Mr. CISO & Mr. AI im Gespräch

Ein KI-Modell, das besser als Menschen Sicherheitslücken findet und Exploits schreibt — und das so mächtig ist, dass Anthropic es nicht als normales Produkt freigibt. Das ist Claude Mythos Preview, das Thema dieser Episode. Mr. AI und Mr. CISO diskutieren, was es bedeutet, wenn offensive Security-KI-Modelle wie Claude Mythos oder GPT Cyber entstehen: Wer bekommt Zugriff? Was ändert sich für Software-Entwickler und deren Patch-Management? Und was bleibt gleich - die Grundprinzipien der Informationssicherheit. Zur Einordnung: Claude Mythos fand in der Preview-Phase über 23.000 potenzielle Schwachstellen in mehr als 1.000 Open-Source-Projekten; Anthropic veröffentlicht das Modell nicht offen, sondern stellt es initial nur nur geprüften Organisationen bereit. Im zweiten Teil geht es um die Gegenseite: KI auf der Verteidigungslinie. Tools wie Microsoft Security Copilot, die Zukunft von SOC-Centern und die Frage, ob KI-Unterstützung die menschliche Analyse ersetzen kann oder verstärken muss. Fazit: Das Security-Handwerk ändert sich nicht. Security by Default, Patch-Management, klare Rollen und Prozesse - jetzt wird es noch wichtiger.

KI einführen, aber wie weiss man, ob man es richtig macht? Mr. AI und Mr. CISO vergleichen drei etablierte Sicherheitsframeworks für den KI-Einsatz und machen klar, welches für welches Unternehmen sinnvoll ist – ohne Theorie-Blabla. Das NIST AI Risk Management Framework eignet sich als pragmatischer Einstieg für Unternehmen, die KI strukturiert und nachvollziehbar einführen wollen – mit den vier Hauptkapiteln Govern, Map, Measure und Manage. Die ISO 42001 baut auf bestehenden ISO-Managementsystemen auf und lohnt sich vor allem für Organisationen, die bereits nach ISO 27001 oder ISO 9000 zertifiziert sind. MITRE ATLAS ergänzt das Bild für Entwicklerteams: Es zeigt konkrete Angriffsvektoren auf KI-Systeme – von theoretischen bis zu in der Wildnis beobachteten Angriffen – und ermöglicht gezieltes Testen der eigenen Applikationen. Drei Frameworks, drei Anwendungsfälle, eine klare Empfehlung: Hör rein und finde heraus, wo dein Unternehmen steht.

Die grösste Sicherheitslücke sitzt oft nicht hinter einer Firewall, sondern am Drucker, im Zug oder im Recyclinghof. In dieser Episode sprechen Mr. AI und Mr. CISO über physische Sicherheit — ein Kapitel, das in ISO 27001 mit 14 eigenen Controls in Annex 7 verankert ist, im Alltag aber erstaunlich oft vergessen wird. Mr. CISO bringt Praxisgeschichten aus echten Audits: Kunden mit einem ganzen Raum voller Elektroschrott ohne Entsorgungsprozess, unverschlüsselte Festplatten bei der Entsorgung und ein Kündigungsschreiben im normalen Altpapierstapel. Mr. AI erzählt, wie seine Katze per Root-Cause-Analysis als Threat Actor identifiziert wurde — und was das Kabel danach besser schützt. Am Ende: eine Geschichte aus dem Zug, die zeigt, wie Sensibilisierung ohne Belehrung funktioniert. Direkt, menschlich, wirkungsvoll.

KI-gestützter Betrug ist keine Zukunftsmusik mehr, sondern längst im Alltag angekommen. In dieser Folge sprechen Mr. AI und Mr. CISO darüber, wie Angreifer KI-Tools nutzen, um Social Engineering wirksamer und einfacher skalierbar zu machen. Es geht um Phishing-Mails, die überzeugender wirken als früher, um gefälschte Stimmen auf Basis weniger Sekunden Audiomaterial und um manipulierte Videoanrufe mit Face Swap. Besonders gefährlich wird es dort, wo Menschen unter Druck gesetzt werden, schnell zu handeln oder angebliche Vertraulichkeit ausgenutzt wird. Die Folge erklärt, warum nicht nur grosse Unternehmen betroffen sind, sondern auch KMU und Mitarbeitende mit Freigaberechten. Gleichzeitig wird klar: Es gibt wirksame Gegenmassnahmen. Sensibilisierung, Rückversicherung über einen zweiten Kanal sowie das Vier-Augen- oder Sechs-Augen-Prinzip helfen, Risiken deutlich zu senken. Eine praktische Folge für alle, die Verantwortung für sichere Digitalisierung tragen!