Claude Mythos: Die KI, die Sicherheitslücken findet — und Europas Lücke gleich mit

Claude Mythos zeigt, dass KI-Sicherheit nicht nur ein Technikthema ist. Es geht um Zugang, Macht und Europas digitale Souveränität.

Anthropic hat mit Claude Mythos Preview ein neues KI-Modell vorgestellt, das nicht einfach nette E-Mails formuliert oder Kuchenrezepte vorschlägt. Mythos ist laut Anthropic ein unveröffentlichtes Frontier-Modell, das bei der Suche und Ausnutzung von Software-Schwachstellen besser sein kann als fast alle menschlichen Spezialisten. Anthropic schreibt sogar, Mythos habe bereits tausende schwerwiegende Schwachstellen gefunden, darunter in grossen Betriebssystemen und Browsern.

Das ist nicht mehr Chatbot mit Krawatte. Das ist eher ein digitaler Einbrecher mit Doktortitel, der zufällig auch Alarmanlagen reparieren kann.

Anthropic will Mythos nicht einfach öffentlich ins Internet stellen. Stattdessen läuft das Ganze über Project Glasswing, bestimmte Firmen kriegen Zugriff.

Wenn ein Werkzeug stark genug ist, um Sicherheitslücken schneller zu finden als Menschen, dann ist der Zugang zu diesem Werkzeug plötzlich selbst ein Machtfaktor. Wer Mythos hat, sieht womöglich früher, wo es brennt. Alle anderen merken es vielleicht nie.

Reuters berichtete am 21. April 2026, Anthropic plane, Mythos bald auch europäischen und britischen Banken zugänglich zu machen. Gleichzeitig meldete sich Joachim Nagel, Präsident der deutschen Bundesbank, zu Wort und forderte breiteren Zugang zu Mythos für europäische Banken.

Man möchte als Europäer eigentlich sagen: Ja bitte. Unsere Banken laufen nicht auf magischen Einhörnern, sondern auf historisch gewachsenen IT-Systemen, Schnittstellen, Altlasten und wahrscheinlich irgendwo noch einem Server, der aus Gewohnheit weiterlebt.

Acht Tage später legte Michael Theurer, oberster Bankenaufseher der Bundesbank, nach. Laut Reuters vom 29. April forderte er, dass EU-Kommission und europäische Regierungen Anthropic oder die US-Regierung offiziell um Zugang bitten. Ohne Zugriff könnten europäische Banken nicht einmal richtig testen, welche Schwachstellen Mythos überhaupt findet, welch Überraschung.

Übersetzt: Liebe Amerikaner, wenn ihr den neuen Röntgenapparat für Software habt, wäre es nett, wenn wir unsere Patienten auch mal untersuchen dürften. Wenn man das genauer anschaut, ist das ein Souveränitätsproblem, das sich als Produktanfrage verkleidet.

Bloomberg berichtete am 30. April 2026 unter Berufung auf einen anonymen Regierungsbeamten, das Weisse Haus lehne Anthropics Plan ab, den Zugang zu Mythos auf rund 70 weitere Unternehmen und Organisationen auszuweiten. Washington bremst. Ob Europa direkt betroffen ist, wird sich zeigen.

Aber in meinen Augen ist es politisch ziemlich deutlich: Washington wird nervös, wenn ein KI-Modell mit Elite-Hacker-Fähigkeiten breiter verteilt werden soll.

Trotzdem bleibt die Frage: Was ist die Alternative?

Der AI Act und die grosse Lücke

Die EU hat in den letzten Jahren den umfassendsten KI-Regulierungsrahmen der Welt geschrieben. Der AI Act weiss genau, welche Systeme als hochriskant gelten, wie man sie dokumentiert, testet und beaufsichtigt.

Der AI Act regelt, was man mit KI darf. Nicht, wer die entscheidenden KI-Werkzeuge bekommt.

Aber er regelt, was du mit KI machst. Nicht, wer sie bekommt. Wer Brandschutzvorschriften schreibt, aber nicht sicherstellt, dass die Feuerwehr überhaupt Fahrzeuge hat, hat halb gedacht.

Der AI Act ist nicht das Problem, weil er Mythos verbietet. Das Problem ist subtiler. Europa hat einen Rahmen gebaut, um KI-Risiken zu verwalten, aber keinen gleich starken Rahmen, um strategische KI-Fähigkeiten aufzubauen.

Wie absurd das ist, zeigt ein Blick auf DORA. Der Digital Operational Resilience Act gilt seit Januar 2025 und verpflichtet Banken, Versicherer und andere Finanzunternehmen in der EU dazu, widerstandsfähig gegen Cyberangriffe und IT-Störungen zu sein. Resilienz ist also Pflicht.

Gleichzeitig entscheidet Washington mit darüber, ob europäische Banken Zugang zu den Werkzeugen bekommen, mit denen sich die nächste Generation von Schwachstellen überhaupt realistisch testen lässt. Als würde man eine Schwimmprüfung verlangen, aber den Zugang zum Wasser politisch genehmigungspflichtig machen.

Angreifer warten nicht auf Exportgenehmigungen

Noch unbequemer: Glaubt irgendjemand ernsthaft, dass staatliche Akteure aus Russland oder China auf eine Exportgenehmigung aus Washington warten, bevor sie ähnliche Fähigkeiten entwickeln oder beschaffen?

Europäische Banken sollen gegen KI-gestützte Cyberangriffe verteidigt werden, dürfen aber das Verteidigungswerkzeug nicht benutzen. Angreifer haben diese Einschränkung nicht. Vorsicht klingt anders. Das ist eine strukturelle Benachteiligung der eigenen Verbündeten.

Dazu kommt eine weitere Dimension, über die wenig gesprochen wird. Wer Mythos hat, findet Schwachstellen in Software früher als alle anderen. Wenn europäische Banken und Energieversorger auf derselben Software laufen wie amerikanische, könnte eine US-Stelle theoretisch wissen, wo europäische Infrastruktur angreifbar ist, bevor die europäischen Betreiber das selbst wissen.

Abhängigkeit als Machtinstrument

Und jetzt das Geopolitische.

Wenn europäische Banken, Energieversorger und Regierungsstellen auf US-kontrollierte KI-Sicherheitswerkzeuge angewiesen sind, entsteht eine strukturelle Abhängigkeit, die politisch nutzbar wird. Das gibt mir, um ehrlich zu sein, sehr zu denken. "Wir geben euch Mythos-Zugang, wenn …" ist als Satz in einem bilateralen Gespräch nicht weit hergeholt. Vor allem mit der jetzigen Regierung.

Wenn sich durchsetzt, dass Frontier-KI als strategisches Gut behandelt wird, analog zu Halbleitertechnologie oder Satellitenaufklärung, dann wird Europa das bei jeder nächsten Generation wieder erleben. KI für Bioverteidigung, für Finanzstabilität, für Infrastrukturmonitoring.

Und während Washington entscheidet, wer was bekommt, baut China seinen eigenen Stack. Peking wartet nicht auf Exportgenehmigungen. Das Ergebnis ist eine Welt mit zwei KI-Ökosystemen. Europa sitzt dazwischen, abhängig vom US-System, aber ohne garantierten Zugang, und nicht bereit, das chinesische System zu nutzen. Strukturell schwächer geht es kaum.

Und all das unter der Prämisse, dass Washington ein verlässlicher Partner bleibt. Was in der aktuellen Lage ungefähr so viel wert ist wie ein Wettervertrag mit jemandem, der Zölle per Tweet ankündigt und Allianzen nach Laune neu bewertet.

Wo Europa wirklich steht

Das ist keine europäische Opfergeschichte. Europa hat sich seine Tech-Abhängigkeit über Jahre hart erarbeitet. Wir regulieren gerne früh, bauen aber oft spät. Wir diskutieren über digitale Souveränität, während die Cloud-Rechnung aus Seattle kommt und die KI-Modelle aus San Francisco.

Aber Souveränität bedeutet nicht, eigene Regeln zu haben. Es bedeutet, nicht auf die Erlaubnis anderer angewiesen zu sein. Beides hat die EU gerade nicht. Sie kann Mythos nicht nutzen, weil der Zugang fehlt. Und sie hat kein europäisches Äquivalent, weil die Fähigkeit fehlt.

Wenn KI-Modelle künftig Schwachstellen schneller finden als klassische Sicherheitsteams, dann wird Zugang zu solchen Modellen ein Bestandteil kritischer Infrastruktur. Und dann reicht es nicht, wenn Europa am Spielfeldrand steht und sagt: Wir hätten da gerne einen fairen Binnenmarkt für Feuerlöscher.

Wer den Schlüssel hat, entscheidet, wer ins Sicherheitszeitalter darf.

Und trotzdem steht Europa mal wieder vor der Tür und fragt höflich, ob es beim nächsten Sicherheitszeitalter vielleicht auch reindarf. Selbst Sheldons dreifaches Klopfen würde hier nichts nützen. Wer den Schlüssel hat, entscheidet selbst, ob er heute Besuch will. Und ob er guter Laune ist.

Quellen

• Anthropic: Claude Mythos Preview
• Reuters, 21. April 2026: Anthropic plans to provide Mythos access to European banks soon
• Reuters, 29. April 2026: EU should seek access to Anthropic's Mythos, Bundesbank says
• Bloomberg, 30. April 2026: White House Opposes Anthropic's Mythos AI Expansion
• EU: Digital Operational Resilience Act (DORA)
• EU AI Act – offizieller Gesetzestext und Übersicht