Kontinuierliche operative Resilienz im Zeitalter von Frontier-KI

Aus dem Büro des Chief Information Security Officer, Smartstream Technologies

Smartstream entwickelt seine Sicherheitsstrategie unter DORA weiter, während KI die Bedrohungslandschaft verändert

Anfang dieses Jahres kündigte Anthropic Project Glasswing an, das Programm für vertrauenswürdige Organisationen hinter Claude Mythos – einem Frontier-KI-Modell, das nachweislich in der Lage ist, bislang unbekannte Software-Schwachstellen autonom in einem Umfang und Tempo zu entdecken, die zuvor nicht erreichbar waren. Für den Finanzdienstleistungssektor ist diese Fähigkeit ein zweischneidiges Schwert: Sie beschleunigt legitime Sicherheitsforschung und setzt zugleich die Verteidiger unter beispiellosen Zeitdruck. Schwachstellen, die früher nur durch langwierige menschliche Forschung auffindbar waren, können nun innerhalb von Stunden statt Monaten aufgedeckt und potenziell als Waffe eingesetzt werden.

Dieser Wandel fällt mit dem vollständigen Inkrafttreten des Digital Operational Resilience Act (DORA) im gesamten europäischen Finanzsektor zusammen. DORA betrachtet Resilienz nicht als Projekt, sondern als kontinuierliche Verpflichtung über fünf ineinandergreifende Säulen hinweg: IKT-Risikomanagement, Incident-Reporting, Resilienztests, Drittparteienrisiko und Informationsaustausch. Der Maßstab für „gut“ steigt mit der Bedrohungslandschaft – und die Bedrohungslandschaft hat sich gerade verändert.

Die Verfasser von DORA haben eine Welt antizipiert, in der sich Bedrohungen schneller entwickeln als jährliche Audit-Zyklen. Das Regelwerk ist bewusst auf kontinuierliches Monitoring, kontinuierliches Testen und kontinuierliche Drittparteienaufsicht ausgelegt – nicht auf periodische Zertifizierung. KI-gestützte Schwachstellenentdeckung bestätigt diese Designentscheidung. Eine Momentaufnahme ist bereits veraltet, wenn sie eingereicht wird.

Für Smartstream und unsere Finanzdienstleistungskunden lautet die entscheidende Frage nicht mehr „Sind wir compliant?“, sondern „Sind wir heute compliant – und können wir es morgen nachweisen?“ Unsere Sicherheits- und Engineering-Programme sind darauf ausgerichtet, beide Fragen mit Ja zu beantworten.

Die Branche hat inzwischen einen Namen für das, was KI-getriebene Entdeckung im großen Maßstab ermöglicht: Vulnpocalypse – eine Flut von Schwachstellen, die schneller eintrifft, als traditionelle Behebungszyklen sie aufnehmen können. Smartstream setzt als bewusste Antwort auf dieses Szenario auf eine Eindämmungsstrategie: Wo Patchen die Entdeckung nicht überholen kann, muss Eindämmung es tun. Resilienz wird in dieser Ära in die Architektur hinein konstruiert – nicht allein aus Perimeter-Verteidigung abgeleitet.

„Compliance ist das Minimum. Eindämmung ist die Wette. Resilienz ist die Disziplin.“

Smartstream verfügt über eine klare Strategie für die Bedrohungslandschaft der Mythos-Ära. Nicht jedes Element ist heute bereits vollständig produktiv, und wir sind damit offen: Umsetzung ist eine kontinuierliche Disziplin, keine Ziellinie. Die Richtung ist vorgegeben, und der operative Takt ist etabliert. Sechs Prinzipien verankern die Strategie, jeweils mit Zuordnung zu einer DORA-Säule:

1. KI-gestütztes Bedrohungsbewusstsein. Unsere Strategie integriert Frontier-KI-Fähigkeiten, einschließlich codebasierter Analysen auf Basis großer Sprachmodelle, in die Schwachstellenentdeckung sowie in KI-basiertes Threat Modeling. Die Einführung läuft, und die Absicht ist eindeutig: kontextbezogene Logikfehler und neuartige Ausnutzungsmuster sichtbar zu machen, die signatur- und regelbasierte Scanner nicht erkennen – bevor Angreifer sie mit denselben Techniken entdecken. Das ist „KI gegen KI“ – die defensive Antwort auf eine Angreiferklasse, die nun selbst KI-gestützt ist.
2. Kontinuierliches Threat Exposure Management. Unsere Strategie geht über eine reine CVSS-Bewertung hinaus und setzt auf ein zusammengesetztes Risikomodell, das intrinsische Schwere, Prognosen zur realen Ausnutzbarkeit, Kontext der Exposure-Kette, Identitäts-Exposure und Kritikalität der Assets kombiniert. Ziel ist es, Behebungsaufwände zuerst auf die kleine Teilmenge von Findings zu lenken, die in unserer Umgebung tatsächlich ausnutzbar sind – nicht auf den langen Schwanz theoretisch schwerwiegender, praktisch aber nicht erreichbarer Probleme.
3. Ein KI-sicherer SDLC. Sichere Design-Reviews, Code-Scanning und Abhängigkeitsanalysen sind in jedem Produkt-Release-Zyklus verankert. KI-spezifische Praktiken – darunter LLM-basiertes Code-Scanning für kritischen Code, strukturierte Bewertung KI-generierten Codes, KI-gestütztes Threat Modeling sowie agentenbasierte Remediation mit Human-in-the-Loop – werden als dauerhafte Bestandteile des Entwicklungslebenszyklus etabliert, nicht als periodische Aktivitäten.
4. Defence-in-Depth mit adaptiven Kontrollen. Jede Kontrollebene – vom Endpoint bis zur Cloud – speist Live-Threat-Intelligence ein und passt sich in Bedrohungsgeschwindigkeit an, nicht in Patch-Zyklus-Geschwindigkeit. Shadow-AI-Transparenz und Data-Loss-Prevention-Kontrollen erweitern dieselbe Haltung auf die Nutzung generativer KI und Datenabfluss-Pfade. Eine 24/7 Managed-Security-Operations-Fähigkeit ergänzt automatisierte Eindämmung um menschliche Aufsicht. Die Arbeitshypothese ist ein Breach. Die Disziplin ist, ihn einzudämmen.
5. Transparente Offenlegung und geteilte Verantwortung. Die DORA-Säulen Incident-Reporting und Informationsaustausch erfordern eine zeitnahe, strukturierte Kommunikation mit Kunden und Aufsichtsbehörden. Unser Commitment ist eindeutig: Wenn eine Schwachstelle oder ein Vorfall die von uns bereitgestellten Produkte und Services wesentlich beeinträchtigt, legen wir dies umgehend offen – mit Details zu betroffenen Assets, einer Einschätzung der Ausnutzbarkeit und einem verbindlichen Zeitplan zur Behebung. Dieses Commitment gilt unabhängig davon, wie das Thema entdeckt wurde, einschließlich Findings aus KI-gestützter Forschung.
6. Getestete Resilienz – nicht angenommene Resilienz. Wir üben Business Continuity, Disaster Recovery und Incident Response in einem regelmäßigen Takt – nicht einmal zertifiziert und dann abgelegt. Unabhängige Penetrationstests, szenariobasierte Response-Übungen und die Validierung von Backup-Restore liefern uns, unseren Kunden und unseren Aufsichtsbehörden Nachweise, dass die oben beschriebenen Kontrollen unter Druck wie vorgesehen funktionieren. Recovery-Ziele werden definiert, daran gemessen und überprüft.

Zwei kurzfristige Umsetzungsmeilensteine erweitern die Strategie: VulnOps – eine konsolidierte Remediation-Pipeline, die Findings aus unserer gesamten Scanning-Landschaft in einem einzigen, risikopriorisierten Backlog zusammenführt, mit Composite Scoring, das neben der intrinsischen Schwere auch Ausnutzungswahrscheinlichkeit und reale Erreichbarkeit abbildet – sowie agentenbasierte Patch-Generierung mit Human-in-the-Loop, die die Zeit von der Entdeckung bis zum Fix verkürzt. Der Nordstern bleibt unverändert: Compliance ist das Minimum, Eindämmung ist die Wette, Resilienz ist die Disziplin. Genau das verlangen DORAs Rahmenwerk und die Bedrohungslandschaft der Vulnpocalypse-Ära.

Die kollektive Sicherheitslage des Finanzsektors ist nur so stark wie seine schwächste Verknüpfung. Smartstreams proaktive Investition in KI-bewusste Sicherheitsfähigkeiten ist kein wettbewerbliches Marketingargument. Sie ist unser Anteil an einer gemeinsamen Verpflichtung. Wir werden unser Programm weiterentwickeln, offen über wesentliche Findings kommunizieren und uns in Communities zum Informationsaustausch in der Branche engagieren – wo dies das Ökosystem stärkt, auf das wir alle angewiesen sind.

Für unsere Kunden lautet die praktische Quintessenz: Die Kontrollen, die Ihre von Smartstream bereitgestellten Services schützen, sind darauf ausgelegt, mit den Bedrohungen Schritt zu halten, die KI jetzt auf den Tisch bringt. DORA ist das Minimum dieses Commitments. Die Bedrohungslandschaft ist die Obergrenze. Wir beabsichtigen, deutlich über dem Minimum zu operieren.