Ein 27 Jahre alter Bug — gefunden in wenigen Stunden
OpenBSD ist eines der am häufigsten verwendeten Betriebssysteme für Server und kritische Infrastrukturen. Es genießt einen Sicherheitsruf, der über dreißig Jahre aufgebaut wurde. Und dennoch verbarg sich darin ein Bug, den niemand je gefunden hatte — ein Fehler im Code, der einen Remote-Absturz des Systems verursachen konnte.
Er war seit 27 Jahren dort.
Gefunden hat ihn kein Penetrationstester-Team. Es war Claude Mythos, das Forschungsmodell von Anthropic, im Rahmen von Project Glasswing — einer Initiative, die mit AWS, Google, Microsoft, Cisco, Apple, NVIDIA und anderen Partnern zum Schutz kritischer Weltsoftware gestartet wurde.
Dasselbe gilt für FFmpeg — eine Bibliothek, die in jeder Videoanwendung verwendet wird. Ein 16 Jahre alter Bug, der fünf Millionen automatischen Tests entgangen war. Von Claude in wenigen Stunden gefunden.
Die Botschaft lautet nicht „KI ist unglaublich“. Die Botschaft lautet: Die Software, die Sie täglich nutzen — auf Ihren Servern, auf den Computern Ihrer Mitarbeiter, in Ihren Verwaltungssystemen — hat mit hoher Wahrscheinlichkeit Schwachstellen, die noch niemand gefunden hat.
Was zero-day-Schwachstellen sind — ohne Fachjargon
Eine Schwachstelle ist ein Fehler im Code einer Software. Sie kann ein harmloser Bug oder eine kritische Lücke sein, die es jemandem ermöglicht, in das System einzudringen, Daten zu stehlen oder alles lahmzulegen.
Wenn die Lücke dem Hersteller bekannt ist, wird sie durch ein Update behoben. Wenn sie hingegen unbekannt ist — weder dem Hersteller noch der Sicherheitscommunity — spricht man von zero-day. Der Name kommt daher, dass derjenige, der sie entdeckt, null Tage Vorsprung hat, um sich zu verteidigen, weil der patch noch nicht existiert.
Die Daten von Claude Mythos zeichnen ein unbequemes Bild: Zum Zeitpunkt der Veröffentlichung waren über 99 % der gefundenen Schwachstellen noch offen. Das bedeutet, dass diese Lücken monatelang — manchmal jahrelang — dort lagen und von jedem ausgenutzt werden konnten, der sie als Erster entdeckte.
Warum das die Regeln für alle Unternehmen verändert
Bis heute war das vorherrschende Sicherheitsdenken recht einfach: Installieren Sie einen Virenschutz, schulen Sie Mitarbeiter zu Phishing, erstellen Sie Backups. Wenn Sie verbreitete Software nutzen und sie aktuell halten, sind Sie vernünftigerweise sicher.
Dieses Modell funktionierte, solange das Auffinden von Schwachstellen schwierig, kostspielig und seltenem Fachwissen vorbehalten war. Ein erfahrener Penetrationstester braucht Wochen, um ein komplexes System zu analysieren.
KI skaliert. Claude Mythos analysierte OpenBSD zu einem Preis von rund 20.000 Dollar pro tausend Scans und fand dabei Dutzende von Problemen. Was früher ein erfahrenes Team monatelang beschäftigte, erledigt jetzt ein KI-Modell in wenigen Stunden.
Das Problem ist zweiseitig: KI kann zur Verteidigung eingesetzt werden, aber sie kann auch — von denjenigen mit anderen Absichten — zum Angriff genutzt werden. Das Zeitfenster, in dem eine Lücke ungenutzt bleibt, wird kürzer.
Möchten Sie verstehen, wie KI die Sicherheit Ihres Unternehmens verändert?
30 Minuten für Ihren spezifischen Fall.
Was jetzt konkret zu tun ist
Es ist nicht nötig, Experte für IT-Sicherheit zu werden. Es braucht drei Gewohnheiten, die viele Unternehmen noch nicht haben.
Die erste ist, automatische Updates überall zu aktivieren, wo es möglich ist. Das Zeitfenster zwischen der Veröffentlichung eines patch und dem Moment, in dem er von Angreifern ausgenutzt wird, hat sich auf wenige Tage verkürzt. Updates manuell zu verwalten ist ein Luxus, den sich KMU in vielen Kontexten nicht mehr leisten können.
Die zweite ist, die Angriffsfläche zu reduzieren. Jeder im Internet exponierte Dienst, jede installierte aber nicht genutzte Software ist ein potenzieller Einstiegspunkt. Ein regelmäßiges Audit dessen, was tatsächlich aktiv ist, ist mehr wert als viele teure Tools.
Die dritte ist, einen Plan für das „Wenn es passiert“ zu haben, nicht nur für das „Falls es passiert“. Verifizierte Backups, Incident-Response-Verfahren, Kontaktdaten des Systemanbieters. Es braucht keinen internen CISO — man muss wissen, wen man anruft und was in den ersten Stunden zu tun ist.
KI als Verteidigungsinstrument, nicht nur als Angriffswerkzeug
Die Kehrseite der Medaille ist, dass dieselbe Technologie, die zum Auffinden von Lücken eingesetzt wird, auch zur Verteidigung genutzt werden kann.
Project Glasswing stellt Open-Source-Sicherheitsorganisationen 100 Millionen Dollar an KI-Guthaben zur Verfügung. Das Ziel ist systematische vulnerability research, bevor andere es tun.
Für Unternehmen ergibt sich daraus eine konkrete Perspektive: KI kann vulnerability scanning auf proprietären Codebasen durchführen, Sicherheitskonfigurationen analysieren, anomale Verhaltensweisen in Logs identifizieren. Sie ersetzt kein Sicherheitsteam, senkt aber die Kosten für Dinge drastisch, die bisher nur großen Unternehmen zugänglich waren.
Ein realistisches Szenario für ein KMU ist nicht „ein eigenes Claude Mythos aufzubauen". Es ist, KI für einfachere, aber ebenso nützliche Dinge einzusetzen: eigene Systeme auf riskante Konfigurationen zu analysieren, Anomalien zu überwachen, Mitarbeiter mit personalisierten Simulationen zu schulen.
Der nächste Schritt für Ihr Unternehmen
Cybersicherheit ist 2026 nicht mehr nur ein technisches Problem. Es ist ein strategisches Unternehmensproblem. Jede nicht behobene Lücke ist ein operatives, reputationsbezogenes und — mit den Vorschriften NIS2 und GDPR — potenziell rechtliches Risiko.
Zu verstehen, wie KI diese Landschaft verändert, erfordert keine technischen Kenntnisse. Es erfordert, die richtigen Fragen zu stellen: Was sind meine kritischen Systeme? Wer verwaltet die Updates? Was passiert, wenn morgen jemand auf unsere Daten zugreift?
Maverick AI hilft Unternehmen, diese Fragen zu beantworten und zu verstehen, wo KI den Unterschied machen kann. Wenn Sie verstehen möchten, wo Sie anfangen sollen, buchen Sie ein Gespräch.