BERLIN (dpa-AFX) - Ein vom US-Unternehmen Anthropic entwickeltes KI-Modell zum Auffinden verborgener Software-Schwachstellen könnte nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhebliche Auswirkungen auf die Cyberbedrohungslage haben. "Wir stehen zu Claude Mythos mit dem Hersteller Anthropic im Austausch", teilte die BSI-Präsidentin Claudia Plattner auf Anfrage mit. Ihre Behörde habe das neue Tool zwar bisher nicht testen können. Im persönlichen Gespräch mit den Entwicklern habe man jedoch Einblick in die Funktionsweise gewinnen können.

Das US-Unternehmen hatte diese Woche mitgeteilt, insgesamt habe man mit Mythos bereits "tausende" schwerwiegende Schwachstellen gefunden
- darunter in jedem viel genutzten Betriebssystem und Webbrowser. Mit
dem schnellen Fortschritt bei Künstlicher Intelligenz sei davon auszugehen, dass solche Fähigkeiten recht bald auch Online-Angreifern zur Verfügung stehen könnten, warnte Anthropic.

Mythos nicht öffentlich verfügbar

In einer Kooperation sollten deshalb Konzerne wie Apple, Amazon und Microsoft Zugang zu Mythos bekommen, um Sicherheitslücken in ihrer Software zu finden, teilte das Unternehmen mit. Anthropic plane nicht, Mythos allgemein zugänglich zu machen. Unter den weiteren Kooperationspartnern sind die Linux-Stiftung, die IT-Sicherheitsfirmen Crowdstrike und Palo Alto Networks sowie der Netzwerk-Spezialist Cisco.

Eine Frage der nationalen Sicherheit

Das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte "Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt", sagte Plattner. Konsequent zu Ende gedacht, könnte es mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr geben. "Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben." Zudem stelle sich die Frage, ob und wenn ja, wie lange, derart wirkmächtige Werkzeuge auf dem freien Markt verfügbar sein werden. "Daraus wiederum ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität."

Das BSI untersteht dem Bundesinnenministerium und dem neuen Digitalministerium. Das in Bonn angesiedelte Bundesamt ist die zentrale nationale Behörde für IT- und Cybersicherheit.

Einfallstor für Hacker

Schwachstellen in Software, Hardware oder Netzwerken sind Einfallstore für Cyberangriffe durch Kriminelle oder Hacker im Dienste ausländischer Geheimdienste. Je länger eine Schwachstelle bekannt, aber nicht geschlossen ist, desto größer ist das Risiko für Unternehmen, staatliche Einrichtungen und private Nutzer, Opfer von Datendiebstahl zu werden oder von Erpressung nach dem Aufspielen von Schadsoftware. Auch deutsche Nachrichtendienste und Ermittler nutzen für bestimmte Zwecke Schwachstellen, etwa um Terrornetzwerke oder schwere Straftaten aufzuklären beziehungsweise zur Gefahrenabwehr. Relevant sind hier vor allem sogenannte Zero-Day-Schwachstellen, die den Herstellern noch nicht bekannt sind.

Eine vom US-Geheimdienst NSA genutzte Sicherheitslücke war 2017 von Hackern ausgenutzt worden, um im großen Stil Computer mit der Erpressungs-Software WannaCry zu infizieren. Solche Programme verschlüsseln die Festplatte und verlangen Geld für die Freigabe. Damals waren unter anderem britische Krankenhäuser und Anzeigetafeln der Deutschen Bahn betroffen. Die NSA geriet in die Kritik, weil sie die Sicherheitslücke nicht schließen ließ.

Auf das potenziell gefährliche neue Werkzeug angesprochen, sagte ein Sprecher des Digitalministeriums: "Das Beispiel zeigt, welche große Dynamik bei der Entwicklung von KI-Tools vorherrscht." Auch das Digitalministerium beobachte dies sehr genau.

Grünen-Innenpolitiker kritisiert Rolle des Bundesinnenministeriums

Der stellvertretende Vorsitzende des für die Kontrolle der Geheimdienste verantwortlichen Parlamentarischen Kontrollgremiums, Konstantin von Notz, lobte Plattner dafür, dass sie "deutlich auf diese Bedrohungslagen hinweist". Der Grünen-Politiker sieht die Bundesregierung insgesamt jedoch eher als Teil des Problems und nicht als Teil der Lösung. Er sagt: "Es gab und gibt Kräfte innerhalb der Bundesregierung, vor allem im Bundesinnenministerium, die alles daran setzen, dass der staatliche Umgang mit Sicherheitslücken gänzlich unreguliert bleibt."

Über die Jahre sei so die Einführung eines Schwachstellenmanagements regelrecht hintertrieben worden, kritisiert von Notz. Der stellvertretende Fraktionsvorsitzende fügte hinzu: "Solange sie hier selbst keine Verantwortung übernimmt und sich gleichzeitig mit Steuergeld am weltweiten Handel mit Sicherheitslücken beteiligt, ist die Bundesregierung, man muss es leider so sagen, eher Teil des Problems und nicht der Lösung."/abc/DP/nas


Quelle: dpa-AFX