Anthropic kündigte am 7. April die „Mythos Preview“ an, erklärte dann jedoch, dass sie diese nicht veröffentlichen würden. Das Modell entdeckte Tausende bisher unbekannter Sicherheitslücken, erstellte ohne menschliche Hilfe funktionierende Exploit-Ketten und deckte Fehler auf, die 27 Jahre lang bei der manuellen Überprüfung von OpenBSD unentdeckt geblieben waren.

Das wissen Sie ja bereits. Ihr Posteingang ist schon seit Wochen voll davon. Alle reden darüber, was Mythos für die Angriffsfläche bedeutet.

Kaum jemand spricht darüber, was das für die Wiederherstellbarkeit bedeutet.

Das ist das Gespräch, das geführt werden muss, denn es verändert die Diskussionen im Vorstand, die Haushaltsdebatte und die Versicherungsdiskussion auf einen Schlag.

Mythos ist kein Einzelfall. Fünf Monate vor der Ankündigung der Mythos-Vorschau hatte Anthropic bereits die erste von einer KI orchestrierte Spionagekampagne aufgedeckt. Eine mit dem chinesischen Staat verbundene Gruppe nutzte Claude Code als operative Engine und hatte es auf rund 30 Organisationen abgesehen. Die KI erledigte 80 bis 90 Prozent der Arbeit autonom. Zwei Monate zuvor dokumentierte Anthropic einen Cyberkriminellen, der Claude Code einsetzte, um Daten-Erpressungsaktionen gegen 17 Organisationen aus den Bereichen Regierung, Gesundheitswesen und Rettungsdienste durchzuführen.

Anthropic geht davon aus, dass andere Labore innerhalb von 6 bis 18 Monaten über vergleichbare Angriffsmöglichkeiten verfügen werden. Und Forscher des Alan Turing Institute haben darauf hingewiesen, wie schnell kontrollierte Modelle kopiert, verändert oder entsperrt werden können, sobald ähnliche Fähigkeiten in öffentliche Ökosysteme gelangen.

Wenn Sie in Ihren Unterlagen für den Vorstand die Pionier-KI immer noch als zukünftige Bedrohung darstellen, ist es an der Zeit, diese PowerPoint-Folien zu aktualisieren. Die Technologie ist bereits vorhanden. Der einzige Unsicherheitsfaktor ist der Zeitrahmen für ihre Verbreitung.

Die Reaktion von Mythos hat eine Schwachstelle

Die Diskussion nach der Mythos-Konferenz verlief nach einem vorhersehbaren Muster. Wenn KI die Zeit bis zum Angriff verkürzt, benötigen Verteidiger eine KI-gestützte Erkennung, schnellere Warnmeldungen und stärker automatisierte Reaktionen.

Diese Logik ist an sich richtig. Die Erkennung ist wichtig. Die Geschwindigkeit ist wichtig. Mit solchen Ratschlägen erfindet niemand das Rad neu.

Im Mittelpunkt der Diskussion stehen jedoch vor allem zwei Faktoren: wie schnell sich Angreifer bewegen können und wie schnell die Verteidiger sie aufspüren können. Dahinter steht die Annahme, dass das Schließen der Erkennungslücke das Unternehmen am Leben erhält.

Wir waren dabei, als diese Annahme sich als falsch erwies.

Das Wiederherstellungsteam von Fenix24 hat erlebt, dass selbst Unternehmen mit ausgereiften SOCs, umfassender EDR-Abdeckung und schneller Erkennung wochenlang handlungsunfähig waren. Zwar funktionierte die Erkennung wie vorgesehen, doch Active Directory war dennoch zerstört, Backups waren verschlüsselt, die Abhängigkeitsketten waren unklar, und niemand konnte mit Sicherheit sagen, was zuerst wiederhergestellt werden musste oder wie lange dies dauern würde.

Das britische AI Safety Institute hat Mythos unabhängig bewertet und festgestellt, dass es bei 3 von 10 Versuchen eine 32-stufige Simulation eines Einbruchs in ein Unternehmensnetzwerk erfolgreich absolvierte – ein Maßstab, den bisher kein anderes Modell erreicht hatte. Das AISI wies zudem darauf hin, dass die Tests in vereinfachten Umgebungen ohne mehrschichtige Abwehrmaßnahmen oder menschliche Reaktionskräfte durchgeführt wurden.

Bruce Schneier bezeichnete Mythos als „sowohl unvermeidlich als auch wenig überraschend“ und argumentierte, dass sich die eigentlichen Lehren daraus nicht geändert hätten. Unternehmen benötigen nach wie vor eine solide Architektur, das Prinzip der geringsten Berechtigungen, eine ordnungsgemäße Dokumentation und kontinuierliche Tests. Bain äußerte sich ähnlich und wies darauf hin, dass die eigenen Tests von AISI ergeben hätten, dass Mythos keine zuverlässigen autonomen Angriffe gegen gut abgesicherte Abwehrsysteme durchführen könne und dass die meisten Unternehmen zunächst damit beginnen sollten, alte Probleme zu beheben.

Sie haben recht … aber ein grundlegender Punkt fehlt noch.

Genesung.

Die Erkennung zeigt an, dass etwas passiert. Die Wiederherstellung entscheidet darüber, ob der Geschäftsbetrieb wieder aufgenommen werden kann. Die Branche behandelt diese beiden Aspekte nach wie vor als getrennte Belange. Bei einem tatsächlichen Vorfall sind sie jedoch aufeinanderfolgende Phasen desselben Ereignisses. Und der zweite Teil wird im Vergleich zum ersten seit Jahren unterfinanziert und unzureichend getestet.

Sichere Umgebungen erhöhen die Kosten für Angreifer, doch wenn Ihre Wiederherstellungsfähigkeit nicht getestet wurde, wissen Sie möglicherweise erst im schlimmsten Fall, auf welcher Seite dieser Grenze Sie sich befinden.

Der Spielraum, so zu tun, als würde sich die Erholung von selbst regeln, ist nicht mehr vorhanden.

Drei Gespräche sind jetzt einfacher geworden

Der Mythos schafft ein Zeitfenster, in dem Investitionen in den Wiederaufbau leichter zu verkaufen sind als seit Jahren. Genau diese Gespräche sollten wir jetzt vorantreiben.

Das Gespräch im Vorstand

Früher fragten die Vorstände: „Können unsere Tools den Angriff erkennen?“ Heute wollen sie wissen: „Kann das Unternehmen wieder auf die Beine kommen?“

Diese Veränderung eröffnet die Möglichkeit für eine Diskussion, der die meisten Sicherheitsprogramme bisher aus dem Weg gegangen sind. Die meisten Sicherheitsteams können Kennzahlen zur Erkennung vorlegen. Weitaus weniger sind jedoch in der Lage, mit derselben Sicherheit Kennzahlen zur Wiederherstellung zu präsentieren.

Wenn Sie Ihre Wiederherstellungszeit noch nie unter realistischen Bedingungen getestet haben (Kompromittierung von Active Directory, gezielte Angriffe auf Backups, Beeinträchtigung der Kommunikation), sollten Sie dies offen ansprechen und einen Test vorschlagen. Der Vorstand reagiert positiver auf die Aussage „Wir haben diese Lücke erkannt und können sie wie folgt schließen“ als auf die Feststellung der Lücke während eines tatsächlichen Vorfalls.

Das Gespräch über Versicherungen

Anbieter von Cyberversicherungen erkundigen sich zunehmend nach der Wiederherstellungsfähigkeit und nicht nur nach Präventionsmaßnahmen. In den Antragsfragebögen werden nun auch die Ausfallsicherheit von Backups, getestete RTOs und die Reihenfolge der Wiederherstellungsschritte abgefragt.

Wenn Sie eine geprüfte Wiederherstellbarkeit nachweisen können (unveränderliche Backups, validierte Wiederherstellung, abgebildete Abhängigkeiten, gemessene Wiederherstellungszeit), sind Sie in Bezug auf Deckungsumfang, Prämien und Ausschlüsse in einer besseren Position. Ist dies nicht der Fall, werden die Versicherungsmathematiker des Versicherers diese Unsicherheit in Ihrer Police preislich berücksichtigen.

Zahlreiche Anbieter gehen mittlerweile dazu über, als Voraussetzung für den Versicherungsschutz nicht nur den Nachweis von Sicherungsprozessen, sondern auch den Nachweis von Wiederherstellungstests zu verlangen. Wenn Ihre Vertragsverlängerung ansteht, ist eine getestete Wiederherstellungsnummer mehr wert als ein grünes Dashboard.

Die Debatte über die Regulierung

Die Offenlegungsvorschriften der SEC schreiben bereits vor, dass wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen gemeldet werden müssen. Wie schnell lässt sich die Wesentlichkeit feststellen, wenn die Systeme ausgefallen sind und die Informationen unvollständig sind?

DORA (für alle, die im EU-Finanzsektor tätig sind) geht noch einen Schritt weiter und verlangt von den Organisationen, dass sie ihre digitale operative Widerstandsfähigkeit durch szenariobasierte Tests nachweisen. Die Wiederherstellungsfähigkeit ist in der Verordnung ausdrücklich verankert und nicht nur impliziert.

Die Tendenz ist in allen Ländern eindeutig. Die Aufsichtsbehörden verlagern ihren Fokus von der Frage „Hatten Sie einen Plan?“ hin zu „Haben Sie ihn getestet und können Sie die Ergebnisse nachweisen?“ Ein dokumentierter RTO, der nie validiert wurde, wird sowohl zu einem Compliance-Risiko als auch zu einem operativen Risiko.

Wie geht es weiter?

Das auf Mythos basierende Modell wird in jeder Hinsicht besser sein.

Das ist der Verlauf, den jedes Pionierlabor in den letzten drei Jahren veröffentlicht hat, und nichts bei Mythos deutet darauf hin, dass sich die Kurve abflacht. Anthropic hat sich entschieden, diese Daten nicht zu veröffentlichen. Das nächste Labor, das eine vergleichbare Leistungsfähigkeit erreicht, trifft vielleicht eine andere Entscheidung. Oder die Leistungsfähigkeit sickert nach außen. Oder sie wird unabhängig davon reproduziert. Die Frage der Eindämmung ist interessant, aber sie ist nicht diejenige, die Ihnen schlaflose Nächte bereiten sollte.

Wenn Angriffskapazitäten zur Massenware werden und automatisiert sind, muss man sich fragen: „Was passiert, wenn wir angegriffen werden?“

Die Organisationen, die diese nächste Phase erfolgreich meistern werden, sind diejenigen, die die Wiederherstellung als eine technische Disziplin betrachten und dabei dieselbe Sorgfalt walten lassen wie bei der Erkennung und Reaktion. Das ist der entscheidende Unterschied. Das war schon immer so. Mythos und Frontier AI haben lediglich die letzte plausible Ausrede beseitigt, nicht entsprechend zu handeln.

Resilienz und Wiederaufbau in einer Welt nach Mythos

Die meisten Annahmen bezüglich Ausfallsicherheit und Wiederherstellbarkeit erweisen sich bei einem tatsächlichen Angriff als falsch.

• „Unveränderliche Backups“ erweisen sich letztendlich doch als nicht unveränderlich.
• Nicht nur Daten gehen verloren, sondern auch die Infrastruktur.
• Eine unzureichende Bestands- und Abhängigkeitserfassung führt zu Ausfallzeiten von mehreren Tagen oder Wochen.
• RTOs und RPOs sind unrealistisch.

Analysten legen alle Karten auf den Tisch, wenn es um die Zukunft der Resilienz geht. Möchten Sie einen Leitfaden für die Konzeption und Umsetzung echter Cyber-Resilienz? Laden Sie den neuen technischen Validierungsbericht von Omdia herunter: „Architect and Execute Resilience with Fenix24“.

Machen Sie sich vor einem Sicherheitsvorfall klar, wo Sie stehen

Fenix24 hat unsere Bewertungen, unsere Tools und unser Programm zur Cyber-Resilienz auf der Grundlage der Muster entwickelt, die wir bei über 1.000 Einsätzen im Zusammenhang mit Sicherheitsverletzungen beobachtet haben.

Unsere Resilienzbewertung wurde entwickelt, weil herkömmliche Sicherheitsbewertungen nicht auf das eingehen, was bei einem Ransomware-Angriff wirklich zählt. Sie brauchen kein reines Abhak-Audit Ihrer Perimeter-Sicherheitsmaßnahmen oder Erkennungstools. Sie müssen wissen, ob Ihr Unternehmen den schlimmsten Tag überstehen wird. Diese Bewertung basiert auf Argos99, unserer Resilienzplattform für Unternehmen, und bietet Ihnen einen unvergleichlichen Einblick in:

Ausfallsicherheit von Backups. Sind Ihre Backups gegen einen Angreifer gewappnet, der die Umgebung erfasst hat und über privilegierte Zugangsdaten verfügt? Können Sie Daten daraus wiederherstellen, wenn der Rest der Umgebung kompromittiert ist?

Abhängigkeitszuordnung und Wiederherstellungsreihenfolge. Verfügen Sie über ein aktuelles Modell, das aufzeigt, was von was abhängt, und basiert die Wiederherstellungsreihenfolge auf diesen Beziehungen oder auf Annahmen, die niemand getestet hat?

Wiederherstellung der Identitätsinfrastruktur. Können Sie Active Directory von Grund auf neu aufbauen? Wie lange dauert das? Kann Ihr Team diesen Prozess auch unter Zeitdruck durchführen?

Fähigkeit zur Wiederherstellung des Betriebs. Ist das Team in der Lage, die Wiederherstellung trotz eingeschränkter Kommunikationsmöglichkeiten und unvollständiger Informationen zu planen und durchzuführen, und hat jemand gemessen, wie lange dies dauert?

Analyse der Lücken im Wiederherstellungsplan. Wo weisen die Pläne Schwachstellen auf? Welche Lücken bergen das größte Risiko? Was sollte zuerst behoben werden?

Sind Sie bereit, Ihre Wiederherstellungsfähigkeit zu testen? Vereinbaren Sie noch heute einen Termin für Ihre Resilienzbewertung. Kontaktieren Sie uns unter 423.305.7890 oder per E-Mail an info@fenix24.com.