Mythos und der Mythos der Null: Warum Banken aufhören müssen, einem makellosen Sicherheitsrückstand hinterherzujagen
Die Technologie im Bankwesen wurde wie ein weitläufiges, ständig bewohntes Gebäude konzipiert – ausgelegt auf Skalierbarkeit, Verfügbarkeit und kontinuierliche Nutzung. Es war nie ungesichert.
Die Türen waren verschlossen, die Flure mit Kameras ausgestattet, und für bestimmte Räume waren Ausweise und eine Begleitung erforderlich. Wenn eine Tür unverschlossen vorgefunden wurde, gab es ein wiederholbares Verfahren, um sie zu verschließen.
Dieser Prozess war häufig risikobasiert. Wenn kein Patch verfügbar war, wurde ein methodisches Vorgehen angewendet, um kompensierende Maßnahmen einzusetzen, während die Fehlerbehebung voranschritt.
Das ist normale Bankdisziplin. Und es funktionierte, solange das Tempo der Entdeckungen dem menschlichen Tempo entsprach.
Das innovative KI-Modell Claude Mythos von Anthropic änderte dies, indem es Schwachstellen schneller aufdeckte, als es für irgendeinen Abhilfeprozess vorgesehen war, und den Angreifern ein Zeitfenster zum Handeln gab, bevor die Verteidigung es schließen konnte.
Die alte Abmachung: Finde die Schwäche, behebe die Schwäche
Im größten Teil des letzten Jahrzehnts wurden Sicherheitslücken durch einen standardisierten Patch-Prozess, Änderungsmanagement und Validierungszyklus bewältigt, den schließlich sogar die Regulierungsbehörden akzeptierten.
Die Regulierungsbehörden untermauerten dieses Modell mit Erwartungen an die Cyberhygiene, disziplinierte Tests und ein streng geregeltes Patch-Management. Das New York State Department of Financial Services (NYDFS) hat beispielsweise die Behebung von Sicherheitslücken und die Änderungskontrolle direkt in seine Cybersicherheitsprüfungen integriert.
Doch wie jeder weiß, der schon einmal ein Core-Upgrade, ein Patch-Fenster am Wochenende oder eine fragile Legacy-Abhängigkeit miterlebt hat, lassen sich manche Türen schnell schließen, während andere mehr Kraft und Mühe erfordern.
Eine unvorbereitete Schließung kann zu Unterbrechungen bei Gehaltsabrechnungen, Abrechnungsketten, Underwriting-Prozessen und dem Kundenzugang führen. Genau das sollen Resilienzprogramme verhindern.
Institutionen haben schon immer mit einem Rückstand bei Risiken und Schwachstellen gearbeitet. Zur Bewältigung des Problems wurde ein klar definierter Risikomanagementprozess befolgt. Mythos macht den Rückstand unübersehbar und den alten Prozess überflüssig.
Die neue Realität: Entdeckungen erfolgen in Maschinengeschwindigkeit.
Während kontrollierter Tests deckte Anthropics Mythos Preview selbstständig Tausende von zuvor unbekannten Sicherheitslücken in den wichtigsten Betriebssystemen und Browsern auf. Viele waren jahrzehntelang unentdeckt geblieben.
Was zuvor spezialisierte Teams und langwierige Prüfzyklen erforderte, wurde in einen einzigen modellgesteuerten Durchlauf komprimiert.
Im Rahmen der Telefonkonferenz zu den Geschäftszahlen von JPMorgan Chase bezeichnete CEO Jamie Dimon KI als ein zweischneidiges Schwert. Er sagte, Mythos zeige, dass noch viele weitere Sicherheitslücken behoben werden müssten.
Er hat recht. Die wichtigere Frage ist jedoch, was mit denjenigen passiert, die nicht rechtzeitig repariert werden.
Der Verizon Data Breach Investigations Report 2026 zeigt, dass Angreifer typischerweise innerhalb von etwa fünf Tagen eine massenhafte Ausnutzung neu entdeckter Sicherheitslücken erreichen. Die vollständige Sanierung in regulierten Sektoren dauert oft Wochen länger.
Die Kluft zwischen Entdeckung und Behebung hat schon immer bestanden. Mythos hat gerade beide Seiten dieser Kluft gleichzeitig sichtbar gemacht.
In Banken waren die Türen immer vorhanden. Jetzt werden sie markiert, kartiert und ausgebeutet, schneller als das Gebäude renoviert werden kann.
Die Frage hat sich geändert
Jahrelang wurden Gespräche über Sicherheitslücken als Wettlauf dargestellt: Wie schnell kann man einen Patch einspielen?
Institutionen, die die richtige Frage stellen, stellen nun eine eher operative Frage: Wenn dieses Problem nicht heute Abend behoben wird, wie weit kann sich ein Angreifer in unserem Netzwerk ausbreiten?
Es ist der Unterschied zwischen einem Sicherheitsmodell, das auf perfekter Prävention basiert, und einem, das auf begrenzten Konsequenzen basiert. Und das zeigt sich auch darin, wie die Regulierungsbehörden ihre Erwartungen zunehmend formulieren.
OSFI B-13 legt beispielsweise Wert auf bedrohungsorientiertes Testen, das dem gleichen Instinkt entspricht: der Eindämmung in der realen Welt.
Die Bank von England hat deutlich gemacht, dass sich Cyberrisiken parallel zu den Abwehrmaßnahmen weiterentwickeln und nicht einfach verschwinden. Resilienz muss man aufbauen, testen und immer wieder erneuern.
Die Diskussionen über regulatorische Bedrohungen laufen auf denselben Punkt hinaus. Die meisten Sicherheitslückenprogramme haben noch nicht nachgezogen.
Warum „extrem, aber plausibel“ das fehlende Bindeglied ist
Der Zugang zu Mythos ist zwar derzeit noch eingeschränkt, aber das wird nicht lange so bleiben.
Frontier AI wird aufholen und diese Fähigkeit zur Massenware machen. Wenn dies geschieht, kehrt sich die Asymmetrie dauerhaft um. Angreifer werden Schwachstellen schneller identifizieren und ausnutzen können, als jeder Patch-Zyklus reagieren kann.
Das bedeutet, dass Institutionen aufhören müssen, ihre Sicherheitsstrategie an einem Ziel auszurichten, das nicht mehr existiert.
Das Szenario, auf das sich die Banken jetzt vorbereiten, ist das eines KI-gestützten Angreifers, der sich durch ein eng vernetztes Bankenumfeld bewegt – Zahlungssysteme, Abwicklungsmaschinen, kundenorientierte Kanäle und gemeinsam genutzte Infrastruktur –, bevor Erkennungswerkzeuge etwas Ungewöhnliches feststellen. Dies macht die Eindämmung von Sicherheitsverletzungen zur einzig praktikablen Sicherheitsstrategie.
Banken haben bereits mehr Vorteile, als sie manchmal eingestehen:
- DORA-Stresstest
- CBEST-Simulationen
- Szenarioplanung
Diese Rahmenbedingungen existieren genau deshalb, weil die Regulierungsbehörden verstehen, dass ein letztendlicher Kompromiss Teil des Bedrohungsmodells ist. Die Frage, die sie stellen, ist, ob Sie Ihre Umgebung so konzipiert haben, dass sie einen Sicherheitsvorfall übersteht.
Der praktische Wandel: von der Ausbreitungsgeschwindigkeit zum Explosionsradius
Das Schwachstellenmanagement benötigt eine zweite Achse.
Die erste Achse ist die, die Sie bereits haben, einschließlich Schweregrad, Ausnutzbarkeit und Kritikalität der Assets. Die zweite Achse ist diejenige, die den meisten Programmen fehlt: das laterale Bewegungspotenzial.
Wenn diese Sicherheitslücke heute Nacht ausgenutzt wird, was kann ein Angreifer von hier aus erreichen? Was ist nur einen Hüpfer entfernt? Zwei?
Nicht jede Schwachstelle hat die gleiche Wahrscheinlichkeit, aufzutreten, und nicht jede Schwachstelle hat den gleichen Wirkungsradius. Ein Fehler in der internetseitigen Authentifizierungsschicht eines zentralen Zahlungssystems ist etwas völlig anderes als ein Fehler in einem veralteten Berichtssystem, das seit drei Jahren nicht mehr im Produktivbetrieb eingesetzt wurde.
Das Risiko liegt im Weg, nicht in der Schwachstelle.
Die Institutionen, die es richtig machen, beheben nicht unbedingt Fehler schneller, sondern gestalten ihre Architektur so, dass die unverschlossenen Türen zu Gängen führen, die nirgendwohin von Bedeutung führen.
Was das jetzt für CISOs im Bankwesen bedeutet
Mythos ist ein Spiegel. Es spiegelt eine bereits existierende Landschaft wider, mit Tausenden von Schwachstellen, von denen viele alt und stillschweigend toleriert wurden. Und es fragt, ob Ihr Programm für diese Realität ausgelegt ist.
Die Antwort darauf ist, in zwei Punkten absolute Klarheit zu schaffen. Man muss wissen, welche Schwachstellen, wenn sie ausgenutzt werden, systemische Auswirkungen haben können und welche architektonischen Kontrollmechanismen diesen Wirkungsbereich unabhängig vom Patch-Status begrenzen.
Das ist nun die Aufgabe: Eindämmung durch gezielte Planung.
Möchten Sie mehr darüber erfahren, wie sich Mythos auf die Finanzbranche auswirken wird? Lesen Sie unsere Datenblatt.
.webp)
.webp)
