ASIC warnt Finanzunternehmen vor KI-Cyberrisiken

Die Australian Securities and Investments Commission (ASIC) hat Finanzunternehmen gewarnt, ihre Cyber-Abwehr zu stärken. Als Beleg führte sie laut Reuters fortgeschrittene KI-Modelle wie das von Anthropic entwickelte Mythos an, die Software-Schwächen offenbaren. ASIC-Kommissarin Simone Constant sagte, Unternehmen sollten handeln, bevor die Bedrohung klarer werde, und sich auf grundlegende Maßnahmen zur Cyber-Resilienz konzentrieren.

Regulatorischer Kontext

Die Warnung kam einen Monat, nachdem die Australian Prudential Regulation Authority eine eigene Mitteilung zu Sicherheitspraktiken herausgegeben hatte, die Schwierigkeiten hätten, mit KI Schritt zu halten. Eine separate Studie des Cambridge Centre for Alternative Finance ergab zudem, dass nur 20% der Regulierungsbehörden fortgeschrittene KI-Implementierungen umgesetzt hätten und dass Aufsichtsstellen Finanzunternehmen bei der Verfolgung entstehender Schäden hinterherhinken.

Mythos-Ausnutzungsfähigkeiten

Anthropologic vorab bereitgestelltes Mythos Preview geht über das Erkennen von Schwachstellen hinaus—es kann funktionsfähige Exploits für Softwarefehler schreiben. Das Modell fand und nutzte unabhängig einen 27 Jahre alten Bug in OpenBSD, einem quelloffenen Betriebssystem, das für Sicherheit entwickelt wurde. Mythos nutzte außerdem CVE-2026-4747, um über das Network File System (NFS) auf FreeBSD, einem weiteren quelloffenen Betriebssystem, als Root Remote Code Execution zu erreichen.

Anthropic erklärte, das Modell habe in großen Betriebssystemen und Webbrowsern Tausende von Schwachstellen mit hoher Kritikalität gefunden, von denen viele über Jahre oder Jahrzehnte hinweg unentdeckt geblieben seien. Der Zugang zu Mythos Preview ist begrenzt, und Project Glasswing bringt Amazon Web Services, die Sicherheitsteams von Apple, Google, Microsoft, NVIDIA und weitere Akteure zusammen, um weit verbreitete Software abzusichern, bevor sich ähnliche Tools ausbreiten.

Auswirkungen auf die Ökonomie der Cybersicherheit

Die Fähigkeit verändert die Kosten und den Zeitplan für das Auslösen von Cyberangriffen deutlich. Bugs, die früher als geringes Risiko behandelt wurden, rücken nun stärker in den Fokus, weil Mythos Preview Exploits in Stunden bauen kann—eine Arbeit, von der Expert-penetrationstester sagten, sie hätte mit traditionellen Methoden Wochen gedauert. Diese Verschiebung bedeutet, dass Finanzunternehmen und andere Organisationen möglicherweise schnellere Patch-Zyklen und stärker automatisierte Abwehrmaßnahmen benötigen.

Tests an weiteren Frontier-KI-Modellen deuten darauf hin, dass fortgeschrittene Cyber-Fähigkeiten mit dem breiteren KI-Fortschritt einhergehen, was darauf hindeutet, dass die Bedrohung wahrscheinlich wachsen wird.

FAQ

Was ist Mythos und warum ist das für Finanzunternehmen ein Problem?

Mythos ist das fortgeschrittene KI-Modell von Anthropic, das Software-Schwachstellen identifizieren und funktionsfähige Exploits schreiben kann. Die ASIC warnte Finanzunternehmen, weil Mythos Sicherheitslücken in weit verbreiteten Systemen aufdecken kann, wodurch sich die Zeit und die Kosten für das Starten von Cyberangriffen auf den Preis eines API-Schlüssels reduzieren. Das Modell hat die Fähigkeit gezeigt, Tausende Schwachstellen mit hoher Kritikalität in Betriebssystemen und Webbrowsern zu finden.

Wie schnell kann Mythos Exploits im Vergleich zu traditionellen Methoden generieren?

Mythos kann Exploits in Stunden erstellen, während Expert-Penetrationstester sagten, dass die gleiche Arbeit mit traditionellen Methoden Wochen gedauert hätte. Diese Beschleunigung verändert die Cybersicherheits-Ökonomie grundlegend und erhöht die Dringlichkeit, Schwachstellen zu patchen.

Was tun Regulierungsbehörden, um KI-getriebene Cyber-Risiken anzugehen?

Die ASIC riet Finanzunternehmen, ihre Cyber-Abwehr zu stärken und sich auf grundlegende Maßnahmen zur Cyber-Resilienz zu konzentrieren, bevor Bedrohungen klarer werden. Die Australian Prudential Regulation Authority gab eine ähnliche Warnung heraus, weil Sicherheitspraktiken dem KI-Entwicklungsstand hinterherhinken. Project Glasswing, das große Technologie- und Cloud-Unternehmen einbezieht, arbeitet daran, weit verbreitete Software abzusichern, bevor entsprechende Exploit-Generierungs-Tools weit verbreitet sind.