Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. AI-Sicherheit

Hilfe statt Hype: Claude Mythos, Project Glasswing und die Fragen, auf die CISOs wirklich eine Antwort suchen

April 21, 2026
4/21/2026
Mark Wojtasiak
Senior Vice President für Produktforschung und -strategie
Hilfe statt Hype: Claude Mythos, Project Glasswing und die Fragen, auf die CISOs wirklich eine Antwort suchen

CISOs brauchen keine weitere Schlagzeile, die ihnen sagt, dass die Sicherheit noch schwieriger geworden ist. Das ist sie bereits. Ihr Umfeld verändert sich ständig. Systeme kommen und gehen. Die Anzahl der Identitäten, insbesondere der nicht-menschlichen, wächst stetig. Die Aktivitäten entwickeln sich schneller, als die Teams sie nachverfolgen können. Und selbst mit den richtigen Tools ist nicht immer klar, was in einem bestimmten Moment tatsächlich vor sich geht.

Wenn also etwas wie Claude Mythos auftaucht, geht es nicht darum, ob es interessant oder wichtig ist. Es geht um etwas Praktischeres: Ändert das etwas daran, worüber ich mir morgen früh Gedanken machen muss? Damit beginnt die Diskussion.  

Um zu verstehen, welche Fragen CISOs zu Claude Mythos und Project Glasswing stellen, habe ich mich mit Vectra AI CEO Hitesh Sheth, Vectra AI Oliver Tavakoli und Marty Roesch – dem Schöpfer von SNORT, Gründer von Sourcefire und Netography, der heute als Head of Cloud Vectra AI tätig ist.

„Macht Claude Mythos uns weniger sicher?“

Hitesh Sheth, Geschäftsführer

Hitesh neigt dazu, sich von der Schlagzeile zu distanzieren und das Gesamtbild zu betrachten.

Das Unternehmen ist nicht plötzlich wegen Claude Mythos komplex geworden. Diese Komplexität war bereits vorhanden. Was wir heute als modernes Unternehmen bezeichnen, ist stets aktiv, stets vernetzt und unterliegt einem ständigen Wandel. Arbeitslasten verschieben sich. Identitäten werden systemübergreifend authentifiziert. Daten fließen kontinuierlich zwischen den Umgebungen.

Die Sicherheit hingegen wurde größtenteils für ein anderes Modell entwickelt – eines, in dem die Umgebungen stabiler waren, die Grenzen klarer definiert waren und man Zeit hatte, sich zurechtzufinden. Diese Diskrepanz ist das eigentliche Problem.

„Claude Mythos“ führt weniger eine neue Risikokategorie ein, als dass es einen bereits bestehenden Trend beschleunigt. Es verringert den Aufwand, Schwachstellen zu finden und darauf zu reagieren. Es verkürzt die Zeiträume. Es verschafft Angreifern mehr Schnelligkeit, verändert aber nicht grundlegend ihre Vorgehensweise.

Sie melden sich weiterhin an. Sie nutzen weiterhin gültige Zugangsdaten. Sie bewegen sich weiterhin zwischen den Systemen auf eine Weise, die isoliert betrachtet normal erscheint. Deshalb ist das größere Problem für die meisten Teams nicht die Prävention, sondern das Verständnis. Nicht die Frage, ob etwas passieren könnte, sondern ob es tatsächlich passiert.

Und genau hier stehen CISOs oft unter dem größten Druck. Von ihnen wird erwartet, dass sie Fragen beantworten, die einfach klingen, in der Praxis aber schwierig sind:

  • Wer bzw. was befindet sich in unserem Netzwerk?
  • Sind wir gerade einem Angriff ausgesetzt?  
  • Werden die von uns getroffenen Maßnahmen funktionieren?  

Das Problem ist nicht der Mangel an Daten. Es ist der Mangel an klaren, zeitnahen Antworten. Aus dieser Perspektive betrachtet schafft Claude Mythos kein neues Problem. Es macht ein bestehendes Problem nur schwerer zu ignorieren.

„Können wir das Problem mit Claude Mythos durch schnellere Patches beheben?“

Oliver Tavakoli, Technischer Leiter

Das ist normalerweise die nächste Frage, und Olivers Antwort ist klar und deutlich. Allerdings nicht so, wie es sich die meisten Menschen erhoffen.

Wenn Claude Mythos mit seinen Aussagen auch nur annähernd richtig liegt, müssen wir davon ausgehen, dass ein Großteil der Software, auf die wir uns verlassen, anfälliger ist, als wir dachten. Nicht, weil sie schlecht programmiert wurde, sondern weil manche Schwachstellen einfach schwer zu finden und auszunutzen waren – und dies nun einfacher ist.

Der eigentliche Wandel liegt in der Geschwindigkeit und im Umfang. Sicherheitslücken, deren Aufdeckung früher Monate oder Jahre gedauert hätte, lassen sich heute viel schneller identifizieren. Und sobald sie gefunden sind, ist die Umsetzung in funktionierende Exploits kein zeitaufwändiger Prozess mehr, der besondere Fähigkeiten erfordert.

Das setzt ein Modell unter Druck, das ohnehin schon überlastet war. Unternehmen sind es gewohnt, Schwachstellen zu identifizieren, sie nach Priorität zu ordnen und im Laufe der Zeit zu beheben. Dieser Prozess setzt jedoch ein überschaubares Volumen und einen angemessenen Zeitrahmen voraus. Wenn das Volumen zunimmt und die Zeitfenster immer enger werden, versagt das Modell.

Es gibt praktische Einschränkungen, die nicht einfach verschwinden:

  • Kritische Systeme können nicht immer sofort gepatcht werden  
  • Upgrades bergen ein operatives Risiko  
  • Alte Systeme und OT-Umgebungen lassen sich nur schwer ändern  
  • Abhängigkeiten verlangsamen alles  

So geraten Teams in eine vertraute, aber unangenehme Lage. Sie wissen, wo einige der Risiken liegen. Sie wissen, was angegangen werden muss. Aber sie können nicht alles auf einmal beheben, und sie können es sich nicht leisten, das zu zerstören, was bereits funktioniert. Das führt zu einer Phase, in der Unternehmen mit bekannten, aber ungelösten Risiken arbeiten.

In dieser Zeit werden wahrscheinlich mehrere Dinge gleichzeitig geschehen. Es werden weiterhin Sicherheitslücken entdeckt werden. Exploits werden schneller entwickelt und verbreitet werden. Und die Zahl der Angriffe – einschließlich der erfolgreichen – wird zunehmen.

Gleichzeitig basieren nicht alle Angriffe auf Softwarefehlern. Identitätsmissbrauch, Fehlkonfigurationen und Social Engineering sind nach wie vor wirksame Methoden und in vielen Fällen sogar einfacher. Das Ziel besteht also nicht darin, alle bekannten Risiken sofort zu beseitigen, sondern eine Phase zu bewältigen, in der das Risiko höher ist und sich die Risikowahrnehmung ständig verändert.

„Wenn wir davon ausgehen, dass sie durchkommen, wie verteidigen wir uns dann?“

Marty Roesch, Head of Cloud

An dieser Stelle nimmt das Gespräch eine Wendung. Ab welchem Zeitpunkt eines Angriffs ist Prävention keine Option mehr?

Es gibt einen Moment, in dem sich ein Angriff von etwas, das man vielleicht noch abwehren kann, in etwas verwandelt, das erkannt werden muss, damit man darauf reagieren kann. Vor diesem Moment kann man den Angriff vielleicht noch abfangen. Danach hat man es mit Aktivitäten zu tun, die sich in normales Verhalten einfügen. In modernen Umgebungen tritt dieser Moment früher ein, als die meisten Menschen erwarten.

Sicherheitsarchitekturen gehen oft davon aus, dass mehrere Schichten einen sich überschneidenden Schutz bieten. In der Praxis sind sie jedoch eher sequenziell als redundant. Jedes Tool erfasst einen anderen Teil des Angriffs zu einem anderen Zeitpunkt. Wird dieser Moment verpasst, gibt es nicht immer eine weitere Gelegenheit, dieselbe Aktion zu beobachten. Das ist ein Grund, warum sich Angriffe über lange Zeiträume hinweg unbemerkt durch Umgebungen bewegen können. Nicht, weil keine Kontrollmechanismen vorhanden sind, sondern weil zwischen ihnen Lücken bestehen.

Marty ist der Ansicht, dass das Problem nicht darin besteht, dass es keine Telemetriedaten gibt. Das Problem ist vielmehr, dass die Telemetriedaten fragmentiert sind.

Endpoint erfassen Prozesse auf verwalteten Geräten. Identitätsmanagementsysteme erfassen Authentifizierungsereignisse. Cloud erfassen Aktivitäten innerhalb bestimmter Dienste. Jedes dieser Instrumente ist nützlich, doch keines zeigt auf, wie die Aktivitäten innerhalb der gesamten Umgebung miteinander verknüpft sind.  

Im Netzwerk spielen sich die Angriffe tatsächlich ab. Sie bewegen sich über Identitäten, Systeme und Umgebungen hinweg. Jeder einzelne Schritt mag für sich genommen legitim erscheinen. Erst die Abfolge der Schritte verrät, was wirklich vor sich geht. Deshalb kommt Marty immer wieder auf das Netzwerk zurück.

Das Netzwerk ist einer der wenigen Orte, an denen alles sichtbar wird. Jedes System, jede Identität und jede Arbeitslast kommuniziert letztendlich über das Netzwerk. Das macht es zu einem einheitlichen Beobachtungspunkt, insbesondere für Bereiche, die sonst schwer zu überwachen sind, wie beispielsweise die Netzwerkinfrastruktur oder nicht verwaltete Systeme.

Von da an verlagert sich der Fokus weg vom Versuch, jeden möglichen Exploit zu erkennen, hin zum Verständnis des Verhaltens. Nicht darum geht es, was ein System, eine Identität oder eine Anwendung tun soll, sondern darum, was sie tatsächlich tut.

Es gibt bestimmte Muster, wie Angriffe ablaufen, wie sich Angreifer Zugang verschaffen, wie sich Berechtigungen ändern, wie sie sich innerhalb des Systems bewegen und wie sie auf Daten zugreifen und diese verschieben. Diese Muster hängen nicht von einer bestimmten Schwachstelle ab. Sie gelten für verschiedene Techniken. Genau das macht sie in einer Umgebung nützlich, in der sich die Einzelheiten ständig ändern.

Das Ganze zusammenfügen

Keine dieser Sichtweisen widerspricht der anderen. Sie ergänzen sich gegenseitig.

  • Hitesh geht von der Tatsache aus, dass das Unternehmen bereits dynamisch ist und sich in Echtzeit nur schwer vollständig erfassen lässt.
  • Oliver erläutert, wie die KI-gestützte Erkennung von Sicherheitslücken den Druck auf Systeme erhöht, deren Wartung und Absicherung ohnehin schon schwierig war.
  • Marty konzentriert sich darauf, was passiert, wenn die Prävention nicht alles abdeckt, und wie die Erkennung in einem solchen Szenario funktionieren muss.

Zusammengenommen lassen sie eine einfache Schlussfolgerung zu: Claude Mythos schafft keine neue Problemkategorie. Es verschärft alle bereits bestehenden Probleme.

Was man aus diesen Gesprächen mitnehmen kann

Kurzfristig könnte sich die Lage eher weniger stabil anfühlen, nicht stabiler. Sicherheitslücken werden leichter zu finden sein. Exploits werden einfacher zu erstellen sein. Bei manchen Systemen wird es schwieriger sein, Probleme schnell zu beheben. Bei Angriffen wird weiterhin eine Kombination verschiedener Techniken zum Einsatz kommen, nicht nur Softwarefehler.

Im Laufe der Zeit wird sich die Software wahrscheinlich verbessern. Einige der einfacheren Schwachstellen werden vielleicht verschwinden. Aber Angreifer werden sich anpassen, wie sie es immer tun. Die Konstante ist nicht die Schwachstelle selbst. Es ist die Notwendigkeit, zu verstehen, was in Ihrer Umgebung geschieht, während es geschieht. Das ist der entscheidende Punkt, unabhängig davon, wie sich die Bedrohung entwickelt. Und das ist die Frage, auf die CISOs immer wieder zurückkommen – nicht nur bei Claude Mythos, sondern bei allem:

Wissen wir, was gerade in unserem Netzwerk und in unserer gesamten Infrastruktur vor sich geht?

Häufig gestellte Fragen