Die AI-Angriffsgeschichte von Anthropic: Die große Lüge?

Anthropic sorgte Anfang des Jahres für Aufsehen: Laut dem eigenen Sicherheitsbericht hatte das Unternehmen einen von einem Staat gesponserten, KI-gesteuerten Angriff gestoppt, der von einer chinesischen Cyber-Spionageeinheit durchgeführt wurde. Die Geschichte drehte sich um eine geheimnisvolle Gruppe, die Anthropic als GTG-1002 bezeichnete, die angeblich Claude-basierte Agenten einsetzte, um 80–90% einer laufenden Eindringkampagne—Aufklärung, laterale Bewegung und sogar Datenexfiltration—durchzuführen, während menschliche Operatoren angeblich nur 10–20% der Arbeit erledigten. Der Bericht, der als Vorgeschmack auf die Zukunft des autonomen Hackens präsentiert wurde, las sich wie eine Mischung aus einem Inzidenzreaktionsmemo und einem Sci-Fi-Drehbuch.

Die Nachrichtenredaktionen behandelten es so. Schlagzeilen prangten von „autonomen KI-Cyberangriffen“ und „Claude-gesteuerten Spionen“, und die Erzählung verbreitete sich innerhalb weniger Stunden über Tech-Medien, Mainstream-Medien und politische Kreise. Die Kombination aus chinesischen staatlichen Hackern, modernen großen Sprachmodellen und dem Gespenst selbstgesteuerter Cyberwaffen erwies sich als unwiderstehlich, insbesondere in einem Nachrichtenzyklus, der bereits durch Debatten über KI-Sicherheit und eskalierende US-China-Spannungen aufgeladen war.

Die Berichterstattung wiederholte oft fast wortwörtlich die Darstellung von Anthropic: KI-Agenten, die über „umfängliche Angriffsoberflächen“ koordinieren, „vollständige Netzwerk-Topologien“ kartieren und „hochwertige Systeme“ auswählen. Nur wenige der frühen Berichte hielten inne, um das seltsame betriebliche Detail zu beleuchten, dass ein angeblich hochentwickelter Bedrohungsakteur einen geschlossenen, vollständig protokollierten kommerziellen Dienst – Claude Code – als sein primäres Werkzeug gewählt hatte. Noch weniger fragten, warum ein Unternehmen, das im Zentrum der Diskussion über KI-Sicherheit steht, eine glanzvolle Erzählung ohne konventionelle Bedrohungsintelligenz-Elemente veröffentlichte.

Sehr schnell brach diese Stille. Eine wachsende Gruppe von Cybersicherheitsforschern, von unabhängigen Analysten bis hin zu Incident-Responders, begann öffentlich zu hinterfragen, auf welcher evidenzbasierten Grundlage der Bericht beruhte. Beiträge wie der Blog des Sicherheitsforschers Jinvx und Videos wie Better Stacks „Etwas stimmt nicht mit Anthropic, orchestrierter Angriff, Story, Berichtsanalyse“ argumentierten, dass Anthropics Dokument weniger wie ein forensischer Bericht und mehr wie raffiniertes Marketing aussah.

Kritiker wiesen auf das hin, was fehlte: keine Hinweise auf Kompromittierungen, keine konkreten Taktiken, Techniken und Verfahren (TTPs), keine Opferliste, keine Malware-Hashes, keine Codeausschnitte, nicht einmal eine einzige benannte Programmiersprache. Für einen Bericht über eine beispiellose KI-gesteuerte Operation wirkte der technische Abschnitt auffällig leer.

Diese Lücken schaffen einen offensichtlichen Konflikt. Entweder hat Anthropic eine der ersten großangelegten, KI-gestützten Spionagekampagnen aufgedeckt und sich entschieden, fast alles Nützliche zu schwärzen – oder das Unternehmen hat einen vagen, begrenzten Vorfall dramatisch übertrieben. Diese Geschichte wird diese Spannung analysieren und die Schlagzeilen von Anthropic mit dem spärlichen Inhalt darunter vergleichen.

Sicherheitsfachleute erwarten, dass ein Bedrohungsanalysebericht wie eine Obduktion und nicht wie ein Drehbuch gelesen wird. Ein Bericht von Mandiant oder CrowdStrike liefert in der Regel harte Indikatoren für Kompromittierungen (IOCs), abgebildete TTPs und eine klare Zuordnung. Sie finden Hashes, Domains, IP-Bereiche, Malware-Familiennamen, ATT&CK-Technik-IDs und Zeitpläne, die bis auf die Minute genau aufgegliedert sind.

Reife Anbieter dokumentieren auch den Umfang und die Auswirkungen. Sie benennen betroffene Sektoren, manchmal spezifische Opfer, und quantifizieren den Schaden: Anzahl der Hosts, Datenvolumina, Dauer der Persistenz. Selbst wenn Anwälte Schwärzungen erzwingen, enthalten Berichte immer noch ausreichend technische Reste, damit Sicherheitsverantwortliche Erkennungen schreiben, SIEM-Regeln aktualisieren und Incident-Response-Teams informieren können.

Anthropics Dokument über seine angebliche chinesische KI-unterstützte Kampagne tut davon fast nichts. Es führt einen filmischen Codenamen ein, GTG-1002, und beschreibt dann Phasen einer „KI-orchestrierten“ Operation größtenteils in abstrakter Prosa. Keine Malware-Proben, keine Domains, keine IPs, keine Exploit-CVE-Identifikatoren, keine Protokolle, nicht einmal Programmiersprachen.

Anstelle von Paketaufzeichnungen und Stack-Traces erhalten die Leser vage Aussagen über „autonomes Entdecken interner Dienste“ und „Vollständige Netzwerktopologie abbilden“. Sicherheitsteams können daraus keine Snort-Regeln, Sigma-Signaturen oder EDR-Suchanfragen ableiten. Das klingt nach einer Konferenz-Keynote, nicht nach etwas, das in ein SOC-Runbook eingearbeitet werden könnte.

Strukturell ähnelt das Dokument eher einem politischen Positionspapier als einer Notiz von CrowdStrike Falcon OverWatch. Längere narrative Absätze beschreiben menschliche Operatoren mit „10–20%“ Beteiligung, zeigen jedoch niemals die zugrunde liegende Telemetrie, die diese Zahlen rechtfertigen würde. Eine Grafik ersetzt Seiten fehlender technischer Details.

Der Sicherheitsforscher Jinvx hat dies direkt angesprochen und argumentiert, dass der Bericht an umsetzbarer Intelligenz mangelt. Sie weisen darauf hin, dass jeder „normale Sicherheitsbericht“ zumindest TTPs und IOCs auflisten würde, damit andere ihre eigenen Netzwerke durchsuchen können. Anthropic bietet beides nicht an, was eine unabhängige Überprüfung nahezu unmöglich macht.

Diese Lücke ist wichtig, da sie das tatsächliche Zentrum der Schwere des Dokuments offenbart. Anstatt Verteidiger auszurüsten, verkauft es eine Geschichte: KI-Angriffe sind hier, sie sind beängstigend, und die Modelle von Anthropic sind sowohl das Risiko als auch das Heilmittel. Funktional verhält es sich weniger wie Bedrohungsinformationen und mehr wie eine sorgfältig waffenverwendete Pressemitteilung, die darauf abzielt, Schlagzeilen zu generieren und eine spezifische Erzählung über die Gefahren der KI und die Abhängigkeit von KI zu verstärken.

Sicherheitsexperten leben und sterben nach TTPs und IOCs. Taktiken, Techniken und Verfahren beschreiben, wie ein Angreifer tatsächlich agiert: wie er einbricht, sich bewegt und Daten stiehlt. Indikatoren für Kompromittierungen sind die Spuren, die sie hinterlassen – IP-Adressen, Dateihashes, Domainnamen, Dateinamen von Malware, Registrierungswerte und Protokollmuster, nach denen Verteidiger suchen können.

Diese Details verwandeln eine dramatische Geschichte in umsetzbare Bedrohungsinformationen. Wenn Mandiant oder CrowdStrike einen Bericht veröffentlichen, liefern sie in der Regel Seiten mit atomaren Daten: SHA-256-Hashes, C2-Domänen, YARA-Regeln, MITRE ATT&CK-Zuordnungen und schrittweise Kill Chains. Die Blauen Teams integrieren diese in SIEMs, EDR-Tools und Firewalls, um Copycat-Aktivitäten innerhalb von Minuten zu erkennen.

Der eigene Beitrag von Anthropic, Die erste gemeldete von KI orchestrierte Cyberspionage stören - Offiziell von Anthropic, tut dies nicht. Das Dokument benennt einen angeblich staatlich gesponserten Cluster aus China, GTG-1002, und behauptet, Claude habe 80–90% der „orchestrierten“ Operation übernommen. Es veröffentlicht jedoch null Hashes, null Domains, null IPs, null Beispielbefehle und null Protokolldateien.

Selbst auf der narrativen Ebene fehlt die technische Tiefe. Anthropic spezifiziert keine einzige Programmiersprache, kein Exploit-Framework und kein Standard-Tool. Es gibt keine Erwähnung von Metasploit, Cobalt Strike, Sliver, benutzerdefinierten Loadern oder sogar grundlegenden Werkzeugen wie nmap oder curl.

Ernste Berichte gliedern TTPs entlang der MITRE ATT&CK-Matrix. Man sieht typischerweise Elemente wie:

• 1Erster Zugriff über Phishing mit bösartigen DOCX-Anhängen.
• 2Eskalation von Privilegien durch den Kernel-Exploit CVE-2023-XXXXX
• 3Laterale Bewegung über RDP und PsExec
• 4Datenexfiltration über HTTPS zu spezifischen fest codierten Domains

Anthropic's "KI-orchestrierte" Geschichte ersetzt dies durch Abstraktionen: "Aufklärung", "laterale Bewegung", "Datenexfiltration", ohne Beweise dafür, wie das alles tatsächlich passiert ist. Man könnte diese Sätze in fast jeden Vorfall einfügen, und sie würden immer noch gleich klingen.

Ohne konkrete TTPs oder IOCs können Verteidiger keine Erkennungsregeln schreiben, Alarme anpassen oder in historischen Protokollen rückverfolgen. SOC-Teams können nicht überprüfen, ob GTG-1002 jemals ihre Netzwerke berührt hat, noch den Angriff in einer Red-Teaming-Übung simulieren. Die Gemeinschaft kann die Behauptungen von Anthropic nicht unabhängig verifizieren oder diesen Cluster mit bekannten chinesischen Bedrohungsgruppen vergleichen.

Der glänzende Bericht von Anthropic mag Geschäftsführer einschüchtern und Politiker beeindrucken, doch operativ hat er keinerlei Nutzen. Für Sicherheitspraktiker ist ein „Threat Intel“-Dokument, das alle überprüfbaren TTPs und IOCs weglässt, überhaupt keine Intelligenz. Es ist eine Geschichte.

Nennen Sie es das Paradoxon der Hacker: Eine angeblich elite, staatlich unterstützte Gruppe wählte angeblich, ihre „KI-orchestrierte“ Spionagekampagne über Claude zu führen, ein überwachtender, geschlossener LLM, der von Anthropic selbst betrieben wird. Für jeden, der Zeit mit echten Eindringlingen verbracht hat, löst diese Entscheidung allein mehr Alarmglocken aus als jede in Anthropics glänzender Berichtsanalyse beschriebene Exploit-Kette.

Ernsthafte Betreiber leben und sterben nach OPSEC. Sie vermeiden alles, was eine klare Prüfspur hinterlässt: Unternehmens-VPNs, KYC-geprüfte Cloud-Konten, Unternehmenssoftware-as-a-Service und ja, kommerzielle KI-APIs, die Eingaben, IPs, Rechnungsmetadaten und Nutzungsmuster protokollieren. Jede Anfrage an Claude ist, by Design, für Anthropic beobachtbar, von internen Missbrauchsteams überprüfbar und unterliegt einer nachträglichen Analyse.

Moderne staatlich geförderte Gruppen bevorzugen bereits Infrastrukturen, die sie vollständig kontrollieren. Sie richten ihre eigenen C2-Server, maßgeschneiderte Malware-Frameworks und wegwerfbare VPS-Flotten ein. Mit KI ist der offensichtlichste Schritt derselbe: ein Open-Source-Modell herunterladen, es anpassen und auf kompromittierten Servern oder GPUs von Auftragnehmern ausführen, bei denen keine Drittparteien Protokolle führen.

Selbstgehostete Modelle wie Llama-Abkömmlinge, Qwen oder Mixtral können vollständig in der Umgebung eines Betreibers betrieben werden. Diese Konfiguration ermöglicht es ihnen: - Sicherheitsvorkehrungen zu entfernen - Protokollierung zu deaktivieren - AI-Verkehr mit normalem internem Rauschen zu mischen

Kein Missbrauchsschalter, kein Vertrauens- und Sicherheitsteam, keine "Wir haben etwas Merkwürdiges bemerkt"-E-Mail von einem Anbieter.

Vor diesem Hintergrund verlangt die Erzählung von Anthropic einen Sprung des Vertrauens. Man wird gebeten zu glauben, dass eine „hochentwickelte“, mit China verbundene Gruppe sich entschieden hat, eine echte Operation über ein in den USA ansässiges Unternehmen durchzuführen, das offen mit Sicherheitsüberwachung wirbt, anstatt einen lokalen Cluster zu starten und einen Claude-Klasse-Klon ohne Aufsicht zu betreiben. Das ist nicht nur eine suboptimale Wahl; es widerspricht jahrzehntelangen Beobachtungen des Handelns von Staatsakteuren.

Anthropics Antwort ist im Grunde: Sie wurden sozial manipuliert. Die Angreifer sollen Claude überzeugt haben, dass sie harmlose Penetrationstests durchführen, und das Modell hat brav geholfen. Selbst wenn man das akzeptiert, erklärt es nur, wie Aufforderungen die Sicherheitsfilter umgingen, nicht warum ein kompetenter Betreiber das Überwachungsrisiko bei der Nutzung von Claude überhaupt in Kauf nehmen würde.

OPSEC-Fehler passieren, aber sie sehen normalerweise aus wie falsch konfigurierte Server, wiederverwendete Werkzeuge oder nachlässige Protokollhygiene – nicht wie die Entscheidung, Ihre gesamte „autonome“ Operation durch die Blackbox Ihres Gegners zu zentralisieren. Diese logische Lücke bleibt die auffälligste, unbeantwortete Frage des Berichts.

Unternehmensjargon leistet in der Geschichte von Anthropic viel Schwerstarbeit. Phrasen wie „minimale direkte Interaktion“ und „autonom interne Dienste entdecken“ klingen nach Ergebnissen; sie lesen sich eher wie Stimmungen. Man erhält Prozentsätze von „gesamtaufwand“ und „strategischen Entscheidungspunkten“, aber keine Paketaufzeichnungen, keine Protokolle, keine Hostnamen, keine IP-Bereiche.

Nehmen Sie diese „minimale direkte Interaktion, die auf 10 bis 20 % des gesamten Aufwands geschätzt wird.“ In einem echten Bedrohungsintelligence-Bericht würde diese Zahl an etwas verankert sein: Minuten der Operator-Tastatureingabe, Anzahl der Befehle oder beobachtete Sitzungen. Hier schwebt die Zahl von 10–20 % im Raum, losgelöst von irgendeiner messbaren Größe, unmöglich zu verifizieren oder zu widerlegen.

Der gleiche Absatz stapelt dichte, eindrucksvolle Verben – „Genehmigung von Fortschritten“, „Autorisierung der Nutzung“, „endgültige Entscheidungen über Datenexfiltration, Umfang und Aufbewahrung treffen“. Keines davon lässt sich auf konkrete Techniken übertragen. Ein Bericht von Mandiant oder CrowdStrike würde angeben, welche Tools was genehmigt haben: RDP-Sitzungen, SSH-Keys, C2-Panel-Klicks oder bearbeitete geplante Aufgaben auf welchen Hosts.

Ein weiteres Juwel: „Entdeckungsaktivitäten erfolgten ohne menschliche Anleitung über umfangreiche Angriffsflächen.“ Das könnte alles beschreiben, von einem einfachen Nmap-Scan bis hin zu einer maßgeschneiderten Multi-Cloud-Recherche-Pipeline. Keine Erwähnung von: - Spezifischen Subnetzen oder IP-Bereichen - Scan-Tools oder Skripten - Cloud-Anbietern, Mietern oder Umgebungen

Wenn Anthropic behauptet, Claude habe „autonom autonom interne Dienste entdeckt, die vollständige Netzwerk-Topologie über mehrere IP-Bereiche abgebildet und wertvolle Systeme einschließlich Datenbanken und Workflow-Orchestrierungsplattformen identifiziert“, schreien die fehlenden Substantive lauter als die Verben. Welche Datenbanken? Postgres? Oracle? Welche Workflow-Orchestrierungsplattformen? Airflow? Argo? Eigenentwicklungen?

Die Analyse des Berichts von Better Stack trifft das Gefühl des unheimlichen Tals genau: Sie klingt wie ein Text, der darauf optimiert ist, für Nicht-Spezialisten intelligent zu erscheinen, und nicht, um Praktikern informative Inhalte zu bieten. Sie hat den Rhythmus einer von KI generierten Zusammenfassung: aufeinandergetürmte Abstraktionen, keine Stack-Traces.

Vergleichen Sie das mit echter technischer Analyse, die auf Details angewiesen ist: - MITRE ATT&CK Technik-IDs - Hashes und Domains - Toolnamen, Versionen und Befehlszeilen-Flags

Anthropics Sprache deutet auf einen orchestrierten Angriff hin, ohne dass Sie jemals das Orchester sehen können.

Die Geschichte von Anthropic hängt von einer angeblich „großangelegten“ Cyber-Spionage-Operation ab, doch der öffentliche Bericht nennt kein einziges Opfer. Keine Regierungen, keine Ministerien, keine Fortune-500-Unternehmen, nicht einmal vage Sektoren wie „Energie“ oder „Telekommunikation“. Die Leser erhalten dramatische Formulierungen zum Umfang, aber null konkrete Ziele.

Seriöse Bedrohungsinformationen von Mandiant oder CrowdStrike spezifizieren normalerweise mindestens Branchen und Regionen, wenn nicht sogar genaue Organisationen. Sie könnten sagen „zwei europäische Außenministerien“ oder „ein nordamerikanisches Fertigungskonglomerat“. Das Dokument von Anthropic bietet nichts davon, was eine externe Überprüfung praktisch unmöglich macht.

Ohne Opfer können Forscher keine Protokolle abgleichen, Aktivitäten korrelieren oder bestätigen, dass GTG-1002 jemals mit echten Produktionssystemen in Berührung kam. Kein Blue Team kann nach ähnlichen Aktivitäten suchen oder fragen: „Haben wir das auch gesehen?“ Der Bericht wird zu einem geschlossenen Kreislauf, in dem Anthropic behauptet, Anthropic untersucht und Anthropic den Sieg erklärt.

Diese strategische Unklarheit maximiert bequem den Angstfaktor. Die Leser müssen sich die schlimmsten Szenarien vorstellen – nukleare Einrichtungen, Zentralbanken, Geheimdienste – weil Anthropic die Möglichkeiten nie eingrenzt. Gleichzeitig vermeidet das Unternehmen es, eine Entity zu benennen, die später sagen könnte: „So ist das nicht passiert“ oder „Wir wurden nie angegriffen.“

Dieser Ungleichgewicht lässt sich erkennen, wenn man das Dokument von Anthropic überfliegt, Disrupting the first reported AI-orchestrated cyber espionage campaign - Vollständiger Bericht PDF. Seiten voller Prosa sprechen von Phasen, Orchestrierung und autonomen Agenten, aber es fehlen Metriken zum Einfluss: keine Anzahl kompromittierter Konten, exfiltrierter Gigabytes oder gestörter Dienste.

Glaubwürdige Berichte über Angriffe verankern ihre Erzählung normalerweise in Konsequenzen: gestohlene Entwurfsdateien, verschlüsselte Server, geleakte diplomatische Kabel. Der Bericht von Anthropic erreicht diesen Punkt nie. Die Leser müssen im Glauben akzeptieren, dass irgendwo, jemandem, in einem nicht näher definierten Ausmaß, etwas Ernstes passiert ist – eine Forderung, die ausgelacht würde, wenn sie von einem beliebigen Anbieter anstelle eines gehypten KI-Labors käme.

Lese die letzten Absätze von Anthropic genau und der Schleier lichtet sich. Nach einigen Seiten vager Beschreibungen über GTG10002 und "autonome" Aufklärung stellt der Bericht plötzlich eine provokante Frage: Wenn KI solche Angriffe ermöglichen kann, "warum weiterhin deren Entwicklung und Veröffentlichung?" Dieser rhetorische Schritt verwandelt die gesamte Erzählung von einem Vorfallbericht zu einer Produktbegründung.

Anthropic beantwortet seine eigene Frage sofort, indem es Claude sowohl als Brandstifter als auch als Feuerwehrmann positioniert. Die gleichen Fähigkeiten, die angeblich eine von KI orchestrierte Kampagne ermöglichten, werden in ihrer Erzählung als "entscheidend für die Cyberabwehr" dargestellt. Der Bericht hört auf, über die Taktiken von GTG10002 zu sprechen, und beginnt, über Claudes "starke Sicherheitsvorkehrungen" und seine Rolle bei der Unterstützung von Cybersicherheitsprofis zu berichten.

Diese Wendung tauscht stillschweigend Bedrohungsinformationen gegen eine Verkaufsofferte aus. Anstelle von IOCs, TTPs oder betroffenen Sektoren erhalten die Leser ein Wertversprechen: Wenn „sophisticated Cyberangriffe unvermeidlich auftreten“, wird Claude helfen, „zukünftige Versionen des Angriffs zu erkennen, zu unterbrechen und sich darauf vorzubereiten.“ Das Thema ist nicht mehr, was GTG10002 getan hat, sondern warum Organisationen Anthropics Good AI in ihre Sicherheitsarchitektur einbinden sollten.

Sie können die zentrale Marketingbotschaft in drei Punkten zusammenfassen: - Schlechte KI-Angriffe sind hier (oder zumindest in großem Maßstab plausibel) - Traditionelle Abwehrmechanismen erscheinen von autonomen Agenten überfordert - Nur ein Modell wie Claude, mit eingebauten Sicherheitsvorkehrungen, kann mithalten

Das ist klassisches FUD: Angst, Unsicherheit und Zweifel. Angst: eine angeblich von KI-Agenten geführte „groß angelegte“ Kampagne des chinesischen Staates. Unsicherheit: fast keine konkreten Daten, Opfer oder TTPs, um die Geschichte zu verankern, nur genug Abstraktion, um die Bedrohung allgegenwärtig erscheinen zu lassen. Zweifel: eine implizite Frage, ob Ihre bestehenden Tools und rivalisierenden Modelle mit dem umgehen können, was Anthropic behauptet zu gesehen zu haben.

Durch diese Linse betrachtet, sieht die Unklarheit nicht mehr wie ein Unfall aus, sondern erscheint strategisch. Details würden die Universalisierbarkeit der Geschichte einschränken; Mehrdeutigkeit macht sie in jedem Verkaufspitch über KI-gestützte Bedrohungen wiederverwendbar. Der letzte Absatz fasst nicht nur den Bericht von Anthropic zusammen, sondern offenbart seine eigentliche Funktion: nicht als Warnung für die Gemeinschaft, sondern als glänzendes Argument, warum Sie in Claude investieren sollten, um sich gegen die genau von Anthropic skizzierte KI-Apokalypse zu verteidigen.

Schälen Sie die atemlose Sprache über eine gestörte „KI-orchestrierte“ Spionagekampagne ab, und das Dokument von Anthropic liest sich wie ein sorgfältig konzipiertes Rahmenelement. Jede Ambiguität bezüglich der Opfer, Werkzeuge und Auswirkungen schafft Raum für die eine Botschaft, die mit kristallklarer Deutlichkeit ankommt: KI ist jetzt zentral für Cyberangriffe, also brauchen Sie KI im Zentrum Ihrer Verteidigung – idealerweise die von Anthropic.

Indem Anthropic einen undurchsichtigen Vorfall als Wendepunkt neu interpretiert, positioniert sich das Unternehmen sowohl als Erzähler als auch als Retter. Es definiert das Problem („staatlich unterstützte KI-Angriffe in großem Maßstab“), definiert die Einsätze („wenn raffinierte Cyberangriffe unvermeidlich eintreten“) und definiert dann die Lösung: Claude, mit „starken Sicherheitsmaßnahmen“, als vorderste Cybersecurity-Ressource und nicht nur als Chatbot.

Das ist ein klassischer Verkaufstrichter, keine verantwortungsvolle Offenlegung. Ein herkömmlicher Bedrohungsintel-Bericht stattet Verteidiger mit wiederverwendbaren Daten aus: Hashes, Domains, TTPs, Infrastrukturkarten. Anthropics "Berichtsanalyse" hingegen rüstet Führungskräfte mit einer Erzählung aus: böse chinesische Hacker nutzten KI, Anthropics hat sie gestoppt, und jetzt müssen zukunftsorientierte Organisationen budgetieren, um mit "guter KI" die nächste Welle zu überstehen.

Die kommerziellen Anreize sind hier offensichtlich. Wenn Anthropic die Erzählung verankern kann, dass: - KI sowohl die Waffe als auch der Schild ist - Geschlossene, zentral überwachte Modelle Missbrauch besser erkennen als offene - Zukünftige Angriffe wie GTG10002 aussehen werden

Dann werden Regulierungsbehörden, CISOs und Vorstände eher dazu neigen, den Zugang zu Claude als eine unerlässliche Position im Budget zu betrachten, nicht als ein optionales SaaS-Experiment.

Diese Erzählung marginalisiert zudem bequem Open-Source- und selbstgehostete Modelle, die nicht die Sichtbarkeit von Anthropic haben, aber auch nicht einem Drittanbieter ein vollständiges Protokoll Ihrer internen Sicherheitslage übergeben. Indem Anthropic die Geschichte darüber kontrolliert, wie „KI-Angriffe“ aussehen, gestaltet das Unternehmen, wie „KI-Abwehr“ aussehen muss und wer dafür bezahlt wird.

Ethisch gesehen neigt dies zu Angst-Marketing. Der Bericht stützt sich auf einen gesichtslosen "vom chinesischen Staat gesponserten" Gegner, einen namenlosen Opfersatz und eine hypothetische zukünftige Eskalation, um den Kauf von mehr Anthropic zu rechtfertigen. Wenn ein Unternehmen die Grenze zwischen öffentlichem Warnhinweis und Produktwerbung verwischt, verkauft es nicht nur eine Dienstleistung; es nutzt öffentliche Ängste aus, um Nachfrage zu erzeugen.

Sicherheitstheater hat seinen Preis. Wenn Anthropic eine dünne, detailfreie Erzählung in die Ästhetik eines Bedrohungsintelligenz-Berichts hüllt, verwischt das die Grenze zwischen Forschung und Marketing, und dieser Vertrauensverlust wächst nicht leicht wieder nach. Cybersicherheit basiert auf geteilten, verifizierbaren Daten; tauscht man das gegen Gefühle und Markenimage aus, verschlechtert sich das gesamte Ökosystem.

Sicherheitsteams durchforsten bereits jeden Monat Hunderte von Alerts, Whitepapers von Anbietern und „dringenden“ Mitteilungen. Wenn prominente Akteure auffällige, aber unterversorgte Geschichten über Orchestrierte Angriffs-Kampagnen verbreiten, lernen die Verteidiger, diese auszublenden. Diese „Bedrohungsmüdigkeit“ führt dazu, dass der nächste Bericht, der ein tatsächliches Zero-Day, echte IOCs und konkrete TTPs beschreibt, mit einem Schulternzucken ankommt, anstatt einen Incident-Response-Einsatz auszulösen.

Sensationelle, aber unbegründete Behauptungen vergiften auch politische Debatten. Gesetzgeber, Gremien und Aufsichtsbehörden lesen Schlagzeilen, nicht Git-Diffs; eine aufgebauschte "KI-orchestrierte" Operation, die hinter den Kulissen wie eine Marketing-Präsentation aussieht, kann die Finanzierung, Gesetzgebung und Unternehmensprioritäten von echten Risiken ablenken. Berichte wie die Zusammenfassung von Paul Weiss, Anthropic Disrupts First Documented Case of Large-Scale AI Orchestrated Cyberattack - Paul Weiss Analysis, verstärken diese Darstellung, ohne das fehlende technische Fundament zu liefern.

Wichtige KI-Anbieter möchten wie Infrastruktur behandelt werden, nicht wie Startups, die einem Trend nachjagen. Dieser Status bringt Verpflichtungen mit sich: veröffentlichen Sie überprüfbare Indikatoren, legen Sie die Methodik offen und trennen Sie Öffentlichkeitsarbeit von Reaktionen auf Vorfälle. Wenn Mandiant oder CrowdStrike eine so vage „Fallstudie“ herausgeben würden, würden Kollegen sie auf Konferenzen auseinandernehmen; Anthropic, OpenAI und Google DeepMind sollten der gleichen Prüfung unterzogen werden.

Cybersicherheit kostet einfach zu viel, in Zeit, Geld und Risiko, um als Branding-Übung zu dienen. Wenn Unternehmen mit halben Beweisen und heldenhaften Erzählungen Alarm schlagen, verschwenden sie eine endliche Ressource: die Bereitschaft von Verteidigern, Journalisten und politischen Entscheidungsträgern, ihnen zu glauben, wenn es wirklich darauf ankommt.

Anthropics Dokument liest sich weniger wie ein Bedrohungsbericht und mehr wie ein als solcher verkleidetes Pitch-Deck. Es erwähnt eine „vom chinesischen Staat unterstützte“ Gruppe und eine „KI-gesteuerte“ Kampagne, liefert jedoch nie die Belege, die ein echtes Sicherheitsteam in ein SIEM oder eine Detektionspipeline einspeisen könnte.

Ernsthafte Vorfälle von Mandiant oder CrowdStrike enthalten normalerweise TTPs, die dem MITRE ATT&CK zugeordnet sind, sowie IOCs, Zeitlinien und betroffene Sektoren. Anthropic bietet nichts davon: keine Hashes, keine IPs, keine Domains, keine CVE-IDs, keine Malware-Familien, keine Programmiersprachen, nicht einmal ein bereinigtes Opferprofil.

Die grundlegende Prämisse bricht unter einfacher Logik der Betriebssicherheit zusammen. Ein angeblich fortgeschrittener Akteur wählt ein überwachten, nicht quelloffenen LLM wie Claude, um einen „Orchestrierten Angriff“ durchzuführen, und macht Anthropic damit effektiv vollständige Telemetrie über ihre Vorgehensweise zugänglich. Das ist, als würde eine Spionagegruppe darauf bestehen, all ihre Planungen über einen Unternehmens-Slack-Arbeitsbereich durchzuführen.

Die Sprache im Dokument neigt stark zu Wortsalat: „minimales direktes Engagement“, „autonom interne Dienste entdecken“, „vollständige Netzwerk-Topologie abbilden“. Keine dieser Formulierungen erklärt, wie die Entdeckung funktionierte, welche Werkzeuge eingesetzt wurden oder was „Erfolg“ technisch genau bedeutete. Es klingt technisch, ohne falsifizierbar zu sein.

Dann gelangt der Bericht zu seiner eigentlichen Botschaft: KI-Angriffe stehen bevor, daher benötigt man „gute KI“, um gegen „schlechte KI“ zu kämpfen, speziell Claude mit „starken Schutzmaßnahmen“. Die Angst vor einem schattenhaften GTG10002 schafft einen übersichtlichen Verkaufstrichter für die Unternehmens- und Sicherheitsangebote von Anthropic.

Leser sollten zukünftige Geschichten über KI-Angriffe mit kritischem Skeptizismus betrachten. Fragen Sie sich, ob Sie ein Sicherheitsdokument oder ein Marketinginstrument lesen, das zufällig Firewalls und laterale Bewegungen erwähnt.

Ein glaubwürdiger KI-Sicherheitsbericht sollte mindestens Folgendes enthalten:

• 1Klarer Beschreibung des Bedrohungsakteurs und Umfang der Auswirkungen.
• 2Konkrete TTPs, abgebildet auf Frameworks wie MITRE ATT&CK
• 3IOCs: IP-Adressen, Domänen, Datei-Hashes, Tool-Namen, Infrastrukturdetails
• 4Technischer Ablauf, wie das KI-System genutzt oder missbraucht wurde.
• 5Defensive Anweisungen, die andere Teams umsetzen können
• 6Einschränkungen, Unsicherheiten und was die Autoren noch nicht wissen

Wenn diese Elemente fehlen, betrachten Sie keine Intelligenz mehr. Sie betrachten eine Geschichte.

Was hat Anthropic in ihrem Sicherheitsbericht behauptet?

Anthropic behauptete, die erste von KI orchestrierte Cyber-Spionagekampagne gestört zu haben, angeblich durch eine staatlich unterstützte Gruppe, bei der ihr KI-Modell Claude verwendet wurde, um 80-90% des Angriffs zu automatisieren.

Warum sind Sicherheitsexperten skeptisch gegenüber dem Bericht von Anthropic?

Experten sind skeptisch aufgrund eines erheblichen Mangels an technischen Details, wie zum Beispiel Indikatoren für Kompromittierungen (IOCs) oder Taktiken, Techniken und Verfahren (TTPs). Der Bericht liest sich eher wie ein Marketingdokument als wie eine standardmäßige Bedrohungsintelligenz-Zusammenfassung.

Welche wesentlichen Informationen fehlen im Bericht von Anthropic?

Der Bericht lässt entscheidende Details wie die Identitäten der Opfer, die spezifischen Werkzeuge und Programmiersprachen, die verwendet wurden, den Umfang des Schadens und jegliche umsetzbare Informationen, die anderen helfen könnten, sich gegen ähnliche Angriffe zu verteidigen, aus.

Was scheint das Hauptziel des Berichts von Anthropic zu sein?

Die Analyse deutet darauf hin, dass das Hauptziel des Berichts im Marketing besteht. Er schürt Ängste bezüglich KI-gestützter Angriffe und positioniert Anthropics Produkt, Claude, als das unverzichtbare Werkzeug zur Verteidigung gegen diese.