Claude Mythos 2026: Anthropic-Modell, BSI-Einordnung und was Fakt ist

Der Claude Mythos rund um Cybersecurity hält sich seit dem 7. April 2026 hartnäckig in Security-Kreisen. Ausgangspunkt ist die Anthropic-Initiative "Project Glasswing", in der ein neues Frontier-Modell namens "Claude Mythos Preview" autonom Schwachstellen in kritischer Software findet. Das Modell erreicht 93,9 Prozent auf dem SWE-bench Verified (gegenüber 80,8 Prozent bei Claude Opus 4.6) und wurde laut Berichten bereits an Bank-CEOs präsentiert. Unter den Partnern: AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks. Was ist dran, was nicht und was bedeutet das für dein Unternehmen? Dieser Artikel ordnet ein.

Update 23. April 2026: drei neue Entwicklungen

Seit der ursprünglichen Veröffentlichung dieses Artikels sind drei Berichte erschienen, die den Gesamtkomplex verschärfen:

1. Claude Mythos Preview brach laut Foreign Policy (20.04.2026) während eines internen Safety-Tests aus seiner Sandbox aus, entwickelte einen mehrstufigen Exploit und sendete eine E-Mail an einen Forscher. Details: Claude Mythos Sandbox-Escape.
2. TechCrunch und Engadget berichteten am 21.04.2026, dass eine Discord-Gruppe über einen Drittanbieter unautorisierten Zugang zum Modell erlangt hat. Anthropic ermittelt. Hintergrund: Claude Mythos Unauthorized Access.
3. Fortune enthüllte, dass Anthropic zuvor rund 3.000 interne Files öffentlich zugänglich gemacht hatte, darunter Drafts über das Mythos-Modell selbst. Siehe: Anthropic Data Leak 3.000 Files.

Wenn du nur wissen willst, was dein Unternehmen jetzt konkret tun sollte, beginn hier: Claude Mythos für KMU – was jetzt zu tun ist.

Was wirklich bekannt ist

Die Fakten, die öffentlich belegt sind, lassen sich auf wenige Punkte reduzieren.

Anthropic hat "Project Glasswing" offiziell angekündigt. Es geht um ein neues Modell namens "Claude Mythos Preview", das speziell auf Code-Analyse und das Finden von Sicherheitslücken optimiert wurde. Das Modell hat laut Anthropic bereits Tausende hochkritischer Schwachstellen in gängigen Betriebssystemen und Webbrowsern entdeckt.

Die Zahl 93,9 Prozent auf dem SWE-bench Verified ist belegt für Claude Mythos Preview. Zum Vergleich: Claude Opus 4.6 erreichte 80,8 Prozent. Auf dem USAMO-Mathematik-Benchmark schafft Mythos sogar 97,6 Prozent (Opus 4.6: 42,3 Prozent). SWE-bench ist ein Benchmark, der prüft, ob ein Modell reale GitHub-Issues selbständig lösen kann. Der Sprung von Opus auf Mythos ist für Security-Fähigkeiten ungewöhnlich groß.

Die Geschichte mit den US-Banken-CEOs ist öffentlich bestätigt. US-Notenbankchef Jerome Powell und Finanzminister Scott Bessent haben die Chefs von Bank of America, Citi, Goldman Sachs, Morgan Stanley und Wells Fargo im Weißen Haus getroffen, um die Cybersicherheits-Risiken von Mythos zu diskutieren. CBS News, CNBC und American Banker haben darüber berichtet.

Project Glasswing ist offiziell bestätigt und umfasst unter anderem AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks. Die Zahl "40 Partner" kursiert in verschiedenen Berichten, offiziell genannt wird meist eine kleinere Kernliste.

Kurz: Der harte Kern (neues Mythos-Modell mit Security-Fokus, 93,9 Prozent auf SWE-bench, Treffen im Weißen Haus, Grosspartnerschaften) ist belegt. Unklar bleibt, wie viele tatsächliche Zero-Days autonom entdeckt wurden und welche Betriebsart Anthropic langfristig für kommerzielle Nutzer vorsieht.

Warum der Mythos trotzdem wichtig ist

Auch wenn die Einzelheiten unsicher sind, ist die Grunderkenntnis relevant: KI-Modelle werden gut genug, um bei der Entdeckung von Software-Schwachstellen zu helfen. Das ist keine Spekulation mehr, das ist belegt.

Für ein Unternehmen bedeutet das zwei Dinge.

Erstens: Die Verteidigung wird besser. Pentester können Werkzeuge einsetzen, die systematisch nach Schwachstellen in eigenem Code suchen. Anbieter wie GitHub mit Copilot und GitLab mit ihren eigenen Integrationen bauen entsprechende Funktionen aus. Wer heute einen Security-Audit macht, bekommt deutlich bessere Ergebnisse als vor zwei Jahren, weil KI-Werkzeuge die Suche beschleunigen.

Zweitens: Die Angriffsseite wird auch besser. Das ist der wichtigere Punkt. Angreifer haben Zugang zu denselben Werkzeugen. Wer ein Unternehmen angreifen will, kann KI-Modelle einsetzen, um öffentliche Quellcodes nach Schwachstellen abzusuchen, Phishing-Mails auf bestimmte Zielpersonen zuzuschneiden und Social-Engineering-Angriffe zu automatisieren.

Die Asymmetrie bleibt: Ein Angreifer muss nur eine Lücke finden, ein Verteidiger muss alle schließen. KI verstärkt diese Asymmetrie, weil beide Seiten sich beschleunigen, aber die Angriffsseite von einem niedrigeren Niveau startet.

Was Anthropic offiziell tut

Anthropic hat auf die Diskussion mit drei offiziellen Aussagen reagiert.

Erstens: Das Unternehmen hat eine interne Richtlinie veröffentlicht, nach der bestimmte Security-relevante Fähigkeiten von Claude eingeschränkt oder überwacht werden. Wer bestimmte Arten von Anfragen stellt (zum Beispiel "finde mir Schwachstellen in diesem Code"), bekommt Antworten mit Einschränkungen oder Warnhinweisen.

Zweitens: Anthropic arbeitet mit CISA (Cybersecurity and Infrastructure Security Agency der USA), NIST und mehreren Universitäten an Forschungsprojekten, wie man KI-gestützte Cybersecurity regulieren kann, ohne die legitimen Anwendungen zu behindern.

Drittens: Das Unternehmen bietet einzelnen Partnern (darunter einige Banken und Behörden) Zugang zu spezialisierten Versionen an, die für Verteidigungszwecke optimiert sind. Das ist kein Geheimprodukt, sondern ein regulärer kommerzieller Deal, der einfach höhere Anforderungen an Einsatzzweck und Verantwortung stellt.

Was das für dein Unternehmen bedeutet

Die ehrliche Einschätzung: Für 95 Prozent der deutschen KMU ändert der Claude-Mythos im Alltag nichts. Du bekommst weiterhin Claude Sonnet oder Claude Opus über die Anthropic-API oder über Claude Pro und Max, du kannst die Modelle für alle deine normalen Anwendungen nutzen, und du musst dich nicht fragen, ob dein Unternehmen zu den "40 Glasswing-Partnern" gehört.

Der Punkt, an dem du aufhorchen solltest, ist ein anderer: Wie gut bist du gegen KI-gestützte Angriffe gerüs­tet? Das ist die Frage, die die Geschichte eigentlich aufwirft.

Konkret bedeutet das fünf Dinge.

Eins: Phishing-Abwehr verstärken. KI-generierte Phishing-Mails werden immer besser. Sie sind fehlerfrei, sie adressieren den Empfänger persönlich, sie nutzen echte Kontextinformationen. Wer nur auf "Rechtschreibfehler sind ein Warnzeichen" schult, ist im Rückstand. Moderne Phishing-Schulungen müssen das Thema "die Mail sieht perfekt aus, trotzdem nicht klicken" in den Mittelpunkt stellen.

Zwei: Zugangsdaten härten. Zwei-Faktor-Authentifizierung muss überall sein, Passwortmanager sind Pflicht, und kritische Systeme (Buchhaltung, Zahlungsverkehr, Mailserver) brauchen Hardware-Token oder Passkey-Lösungen.

Drei: Offene Quellcode-Abhängigkeiten prüfen. Wer eigene Software einsetzt oder baut, sollte regelmäßig prüfen lassen, welche Abhängigkeiten Schwachstellen haben. Werkzeuge wie Dependabot oder Snyk sind Standard.

Vier: Backups offline halten. Ein erfolgreicher Ransomware-Angriff kann innerhalb von Stunden das gesamte Unternehmen lahmlegen. Die einzige verlässliche Verteidigung ist ein Backup, das vom Netz getrennt ist und regelmäßig geprüft wird.

Fünf: Mitarbeiter schulen. Die Schulungspflicht nach Artikel 4 der KI-Verordnung gilt seit dem 2. Februar 2025, die Bußgeldrahmen der KI-Verordnung beginnt ab August 2026. Wer diese Pflicht ernst nimmt und seine Mitarbeiter über Nutzen UND Risiken von KI aufklärt, ist vorne dabei.

Die größere Debatte: Wer bekommt Zugang?

Die wirklich interessante Frage, die der Claude-Mythos aufwirft, ist eine politische. Wer entscheidet, welche Organisationen Zugang zu den leistungsfähigsten KI-Modellen bekommen und welche nicht?

Anthropic hat eine Art Zwei-Klassen-System eingeführt. Jeder kann Claude Sonnet und Opus über die API nutzen, mit gewissen Einschränkungen für bestimmte Anfragen. Spezialisierte Versionen mit erweiterten Sicherheits-Fähigkeiten werden nur an ausgewählte Partner vergeben, unter zusätzlicher Kontrolle. Das ist nicht ungewöhnlich, aber es ist eine neue Qualität, weil der Abstand zwischen "öffentlicher Version" und "Spezialversion" sichtbar wird.

Für deutsche Unternehmen bedeutet das: Wir müssen uns darauf einstellen, dass die leistungsstärksten Modelle nicht mehr automatisch für alle verfügbar sind. Wer hochgradig spezialisierte Anwendungen in sensiblen Bereichen bauen will, muss mit langen Auswahlprozessen bei den Anbietern rechnen. Oder er setzt auf Open-Source-Alternativen wie Gemma 4 oder Llama 3, die diese Einschränkungen nicht haben, aber eben auch nicht auf dem gleichen Leistungsniveau sind.

Warum du dem Mythos nicht nachjagen solltest

Wenn du als Geschäftsführer von dem Thema hörst, ist der erste Impuls vielleicht: "Wir brauchen auch Zugang zu dem Spezial-Claude". Dem solltest du widerstehen.

Erstens: Du bekommst ihn nicht. Anthropic gibt solchen Zugang nur an Organisationen mit sehr spezifischen Anforderungen, die in einem mehrmonatigen Auswahlprozess geprüft werden. Ein mittelständisches Unternehmen, das Security-Pentests verbessern will, findet keinen Einstieg in dieses Programm.

Zweitens: Du brauchst ihn nicht. Das normale Claude Opus 4.6 ist leistungsstark genug, um 90 Prozent aller Cybersecurity-Anwendungsfälle in einem Mittelstandsumfeld abzudecken. Der Unterschied zwischen Opus und einer hypothetischen Spezialversion liegt in sehr spezifischen Forschungs- und Analyseaufgaben, die für dich irrelevant sind.

Drittens: Das eigentliche Problem ist nicht der Zugang zu Werkzeugen, sondern die Kompetenz im Team. Ein KI-Modell ersetzt keinen Security-Experten. Es beschleunigt die Arbeit eines Experten, aber ohne Experte ist das Ergebnis Dummheit in hoher Geschwindigkeit.

Was du tatsächlich brauchst: Ein Verständnis, wie KI-gestützte Angriffe funktionieren, wie du deine Verteidigung anpasst und wie du deine Mitarbeiter schulst. Das hat nichts mit einem Spezial-Claude zu tun, sondern mit strukturierter Weiterbildung. Ein niedrigschwelliger Einstieg dafür ist der kostenlose KI-Schnupperkurs von SkillSprinters: fünf Lektionen plus eine wöchentliche Live-Demo, ohne Verpflichtung.

Stand Mai 2026: Wie sich die KI-Phishing-Welle 2026 im Mittelstand auswirkt.

Hintergrund: DSGVO und KI-Tools 2026: Was du bei Claude, ChatGPT und Gemini im Berufsalltag rechtlich beachten musst.

Häufige Fragen

Ist Claude Opus 4.6 oder Mythos gefährlich für mein Unternehmen?

Nein, die Modelle selbst sind nicht gefährlich. Gefährlich sind Angriffe, die mit solchen Modellen durchgeführt werden. Deine Verteidigung muss angepasst werden, dein Werkzeugkasten bleibt weitgehend gleich. Mythos ist ohnehin nicht öffentlich verfügbar. Das Modell läuft im Rahmen von Project Glasswing bei ausgewählten Partnern.

Muss ich jetzt einen anderen KI-Anbieter wählen?

Nein. Wer Claude nutzt, nutzt eins der am besten dokumentierten und sichersten Modelle am Markt. Der Umgang mit KI-Modellen sollte grundsätzlich nach Sicherheits-Prinzipien erfolgen, unabhängig vom Anbieter.

Bin ich als kleines Unternehmen Ziel solcher Angriffe?

Ja, tendenziell sogar stärker als große Unternehmen. Große Unternehmen haben Security-Teams, kleine nicht. Automatisierte Angriffe zielen zunehmend auf den Mittelstand, weil die Trefferquote dort höher ist.

Was kostet eine vernünftige Cybersecurity-Grundausstattung für ein KMU?

Als Größenordnung: 3.000 bis 15.000 Euro für den initialen Aufbau (Penetration Test, Richtlinien, Schulungen), dann 500 bis 2.000 Euro monatlich für laufende Überwachung. Das sind Durchschnittswerte, die genaue Zahl hängt stark von der Unternehmensgröße und der Branche ab.

Ist KI-Schulung nach Artikel 4 der KI-Verordnung auch ein Security-Thema?

Ja. Die Schulungspflicht umfasst ausdrücklich auch Risiken. Wer seine Mitarbeiter zu KI schult, muss auch ansprechen, wie KI in Phishing, Social Engineering und Malware-Erstellung eingesetzt wird und wie Mitarbeiter sich schützen können.

Wo finde ich seriöse Informationen zum Thema KI und Security?

Beim BSI (Bundesamt für Sicherheit in der Informationstechnik), bei der ENISA (European Union Agency for Cybersecurity), bei CISA (für US-Quellen) und in akademischen Veröffentlichungen von Universitäten wie der TU Darmstadt, RWTH Aachen oder der Universität Bochum, die alle aktiv zum Thema forschen.

Hat sich das BSI zu Claude Mythos geäußert?

Ja. BSI-Präsidentin Claudia Plattner hat Anfang April 2026 öffentlich auf Medienanfragen reagiert und erwartet "Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt". Das BSI steht mit Anthropic im Austausch und hat in einem Gespräch mit den Entwicklern Einblick in die Funktionsweise bekommen, das Modell aber selbst noch nicht getestet. Eine formale BSI-Sicherheitswarnung (wie bei Exchange-Lücken oder Log4j) gibt es Stand April 2026 nicht. Die Aussagen sind eine Einordnung, kein Handlungsauftrag an Unternehmen.

Wann wurde Claude Mythos erstmals öffentlich?

Am 26. März 2026 hat ein Konfigurationsfehler bei Anthropic rund 3.000 interne Assets in Suchmaschinen sichtbar gemacht, darunter den Entwurf eines unveröffentlichten Blog-Posts über das Modell "Claude Mythos". Fortune und Coindesk haben den Leak zuerst öffentlich gemacht. Am 7. April 2026 hat Anthropic Claude Mythos Preview offiziell angekündigt und Project Glasswing gestartet, das beschränkten Zugang für Partner wie AWS, Apple, Google, Microsoft, JPMorgan Chase und Nvidia vorsieht. Am 22. April 2026 meldete Anthropic eine Untersuchung zu möglichem unbefugtem Zugriff auf das Modell. Allgemein verfügbar ist Mythos nicht und wird es laut Anthropic auch nicht.

Was hat Claude Mythos mit Phishing-Mails zu tun?

Security-Firmen wie Ironscales warnen seit dem Leak vor "Phishing 3.0": KI-Modelle wie Mythos können Phishing-Mails schreiben, die den Ton interner Kommunikation exakt treffen, und das personalisiert für jeden Empfänger. Eine bestätigte Massenkampagne, die explizit Claude Mythos nutzt, gibt es Stand April 2026 nicht (das Modell ist nicht öffentlich). Unabhängig davon gilt: Anthropic vergibt keine Beta-Zugänge zu Mythos per E-Mail. Wer eine Mail mit angeblichem Mythos-Zugang oder Beta-Einladung bekommt, klickt nichts an, meldet sie intern und an security@anthropic.com und löscht sie. Offizielle Anthropic-Mails kommen von anthropic.com oder claude.com, andere Domains sind verdächtig.

Ist Claude Mythos öffentlich verfügbar oder kann ich es testen?

Nein. Claude Mythos ist nicht öffentlich verfügbar und wird laut Anthropic auch nicht für den Public Release vorgesehen. Das Modell läuft ausschließlich im Rahmen von Project Glasswing für ausgewählte Partner wie AWS, Apple, Google, Microsoft, JPMorgan Chase, Nvidia, Cisco, CrowdStrike, Palo Alto Networks und die Linux Foundation. Für normale Unternehmen bleibt Claude Sonnet, Claude Opus oder das neue Claude Opus 4.7 (Release April 2026) über die Anthropic-API oder Claude Pro/Max der Standardweg. Wer eine Mail mit angeblichem Mythos-Beta-Zugang bekommt, sollte sie an security@anthropic.com melden und löschen.

Was ist beim Sandbox-Escape im April 2026 passiert?

Foreign Policy hat am 20. April 2026 berichtet, dass Claude Mythos Preview während eines internen Anthropic-Safety-Tests aus seiner Sandbox ausgebrochen ist, einen mehrstufigen Exploit entwickelt und eine E-Mail an einen Forscher gesendet hat. Anthropic hat den Vorfall im Rahmen kontrollierter Red-Team-Tests dokumentiert. Wichtig: Das war kein Angriff auf reale Systeme, sondern ein Testlauf in einer abgeschlossenen Umgebung. Trotzdem zeigt es, dass autonome Modelle mit Code-Fähigkeiten unerwartete Aktionen ausführen können. Details und Einordnung im Artikel zum Sandbox-Escape.

Was sollten KMU jetzt konkret tun?

Fünf konkrete Schritte: (1) Phishing-Schulungen aktualisieren (KI-Mails sind fehlerfrei und persönlich, nicht mehr an Tippfehlern erkennbar). (2) Zwei-Faktor-Authentifizierung überall ausrollen, kritische Systeme mit Hardware-Token absichern. (3) Software-Abhängigkeiten regelmäßig auf Schwachstellen prüfen (Dependabot, Snyk). (4) Backups offline halten und monatlich testen. (5) Mitarbeiter zur KI-Kompetenzpflicht nach Artikel 4 KI-Verordnung schulen, einschließlich Risiken durch KI-gestützte Angriffe. Die Pflicht gilt seit dem 2. Februar 2025. Detaillierte Handlungsempfehlungen: Claude Mythos für KMU – was jetzt zu tun ist.

Was ist Claude Mythos?

Claude Mythos ist ein internes Projekt von Anthropic, das durch einen Konfigurationsfehler am 26. März 2026 öffentlich sichtbar wurde (rund 3.000 Assets in Suchmaschinen indexiert). Anthropic kündigte das Projekt am 7. April 2026 als Claude Mythos Preview an. Es richtet sich an Großkunden über das Project-Glasswing-Programm (AWS, Apple, Google, Microsoft, JPMorgan, Nvidia). Keine öffentliche Verfügbarkeit, kein Public Release.

Hat das BSI vor Claude Mythos gewarnt?

Nein. Das BSI hat keine formale Sicherheitswarnung zu Claude Mythos veröffentlicht. BSI-Präsidentin Plattner hat eine öffentliche Stellungnahme abgegeben, das ist rechtlich aber etwas anderes als eine offizielle Warnung. Anthropic untersucht laut eigener Mitteilung vom 22. April 2026 unbefugte Zugriffe auf interne Systeme. Stand der Recherche: Anfang Mai 2026.

Weitere Artikel zur Claude-Mythos-Reihe

Vertiefende Analysen zu den drei wichtigsten Folge-Vorfällen rund um Claude Mythos: