KI findet Sicherheitslücken – und bald auch Steuerschlupflöcher?

Obwohl es kaum jemanden zugänglich gemacht werden durfte, sorgte das neue KI-Modell Mythos von Anthropic weltweit für Schock-Schlagzeilen. Denn die Künstliche Intelligenz konnte autonom kritische Sicherheitslücken in Software finden. Unsere Kolumnistin Aleksandra Sowa alias Kryptomania, die Cybersicherheitsexpertin ist, sieht daher ein noch schnelleres Wettrüsten zwischen „Codemakern“ und „Codebreakern“ kommen. Fast noch größere Sorgen bereitet ihr aber die Frage, welche Steuerschlupflöcher KI finden könnte.

Eine Kolumne von Aleksandra Sowa

In seinem Artikel für The Guardian – „How dangerous is Anthropic’s Mythos AI?“ – analysierte der US-Sicherheitsguru Bruce Schneier die lang- und kurzfristigen Implikationen des KI-Modells „Mythos“. Es soll so gut darin sein, Sicherheitslücken in Software zu entdecken, dass der US-Hersteller Anthropic es nicht der Öffentlichkeit zugänglich machen wollte. Der Mythos um den Mythos wird mit gleich zwei Marketing-Schachzügen genährt: Erstens ist die KI nur einer ausgewählten Gruppe von privaten und öffentlichen Anwendern zugänglich – was sie zu einem knappen und folglich begehrten Gut macht. Zweitens berichten diese bereits von der erstaunlichen – wenn nicht gar angsteinflößenden – Effektivität der KI beim Suchen und Finden von Software-Schwachstellen.

Das Firefox-Team von Mozilla gehörte zu den ersten Organisationen, die Erfahrungen mit Mythos sammeln durfte. Man gab bekannt, dass von den 271 durch Mythos aufgedeckten Software-Bugs die Mehrheit – 180 – als „sec-high“ klassifiziert wurden. Das steht für solche Arten von Schwachstellen, die durch normales Nutzerverhalten ausgenutzt werden können, z. B. durch das Surfen auf eine Webseite (die einzige höhere Bewertung, „sec-critical“, ist für Zero-Days reserviert). Weitere 80 waren „sec-moderate“, die restlichen 11 „sec-low“. Der Zahl 271 der im April 2026 von Mythos identifizierten Software-Bugs stehen 41 extern gemeldete (Mozilla betreibt ein Bug-Bounty-Programm und belohnt Sicherheitsforscher mit bis zu 20.000 Dollar pro gemeldeter Sicherheitslücke) und 111 intern entdeckte Bugs gegenüber. Insgesamt wurden im April 423 Sicherheitslücken in Releases behoben, gab Mozilla bekannt. Zum Vergleich: Im Vormonat waren es 76, ein Jahr zuvor, im April 2025, ganze 31 Bugs, die gefunden und behoben wurden.

Behörden in Alarmbereitschaft – in Deutschland, aber auch in den USA

Meldungen wie diese versetzten nicht nur deutsche Behörden in Alarmbereitschaft. Man erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“, wurde die BSI-Präsidentin Claudia Plattner vom ZDF zitiert: „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben“. In der US-Regierung könnte Mythos sogar einen Paradigmenwechsel in der KI-Aufsichtspraxis auslösen: von weitgehenden Freiheiten und Selbstverpflichtungen der KI-Hersteller hin zu einer Aufsicht von KI-Modellen vor deren Markteinführung. „Im Gespräch sei ein formelles Prüfverfahren, das sich am britischen Modell orientieren könnte“, bei dem staatliche Stellen damit betraut wären, KI-Modelle anhand definierter Sicherheitsstandards zu prüfen. „Eine Variante sehe vor, der Regierung frühzeitigen Zugang zu neuen Modellen zu gewähren, deren Veröffentlichung jedoch nicht unmittelbar zu blockieren“, berichtete die Berliner Zeitung unter Berufung auf informierte Kreise.

„[…] the truth is scary“, schrieb Bruce Schneier. Auch wenn er sich in seinem über Jahrzehnte als Sicherheitsexperte und -berater trainierten Pragmatismus nicht so leicht von einem Hype beeindrucken lässt, so weiß er, dass die generativen KI-Modelle – und diese Aussage ist nicht auf Mythos beschränkt – zunehmend besser im Auffinden und Ausnutzen von Sicherheitslücken sind. Dies hat wichtige Implikationen für die Cybersecurity: positive wie negative. Nicht nur im Bereich der Offense, also für Angreifer, sondern auch für die Defense, also für die Verteidiger.

Um sich der Nomenklatur des deutschen Kryptologen Hans Dobbertin zu bedienen: Es kommt zur Intensivierung und Beschleunigung des ständigen Wettrennens zwischen den Codemakern und Codebreakern. Einerseits können Angreifer noch schneller Schwachstellen finden und sie automatisiert ausnutzen. Zugleich können die Sicherheitsteams der IT-Hersteller dieselben Systeme nutzen, um Sicherheitslücken zu identifizieren – und diese rechtzeitig zu patchen. Aktuell scheint es allerdings, so Schneier, dass Finden und Ausnutzen von Schwachstellen leichter sind als Finden und Fixen. Organisationen werden sich auf die neue Realität einstellen müssen; das Suchen und Patchen von Schwachstellen wird zum Bestandteil der Softwareentwicklungsprozesse, so seine Prognose.

Nicht ganz unerwartet bekommen die IT-Hersteller Unterstützung beim Aufbau entsprechender Frameworks – von der EU. Mit dem Cyber Resilience Act (CRA), der 2027 in ganz Europa Geltung erlangen wird, wird in Annex I, Part I, Nr. 1 die Pflicht zu „Security by Design“ verankert: Produkte mit digitalen Bestandteilen müssen so konzipiert, entwickelt und hergestellt werden, dass sie – auf Grundlage einer Risikobewertung – ein angemessenes Cybersicherheitsniveau gewährleisten. Außerdem müssen sie gemäß Annex I, Part I, Nr. 2(b) mit einer sicheren Standardkonfiguration auf den Markt gebracht werden (sog. „Security by Default“). Im Kern bedeutet dies sichere Voreinstellungen, die nicht erst vom Nutzer aktiviert werden müssen. Die Hersteller müssen sicherstellen, dass ihre Produkte entsprechend den wesentlichen Cybersicherheitsanforderungen aus Anhang I Teil I konzipiert, entwickelt und hergestellt wurden. Dazu werden sie in Art. 13 Abs. 1 verpflichtet. Mehr noch: Sie müssen gemäß Art. 13 Abs. 2 eine Bewertung der Cybersicherheitsrisiken durchführen und deren Ergebnisse während Planung, Design, Entwicklung, Produktion, Bereitstellung und Wartung berücksichtigen. Heißt: entlang des gesamten Lebenszyklus der (komplexen) Software.

Wer sich hier an die Vorgaben zu „Privacy by Design“ und „Privacy by Default“ in der Datenschutzgrundverordnung (DSGVO) erinnert fühlt, liegt richtig. Doch anders als bei der DSGVO, wo die Vorgaben teilweise bis heute ohne einheitliche Standards und Methodiken auskommen müssen, sollte die Operationalisierung von „Security by Design“ rechtzeitig zum Startschuss des CRA in Deutschland vorliegen. Die Aufsicht liegt beim BSI.

Findet KI unentdeckte Steuerschlupflöcher?

Und doch sind es die langfristigen Implikationen, die den Fall „Mythos“ erst recht interessant machen. Denn die Fähigkeiten der KIs, mit denen sie sich bei der Software-Analyse hervorgetan haben, sind auch auf andere algorithmisch abbildbare Systeme anwendbar. Etwa auf die Steuersysteme der Länder, die aus einer Vielzahl komplexer Regeln, Normen und Formeln bestehen. Würde eine KI, die so gut im Auffinden von Sicherheitslücken in IT-Systemen ist, ebenso gut beim Auffinden von – bislang noch unentdeckten – Steuerschlupflöchern performen? Schneier ist zuversichtlich, dass die großen Investmentbanken bereits daran arbeiten – im Geheimen –, indem sie KI mit den Steuergesetzen verschiedener Industrieländer „gefüttert“ und die Systeme mit der Suche nach Geldsparstrategien beauftragt haben.

Der Vorteil träfe dabei vor allem die „wealthy clients“ – und weniger den Otto Normalbürger, von dem die Steuerbehörden noch nach bis zu 30 Jahren Belege für als Arbeitsmittel geltend gemachte Bücher verlangen und anschließend genüsslich die Konten pfänden dürfen – und dies oft auch tun. Profitieren würde davon jene Bankenklientel, an die sich die Steuerfahndung schon heute nur sehr zaghaft herantraut, wenn sie sich nicht sofort mit einer Armee von Anwälten und Steuerberatern konfrontiert sehen möchte. Was Bürgerinnen und Bürger am Beispiel der Cum-Ex-Odyssee seit einigen Jahren live mitverfolgen dürfen.

Wie viele Steuerschlupflöcher werden solche KIs finden? Zehn? Einhundert?, fragt Schneier. Mozilla bestätigte, dass beim Auffinden von Software-Bugs nur sehr wenige „false positives“ aufgetreten seien. Aber selbst wenn die Performance bei Steuerschlupflöchern nicht ganz so hervorragend sein sollte, betreten spätestens hier Armeen von Anwälten und Finanzberatern das Spielfeld, um die KI-Ergebnisse zu validieren – und zu praktischen Produkten zusammenzuschnüren.

Der Punctus Knackus: Die Steuersysteme lassen sich nicht binnen weniger Tage oder Wochen patchen. Legislative Prozesse, erinnert Schneier, nehmen oft Jahre in Anspruch. Nicht zu vergessen die zahlreichen Interessengruppen oder Lobbyverbände, die auf legislative Prozesse (legal) einwirken, diese verzögern oder vielleicht sogar verhindern könnten.

Cum-Ex hierzulande, der jahrelange Streit wegen Verdachts auf Steuerbetrug zwischen spanischen Steuerbehörden und Shakira, der Skandal um die Weitergabe vertraulicher Informationen zur Bekämpfung von Steuervermeidung an Kunden durch Berater in Australien oder der Fall der Referatsleiterin aus dem Finanzministerium, die auf einer geschlossenen Veranstaltung für Hochvermögende Vorträge zur legalen Steuervermeidung hielt: Gäbe es für Steuerschlupflöcher einen regelmäßigen Bericht wie zur IT-Sicherheitslage, würde man vermutlich zu ähnlichen Schlussfolgerungen wie bei Cybersecurity kommen: Die Bedrohungslage stagniert seit Jahren auf einem sehr hohen Niveau.

Es verwundert daher ein wenig, dass Staatsanwaltschaften, Steuerbehörden und die Strafverfolgung bislang so wenig auf die Errungenschaften der Technologie – und der KI – zurückgreifen, um ihre Arbeit im Bereich der Wirtschaftskriminalität zu effektivieren. Leistungsfähige Datenanalysen waren bereits im analogen Raum möglich – wenngleich aufwendig. Dies dank der Entdeckung und Erforschung von Regelmäßigkeiten, denen beispielsweise große Zahlenreihen folgen. Vom Benfordschen Gesetz ist die Rede. Sowie der Entwicklung von Methoden, mit denen Abweichungen von diesen Regelmäßigkeiten – und damit Hinweise auf mögliche Manipulationen – aufgedeckt werden können. Moderne IT-Infrastrukturen haben die früheren manuellen Auswertungen erheblich beschleunigt und systematisiert – etwa durch den Einsatz von Datenbanken, gestiegener Rechenkapazitäten und regelbasierter Software. Die auf dem Benfordschen Gesetz basierende Methode findet unter anderem Anwendung in der analytischen Forensik, der Wirtschaftsprüfung oder in der internen Revision beim Aufspüren sog. „doloser Handlungen“.

KI zur Bekämpfung von White-Collar-Crime?

Und mit dem Argument, es liege am Datenschutz, braucht man gar nicht erst zu kommen, nachdem die Bayerische Landesregierung Palantir damit beauftragte, Daten der Bürgerinnen und Bürger u. a. nach noch nicht begangenen potenziellen Straftaten zu durchsuchen. Auf Basis vergleichbarer Rahmenverträge wird das Vertragsvolumen des bayerischen Palantir-Einsatzes im Bereich von rund 25 Mio. Euro eingeordnet. Unter der Annahme einer mehrjährigen Laufzeit eines typischen Rahmenvertrags von etwa fünf Jahren ergibt sich daraus ein rechnerischer Durchschnitt von ca. 13.700 Euro pro Betriebstag. Das würde für eine Menge Bußgelder wegen Datenschutzverstößen reichen – wenn Datenschutzbehörden gegen andere Behörden welche verhängen würden. Tun sie natürlich grundsätzlich nicht.

Warum also nicht auch eine KI zur wirksamen Bekämpfung von White-Collar-Crime? Eine mögliche Erklärung dafür, warum „die technischen Zukunftswelten, die wir alle erwartet haben, nicht Wirklichkeit geworden sind“, lieferte der Anthropologe David Graeber in Bürokratie. Es war eine Sorge, die „Staatsmänner und Industriekapitäne“ vermutlich bereits seit den Siebzigern teilten: „dass die technische Entwicklung in Richtungen gelenkt werden müsse, die nicht die bestehenden Autoritätsstrukturen in Frage stellen“.

Während sich die Ursachen der Unsicherheiten – heute beispielsweise die Allgemeine Künstliche Intelligenz, kurz: AGI – im Laufe der Jahrzehnte geändert haben, bleiben bestimmte Muster gesellschaftlicher Reaktionen bestehen. Etwa die Bereitschaft der Bürgerinnen und Bürger, einen Teil ihrer Freiheiten zugunsten von Schutz und Sicherheit aufzugeben. Auch „Eigentümer und Direktoren der verschiedenen kapitalistischen Produktionssysteme sind […] Opfer der allgemeinen Unsicherheit“, schrieb Aldous Huxley in Zeit der Oligarchen. Sie wünschten sich ebenfalls „ein geringes Maß an staatlicher Kontrolle – genug, um ihre Profite zu sichern, aber natürlich keine Enteignung oder Verstaatlichung.“ Zwei Sätze, die man sich in Erinnerung rufen sollte, wenn KI-Anbieter heute an Regierungen nach mehr Regulierung appellieren.

Anthropic gab kürzlich bekannt, Mythos auch der Bankenaufsicht für Tests zur Verfügung zu stellen. Die Grenze zwischen Regulierung, Aufsicht und Big-Tech-Machtmonopol dürfte damit künftig nicht unbedingt klarer werden. Bei der KI kommt hinzu, dass weder die Mechanismen noch der Wille erkennbar sind, Kontrolle und Aufsicht im „Team Mensch“ zu belassen. Im Gegenteil: Zunehmend erinnert das Vorgehen an das Szenario aus dem Science-Fiction-Roman Control von Daniel Suarez. Darin wird jede fortschrittliche Technologie von einem Bureau of Technology Control (BTC) – per fas et nefas – einkassiert und unter Verschluss gehalten, um die Menschen vor wissenschaftlichen Errungenschaften zu schützen, für die sie angeblich noch nicht bereit sind. Das BTC entwickelt sich von einer Behörde zu einer unkontrollierten Macht, die beschlagnahmte Technologien für eigene Zwecke nutzt.

Wie in diesem Szenario profitieren schon jetzt nicht alle Menschen gleichermaßen von Fortschritt und Technologie. Auch Risiken und Unsicherheiten sind nicht annähernd gleich verteilt – und dies nicht nur global, sondern auch innerhalb bislang relativ homogener, demokratischer westlicher Gesellschaften. Oder anders ausgedrückt: Wie in der Endphase von Animal Farm sind zwar alle Menschen gleich – aber manche sind (krass) gleicher.

Bei all dem Fortschritt sowie den avisierten Aufsichts- und Kontrollansätzen bleibt die Warnung aus 2001: A Space Odyssey vor unfehlbaren Maschinen, die autonom über das Schicksal von Menschen bestimmen, weiterhin bestehen. Und HALs Antwort „I'm sorry, Dave. I'm afraid I can't do that“ beherrschen die generativen KIs heute schon ganz gut. Allerdings gilt sie natürlich nicht für jeden Dave. Denn das Risiko von den Fehlentscheidungen einer KI betroffen zu sein, dürfte – wie so oft – sozial ungleich verteilt sein.

Dr. Aleksandra Sowagründete und leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Sie ist zertifizierter Datenschutzauditor und IT-Compliance-Manager. Aleksandra ist Autorin diverser Bücher und Fachpublikationen. Sie war Mitglied des legendären Virtuellen Ortsvereins (VOV) der SPD, ist Mitglied der Grundwertekommission und trat als Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages auf. Außerdem kennt sie sich bestens mit Science Fiction aus und ist bei Twitter als @Kryptomania84 unterwegs.

Alle Ausgaben ihrer Kolumne für 1E9 findet ihr hier.