
  • Ihre Mitarbeitenden verwenden externe KI-Tools für Arbeitsaufgaben
  • Sie verarbeiten personenbezogene Daten in KI-gestützten Systemen
  • Sie sind Teil einer regulierten Branche (Finanzdienstleistungen, Gesundheitswesen, kritische Infrastruktur)
  • Sie haben noch keine formale IT-Sicherheitsrichtlinie für KI-Nutzung

In diesen Fällen kann ein erfahrener IT-Consultant auf Expert Zoom helfen, Risiken zu bewerten, Richtlinien zu entwickeln und Ihre Systeme auf dem neuesten Sicherheitsstand zu halten.

Was bedeutet das für KMU in Deutschland?

Während Großbanken und Tech-Konzerne über eigene Sicherheitsteams verfügen, sind kleine und mittelständische Unternehmen (KMU) besonders anfällig. Laut der Bitkom-Studie 2025 wurden in Deutschland über 70 Prozent aller KMU innerhalb von zwei Jahren Opfer eines Cyberangriffs. Die wachsende Leistungsfähigkeit von KI-Modellen erhöht dieses Risiko weiter.

Konkret bedeutet das für KMU:

  • Phishing-Angriffe werden durch KI deutlich überzeugender — auch auf Deutsch
  • Social-Engineering-Angriffe lassen sich mit KI-Unterstützung automatisieren und skalieren
  • Code-Schwachstellen in selbst entwickelten oder eingekauften Softwarelösungen können durch KI-Tools schneller ausgenutzt werden

Ein IT-Sicherheitsexperte kann diese Risiken bewerten und maßgeschneiderte Schutzmaßnahmen entwickeln — von einfachen Passwort-Richtlinien bis hin zu komplexen Intrusion-Detection-Systemen.

Fazit: Anthropic-Alarm ist ein Weckruf für alle

Claude Mythos ist ein Extrembeispiel — ein KI-Modell, das bewusst unter Verschluss gehalten wird. Aber die zugrundeliegende Entwicklung betrifft alle: KI-Systeme werden leistungsfähiger, vielseitiger und schwerer zu kontrollieren. Das BSI tut recht daran, frühzeitig das Gespräch zu suchen.

Für deutsche Unternehmen ist der wichtigste Schritt nicht Panik, sondern Planung. Klären Sie mit einem IT-Experten auf Expert Zoom, welche KI-Risiken für Ihr Unternehmen relevant sind — bevor der nächste Alarm kommt.

Hinweis: Dieser Artikel dient der allgemeinen Information zu aktuellen KI-Entwicklungen und ersetzt keine individuelle IT-Sicherheitsberatung.

Unsere Experten

Vorteile

Schnelle und präzise Antworten auf alle Ihre Fragen und Hilfsanfragen in über 200 Kategorien.

Tausende von Nutzern haben eine Zufriedenheit von 4,9 von 5 für die Beratung und Empfehlungen unserer Assistenten erhalten.

Expert Zoom

Wie funktioniert es?Wer sind unsere Experten?ZeitschriftNachrichten

Kontaktieren Sie uns

E-Mail
Folgen Sie uns
DatenschutzbestimmungenNutzungsbedingungen