Claude Mythos verändert die Bedrohungslage.
Cybersense Angriffserkennung ist die Antwort.
KI-Modelle finden Schwachstellen schneller und helfen, Exploits nutzbar zu machen. Für Unternehmen zählt der Moment danach: Ausforschung, Zugriffe, Bewegung. Cybersense erkennt genau diese Spuren – früh, auch bei unbekannten Schwachstellen.
Termin zur Angriffserkennung buchen
Cybersense liefert das erste eindeutige Signal, wenn es zählt.
Termin vereinbarenZero-Days werden real
Claude Mythos zeigt, wie kurz der Weg von der unbekannten Lücke zum Exploit werden kann.
DMZ als Schwachstelle
Appliances, VPN und MDM sind erreichbar, kritisch und oft schwer zu überwachen.
Bewegung verrät Angreifer
Nach dem Einstieg muss der Angreifer suchen: Systeme, Identitäten, mögliche Wege weiter ins Netz.
Die Lücke entsteht vor dem Patch
Claude Mythos ist nicht nur ein weiteres KI-Thema. Das Modell steht für eine Entwicklung, die Security-Teams unmittelbar betrifft: Schwachstellen werden schneller gefunden, Exploits schneller gebaut, Reaktionszeiten kürzer.
Klassische Abwehr bleibt notwendig. Aber sie braucht oft Zeit: Signaturen müssen bekannt sein, Patches verfügbar, Agenten installiert. Bei Zero-Day-Angriffen fehlt genau diese Sicherheit. Bei einem Zero-Day ist die Schwachstelle unbekannt. Der Exploit ist neu. Und der erste Zugriff fällt oft nicht als Angriff auf.
Wer den Exploit nicht kennt, muss sehen, was danach passiert.
Bei unbekannten Schwachstellen kommt die Signatur zwangsläufig zu spät. Der belastbare Hinweis entsteht an anderer Stelle: wenn ein Angreifer nach dem Einstieg Systeme sucht, Identitäten prüft, Rechte auslotet oder sich in Richtung interner Ziele bewegt. Genau diese Phase ist kurz — aber sie ist erkennbar.
Warum Mythos nur der Anfang ist
Claude Mythos ist der Name, der gerade Aufmerksamkeit erzeugt. Die wichtigere Entwicklung dahinter bleibt: KI hilft, unbekannte Schwachstellen in Produkten schneller zu finden und daraus funktionierende Exploits zu entwickeln.
Damit verschiebt sich das Risiko. Es betrifft nicht nur staatliche Akteure. Je besser solche Werkzeuge werden, desto kleiner wird der Vorsprung der Verteidigung.
Besonders exponiert sind Systeme am Rand der Infrastruktur: Mobilgeräteverwaltung, VPN, Portale, Appliances, Cloud-Zugänge. Dort entscheidet sich oft, ob ein Einbruch früh sichtbar wird — oder erst, wenn der Schaden bereits läuft.
So wird aus einem Zero-Day ein Vorfall
-
Schwachstelle wird gefunden
Ein Modell wie Claude Mythos hilft, unbekannte Lücken in Software schneller zu analysieren. -
Exploit wird nutzbar
Aus der Schwachstelle entsteht ein Werkzeug, mit dem der Einstieg vorbereitet wird. -
Einstieg am Rand
Der Zugriff erfolgt über MDM, VPN, Portal, Appliance, Cloud-Kante oder Lieferkette. -
Bewegung im Netz
Jetzt muss der Angreifer suchen, prüfen, testen. Genau hier setzt Cybersense an.
Wir müssen den Exploit nicht kennen
Bei unbekannten Schwachstellen fehlt der klassische Fingerabdruck. Wir suchen deshalb nicht zuerst nach dem Namen des Angriffs, sondern nach dem Verhalten, das danach folgt: Ausforschung, laterale Bewegung, verdächtige Zugriffe und Interaktion mit unseren Deception-Assets. Genau diese frühe Erkennung unbekannter Angriffe gehört zu unseren Spezialitäten.
Zero-Day-Erkennung besprechenIn der DMZ entschieden vier Pakete
Ein Akteur aus dem politischen Umfeld in Berlin wurde über eine bis dahin unbekannte Schwachstelle in seiner Mobilgeräteverwaltung angegriffen. Die MDM-Appliance stand in der DMZ. Ein klassischer EDR- oder XDR-Agent ließ sich dort nicht installieren.
Die Angreifer gingen leise vor. Nur wenige gezielte Netzwerkpakete reichten, um erreichbare Systeme und mögliche Wege ins Netz auszukundschaften. SIEM und Network Detection sahen keinen belastbaren Vorfall. Cybersense alarmierte trotzdem — eindeutig und in Echtzeit.
Nach interner Einordnung wurde die Attacke einer staatsnahen chinesischen Angreifergruppe zugerechnet. Weitere Details und vergleichbare Fälle erläutern wir im vertraulichen Gespräch.
Was Cybersense hier sichtbar machte
Der entscheidende Hinweis lag nicht in einer bekannten Signatur. Er lag im Verhalten nach dem Einstieg: leise Ausforschung, Bewegung an einer sensiblen Netzgrenze und Aktivität, die im Normalbetrieb keinen plausiblen Grund hatte.
-
1
Zero-Day-Verhalten
Der Exploit war unbekannt. Es gab keinen Patch, keine Regel, keinen verlässlichen Fingerabdruck.
-
2
DMZ-Anomalie
Die MDM-Appliance war erreichbar und kritisch — aber für klassische Agenten nicht zugänglich.
-
3
Vier Pakete statt Lärm
Die Ausforschung war minimal. Gerade deshalb ging sie in klassischen Systemen unter.
-
4
Signal statt Score
Cybersense musste keine Indizien sammeln. Die Aktivität war eindeutig genug für einen Alarm.
Claude Mythos verstehen. Angriffserkennung mit Cybersense einordnen.
Die nächste Eskalationsstufe im Cyberraum – und sie ist bereits Realität. Claude Mythos ist das neueste KI-Modell von Anthropic und wurde im April 2026 unter dem Programm Project Glasswing in einer streng limitierten Preview an nur wenige Sicherheitspartner ausgegeben: Amazon, Apple, Microsoft, Cisco, CrowdStrike, Palo Alto Networks und die Linux Foundation. Warum so restriktiv? Weil Mythos die Art, wie Angriffe vorbereitet werden, grundlegend verändert. Das Modell findet Schwachstellen schneller, tiefer und breiter als alles, was zuvor existierte – und verschiebt damit das Gleichgewicht zwischen Angreifern und Verteidigern.
Weil Mythos in Tagen findet, wofür Sicherheitsforscher Jahre brauchen. In internen Tests hat das Modell in praktisch allen verbreiteten Betriebssystemen und Webbrowsern kritische Schwachstellen aufgedeckt – 99 % davon sind bis heute ungepatcht. Das BSI hat am 17. April 2026 als erste EU-Behörde offiziell Kontakt zu Anthropic aufgenommen. Und als wäre das nicht genug: Es verdichten sich Berichte, dass Unbefugte Zugang zu dem Modell verschafft haben. Das Szenario, vor dem Sicherheitsexperten jahrelang gewarnt haben, ist eingetreten – die Büchse ist geöffnet.
Weil wir nicht nach Signaturen suchen – wir suchen nach Verhalten. Das ist der entscheidende Unterschied. Cybersense Deception orientiert sich nicht an bekannten Angriffsmustern, sondern daran, was ein Angreifer zwangsläufig tun muss: sich im Netzwerk bewegen, Informationen sammeln, Zugänge testen. Sobald jemand mit einem unserer Lures, Traps oder Decoys interagiert, entsteht ein Alarm – egal, mit welchem Tool oder Zero-Day er unterwegs ist. Ein Angreifer kann so raffiniert sein, wie er will – sobald er sich bewegt, läuft er in unsere Sensorik. Das macht Cybersense strukturell resistent gegen KI-beschleunigte Angriffe. Es ist der Pfeiler, der trägt, wenn alle anderen wanken.
Nein. Und das ist kein Zufall, sondern Architektur. Unsere Lures, Traps und Decoys sehen nicht aus wie Köder – sie sind ununterscheidbar von echten Assets. Echte Dateinamen, plausible Registry-Einträge, funktionierende Decoy-Systeme, glaubwürdige Credentials. Mythos kann Code analysieren und Zero-Days finden – aber das Modell kann nicht wissen, welcher Ihrer Server produktiv ist und welcher zur Erkennung dient. Der entscheidende Punkt: Der Angreifer muss sich nicht täuschen lassen, um aufzufliegen – er muss nur zugreifen. Und Zugriff ist in der frühen Angriffsphase unvermeidbar. Egal wie smart die KI, egal wie raffiniert der Exploit – sobald jemand den Köder berührt, haben wir ihn.
Weil Deception nicht nachrüstet – Deception dreht das Spiel um. Klassische Verteidigung versucht, mit jeder neuen Angreifergeneration mitzuhalten: neue Signaturen, neue Heuristiken, neue Korrelationen. Ein Rennen, das die Verteidiger nie gewinnen. Deception spielt ein anderes Spiel: Je schneller der Angreifer, desto schneller das Alarm-Signal. Ein Mythos-beschleunigter Angreifer, der in Sekunden AD enumeriert, Credentials sammelt, lateral springt – läuft in Sekunden in unsere Sensorik. Was für klassische Tools zum Problem wird, ist für Cybersense der Hebel. Je aggressiver die Offensive, desto höher unsere Trefferrate.
Mit Cybersense über Claude Mythos sprechen
Prüfen Sie Ihre Sicht auf Zero-Days
Prüfen Sie mit uns, wo Ihre Umgebung heute blinde Flecken hat.
Ihre Ansprechpartnerin
Ramona Schramm