KI-Modell Claude Mythos: Systemisches Risiko für das globale Finanzsystem

Es klingt zunächst wie ein Spezialthema für IT-Nerds: Eine neue Künstliche Intelligenz findet Schwachstellen in Software schneller als bisher möglich. Doch im globalen Finanzsystem kann genau daraus ein massives Stabilitätsrisiko werden. Denn Banken, Börsen, Zahlungsdienstleister und Versicherer sind auf funktionierende und sichere Software angewiesen.

Wenn nun aber Künstliche Intelligenz Sicherheitslücken schneller findet, können diese auch von Kriminellen schneller ausgenutzt werden. Experten sprechen bereits von einem systemischen Risiko für das globale Finanzsystem.

Auslöser der Debatte ist Claude Mythos - das neue Spitzen-KI-Modell des US-Unternehmens Anthropic. Es soll in Testläufen bereits Tausende von hochkritischen Sicherheitslücken in Software, so genannte Zero-Days, entdeckt haben, die zuvor jahrzehntelang übersehen wurden. Zudem kann es selbstständig komplexe Cyberangriffe programmieren.

Warum Aufseher vor KI-Risiken warnen

Die Europäische Zentralbank (EZB) sieht darin eine ernsthafte Bedrohung für das Finanzsystem, hat deshalb zuletzt sogar ein Nottreffen europäischer Banken einberufen. Der Financial Stability Board (FSB), der zentrale internationale Finanzstabilitätswächter der G20, spricht von "neuen und fortgeschrittenen Risiken für die globale Finanzstabilität".

Auch der Internationale Währungsfonds (IWF) sieht in KI-Modellen wie Mythos eine Gefahr für das globale Finanzsystem und warnt vor einem "potenziellen makrofinanziellen Schock". Nach einer IWF-Analyse könnten extreme Verluste durch Cybervorfälle Finanzierungsengpässe auslösen, Zweifel an der Zahlungsfähigkeit von Instituten wecken und breitere Marktverwerfungen nach sich ziehen.

Was ein Angriff auf SWIFT auslösen könnte

Man muss sich nur vorstellen, ein so mächtiges KI-Modell wie Mythos nimmt die globale Bankinfrastruktur ins Visier - etwa das zentrale Nachrichtensystem SWIFT, über das Banken weltweit Zahlungsaufträge und andere Finanznachrichten sicher austauschen.

Der mögliche Schaden wäre enorm. Angreifer können Zahlungsströme in Milliardenhöhe manipulieren - und das Vertrauen in Banken und das Finanzsystem komplett zerstören. Anthropic selbst hält seine neue Spitzen-KI für zu gefährlich und hält sie deshalb bislang noch weitgehend unter Verschluss - arbeitet aber daran, sie in den kommenden Wochen für alle Kunden zugänglich zu machen.

Project Glasswing soll kritische IT schützen

Bislang haben nur ausgewählte Unternehmen und Organisationen im Rahmen von "Project Glasswing" kontrollierten Zugriff auf Claude Mythos. Dazu gehören unter anderem Amazon, Microsoft, Apple, Google, Nvidia und JPMorgan Chase. Ziel ist es, Sicherheitslücken in kritischer Software-Infrastruktur schneller zu finden - und zu schließen.

Nicht umsonst sprechen Experten mit Blick auf Mythos von einer klassischen "Dual-Use-Technologie": Das neue KI-Modell ist also nicht nur die ultimative Cyberwaffe, sondern auch das beste Werkzeug zur Abwehr von Cyberangriffen.

Europas Banken haben (noch) keinen Zugang

Nun soll auch die EU-Behörde für Cybersicherheit (Enisa) Zugang zum KI-Modell Mythos von Anthropic bekommen. Die konkreten Bedingungen müssen aber noch ausgehandelt werden, hieß es am Montag. Bis dahin bleiben europäische Banken außen vor - aktiv werden müssen sie laut Experten aber schon jetzt.

Banken im Euroraum müssen mehr in Cybersicherheit investieren, ist etwa Luis de Guindos überzeugt. "Wir müssen versuchen, das Bewusstsein der Finanzinstitute, der Banken, dafür zu schärfen, dass zusätzliche Investitionen in Cybersicherheit nötig sind", betont der scheidende EZB-Vizepräsident.

Banken müssen Sicherheitslücken schneller schließen

Entscheidend sind dabei laut Experten die sogenannten "Patch-Gaps", also die Zeit zwischen Auffinden und Schließen einer Sicherheitslücke. Dafür ließen sich die Banken zuletzt teils wochenlang Zeit - ein Vorgehen, das in der neuen KI-Ära Cyberkriminellen Tür und Tor öffnen würde.

Für die Banken bedeutet das mehr Investitionen in Personal: "Banken müssen jetzt mehr Geld ausgeben, um Mitarbeiter einzustellen, die diese Lücken möglichst rasch schließen", betont Daniel Kröger, Portfoliomanager beim Vermögensverwalter DWS, im Gespräch mit der ARD-Finanzredaktion.

Warum der Zeitvorsprung der Verteidiger schrumpft

Die Zeit drängt: Denn es geht es nicht nur speziell um Anthropic und Claude Mythos Preview - sondern auch um vergleichbare KI-Modelle, die einzelnen kriminellen Akteuren oder auch Nationalstaaten wie Russland und China schon bald zur Verfügung stehen könnten.

Logan Graham, der Leiter des führenden IT-Sicherheitsteams von Anthropic (Frontier Red Team Lead), warnte im US-Magazin Wired: Wir müssen uns jetzt auf eine Welt vorbereiten, in der diese Fähigkeiten in 6, 12, 24 Monaten auf breiter Basis verfügbar sein werden."

KI wird zum Stresstest für Banken und Aufseher

Anthropics KI-Modell Mythos ist ein Weckruf - für Banken, Unternehmen und Aufseher. Nicht weniger als die Stabilität des globalen Finanzsystems steht auf dem Spiel. Dabei hat bereits die Finanzkrise 2008 eindrücklich gezeigt: Oft reicht schon eine Vermutung, ein Gerücht, eine Bank könne in Schwierigkeiten stecken, um große Marktverwerfungen auszulösen.

Die ungeahnten Fähigkeiten von Claude Mythos sind ein Signal, die Verteidigung hochzufahren - und das so schnell wie möglich. Europäische Banken müssen dabei aufpassen, nicht ins Hintertreffen zu geraten: Project Glasswing verschafft US-Instituten bislang einen Zeitvorsprung beim Schließen von Sicherheitslücken.

Dabei sind internationale Kooperationen von KI-Entwicklern, Banken, Unternehmen und Aufsehern jetzt nötiger denn je. Denn Cyberkriminalität macht nicht an Grenzen halt - ebenso wenig wie Finanzkrisen.