Der Internationale Währungsfonds (IWF) hat vor Cybergefahren durch KI-Modelle wie Claude Mythos gewarnt, die das globale Finanzsystem bedrohen könnten. Es wachse das Risiko eines „makrofinanziellen Schocks“, heißt es in einem Blogbeitrag des IWF. Cyberangriffe, die mehrere Banken gleichzeitig treffen, könnten demnach zu Vertrauensverlusten, Zahlungsausfällen, Liquiditätsengpässen und einer Dynamik von Notverkäufen führen.

Die Frage sei, „ob das Finanzsystem auch unter extremem Stress weiterhin funktionsfähig bleibt“, schreiben die Autoren. Das bislang nur einem kleinen Kreis von Firmen verfügbare Modell Claude Mythos unterstreiche, wie schnell sich die Risiken erhöhten. Aktuell werde die Situation noch gemildert, weil die fortgeschrittenen KI-Fähigkeiten noch nicht so verbreitet seien und weil die Branche auf geschlossene Finanzsoftware setze, die nach Einschätzung des IWF schwieriger anzugreifen sei als Open-Source-Infrastruktur. Diese Puffer dürften jedoch rasch schwinden.

Cybersicherheit zentral für Finanzstabilität

Das Finanzsystem stütze sich auf gemeinsame und stark vernetzte digitale Infrastruktur aus Software, Cloud-Diensten und Netzwerken für Zahlungen und andere Daten. Wenn KI-Modelle den Zeit- und Kostenaufwand für die Identifizierung und Ausnutzung von Schwachstellen drastisch reduzieren, steige damit auch die Wahrscheinlichkeit, dass Schwachstellen in weit verbreiteten Systemen gleichzeitig entdeckt und angegriffen werden und zu systemischen Problemen führen. Auch andere Sektoren wie Energie, Telekommunikation und öffentliche Dienste könnte das betreffen.

Die Politik müsse deshalb auf KI-getriebene Risiken reagieren und Cybersicherheit als zentrales Thema der Finanzstabilität behandeln. Bestehende Maßnahmen seien zwar immer noch relevant, müssten jedoch in einer Welt mit schnelleren, automatisierten und immer raffinierteren Angriffen erweitert und geschärft werden.

So gefährlich, dass es hinter Gitter muss?

KI-Schmiede Anthropic hat mit ihrem Modell Claude Mythos Anfang April eine neue Debatte um IT-Sicherheit entfacht und bis in höchste US-Regierungskreise für Aufregung gesorgt. Mythos sei laut Anthropic so gut darin, Sicherheitslücken aufzuspüren, dass man es erst einmal nicht veröffentlichen könne. Das KI-Modell habe bereits tausende hochriskante Zero-Day-Lücken identifiziert, darunter auch welche in allen großen Betriebssystemen und jedem Internetbrowser. Funktionierende Exploits sollen sich damit auch bauen lassen.

Über die Initiative „Project Glasswing“ erhalten deshalb zunächst nur ausgewählte Unternehmen und Organisationen Zugriff, um kritische Software abzusichern, bevor vergleichbare Fähigkeiten breiter verfügbar werden. Zu den Beteiligten zählen Apple, Google, Microsoft und Nvidia, aber auch Großbanken wie JPMorgan Chase. Dass auch US-Finanzminister Scott Bessent und Notenbankchef Jerome Powell die größten Banken der USA zusammengerufen haben, um über die Gefahren durch KI-gestützte Hackerangriffe zu beraten, unterstreicht die mögliche Tragweite für kritische Infrastrukturen und die Finanzstabilität.

Bundesregierung im Austausch mit Anthropic

Europa ist Berichten zufolge größtenteils außen vor, was direkten Zugriff auf Claude Mythos angeht. In Deutschland hatte die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, bereits kurz nach der Vorstellung von Claude Mythos Preview erklärt, das BSI nehme die Ankündigungen von Anthropic sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“. Das BSI habe Kontakt zu Anthropic, Claude Mythos bislang aber nicht getestet und plane auch keine Testung, sagte ein Sprecher Mitte April.

Die EZB und die deutsche Bankenaufsicht BaFin haben laut Bericht des Handelsblatts auch bereits europäische und deutsche Geldhäuser vor den Folgen gewarnt. Dem Bericht nach bemühten sich die Banken intensiv darum, direkten Zugriff auf Mythos zu bekommen. Über Dienstleister wie Microsoft und Google erhielten einige mittlerweile zumindest indirekte Einblicke. Bundesbank-Präsident Joachim Nagel forderte, Mythos auch für Geldhäuser außerhalb der USA verfügbar zu machen: „Alle relevanten Institute sollten Zugang zu dieser Technologie haben, um Wettbewerbsverzerrungen zu vermeiden“, sagte er.

Die Bundesregierung ist laut dem Handelsblatt inzwischen auch aktiv geworden. Demnach habe der nationale Sicherheitsrat geheim in der Sache getagt, ebenso wolle man mit dem Hersteller Gespräche zu Mythos führen. „Die Bundesregierung steht gegenwärtig mit dem Hersteller Anthropic im Austausch“, sagte ein Sprecher des Innenministeriums dem Handelsblatt.

(axk)

Nach jahrelangen Ermittlungen ist ein mutmaßlich führender Betreiber von Fake-Onlineshops und mutmaßlicher Drahtzieher einer illegalen Handels-Plattform gefasst worden. Der 35 Jahre alte Mann aus dem Kreis Recklinghausen in Nordrhein-Westfalen soll rund 1.000 Menschen um teils erhebliche Summen gebracht haben. Er sei vor zwei Tagen auf Mallorca festgenommen worden und sitze in Auslieferungshaft, wie das Cybercrime-Zentrum (CCZ) Baden-Württemberg mitteilte.

Der Verdächtige hatte demnach seit Jahren unter falscher Identität auf der spanischen Insel gelebt und gilt als einer der mutmaßlich führenden Köpfe in der deutschsprachigen sogenannten Underground Economy. Dabei handelt es sich um kriminelle Netzwerke im Darknet sowie im Internet, die illegale Waren und Dienstleistungen anbieten.

Mann war auch Betreiber von „Crimenetwork“

Er gilt zudem als Betreiber der kurz nach ihrer Abschaltung neu aufgebauten illegalen Online-Handelsplattform „Crimenetwork“, wie gleichzeitig die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) in Frankfurt und das Bundeskriminalamt (BKA) in Wiesbaden mitteilten. Die Neuauflage der Plattform, auf der gestohlene Daten, Drogen und gefälschte Dokumente angeboten wurden, wurde demnach am Tag der Festnahme abgeschaltet.

Deren rund 22.000 Nutzer hatten ihre Transaktionen über Kryptowährungen abgewickelt – Umsätze in Millionenhöhe stehen im Raum. Ermittler fanden umfangreiche Nutzer- und Transaktionsdaten und stellten rund 194.000 Euro sicher. Weitere Angaben gab es dazu noch nicht. Wann der 35-Jährige nach Deutschland ausgeliefert wird, ist den Angaben zufolge noch offen.

Betrug mit täuschend echt aussehenden Fake-Onlineshops

Dem Mann wird vorgeworfen, zwischen März 2023 und Januar 2025 mehr als 40 täuschend echt gestaltete Shops im Internet betrieben zu haben. Die Betrugsopfer hatten Produkte bestellt und Geld überwiesen, aber niemals Ware erhalten. Der Schaden beläuft sich demnach auf mindestens 323.000 Euro.

Ermittler vor allem der Polizeipräsidien Reutlingen und Offenburg hätten maßgeblich dazu beigetragen, den Verdächtigen zu identifizieren, hieß es. Die bislang identifizierten Opfer stammten unter anderem aus Offenburg, Reutlingen, Freiburg, Karlsruhe und Stuttgart. Betroffen seien darüber hinaus Menschen aus zahlreichen Landkreisen in Baden-Württemberg und aus allen anderen deutschen Bundesländern.

Bitcoin und Datenträger sichergestellt

Gleichzeitig zur Festnahme seien neben der Wohnung des Mannes auf Mallorca auch Objekte in Deutschland durchsucht worden, darunter die von zwei mutmaßlichen Komplizen aus Kaltenkirchen in Schleswig-Holstein und Unna in Nordrhein-Westfalen. In der Wohnung des Hauptverdächtigen auf Mallorca sicherten die Ermittler Bitcoin im Wert von rund 314.000 Euro. Auch Datenträger seien beschlagnahmt worden.

(nen)

Die Bemühungen der EU um einen strengeren Jugendschutz im digitalen Raum steuern auf einen neuen Konflikt zu: Virtual Private Networks (VPNs). Mitgliedsstaaten und die EU-Kommission arbeiten aktuell mit Hochdruck an Systemen, um Minderjährige im Netz vor Pornografie oder Glücksspiel zu schützen. Doch nun rücken technische Werkzeuge zum Umgehen dieser Hürden in den Fokus der Politik. Der Wissenschaftliche Dienst des Europäischen Parlaments (EPRS) warnt in einer jetzt publik gewordenen Analyse eindringlich vor einem drastischen Anstieg der VPN-Nutzung, um gesetzlich vorgeschriebene Altersprüfungen zu umgehen.

Die Rechtsexperten der EU-Abgeordneten bezeichnen diesen Trend explizit als „Regelungslücke, die geschlossen werden muss“. Sie sehen darin ein erhebliches Risiko für die Wirksamkeit künftiger EU-Gesetze. Ihre Sorge speist sich aus Beobachtungen in Großbritannien und mehreren US-Bundesstaaten, in denen bereits strikte Online-Verifikationspflichten gelten. Sobald Gesetze in Kraft traten, die Plattformen zur Altersprüfung verpflichteten, dominierten dort laut dem EPRS VPN-Apps die Download-Charts.

VPNs verschlüsselten den Datenverkehr und ersetzten die IP-Adresse des Nutzers durch die eines Servers in einer anderen Region, heißt es in der Handreichung, auf die das Magazin Cyberinsider aufmerksam gemacht hat. So könnten regionale Sperren und Identitätschecks effektiv ausgehebelt werden. Das Hintergrundmaterial des EPRS ist dabei nicht nur eine Bestandsaufnahme: Es läuft auf die Frage hinaus, ob VPN-Dienste selbst künftig gesetzlich dazu verpflichtet werden sollten, das Alter ihrer Nutzer zu prüfen. So müssten die Anbieter sicherstellen, dass ihre Technologie nicht als Werkzeug zum Aushebeln von Jugendschutzmaßnahmen zweckentfremdet wird.

Digitale Anonymität versus Kontrollpflicht

Ein solcher Schritt würde an den Grundfesten der digitalen Privatsphäre rütteln. VPNs gelten als essenzielle Werkzeuge für das Homeoffice, den Schutz vor unbefugter Überwachung und den freien Zugang zu Informationen in autoritären Regimen. Bürgerrechtler und Datenschutzaktivisten warnen seit Langem in Brandbriefen an die Politik, dass eine Identitätspflicht für VPN-Anbieter die Anonymität im Netz deutlich schwächen und neue Risiken durch eine zentrale Datenerfassung schaffen würde. Wenn der Zugang zum „Verschlüsselungs-Tunnel“ nur noch gegen Vorlage eines Ausweises möglich wäre, verlören VPNs ihre Kernfunktion als Werkzeug für Whistleblower und Journalisten.

Zugleich bleibt die technische Umsetzung der Altersprüfung selbst ein Problemfeld, wie die EPRS-Forscher einräumen. Erst kürzlich deckten Sicherheitsforscher Mängel in einer offiziellen Demo der Altersverifikations-App der Kommission auf.

Von der Politik perlen solche Appelle teils ab: Utah etwa hat bereits ein Gesetz verabschiedet, das an die physische Präsenz eines Nutzers über die IP-Adresse hinaus anknüpft, um VPN-Maskierungen rechtlich ins Leere laufen zu lassen. Auch auf EU-Ebene deutet der EPRS an, dass eine Novelle des EU Cybersecurity Act spezifische Anforderungen enthalten könnte, um den Missbrauch von VPNs zum Umschiffen legaler Schutzmechanismen zu verhindern.

Brüssels Plan für die europäische Identitäts-App

Die Kommission hat mit einer Empfehlung Ende April die Flucht nach vorn angetreten, um einen Flickenteppich nationaler Alleingänge zu verhindern. Bis Ende 2026 sollen die EU-Länder flächendeckend Technologien zur Altersüberprüfung bereitstellen, die auf der technischen Blaupause der Brüsseler Regierungsinstitution basieren. Diese Open-Source-Lösung soll es Nutzern ermöglichen, ihr Alter nachzuweisen, ohne ihre gesamte Identität preiszugeben. Die Regierungen können diese Funktion entweder in eigenständigen Apps anbieten oder direkt in die kommende europäische digitale Brieftasche (EUDI-Wallet) integrieren.

Das System setzt auf Datensparsamkeit und moderne Kryptografie wie „Zero-Knowledge-Proofs“. Ein Nutzer muss gegenüber einer Webseite lediglich bestätigen, dass er beispielsweise über 18 Jahre alt ist, ohne Name oder Wohnort zu übermitteln. Ein offizielles EU-Rahmenwerk mit Listen vertrauenswürdiger Anbieter soll sicherstellen, dass nur geprüfte technische Lösungen zum Einsatz kommen, die laufend auf ihre Sicherheit und Konformität überwacht werden.

Zweifel am Umgehungsnarrativ

Doch zwischen der regulatorischen Wahrnehmung und der tatsächlichen Nutzung der Verschlüsselungstools klafft eine Lücke, legt eine Studie der University of Michigan nahe. Demnach nutzen über 82 Prozent der Befragten VPNs primär zum Schutz vor allgemeinen Bedrohungen durch Cyberkriminelle sowie zum Absichern ihrer Privatsphäre. Den Wissenschaftlern zufolge gibt es noch keine empirischen Belege dafür, dass VPNs tatsächlich in großem Stil und primär zum Aushebeln von Jugendschutzfiltern angeschafft würden.

(nie)