
Yannick H.,
TLDR;
KI baut inzwischen ganze Exploit-Ketten selbst zusammen, aus kleinen Bugs wird so eine ernste Schwachstelle. Cloudflare bringt einen Patch in zwei Stunden in Produktion, doch Unternehmen haben im Schnitt nur rund einen Tag, bevor eine neue CVE aktiv ausgenutzt wird. KMU können dieses Tempo nicht halten. Die Antwort liegt nicht im noch schnelleren Patchen, sondern darin, die im Internet exponierte Angriffsfläche radikal zu verkleinern. Bringt euren Verkehr hinter Proxies und privaten Zugang, statt offen erreichbar zu bleiben.

In den letzten Monaten haben wir eine Beschleunigung der technischen KI-Fähigkeiten gesehen wie nie zuvor. Es ist nicht mehr „Vibe Coding", es ist „Vibe Engineering". Weil KI viel besser im Programmieren geworden ist. Und sie wird immer besser. Anthropics Mythos-Modell ging in den Medien parabolisch ab. Der Hype war real, aber weit weg von der Realität, für Leute, die nicht an der Quelle arbeiten.
Ein aktueller Blog von Cloudflare hat gezeigt, was tatsächlich an der Quelle passiert.
„Mythos Preview ist ein echter Schritt nach vorne, und das sollte man klar aussprechen, bevor man auf irgendetwas anderes eingeht. Wir lassen seit einiger Zeit Modelle auf unseren Code los, und der Sprung von dem, was mit früheren universellen Frontier-Modellen möglich war, zu dem, was Mythos Preview heute leistet, ist nicht nur eine Verfeinerung des Vorherigen. Es ist eine andere Art von Werkzeug, das eine andere Art von Arbeit verrichtet, und das macht einen sauberen Eins-zu-eins-Vergleich mit früheren Modellen schwierig."
Und dann verwendete Cloudflare die Begriffe „Exploit Chain Construction" und „Proof Generation", was im Grunde die echte Fähigkeit von Mythos Preview beschreibt: Teile zusammenzufügen. Das Modell kann Bugs mit geringer Schwere nehmen und sie zu einem schwerwiegenderen Exploit verketten.
Was bedeutet das?
Für Cloudflare ist es klar: „Wenn sich die Zeitlinie des Angreifers verkürzt, muss sich die Zeitlinie des Verteidigers mit ihr verkürzen. Schneller wird nicht ausreichen, und wir denken, dass viele Teams gerade dabei sind, viel Zeit, Aufwand und Geld zu investieren, um es auf die harte Tour zu lernen."
Laut dem Artikel arbeiten Teams unter einem zweistündigen SLA vom CVE-Release bis zum Patch in der Produktion. ZWEI Stunden. Um einen Fix in die Produktion zu bringen. Das ist die eine Seite.
Aber denken wir jetzt an all die Unternehmen, die diesen Patch auf ihre Infrastruktur und Systeme anwenden müssen.
Wenn wir die Daten von zerodayclock.com nehmen, dauert es 1,6 Tage zwischen der öffentlichen CVE-Offenlegung und der ersten bestätigten Ausnutzung in freier Wildbahn. Diese Zahl sinkt sowieso, also runden wir ein wenig:
Unternehmen haben etwa 1 Tag Zeit, um einen Patch anzuwenden, bevor sie riskieren, kompromittiert zu werden.
Seien wir ehrlich: KMU können da unmöglich mithalten.
Was ist die Lösung?
Ich sehe eine sehr starke Spiegelung von Zyklen, die wir bereits durchlaufen haben. Das Zero-Trust-Sicherheits-Framework zeigt ziemlich gut, warum wir tun, was wir tun.
In der Vergangenheit haben Unternehmen den Netzwerk-Perimeter (ich nenne ihn gerne die Burgmauern) als ihre erste und stärkste Sicherheitsschicht genutzt. Nichts kommt rein, nichts geht raus. Natürlich hat sich das mit veränderten Bedürfnissen und Anforderungen im Laufe der Zeit weiterentwickelt. VPNs für sichere Gateways, DMZs und so weiter. Zwei grosse Anforderungen haben die Notwendigkeit geschaffen, die Burgmauern zu öffnen: Remote-Arbeit und Cloud. Warum? Weil Menschen und Systeme von überall aus zugänglich sein mussten. SaaS-Anwendungen erforderten eine Verbindung von innerhalb des Perimeters ins Internet, und Menschen wollten von zu Hause aus arbeiten und dabei auf das Firmennetzwerk zugreifen.
Anscheinend war Zero Trust mit all seinen Prinzipien und Lösungen also die Antwort. Aber die Realität zeigt: Unternehmen sind weit davon entfernt, Zero-Trust-Prinzipien in ihrer Infrastruktur umgesetzt zu haben, besonders wenn es um das Netzwerk geht (ZTNA, SASE, Secure Global Access, wie auch immer).
Was ist also die Lösung? Ehrlich gesagt müssen wir die exponierte Oberfläche eines Unternehmens im Internet drastisch reduzieren. Mit der Geschwindigkeit, mit der sich alles entwickelt, können wir unmöglich mithalten. Es ist wie bei OT-Umgebungen. Die Leute haben akzeptiert, dass sie mit der Aktualisierung der Technologie nicht Schritt halten können, also haben sie sie segmentiert oder letztendlich komplett von der Exposition abgeschirmt.
Wir müssen dasselbe mit IT-Systemen machen. Und es ist nicht einfach. Alle Daten und Systeme sind so verteilt und dezentralisiert, dass es schwer ist, einen Netzwerk-Perimeter darum zu ziehen. Wir müssen also sicherstellen, dass unser Verkehr und unsere Aktivitäten so wenig wie möglich nach aussen exponiert sind.
Das heisst: Bringt den Verkehr wieder hinter Proxies. Fangt jetzt an. Wenn ihr Microsoft nutzt, habt ihr Entra Private Access in den meisten Fällen bereits in eurem Abonnement enthalten. Wenn ihr andere Lösungen wollt, gibt es welche. Cloudflare Tunnel + Access, Tailscale, Twingate, Zscaler. Wie auch immer. Es ist bereits da. Macht euch unauffindbar, geht privat, geht weg vom offenen Netz.
Cloudflare's Artikel: https://blog.cloudflare.com/cyber-frontier-models/


