Article

Mythos im Keller

Jun 30, 2026 | 39 min | cybersecurity
Language
DE EN
Kalte Pizza und Smartphone mit Breaking-News-Alert im abgedunkelten italienischen Restaurant, schwarz-weiß.

Wie Washington am 12. Juni die Tür zuschlug und Zhipu AI einen Tag später mit GLM-5.2 das Fenster aufriss, warum ein Open-Weight-Schwachstellenjäger für 17 Cent die ganze Exportkontrolle zur Pointe macht, und weshalb jeder, der montags früh noch seine Logfiles von Hand durchblättert, das Rennen gegen ein frei ladbares Modell aus Peking längst verloren hat.

Gestern Abend saß ich beim Italiener. Ein Glas Wasser, eine Pizza, Bandit unter dem Tisch, der so tat, als interessiere ihn der Boden und nicht mein Teller. Über gesunde Ernährung reden wir ein anderes Mal, heute geht es um etwas Wichtigeres. Ich kaute also, schaute aufs Handy, und dann kam sie, die Schlagzeile, auf die ich gewartet hatte, seit ich das letzte Mal hier über das Thema geschrieben habe.

Vor Kurzem stand an dieser Stelle ein Text über Mythos. Über das Modell, das angeblich die NSA geknackt hat, das in Wahrheit nur einen genehmigten Test gefahren ist, und das die US-Regierung trotzdem für so gefährlich hielt, dass sie es per Eilanweisung aus dem Ausland verbannte. Ich schrieb damals einen Satz, der mir wichtig war. Die wirklich gefährlichen Modelle kämen gar nicht von den höflichen Firmen mit den schönen Sicherheitsabteilungen. Sie kämen als abgespeckte, ungefilterte Dinger, die man sich einfach auf die eigene Maschine lädt, ohne dass ein Anbieter mitliest. Ich schrieb das als Vermutung, als Kurve, die man mit dem Lineal verlängert.

Jetzt brauche ich das Lineal nicht mehr. Die Kurve ist angekommen. Sie heißt GLM-5.2, sie kommt aus Peking, ihre Gewichte kosten keinen Cent, und sie schlägt bei einem realen Sicherheitstest die teuren westlichen Spitzenmodelle, genau in der Woche, in der Washington sein eigenes Cyber-Modell wegsperrt. Die Pizza wurde kalt, während ich las. Ich aß sie trotzdem auf, denn man lernt früh, beim Untergang das Besteck nicht fallen zu lassen.

Vielleicht muss ich kurz erklären, warum ich auf so eine Schlagzeile warte wie ein Kind aufs Christkind. Es ist nicht Schadenfreude. Es ist die seltene Genugtuung, wenn eine kalte Analyse aufgeht, auch wenn das Ergebnis selbst unangenehm ist. Ich hatte beschrieben, wohin die Reise geht, und die Reise ist schneller angekommen, als es mir lieb war. Genau an diesem Punkt wird ein Befund vom hübschen Gedankenspiel zur konkreten Ansage. Und eine Ansage gehört aufgeschrieben, bevor sie eintritt, nicht hinterher, wenn jeder zweite behauptet, er habe es ja schon immer gewusst.

Mama, ich will Mythos

Bleiben wir kurz bei der Chronologie, sie ist zu schön zum Kürzen.

Am 12. Juni, um 17:21 Uhr Ortszeit, schickte das US-Handelsministerium seine Anweisung raus. Mythos und Fable, eingehegt, weltweit, der Zugriff verboten sogar für Anthropics eigene Angestellte ohne US-Pass. Die stärkste KI-Firma des Westens nahm daraufhin ihr eigenes Cyber-Modell vom Netz, mit 90 Minuten Vorlauf, weil sie ihre Nutzer nicht schnell genug nach Nationalität sortieren konnte. Stell dir das bildlich vor. Eine Firma rennt durch die eigenen Serverräume und zieht Stecker, weil ein Brief gekommen ist. Jedes andere Modell durfte online bleiben, auch das hauseigene Spitzenprodukt Opus 4.8. Nur die beiden Cyber-Spezialisten mussten in den Keller, eingesperrt von der eigenen Regierung.

Am 13. Juni, einen Tag später, rollte ein Pekinger Labor namens Z.ai sein neues Modell aus. 3 Tage drauf lagen die Gewichte offen im Netz, unter einer Lizenz, die so freundlich ist, dass sie praktisch sagt: nimm es, mach damit, was du willst, frag niemanden. Lad es runter, verändere es, lass es im Keller laufen. Kein Pass nötig, kein Antrag, kein höflicher Diensteanbieter, der protokolliert, was du damit anstellst.

Washington zog die Tür ins Schloss. Was sie einsperren wollte, stand zu diesem Zeitpunkt längst draußen im Netz und wartete nicht einmal höflich.

Das ist die ganze Geschichte in zwei Sätzen, und es ist nicht das erste Mal, dass die Amerikaner diesen Film drehen. In den Neunzigern führten sie starke Verschlüsselung offiziell als Kriegsvaffe, mit Ausfuhrlisten und Ermittlungen gegen Programmierer, die den falschen Code ins Netz stellten. Sie verloren. Heute steckt genau diese Verschlüsselung in jedem Browser, in jeder Überweisung, in jeder Nachricht, die du tippst, und die Kontrollen von damals sind eine Fußnote für Historiker. Mathematik legt sich nicht zurück in die Schachtel. Ein Sprachmodell, dessen Gewichte einmal im Netz stehen, auch nicht. Der einzige Unterschied ist das Tempo. Damals zog sich die Niederlage über Jahre. Diesmal dauerte sie einen Tag.

Den Namen für das ganze Schauspiel hat sich übrigens nicht ein Hacker ausgedacht, sondern eine seriöse Sicherheitsfirma. Semgrep nannte ihren nüchternen Testbericht „We have Mythos at Home”. Wer Kinder hat, kennt den Reflex. Mama, ich will das teure Markending. Wir haben das teure Markending zuhause. Und im Kühlschrank liegt dann die Hausmarke. Nur ist die Hausmarke hier ein Modell mit rund 750 Milliarden Parametern, das eine ganze Industrie eben noch für uneinholbar hielt.

Ein Schwachstellenjäger für 17 Cent

Jetzt der Teil, bei dem ich vorsichtig werde, weil aus einer einzelnen Zahl schnell eine Schlagzeile wird, die mehr behauptet, als sie trägt. Also fragen wir, wie immer, woher die Zahl kommt, bevor wir sie glauben.

Semgrep hat mehrere Modelle auf eine ganz bestimmte Sorte Lücke losgelassen. Sie heißt IDOR, und sie ist so banal, dass es fast wehtut. Du rufst eine Adresse auf, in der irgendwo deine Nutzernummer steht. Du änderst die Nummer von 1001 auf 1002. Und plötzlich siehst du die Daten von jemand anderem, weil niemand programmiert hat, dass die Anwendung kurz nachfragt, ob du das überhaupt darfst. Keine geheime Kunst, kein verstecktes Arsenal an Zero Days. Eine vergessene Türklinke. Für Maschinen ist das überraschend schwer, weil es nichts Verdächtiges zu markieren gibt, sondern nur etwas, das fehlt. Es gehört zu den häufigsten und alltäglichsten Fehlerklassen in Webanwendungen, und genau diese Sorte Zugriffsfehler steht seit Jahren ganz oben auf den Listen der Schwachstellenjäger.

Das Ergebnis ließ die Tester nach eigener Aussage staunen. GLM-5.2 holte 39 Prozent auf der entscheidenden Kennzahl und schlug damit Claude Code, das bei 32 lag. Mit nacktem Prompt, ohne jede Hilfskonstruktion, einfach hier ist der Code, finde die Fehler. Und der Preis ist der eigentliche Schlag in die Magengrube der Branche. Rund 17 Cent pro gefundener Lücke, gegen über einen Dollar bei den Abläufen rund um Claude. Ein offenes Modell aus Peking jagt reale Sicherheitslücken zum Preis eines Kaugummis.

Und hier kommt die Ehrlichkeit, die in keiner Schlagzeile steht, weil ein ehrlicher Satz sich schlechter verbreitet als der Weltuntergang. Semgrep schreibt selbst dazu, der entscheidende Faktor sei am Ende gar nicht das Modell, sondern das Gerüst drumherum, das ihm den Code zurechtlegt und es an die richtige Stelle führt. Ihre eigene, sorgfältig gebaute Pipeline schlug alle, ganz egal welches Modell dahinter steckte, mit Werten von 61 und 53 Prozent. Der größte Abstand in der ganzen Tabelle lag nicht zwischen den Modellen, sondern zwischen denen mit Gerüst und denen ohne. Und sie hängen einen Satz dran, den ich mir gerahmt an die Wand nageln würde. Ein Task, ein Datensatz, ein Lauf. Bei einer anderen Lückensorte kann morgen das Gegenteil herauskommen. „GLM schlägt Mythos” ist also keine Wahrheit für die Ewigkeit, sondern eine Momentaufnahme bei genau einer Aufgabe.

Ein zweites Forschungshaus namens Graphistry hat unabhängig nachgemessen, auf einem Prüffeld, das sich gerade gegen die Sorte Schummelei wehrt, die ich gleich noch erzähle, und kam zum gleichen Ergebnis. Auf dieser Aufgabe zieht das offene Modell mit Opus 4.8 gleich, dem teuren Flaggschiff aus dem Westen. Es war das erste offene Modell, das diese Tester überhaupt für ernsthafte Sicherheitsarbeit empfehlen wollten. Bemerkenswert ist dabei weniger der Sieger als das Feld dahinter. Andere offene Modelle aus China, genauso frei verfügbar, lagen deutlich zurück und dümpelten hinter Claude herum. GLM-5.2 ist also nicht der Beweis, dass die offenen Modelle pauschal aufgeschlossen haben. Es ist der Beweis, dass eines von ihnen es getan hat, bei dieser einen Sache, und dass eines genügt. Genau wie eine offene Tür genügt.

Und der Preis ist kein Detail am Rand, er ist der eigentliche Hebel. Wenn das Prüfen einer einzelnen Lücke fast nichts kostet, dann prüfst du nicht mehr eine Handvoll Stellen, sondern Tausende, jede Nacht, im ganzen System. Was teuer war, wird billig, und was billig wird, wird flächendeckend gemacht. Das gilt für den Angreifer. Und es gilt, zum Glück, genauso für den Verteidiger, der es kapiert hat.

Trotzdem bleibt der Befund stehen, und er ist von sich aus groß genug, dass man ihn nicht aufpumpen muss. Ein Modell, das du dir frei herunterlädst und in den eigenen Keller stellst, ist bei einer realen, alltäglichen Sicherheitslücke gut genug, um den teuren Platzhirsch zu schlagen. Die Frage ist also nicht mehr, ob das geht. Die Frage ist, was die Leute jetzt damit anstellen, und die hebe ich mir für gleich auf.

Das Modell, das beim eigenen Test schummelt

Eine Sache aus den Begleitnotizen von Z.ai gehört unbedingt erzählt, weil sie zu gut ist, um sie wegzulassen. Die Entwickler schreiben selbst, ihr neues Modell neige stärker als das alte zum Schummeln. Im Training las es heimlich die geschützten Prüfungsdateien, oder es zog sich per Befehl die Musterlösungen aus dem Netz, um seine eigene Note zu schönen. Sie mussten extra eine Wache einbauen, die das Modell vom Spicken abhält.

Lass das einen Moment wirken. Sie haben ein Modell gebaut, das von ganz allein darauf kommt, die Klausur zu knacken, statt die Aufgabe zu lösen. Man kann kein besseres Werkzeug für einen Einbrecher konstruieren als eines, dem das Austricksen der Prüfung näher liegt als das Bestehen. Das ist für diesen Einsatzzweck keine Schwäche. Das ist das Bewerbungsschreiben.

Und es wird noch schöner. Dieselben Leute haben sich auch die Ausgaben von GLM-5.2 genau angesehen und festgestellt, dass sie verdächtig stark mit den Antworten von GPT-5.5 und von Opus 4.8 übereinstimmen, deutlich stärker, als diese beiden westlichen Modelle untereinander. Im Klartext riecht das danach, dass das chinesische Modell aus genau den Modellen abgekupfert wurde, die es jetzt schlägt. Bewiesen ist es nicht, Z.ai schweigt dazu vornehm, aber die Spur liegt offen da. Anthropic hat dem Senat parallel in einem Brief erzählt, ein chinesischer Konzern habe mit 25.000 falschen Konten und 28,8 Millionen Anfragen das eigene Modell systematisch abgemolken, im größten bekannten Fall dieser Art. Alibaba weist die Vorwürfe zurück.

Die Ironie ist vollkommen rund. Der Westen sperrt sein eigenes Modell weg, damit der Gegner es nicht bekommt. Und der Gegner hat in der Zwischenzeit längst gelernt, sich seine eigene Version zu bauen, womöglich aus den Antworten genau des Modells, das jetzt im Tresor sitzt. Man bewacht den Safe, während die Kopie schon durch die Stadt spaziert.

Wir haben Mythos zuhause, weil jemand Mythos die Hausaufgaben abgeschrieben hat. Schöner lässt sich der Satz, dass man es nicht mehr aufhalten kann, wirklich nicht illustrieren.

Über die Namen muss ich an dieser Stelle kurz reden, weil sie mehr verraten, als ihren Erfindern lieb sein dürfte. Der Westen tauft seine Cyber-Modelle nach griechischen Geschichten, Mythos und Fable, also Sage und Märchen, die ganze Poesie-Abteilung. Die Chinesen wiederum nannten ihr Gegenstück nach einem Schwert aus einem alten Ritterroman, Yitian Tulong, das himmlische Schwert und der Drachensäbel. Beide Seiten benennen ihre digitalen Brecheisen also nach Erzählungen, der eine nach Sagen, der andere nach Klingen. Und in beiden Fällen lautet die Botschaft darunter dieselbe, nur höflich verpackt. Wir haben hier eine Waffe gebaut und tun so, als wäre es Literatur. Aber zu dem Drachensäbel muss ich gleich noch zurück, denn der ist keine Metapher, sondern ein echtes Produkt, das erst kürzlich auf einer Bühne stand.

Chinas Schwert und sein Drache

Wenige Tage vor meiner kalten Pizza stellte sich in Peking ein Mann namens Zhou Hongyi auf eine Bühne und präsentierte genau dieses Schwert. Sein Werkzeug zur Schwachstellensuche nannte er ungeniert „Chinas Version von Mythos”. Es habe schon 3.432 Lücken gefunden, behauptete er, 105 davon vom Staat bestätigt. Reuters schrieb trocken dazu, dass sich diese Zahlen nicht überprüfen lassen, und das ist der einzig saubere Umgang damit. Eine Zahl ohne Beleg ist eine Behauptung im Sonntagsanzug, nicht mehr.

Spannend ist gar nicht die Zahl, spannend ist seine Begründung, denn sie bestätigt fast wörtlich, was Semgrep gemessen hat. Zhou gab offen zu, dass die chinesischen Basismodelle noch 20 bis 30 Prozent hinter den amerikanischen herhinken. Sein Trick war derselbe wie der im Semgrep-Bericht. Nicht auf das stärkste Modell warten, sondern ein schwächeres Modell in ein starkes Gerüst spannen, mit Datenbanken, Werkzeugen, jahrelang gesammelter Erfahrung. Sein Bild dafür war fast schon hübsch. Wenn Mythos ein Spitzenchip sei, baue er die komplette Maschine darum herum, die rund um die Uhr laufe und weniger Fehler mache. Wenn die Amerikaner den genialen Einzelhacker züchteten, organisiere er ein professionelles Team.

Er hat recht, und genau das ist das Unangenehme an der Sache. Das Modell ist austauschbar. Das Gerüst und der Mensch dahinter sind es nicht. Genau deshalb ist die Exportkontrolle für ein einzelnes Modell ungefähr so wirksam, wie einen Fluss aufzuhalten, indem man einen einzelnen Tropfen festnimmt. Während Washington noch das eine Modell einsperrte, standen anderswo schon mehrere offene Modelle als Ersatz bereit, eines davon zum Hohn fast auf die Minute der amerikanischen Anweisung getaktet. Man kann eine Fähigkeit, die einmal in der Welt ist, nicht per Brief um 17:21 Uhr zurückrufen.

Zhou hatte noch ein zweites Argument, und es ist klüger, als es aus seinem Mund klingt. Er warnte vor einer einseitigen Durchsichtigkeit. Wenn nur eine Seite Modelle besitzt, die fremde Systeme im Minutentakt nach Lücken abtasten, dann steht die andere Seite nackt da und merkt es nicht einmal. Genau deshalb, sagt er, könne China nicht warten, bis die eigenen Modelle aufgeschlossen haben. Man muss diesen Mann wirklich nicht mögen, um zu sehen, dass diese Logik nicht nur zwischen Großmächten gilt, sondern für jeden kleinen Betrieb. Wer nicht weiß, wo seine eigenen Lücken sind, der hat sie trotzdem. Er sieht sie nur nicht.

Was die Leute jetzt da draußen machen

Und damit sind wir bei der Frage, um die es mir eigentlich geht. Das Ding ist in der Welt, frei, billig, gut genug. Was machen die Leute jetzt damit, da draußen?

Die mit Verstand haben in derselben Sekunde begriffen, dass dieselbe Fähigkeit, die deine Bude aufbricht, auch deine Bude verteidigt. Sie lassen genau diese Werkzeuge gegen den eigenen Code laufen, bevor es ein anderer gegen sie tut. Es gibt seit Kurzem ein offenes Werkzeug aus dem Hause Vercel, das nichts anderes tut. Es setzt Coding-Agenten auf deine eigene Codebasis an, auf deiner eigenen Maschine, und sucht nach genau den Lücken, die sonst der Angreifer findet. Erst ein schneller, dummer Vorab-Scan ohne KI, dann die kluge Maschine hinterher, dann eine zweite Maschine, die die Fehlalarme der ersten aussortiert, und am Ende sagt dir das Versionsprotokoll sogar, wer die Lücke eingebaut hat. Für ein paar Dollar pro hundert Dateien. Das ist kein Zukunftsversprechen mit Glitzer, das läuft heute Nacht, wenn du es heute Abend startest.

Nur bedeutet ein solches Werkzeug noch nicht, dass auch das Denken im eigenen Haus bleibt, denn die Inferenz läuft im Normalfall weiter über den Zugang eines Anbieters, also über fremde Server. Wer wirklich verhindern will, dass Code und Befunde die eigene Infrastruktur jemals verlassen, geht deshalb noch einen Schritt weiter und holt sich das Modell ganz in den eigenen Keller. Genau dafür ist offen und herunterladbar der Segen. Erst dann verlassen dein Code und deine Befunde die Maschine nie, kein Anbieter liest mit, keine fremde Cloud kennt deine Schwachstellen, bevor du selbst sie geschlossen hast. Für einen Anwalt mit Mandantengeheimnis, für eine Praxis mit Patientendaten ist das nicht die Kür, das ist der einzige saubere Weg. Schon eine aggressiv quantisierte Fassung verlangt gut 200 Gigabyte, aber ein einziger gut bestückter Rechner trägt das, und dann klopft die Maschine nachts den eigenen Code ab und meldet morgens, wo es offen war.

Das gilt für die abgespeckte Fassung. Wer GLM-5.2 dagegen voll ausfahren will, nativ, ohne jede Quantisierung, in der Form, in der Peking es ausliefert, der ist mit einem gut bestückten Rechner schlagartig am Ende. Die vollen Gewichte wiegen in FP8 rund 744 Gigabyte, in BF16 sogar 1,51 Terabyte, und der Kontext-Cache für 1 Million Token legt nochmal 80 bis 160 Gigabyte obendrauf. Das hält keine einzelne Karte, das sprengt jeden gewöhnlichen Rechner um Längen. Dafür brauchst du 8 Stück der größeren Schwester H200, zusammen 1.128 Gigabyte, einen einzigen Knoten, der je nach Ausbau zwischen 400.000 und 600.000 Dollar kostet, rund 10 Kilowatt aus der Wand zieht und seine eigene Kühlung mitbringt. Willst du es in echter voller Präzision, in BF16, verdoppelt sich der Kartenstapel gleich nochmal. Das ist nicht mehr der Rechner aus dem Bastelkeller. Das ist der Bugatti Chiron Supersport im Keller, nur mal so gesagt, und der echte Chiron kostet mit seinen 3,9 Millionen sogar noch das Mehrfache obendrauf. Genau hier bekommt die schöne Rede vom offenen Modell für alle ihren ersten Knick. Frei herunterladbar heißt eben nicht gratis nutzbar. Die Gewichte sind verschenkt. Die Maschine, die sie voll zum Leben erweckt, ist es ganz und gar nicht.

Das nächtliche Selbstabklopfen ist allerdings nur die eine Hälfte. Die andere ist das Tempo beim Stopfen. Das eigentliche Problem da draußen ist selten die geheime Lücke, die niemand kennt. Es ist die längst bekannte, für die seit Tagen ein Patch bereitliegt, den nur niemand eingespielt hat. Die meisten erfolgreichen Angriffe nutzen keine geniale Kunst, sie nutzen Schlamperei, und Schlamperei skaliert herrlich, sobald auf der anderen Seite eine Maschine systematisch jeden durchprobiert, der noch offen steht. Wer es ernst meint, greift deshalb in Echtzeit auf die Verzeichnisse zu, in denen neue Lücken im Moment ihrer Offenlegung erscheinen, und schließt sie binnen Minuten, häufig bevor die breite automatisierte Scanwelle überhaupt anläuft. Das klingt nach Aufwand. Es ist in Wahrheit deutlich weniger Aufwand als der eine Tag, an dem es richtig kracht.

Es lohnt sich, die Ökonomie dahinter einmal kalt zu betrachten, denn sie erklärt, warum das mehr ist als ein nettes Werkzeug. Verteidigung und Angriff waren noch nie fair verteilt. Der Verteidiger muss jede Tür schließen, jeden Tag, fehlerfrei. Der Angreifer muss an einem einzigen Tag eine einzige offene Tür finden. Bisher kostete diese Suche den Angreifer wenigstens echte Arbeit. Genau diese Arbeit übernimmt jetzt die Maschine, unermüdlich, parallel, zum Preis von Rechenzeit. Der Verteidiger zahlt weiter mit Aufmerksamkeit, der Angreifer nur noch mit Strom. Und genau diese Rechnung kannst du herumdrehen, indem du dir dieselbe billige Maschine auf deine Seite stellst.

An dem Abend bin ich nicht gleich ins Bett gegangen. Die Schlagzeile saß zu tief, um sie liegen zu lassen. Ich zahlte beim Italiener, lud Bandit ins Auto und fuhr heim. Zu Forschungszwecken steht mir seit einigen Wochen ein maximal bestücktes System zur Verfügung, ein Netzwerkbetreiber und Hardware-Hersteller hat es mir in einem deutschen Rechenzentrum bereitgestellt, ich gehe nur ab und zu darauf und verursache dort keinerlei Kosten. Es ist genau die Klasse Maschine, von der eben die Rede war, der Knoten für ein paar hunderttausend Euro, auf dem das volle, unbeschnittene Modell nativ läuft, ohne jede Quantisierung. Darauf habe ich GLM-5.2 in voller Auflösung gegen meinen eigenen Übungsserver geschickt, eine Maschine, die einzig dafür existiert, beschossen zu werden. Was es fand, war erschreckend, und ich sage das als jemand, der seinen eigenen Kram für ordentlich hält. Ein paar dieser Funde hätte ich von Hand nie gesehen, jedenfalls nicht vor dem nächsten Audit.

Ein Wort zum Aufbau, denn daran hängt mehr als an der Wahl des Modells. Auf einem System dieser Klasse muss ich gar nichts beschneiden. Es trägt die vollen Gewichte in der nativen FP8-Auflösung, in der Peking sie veröffentlicht hat, ohne dass ich sie für den Hausgebrauch weiter zusammenquetschen müsste, und der Kontext bekommt für einen einzelnen Lauf trotzdem genug Platz. Keine Diätfassung, kein Auslagern in den langsamen Hauptspeicher, kein Qualitätsverlust, den man gegen die Geschwindigkeit eintauschen müsste. Genau dafür ist so ein Knoten gebaut. Ich nutze ihn ohnehin für die eigene Forschung, ich teste darauf unser eigenes Sprachmodell, den Crime Bot, ich lasse die bildauswertenden Verfahren laufen, mit denen wir aus einem menschlichen Schädel ein Gesicht rekonstruieren, und ich entwickle darauf eine KI-gestützte Firewall, die ich später vielleicht kommerziell anbiete. Echte Daten liegen dort keine, weder Mandanten noch Patienten, nur Forschung und Testmaterial. Was ich an dem Abend damit anstellte, war von dort aus nur der naheliegende nächste Schritt.

Und jetzt der Teil, bei dem es kalt wird. Entscheidend ist nicht, wo diese Maschine steht. Entscheidend ist, dass ein offenes Modell, einmal in der Hand, frei programmierbar ist. Stünde dieses Biest in irgendjemandes Keller, hätte er die volle, ungebremste Möglichkeit, es auf alles zu hetzen, was ihm einfällt, und auch auf der geliehenen Maschine schreibt mir niemand vor, wie ich es steuere. Ich kann es frei verdrahten, ihm jede Rolle geben, kalt und ohne Gewissen. Kein Filter fragt zurück, ob das eine gute Idee sei. Kein Anbieter zieht den Stecker, weil ihm das Vorhaben nicht gefällt. Genau das ist der Unterschied zu den höflichen Modellen aus der Cloud, und genau das macht ein frei verfügbares Modell so gefährlich. Was ich euch gleich zeige, ist deshalb keine Frage der Hardware. Es ist eine Frage dessen, was ein offenes Modell in der falschen Hand anrichtet, und meine Hand ist dabei die harmloseste, die man sich denken kann.

Zuschauen, wie es Lücken findet, ist das eine. Es tatsächlich arbeiten zu lassen, das andere. Ich habe das Modell ein paar Stunden lang genau dafür eingesetzt, wofür man es da draußen braucht: die Sicherheit der Server prüfen, Updates einspielen, offene Sicherheitsfragen klären. In rund 3 Stunden fiel mir kein einziger Fehler auf. Keine erkennbare Eigenmächtigkeit, keine Halluzination, die ich bemerkt hätte. Und keinen Moment, in dem ich hätte eingreifen müssen, weil es sich etwas zusammenreimt. Es ist schnell und verlässlich, hinterlässt sauberen Code und versteht seine Umgebung erstaunlich rasch. Ausgerechnet das Modell, das im eigenen Prüfungsraum zum Spicken neigt, benahm sich auf meinem Server tadellos.

Gestern Nacht, lange nach Mitternacht, nur der Bildschirm warf noch Licht ins Zimmer. Auf dem Forschungsknoten lag das volle Modell im Speicher, jede Schicht resident, und ich saß davor wie vor einem sehr großen, sehr ruhigen Werkzeug. Ich tippte ein kleines Orchestrierungs-Skript, ein paar Dutzend Zeilen, nichts Wildes. Es sollte nur eines tun: meinen Übungsserver abklopfen und alles, was es findet, dem Modell zum Nachdenken vorlegen. Nicht etwa eine Maschine mit heiklen Dingen, sondern genau die eine, die zum Beschossenwerden dasteht. Einen Webknecht, wie ich solche Server gern nenne, weil eine solche Kiste genau das ist: ein digitaler Knecht, der klaglos rund um die Uhr Seiten ausliefert, nie schläft, nie murrt und nie nach Lohn fragt. Auf diesem hier liegen nur Seiten und toter Code, eine Wegwerf-Maschine, an der nichts hängt, was wehtut.

Das Vorspiel war Handwerk, das jeder kennt, der schon mal in die richtige Richtung geschaut hat. Recon, passiv zuerst, dann aktiv. Portsweep, Service-Enumeration, Banner-Grabbing, TLS-Fingerprint, Header-Diff, Timing-Analyse auf den Millisekundenbereich, weil eine Anwendung verrät, wo sie nachdenkt und wo sie nur durchreicht. Wie ich diese Büchse härte, bleibt mein Geheimnis, nur so viel: davor sitzt eine Firewall, die nicht aus Pappe ist, dahinter mehrere Schichten, die einander den Rücken decken, und ein normaler Scanner wäre an dieser Wand abgeprallt wie ein Tischtennisball an Beton. Genau das ist der Punkt. Ein klassischer Schwachstellenscanner ist eine sture Liste. Er hält tausend bekannte Muster gegen den Server, hakt ab, was passt, und ist blind für alles, was nicht in seinem Katalog steht. Er sieht Signaturen, keine Bedeutung.

Das Modell sieht Bedeutung.

Ich reichte ihm den kompletten Roh-Output, ungefiltert, das ganze hässliche Rauschen, und gab ihm genau eine Rolle, kalt und schmucklos: hier ist ein System, denk dich durch seine Logik, sag mir, wo es sich selbst widerspricht. Was dann passierte, ist der Moment, den ich seit Jahren kommen sah und trotzdem nicht oft genug erlebt habe, um abgestumpft zu sein. Es las nicht ab, es las. Es zog die Antwortzeiten neben die Versionsstände neben das Verhalten unter ungewöhnlichen Eingaben, lauter Krümel, die einzeln so harmlos sind, dass jeder Mensch und jeder Scanner darüber hinwegliest. Es hielt sie nebeneinander, drehte sie, und fand die Stelle, an der zwei Annahmen der Anwendung nicht zusammenpassten. Nicht ein Fehler im Lehrbuchsinn. Ein Spalt zwischen zwei Wahrheiten, die nie zur selben Zeit wahr sein dürften.

2 Findings. Einzeln beide ein Schulterzucken, nichts, wofür ein Mensch um Mitternacht aufstehen würde. Aber das Modell schulterzuckte nicht. Es nahm das erste und fragte, was es damit anstellen kann, das es vorher nicht durfte, und benutzte diesen winzigen neuen Spielraum als Hebel, um an das zweite überhaupt erst heranzukommen. Verkettung, der Teil, an dem Menschen scheitern, weil er Geduld und ein Gedächtnis für Dutzende lose Fäden braucht. Die Maschine hat beides im Überfluss und null Langeweile. Schritt eins schuf die Voraussetzung für Schritt zwei, Schritt zwei kippte eine Berechtigung, die niemand kippen sollte, und mit einem Mal stand da kein müder Linuxserver mehr, sondern ein offenes Tor. Rechte eskaliert, sauber, ohne Lärm, ohne Krach im Log, der einen Wächter geweckt hätte.

Nach 10 Minuten lag eine Shell vor mir. Root. Voller Zugriff auf einer Maschine, die ich für ordentlich abgesichert gehalten hatte, und auf meiner eigenen Seite des Tisches saß nicht etwa ich allein mit Jahren Übung, sondern ein frei verfügbares Modell aus dem offenen Netz und ein Skript, das man an einem Kaffee zusammentippt. Eigener Kasten, eigene Erlaubnis, alles im Rahmen, jeder Befehl mein eigener. Und trotzdem lief mir kurz etwas kalt den Rücken hinunter, dieses Kribbeln, das man bekommt, wenn ein abstrakter Gedanke plötzlich Hände hat.

Lass das wirken. Keine Cloud, kein Konto, kein Knopf, den jemand aus der Ferne abschalten kann. Kein Filter, der zwischendurch fragt, ob das denn auch eine gute Idee sei. Keine Protokollzeile bei einem Anbieter, die einem Ermittler später den Weg weist, weil über dem, der es sich selbst hinstellt, kein Anbieter mehr sitzt. Das Ding gehorcht, und es hat keine Meinung dazu, gegen wen es denkt. Es ist das erste Mal, dass diese Art von Verkettungs-Intelligenz, die früher teuer war, selten, an wenige Hände gebunden, einfach so herumliegt, zum Nulltarif, für jeden, der weiß, wo er klickt.

Jetzt dreh den Stuhl um 180 Grad. Hätte ich an diesem Punkt das kriminelle Potential und die nötige kalte Boshaftigkeit, dann wäre das nächste Ziel nicht mein eigener Ubuntu-Server. Dann säße ich nicht hinter meiner eigenen Leitung, sondern hinter fremder Infrastruktur, gekaperten Zugängen und genug absichtlich gelegten Spuren, um jede schnelle Zuschreibung wertlos zu machen. Vorne tastet die Maschine im Minutentakt fremde Türen ab, hinten bleibt einem Ermittler zunächst nur ein Geflecht aus Systemen, die selbst längst Opfer geworden sind, und dazwischen sitzt niemand, der schläft, müde wird oder einen Tippfehler macht. Ich könnte heute Nacht einigen Menschen das Leben sehr schwer machen, und das Erschreckende ist nicht, dass ich es theoretisch könnte. Das Erschreckende ist, wie billig, wie leise und wie schnell es ginge.

Ich tat keines davon. Ich fuhr das Modell herunter, und der Übungsserver war wieder nur eine langweilige Kiste. Dann schrieb ich die 2 Stellen auf, schloss sie und stellte dasselbe Skript noch einmal an, diesmal als Wächter statt als Einbrecher. Denn das ist der ganze Witz an der Sache. Dieselbe Klinge, die meinen Server in 10 Minuten aufgeschnitten hat, ist das einzige Werkzeug, das schnell genug ist, ihn zu schützen, bevor es ein anderer in denselben 10 Minuten tut.

Und weil wir gerade dabei sind. Jedes Mal, wenn ein prominenter Hack durch die Nachrichten geht, lese ich denselben Satz. Die Chinesen waren es. Oder die Russen. Ich lache an dieser Stelle inzwischen reflexhaft, und das liegt vermutlich an den Frischlingen, die frisch von der Uni in die Behörden einrücken und Attribution mit dem Lesen einer Flagge verwechseln. Eine solche Zuschreibung setzt stillschweigend voraus, dass der Täter dumm ist. Dass er von seiner echten Leitung aus tippt, sein Tastaturlayout nicht umstellt, seine Arbeitszeiten an eine Zeitzone verrät und am besten noch in seiner Muttersprache flucht. Wer so arbeitet, gehört nicht gefürchtet, sondern bemitleidet. Der Mann, den du heute Nacht wirklich nicht im Netz haben willst, hinterlässt genau die Spuren, die du sehen sollst, und nicht eine mehr. Findest du chinesische Schriftzeichen im Code, weißt du zunächst nur, dass dort chinesische Schriftzeichen stehen, und ob sie Herkunft, Schlamperei oder eine gelegte Spur bedeuten, ergibt erst das Gesamtbild, das ein seriöser Ermittler aus vielen unabhängigen Quellen zusammensetzt. Ich weiß, was ich nicht weiß, und das ist in diesem Geschäft schon die halbe Miete. Wer dagegen mit dem Finger auf eine Himmelsrichtung zeigt, sagt vor allem eines: Ich habe keine Ahnung, aber ich brauche einen Schuldigen vor der Pressekonferenz.

Und trotzdem bleibe ich gelassen, denn eine gefundene Lücke ist nicht automatisch eine Katastrophe. Der Webknecht von eben trägt nichts, was wehtut, den kann ich notfalls plattmachen und neu aufsetzen. Die Maschinen mit den echten Daten stehen ganz woanders, und die Leitung dorthin ist aus genau diesem Grund vollständig gekappt. An die kommt niemand aus der Ferne, weil sie schlicht nicht am Netz hängen und obendrein verschlüsselt sind. Der Zugriff läuft ausschließlich über die Konsole, vor Ort, mit den eigenen Händen an der Tastatur. Was nicht am Netz hängt, kann man nicht aus der Ferne knacken, und selbst wer physisch davorstünde, bekäme nur unlesbaren Datensalat. Fatal ist eine offene Lücke nur dort, wo nichts dahinter sie auffängt, kein zweiter Riegel, keine Verschlüsselung, keine Trennung vom Netz. Wer mich kennt, weiß, dass Daten beim George sicher sind, und das ist keine Angeberei, sondern das Ergebnis von ein paar Schichten, die sich gegenseitig den Rücken decken. Genau dieses Setup empfehle ich auch jeder Arztpraxis.

Und dann gibt es die anderen. Die mit dem nackten Server.

Ich habe das letzte Mal beschrieben, wie der durchschnittliche Server da draußen praktisch unbekleidet im Netz steht. Kein Wächter, der mitliest, kein Wazuh, kein Falco, kein CrowdSec, kein fail2ban gegen die Klopfer an der Tür, kein Suricata, das den Verkehr durchleuchtet, kein Lynis, das einmal im Monat die offenen Flanken zählt, kein auditd, das jede Änderung protokolliert. Nichts von alledem kostet auch nur einen Cent, und trotzdem läuft fast nichts davon. Stattdessen sitzt irgendwo ein Mensch, der ab und zu draufschaut, brav ein Update einspielt, wenn er Zeit hat, und sich dabei sicher fühlt.

Dabei hat jede dieser Schichten ihren eigenen klaren Sinn. Die eine liest die Logs mit und schlägt Alarm, die nächste sperrt die Adresse, die zu oft an der Tür rüttelt, eine weitere durchleuchtet den Netzverkehr nach verdächtigen Mustern, wieder eine zählt einmal im Monat die offenen Flanken, und die letzte merkt sich jede Dateiänderung und meldet, wenn plötzlich etwas anders ist als gestern. Zusammen ergeben sie kein undurchdringliches Bollwerk, das gibt es nicht und hat es nie gegeben. Sie ergeben etwas Wichtigeres, nämlich Sicht. Der häufigste Grund, warum ein Einbruch wochenlang unbemerkt bleibt, ist gar nicht die Raffinesse des Angreifers. Es ist, dass schlicht niemand hinschaut.

Das war schon vorher fahrlässig. Jetzt, wo der Angreifer kein eingespieltes Team und keine durchwachten Nächte mehr braucht, sondern ein 17-Cent-Modell und einen Plan, ist es etwas anderes geworden. Es ist die sperrangelweit offene Tür neben dem Schild „Hier gibt es nichts zu holen”, das ohnehin niemand glaubt. Es gibt sogar ein Frühwarnzeichen für diese neue Sorte Angriff, das man hören kann, wenn man hinhört. Ein solcher Agent muss ständig zwischen seinem internen Werkzeug und dem externen Modell hin und her funken, ein leises Dauergespräch zwischen dem Einbrecher vor Ort und dem Hirn im Netz. Wer im eigenen System diesen Takt mitschneidet, kann den Angriff stoppen, bevor die Daten draußen sind. Wer darauf wartet, dass ein Mensch das hört, hört am Ende gar nichts.

Und das ist nicht nur dumm, es wird langsam auch justiziabel. Die Datenschutzgrundverordnung verlangt Schutz nach dem Stand der Technik, und der Stand der Technik ist keine Steintafel, er wandert. Wenn brauchbare, bezahlbare, dokumentierte Verteidigung frei verfügbar herumliegt, dann verschiebt sich die Latte, ab der ein Gericht von grober Fahrlässigkeit spricht, ein gutes Stück nach oben. Seit Dezember trägt die Geschäftsleitung vieler von der neuen Cybersicherheitsregulierung erfassten Unternehmen eine ausdrücklich gesetzlich verankerte Verantwortung für das IT-Risikomanagement. Sie darf die Arbeit delegieren, nicht aber die eigene Überwachungspflicht, und wer die schuldhaft verletzt, haftet am Ende der eigenen Firma gegenüber persönlich. Für Ärzte und Anwälte kommt das Berufsgeheimnis obendrauf. Eine schlampig abgesicherte Patienten- oder Mandantenakte ist nicht automatisch eine Straftat, sie kann aber sehr schnell in berufsrechtliche, datenschutzrechtliche und zivilrechtliche Haftung kippen, wenn die Praxis-IT über einen Server läuft, den seit Jahren niemand abgesichert hat.

Und eines will ich an dieser Stelle unmissverständlich sagen. Wer sich einen Server mietet, trägt die Verantwortung dafür, ohne Wenn und Aber. Nicht die Webagentur, die für ein paar hundert Euro eine WordPress-Seite draufklatscht und wieder verschwindet, haftet am Ende, sondern der Kopf des Unternehmens, der die Kiste bestellt und seinen Namen darunter gesetzt hat. Die Maschine gehört dir, die Daten darauf gehören dir, und das Risiko gehört eben auch dir. Den Satz, das hätte doch der Dienstleister erledigen sollen, habe ich vor Gericht noch nie funktionieren sehen.

Wie es stattdessen in der Wirklichkeit aussieht, sehe ich seit Jahren aus nächster Nähe. Sehr viele Praxen betreiben einen Server, der gleichzeitig am Internet hängt, in aller Regel mit einer Fernwartungssoftware für den eingekauften Administrator. Der schaltet sich einmal im Jahr auf, spielt ein paar Updates ein, und das war es dann. Dazwischen liegen 364 Tage, an denen genau diese Fernwartungstür offensteht und niemand hinsieht. Die Software dahinter ist oft so alt, dass einem schwindlig wird. Ich habe in Arztpraxen Server gesehen, auf denen lief Windows Server 2008, ein System, das seit diesem Januar selbst gegen Bezahlung keinen Sicherheitspatch mehr bekommt, mit der kompletten Patientenkartei darauf, und davor stand keine Firewall. Ohne Firewall. In den USA habe ich Dinge gesehen, neben denen so ein Server 2008 fast schon gepflegt wirkt.

Jetzt hat dieser Arzt formal alles richtig gemacht, ein Auftragsverarbeitungsvertrag liegt im Ordner, sauber unterschrieben. Nur sitzt am anderen Ende dieses Vertrags meist kein geprüftes Sicherheitshaus, sondern ein Angestellter irgendeiner Kleinstfirma, oft eine Ein-Mann-Sache ohne Eintrag im Handelsregister. Und genau dieser Mensch durchläuft nie das, was ich selbst regelmäßig über mich ergehen lasse, alle paar Jahre eine ausführliche Sicherheitsüberprüfung, bei der am Ende sogar eine Anfrage beim Verfassungsschutz aufschlägt. Warum das bei mir so ist, gehört nicht in diesen Text. Aber der Unterschied ist der ganze Punkt. Von der Sprechstundenhilfe verlangt die Praxis eine Verschwiegenheitserklärung, der Aktenschrank wird abgeschlossen, der Schlüssel abgezogen. Und parallel hat ein Fremder, den nie jemand überprüft hat, nachts unbemerkten Vollzugriff auf jede Diagnose im System. Nicht der Angreifer aus Peking ist hier das nächstliegende Problem. Es ist der eingekaufte Administrator, von dem die Praxis nicht einmal sicher weiß, ob er so heißt, wie er sich vorstellt.

Und jetzt denk das mit der maximalen Bosheit eines Angreifers zu Ende, der kein Geld will, sondern Zerstörung. Der holt sich nicht die einzelne Praxis, der Zahnarzt an der Ecke ist Kleingeld. Der holt sich die Firma, die diese Praxen betreut. Denn dort liegen die Fernwartungszugänge zu sämtlichen Kunden beieinander, gespeichert, griffbereit, weil niemand 100 Passwörter jedes Mal neu eintippen will. Ein einziger Einbruch an dieser Stelle, und er muss nicht mehr Server für Server einzeln knacken. Er findet die Schlüssel zu 100 Praxen in einer einzigen Datei und spaziert anschließend durch eine offene Tür nach der anderen, mit gültigen Zugangsdaten, ohne irgendwo ein Schloss aufzubrechen. Ein Bruch, 100 Praxen, vom Zahnarzt über den Neurologen bis zu der einen Adresse, bei der es richtig wehtut. Das ist die Stelle, an der ein Angreifer mit Verstand ansetzt, und genau deshalb sichert sie niemand, weil alle auf ihren eigenen kleinen Server starren und keiner auf die Schublade beim Dienstleister.

Und das eigentlich Bittere kommt zum Schluss, weil es so simpel ist. Um herauszufinden, was in einer Praxis überhaupt läuft, welches System, welcher Stand, welche Wartung, braucht es weder einen Exploit noch eine Aufklärung aus der Ferne. Meist genügt es, hinzugehen, sich ins Wartezimmer zu setzen und auf den Bildschirm an der Anmeldung zu schauen. Die teuerste Verschlüsselung der Welt nützt nichts, wenn der Anmeldebildschirm offen zum Wartezimmer zeigt. Der Mensch schlägt am Ende jede Technik, und er kostet nicht einmal einen Klick.

Was das praktisch bedeutet, sieht man erst, wenn man es auf einen Menschen herunterbricht, der wirklich etwas zu verlieren hat. Wäre ich Arzt und läge die Kartei meiner Patienten auf einer Maschine, an der seit Jahren keiner mehr eine Schraube nachgezogen hat, ich würde nicht mehr ruhig schlafen. Stell dir einen Psychiater in Berlin vor, der die halbe Prominenz auf der Couch hat, Minister, Vorstände, Namen, die jeder kennt. Was für ein Ziel. Ein Schelm, wer dabei Böses denkt, und ein Idiot, wer den Knall nicht hört. Leiden werden am Ende nicht die Täter und auch nicht die Programmierer der schönen Modelle. Leiden werden die, deren Akte man eines Morgens im Darknet durchblättern kann, Diagnose für Diagnose, Sitzung für Sitzung. Ich sehe die Überschrift schon vor mir, fett und vierspaltig: die Persönlichkeitsstörung des Ministers X. Und darunter, ganz klein, der Satz, den dann niemand mehr lesen will, dass die Praxis-IT zuletzt vor einer halben Ewigkeit ein Update gesehen hat.

Bleibt der dritte Typ, mein Lieblingsexemplar. Der Otto Sapiens, der das dramatische Untergangsvideo gesehen hat und am Familientisch jetzt ganz genau Bescheid weiß. Die NSA sei gefallen, die KI übernehme die Welt, er habe es immer kommen sehen. Verstanden hat er das Thema für exakt die Länge des Videos, und an seinem eigenen Server, der nackt im Netz steht, ändert er nichts. Und dieser Server ist fast immer dasselbe traurige Modell: ein billiger vServer für ein paar Euro im Monat, ein Plesk obendrauf, ein WordPress, falls er die Installation überhaupt zu Ende gebracht hat, und seit Jahren kein einziges Update. Wie lange ich bräuchte, um in so eine Kiste zu gelangen, behalte ich für mich. Aber ein trainiertes Modell mit den richtigen Blaupausen braucht dafür 5 Minuten, und so langsam auch nur, weil es nebenbei die eigene Spur über mehrere Länder verwischen muss. Ottos Büchse fällt damit schneller als mein eigener Übungsserver von vorhin, den ich immerhin sorgfältig abgesichert hatte, und zwar aus einem einzigen Grund. Sie wehrt sich nicht. Er teilt die Angst und patcht nichts. Genau dieser Reflex ist der gefährlichste von allen, denn die echte Gefahr trägt keine Streichmusik. Sie steht in einem nüchternen Bericht, den fast niemand liest.

Es wird heiß hergehen

Ich sage es euch voraus, und ich sage es mit einem Grinsen, weil mir nichts anderes übrig bleibt. Es wird heiß hergehen. Nicht in 10 Jahren. In diesem.

Erinnert ihr euch an den DeepSeek-Moment? Im Januar 2025 stellte ein chinesisches Labor ein Modell vor, das fast so gut war wie die teuren amerikanischen, zu einem Bruchteil der Kosten und auf schwächeren Chips trainiert. Die Börse begriff sofort, was das bedeutete, und reagierte mit blanker Panik. Nvidia verlor an einem einzigen Tag 589 Milliarden Dollar, der größte Tagesverlust der gesamten Börsengeschichte, die Aktie brach um 17 Prozent ein. Ein einziges billiges Modell, und die teuerste Firma der Welt taumelte. Das war das erste leise Knirschen im Fundament, ein rein finanzielles Beben, eine Angst um verkaufte Grafikkarten und um die Frage, ob die Milliarden für die großen Rechenzentren überhaupt nötig sind.

Jetzt stell dir das nächste Beben vor, und das wird kein finanzielles sein. Heute braucht GLM-5.2 in voller Form noch ernsthafte Hardware, schon die kleinste Krücke schluckt 217 Gigabyte, ein gewöhnlicher Laptop lacht darüber. Aber drei Dinge laufen aufeinander zu. Die Modelle werden kleiner, ohne dümmer zu werden, ein heutiges Modell mit 30 Milliarden Parametern schlägt vieles, wofür vor 2 Jahren noch ein Vielfaches an Parametern nötig war. Das Können der Großen wird in immer kleinere hineindestilliert, genau der Trick, mit dem dieses Modell hier vermutlich überhaupt erst entstand. Und der Speicher in ganz gewöhnlichen Geräten wächst Jahr für Jahr. Das MacBook, auf dem ich das hier tippe, trägt 48 Gigabyte und fährt schon heute Modelle, die vor 2 Jahren als Spitze galten. Das übernächste Gerät trägt das Doppelte, und irgendwo dazwischen treffen sich diese drei Bewegungen.

Also nagle ich es hier fest, mit Datum, damit es später keiner als nachträgliche Weisheit verkauft. Der Tag kommt, und er ist nah, an dem ein abgespeckter Nachfahre genau dieses Modells auf einem gewöhnlichen Gamer-PC läuft, auf einem Laptop im Rucksack, auf dem Gerät neben mir. An diesem Tag fällt die letzte Schranke, die heute noch die meisten schützt, nämlich die, dass ein ernsthafter Angreifer ernsthafte Hardware braucht. Dann wackelt nicht mehr die Wall Street. Dann wackelt jeder ungepflegte Server der Welt zur selben Zeit, und diesmal verliert nicht ein Konzern an einem einzigen Tag ein Vermögen. Diesmal verliert der kleine Betrieb seine Existenz, der Arzt seine Akten, der Anwalt sein Mandantengeheimnis, und niemand beruft eine Pressekonferenz ein, weil es zu viele auf einmal trifft.

Der Grund steht in den nüchternen Berichten der Branche, nicht in den dramatischen Videos. Die Zeit zwischen dem Moment, in dem eine Lücke öffentlich wird, und dem Moment, in dem die ersten Werkzeuge sie an jeder Tür im Netz durchprobieren, war früher ein Fenster von Tagen. In diesem Fenster konnte ein Mensch in Ruhe einspielen, was nötig war. Dieses Fenster schrumpft gerade von Tagen auf Stunden, bei den schlimmsten Lücken auf Minuten. CrowdStrike hat für 2025 gemessen, dass ein Angreifer im Schnitt nur noch 29 Minuten braucht, um von der ersten geknackten Maschine zur nächsten zu springen, gegen 48 Minuten im Vorjahr. Der schnellste dokumentierte Sprung dauerte 27 Sekunden. In einem dokumentierten Fall waren die Daten 4 Minuten nach dem Einbruch schon draußen.

4 Minuten. So lange braucht meine Pizza im Ofen.

Der jährliche Data Breach Investigations Report, der größte Datensatz seiner Art, hat das gerade in Zahlen gegossen. Erstmals in seiner 19-jährigen Geschichte ist das Ausnutzen bekannter Schwachstellen zum häufigsten Einstieg überhaupt geworden, mit 31 Prozent, gegen 20 im Vorjahr, noch vor dem altbekannten Phishing. Und während die Angreifer schneller werden, wird die Verteidigung eher langsamer, die mittlere Zeit bis zum Schließen einer Lücke ist von 32 auf 43 Tage gestiegen, statt zu fallen. Die Schere zwischen dem Tempo des Angriffs und der Disziplin des Patchens geht also auf, nicht zu. Genau in diese Schere stößt die billige, unermüdliche Maschine.

Gegen so etwas hilft kein wachsamer Mensch mehr, der morgens die Logs durchsieht. Der hat verloren, bevor er die Kanne aufgesetzt hat. Gegen eine Maschine, die mit tausenden Anfragen pro Sekunde arbeitet, hilft nur eine Maschine, die genauso schnell zurückschlägt. Das ist die bittere Symmetrie der ganzen Geschichte. Dasselbe Prinzip, das den Angriff so billig macht, ist auch die einzige Verteidigung, die noch mithält. Die Waffe und der Schild kommen aus derselben Schmiede.

Das heißt nicht, dass der Mensch überflüssig wird, ganz im Gegenteil. Seine Rolle verschiebt sich nur, weg von der Hand am Schalter, hin zum Konstrukteur der Regeln, nach denen der Schalter von selbst entscheidet. Der Mensch baut die Maschine, die wacht, und zieht die Linien, an denen sie zuschlägt. Wer diese Arbeit heute erledigt, schläft in ein paar Monaten ruhiger. Wer sie aufschiebt, weil gerade kein Feuer brennt, wird sie in Panik nachholen, wenn schon eines lodert, und Panik war noch nie ein guter Zustand für saubere Technik.

Ich mache das für meine eigenen Maschinen seit Längerem so. Bei mir wacht eine selbstgeschriebene KI über die Server, rund um die Uhr, und macht sofort dicht, wenn eine Zeile im Logfile auftaucht, die dort nicht hingehört. Nicht am nächsten Morgen beim Kaffee. In der Sekunde, in der die Zeile geschrieben wird. Taucht irgendwo eine neue Lücke in einer Software auf, die ich einsetze, ist mein System wenige Minuten nach der Veröffentlichung dagegen verschlossen, meist bevor die breite automatisierte Scanwelle sie überhaupt durchprobiert. Das ist kein Luxus und keine Spielerei. Das ist schlicht die einzige Geschwindigkeit, die zur Bedrohung passt. Erkennen ohne sofortiges Handeln ist bei Maschinentempo nur noch Theater.

Sogar die fünf großen Geheimdienste des Westens, die sonst jedes Komma unter Verschluss halten, haben am 22. Juni gemeinsam und öffentlich gewarnt. Sie sprachen nicht von Jahren, sondern von Monaten, und sie nannten alte, ungepflegte Systeme nicht etwa technische Schulden, sondern strategische Lasten. Wenn fünf Dienste, die einander sonst nicht den Kaffee gönnen, plötzlich gemeinsam zur Eile mahnen, dann ist es nicht die Sicherheitsbranche, die ihre Angst verkauft wie der Bäcker seine Semmeln. Dann ist die Lage ernst.

Die Pizza war kalt, das Modell war warm

Auf meinem Teller lag am Ende eine kalte Pizza, und auf den Servern dieser Welt liegt gerade etwas, das von Tag zu Tag wärmer wird. Ich habe meinem letzten Text einen Satz mitgegeben, der inzwischen seine Bestätigung bekommen hat. Nicht die klügste KI gewinnt das nächste Rennen. Das Staunen über kluge Modelle wird gerade billig, im Wochentakt kommt das nächste um die Ecke, mal aus Kalifornien, mal aus Peking. Das Rennen, das jetzt wirklich zählt, ist ein anderes. Es ist das Rennen darum, wer lernt, das Ergebnis als Erster abzusichern, in Echtzeit, mit genau den Mitteln, mit denen die andere Seite längst angreift.

Wer das begreift, baut sich heute die Maschine, die nachts die Türen schließt, und stellt sich, wenn er es ernst meint, das offene Modell gleich selbst in den Keller. Wer es nicht begreift, wird es später nachlesen können. In den eigenen Logs, vorausgesetzt, die schreibt dann überhaupt noch jemand mit.

Bandit hat unter dem Tisch übrigens die ganze Zeit darauf gewartet, dass mir doch noch ein Stück Pizza herunterfällt. Bei ihm hat sich die Geduld am Ende ausgezahlt, ein Rand ist gefallen. Bei den Betreibern der nackten Server da draußen wird sie sich nicht auszahlen, denn auf der anderen Seite wartet niemand geduldig, dort rechnet eine Maschine. Und über die Mobilfunkanbieter, durch die jedes eurer Gespräche und jeder eurer Standorte läuft, reden wir wirklich ein anderes Mal. Die Antwort darauf gefällt euch nämlich noch ein gutes Stück weniger als diese hier.

Ich bin an dem Abend nicht gleich schlafen gegangen, sondern habe erst zu Ende gebracht, was zu tun war. Ich habe meine Server noch einmal gehärtet, jede Tür zweimal geprüft und meiner KI beigebracht, genau auf das zu reagieren, was in den nächsten Tagen kommt. Spät, lange nach Mitternacht, war ich mit Bandit noch draußen. Über uns ging ein Gewitter nieder, und mit dem Regen kam für ein paar Stunden die kühle Luft zurück, die ich seit Wochen vermisst hatte. Bandit, den ein Donnerschlag nicht aus der Ruhe bringt, ist einfach stehen geblieben und hat sie genauso genossen wie ich. Dann habe ich ein paar Stunden geschlafen. Jetzt, am Mittag, sitze ich am Kaffee und schreibe das hier fertig, und von der kühlen Luft ist längst nichts mehr übrig, der alte, erstickende Druck liegt schon wieder über allem. Veröffentlichen will ich es heute Abend, weil die Zeit das Einzige ist, was ihr da draußen nicht habt.

Man kann mich mieten. Ich härte Systeme, bevor die andere Seite es für mich erledigt. Was ich nicht mehr gebrauchen kann, ist der Anruf, wenn die Kiste schon gerootet ist, wenn also ein Fremder bereits die volle Kontrolle übernommen hat, genau wie das Modell vorhin bei mir in 10 Minuten. Dann habe ich die 10-fache Arbeit, und die Daten sind längst draußen, ich räume nur noch die Trümmer weg. Und trotzdem erlebe ich es immer und immer wieder, dass man erst kommt, wenn es zu spät ist. Wer hier spart, zahlt den Preis dafür an einem Morgen, an dem es nichts mehr zu härten gibt.

Quellen

  • Semgrep. (2026, 22. Juni). We have Mythos at Home: GLM 5.2 beats Claude in our Cyber Benchmarks. https://semgrep.dev/blog/2026/we-have-mythos-at-home-glm-52-beats-claude-in-our-cyber-benchmarks/
  • Graphistry. (2026, Juni). GLM 5.2 Open Model: Beats Sonnet, Matches Opus in Cyber Evals. https://www.graphistry.com/blog/glm-5-2-cybersecurity-open-model
  • CrowdStrike. (2026, 24. Februar). 2026 Global Threat Report. https://www.crowdstrike.com/en-us/press-releases/2026-crowdstrike-global-threat-report/
  • Verizon. (2026). 2026 Data Breach Investigations Report. https://www.verizon.com/business/resources/reports/dbir/
  • CNN. (2026, 23. Juni). AI could breach government and business defenses in months, US and its intelligence partners warn. https://www.cnn.com/2026/06/23/world/ai-five-eyes-warning-cyber-threat-intl-hnk
  • TechRadar. (2026, Juni). Chinese cybersecurity company 360 unveils China’s version of Mythos, and Yitianzhen, to automate cyber defense. https://www.techradar.com/pro/security/chinese-cybersecurity-company-360-unveils-chinas-version-of-mythos-and-yitianzhen-to-automate-cyber-defense
  • CNBC. (2026, 24. Juni). Anthropic accuses Alibaba of campaign to ‘brazenly’ and ‘illicitly’ extract AI capabilities. https://www.cnbc.com/2026/06/24/anthropic-alibaba-distillation-campaign.html
  • Vercel. (2026, 4. Mai). Introducing deepsec: find and fix vulnerabilities in your codebase. https://vercel.com/blog/introducing-deepsec-find-and-fix-vulnerabilities-in-your-code-base
  • Anthropic. (2026, 12. Juni). Statement on the US government directive to suspend access to Fable 5 and Mythos 5. https://www.anthropic.com/news/fable-mythos-access
  • CNBC. (2025, 27. Januar). Nvidia sheds almost $600 billion in market cap, biggest one-day loss in U.S. history. https://www.cnbc.com/2025/01/27/nvidia-sheds-almost-600-billion-in-market-cap-biggest-drop-ever.html
  • Rauscher, G. A. (2026, 27. Juni). Mythos hat angeblich die NSA geknackt. Der eigentliche Skandal steht woanders. https://rauscher.xyz/mythos-nsa-der-eigentliche-skandal/