Die Europäische Zentralbank (EZB) hat in der Woche des 25. Mai 2026 Banken aus dem Euro-Raum, die unter ihrer Aufsicht stehen, einberufen, um die mit grundlegenden KI-Modellen verbundenen Cybersicherheitsrisiken zu behandeln - an vorderster Front Mythos, das Werkzeug von Anthropic, das in das Project Glasswing-Programm integriert ist. Am 22. Mai 2026 bleiben die Verhandlungen zwischen der Europäischen Union und Anthropic über einen Zugang europäischer Banken zu Mythos in der Sackgasse, wie Crypto Briefing berichtete: Die von Frankfurt beaufsichtigten Institute sind denselben Software-Schwachstellen ausgesetzt wie ihre amerikanischen Konkurrenten, ohne über das von der EZB geforderte Erkennungswerkzeug zu verfügen, das sie in ihre Cyberhaltung integrieren sollen. Die DORA-Verordnung, die seit dem 17. Januar 2025 gilt, setzt einen harmonisierten Rahmen für das Management von IKT-Risiken, sieht jedoch keinen souveränen Zugang zu einem offensiven KI-Tool von Drittanbietern vor - die europäische Aufsicht drängt ihre Banken, ohne den Hebel zu besitzen, den sie betätigen sollen. „Es gibt eine ganze Reihe von Cybersicherheitsproblemen, an denen wir seit Jahren mit den Banken arbeiten, die alle weiterhin gültig sind, aber angesichts der KI-Fortschritte müssen sie schneller behandelt werden“ (freie Übersetzung), sagte Frank Elderson, Mitglied des Direktoriums der EZB und stellvertretender Vorsitzender des Aufsichtsrats, gegenüber dem Financial Times bis zum 14. Dezember 2028. Das Werkzeug bleibt auf etwa vierzig Organisationen beschränkt, hauptsächlich amerikanische - keine europäische Bank steht auf der Liste.
Eine Beschleunigung des Ausnutzungszyklus von Schwachstellen
Die Dringlichkeit von Elderson ergibt sich daraus, dass Mythos das operationelle Gleichgewicht zwischen Angriff und Verteidigung verschiebt. Das Werkzeug ist in der Lage, Tausende von Zero-Day-Schwachstellen in den Systemen der Banken zu erkennen, laut Informationen, die von The Next Web basierend auf dem Interview mit Elderson in der FT berichtet wurden. Der stellvertretende Vorsitzende des Aufsichtsrats präzisierte, dass ein Software-Patch nun innerhalb von dreißig Minuten rückentwickelt werden kann, im Vergleich zu mehreren Wochen zuvor. Diese Verkürzung der Zeitspanne zwischen der Veröffentlichung eines Patches und der Waffe, die die behobene Schwachstelle ausnutzt, verändert die Dynamik der Behebung qualitativ: Das Zeitfenster, während dem ein Institut nach der Veröffentlichung eines Patches verwundbar bleibt, hat sich deutlich verkürzt. Laut der offiziellen Liste von Anthropic gehören zu den Startpartnern des Programms AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, die Linux Foundation, Microsoft, Nvidia und Palo Alto Networks - eine Gruppe von hauptsächlich nordamerikanischen Akteuren. Reuters dokumentierte, dass amerikanische Banken mit Zugriff dringende Korrekturen vornehmen, die zu Serviceunterbrechungen für ihre Kunden führen können. Die Zugriffsasymmetrie zwischen integrierten amerikanischen Institutionen und den im Programm nicht vertretenen Eurozonenbanken ist derzeit eine Tatsache - kein Vorwurf.
Ein Software-Patch kann nun in etwa dreißig Minuten rückentwickelt werden - im Vergleich zu mehreren Wochen zuvor.
Laut Frank Elderson, Mitglied des Direktoriums der EZB, zitiert von der Financial Times (weitergeleitet von The Next Web, 25. Mai 2026).
DORA setzt die Pflicht, nicht den Hebel
Der Rahmen, den die EZB aktiviert, wird durch die europäische Verordnung 2022/2554 vom 14. Dezember 2022 über die digitale operationelle Resilienz des Finanzsektors, genannt DORA, festgelegt, die am 17. Januar 2025 ohne Übergangsfrist für etwa zwanzig Kategorien von Finanzinstituten in Kraft trat. Ihre Artikel 5 bis 16 legen einen harmonisierten Rahmen für das Management von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) fest; Artikel 26 organisiert die threat-led penetration testing (TLPT), Bedrohungsbasierte Penetrationstests. Keine Bestimmung der Verordnung sieht jedoch einen souveränen europäischen Zugang zu einem offensiven KI-Tool von Drittanbietern vor - dies ist durch die Lektüre des Textes selbst dokumentierbar. Der Einheitliche Aufsichtsmechanismus (SSM) verfügt, laut dem Jahresbericht 2025 der Bankenaufsicht der EZB, über zwingende Maßnahmen, wenn wesentliche IKT-Schwächen festgestellt werden: Der Bericht erinnert daran, dass in einem solchen Fall der Aufseher Pläne zur Behebung verlangen kann, die mit Meilensteinen, Fristen und zugewiesenen Ressourcen versehen sind. Bei den offensiven Tests unterstützt der TIBER-EU-Rahmen (Threat Intelligence-Based Ethical Red-teaming, europäisches System für offensive Tests durch rote Teams), aktualisiert, um sich an DORA anzupassen, die Durchführung von Penetrationstests im Einklang mit Artikel 26 DORA. Dennoch regeln diese Instrumente das Verhalten der Banken, ohne ihnen das Erkennungswerkzeug zur Verfügung zu stellen, das die EZB heute verlangt, dass sie es in ihre Cyberstellung integrieren.
Ein amerikanischer Präzedenzfall von sechs Wochen, ein Schweigen der europäischen Sektorbehörden
Die Einberufung durch die EZB erfolgt sechs bis sieben Wochen nach einer vergleichbaren Initiative auf der anderen Seite des Atlantiks. Laut Reuters, weitergeleitet von AOL, riefen am 7. April 2026 Finanzminister Scott Bessent und der Vorsitzende der Federal Reserve Jerome Powell zu einem unangekündigten Dringlichkeitstreffen in Washington die Führungskräfte der systemrelevanten amerikanischen Banken zusammen - Jane Fraser von Citigroup, Ted Pick von Morgan Stanley, Brian Moynihan von Bank of America. Der amerikanische Vorsprung beruht nicht auf einem überlegenen Regulierungsrahmen: Das NIST Cyber AI Profile, das auf dem AI Risk Management Framework 1.0 basiert, bleibt ein freiwilliger Rahmen, und der amerikanische Bankensektor hat kein statutarisches „Zugangsrecht“ zu Mythos. Die Asymmetrie zwischen Washington und Frankfurt resultiert aus einer kommerziellen Entscheidung von Anthropic über den Umfang von Project Glasswing, nicht aus einer Normenhierarchie. Auf Seiten der europäischen Sektorbehörden haben die Europäische Bankenaufsichtsbehörde (EBA) und die Agentur der Europäischen Union für Cybersicherheit (ENISA) bisher keine spezifischen Leitlinien zur offensiven KI vom Typ Mythos in 2025-2026 veröffentlicht - die EBA-Richtlinien zur IKT-Risikomanagement, die 2025 überarbeitet wurden, um sich an DORA anzupassen, behandeln nicht spezifisch die offensive KI vom Typ Mythos. Der Engpass liegt im Artikel 26 der Verordnung 2022/2554: Er organisiert die Bedrohungsbasierten Penetrationstests (TLPT), zwingt die Aufsichtsbehörden jedoch nicht, den getesteten Einheiten den souveränen Zugang zu den erforderlichen Werkzeugen zu garantieren - diese Lücke wird weder von DORA noch von den 2024 von den europäischen Aufsichtsbehörden (ESA) angenommenen technischen Regulierungsstandards geschlossen.
Der Blick von ActuIA:
Frankfurt hält einen Rahmen, kein Werkzeug. Dies ist die Interpretation, die die Einberufung vom 25. Mai erzwingt: Die EZB kann Pläne zur Behebung fordern, Meilensteine, Penetrationstests im Einklang mit TIBER-EU - sie kann den beaufsichtigten Banken jedoch nicht den Schwachstellendetektor liefern, zu dem Anthropic den Zugang auf etwa vierzig nordamerikanische Akteure beschränkt. Der aufsichtsrechtliche Druck ist real; der operationelle Hebel liegt anderswo. Die Diagnose ist nicht neu: Die ENISA Threat Landscape 2025, veröffentlicht im Oktober 2025, dokumentierte bereits die Professionalisierung der offensiven KI (Xanthorox AI und andere) und die Beschleunigung des Ausnutzungszyklus von Schwachstellen auf europäischer Ebene - ohne dass eine souveräne industrielle Antwort folgte. Für die Risikomanagement- und Cyberabteilungen der beaufsichtigten Institute ist die Arbeit, die vor dem erwarteten Bericht des FSB im Juni 2026 zu leisten ist, konkret: Jetzt die Lücke zwischen den tatsächlich verfügbaren Erkennungsfähigkeiten auf europäischer Seite und den aufsichtsrechtlichen Erwartungen der EZB zu dokumentieren - es ist diese Lücke, und nur sie, die im Falle einer Inspektion schützt.