E-Mail-Kommunikation im Wandel: Wie Mythos das Vertrauen in E-Mails infrage stellt

Die Welt der IT-Security war bis vor kurzem schon kompliziert genug. Software wird produziert und eingesetzt, im Einsatz werden nach einiger Zeit Schwachstellen gefunden, und diese werden danach (hoffentlich) gefixt. Die Zeit zwischen dem Auffinden und dem Bekanntmachen von Schwachstellen ist der Bereich, in dem Angreifer ihre Werkzeugkästen mit angepasstem Code so einsetzen, dass die nur ihnen bekannten Schwachstellen für unerlaubten Zugriff verwendet werden. Schon mit dieser Bedrohungslage haben IT-Security-Experten alle Hände voll zu tun, um Angriffe zu vermeiden.

Mit dem Aufkommen leistungsfähiger KI-Modelle verschiebt sich diese Dynamik spürbar. Das neue KI-Modell von Anthropic hat diese „bewährte“ Logik auf den Kopf gestellt. Das Modell Mythos findet in Softwareprodukten in viel kürzerer Zeit deutlich mehr Schwachstellen, als wir es bisher für möglich gehalten haben. Dabei ist wichtig: Mythos erzeugt keine neuen Schwachstellen – diese existieren bereits. Neu ist die Geschwindigkeit, Tiefe und Kombination, mit der sie erkannt werden können.

Darüber hinaus werden Schwachstellen gefunden, die nur mittels Kombination mehrerer Codeteile funktionieren – eine Aufgabe, bei der Menschen zunehmend nicht mehr mithalten können.
Damit verschiebt sich das Kräfteverhältnis weiter: Nicht nur die Anzahl der Schwachstellen steigt, sondern auch die Geschwindigkeit, mit der sie gefunden und potenziell ausgenutzt werden können.

Gleichzeitig wäre es zu kurz gedacht, diese Entwicklung isoliert zu betrachten. Auch andere Anbieter arbeiten an vergleichbaren Fähigkeiten – etwa mit Initiativen wie Trusted Access for Cyber oder spezialisierten Security-Modellen. Es ist daher naheliegend, dass sich diese technologischen Möglichkeiten branchenweit verbreiten werden. Mythos ist damit weniger ein Einzelfall als vielmehr ein sichtbares Beispiel für eine breitere Entwicklung.

Kontrolle ist eine Annahme, keine Garantie

Anthropic gibt an, Mythos nur für einen ausgewählten Kreis von Unternehmen zur Verfügung zu stellen – obwohl es daran bereits erste Zweifel gibt. Für wen Mythos und seine Nachfolger künftig verfügbar sein werden, lässt sich aktuell nicht seriös vorhersagen. Was wir jedoch sicher sagen können: Solche Fähigkeiten werden sich verbreiten. Die Frage ist nur, wann und wie schnell.

Dabei betrifft diese Entwicklung nicht nur Angreifer. Dieselben KI-Fähigkeiten können auch auf der Verteidigungsseite eingesetzt werden. Gerade kleinere Softwarehersteller ohne eigene Red Teams erhalten so Werkzeuge, um Schwachstellen früher im eigenen Code zu erkennen und zu beheben. KI skaliert damit Security-Fähigkeiten auf beiden Seiten.

Auswirkungen auf Software und Betrieb

Für SEPPmail ist Mythos aus vielerlei Hinsicht interessant. Als Softwarehersteller nutzen wir viele Open-Source-Produkte (OpenSSL, Postfix, Fuglu etc.), die wir in Zukunft noch genauer beobachten werden. Die Release-Zyklen dieser Produkte werden kürzer werden und Hotfixes häufiger auftauchen. Als Anbieter der sicheren E-Mail-Plattform SEPPmail.cloud werden wir die Systeme öfter patchen müssen und den Betrieb strenger handhaben, um die Angriffsfläche konsequent zu verkleinern.

Der Angriffsvektor E-Mail bleibt und wird stärker

Als Betreiber eines E-Mail-Filters wird sich aus dieser Perspektive nicht viel ändern. Angreifer werden weiterhin versuchen, über E-Mails in die Infrastruktur von Unternehmen einzudringen. Neu ist jedoch die Qualität dieser Angriffe. KI wird zunehmend eingesetzt, um Täuschungsversuche zu perfektionieren – damit ein Exploit überhaupt erst erfolgreich platziert werden kann. Die E-Mail bleibt damit nicht nur relevant, sondern wird zum noch effektiveren Einfallstor.

Zero Trust – nur nicht bei der E-Mail?

Wird Mythos (das LLM) uns den Mythos (den Irrglauben) nehmen, einer elektronischen Postkarte zu vertrauen? In anderen Bereichen der IT hat sich das Zero-Trust-Prinzip längst etabliert: Nichts wird per se vertraut, alles wird überprüft. Ausgerechnet bei der E-Mail, einem der zentralen Einfallstore für Angriffe, machen wir jedoch weiterhin eine Ausnahme.

Dabei ist wichtig zu verstehen: Zero Trust bedeutet nicht, dass man einer signierten E-Mail automatisch vertrauen kann. Eine Signatur ist ein wichtiges Prüfsignal, aber kein Freipass. Vertrauen entsteht erst durch die Kombination mehrerer Faktoren:

  • Wer ist der Absender?
  • Wurde die Nachricht verändert
  • Ist der Übertragungsweg geschützt?
  • Passt die Nachricht zum erwarteten Kontext?

Technologien wie Signatur und Verschlüsselung sind daher notwendige Bausteine, aber keine alleinige Lösung.

Zeit, alte Gewissheiten zu hinterfragen

Für Unternehmen gibt es wohl keinen besseren Zeitpunkt, um sich die Frage zu stellen, was mit festgefahrenen Gewohnheiten, Meinungen und Werten passieren soll, die wir schon lange nicht mehr hinterfragt haben. Die Technologie auf der guten wie auf der bösen Seite wird immer schneller und immer besser. Es reicht längst nicht mehr aus zu hoffen, dass alles so bleiben kann, wie es ist.

Beispiele aus der Finanzbranche zeigen, dass ein Umdenken oft erzwungen wird. War es für viele Banken lange State of the Art, die Identität eines Kunden mittels Webcam, Live-Bild und Ausweisdokument sicherzustellen, zeigen uns KI-generierte Videos, Stimmen und Live-Streams bereits heute die Grenzen dieses Modells. Was gestern noch als sicher galt, kann morgen bereits obsolet sein.
Vertrauen in eine Identität wird damit wieder dorthin verlagert, wo es ursprünglich herkommt: in überprüfbare, belastbare Mechanismen oder im Zweifel zurück in die physische Welt.

Der gefährliche Irrglaube bei E-Mails

In der E-Mail-Kommunikation ist die allgemeine Norm, dass die Identität einer E-Mail durch die Absenderadresse sichergestellt ist. Ein fataler Irrtum, den wir in unserer täglichen Arbeit in der SEPPmail.cloud allzu gut kennen – der in der öffentlichen Wahrnehmung jedoch kaum hinterfragt wird.
Technisch betrachtet ist eine E-Mail ohne zusätzliche Sicherheitsmechanismen nichts anderes als eine digitale Postkarte.

Erste Realität statt ferner Zukunft

Manche Branchen haben diesen Ansatz bereits in Teilen umgesetzt (Retail). Andere sind dabei, diesen Schritt zu gehen – etwa die Gesundheitsbranche (HIN in der Schweiz) oder regulatorische Initiativen wie dem Gesundheits-Telematik Gesetz in Österreich. Die Erfahrungen dort zeigen vor allem, dass so nicht nur mehr Sicherheit, sondern auch mehr Klarheit und Vertrauen in der Kommunikation entsteht.

Fazit: Mythos zwingt uns zum Umdenken

Mythos ist ein sichtbares Beispiel für eine Entwicklung, die weit über ein einzelnes Modell hinausgeht. KI skaliert Sicherheitsfähigkeiten auf beiden Seiten – bei Angreifern ebenso wie bei Verteidigern.
Die entscheidende Frage ist daher nicht, ob wir vertrauen können, sondern wie wir Vertrauen technisch überprüfbar machen.

Bei E-Mail-Kommunikation bedeutet das: Weder das Absenderfeld noch eine einzelne Signatur reichen aus. Der Mehrwert einer Plattform wie SEPPmail liegt darin, diese Prüfung systematisch zu unterstützen. Durch Signaturprüfung, Verschlüsselung, Richtlinien, sichere Zustellung und nachvollziehbare Prozesse.