Die Europäische Zentralbank hat 111 Großbanken zu einer Notfallsitzung einberufen – ausgelöst durch eine neue KI, die Sicherheitslücken in Rekordzeit aufspürt. Das System namens „Mythos“ könnte die Cybersicherheit der Finanzbranche grundlegend verändern.
Mythos-Schock: KI findet Zehntausende Schwachstellen
Auslöser der beispiellosen Aktion ist ein Pilotprojekt mit dem Codenamen „Project Glasswing“. Die KI Claude Mythos des US-Unternehmens Anthropic durchforstete einen Monat lang über 1.000 Open-Source-Projekte – und wurde fündig: Insgesamt 23.019 Sicherheitslücken spürte das System auf. Davon stuften menschliche Forscher 6.202 als hochkritisch oder kritisch ein. Die erschreckende Trefferquote: 90,6 Prozent dieser Funde waren echt.
Die rasante Entwicklung von KI-Modellen wie Mythos zeigt, wie verwundbar IT-Infrastrukturen heute sind. Dieses kostenlose E-Book enthüllt, welche neuen Cyberbedrohungen 2024 auf Unternehmen zukommen und wie Sie Sicherheitslücken ohne hohes Budget schließen. Gratis-E-Book: IT-Sicherheit effektiv stärken
Noch alarmierender für die Finanzaufsicht: Mythos generierte in 83 Prozent der getesteten Fälle auf Anhieb funktionierende Angriffscodes. Das britische KI-Sicherheitsinstitut bestätigte die Ergebnisse. Demnach löste die KI 73 Prozent der anspruchsvollen „Capture the Flag“-Aufgaben – Simulationen, die selbst erfahrene Cybersicherheitsexperten fordern.
Patchen in Echtzeit wird zur Überlebensfrage
„Die Zeit gemächlicher Sicherheitsupdates ist vorbei“, machte EZB-Direktor Frank Elderson den Bankchefs klar. Die Analyse der Zentralbank zeigt: KI-Modelle können einen veröffentlichten Sicherheitspatch innerhalb von 30 Minuten analysieren und einen funktionierenden Angriff daraus ableiten. Wer nicht sofort aktualisiert, bleibt verwundbar.
Die Folgen sind bereits sichtbar: Mozilla musste Anfang des Jahres Firefox 150 mit 271 gezielten Patches ausliefern – alles Fundstücke der KI. Cloudflare entdeckte rund 2.000 Sicherheitslücken durch das Modell, 400 davon hochkritisch. Selbst die Kryptografie-Bibliothek wolfSSL blieb nicht verschont: Der Fehler CVE-2026-5194 hätte die Fälschung von Zertifikaten ermöglicht.
Europäische Banken im Nachteil
Doch es gibt ein massives Problem: Nur etwa 40 bis 50 Organisationen weltweit haben Zugang zu Mythos – darunter Microsoft, Google, Nvidia und die US-Großbank JPMorgan Chase. Kein einziges europäisches Kreditinstitut ist dabei. Die EZB macht jedoch klar: Fehlender Zugang ist keine Ausrede. „Feindliche Gruppen werden solche Fähigkeiten bald selbst entwickeln oder beschaffen“, warnte Elderson.
Die Europäische Kommission verhandelt bereits mit Anthropic über einen Zugang für EU-Institute – bisher ohne Erfolg. Die Gespräche stocken seit Anfang Mai. Als Alternative steht das französische KI-Unternehmen Mistral AI bereit, das mit mehreren europäischen Banken über ein eigenes Modell verhandelt.
DORA und EU-AI-Gesetz setzen Banken unter Druck
Die Notfallsitzung nutzte die EZB auch, um das Digital Operational Resilience Act (DORA) in Stellung zu bringen. Die Verordnung soll sicherstellen, dass der europäische Finanzsektor schweren Betriebsstörungen standhält. „Der Mythos-Schock zwingt die Banken, ihre automatischen Patch-Systeme und Echtzeit-Erkennungsfähigkeiten sofort zu modernisieren“, so die Botschaft aus Frankfurt.
Die zeitliche Überschneidung ist brisant: Am 2. August 2026 tritt das EU-KI-Gesetz vollständig in Kraft. Dann müssen Banken nicht nur Sicherheits-, sondern auch KI-Governance-Anforderungen erfüllen. Bis dahin müssen die 111 von der EZB beaufsichtigten Institute beweisen, dass sie sich gegen eine Bedrohung wehren können, die Schwachstellen in Minuten statt Monaten findet.
Während die EZB zur Eile mahnt, stellt die EU-KI-Verordnung Unternehmen bereits vor neue rechtliche Pflichten. Dieser kostenlose Umsetzungsleitfaden zum AI Act erklärt Ihnen kompakt alle Risikoklassen, Fristen und Dokumentationspflichten für einen rechtssicheren Einsatz von KI. EU AI Act Leitfaden jetzt kostenlos herunterladen
Internationale Welle der Besorgnis
Die globale Reaktion ließ nicht lange auf sich warten. Japans drei größte Banken sollen nach einer staatlich angeordneten Sicherheitsüberprüfung Zugang zu Mythos erhalten. Indiens Finanzaufsicht verlangt aggressive Patch-Zyklen bei allen großen Instituten. Südkorea kündigte eine nationale KI-Cybersicherheitsstrategie an.
Anthropic selbst hält eine vollständige öffentliche Veröffentlichung von Mythos zurück – bis weitere Sicherheitsvorkehrungen entwickelt sind. Dennoch plant das Unternehmen für Oktober 2026 einen Börsengang.
Vom Nadel-im-Heuhaufen-Problem zur Flut der Reparaturen
Marktbeobachter sehen einen grundlegenden Wandel: „Das Nadel-im-Heuhaufen-Problem ist gelöst – die KI hat jede Nadel gefunden“, heißt es in Analystenkreisen. Die Herausforderung sei nun die schiere Menge der notwendigen Reparaturen. Open-Source-Entwickler sind Berichten zufolge von der Flut an Fehlermeldungen aus Project Glasswing überfordert.
Die Finanzbranche könnte gezwungen sein, die Software-Stiftungen, auf denen ihre Infrastruktur ruht, direkt zu unterstützen. Die EZB wird die Umstellung der Institute den Sommer über engmaschig überwachen – bis zur vollständigen Umsetzung des EU-KI-Gesetzes. Der Ausgang dieser Bemühungen wird darüber entscheiden, ob die Finanzinfrastruktur der Eurozone in einer Ära maschinenschneller Schwachstellenerkennung widerstandsfähig bleibt.
