Das Unheimlichste an Anthropic ist, wie gut sie die Angst zum Klingen bringen

Veröffentlicht April 27, 2026 Zuletzt aktualisiert am 6. Mai 2026

Anthropic hat das Herzinfarkt-Marketing perfektioniert. Es kommt kein Defibrillator.

Wenn Sie in der Sicherheitsbranche arbeiten, haben Sie ein Gespür für Marketing mit Herz entwickelt. Sie haben schon an Präsentationen von Anbietern teilgenommen, bei denen die Bedrohungslage mit jeder Folie düsterer wird, bis zu dem Moment, in dem das Produkt vorgestellt wird. Sie kennen den Schachzug.

Anthropic hat es auch gelernt, sie betreiben eine ausgefeilte Version davon. Aber sie verkaufen Ihnen nicht das Heilmittel, sondern sorgen nur dafür, dass Ihre Herzfrequenz erhöht bleibt.

Wenn Anthropic ein neues Modell herausbringt, steht die Sicherheitsdokumentation an erster Stelle. Vor den Fähigkeits-Benchmarks und vor der Preisgestaltung gibt es eine Modellkarte. Und auf dieser Modellkarte steht in sorgfältiger Fachsprache, dass dieses Modell daraufhin geprüft wurde, ob es Bedrohungsakteuren, die Cyberangriffe oder in einigen Fällen Angriffe auf kritische Infrastrukturen durchführen, einen “bedeutenden Auftrieb” geben kann.

Dann wird das Modell trotzdem ausgeliefert.

Das ist nicht zufällig. Es tut mehrere Dinge auf einmal, es signalisiert Ernsthaftigkeit und kommt der Kritik zuvor. Damit wird eine ganz bestimmte Vorstellung in Ihrem Kopf verankert: Diese Sache ist mächtig genug, um gefährlich zu sein, was bedeutet, dass sie auch mächtig genug sein muss, um nützlich zu sein.

Was bedeutet “Uplift” in diesem Zusammenhang. Uplift ist ein echter Begriff im Zusammenhang mit nationaler Sicherheit und Biosicherheit. Er bedeutet, dass ein Gegner etwas erhält, was er ohne Ihre Hilfe nicht hätte erreichen können. Die Bedrohungsgrenze wird angehoben. Anthropic hat den Begriff übernommen und ihn in die für den Verbraucher bestimmte Modelldokumentation aufgenommen, was eine bemerkenswerte Entscheidung ist.

Wenn ein Unternehmen einen Bericht veröffentlicht, in dem es heißt, dass sein Modell auf sein Cyberwaffenpotenzial getestet wurde, liest der durchschnittliche Unternehmenskäufer das nicht und denkt “besorgniserregend”. Er liest es und denkt: “Dieses Ding muss wirklich fähig sein”.”

Es fungiert als ein in Sicherheitssprache gekleidetes Fähigkeitssignal. Das ist clever. Es ist aber auch ein wenig manipulativ, je nachdem, wie wohltätig man sich fühlt.

Die verantwortungsvolle Skalierungspolitik als Marketing-Infrastruktur

Anthropics Responsible Scaling Policy führte einen Rahmen von KI-Sicherheitsstufen ein, die von ASL-1 aufwärts reichen. Jede Stufe stellt eine Schwelle für eine potenzielle Gefahr dar. Je leistungsfähiger die Modelle werden, desto höher sind auch die Sicherheitsanforderungen.

Dies wird als vorsorgliches Regieren dargestellt. Es funktioniert auch als Befreiungsnarrativ. Jedes neue Modell wird an diesem Maßstab gemessen. Jede Ankündigung von Fähigkeiten enthält die implizite Botschaft, dass Anthropic die Gefahr bewertet und entschieden hat, dass die Kontrollen ausreichend sind.

Was man selten sieht, ist eine externe Validierung dieser Bewertungen. Anthropic bewertet seine eigenen Modelle anhand seines eigenen Rahmens und berichtet über die Ergebnisse. Es gibt einen Anreiz, die Sicherheit ernst zu nehmen, was nicht dasselbe ist wie ein Anreiz, tatsächlich Probleme zu finden. Diese Unterscheidung ist wichtig, und sie wird in der Berichterstattung fast nie gemacht.

Der Fall Firefox: eine Studie über die Arithmetik der Schlagzeilen

Das deutlichste Beispiel für die Anwendung dieses Spielbuchs ist Die Mythos-Ankündigung von Anthropic und der darauf folgende Mozilla-Post.

Mozilla berichtete in einem Beitrag mit dem Titel “The zero-days are numbered”, dass 271 Sicherheitslücken in Firefox 150 im Zusammenhang mit Mythos gefunden wurden. Eine bemerkenswerte Behauptung. Aber ein Forscher, der die tatsächliche Commit-Historie, die Verweise auf Empfehlungen und verlinkte Bugs durchforstet hat, fand ein wesentlich düstereres Bild.

Beginnen Sie mit der Budgetierung. Die oft zitierte Zahl “unter $20.000” bedeutet nicht, dass Mythos für diesen Preis einen einzigen verheerenden Fehler gefunden hat. Laut Anthropic's eigenem Bericht deckte dieses Budget einen großen Suchprozess mit ungefähr tausend gerüsteten Läufen und mehreren Dutzend Funden ab. Immer noch bemerkenswert. Es ist nur eine ganz andere Behauptung als die, die die Leute wiederholt haben.

Dann ist da noch das Problem mit der Buchhaltung. Der Sicherheitshinweis zu Firefox 150 entspricht nicht einer einzigen sauberen Liste von 271 Fehler-IDs, die nur Firefox betreffen. Die zusammengefassten CVE-Kategorien decken auch Thunderbird- und ESR-Versionen ab, nicht nur Firefox 150. Mozillas Zahl von 271, Bugzilla-Fehler-IDs, CVEs aus dem Advisory und individuelle Übertragungen sind nicht die gleiche Einheit.

Und dann ist da noch die grundlegendere Frage: Welche Art von Fehlern wurden tatsächlich gefunden?

Bei der Ausnutzung von Browsern gibt es ein breites Spektrum zwischen einem harmlosen Korrektheitsfehler, einem Fehler, der nur zum Absturz führt, einem Fehler, der eine primitive Speicherbeschädigung verursacht, und einem Fehler, der sich zu einer zuverlässigen Exploit-Kette entwickeln lässt. Wenn man dieses Spektrum in einer einzigen Schlagzeile zusammenfasst, erhält man zwar Aufmerksamkeit, verliert aber an Präzision.

Die wohlwollendste Interpretation der Firefox 150-Daten ist, dass Mythos sehr gut darin zu sein scheint, verdächtige Muster in großem Umfang aufzudecken. Das ist bereits wertvoll. Aber die öffentlichen Beweise unterstützen nicht die stärkste Version der Behauptung, dass KI in der Schwachstellenforschung angekommen ist.

Ein Detail, das nicht in die Schlagzeilen geriet: Ein Team erklärte öffentlich, dass seine RCE- und Sandbox-Escape-Kette nach der Veröffentlichung immer noch aktiv war. Viele Korrekturen wurden vorgenommen. Das offensive Problem wurde nicht gelöst.

Anthropic hat die Bewertung definiert. Anthropic berichtete über die Ergebnisse. Mozilla verstärkte die Darstellung. Die Sicherheitsgemeinschaft musste auf Bugzilla archäologische Nachforschungen anstellen, um herauszufinden, was tatsächlich passiert war.

Das Bedrohungsmodell hat ein Problem

Das ist es, was das Angstmarketing immer wieder suggeriert: dass das Hauptrisiko darin besteht, dass ein ausgeklügelter Bedrohungsakteur Zugang zu Claude erhält und ihn nutzt, um etwas zu tun, was er vorher nicht tun konnte.

Diese Prämisse verdient eine Überprüfung, denn sie ist mit viel Arbeit verbunden und lässt sich nicht ohne weiteres aufrechterhalten.

Das eigentliche Ergebnis der meisten Anthropic-Bewertungen lautet nicht: “Claude ermöglicht Cyberangriffe auf Nationalstaatsebene”. Sie lautet eher: “Claude kann jemandem, der bereits über einschlägige Kenntnisse verfügt, helfen, bestimmte Aufgaben etwas schneller zu erledigen.” Das ist ein echtes Problem am unteren Ende des Spektrums der Bedrohungsakteure: Skript-Kiddies, die eine Stufe aufsteigen, Ransomware-Akteure, die die Aufklärung automatisieren, kleinere kriminelle Gruppen, denen zuvor die technische Tiefe für bestimmte Operationen fehlte.

Darüber lässt sich reden. Es ist nur nicht die filmische Geschichte, die erzählt wird.

Denn die Gegner, auf die Anthropic in seinem Bedrohungsrahmen verweist, sind staatlich gesponsert, ausgeklügelt, hartnäckig und haben es auf kritische Infrastrukturen abgesehen - diese Akteure warten nicht auf Claude. Hier ist der Teil, der in den Pressemitteilungen nie erwähnt wird: APTs haben bereits ihre eigenen Grenzmodelle.

Die Gegner, vor denen Anthropic Sie warnt, brauchen Claude nicht.

Bedrohungsakteure aus China haben Zugang zu kommerziellen Modellen, sowohl zu Modellen der Grenzklasse, die im Inland entwickelt wurden, als auch zu Modellen, die nicht den westlichen Nutzungsrichtlinien entsprechen. Dem russischen Staat nahestehende Gruppen haben Zugang zu Modellen, die ohne Jailbreak-Maßnahmen, ohne Tarifbeschränkungen und ohne Nutzungsbedingungen gebaut wurden. Die PLA hat in speziell angefertigte Modelle investiert offensive KI-Infrastruktur seit Jahren. Das sind keine Schauspieler, die Claude Pro abonnieren und hoffen, dass die Leitplanken nicht ausgelöst werden.

Die geopolitische Realität ist, dass die fähigsten Gegner die Entwicklung von souveräner KI gezielt vorangetrieben haben, um die Abhängigkeit von westlichen Modellen zu vermeiden. Sie haben verstanden, bevor die meisten Menschen darauf aufmerksam wurden, dass der Zugang zu KI ein strategischer Vorteil sein würde, und sie haben entsprechend gehandelt.

Wenn Anthropic also davor warnt, dass Claude hochentwickelten Bedrohungsakteuren einen bedeutenden Auftrieb verschaffen könnte, und dann seinen Sicherheitsrahmen als verantwortliche Reaktion anpreist - fragen Sie sich, wen dieses Bedrohungsmodell eigentlich beschreibt? Es beschreibt nicht die Akteure, die die Fähigkeit und die Absicht haben, kritische Infrastrukturen anzugreifen. Diese Akteure lassen ihre eigenen Schlussfolgerungen auf ihrer eigenen Hardware laufen, ohne dass Nutzungsrichtlinien in Sicht sind.

Das Risiko des Aufschwungs durch kommerzielle Modelle ist real, aber es liegt am unteren Ende des Fähigkeitsspektrums. Das ist ein legitimes Sicherheitsanliegen. Es rechtfertigt nur nicht die von Anthropic verwendete Formulierung, die durchgängig impliziert, dass Bedrohungsakteure der obersten Ebene der relevante Bezugspunkt sind.

Für wen ist das Fear Marketing eigentlich gedacht?

Das Framing der Cybersicherheitsbedrohung ist für drei Zielgruppen am schwierigsten.

CISOs und Sicherheitsverantwortliche, die bereits in Bedrohungsvektoren denken und einen Anbieter schätzen, der diese Sprache spricht. 

Risiko- und Compliance-Teams in Unternehmen, die einen dokumentierten Nachweis benötigen, dass jemand an die Gefahr gedacht hat, bevor der Vertrag unterzeichnet wurde. 

Politiker und Journalisten, die das Sicherheitsnarrativ verstärken, weil es für eine bessere Berichterstattung sorgt als Benchmark-Zahlen.

Alle drei sind für Anthropic kommerziell wertvoll. Sicherheitskunden in Unternehmen sind genau die, die sie in der Produktion haben wollen. Politische Glaubwürdigkeit bedeutet Einfluss auf die KI-Governance, was wiederum einen Wettbewerbsvorteil in einem regulatorischen Umfeld bedeutet, das sich noch im Aufbau befindet.

Angst öffnet, wenn man vorsichtig damit umgeht, Türen.

Die Sache, die es schwer macht, dies abzulehnen

Die zugrundeliegende Sorge ist nicht konstruiert. KI wird für offensive Operationen eingesetzt. Die Bedrohungslage ist real und wird immer größer. 

Die Forschung von Anthropic ist oft wirklich interessant.

Die zugrundeliegende Sorge ist nicht konstruiert. KI wird für offensive Operationen eingesetzt. Die Bedrohungslage ist real und nimmt zu. Einige der Forschungsarbeiten von Anthropic sind wirklich interessant, und der defensive Wert von Werkzeugen wie Mythos ist real, auch wenn der Rahmen, der sie umgibt, nicht ehrlich ist.

Das Problem ist nicht, dass sie lügen. Das Problem ist vielmehr, dass sie reale Risiken so auswählen und darstellen, dass sie konsequent ihrer kommerziellen Positionierung dienen. Die Nuancen, welche Bedrohungen real und welche spekulativ sind, wer die realistischen Bedrohungsakteure sind und worauf sie bereits Zugriff haben, werden jedes Mal abgeflacht. Was übrig bleibt, ist ein Bild, das die Gefahr größer und diffuser erscheinen lässt, als es die Fakten belegen, und das Anthropic und seine Freunde als die einzigen Erwachsenen im Raum erscheinen lässt.

In der Zwischenzeit ist GPT 5.5 wahrscheinlich bereits in der Lage, dies zu tun, aber es ist im Stillen gelandet. Die Gegner, auf die man sich beruft, lassen wahrscheinlich ihre eigenen Grenzmodelle auf einer hoheitlichen Infrastruktur laufen, wobei sie andere kommerzielle Modelle verwenden, denen die gerade ausgelieferte Modellkarte völlig gleichgültig ist. Das ist Herzinfarkt-Marketing in seiner raffiniertesten Form. Kein Gegengift erforderlich. Man muss nur den Puls hochhalten und den Namen im Gedächtnis behalten, das ist eine Meisterklasse des Marketings. Bis jemand die Bugzilla-Commits überprüft, ist die Positionierung bereits erfolgt.

Ressourcen: