Anthropic Data Leak 2026: 3000 Files öffentlich, was KMU daraus lernen

Der Anthropic Data Leak vom April 2026 ist eine dieser Geschichten, die unbequem sind, weil sie zeigen: Selbst die Unternehmen, die öffentlich AI-Safety predigen, patzen bei Standard-Konfiguration. Rund 3000 interne Files wurden versehentlich öffentlich zugänglich gemacht. Dass darunter ein Draft-Blog-Post zu Claude Mythos war, macht die Story für Journalisten spannend. Für dich als KMU-Entscheider ist die Lehre eine andere.

Das Wichtigste in Kürze

• Laut Fortune vom 13.04.2026 hat Anthropic versehentlich rund 3000 interne Files öffentlich zugänglich gemacht.
• Darunter: ein Draft-Blog-Post zum damals noch geheimen Modell "Mythos", intern als "Capybara" referenziert.
• Der Leak wurde nicht durch einen Hack verursacht, sondern durch falsche Konfiguration eines öffentlich erreichbaren Speicher-Bereichs.
• Anthropic hat den Zugriff gesperrt, nachdem Externe darauf hingewiesen haben.
• Für KMU ist der Takeaway klar: Die häufigste Datenleak-Ursache ist nicht der Angreifer, sondern die falsche Standardeinstellung.
• Das Bundesamt für Sicherheit in der Informationstechnik listet Fehlkonfiguration seit Jahren als Top-3-Ursache in seinen Lageberichten.

Was genau passiert ist

Die Details sind nach wie vor begrenzt öffentlich, weil Anthropic aus verständlichen Gründen nicht alle Logs auf den Tisch legt. Was aus den Fortune-Berichten hervorgeht: Ein Speicher-Bereich, der intern für die Zusammenarbeit genutzt wurde, war nach außen erreichbar. Jemand außerhalb von Anthropic fand die URL, schaute sich die Dateien an und meldete den Fund.

Der Inhalt war brisant. Unter den rund 3000 Files befand sich ein noch nicht veröffentlichter Blog-Post über ein Modell mit dem internen Codenamen "Capybara", das wenige Tage später als "Mythos" offiziell wurde. Dazu kamen laut Berichten interne Notizen, Entwürfe von Safety-Evaluierungen und Arbeitsdokumente.

Anthropic hat nach Bekanntwerden den Zugriff gesperrt, eine interne Untersuchung eingeleitet und öffentlich bestätigt, dass die Exposition unbeabsichtigt war. Die Kommunikation war transparenter als bei vielen anderen Data-Leak-Vorfällen der letzten Jahre.

Der Klassiker: Fehlkonfiguration

In der Security-Welt gibt es Kategorien von Incident-Ursachen. Die spektakulären Ransomware-Angriffe bekommen die Schlagzeilen. Die tatsächliche Verursachung ist meistens prosaischer. Ein offenes S3-Bucket. Eine Firewall-Regel, die nicht korrekt gesetzt wurde. Ein Cloud-Storage-Bereich ohne Access-Control.

Anthropic ist nicht das erste Unternehmen, dem das passiert. Es ist nicht mal das erste im AI-Sektor. Microsoft hatte 2023 einen ähnlichen Fall, bei dem ein Azure-Storage-Container öffentlich erreichbar war und KI-Trainingsdaten exposed wurden. Amazon, Google, Meta, alle haben ähnliche Geschichten in ihrer Historie.

Das Problem ist nicht, dass diese Unternehmen unfähig wären. Das Problem ist, dass moderne Cloud-Umgebungen so komplex geworden sind, dass einzelne Fehler kaum auffallen, bevor jemand von außen stolpert.

Warum KMU nicht immun sind

Wer denkt "das passiert nur den Großen", liegt falsch. Der Mittelstand hat die gleichen Cloud-Dienste im Einsatz, oft mit weniger Security-Personal. Hier die Konfigurationen, die bei KMU am häufigsten schiefgehen.

Ein Cloud-Storage-Bucket, der bei der Einrichtung auf "public" gesetzt wurde, weil es einfacher war, und niemand hat das später korrigiert. Ein SharePoint-Ordner mit Link, der "für alle mit Link zugänglich" ist, und der Link ist in einer öffentlichen Präsentation gelandet. Ein Git-Repository, das auf öffentlich gestellt wurde, mit Credentials im Commit-History. Ein FTP-Server, der aus historischen Gründen noch läuft, mit Default-Credentials.

Jede dieser Situationen ist in deutschen Mittelstands-Unternehmen Realität. Nicht als Regel, aber häufig genug. Bei unseren Kunden-Projekten finden wir bei jedem zweiten Betrieb mindestens einen dieser Fälle.

Was du in der eigenen Infrastruktur prüfen solltest

Die gute Nachricht ist: Fehlkonfigurationen lassen sich mit überschaubarem Aufwand finden. Hier die fünf wichtigsten Checks.

Erstens: Cloud-Storage. Frag deinen IT-Dienstleister oder Admin, welche Storage-Buckets bei AWS, Azure, Google Cloud oder anderen Cloud-Providern aktiv sind und welche Zugriffsrechte sie haben. Alles, was auf "public" steht, muss einen dokumentierten Grund haben. Kein Grund, kein Public.

Der zweite Check betrifft Microsoft 365 und Google Workspace. Schau in die Freigabe-Protokolle. Wie viele Dokumente sind "für alle mit Link zugänglich"? Bei vielen Mittelständlern sind das Hunderte. Die wenigsten davon müssen so freigegeben sein.

Dritter Check: externe Zugangspunkte. VPN-Server, FTP-Server, Remote-Desktop-Zugänge, Legacy-Admin-Interfaces. Wenn etwas noch aus dem Jahr 2015 läuft, ist die Wahrscheinlichkeit hoch, dass es falsch konfiguriert ist oder ungepatcht läuft.

Der vierte Punkt sind Git-Repositories. Wenn deine Entwickler GitHub, GitLab oder Bitbucket nutzen, prüfe, ob öffentliche Repos existieren, die nicht öffentlich sein sollten. Es gibt Tools wie TruffleHog, die automatisiert nach Credentials in Repos scannen.

Zuletzt: Netzwerk-Scans. Ein externer Port-Scan auf deine öffentlichen IP-Adressen zeigt dir, was vom Internet aus erreichbar ist. Das sollte deutlich weniger sein als du denkst. Wenn da Ports offen sind, die du nicht erwartest, ist das ein Fund.

Was der Anthropic-Leak über Safety-Kultur sagt

Ein Kritik-Punkt, der in der Community nach dem Leak auftauchte: Anthropic positioniert sich sehr stark als AI-Safety-Unternehmen. Die öffentliche Kommunikation dreht sich viel um verantwortungsvolle Entwicklung, Red-Teaming, Constitutional AI. Ein offener Storage-Bereich mit Draft-Blogposts passt nicht so gut in dieses Narrativ.

Fair ist: Safety-Arbeit an Modellen und operative IT-Sicherheit sind zwei verschiedene Disziplinen. Ein Team, das gut in AI-Safety ist, muss nicht zwingend operative Sicherheit im gleichen Maß beherrschen. In großen Unternehmen gibt es dafür getrennte Teams, Zuständigkeiten, Budgets.

Aber die Story zeigt: Wer öffentlich Safety predigt, wird an höheren Standards gemessen. Das gilt nicht nur für AI-Firmen, sondern auch für KMU, die sich als "DSGVO-konform" oder "nach ISO 27001 zertifiziert" positionieren. Wer das Etikett trägt, muss die Substanz auch liefern. Die Community verzeiht einen Incident leichter, als sie eine Lücke zwischen Anspruch und Realität verzeiht.

Was Anthropic jetzt ändert

Die öffentlichen Angaben sind überschaubar. Anthropic hat bestätigt, dass die Konfiguration gefixt und interne Prozesse angepasst werden. Details sind nicht bekannt. Im Hintergrund läuft vermutlich das, was in großen Unternehmen in solchen Fällen üblich ist: ein zusätzliches Review-Schritt vor jedem Public-Setting, automatisiertes Scanning, Audits.

Für KMU ist das ein Muster zum Abschauen. Nicht in der Größe, aber im Prinzip. Eine Checkliste für neue Public-Ressourcen, ein quartalsweiser Audit-Durchlauf, ein Monitoring für ungewöhnliche Cloud-Kosten (weil ein unbeabsichtigt öffentlicher Bucket oft durch Traffic-Anstieg auffällt), reichen in vielen Fällen als Basis.

In der Praxis sehen wir, dass gerade Betriebe mit wenig IT-Personal hier profitieren. Ein monatlicher Check, der 30 Minuten dauert und dokumentiert wird, fängt 80 Prozent der typischen Fehlkonfigurationen ab. Das ist kein Security-Programm in der Tiefe, das Enterprise-Unternehmen fahren. Aber es ist deutlich mehr als das, was aktuell in vielen KMU passiert, und der Ertrag ist hoch.

Der größere Kontext: drei Vorfälle in einer Woche

Der Data-Leak ist nicht der einzige Anthropic-bezogene Vorfall im April 2026. In derselben Woche wurde bekannt, dass ein Claude Mythos Sandbox Escape während interner Safety-Tests aufgetreten ist. Kurz darauf tauchte eine Geschichte über unautorisierten Zugriff auf Mythos über eine Discord-Gruppe auf.

Drei Vorfälle in einer Woche, alle aus dem Umfeld eines Unternehmens, das Safety als Alleinstellungsmerkmal kommuniziert. Das ist kein Grund, Anthropic abzuschreiben, aber es ist ein Grund, keine AI-Firma als pauschal sicher zu betrachten. Wer wissen will, warum Mythos so abgeschirmt wird, findet den Hintergrund bei Project Glasswing.

Praktische Ableitung für deinen Betrieb: Nimm AI-Safety-Versprechen von Anbietern nicht als Garantie. Prüfe ihre Auftragsverarbeitungsverträge, ihre Incident-Response-Prozesse und ihre Transparenz in der Vergangenheit. Ein Unternehmen, das einen Incident offen kommuniziert und daraus lernt, ist oft vertrauenswürdiger als eines, das keine Incidents meldet (weil es sie versteckt oder nicht bemerkt).

Die operativen Schritte für deinen Betrieb sind im 5-Schritte-Leitfaden für KMU zusammengefasst. Wer das unterschätzt, merkt erst bei einem Audit, dass die eigene Infrastruktur Löcher hat, die seit Jahren offen sind.

Mehr zu diesem Thema

• Claude Mythos: Die ganze Geschichte für KMU eingeordnet
• Alle Claude-News April 2026 im Überblick

FAQ

Wie hat sich Anthropic so einen Leak erlauben können?

Der Leak ist keine klassische Sicherheitslücke, sondern eine Fehlkonfiguration eines eigentlich internen Speicher-Bereichs. Solche Konfigurationsfehler passieren in nahezu jedem größeren Unternehmen regelmäßig, weil Cloud-Umgebungen komplex sind und Standardeinstellungen nicht immer sicher sind. Das BSI nennt Fehlkonfigurationen seit Jahren als Top-3-Ursache in seinen Lageberichten. Anthropic ist hier nicht die Ausnahme, sondern ein Beispiel, wie schnell das jedem passieren kann.

Waren Kundendaten im Anthropic Data Leak enthalten?

Laut aktuellen Berichten bestand der Inhalt aus rund 3000 internen Files, darunter ein Draft-Blog-Post zu Claude Mythos und weitere Arbeitsdokumente. Kundendaten wurden in den bisher bekannten Berichten nicht erwähnt. Falls du Anthropic-Dienste nutzt, empfiehlt sich trotzdem eine Nachfrage beim Anbieter über die offizielle Support-Kanäle, um schriftlich bestätigt zu bekommen, dass deine Daten nicht betroffen sind.

Wie kann ich in meinem KMU ähnliche Fehlkonfigurationen verhindern?

Fünf Checks helfen: Cloud-Storage-Buckets auf Public-Zugriff prüfen, Microsoft 365 und Google Workspace Freigabe-Protokolle durchgehen, externe Zugangspunkte wie VPN und FTP inventarisieren, Git-Repositories auf unbeabsichtigt öffentliche Repos scannen, und einen externen Port-Scan auf deine öffentlichen IPs laufen lassen. Diese fünf Punkte fangen die meisten typischen Fehlkonfigurationen ab und kosten in der Basis nicht viel.

Sollte ich wegen des Leaks auf andere AI-Anbieter wechseln?

Nein, ein einzelner Incident rechtfertigt keinen Anbieterwechsel. Vergleichbare Konfigurationsfehler gibt es bei OpenAI, Google, Microsoft und allen anderen großen Cloud-Anbietern ebenso in der Historie. Relevanter ist, wie der Anbieter mit Incidents umgeht, wie transparent die Kommunikation ist und welche Verträge du mit ihm hast. Für DSGVO-sensitive Workloads kann zusätzlich ein EU-native Anbieter wie Mistral, kombiniert mit Self-Hosting-Optionen, eine Überlegung sein.