Ein Raum voller Macht und leerer Peripherie
Diese Woche lud der US-Finanzminister die führenden Führungskräfte der nordamerikanischen Banken zu einem Notfalltreffen nach Washington ein. Grund war die Bedrohung durch Cyberrisiken, die Claude Mythos darstellt – ein neu entwickeltes KI-Modell von Anthropic, das selbst als „herausragend in Bezug auf Cybersecurity-Risiken“ eingestuft wird. Das Modell besticht durch seine Fähigkeit, Software-Schwachstellen mit einer Geschwindigkeit zu identifizieren, die die traditionellen Reparaturzyklen von 30 bis 90 Tagen übertrifft. Auch der Präsident der Federal Reserve war anwesend, sowie die CEOs der größten Banken des Landes.
Das Bild ist machtvoll. Und gleichzeitig symptomatisch.
Ich habe keinen Zugang zu der Liste der Teilnehmer, da diese nicht veröffentlicht wurde. Doch das Muster solcher Notfallberatungen im US-Finanzsystem ist seit Jahrzehnten konstant: Es werden die Leute eingeladen, die bereits im Kreis sind, die dieselte regulatorische Sprache sprechen, die an denselben Business Schools ausgebildet wurden und über die gleichen Strukturen aufgestiegen sind. Ein Krisenraum wird mit denselben Personen konstruiert, die kollektiv die Krise nicht vorhergesehen haben.
Das ist kein moralisches Urteil. Es ist ein diagnostischer Befund zur organisatorischen Architektur.
Führungsteams, die denselben Hintergrund, Werdegang und Referenzrahmen teilen, tendieren dazu, ihre blinden Flecken zu teilen. Und blinde Flecken können nicht von innen erkannt werden; sie werden von der Peripherie aus erkannt. In der Cybersicherheit, die auf KI angewandt wird, umfasst die Peripherie unabhängige Forscher, Entwicklergemeinschaften, die bereits in technischen Foren wie Hacker News über die Fähigkeiten von Mythos diskutierten, lange bevor das Finanzministerium jemanden einlud, sowie Experten für offensive Sicherheit, die außerhalb der traditionellen Unternehmensgrenzen operieren. Diese verteilte Intelligenz saß nicht an diesem Tisch.
Das Risiko, das Anthropic sah und die Banken nicht modellierten
Anthropic brachte Claude Mythos auf den Markt, wissend, was sie hatten. Das Unternehmen warnte selbst vor seinen Fähigkeiten zur Identifizierung von Schwachstellen. Das verdient analytische Aufmerksamkeit, da es bedeutet, dass das Risiko nicht plötzlich aufkam: Es wurde von seinem eigenen Schöpfer vor der Markteinführung dokumentiert. Fehlte es an Informationen, sondern an dem Mechanismus, um sie zu verarbeiten und in die Risikomodelle der Finanzinstitute zu integrieren.
Die US-Banken investieren erhebliche Summen in Cybersicherheit. Allein JPMorgan Chase gibt in seinem Jahresbericht für 2025 eine jährliche Investition von 15 Milliarden Dollar an. Das gesamte Finanzsystem sieht sich schätzungsweisen jährlichen Verlusten durch Cybervorfälle in Höhe von 12,5 Milliarden Dollar gegenüber, basierend auf Daten von IBM für 2025. Und dennoch kam die institutionelle Antwort auf ein KI-Modell mit automatisierten Scanfunktionen für Schwachstellen reaktiv: erst die Markteinführung, dann der Alarm, dann das Treffen.
Dieses Muster interessiert mich besonders zur Analyse. Nicht die Technologie an sich, sondern die Mechanik, wer Zugang zu den frühen Signalen hat und wer sie verarbeitet.
Wenn das Team, das die Risikoprotokolle gestaltet, eine einzigartige Sicht auf die technologische Welt teilt – aufgebaut von der Mitte des regulierten Finanzsystems –, wird seine Fähigkeit, signale zu lesen, die an den Rändern der Softwareentwicklung entstehen, strukturell limitiert. Die Foren, in denen die Fähigkeiten von Mythos im Hinblick auf agierende Aufgaben diskutiert wurden, sind nicht marginale Räume: sie sind die Räume, in denen sich die technische Meinung bildet, bevor sie in Analystenberichte gelangt. Diese Stimmen einzubeziehen ist kein Zeichen der Offenheit; es ist ein Informationsvorteil.
Darüber hinaus wirft das Design des Modells selbst eine Frage auf, die keine Regulierung bislang genau beantwortet hat: Wer saß am Tisch, als beschlossen wurde, Mythos mit diesen Fähigkeiten auf den Markt zu bringen, und welche Perspektiven bezüglich des systemischen Einflusses auf kritische Infrastrukturen waren in diesem Raum vertreten? Anthropic hat einen Fokus auf Sicherheit, der sie von anderen Akteuren in der Branche unterscheidet, doch dass das Modell von seinen eigenen Schöpfern als ohnegleichen eingestuft wurde und dennoch auf den Markt kam, deutet darauf hin, dass die internen Governance-Mechanismen zur Bewertung externer Effekte in kritischen Sektoren wie der Bankenbranche noch reifen.
Wenn das Vertrauensnetz nicht rechtzeitig ankommt
Was dieses Notfallmeeting ebenfalls offenbart, ist die Fragilität der Netzwerke, die das Finanzsystem aufgebaut hat, um technologische Grenzrisiken zu managen. Ein robustes Netz aus sozialem Kapital in der Cybersicherheit wird nicht erst nach dem Auftauchen einer potenziellen Bedrohung aktiviert; es arbeitet in Echtzeit, da es auf genuinen Austauschbeziehungen zu technischen Gemeinschaften, unabhängigen Sicherheitsermittlern und Bedrohungsintelligence-Teams aufbaut, die außerhalb der traditionellen Unternehmensstrukturen leben.
Die Einladung des Finanzministeriums war, in Bezug auf die Netzwerkarquitektur, eine zentralisierte Antwort auf ein Problem, das bereits in dezentralen Knoten sichtbar war. Die Geschwindigkeit, mit der Claude Mythos Schwachstellen aufdecken kann – laut eigenen US-Beamten schneller, als menschliche Teams sie patchen können – ist für jemanden, der die Benchmarks von agierenden Modellen überwacht, keine technische Überraschung. Es war eine logische Projektion der Entwicklungsmöglichkeiten, die die Entwickler in vergleichenden Bewertungen selbst veröffentlicht haben.
Die Banken, die im neuen Zyklus der KI-basierten Bedrohungen am besten abschneiden werden, sind nicht die mit dem höchsten Budget für Cybersicherheit. Es sind jene, die frühzeitige Intelligenzkanäle mit den Gemeinschaften aufgebaut haben, in denen dieses Wissen generiert wird, bevor es offiziell wird. Das erfordert eine Art von institutioneller Offenheit, die traditionelle finanzielle Hierarchien nicht von Natur aus fördern: Es erfordert, nicht-konventionelle technische Profile in Rollen zu integrieren, die echten Zugang zur Entscheidungsfindung haben, und zwar nicht nur als externe Berater, die hinzugezogen werden, nachdem das Problem bereits besteht.
Der Finanzsektor hat 28 Billionen Dollar an US-Einlagen unter Verwaltung, laut FDIC-Daten für das erste Quartal 2026. Ein einziges systemisches Ereignis könnte Verluste durch Ansteckung modelliert zwischen 100 und 500 Milliarden Dollar verursachen, gemäß den Stresstests der Federal Reserve von 2025. Angesichts dieser Exposition ist die Kosten für das Fehlen der richtigen Intelligenz im Raum keine Frage des Rufs. Es ist eine Frage des Kapitals.
Diversität des Denkens als Informationsvorteil
Die Unternehmensführung, die zu dieser Einsicht gelangt, hat wahrscheinlich bereits ein Team für Cybersicherheit. Was sie selten hat, ist ein formaler Mechanismus, damit die Signale, die in der technischen Peripherie zirkulieren, auf die Ebene gelangen, wo Risikobewertungen vorgenommen werden, bevor sie zu Krisen werden.
Das Treffen im Finanzministerium ist ein Symptom dieses Defizits. Nicht aus institutioneller Böshaftigkeit, sondern aus einer Netzwerkarquitektur, die darauf ausgelegt ist, die Welt zu managen, die wir bereits kennen, nicht die, die sich herausbildet. Claude Mythos ist nicht das letzte Werkzeug mit dualen Fähigkeiten, das die Grenzen der finanziellen Infrastruktur drängen wird. Der Zyklus wird sich wiederholen, und die Geschwindigkeit zwischen Markteinführung und operativer Bedrohung wird sich verdichten.
Die strukturelle Antwort besteht nicht darin, mehr Cybersicherheitsanalysten mit denselben Profilen einzustellen. Es geht darum, die Intelligenznetze nach unterschiedlichen Prinzipien neu zu gestalten: heterodoxes Denken in technologischen Risikogremien einzubeziehen, dauerhafte Kanäle zu independent ermittleurnden Gemeinschaften aufzubauen und Eskalationsmechanismen zu gestalten, die nicht davon abhängen, dass das Finanzministerium ein Treffen einberuft, damit die Informationen zu den Entscheidungsträgern gelangen.
Die Vorstände, die heute alle Plätze mit Führungskräften mit nahezu identischen Werdegängen besetzen, setzen darauf, dass das nächste Risiko dem vorherigen ähnlich sehen wird. Diese Wette hat einen Preis, der bereits auf dem Markt notiert wird: die Aktien des Cybersicherheitssektors stiegen am 10. April um 8%. Jemand profitiert bereits von dem blinden Fleck, den der Raum des Finanzministeriums zu spät erkannt hat.
Betrachten Sie Ihr nächstes technologisches Risiko-Gremium mit derselben Kühle, die ein Prüfer auf eine Bilanz richtet: Wenn alle, die sitzen, denselben Weg gegangen sind, der Komitee hat keine Diversität der Signale, sondern einen Konsens, der sich hinter einer Analyse verbirgt, und das macht es zum ersten Ziel, das eine aufkommende Bedrohung ausnutzen wird.
