Zum Hauptinhalt springen

E-Mails und Tabellenkalkulationen werden die Mythos-Ära nicht überstehen

Warum föderierte Organisationen zunehmend anfällig für Koordinationsprobleme sind – und was der Ausfall im Juli 2024 offenbart hat.

14. Juli 2026

·

Blog

·

Sichere Kommunikation

Das Problem ist nicht die Erkennung

Im April stellte Anthropic „Claude Mythos“ vor und entschied sich, es nicht zu veröffentlichen. Die Entscheidung an sich war bemerkenswert. Der Grund dafür war es noch mehr.

Den von Anthropic veröffentlichten Bewertungen zufolge ist Mythos in der Lage, Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern eigenständig zu entdecken und auszunutzen. In kontrollierten Tests gelang es dem System in 72 Prozent der Fälle, Browser-Schwachstellen in funktionierende Exploits umzuwandeln – im Vergleich zu Erfolgsraten nahe Null bei der Vorgängergeneration.

Der allgemeine Trend geht in dieselbe Richtung. Unabhängige Bedrohungsdaten zeigen, dass die durchschnittliche Zeit bis zum Durchbruch eines Angreifers im Jahr 2026 bei 29 Minuten liegen wird – eine Verbesserung um 65 Prozent gegenüber 2024 –, während KI Angriffe im Jahresvergleich um 89 Prozent zugenommen haben.

Die Diskussion hat sich vor allem darauf konzentriert, was diese Zahlen für die Erkennung bedeuten. Das ist verständlich. Die Erkennung ist wichtig.

Doch die Erkennung ist nicht mehr das schwierigste Problem.

Die größere Herausforderung ist operativer Natur: Wie schaffen es Unternehmen, eine Warnmeldung in koordinierte Maßnahmen umzusetzen, an denen Dutzende, Hunderte oder sogar Tausende von Menschen beteiligt sind? Diese Ebene – die Menschen, Entscheidungen, die Kommunikation und die Abhängigkeiten rund um die Reaktion auf Vorfälle – wird seit Jahren still und leise durch E-Mails, Tabellenkalkulationen und regelmäßige Statusbesprechungen zusammengehalten.

Diese Instrumente verschwinden nicht. Die Annahmen, die sie funktionsfähig gemacht haben, verschwinden jedoch.

Die Koordinationslücke

Bei einem größeren Zwischenfall verläuft der Ablauf in der Regel nach dem gleichen Muster. Es wird Alarm ausgelöst. Es werden E-Mails verschickt. Eine Tabelle wird erstellt. Eine regelmäßige Telefonkonferenz wird angesetzt.

Es dauert nicht lange, bis die Antwort an vier Stellen gleichzeitig zu finden ist, und niemand ist sich ganz sicher, welche Version der Realität entspricht.

Ich habe erlebt, wie weltweite Hilfsmaßnahmen von einer einzigen Excel-Datei abhingen. Drei Personen haben sie aktualisiert. Zwanzig haben sie angestarrt. Alle hofften, dass sie korrekt war.

All dies ist kein Zeichen von Inkompetenz. Diese Abläufe haben sich entwickelt, weil sie praktisch waren. Sie funktionierten gut genug für das Umfeld, mit dem die Organisationen damals konfrontiert waren.

Solange sich die Behebungsfristen über Tage oder Wochen erstreckten, waren die Reibungsverluste noch überschaubar. Eine Bestandsaufnahme, deren Erstellung sechs Stunden in Anspruch nahm, war zwar lästig, aber nicht existenzbedrohend. Die Organisationen hatten genügend Zeit, um Verzögerungen aufzufangen, widersprüchliche Informationen abzugleichen und schrittweise ein gemeinsames Lagebild zu erstellen.

Diese Rechnung ändert sich gerade.

Wenn Angreifer innerhalb von Minuten vom Einbruch zur Ausweitung ihrer Berechtigungen übergehen können, ist ein Koordinationszyklus, der sich in Stunden bemisst, kein Koordinationszyklus mehr. Er wird Teil des Sicherheitsrisikos.

Das Problem ist nicht die Schwachstelle an sich. Es ist die Diskrepanz zwischen dem operativen Tempo und der Reaktion der Organisation.

Ein Prozess, der auf E-Mail-Verteilerlisten, manuelle Statuserfassung und regelmäßige Besprechungen ausgelegt ist, wurde nie für ein Bedrohungsumfeld konzipiert, das sich mit maschineller Geschwindigkeit entwickelt. Dieselben Schwachstellen, die einst mehrtägige Zeitfenster für die Behebung ermöglichten, können nun bereits ausgenutzt werden, noch bevor der dritte Empfänger die E-Mail geöffnet hat.

Das ist kein hypothetisches Zukunftsszenario. Die Menschen, die diese Systeme entwickeln und erforschen, beschreiben genau diesen Wandel.

Gleichzeitig hat „Mythos“ diesen Trend nicht ins Leben gerufen. Es macht es lediglich schwieriger, diese Entwicklung zu ignorieren.

Die Warnung, die wir bereits erhalten haben

Die Verteidiger konnten bereits im Juli 2024 einen ersten Einblick in diese Zukunft gewinnen.

Der durch CrowdStrike ausgelöste weltweite Ausfall wird oft als fehlerhaftes Software-Update mit ungewöhnlich weitreichenden Folgen in Erinnerung behalten. Was dabei jedoch wirklich zutage trat, war etwas Grundlegenderes: Viele Unternehmen waren gezwungen, komplexe Wiederherstellungsmaßnahmen zu koordinieren, während Teile ihrer normalen Kommunikations- und IT-Infrastruktur nicht verfügbar waren.

Stundenlang – in manchen Fällen sogar tagelang – trafen verteilte Teams wichtige Entscheidungen, ohne Zugriff auf die Systeme zu haben, auf die sie normalerweise angewiesen waren.

Einige Organisationen haben sich überraschend gut angepasst. Sie verfügten bereits über Kommunikationsarchitekturen, mit denen sie die Mitarbeiter über Kanäle erreichen konnten, die unabhängig von den ausgefallenen Systemen waren. Sie sammelten strukturierte Statusmeldungen, anstatt sich auf frei formulierte E-Mail-Antworten zu verlassen. Sie hielten die Koordination während der gesamten Wiederherstellungsphase aufrecht, anstatt zu Beginn jedes Gesprächs erneut einen Überblick über die Lage gewinnen zu müssen.

Andere hatten Schwierigkeiten, weil ihr Koordinationsmodell von genau den Systemen abhing, die nicht mehr verfügbar waren.

Der Unterricht hatte konkret mit CrowdStrike kaum etwas zu tun.

Es war eine Warnung davor, was passiert, wenn die operative Koordination zum schwächsten Glied wird.

Wo die Koordination zuerst ins Stocken gerät

Für Verbände stellt sich diese Herausforderung in ihrer schärfsten Form.

Nationale Regierungen mit eigenständigen Zuständigkeitsbereichen. Gesundheitsnetzwerke, die sich aus unabhängigen Einrichtungen zusammensetzen. Finanzdienstleistungskonzerne mit verbundenen Unternehmen. Multinationale Organisationen, die über halbautonome regionale Strukturen agieren.

Diese Umgebungen haben ein gemeinsames Merkmal: Die Entscheidungsgewalt ist verteilt.

Die Zentrale verfügt zwar über einen Überblick, hat aber nur begrenzte Kontrollmöglichkeiten. Einzelne Einheiten verfügen zwar über Befugnisse, haben aber außerhalb ihrer eigenen Grenzen nur einen begrenzten Überblick. Oft füllen informelle Mechanismen die Lücken zwischen ihnen, und genau deshalb werden E-Mail-Verläufe, Tabellenkalkulationen und regelmäßige Telefonate zur Standardebene der Koordination.

In einem Umfeld, in dem Bedrohungen immer schneller auftreten, lassen sich diese Lücken immer schwerer hinnehmen.

Bauen für das Mythos-Zeitalter

Die Voraussetzungen, um sie anzugehen, sind nicht besonders geheimnisvoll.

Erstens darf die Koordinationsschicht nicht von den angegriffenen Systemen abhängig sein.

Zweitens muss die Statusmeldung strukturiert sein. Rundsendungen führen zu Unklarheiten, und Unklarheiten kommen teuer zu stehen, wenn jede Minute zählt.

Drittens benötigen Entscheidungsträger auf Führungsebene und in der Regierung zuverlässige Kommunikationswege, die auch dann noch verfügbar sind, wenn die primäre Infrastruktur nicht mehr vertrauenswürdig ist.

All dies lässt sich nicht mitten in einem Vorfall zusammenstellen. Die Architektur muss bereits vor Beginn des Vorfalls vorhanden sein.

Regulierungsrahmen wie NIS2 weisen durch Anforderungen in Bezug auf koordinierte Reaktionen, Widerstandsfähigkeit und die Aufrechterhaltung wesentlicher Dienste bereits in diese Richtung. In vielerlei Hinsicht holen die Vorschriften die Bedingungen nach, mit denen Organisationen bereits konfrontiert sind.

Das Risiko besteht darin, anzunehmen, dass die Einhaltung der Vorschriften allein ausreicht.

Manche Organisationen erfüllen zwar alle Berichtspflichten, müssen aber dennoch feststellen, dass ihr Koordinationsmodell unter Druck versagt. Eine Architektur kann zwar die Anforderungen eines Audits erfüllen, bei einem Vorfall jedoch versagen.

Diese Unterscheidung ist heute wichtiger als früher.

Die eigentliche Frage

E-Mails und Tabellenkalkulationen sind nicht plötzlich zu schlechten Werkzeugen geworden. Sie sind nur langsam geworden.

Jahrelang konnten Unternehmen diese Einschränkung ausgleichen, da sich die Bedrohungslage langsam genug entwickelte, um damit Schritt zu halten.

Diese Annahme trifft zunehmend nicht mehr zu.

CrowdStrike hat aufgezeigt, was passiert, wenn die Koordination schwierig wird. Mythos deutet auf eine Zukunft hin, in der die Koordination zum entscheidenden Faktor wird.

Die Frage ist nicht mehr, ob Unternehmen einen Angriff erkennen können.

Die Frage ist, ob sie eine Reaktion koordinieren können, bevor der Angreifer sein Ziel erreicht.

Erhalten Sie Updates zu den neuesten fundierten Erkenntnissen für sichere Kommunikation.

Der neue Standard

Sehen Sie sich das Webinar an: Argumente für die missionskritische Kommunikation

Nehmen Sie an unserem 45-minütigen Webinar teil, in dem unsere Experten die technischen und betrieblichen Rahmenbedingungen erläutern, die eine einsatzzertifizierte, sichere Kommunikation gewährleisten – unter Berücksichtigung von Verschlüsselung, Architektur, hoheitlicher Kontrolle, unabhängiger Validierung und Einsatzkoordination.

Jetzt ansehen