KI-Sicherheit: Was der Anthropic-Leak wirklich bedeutet

28. April 20265 Min. Lesezeit

Anthropic gilt als eines der sicherheitsbewusstesten KI-Unternehmen der Welt. Und genau dieses Unternehmen musste in den vergangenen Wochen gleich mehrere ernste Sicherheitsvorfälle eingestehen. Der Mythos-Vorfall zeigt auf erschreckend klare Weise, was passiert, wenn die mächtigsten KI-Systeme aller Zeiten auf die Realität menschlicher Infrastruktur trifft: Das schwächste Glied ist selten das Modell selbst.

Was ist Claude Mythos und warum ist es besonders?

Am 7. April 2026 kündigte Anthropic sein neues Modell Claude Mythos Preview an. Das Unternehmen beschrieb es offen als zu gefährlich für eine öffentliche Veröffentlichung. Der Grund dafür ist konkret: Mythos ist in der Lage, Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern eigenständig zu entdecken und Software-Bugs zu mehrstufigen Exploits zu verketten. Eine Leistung, die bisher nur den fähigsten menschlichen Sicherheitsforschern und staatlich geförderten Hackergruppen vorbehalten war.

Die Zahlen dahinter sind bemerkenswert. Das britische UK AI Security Institute (AISI) stellte in einer unabhängigen Evaluierung fest, dass Mythos Preview bei Expert-Level Capture-the-Flag-Aufgaben eine Erfolgsquote von 73 Prozent erreicht. Vor April 2025 konnte kein einziges KI-Modell diese Aufgaben überhaupt bewältigen. Mythos war zudem das erste KI-Modell, das eine 32-Schritte-Simulation eines Unternehmens-Netzwerkangriffs von Anfang bis Ende ohne menschliche Unterstützung abschloss.

Mozilla testete das Modell und identifizierte damit 271 Schwachstellen in Firefox. Eine 27 Jahre alte Sicherheitslücke in OpenBSD wurde ebenfalls von Mythos autonom gefunden. Und: Über 99 Prozent der entdeckten Schwachstellen sind noch nicht gepatcht, weil Anthropic aus Sicherheitsgründen kaum Details veröffentlichen kann.

Project Glasswing: Streng kontrolliert, und trotzdem kompromittiert

Anthropic hatte sich etwas dabei gedacht, das Modell nicht einfach öffentlich zu machen. Stattdessen wurde mit Project Glasswing ein bewusst eng begrenztes Konsortium aufgebaut. Nur rund 40 ausgewählte Organisationen erhielten Zugang, darunter Amazon, Apple, Google, Cisco, CrowdStrike, JPMorgan Chase, Microsoft und Nvidia. Ziel war es, das Modell ausschließlich für defensive Cybersicherheitszwecke einzusetzen.

Dennoch gelang unbefugten Nutzern noch am Tag der öffentlichen Ankündigung der Zugang zu Mythos. Laut Bloomberg kommunizierte die Gruppe über einen privaten Discord-Kanal und erschloss den Online-Standort des Modells durch einen gezielten Rückschluss auf Anthropics URL-Formatierungskonventionen bei anderen Modellen. Den entscheidenden Hinweis lieferte ein separates Datenleck beim KI-Trainingsdienstleister Mercor.

Ein Anthropic-Sprecher bestätigte: „Wir untersuchen einen Bericht über unbefugten Zugang zu Claude Mythos Preview durch eine unserer Drittanbieter-Umgebungen." Das Unternehmen betonte, es gebe keine Hinweise darauf, dass Anthropics eigene Kernsysteme betroffen waren.

Drei Vorfälle in einem Monat

Was den Mythos-Vorfall besonders aufschlussreich macht, ist sein Kontext. Innerhalb weniger Wochen häuften sich Sicherheitsprobleme rund um Anthropic auf drei verschiedenen Ebenen:

26. März 2026: Anthropic ließ versehentlich Informationen über sein Content-Management-System öffentlich zugänglich. Rund 3.000 Assets aus Anthropics Blog, darunter Details zum noch unveröffentlichten Mythos-Modell, waren in einem öffentlich durchsuchbaren Daten-Cache abrufbar.
31. März 2026: Der vollständige Quellcode von Claude Code wurde unbeabsichtigt über eine JavaScript-Source-Map-Datei veröffentlicht. Rund 513.000 Zeilen unverschlüsseltes TypeScript in 1.906 Dateien waren öffentlich abrufbar. Innerhalb von Stunden wurde die Codebasis auf GitHub gespiegelt und zehntausende Male geforkt.
7. April 2026: Unbefugte Nutzer erlangten noch am Ankündigungstag Zugang zu Mythos Preview über eine Drittanbieter-Umgebung.

Sicherheitsexperte David Lindner, CISO bei Contrast Security, brachte die zentrale Schwachstelle auf den Punkt. Bei 40 teilnehmenden Unternehmen mit jeweils tausenden Mitarbeitenden sei ein Leak fast unvermeidlich gewesen. Seine Einschätzung laut Fortune: „Je mehr Unternehmen man zu dieser Elite-Gruppe hinzufügt, desto wahrscheinlicher wird es, dass es an jemanden gelangt, der eigentlich keinen Zugang haben sollte."

KI-Sicherheit endet nicht am Modell

Der Mythos-Vorfall illustriert ein grundlegendes Problem, das für alle Organisationen relevant ist, die mit KI-Systemen arbeiten. Der Einbruch erfolgte nicht durch einen direkten Angriff auf Anthropics Kernsysteme. Er gelang über eine Drittanbieter-Umgebung, kombiniert mit einem URL-Rückschluss aus einem separaten Datenleck.

Das Angriffsmuster ähnelt einem klassischen Supply-Chain-Angriff: Nicht das primäre Ziel wird direkt kompromittiert, sondern ein schwächer gesichertes Glied in der Kette drumherum. Das ist keine neue Erkenntnis aus der IT-Sicherheit, aber ein Muster, das sich bei KI-Systemen mit alarmierender Regelmäßigkeit wiederholt.

Was das für KMU bedeutet: Wer KI-Tools im Unternehmen einsetzt, sollte nicht nur die Plattform selbst bewerten, sondern auch fragen: Wo liegen die Daten? Wer hat Zugang? Welche Drittanbieter sind involviert? Und: Werden meine Daten für das Training des Modells verwendet? Diese Fragen sind keine Nebensache, sondern zentrale Sicherheitskriterien.

Was bedeutet das für uns als Unternehmer?

Wenn selbst ein so kontrolliertes System wie Project Glasswing nicht dicht hält, stellt sich eine berechtigte Frage: Was kann ein KMU ohne eigene IT-Abteilung überhaupt tun? Einiges, tatsächlich. Drei Punkte machen den größten Unterschied:

Datenlokalisierung prüfen: Wo werden Daten gespeichert und verarbeitet? Europäische oder deutsche Serverstandorte bieten eine deutlich klarere rechtliche Grundlage als US-basierte Dienste.
Drittanbieter-Risiken ernst nehmen: Der Mythos-Einbruch gelang über einen externen Auftragnehmer. Wer KI-Dienste nutzt, sollte die Sicherheitsstandards der gesamten Lieferkette kennen, nicht nur die des Hauptanbieters.
Keine Trainingsdaten-Weitergabe: Ob Nutzerdaten für das Training von KI-Modellen verwendet werden, ist kein technisches Detail. Es ist eine Kernfrage der Datensicherheit und des Datenschutzes.

Bei ConRat AI werden Kundendaten nicht für KI-Training verwendet. Die Plattform läuft auf deutschen und EU-Servern (IONOS Deutschland, Microsoft Azure Frankfurt). Für KMU ohne eigenen IT-Sicherheitsexperten ist das kein Marketingversprechen, sondern ein konkreter, nachprüfbarer Vorteil. Wer sich selbst ein Bild machen möchte: 14 Tage kostenlos testen, ohne Kreditkarte, unter conrat-ai.de.

Fazit

Der Mythos-Vorfall zeigt nicht, dass KI-Sicherheit grundsätzlich nicht funktioniert. Er zeigt, dass sie genauso komplex ist wie jede andere Form von IT-Sicherheit. Die stärksten Systeme bringen nichts, wenn Drittanbieter, menschliche Zugangspunkte und interne Prozesse nicht dieselbe Sorgfalt erfahren. Anthropic hat mit Project Glasswing einen ernsthaften Versuch unternommen, ein gefährliches Modell kontrolliert einzusetzen. Und selbst das hat nicht ausgereicht. Wer KI-Tools im Unternehmen nutzt oder plant, sollte das als Lektion ernst nehmen: Die Wahl des Anbieters ist keine Formalität. Sie ist der erste und wichtigste Sicherheitsentscheid.