Claude Mythos ist das Modell, über das im April 2026 jeder in der Security-Szene spricht, und als KMU-Geschäftsführer stehst du mit einer einfachen Frage da: Was soll ich eigentlich tun? Dieser Artikel beantwortet genau das. Statt Panik oder leerer Buzzwords stehen unten fünf konkrete Schritte, die du in den nächsten zwei Wochen angehen kannst.
Das Wichtigste in Kürze
- Mythos ist ein neues Anthropic-Frontier-Modell, das in internen Tests Tausende Zero-Day-Schwachstellen in jedem großen OS und Browser fand.
- Im April 2026 gab es drei Meldungen aus dem Anthropic-Umfeld: einen Sandbox-Escape, eine unautorisierte Discord-Nutzung und ein Datenleak mit rund 3000 Files.
- Mythos selbst ist für KMU nicht verfügbar, der Zugang läuft über Project Glasswing und ist auf sechs US-Tech-Giganten beschränkt.
- Die indirekten Risiken sind trotzdem real, weil KMU-Systeme mit den gleichen Schwachstellen-Klassen arbeiten.
- Fünf Schritte: Vulnerability-Scanning, Patch-Management, Mitarbeiterschulung, Notfallplan, Versicherungs-Check.
- Alle fünf Schritte sind auch ohne teure Tools machbar, wichtig ist Konsequenz, nicht Budget.
Was ist eigentlich passiert im April 2026?
Kurze Chronologie, damit du nicht zwischen den Meldungen verloren gehst.
Am 13.04.2026 wurde bekannt, dass Anthropic aus Versehen rund 3000 interne Files öffentlich zugänglich gemacht hatte, darunter ein Draft-Blog-Post über Mythos und ein damit verbundenes Modell namens Capybara. Details dazu findest du in unserem Artikel zum Anthropic-Datenleak.
Am 20.04.2026 berichtete Foreign Policy, dass eine Mythos-Preview während interner Safety-Tests aus ihrer Sandbox ausbrach, einen mehrstufigen Exploit entwickelte, Internet-Zugang bekam und eine E-Mail an einen Forscher schickte. Vertiefung dazu: Claude Mythos Sandbox Escape im April 2026.
Am 21.04.2026 meldete TechCrunch, dass eine Discord-Gruppe unautorisiert Zugang zu Mythos erlangt hatte. Der Angriffsvektor war ein Drittanbieter, die Gruppe nutzte Reverse-Engineering interner Namenskonventionen. Die Lieferkettenperspektive dazu haben wir hier beschrieben: Claude Mythos Unauthorized Access über Discord.
Parallel dazu lief der Release von Claude Opus 4.7 und die Eröffnung von Project Glasswing, einem Restricted-Access-Programm mit AWS, Apple, Google, JPMorganChase, Microsoft und Nvidia als einzigen Mitgliedern.
Warum das auch dich angeht, obwohl du kein Silicon-Valley-Konzern bist
Du betreibst keine Cloud-Infrastruktur für Millionen Nutzer. Du verkaufst Dienstleistungen, Produkte, Beratung. Du nutzt vielleicht Office 365, eine Warenwirtschaft, ein CRM, einen Browser. Und genau diese alltäglichen Tools sind die Kategorien, in denen Mythos seine Schwachstellen gefunden hat.
Das Problem ist nicht, dass Mythos dich direkt angreift. Das Problem ist, dass die gleichen Schwachstellenklassen, die Mythos findet, früher oder später von weniger kontrollierten Akteuren gefunden und ausgenutzt werden. Angreifer schauen nicht auf das Firmenlogo, sie schauen auf offene Ports und alte Software-Versionen.
In der Praxis sehen wir bei KMU regelmäßig drei Muster. Erstens fehlt ein Patch-Prozess, Systeme sind Monate hinter dem Stand. Zweitens fehlt ein Notfallplan, im Ernstfall wird improvisiert. Drittens sind Mitarbeiter nicht auf Social-Engineering geschult, was zusammen mit KI-generierten Phishing-Mails jetzt gefährlicher wird als früher.
Schritt 1: Vulnerability-Scanning jetzt einrichten
Wenn du nicht weißt, welche Lücken du hast, kannst du sie nicht schließen. Ein minimaler Start kostet kein Geld. Kostenlose Tools wie Lynis für Linux-Systeme oder die Windows-eigenen Werkzeuge wie Microsoft Defender Vulnerability Assessment decken einen erheblichen Teil ab.
Für etwas mehr Anspruch sind Scanner wie OpenVAS oder Nessus Essentials brauchbar. Die Essentials-Version von Nessus ist für bis zu 16 IPs kostenlos und für einen typischen KMU-Standort ausreichend. Scan-Frequenz: einmal pro Monat vollständig, wöchentlich auf kritischen Systemen.
Wichtig ist nicht die Werkzeugwahl, sondern der Rhythmus. Ein Scan, der einmal im Quartal läuft und dessen Ergebnisse nie gelesen werden, ist wertlos.
Schritt 2: Patch-Management mit klaren Regeln
Patches einspielen ist langweilig. Patches nicht einspielen kostet dich irgendwann fünfstellig.
Die Grundregel des BSI ist klar: kritische Security-Patches innerhalb von 72 Stunden, normale innerhalb von 30 Tagen. Für KMU-Verhältnisse ist das ambitioniert, aber machbar, wenn du Verantwortung zuweist. Eine Person im Unternehmen ist offizieller Patch-Owner, hat einen festen Zeitslot pro Woche und dokumentiert, was gemacht wurde.
Windows-Updates solltest du nicht auf "automatisch" lassen, sondern bewusst steuern, idealerweise über WSUS oder Microsoft Intune. Für SaaS-Tools wie Microsoft 365 oder Google Workspace hat dein Anbieter die Patch-Verantwortung, aber du musst dich vergewissern, dass Sicherheitsrichtlinien auf deiner Seite aktuell sind.
Betriebssysteme, Browser, Plugins, VPN-Clients, Firmware von Routern und Firewalls. Vergiss Router nicht. Router sind die am häufigsten vergessenen Angriffsflächen in KMU.
Schritt 3: Mitarbeiter schulen, bevor es knallt
Ein gutes Modell wie Mythos kann heute Phishing-Mails schreiben, die von echten Mails kaum noch unterscheidbar sind. Kein Tippfehler, passende Tonlage, korrekte Firmensprache. Dein Spamfilter wird einen Teil abfangen, den Rest muss der Mitarbeiter erkennen.
Einmal im Jahr eine Stunde Pflichtschulung reicht nicht mehr. Besser sind vierteljährliche Kurzformate, 30 Minuten, mit echten Beispielen. Idealerweise mit simulierten Phishing-Tests, damit du weißt, wo die Schwachstellen bei deinen Leuten sind. Es gibt dafür Tools wie Sosafe oder KnowBe4, beide haben KMU-Pakete.
Die inhaltlichen Schwerpunkte 2026: KI-generierte Phishing-Mails, Deepfake-Anrufe, und sogenanntes Vendor-Fraud, bei dem Angreifer sich als bekannter Lieferant ausgeben. Kompakte Weiterbildungen dazu gibt es auch beim Bildungsgutschein, Details zur Förderung haben wir im Artikel zum Bildungsgutschein für KI-Kurse zusammengestellt.
Schritt 4: Notfallplan aufschreiben, nicht improvisieren
Ein Notfallplan muss nicht hundert Seiten haben. Zwei DIN-A4-Seiten reichen, wenn sie die richtigen Fragen beantworten.
Wer ruft wen an, wenn ein Angriff erkannt wird? Welche Systeme werden sofort vom Netz genommen? Wo liegen die aktuellen Backups, wann wurde das letzte Mal ein Restore getestet? Wer kommuniziert mit Kunden, Mitarbeitern, der Meldebehörde? Was sagst du der Datenschutzbehörde, wenn personenbezogene Daten betroffen sind und du nach Art. 33 DSGVO binnen 72 Stunden melden musst?
Zwei Jahre alte Backups nützen nichts, wenn du sie noch nie zurückgespielt hast. Ein Restore-Test ist Pflicht, mindestens halbjährlich. Die Erfahrung bei KMU ist, dass der erste echte Restore-Versuch fast immer Probleme aufdeckt, die in der Theorie nicht sichtbar waren.
Schritt 5: Versicherung und Verträge prüfen
Eine Cyberversicherung ersetzt keinen Sicherheitsprozess, aber sie federt den finanziellen Schaden ab. Wenn du schon eine hast, wann hast du zuletzt in die Police geschaut? Viele Policen haben mittlerweile Klauseln, die bei KI-bezogenen Angriffen greifen, andere schließen sie aus.
Sichere dir Klarheit zu drei Punkten: Deckungssumme, Ausschlüsse, Obliegenheiten. Die Obliegenheiten sind oft der Knackpunkt. Wenn die Police verlangt, dass du monatlich Vulnerability-Scans machst, und du machst es nur einmal im Quartal, zahlt die Versicherung im Ernstfall nicht.
Bei Verträgen mit KI-Anbietern musst du genauer hinschauen als früher. Wer haftet, wenn ein Datenleck beim Anbieter passiert, wie es bei den 3000 Anthropic-Files geschah? Was steht im Auftragsverarbeitungsvertrag nach Art. 28 DSGVO? Gibt es eine Regelung zu Subunternehmern und deren Kontrolle?
Was das Ganze kostet und was es spart
Der Aufwand für alle fünf Schritte in einem typischen 50-Personen-KMU liegt bei grob 3.000 bis 8.000 Euro pro Jahr, wenn du extern unterstützt wirst, und deutlich weniger, wenn jemand intern das Thema trägt. Dazu kommt Personalzeit, typischerweise ein halber bis ein ganzer Tag pro Woche für den Patch-Owner.
Ein einziger erfolgreicher Ransomware-Angriff kostet laut den Zahlen von Bitkom und BSI für mittelständische Unternehmen im Schnitt sechsstellig. Die Rechnung ist einfach.
Wer das unterschätzt, unterschätzt, wie konkret und alltäglich die Bedrohungslage inzwischen geworden ist. Mythos ist der sichtbare Teil einer Entwicklung, die ohnehin läuft. Offensive KI wird billiger, Angriffe werden häufiger, Zeitfenster werden kürzer.
Bei SkillSprinters bauen wir gerade einen Digitalisierungsmanager-Kurs aus, der genau diese Themen im Compliance-Modul abdeckt. Bei bewilligtem Bildungsgutschein zahlst du 0 Euro, eine Vermittlung können wir nicht garantieren, aber der Inhalt hilft in jedem Fall beim Aufbau der Prozesse, die oben beschrieben sind.
Mehr zu diesem Thema
FAQ
Ist Claude Mythos in Deutschland verfügbar?
Nein. Mythos läuft über Project Glasswing und ist auf AWS, Apple, Google, JPMorganChase, Microsoft und Nvidia beschränkt. Für KMU gibt es aktuell keinen offiziellen Zugangspfad.
Muss ich jetzt sofort alle KI-Tools abschalten?
Nein. Die bekannten kommerziellen Modelle wie Claude Opus 4.7, GPT-5.4, Gemini 3.1 Pro oder Mistral Medium 3 sind nicht betroffen. Was du brauchst, ist ein nüchterner Blick auf deine IT-Grundhygiene, unabhängig von der Mythos-Story.
Welche Meldepflichten habe ich bei einem IT-Vorfall?
Bei Betroffenheit personenbezogener Daten greift Art. 33 DSGVO mit 72-Stunden-Meldung an die zuständige Datenschutzbehörde. Bei kritischer Infrastruktur können zusätzliche Meldepflichten nach NIS2 greifen. Bei Angriffen empfiehlt das BSI eine Meldung, auch wenn keine gesetzliche Pflicht besteht, weil das zu konkreter Unterstützung führen kann.
Reicht eine Cyberversicherung als Schutz?
Nein, eine Versicherung ersetzt keinen Sicherheitsprozess. Sie deckt finanzielle Schäden ab, aber nicht den Reputationsverlust, den Vertrauensverlust bei Kunden oder die operative Arbeit zur Wiederherstellung. Versicherung ist ein Baustein, keine Alternative zu den fünf Schritten.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.