Claude Mythos, ChatGPT-5.5 und die Cybersicherheit

Welche Gefahren wirklich hinter den neuen Sprachmodellen stecken und wie sich Unternehmen, Behörden oder Privatpersonen schützen können

28. Mai 2026

Tastatur mit digitalen Sicherheitssymbolen wie Schloss, Fingerabdruck und 2FA-Text — Die Tastatur ist eine wichtige Schnittstelle zwischen Usern und Recheninfrastruktur. Angreifer nutzen sie, um KI-Sprachmodelle mit Anweisungen zu füttern und um damit schneller Schwachstellen in fremden IT-Systemen zu knacken. Schon einfache Schutzmaßnahmen, wie hier ansatzweise dargestellt, helfen, um sich auf der anderen Seite als Anwenderin oder Anwender vor solchen Angriffen zu schützen.

© AdobeStock

Die Tastatur ist eine wichtige Schnittstelle zwischen Usern und Recheninfrastruktur. Angreifer nutzen sie, um KI-Sprachmodelle mit Anweisungen zu füttern und um damit schneller Schwachstellen in fremden IT-Systemen zu knacken. Schon einfache Schutzmaßnahmen, wie hier ansatzweise dargestellt, helfen, um sich auf der anderen Seite als Anwenderin oder Anwender vor solchen Angriffen zu schützen.

© AdobeStock

Die neuen KI-Modelle Mythos (Anthropic) und ChatGPT-5.5 (Open AI) haben für Aufregung gesorgt. Als sogenannte Frontier-Modelle gelten sie momentan zu den leistungsstärksten Modellen. Es werden Auswirkungen auf die Cybersicherheit befürchtet. Die Firma Anthropic warnt sogar vor dem eigenen Produkt, da es nicht nur Sicherheitslücken eigenständig finden, sondern auch ausnutzen könne. Forschende des Max-Planck-Instituts für Sicherheit und Privatsphäre und anderer Forschungseinrichtungen wollten es genauer wissen und haben bei Anthropic und OpenAI eigene Tests in Auftrag gegeben. Denn öffentlich zugänglich ist zumindest Claude Mythos noch nicht.

Thorsten Holz, wissenschaftlicher Direktor des Instituts, kennt daher die Antworten auf viele brennende Fragen. Als einer der Unterzeichner eines offenen Briefs zur European Grand Challenge in AI and Security fordert er die Europäische Union auf, mehr Wissen über solche offensiven KI-Systeme zu bündeln.

Aber was genau steckt hinter Claude Mythos? Warum ist ein Sprachmodell ein Thema für die IT-Sicherheit? Wie funktioniert das Ganze? Dient es als ein für alle anwendbares Schweizer Taschenmesser, um eine Bank zu hacken und sind Privatpersonen gleichermaßen betroffen, wie große Firmen? Diese und weitere Fragen rund um das Thema klären wir hier.

Ist Anthropics Warnung vor dem eigenen Produkt (Claude Mythos) ein PR-Stunt oder ist die Gefahr real?

„Wahrscheinlich trifft beides zu“, sagt Thorsten Holz. Anthropic plant, 2026 an die Börse zu gehen. „Hinter der Kommunikation steckt immer auch Strategie.“ Wenn Anthropic sagt, das eigene Modell sei sehr mächtig und damit gefährlich, positioniert sich das Unternehmen damit auch in der Öffentlichkeit. Das ist nicht neu. Auch OpenAI hat 2019 vor seinem Modell ChatGPT-2 gewarnt, es dann aber doch veröffentlicht.

„Daraus zu schließen, dass all das nur PR sei, wäre aber falsch“, so Holz. Frontier-Modelle wie Mythos oder ChatGPT-5.5 werden immer besser darin, komplexe technische Aufgaben autonom zu bearbeiten. Im Bereich der IT-Sicherheit bedeutet das: Sie können nicht nur Schwachstellen in komplexen Programmen finden, sondern diese auch analysieren und konkrete Exploits entwickeln, also Wege finden, die Schwachstellen auszunutzen.

Was ist Claude Mythos genau und was macht es so gefährlich?

Claude Mythos von Anthropic ist ein besonders leistungsfähiges und agentisches KI-Sprachmodell mit starken Fähigkeiten im Cyberbereich. Inzwischen sind alle Sprachmodelle, also auch solche hinter Chatbots, „agentisch“ implementiert. Was bedeutet das? Hinter den Sprachmodellen selbst stecken neuronale Netze, die mit vielen Informationen aus dem Internet trainiert wurden. Deren Antworten sind Wortabfolgen, die auf Wahrscheinlichkeiten beruhen. Ein KI-Modell allein ist also sehr passiv. „Erst die Art und Weise, wie das KI-Modell in eine Plattform eingebettet wird, macht es aktiv und gibt ihm Agency, also Handlungsfähigkeit“, sagt Krishna Gummadi vom Max-Planck-Institut für Softwaresysteme.

Bei agentischer Nutzung hat das Modell Zugriff auf diverse Tools und bezieht externe Informationen, wie die eines Taschenrechners mit ein. OpenClaw nutzt dieses Verhalten explizit, um den persönlichen IT-Arbeitsplatz zu optimieren, greift auf externe Programme zu und kann eigenständig E-Mails verschicken. Wer dem Tool zu viele Freiheiten gibt, könnte unangenehm überrascht werden.

Aber auch die gängigen ChatGPT-Modelle sind agentisch: Sie können Code analysieren, diesen auf Schwachstellen testen, Fehler interpretieren und Lösungen anbieten. Das macht agentische KI-Modelle potenziell gefährlicher als reine Chatbots. Dadurch wirken sie auch „intelligenter“, ohne dass sie einen Zusammenhang auch wirklich verstehen. Solche KI-Modelle bleiben Werkzeuge.

Was macht Claude Mythos und ChatGPT-5.5 im Bereich der IT-Sicherheit relevant?

Das agentische Verhalten ist gerade im Cyberbereich zentral: Das KI-Sprachmodell bildet eine Hypothese, greift auf diverse Programme zu, um einen Exploit zu schreiben, der eine Schwachstelle im IT-System ausnutzen soll; es testet diesen Angriff, analysiert, korrigiert und testet erneut. „Das ist der Kern agentischer Systeme: planen, handeln, beobachten, korrigieren“, sagt Thorsten Holz. „Wenn ein Modell diese Schritte gut und schnell erledigt, wird es zu einem leistungsfähigen technischen Assistenten - sowohl defensiv als auch offensiv.“

Was ist daran neu? Welche Gefahren agentischer KI Systeme gab es schon vorher?

„Auch frühere Modelle konnten bereits Texte für automatisierte Phishing-Mails schreiben oder Schwachstellen in Codes finden. Neu ist die Qualität der Autonomie“, sagt Thorsten Holz. Ein Angriff funktioniere selten beim ersten Versuch. Man müsse testen, debuggen, verstehen, warum etwas nicht klappt, und dann nachjustieren. Die rückkoppelnde Abfolge solcher Schritte macht Claude Mythos oder GPT-5.5 im Cyberbereich leistungsfähiger und riskanter.

Das setzt voraus, dass das KI-Modell das Recht bekommt, nicht nur einen Vorschlag zu machen, wie sich eine Schwachstelle knacken ließe, sondern, diese auch zu versuchen zu knacken. Erste Ergebnisse könnten schon nach einigen Minuten oder wenigen Stunden vorliegen, künftige Modelle werden noch schneller sein. „Wir müssen uns also jetzt darauf vorbereiten“, sagt Holz.

Wie gut sind Claude Mythos noch ChatGPT-5.5 darin, IT-Schwachstellen zu finden und diese anzugreifen?

Ein Forschungsteam, dem unter anderem das Max-Planck-Institut für Sicherheit und Privatsphäre angehört, hat in Zusammenarbeit mit Anthropic und OpenAI die neuen Modelle der beiden Unternehmen getestet.

Daraus resultierte ein sogenanntes Benchmark: Mit ExploitGym lassen sich offensive KI-Fähigkeiten messen. Unter kontrollierten Bedingungen wurde geprüft, welche Modelle welche Arten von Schwachstellen tatsächlich ausnutzen können. Die Forschenden interessieren sich dabei für Fragen wie: Welche Schutzmechanismen helfen? Wo versagen sie? Wie verändern sich die Fähigkeiten über Modellgenerationen hinweg? Das hilft Modellanbietern bei Sicherheitsentscheidungen, Verteidigern bei der Priorisierung und der Politik bei der Frage, welche Fähigkeiten eventuell kontrolliert werden sollten.

„Unsere Ergebnisse zeigen, dass die KI-Modelle nicht einfach jedes beliebige System knacken können. Das wäre übertrieben und unrealistisch“, so Holz. Aber in den Tests hat das Modell Mythos Preview immerhin 157 von 898 realen Schwachstellen vollständig ausgenutzt, GPT-5.5 immerhin 120. Zum Vergleich: das nächstbeste Modell, Claude Opus 4.6, schaffte nur 15, also eine Größenordnung weniger. Insgesamt scheint Claude Mythos etwas leistungsfähiger als GPT-5.5 zu sein, wirklich entscheidend ist aber der Trend – und der geht in beiden Fällen hin zu immer effizienteren agentischen Fähigkeiten. Dabei ist es weniger entscheidend, welches Modell verwendet wird, sondern, auf welche Tools das Modell Zugriff bekommt.

Diese Ergebnisse sind wichtig für die allgemeine IT-Sicherheit. Offenbar sind die getesteten modernen agentischen Systeme schon heute gut genug, um die Zeit zwischen dem Bekanntwerden einer Schwachstelle und ihrer praktischen Ausnutzung deutlich zu verkürzen. „Früher brauchte man dafür Spezialisten, jetzt übernehmen KI-Agenten Teile dieser Arbeit“, sagt Holz.

Werden Privat-User bald auf Knopfdruck eine Bank hacken können?

„Nein, Privatuser können mit Claude Mythos keine Bank hacken. So einfach ist es nicht“, sagt Thorsten Holz. Für einen realen Angriff muss man zunächst ein Ziel auswählen. Man braucht unter anderem einen initialen Zugriff auf das fremde System, Infrastruktur und Netzwerk-Kenntnisse. Zudem muss man Detektionsmechanismen umgehen, um nicht erwischt zu werden.

Die Gefahr geht weniger von neugierigen Einzelnen aus, sondern von organisierten Akteuren, also Profis, die solche Modelle in automatisierte Angriffssysteme einbauen und diese so effizienter und leistungsfähiger machen. Ein einzelnes Sprachmodell ist nur eine Komponente. Gefährlich wird es, wenn es verbunden wird mit gestohlenen Zugangsdaten, Phishing-Kampagnen, also, wenn es Zugriff auf Systeme bekommt und automatisierten Entscheidungslogiken. Dann entsteht ein agentisches Angriffssystem, das Ziele sucht, Schwachstellen priorisiert, Exploits entwickelt und testet, Ergebnisse auswertet und seine Strategie anpasst.

Und es geht schneller, Hintergrundinformationen zum Zielsystem zu recherchieren, Code zu schreiben, bekannte Exploits anzupassen und Angriffsketten zu strukturieren. „Das bedeutet nicht, dass jede Stadtwerke-Anlage morgen abgeschaltet werden kann. Aber der Abstand zwischen einfachen Cyberkriminellen und staatlichen Akteuren wird kleiner“, so Thorsten Holz.

Was wäre ein realistisches Szenario und was lässt sich daraus lernen?

Bevor Claude Mythos breit ausgerollt wird, könnte es in Kooperation mit Firmen verwendet werden, um diese auf IT-Schwachstellen hinzuweisen. Gefährlich kann es werden, wenn das Modell für alle zugänglich ist. Denn wenn eine Software-Firma ein Patch für eine Sicherheitslücke in ihrem Produkt veröffentlicht, ist dieses Patch öffentlich einsehbar. KI-Modelle wie Mythos könnten versuchen, das Patch zu „reverse-engineeren“, also, die Sicherheitslücke zu identifizieren, die das Patch schließen soll. Wenn Nutzerinnen und Nutzer zu lange warten, das Update zu installieren, könnte eine mit Mythos als Werkzeug ausgestattete Angriffskette genug Zeit haben, sich bis zur Schwachstelle vorzuarbeiten.

Systeme sind nicht erst durch die KI verwundbar geworden. Das Bundesamt für Sicherheit und Informationstechnik weist seit Jahren auf Lücken hin. Die neuen KI-Modelle verschärfen nur die Gefahr erfolgreicher Angriffe, denn sie machen diese niederschwelliger, günstiger und schneller.

Wer sollte sich jetzt wie schützen?

„Alle sollten sich schützen, aber nicht alle im gleichen Maße“, sagt Thorsten Holz. Für Privatnutzer sei das Risiko von Mythos vergleichsweise gering und vor allem indirekt: In Zukunft wird es vermutlich bessere Phishing-Mails, glaubwürdigere Betrugsdialoge und mehr automatisierte Angriffe auf schlecht gesicherte Geräte wie etwa Smart-Home-Systeme geben. Die wichtigsten Gegenmaßnahmen sind sehr praktisch:

Automatische Updates aktivieren
Passwortmanager nutzen
Für jedes Konto ein eigenes Passwort verwenden
Multi-Faktor-Authentifizierung einschalten
Backups machen
Alte Geräte nicht ungeschützt im Internet betreiben (alte Modems mit unsicherer Hardware etwa sind leicht hackbar und dienen gerne mal als Übermittler von massenhaften Anfragen auf bestimmte Websites, die daraufhin in die Knie gehen)

Für Unternehmen und Behörden sei die Lage ernster, so Thorsten Holz. „Für gut geschützte kritische Infrastruktur sind Mythos & Co. kein sofortiger Weltuntergang“. Aber für schlecht gewartete kommunale IT, Stadtwerke, Industrieanlagen oder Dienstleister mit schwachem Sicherheitsniveau steige das Risiko deutlich. Die Suche nach Schwachstellen im eigenen System lohnt sich also. Denn viele Angriffe auf kritische Infrastruktur in Unternehmen beginnen nicht mit hochspezialisierten Angriffen auf industrielle Steueranlagen, sondern mit ganz normalen IT-Schwächen, wie zum Beispiel:

Systeme, die im Internet exponiert sind
Erfolgreiches Phishing
VPN-Schwachstellen
Ungepatchte Firewalls
Schwaches Patch-Management
Kompromittierten Zugangsdaten
Schlecht segmentierte Netzwerke
Unübersichtliche IT-Landschaft
IT mit schwachem Sicherheitsniveau und Schwachstellen

„Die wichtigsten Maßnahmen sind nicht exotisch, müssen aber konsequent umgesetzt werden“, sagt Thorsten Holz. Dazu gehören:

Sicherheitslücken schnell patchen, Updates schnell installieren
Starke Authentifizierung und Netzwerksegmentierung, damit ein kompromittierter Büroarbeitsplatz nicht direkt zu kritischen Diensten führt.
Logging und Überwachung von Systemen, also das Aufzeichnen von Fehlern und Besonderheiten im System und andere Nachweismethoden, die schnell genug sind, um mit KI-gesteuerten Angriffen Schritt zu halten
Simulationen von Cyberangriffen im eigenen System, sogenannte Red-Team-Übungen, mit KI-fähigen Werkzeugen
Absicherung von Systemzugängen

Sind Linux-Systeme sicherer als Windows?

Egal ob Linux oder Windows: Sicherheitspatches und Updates sollte man nicht lange aufschieben. Mit neuen KI-Tools verkürzt sich die Zeit, die professionelle Akteure brauchen, die zu schließenden Schwachstellen auszumachen und anzugreifen.

Für Massenangriffe ist Windows aber oft attraktiver, da es auf vielen Privat- und Unternehmensrechnern betrieben wird und Angriffe häufig auf typische Windows-Unternehmensumgebungen zielen. Linux ist dagegen ein wichtiges System für Server, Cloud-Systeme und Komponenten kritischer Infrastruktur. Schwachstellen in Linux- oder Open-Source-Komponenten können daher große Probleme nach sich ziehen.

Claude Mythos wird in den Medien auch mit Nukleartechnik verglichen. Stimmen Sie dem zu und was folgt daraus?

„Ich halte es für problematisch, die neue KI mit einer nuklearen Bedrohung gleichzusetzen“, sagt Thorsten Holz. Die Analogie sei höchstens in dem Punkt hilfreich, da sie auf Dual Use, strategische Macht und Risiken hinweise. Es gebe aber auch deutliche Unterschiede: Spaltbares Material, so Holz, sei physisch knapp, eher kontrollierbar und detektierbar, so Holz. Im Gegensatz dazu lassen sich KI-Modellstrukturen von Angriffsketten einfach kopieren.

Und während Atomwaffen immer katastrophale Folgen haben, finden KI-gestützte Cyberangriffe auf einem Schadensspektrum statt, von einfacher Belästigung bis hin zu schwerwiegenden Angriffen. „Und es gibt wirksame Verteidigungsmaßnahmen, die mit der Komplexität der KI-Modelle mithalten können“, so Holz. „Ich würde KI also nicht als Superwaffe für Cybersecurity-Operationen bezeichnen, sondern als Beschleunigungstechnik, als Verstärker für bestehende Fähigkeiten“.

Helfen Regulierungen, etwa durch den AI Act, diese Entwicklung zu entschleunigen?

Das wird allenfalls begrenzt der Fall sein. „Das Problem ist, dass die Detektion und Ausnutzung von Sicherheitslücken technisch sehr nah beieinanderliegen“, sagt Thorsten Holz. Man könnte KI-Anbieter wie Anthropic oder OpenAI dazu verpflichten, Missbrauchsfälle zu melden. Es sei aber kaum realistisch, agentische KI-Systeme und deren Betrieb so aufzubauen, dass diese nicht für Dual-Use-Anwendungen nutzbar sind.

Laut Thorsten Holz zählt gerade jetzt die Grundlagenforschung, die in kontrollierten Tests ergründet, was möglich ist. Es werde mehr Wissen über solche offensive KI benötigt. Aber Wissen allein sei nicht genug:

„Kritische Infrastrukturen sollten nicht auf Regulierung warten, sondern jetzt handeln“, sagt Thorsten Holz. „Die wichtigste Frage ist nicht, ob KI irgendwann gefährlich wird. Die Frage ist eher, ob die eigene Infrastruktur robust genug ist, wenn Angriffe schneller, günstiger und skalierbarer werden.“

Was Regulierungen, etwa als Teil des AI Acts bewirken können, ist eine Transparenz- und Meldepflicht oder Sicherheitsstandards. Der AI Act kann aber nicht die Fähigkeiten aktueller Frontier-Modelle aus der Welt schaffen. „Regulierung ist langsam, die technische Entwicklung dafür sehr schnell“, sagt Holz. „Deshalb müssen alle Firmen und auch die Betreiber kritischer Infrastrukturen jetzt präventiv handeln. Es wäre fahrlässig, darauf zu warten, dass ein Gesetz das Problem löst.“ Prävention allein reiche aber nicht, weil sie die Asymmetrie zwischen schnelleren Angriffsfähigkeiten durch KI und langsameren Verteidigungsmechanismen nicht schließe.

Die Antworten basieren auf einem Gespräch mit Thorsten Holz, wissenschaftlicher Direktor am Max-Planck-Institut für Sicherheit und Privatsphäre. Die Fragen stellte Tobias Beuchert.