Am 7. April 2026 berief der US-Finanzminister Scott Bessent und der Präsident der Federal Reserve Jerome Powell die CEOs von Bank of America, Citigroup, Wells Fargo, Goldman Sachs und Morgan Stanley nach Washington. Es war kein Treffen zur Geldpolitik. Der Grund war eine Warnung vor einem KI-Modell von Anthropic, das den Namen Claude Mythos Preview trägt und am selben Tag einer ausgewählten Gruppe von Unternehmen vorgestellt wurde.
Die alarmierungswürdige Fähigkeit ist konkret: Mythos erkennt extreme Schwachstellen in Software, Browsern und Sicherheitssystemen mit einer vorher noch nie gesehenen Präzision. Anthropic gibt dies ohne Euphemismen zu: Wenn das Werkzeug in die falschen Hände gerät, bietet es potenziellen Angreifern einen Vorteil, um Daten zu stehlen oder kritische Infrastrukturen zu stören. Daher ist der Launch eingeschränkt. Deshalb hat die Regierung die Banker kontaktiert. Und deshalb verdient dieser Fall, über die Schlagzeile zur Cybersicherheit hinaus, gelesen zu werden.
Was Mythos über das Innovationsportfolio der Banken verrät
Die fünf einberufenen Banken verwalten kollektiv mehr als 20 Billionen Dollar an Vermögenswerten und halten mehr als 40 % des Marktanteils im US-Bankwesen. JPMorgan Chase, der größte Abwesende – sein CEO Jamie Dimon konnte nicht teilnehmen – verarbeitet täglich mehr als 20 Milliarden Transaktionen. Diese Institutionen haben eine technologische Infrastruktur, die per Definition das profitabelste Ziel für jeden raffinierten Angreifer ist.
Der Sektor hat bereits teuer dafür bezahlt: Sicherheitsverletzungen kosteten im Jahr 2025 durchschnittlich 5,9 Millionen Dollar pro Vorfall, und die kumulierten Verluste des US-Bankensystems durch Cyberangriffe beliefen sich in diesem Jahr auf rund 12 Milliarden Dollar. Angesichts dieser Zahlen ist die Ankunft einer KI, die die Erkennung von Schwachstellen automatisiert, keine akademische Neuheit. Sie ist ein Machtinstrument, das verteilt, wer in der offensiven-defensiven Kriegsführung im Vorteil ist.
Das strukturelle Problem, das das Treffen am 7. April aufdeckt, ist folgendes: Die großen Banken investieren massiv in Cybersicherheit – JPMorgan gibt jährlich 15 Milliarden Dollar für Technologie aus –, tun dies jedoch aus der Logik eines gereiften Geschäfts, bei dem das Ziel besteht, den bestehenden Einkommensmotor mit standardisierten Prozessen, zyklischen Audits und regulatorischer Compliance zu schützen. Mythos passt nicht in dieses Modell. Es ist ein Werkzeug zur aktiven Erkennung von Schwachstellen, nicht zur passiven defensiven Wartung. Es korrekt zu integrieren erfordert ein organisatorisches Design, das die meisten dieser Institutionen nicht operationalisiert haben.
Anthropic baute ein Unternehmen innerhalb seines Unternehmens, die Banken nicht
Das Aufschlussreichste an diesem Fall liegt nicht in der governmental Warnung, sondern im Kontrast zwischen der Art, wie Anthropic den Launch durchführte und wie das Finanzsystem bereit ist zu reagieren.
Anthropic launchte Mythos unter einem Modell mit eingeschränktem Zugang für ausgewählte Partner. Es wurde nicht auf den Markt losgelassen. Es wurde nicht in eine bestehende Produkt-Suite integriert. Es wurde als das behandelt, was es ist: eine Fähigkeit mit hohem Potenzial und hohem Risiko, die kontrollierte Validierung erfordert, bevor sie skaliert wird. Genau dies ist das Verhalten einer Organisation, die Innovation wie eine autonome Einheit mit eigenen Betriebsregeln verwaltet, getrennt vom Kerngeschäft. Die Unterstützung von Amazon und Google mit mehr als 8 Milliarden Dollar gibt ihnen das Kapital, um diese Disziplin ohne sofortigen Monetarisierungsdruck aufrechtzuerhalten.
Die Banken hingegen operieren unter der umgekehrten Logik. Ihre Innovationsabteilungen, internen Labore und Teams für fortschrittliche Cybersicherheit müssen oft denselben Indikatoren Rechnung tragen wie jede reife Geschäftseinheit: Rentabilität pro Quartal, messbare Kostensenkungen, Einhaltung von Audits. Wenn eine Technologie wie Mythos in den Fokus rückt, ist das übliche Vorgehen, sie an die Compliance-Abteilung weiterzuleiten, auf rechtliche Genehmigung zu warten, die Kompatibilität mit Legacy-Systemen zu prüfen und, wenn sie diesen bürokratischen Übergang übersteht, sie achtzehn Monate später in einer verwässerten Version ihres ursprünglichen Potenzials zu integrieren.
Die Federal Reserve hat bereits Personal zur Aufsicht eingebettet, das die internen Systeme dieser Banken bewertet. Diese Präsenz ist nicht neu, aber der Fokus schon: Sie überprüfen nun Fähigkeiten, Systeme und Abwehrmechanismen gegen KI-gesteuerte Bedrohungen. Was sie in den meisten Fällen finden werden, ist eine Kluft zwischen der Geschwindigkeit, mit der sich die Bedrohung entwickelt, und der Geschwindigkeit, mit der die Institutionen ihre Abwehrmaßnahmen anpassen können, wenn diese innerhalb von Governance-Strukturen gefangen sind, die für andere Risiken konzipiert wurden.
Die Kosten, Exploration mit Metrics der Ausbeutung zu messen
Der globale Markt für KI in der Cybersicherheit erreichte 24,8 Milliarden Dollar im Jahr 2024 und wird bis 2030 voraussichtlich um 24,5 % jährlich wachsen. Diese Zahlen beschreiben einen Sektor, der von reaktiven Erkennungstools zu proaktiven offensiven Analyse-Systemen übergeht. Mythos ist nicht der Endpunkt dieser Kurve; es ist das Signal, dass die Kurve schneller beschleunigt ist als zuvor erwartet.
Für die Banken hat die Kosten der Nichterneuerung ihres Modells zur Verwaltung technologischer Risiken einen zweifachen Preis. Erstens, die direkten Kosten: Wenn raffinierte Angreifer auf Fähigkeiten zugreifen, die Mythos gleichkommen – sei es durch unbeschränkte Versionen, Abkömmlinge von Open-Source oder staatliche Akteure mit ähnlichen Ressourcen – vervielfacht sich die Exposition der Institutionen, die täglich Zehntausende von Milliarden Transaktionen verarbeiten, nicht-linear. Analysten schätzen, dass von KI verstärkte Angriffe die aktuellen Verluste im Sektor verdoppeln könnten.
Zweitens, die Opportunitätskosten: Banken, die es schaffen, Werkzeuge wie Mythos funktional in ihren defensiven Operationen zu integrieren – nicht als dekoratives Pilotprojekt, sondern als reale operative Fähigkeit – werden einen asymmetrischen Vorteil haben, um Schwachstellen zu erkennen und zu schließen, bevor sie ausgenutzt werden. Das senkt die Cyberversicherungsprämien, die bereits um 25 % im Jahr 2025 gestiegen sind, und verringert die Wahrscheinlichkeit von systemischen Ereignissen, die Verpflichtungen gemäß Regelungen wie Dodd-Frank auslösen.
Das Hindernis ist nicht der Wille zu investieren. Die Budgets sind vorhanden. Das Hindernis besteht darin, dass die Integration eines aktiven Erkundungswerkzeugs in eine für operative Stabilität konzipierte Struktur die Schaffung einer Einheit mit echter Autonomie, eigenen Metriken – validiertes Lernen, Geschwindigkeit der Entdeckung, Reduzierung der Angriffsfläche – und Schutz vor Genehmigungszyklen verlangt, die jede Initiative verlangsamen, die keine sichtbaren Einnahmen in der kürzeren Frist generiert.
Das Fenster der Differenzierung schließt sich schneller als man denkt
Die Abwesenheit von Jamie Dimon bei dem Treffen am 7. April bedeutet nicht strategische Nachlässigkeit seitens JPMorgan. Sie veranschaulicht jedoch eine Dynamik, die sich das Finanzsystem nicht leisten kann zu ignorieren: Wenn die Bedrohung sich in der Geschwindigkeit eines KI-Launch-Zyklus entwickelt, kann die Vorbereitung nicht davon abhängen, dass der CEO an diesen Dienstag verfügbar war.
Anthropic baute einen Launch-Mechanismus auf, der das Risiko vom Lernen trennt. Die Banken müssen einen vergleichbaren Mechanismus entwickeln, der defensive Innovation von den Zyklen ordnungsgemäßer Unternehmensführung trennt. Nicht als temporäre Ausnahme, sondern als permanentes Design. Diejenigen, die es schaffen, bevor Mythos – oder sein Nachfolger – auf den offenen Markt gelangt, werden die Kosten der Compliance in einen messbaren Wettbewerbsvorteil verwandeln. Jene, denen dies nicht gelingt, werden weiterhin höhere Prämien zahlen, um Systeme zu schützen, deren Schwachstellen sie zu spät entdecken werden.
