Leerer Behördenbesprechungsraum nach einer EU-Koordinierungssitzung zu KI-Sicherheit, Laptops und Unterlagen auf dem Tisch

Project Glasswing: ENISA und NATO im KI-Sicherheitsprogramm

200 Partner in 15 Ländern, 23.000 Sicherheitslücken und erstmals EU-Zugang zu Claude Mythos

Anthropic hat Project Glasswing am 2. Juni 2026 auf 200 Partnerorganisationen ausgeweitet. Das Bedeutsame daran: ENISA ist das erste EU-Institut außerhalb der USA und Großbritanniens, das Zugang zu Claude Mythos erhält. Deutschland ist explizit dabei. Für deutsche Unternehmen in NIS2-pflichtigen Sektoren hat das direkte strategische Konsequenzen.

Zusammenfassung

Project Glasswing hat seit dem Start am 7. April 2026 über 23.000 Sicherheitslücken in systemisch wichtiger Software gefunden. Am 2. Juni 2026 erweiterte Anthropic das Programm auf 200 Partner in 15 Ländern, darunter erstmals die EU-Cybersicherheitsagentur ENISA und NATO. ENISA ist das erste Institut außerhalb USA und UK mit Claude-Mythos-Zugang, das Ergebnis intensiver US-EU-Verhandlungen. Für deutsche KRITIS-Betreiber ist das relevant, weil ENISA als Glasswing-Teilnehmer Leitlinien entwickeln wird, die auf NIS2-Compliance einwirken.

Von 50 auf 200: Was sich am 2. Juni 2026 geändert hat

Project Glasswing startete am 7. April 2026 mit rund 50 Partnerorganisationen, hauptsächlich US-amerikanischen Technologiekonzernen wie Apple, Google, Microsoft, AWS und CrowdStrike. Diese nutzten Claude Mythos, um ihre eigenen Codebasen auf Sicherheitslücken zu untersuchen. Das Ergebnis: über 23.000 Lücken in systemisch wichtiger Software, mehr als 10.000 davon als "hoch" oder "kritisch" eingestuft. Am 2. Juni 2026 gab Anthropic eine deutliche Erweiterung des Programms bekannt.

Die 150 neuen Mitglieder kommen aus mehr als 15 Ländern und decken Bereiche ab, die im ersten Durchgang kaum vertreten waren. Explizit genannte neue Partner: ENISA, NATO, der US-Identitätsanbieter Okta sowie die südkoreanischen Konzerne Samsung, SK Hynix und SK Telecom. Deutschland wird als eines der 15+ Länder ausdrücklich aufgeführt.

23.000+
gefundene Sicherheitslücken seit April 2026
200
Partner in 15+ Ländern nach Expansion Juni 2026
90,6 %
Genauigkeitsrate bei manuell verifizierten Funden
<1 %
der gefundenen Lücken bisher behoben
100+ Mio.
Menschen potenziell betroffen pro Partnerorganisation
771 Tage → Stunden
Exploit-Timeline von Offenlegung bis Angriff (2018 vs. 2024)
7. April 2026

Glasswing-Start

Anthropic startet Project Glasswing mit 12 Gründungspartnern und rund 40 weiteren Organisationen. Claude Mythos findet in den ersten Wochen tausende Sicherheitslücken autonom.

28. Mai 2026

Formelle US-EU-Sitzung

USA und EU-Kommission halten eine formelle Koordinierungssitzung ab, um die Bedingungen für ENISAs Zugang zu Claude Mythos festzulegen.

2. Juni 2026

Expansion auf 200 Partner

Anthropic gibt die Erweiterung auf 200 Organisationen in 15+ Ländern bekannt. ENISA erhält als erstes EU-Institut Zugang zu Claude Mythos. NATO und Deutschland sind dabei.

EU & Deutschland

ENISA als Glasswing-Partner: Erstmals außerhalb USA und UK

Die Aufnahme der European Union Agency for Cybersecurity ist ein geopolitischer Einschnitt: Sie ist die erste Institution außerhalb der USA und Großbritanniens, die Zugang zu Claude Mythos erhält. Claude Mythos ist nicht öffentlich verfügbar, weil Anthropic das Missbrauchsrisiko als zu hoch einstuft. Das macht jeden Zugang zu einem Verhandlungsergebnis, nicht zu einer Selbstverständlichkeit.

Sicherheitsanalystin in EU-Behörde liest mehrseitigen technischen Bericht über KI-Schwachstellenscans an einem Schreibtisch
ENISA-Mitarbeiter werten die Ergebnisse von Claude Mythos aus - erstmals erhält eine EU-Behörde Zugang zum KI-Sicherheitsmodell.
Warum ENISA-Zugang außergewöhnlich ist: Claude Mythos findet Sicherheitslücken autonom, ohne menschliche Steuerung. Dasselbe Modell, das Verteidigern hilft, könnte auch Angreifern nutzen. Anthropic hat das Modell deshalb zurückgehalten. Die ENISA-Aufnahme war das Ergebnis mehrwöchiger US-EU-Verhandlungen mit einer formellen Sitzung am 28. Mai 2026.

Was ENISA mit dem Zugang tun wird

ENISA wird Claude Mythos einsetzen, um in ganz Europa kritische Infrastruktur auf Schwachstellen zu untersuchen. Der geografische Scope umfasst alle EU-Mitgliedsstaaten. Als Glasswing-Teilnehmer wird ENISA in den kommenden Monaten Erkenntnisse und Empfehlungen veröffentlichen. Für NIS2-pflichtige Unternehmen in Deutschland ist das relevant: ENISAs Vorgaben haben direkten Einfluss auf nationale Aufsichtsbehörden wie das BSI.

Neu dabei (Juni 2026)
ENISA (EU-Cybersicherheitsagentur)
NATO
Deutschland
Samsung, SK Hynix, SK Telecom
Okta
Energie- und Wasserversorger
Noch nicht dabei
BSI (in Kontaktgesprächen)
Europäische KMU
Open-Source-Projekte mit wenig Ressourcen
Öffentliche Verwaltung (kommunal)
Mittelstand außerhalb KRITIS
Nicht-KRITIS-Dienstleister

BSI: In direktem Kontakt mit Anthropic

Das Bundesamt für Sicherheit in der Informationstechnik steht nach Medienberichten in direktem Kontakt mit Anthropic. Ob und wann das BSI offiziell Glasswing-Teilnehmer wird, ist noch offen. Klar ist: Sobald das BSI in das Programm eintritt, werden konkrete Vorgaben oder Empfehlungen für KRITIS-Betreiber in Deutschland folgen. Die Entwicklung sollte eng verfolgt werden.

Einordnung

Für die EU-Souveränitätsdebatte ist das Signal ambivalent: Europa bekommt Zugang zum führenden KI-Sicherheitstool, aber unter US-amerikanischen Nutzungsbedingungen und US-Governance. Für die Praxis überwiegt der Nutzen: besser mit Glasswing als ohne.

Kritische Infrastruktur auf dem Prüfstand

Die neuen Glasswing-Sektoren entsprechen exakt den Bereichen, die die NIS2-Richtlinie als "wesentliche Einrichtungen" klassifiziert: Energie, Wasser, Gesundheit, Kommunikation und digitale Infrastruktur. Für deutsche Unternehmen bedeutet das eine direkte Verbindung zwischen dem Glasswing-Programm und ihrer regulatorischen Pflicht. NIS2 ist seit Oktober 2024 in deutsches Recht umgesetzt und verpflichtet KRITIS-Betreiber zu aktivem Schwachstellenmanagement und Meldepflichten innerhalb von 24 Stunden.

Sicherheitslücken gefunden (hochkritisch) 10.000+
Verifikationsrate (manuell geprüft) 90,6 %
Davon bisher behoben <1 %

Jede Partnerorganisation in Glasswing hätte laut Anthropic bei einem erfolgreichen Angriff auf ihre Infrastruktur mehr als 100 Millionen Menschen betroffen. Das ist kein abstraktes Risiko: Ein einzelner Angriff auf eine nicht gepatchte, bekannte Schwachstelle hat 2025 über 2.500 Unternehmen in 106 Ländern vollautomatisch kompromittiert.

"What each partner has in common is that a successful attack on their codebase could be catastrophic."

Anthropic zu den neuen Glasswing-Partnern ,

Die Verbindung zur deutschen Regulierung ist konkret: Das BSI hat Schwachstellenausnutzung als zentrale Bedrohung eingestuft. Wer als KRITIS-Betreiber nicht aktiv nach Schwachstellen sucht, riskiert nicht nur Angriffe, sondern auch Bußgelder nach NIS2. Claude-Mythos-Ergebnisse könnten künftig als Maßstab für das geforderte Sicherheitsniveau herangezogen werden.

Regulatorischer Kontext

Der neue Maßstab: KI-Sicherheitsscanning als regulatorische Erwartung

Die Glasswing-Expansion setzt einen neuen Benchmark für alle, die KRITIS-Betreibern Sicherheitsleistungen erbringen: KI-gestütztes Schwachstellenscanning wird zur Erwartung, nicht zur Ausnahme. Das hat Konsequenzen für Sicherheitsabteilungen, Managed-Security-Provider und Aufsichtsbehörden. OpenAI hat parallel GPT-5.5-Cyber an ausgewählte Partner zur Testphase gegeben - der Wettbewerb um den Standard für KI-Cybersicherheit in Europa hat begonnen.

Netzwerktechniker von hinten beim Einbauen eines Kabels in einen dichten Serverschrank in einem dunklen Betriebsraum
Netzwerkinfrastruktur als Ziel: KI-Modelle wie Claude Mythos scannen tausende Verbindungspunkte in Stunden, die manuelle Prüfer in Wochen abarbeiten würden.

Das Kernproblem: Finden ist nicht gleich Beheben

Weniger als 1 Prozent der von Claude Mythos entdeckten Schwachstellen wurden bisher behoben. Das zeigt: Der Engpass liegt nicht mehr bei der Erkennung, sondern bei der Behebungsgeschwindigkeit. Die mediane Zeit von der Offenlegung einer Schwachstelle bis zu einem einsatzbereiten Exploit ist von 771 Tagen im Jahr 2018 auf wenige Stunden im Jahr 2024 gefallen. Wer Lücken findet, aber nicht schließt, schafft Transparenz für Angreifer.

10×
schnellere Erkennung durch KI vs. manuelle Tests
100 Mio. $
Nutzungsguthaben von Anthropic für Partner
6-12 Monate
bis Wettbewerber vergleichbare Modelle haben

Kritik: Wer profitiert, wer nicht

Das Glasswing-Programm bevorzugt große Technologiekonzerne und Regierungsbehörden. Kleinere Open-Source-Projekte und der Mittelstand haben keinen direkten Zugang. IBM hat eigene kommerzielle Erweiterungen auf Basis von Glasswing-Erkenntnissen angekündigt - das Ökosystem kommerzieller KI-Sicherheitsprodukte baut sich auf den Ergebnissen des Programms auf, ohne allen denselben Zugang zu geben. Außerdem steht die Frage der Verantwortung für die Offenlegung ungeklärt: Wer entscheidet, wann eine von Mythos gefundene Lücke öffentlich gemacht wird, wenn tausende gleichzeitig gefunden werden?

Was Unternehmen jetzt tun sollten

Für deutsche Unternehmen in NIS2-pflichtigen Sektoren hat der 2. Juni 2026 eine klare Botschaft: ENISA und das BSI sind jetzt aktiv in das führende KI-Sicherheitsprogramm eingebunden. Was ENISA als Ergebnis seiner Glasswing-Arbeit publiziert, wird auf die regulatorischen Anforderungen in Deutschland einwirken.

Fünf Schritte zur Vorbereitung

  1. Patch-Velocity messen

    Bestimme, wie lange es bei euch heute von der Erkennung einer kritischen Schwachstelle bis zur Behebung dauert. Diese Baseline entscheidet, ob dein Betrieb die NIS2-Meldepflicht (24 Stunden) einhalten kann.

  2. BSI-Verlautbarungen verfolgen

    Sobald das BSI offiziell in das Glasswing-Programm eintritt, werden Anforderungen oder Empfehlungen für KRITIS-Betreiber folgen. Plane jetzt Ressourcen ein, um diese umzusetzen.

  3. Schwachstellen-Management KI-fähig machen

    Klassische Penetrationstests liefern ein Ergebnis pro Quartal. KI-gestütztes Scanning liefert tausende Befunde pro Woche. Prüfe, ob dein MSSP oder internes Team auf dieses Volumen vorbereitet ist.

  4. ENISA-Publikationen auswerten

    ENISA wird die Glasswing-Ergebnisse in Leitlinien und Empfehlungen einfließen lassen. Für NIS2-pflichtige Unternehmen sind diese nicht optional - abonniere den ENISA-Newsletter und plane eine jährliche Überprüfung ein.

  5. Bestehende Sicherheitsartikel lesen

    Eine fundierte Einschätzung zu Project Glasswing und Claude Mythos sowie zu KI-Agenten und Enterprise-Sicherheit findest du in den verlinkten Artikeln.

Weiterführende Informationen

Project Glasswing: Anthropics KI-Sicherheitsinitiative für Unternehmen Claude Mythos: KI-Modell findet Zero-Days überall KI-Agenten hacken Server und replizieren sich: Enterprise-Sicherheit 2026 EU AI Act: Hochrisiko-Fristen bis 2027 und 2028 Anthropic: Project Glasswing (offiziell) ENISA: European Union Agency for Cybersecurity

Häufig gestellte Fragen

Was ist Project Glasswing? +

Project Glasswing ist eine Initiative von Anthropic, bei der das KI-Modell Claude Mythos autonom Sicherheitslücken in systemisch wichtiger Software sucht. Seit dem Start am 7. April 2026 nehmen Organisationen aus Technologie, kritischer Infrastruktur und Regierungsbehörden teil. Das Modell arbeitet vollständig autonom, ohne menschliche Steuerung, und hat bereits über 23.000 Lücken gefunden.

Warum ist ENISAs Aufnahme in Project Glasswing bedeutsam? +

ENISA ist das erste EU-Institut außerhalb der USA und Großbritanniens mit Zugang zu Claude Mythos. Das ist das Ergebnis intensiver US-EU-Verhandlungen. Es markiert den ersten Schritt zur Integration des KI-Sicherheitsprogramms in den europäischen regulatorischen Rahmen und öffnet den Weg für NIS2-relevante Empfehlungen.

Was bedeutet das für deutsche KRITIS-Betreiber? +

Die neuen Glasswing-Sektoren (Energie, Wasser, Gesundheit, Kommunikation) entsprechen exakt den NIS2-pflichtigen "wesentlichen Einrichtungen" in Deutschland. ENISA wird als Glasswing-Teilnehmer Leitlinien entwickeln, die auf NIS2-Anforderungen einwirken. Das BSI steht in direktem Kontakt mit Anthropic. Betreiber sollten ihre Patch-Velocity messen und BSI-Verlautbarungen engmaschig verfolgen.

Wie viele Sicherheitslücken wurden gefunden und wie genau ist Claude Mythos? +

Claude Mythos hat seit April 2026 über 23.000 Sicherheitslücken gefunden, davon mehr als 10.000 als "hoch" oder "kritisch" eingestuft. Von 1.726 manuell durch Anthropic-Forscher verifizierten Funden wurden 90,6 Prozent als korrekt bestätigt, 1.094 davon als hochkritisch. Weniger als 1 Prozent der Lücken wurden bisher behoben.

Was ist das größte Problem beim KI-gestützten Schwachstellenscanning? +

Der Engpass liegt nicht mehr bei der Erkennung, sondern bei der Behebungsgeschwindigkeit. Weniger als 1 Prozent der gefundenen Lücken wurden bisher behoben. Die mediane Zeit von der Offenlegung bis zum einsatzbereiten Exploit ist von 771 Tagen (2018) auf wenige Stunden (2024) gesunken. Unternehmen müssen ihre Patch-Prozesse grundlegend beschleunigen.

Hat Claude Mythos Konkurrenz? +

Ja. OpenAI hat parallel GPT-5.5-Cyber an ausgewählte Partner zur Testphase gegeben. Anthropic selbst warnt, dass Wettbewerber in 6 bis 12 Monaten vergleichbare Modelle entwickeln könnten. Der Wettbewerb um den Standard für KI-gestützte Cybersicherheit in Europa hat begonnen.