Blog 5 Critical Mythos Questions Every CISO Must Answer | Insight

Mythos hat Tausende neue kritische Schwachstellen aufgedeckt. Hier sind die fünf Fragen, die jedem CISO gestellt werden, und wie Sie darauf antworten

„Wenn Sie in den letzten Wochen um 3 Uhr morgens aufgewacht sind und gedanklich Ihre IT-Umgebung durchgegangen sind (die Legacy-Systeme, die Open-Source-Abhängigkeiten, die seit Jahren niemand mehr angerührt hat, die Drittanbieter-Software, die durch Übernahmen mit übernommen wurde) – dann sind Sie nicht allein.

Jeder CISO, mit dem ich gesprochen habe, seit Anthropic sein Mythos-LLM veröffentlicht hat, geht gedanklich dieselbe Bestandsaufnahme durch.

Mithilfe von Mythos hat das Projekt ‚Glasswing‘ Tausende bisher unbekannte kritische Schwachstellen über Betriebssysteme, Browser und Infrastrukturebenen hinweg aufgedeckt. Das ist der Teil, der für die Schlagzeilen gesorgt hat.

Der schwierigere Teil trifft einen um 3 Uhr morgens: Obwohl sich an unserer IT-Umgebung absolut nichts geändert hat, ist das Risiko, dem wir ausgesetzt sind, exponentiell gestiegen. Sicherheitslücken, die zuvor realistisch gesehen kaum ausnutzbar waren, können von Mythos nun so miteinander verkettet werden, dass jede Umgebung kompromittiert werden kann, in der Angreifer erst einmal einen ersten Fuß in die Tür bekommen haben.

Das Problem lässt sich nicht einfach dadurch eindämmen, dass man den Zugang zu Mythos beschränkt. Jedes zukünftige Frontier-Modell wird von nun an über diese inhärenten Fähigkeiten verfügen. Zudem hat die Situation eines unmissverständlich klargemacht: KI hat diese Angriffsfläche erst geschaffen – und KI muss auch ein entscheidender Teil unserer Verteidigung sein.

Das habe ich aus den vielen Fragen gelernt, die mir seit April gestellt wurden: Die nächtliche Sorge um 3 Uhr morgens hat ein Ende, sobald die entsprechenden Patches eingespielt sind. Aber das, was uns bei Tageslicht beschäftigt – das ist es, was Sie jetzt aktiv gestalten können.

Genau zu wissen, was Ihr Vorstand, Ihre Rechtsabteilung und die Aufsichtsbehörden fragen werden, und eine fundierte, operative Antwort parat zu haben – genau das macht den Unterschied aus, ob Sie von der Situation beherrscht werden oder sie selbst aktiv steuern.

Das sind die fünf Fragen, auf die es jetzt am meisten ankommt.

Erstens: Was Mythos tatsächlich getan hat

Das Projekt ‚Glasswing‘ war ein Zusammenschluss zur kontrollierten Freigabe. Anthropic stellte dabei sein fortschrittlichstes KI-Modell, Mythos, einer ausgewählten Gruppe von Technologieanbietern zur Verfügung, damit diese ihren eigenen Quellcode noch vor jeglicher öffentlichen Bekanntgabe auf Schwachstellen überprüfen konnten.

Das Ergebnis: Tausende bisher unbekannte kritische Schwachstellen, die in den wichtigsten Betriebssystemen, Browsern, Edge-Geräten und Infrastrukturebenen entdeckt wurden. Mythos analysierte den Quellcode direkt auf Blueprint-Ebene und brachte Fehler ans Licht, die schon seit Jahren – manche seit Jahrzehnten – unentdeckt in Produktivumgebungen schlummerten.

Die Patches kommen. Die Frage ist, ob Ihr Unternehmen bereit ist, sie einzuspielen.

Frage 1: „Wie groß ist unsere Angriffsfläche und haben wir überhaupt ein präzises Asset-Inventar?"

Das ist meist die erste Frage – und oft auch die am schwersten ehrlich zu beantwortende. Mythos hat die Gleichung fundamental verändert, welche Schwachstellen wirklich von Bedeutung sind: Es kann mittlere und niedrige CVEs so miteinander verketten, dass derselbe Zugriff wie bei einem kritischen Exploit erzielt wird. Das bedeutet: Ihr Backlog ist plötzlich um ein Vielfaches relevanter geworden.

Wenn Sie die Frage Ihrer Führungsebene nach der aktuellen Angriffsfläche nicht beantworten können, liegt das meist daran, dass eine kontinuierliche Asset-Sichtbarkeit bisher nicht als geschäftskritische Priorität behandelt wurde. In den meisten IT-Umgebungen, die ich kennengelernt habe, ist ein winziger Bruchteil der Schwachstellen für die überwältigende Mehrheit des realen Unternehmensrisikos verantwortlich. Sie müssen wissen, mit welchen Sicherheitslücken Sie es heute zu tun haben – nicht im letzten Quartal.

Und die Rechnung wird noch komplizierter, sobald Sie das immense Volumen an Patches berücksichtigen, die von Ihren OEMs und Infrastrukturanbietern auf Sie zukommen. Jedes Betriebssystem, jeder Browser und jede Plattformebene steht vor derselben Pipeline an Offenlegungen – und dieser Arbeitsaufwand wird die Methoden zur Risikobewertung, auf die sich die meisten von uns im letzten Jahrzehnt verlassen haben, schlichtweg überholen.

Die Antwort, die vor Ihrem Vorstand wirklich Bestand hat, umfasst eine tagesaktuelle Kennzahl Ihrer Angriffsfläche mit genauem Stichtag, einen namentlich benannten Verantwortlichen für alle noch bestehenden Sicherheitslücken sowie ein Scoring-Modell, das speziell auf verkettete Schwachstellen ausgelegt ist.

Frage 2: „Können wir schnell genug und flächendeckend patchen, ohne den laufenden Betrieb zu stören?“

Die Antwort hier lautet idealerweise ja … aber vermutlich nicht mit den bestehenden Prozessen. Die meisten Organisationen setzen auf monatliche oder quartalsweise Patch-Zyklen – eine Taktung aus einer Zeit, als Bedrohungen noch träger waren. Wenn ein Sicherheitsupdate erscheint, läuft die Zeit für alle ab, auch für die Cyberkriminellen, die den Patch per Reverse Engineering zerlegen, um die dahinterliegende Sicherheitslücke zu finden.

Bloßes Tempo sorgt für Ausfälle. In Organisationen, in denen eine Person die IT, Security und ein halbes Dutzend andere Funktionen gleichzeitig verantwortet, bedeutet ein fehlgeschlagenes Deployment im unpassenden Moment tagelange Downtime. Der richtige Weg ist der Aufbau einer Patch-Response-Fähigkeit inklusive Asset-Priorisierung, koordiniertem Change-Management und definierten Eskalationspfaden. Das ist ein neues Operating Model, zugeschnitten auf die Taktung, die die aktuelle Bedrohungslage einfordert.

Genau das legen Sie Ihrem Management vor: ein klar definiertes Patch-SLA für Ihre geschäftskritischsten Systeme, eine dokumentierte Priorisierung für alle übrigen Komponenten und einen Change-Management-Prozess, der die Praxis eines realen Deployments übersteht.

Frage 3: „Was verbirgt sich in unserer Open-Source- und Drittanbieter-Software?“

Jeder erfahrene CISO kennt die ehrliche Antwort: Nein, und das muss uns eine Warnung sein. Man denke nur an Log4j. Cyberkriminelle hatten Schwachstellen in dieser Bibliothek platziert, Jahre bevor irgendjemand Verdacht schöpfte. Sie war in Tausenden von Unternehmen im Einsatz, von denen viele sie in Software verbaut hatten, die an Kunden ausgeliefert wurde. Die Angriffsfläche wurde nicht erst neu geschaffen – sie war bereits überall vorhanden.

Das Projekt ‚Glasswing‘ hat genau diese Realität in einem noch größeren Maßstab verdeutlicht. Schwachstellen schlummern in den Open-Source-Bibliotheken, die Ihre Entwickler vor Jahren eingebunden haben, in Drittanbieter-Integrationen, die durch Firmenübernahmen mit übernommen wurden, und in den Softwarepaketen, auf denen Ihre Web-Infrastruktur basiert.

Ohne eine Software Bill of Materials für Ihre Umgebung wissen Sie nicht, worauf Sie eigentlich sitzen. Was Sie in das Meeting mitbringen, ist eine SBOM in flight, eine priorisierte Liste Ihrer Highest-Risk-Dependencies und ein Vendor-Contact-Tree, der bereitsteht, bevor die nächste Disclosure einschlägt.

Frage 4: „Haben wir die Engineering-Kapazitäten, um unseren eigenen Backlog abzuarbeiten?“

Das ist die Frage, die niemand gegenüber der Führungsebene laut aussprechen will, die aber allen durch den Kopf geht. Die Behebung von Schwachstellen erfordert qualifizierte Fachkräfte – und der Fachkräftemangel im Security-Bereich hat für Glasswing keine Pause eingelegt. In den meisten Unternehmen sind die Mitarbeiter, die diese Bereinigungen durchführen müssten, bereits voll ausgelastet.

Wenn es eine Lücke bei Ihren Engineering-Kapazitäten gibt, ist es das Verantwortungsvollste, was Sie tun können, diese offen einzugestehen. Holen Sie sich Unterstützung durch externe Ressourcen, triagieren Sie kompromisslos, um die internen Teams auf die riskantesten Punkte anzusetzen, und verankern Sie ab jetzt ‚Secure-by-Default‘-Praktiken fest in Ihrer Entwicklung. Die Unternehmen, die diese Phase am besten überstehen, werden diejenigen sein, die genau jetzt realistische Kapazitätsentscheidungen treffen.

Was vor der Führungsebene wirklich überzeugt, ist eine ehrliche Rechnung: die benötigten Stunden, die Lücke zwischen diesem Aufwand und der Kapazität Ihres Teams sowie der konkrete Plan, mit dem Sie diese Lücke schließen.

Frage 5: „Wenn sich ein Patch verzögert, können wir den Exploit erkennen und eindämmen?“

Hier ist die ehrliche Realität: Nicht jeder Patch wird rechtzeitig eingespielt werden. Der Vorstand weiß das. Die Rechtsabteilung weiß das. Die Frage, die sie in Wirklichkeit stellen, lautet: Was ist unser Auffangnetz?

Zero Trust umfasste schon immer den „Assume Breach“-Ansatz, und die meisten Organisationen haben andere Teile davon schon vor Jahren adaptiert. Das ist der Moment, in dem „Assume Breach“ kein reines Planungskonzept mehr ist, sondern zur gelebten operativen Posture wird. Continuous Monitoring, proaktives Threat Hunting und ein Containment, das in Minuten statt in Stunden gemessen wird.

Wenn Ihr Erkennungs- und Isolationsprozess in Stunden gemessen wird, sind die Angreifer Ihnen bereits einen Schritt voraus. Die belastbare Antwort umfasst Ihre aktuelle mittlere Eindämmungszeit (Mean-Time-to-Contain), den Zielwert, auf den Sie hinarbeiten, und ein Programm zur proaktiven Bedrohungssuche, das gezielt auf die Mythos-Angriffsflächen ausgerichtet ist.

Die Fragen potenzieren sich. Ebenso die Antworten.

Keine dieser fünf Fragen steht für sich allein. Eine mangelnde Sichtbarkeit der Assets befeuert das Patch-Problem. Eine Verzögerung beim Patchen schafft ein kritisches Zeitfenster für die Erkennung. Eine ungeprüfte Lieferkette bedeutet, dass Sie potenziell Risiken mit sich herumtragen, nach denen Sie noch nicht einmal gefragt haben. Dieser Verstärkungseffekt ist der Grund, warum die Bewältigung von Angriffsflächen in dieser Größenordnung kontinuierliche Sichtbarkeit, koordiniertes Patch-Management, Supply-Chain-Überprüfungen, Engineering-Kapazitäten und eine parallel laufende Erkennung erfordert.

Das bedeutet, mit AI-Speed zu operieren. Mythos hat gezeigt, was KI auf der Offensivseite kann. Die Abwehrseite muss nachziehen, indem AI-Tooling und Automatisierung tief in jeden Schritt unserer Remediation-Efforts eingewoben werden. Das ist der einzige Weg, wie wir den Adversaries vorausbleiben, anstatt permanent nur aufzuholen.

Das Zeitfenster ist real, und es ist begrenzt. Die Fragen kommen bereits auf Sie zu. Sorgen Sie dafür, dass Sie mehr als nur eine Antwort parat haben.

Wie wir diese Fragen intern abgebildet haben

Wenn Sie sich fragen, wie Sie diese Antworten in die Praxis umsetzen können – genau so haben wir es gemacht. Die fünf oben genannten Fragen lassen sich direkt auf fünf funktionale Fähigkeiten abbilden. Es sind dieselben Fähigkeiten, die wir zuerst bei uns selbst eingeführt und anschließend unter dem Namen Insight Managed Exposure Defense als Lösung für unsere Kunden bereitgestellt haben. Wenn Sie gerade Ihre eigene Sicherheitsaufstellung evaluieren oder intern Argumente für eine solche Strategie sammeln, zeigt Ihnen die folgende Übersicht, wie diese Punkte zusammenhängen:

"Wie hoch ist unsere Angriffsfläche, und verfügen wir über ein präzises Asset-Inventar?"

• Continuous Threat Exposure Management: Real-Time-Asset-Visibility, risikobasierte Vulnerability-Priorisierung und tägliches Scanning, sodass Sie immer mit einem Live-Bild Ihrer Umgebung arbeiten.