Analyse: Vom Mythos zur Vulnocalypse und was jetzt wirklich zu tun ist

Anthropics Mythos und die Kommentare und Analysen rund um diese (Nicht-)Veröffentlichung dominieren das Security-Geschehen – und das zu Recht: Wir befinden uns aktuell mitten in einer Singularität, wie sie die IT-Security in den vergangenen 10 Jahren nicht gesehen hat. Allerdings produziert das auch Hype, der von den eigentlich wichtigen Dingen ablenkt. Nicht zuletzt deshalb, weil Anthropic sich entschieden hat, das Ganze vor allem als PR-Booster der eigenen Interessen zu nutzen. Deshalb möchte ich einen Schritt zurücktreten und nüchtern analysieren, was tatsächlich das Problem ist, mit dem wir uns konfrontiert sehen – und was daraus für die jetzt nötigen Schritte folgt.

Zunächst: Das Problem ist nicht Anthropics Mythos. Auch andere LLMs hätten die von Mythos aufgedeckten Sicherheitslücken finden können; der aktuelle Vorsprung von Anthropic ist angesichts der sich abzeichnenden Entwicklung nicht relevant. Es ist auch nicht so, dass Angreifer jetzt plötzlich neue, nie dagewesene Fähigkeiten hätten, denen wir machtlos gegenüberstehen. Unser Problem ist Folgendes: LLMs haben jetzt die Fähigkeit, selbstständig echte Sicherheitslücken in Software zu finden. Sie können diese aber (noch?) nicht selbst beseitigen – und auch wenn sie das könnten, wären diese Fixes noch lange nicht beim Nutzer angekommen. Sprich: Das Finden und Ausnutzen von Sicherheitslücken lässt sich vollständig automatisieren und in industriellem Maßstab hochskalieren. Das Fixen dieser Lücken hingegen erfordert immer noch viel menschliche Beteiligung und wird deshalb auf absehbare Zeit deutlich langsamer erfolgen.

Die bevorstehende „Vulnocalypse“

Und das alles wird rasant noch sehr viel schlimmer werden. Die existierenden Bug-Fixing-Kapazitäten werden bereits jetzt in die Sättigung getrieben, während die Fähigkeit, neue Bugs zu finden, auf absehbare Zeit weiter steigen wird. Denn die befindet sich aktuell noch in einer sehr frühen Phase. Daraus folgt unmittelbar, dass uns eine Zeit bevorsteht, in der KIs sehr viel mehr Bugs finden, als gefixt werden können. Jedes System, das für Angreifer erreichbar ist, wird angreifbar sein, es wird angegriffen werden und es wird zu einer lange nicht dagewesenen Zahl von Sicherheitsvorfällen kommen. Wie lange diese Phase andauern wird und was danach kommt, werde ich später noch diskutieren. Wichtig ist jetzt erst mal, was sich bereits daraus ableiten lässt. Das Allerwichtigste:

Die Situation ist akut und jede:r, der/die für die Sicherheit von IT verantwortlich ist, sollte unmittelbar handeln und sich darauf vorbereiten.

Das lässt sich nicht mehr wegdiskutieren und „erstmal abwarten“ führt zu absehbaren Katastrophen. Die jetzt dringend erforderlichen Maßnahmen fallen in folgende Bereiche:

• Beschleunigen der Update-/Patch-Zyklen
• Reduzieren der Angriffsfläche
• Verbessern der Resilienz und Defense in Depth
• Vorbereiten auf den Ernstfall – genauer, die Ernstfälle, denn es wird nicht bei einem bleiben
• Auf die Wieder-Inbetriebnahme nach einem Vorfall vorbereiten

Ja, genau – das ist nichts Neues. All das hätte man bereits vor sechs Monaten genau so empfehlen können – und tatsächlich habe ich das sogar. Das kommt unter anderem daher, dass die KIs bislang keine neuartigen Schwachstellen aufdecken. Ob das so bleiben wird, ist eine andere, spannende Frage, die ich mir für später aufhebe. Doch alles, was Mythos & Co derzeit finden, hätte vor sechs Monaten auch ein Mensch aufspüren können. Nur war eben die Wahrscheinlichkeit für jeden einzelnen Fund so gering, dass wir uns da an vielen Stellen auch mit faulen Kompromissen irgendwie durchmogeln konnten. In diesem Bewusstsein haben wir über viele Jahre eine große Menge an Security-Schulden angehäuft. Und die werden jetzt fällig. Also in den nächsten sechs bis zwölf Monaten – um da mal eine konkrete Zahl in den Raum zu stellen. Und die werden ganz bitter.

Die fällige Neuorientierung

Deshalb ist es jetzt allerhöchste Zeit, sich darauf vorzubereiten. Also die oben aufgeführten Maßnahmen unter diesem Gesichtspunkt neu zu evaluieren und mit hoher Priorität auf die Agenda der nächsten Monate zu setzen. Da kann der Hype rund um Mythos sogar helfen. Selbst die Geschäftsführung hat vielleicht vom aufziehenden AI Vulnerability Storm und der Notwendigkeit gehört, sich auf Mythos vorzubereiten. Das liefert Anknüpfungspunkte, eigene Vorschläge zur Neubewertung der IT-Sicherheit zu unterbreiten.

Die werden fast schon zwangsläufig auch die Nutzung von KI einfordern, weil man nur mit deren Unterstützung die notwendige Geschwindigkeit bei der Umsetzung und bei der Abarbeitung der neuen Prozesse hinbekommen kann. Doch vieles geht auch ganz oder weitgehend ohne KI. Und das ist deshalb nicht weniger wichtig – im Gegenteil. Denn wie man etwa KI möglichst robust in den Update-/Patch-Zyklus einbaut, ist noch längst nicht wirklich klar. Wir können aktuell nur hoffen, dass die IT-Security-Industrie gemeinsam mit den KI-Firmen und Software-Entwicklern praktikable Lösungen findet und bereitstellt. Da kommen Anthropics Glasswing, OpenAIs Aardvark und unzählige innovative Projekte von KI-Startups wie AISLE und ZeroPath ins Spiel.

Die Rolle von KI

Doch noch wichtiger sind jetzt die klassischen Security-Basics, die wir viel zu lange vernachlässigt haben. Für Maßnahmen wie Segmentierung, Least Privilege, MFA oder auch Monitoring mit Deception und so weiter gibt es nämlich bereits bewährte Konzepte und Leitfäden. Deshalb würde ich solche soliden Security-Grundlagen sogar höher priorisieren und kurzfristiger umsetzen als zukunftsweisende, wirklich KI-getriebene Prozesse.

Trotz all der Kassandra-Rufe sehe ich die Rolle von KI in der IT-Sicherheit langfristig eher positiv. Denn es ist ja nicht so, dass wir da aktuell ein gut funktionierendes Gesamtkonzept hätten – ganz im Gegenteil. Das knirscht und versagt bereits seit Jahren an allen Ecken und Enden. Langfristig habe ich die Hoffnung, dass wir einen Zustand erreichen, in dem Verteidiger mehr von den Fähigkeiten der LLMs profitieren als die Angreifer. Denn das Fixen von Bugs skaliert letztlich besser als das Ausnutzen mit Real-World-Exploits. Und damit wird es realistisch, dass Software und die darauf aufbauende IT weitgehend sicher und resilient wird. Doch da reden wir von einem Zeithorizont von mehreren Jahren – und einem langen Weg, mit vielen Unbekannten und zahlreichen Möglichkeiten, völlig falsch abzubiegen. Sprich: „Die Lage ist hoffnungslos, aber nicht ernst.“

Diese Analyse schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)