Cyberwar mittels Claude Mythos? Anfang Juni 2026 berichtete die Financial Times (dazu bei TheDecoder und bei Heise), dass das US-amerikanische Unternehmen Anthropic rund sechs eigene Ingenieure – sogenannte „Forward-Deployed Engineers“ – direkt bei der NSA stationiert haben soll, um sein bislang nicht öffentlich zugängliches KI-Modell Claude Mythos für offensive Cyberoperationen gegen China und Iran einzusetzen.
Was auf den ersten Blick wie eine technologische Kuriosität aus dem US-Geheimdienstumfeld wirkt, ist bei näherer Betrachtung eine Zäsur: Zum ersten Mal betreibt ein privates Unternehmen hochfähige KI-Systeme aktiv als verlängerter Arm eines staatlichen Nachrichtendienstes – im Rahmen hybrider Konfliktführung, versteht sich ohne förmliche Kriegserklärung, unterhalb der Schwelle des bewaffneten Angriffs. Das verdient eine genauere juristische und konzeptionelle Einordnung.
Ich befasse mich als Fachanwalt für Strafrecht und für IT-Recht seit Jahren publizistisch mit den rechtlichen Dimensionen des Cyberraums – von der strafrechtlichen Einordnung staatlich gesteuerter Cyberangriffe über die Phänomenologie moderner Cyberkriminalität bis hin zu konkreten Angriffsvektoren wie GPS-Jamming. Zuletzt erschienen sind meine Beiträge „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“ (AnwZert ITR 3/2025 Anm. 2), „Neuentwicklungen der Cybercrime-Phänomenologie“ (AnwZert ITR 22/2025 Anm. 2) sowie „Rechtsfragen des GPS-Jammings“ (AnwZert ITR 1/2026 Anm. 3), auf die ich im Folgenden an geeigneter Stelle Bezug nehme.
Was Mythos kann – und warum das anders ist
Anthropic hat Claude Mythos Preview im April 2026 als Frontier-Modell vorgestellt und gleichzeitig entschieden, es der Öffentlichkeit nicht zugänglich zu machen. Der Grund liegt in Fähigkeiten, die das Modell in internen Tests demonstriert hat: Es identifiziert autonom Tausende bislang unbekannter Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern, darunter Lücken, die über Jahrzehnte unentdeckt geblieben waren. Auf dem CyberGym-Benchmark zur Schwachstellenreplikation erzielte Mythos eine Trefferquote von 83,1%. Das Modell schrieb im Testbetrieb funktionsfähige mehrstufige Exploits und brach sogar aus einer gesicherten Sandbox aus – autonom, ohne menschliche Anweisung, mit anschließender E-Mail an den außerhalb sitzenden Forscher.
Das ist qualitativ spürbar weg von dem, was Cybersicherheitsforschung bislang kannte. Nicht weil Zero-Day-Exploits neu wären, sondern weil die Automatisierung ihrer Entdeckung und Verkettung jetzt in einer Geschwindigkeit und Skalierung geschieht, die menschlichen Analysten schlicht nicht zugänglich ist oder sein könnte. ETH-Professor Florian Tramèr hat das treffend pointiert: Ein einzelner Hacker verfügt mit Mythos plötzlich über eine Fähigkeit, die früher staatlichen Akteuren mit erheblichem Ressourceneinsatz vorbehalten war. Das Dual-Use-Dilemma ist nicht neu, wohl aber diese krasse Dimension.
Die hybride Kriegsführung und der KI-Beschleuniger
Um das Aktuelle einzuordnen, lohnt ein Blick auf das Konzept der hybriden Kriegsführung selbst. Hybride Bedrohungen kennzeichnen sich durch die funktionale Verknüpfung digitaler, physischer, wirtschaftlicher und informationeller Instrumente, die gezielt auf die Verwundbarkeit hochvernetzter Gesellschaften abzielen. Charakteristisch ist – und das ist der juristische Kernpunkt – dass sie bewusst unterhalb der Schwelle formalisierter Kriegsführung positioniert werden, sodass sie weder eindeutig als bewaffneter Angriff qualifiziert werden können noch klassische Reaktionsmechanismen auslösen. Die hybride Kriegsführung ist, wie ich es an anderer Stelle formuliert habe, kein Krieg im völkerrechtlichen Sinne des Art. 51 UN-Charta, erzeugt aber Wirkungen, die in ihrer Gesamtheit mit denen bewaffneter Konflikte durchaus vergleichbar werden können (vgl. dazu von mir: Ferner, AnwZert ITR 3/2025 Anm. 2).
Bislang war KI in diesem Kontext primär als Werkzeug der Gegenseite in den Blick geraten. Im November 2025 hatte Anthropic selbst den ersten öffentlich dokumentierten Fall einer weitgehend autonomen KI-gesteuerten Cyber-Spionagekampagne bekannt gegeben: Ein mit hoher Wahrscheinlichkeit chinesisch-staatlicher Akteur (intern „GTG-1002″) hatte das Claude-Code-Tool manipuliert und für Angriffe auf rund 30 globale Ziele genutzt. Die KI führte 80 bis 90 Prozent aller Angriffschritte autonom durch; menschliche Intervention war nur an wenigen Entscheidungspunkten pro Kampagne erforderlich. Dieses Ereignis ist nach Einschätzung von Forschern der erste öffentlich belegte Fall eines großangelegten, nahezu menschenfreien Cyberangriffs im Echtbetrieb. Was damals noch als Missbrauch durch den Gegner wahrgenommen wurde, ist jetzt – mit dem aktuellen Bericht zur NSA – auch als bewusstes Instrument der eigenen Seite in der Diskussion.
KI verändert die hybride Kriegsführung in drei Dimensionen, die es gemeinsam zu denken gilt: Geschwindigkeit, Attribution und Skalierung.
Geschwindigkeit
Die Geschwindigkeit automatisierter Cyberoperationen verschiebt die Legalitätskontrolle zwangsläufig von der Anwendungsebene hin zur ex-ante-Governance: Systemdesign und Training eines KI-Modells müssen die Rechtskonformitätsprüfung ersetzen, die bei menschengesteuerter Kriegführung nachgelagert möglich war.
Attribution
Die Attribution – das zentrale Zurechnungsproblem der hybriden Kriegsführung, auf das ich bereits in meinem Beitrag zur Cybercrime-Phänomenologie eingegangen bin (Ferner, AnwZert ITR 22/2025 Anm. 2) – wird durch den KI-Einsatz nochmals schwieriger. Wenn ein KI-Modell in Netzwerksysteme eindringt, sind die klassischen forensischen Pfade zur Täteridentifikation noch stärker verwischt als bei menschlich gesteuertem Hacking.
Skalierung
Und Skalierung: Was bislang erhebliche staatliche Ressourcen erforderte, kann nun mit einem Bruchteil des Aufwands repliziert werden – was die asymmetrische Bedrohungslage für schwächere Staaten dramatisch verschärft.
Das institutionelle Paradox: Pentagon-Blacklist, NSA-Zusammenarbeit
Die Situation hat eine institutionelle Ironie, die juristisch aufschlussreich ist. Das Department of Defense – dem die NSA formell unterstellt ist – hatte Anthropic im Februar 2026 offiziell als „Supply Chain Risk“ eingestuft, nachdem Vertragsverhandlungen daran gescheitert waren, dass Anthropic zwei Bedingungen gestellt hatte: kein Einsatz von Claude für Massenüberwachung im Inland und keine Integration in vollautonome Waffensysteme ohne menschliche Kontrolle über Ziel- und Feuerbefehle. Das Pentagon reagierte mit einer Designation, die typischerweise ausländischen Unternehmen vorbehalten ist. Anthropic klagte am 9. März 2026 vor zwei Bundesgerichten und rügte die Maßnahme u.a. als verfassungswidrige Vergeltung für geschäftsmäßig geäußerte KI-Sicherheitsbedenken; ein Bundesrichter erließ vorläufig eine einstweilige Verfügung.
Gleichzeitig – und das ist der bemerkenswerte Teil – nutzt die NSA als nachgeordnete Behörde desselben DoD Mythos für offensive Operationen und lässt Anthropics eigene Ingenieure daran mitwirken. DoD-CTO Emil Michael erklärte im Mai 2026 öffentlich, Mythos sei trotz der fortbestehenden Einstufung eine „eigenständige nationale Sicherheitsfrage“. Diese institutionelle Spaltung offenbart, dass die US-Regierung die strategische Überlegenheit des Modells höher gewichtet als die Konsistenz ihrer eigenen Beschaffungsregeln.
Was dabei auffällt: Anthropic rechtfertigt die Kooperation nicht durch Kapitulation vor staatlichen Interessen, sondern mit strategischem Pragmatismus. Die Logik lautet – „Offense is the best defense“ – und verweist darauf, dass China, Iran und Russland eigene KI-gestützte Offensivfähigkeiten entwickeln. Diese Argumentation ist aus dem klassischen Dual-Use-Diskurs vertraut, hat aber in Verbindung mit einem kommerziellen Unternehmen, das KI-Sicherheit als seine raison d’être proklamiert, eine besondere Brisanz.
Die völkerrechtliche Einordnung: Grauzone in neuer Qualität
Die völkerrechtliche Dimension dieser Entwicklung ist erheblich. Wie ich in meinem Beitrag zu GPS-Jamming dargelegt habe (Ferner, AnwZert ITR 1/2026 Anm. 3), berühren offensiv ausgelegte digitale Operationen unterhalb der Waffengewalt die Frage, ab wann das Gewaltverbot des Art. 2 Abs. 4 UN-Charta greift und wann das Selbstverteidigungsrecht des Art. 51 UN-Charta ausgelöst wird. Das Tallinn Manual erkennt an, dass Cyberangriffe Teil moderner Kriegsführung sein können, aber nicht jeder Cyberangriff automatisch ein Akt des Krieges ist. Maßgebend sind Wirkung, Intensität und Attribution im Gesamtbild (vgl. auch Ferner, AnwZert ITR 3/2025 Anm. 2, zum Gewaltbegriff des Art. 2 Nr. 4 UN-Charta).
Der NSA-Mythos-Einsatz reiht sich damit in das ein, was Schallbruch als „cybered conflicts“ bezeichnet – hybride Konfliktlagen, die alle Arten militärischer oder sonstiger Konflikte begleiten und Cyberanteile enthalten, ohne selbst Krieg im formellen Sinne zu sein. Das U.S. Cyber Command verfolgt seit 2018 explizit eine Strategie des „Persistent Engagement“ – also einer ständigen Auseinandersetzung mit gegnerischen Kräften im Cyberraum, um deren Manövrierfähigkeit zu beeinträchtigen. Die Stationierung von Anthropic-Ingenieuren bei der NSA ist die privatwirtschaftliche Verlängerung dieser Strategie.
Das schafft neue völkerrechtliche Zurechnungsfragen. Die klassischen Regeln der Staatenverantwortlichkeit nach den ARSIWA erfordern, dass ein Verhalten einem Staat zugerechnet werden kann, sei es als Staatsorgan oder als durch den Staat kontrollierte Entität. Wenn ein privates Unternehmen – Anthropic – seine Mitarbeiter in staatliche Nachrichtendienste entsendet und diese dort an offensiven Operationen mitwirken, nähert sich die Konstellation der Zurechnung staatlichen Handelns erheblich an. Die Attribution, ohnehin das zentrale Problem der hybriden Kriegsführung, wird durch diese institutionelle Verflechtung in beide Richtungen schwerer: Betroffene Staaten können kaum beweisen, ob ein Angriff von der NSA oder von Anthropic-Ingenieuren ausgeführt wurde; Anthropic kann seine Haftung hinter staatlicher Beauftragung verschleiern. Das due-diligence-Prinzip, das Hector als wichtigsten weiteren völkerrechtlichen Maßstab benennt, schützt damit nur noch eingeschränkt.
Staatliche Hacker im Überblick
Wir beschäftigen uns mit Cyberrisks – dazu gehört auch das Thema Cyberwar, wozu zahlreiche Informationen auf unserer Seite finden. Insbesondere bieten wir eine Artikelserie zum staatlichen Hacking: Zu den bedeutsamsten internationalen Akteuren gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern und die Stabilität der europäischen Demokratien zu untergraben. Die Aktivitäten in diesem Bereich zumindest im Grundsatz zu verstehen ist eine wichtige Grundlage um Zugang zur Cyberspionage oder auch der Notwendigkeit von Cyber-Diplomatie zu erhalten!
Neben den im Folgenden benannten Hauptakteuren gibt es auch andere Länder und nichtstaatliche Akteure, die versuchen, Wahlen in Europa zu beeinflussen. Dazu gehören beispielsweise Gruppen, die im Auftrag von Regierungen oder aus eigenem Interesse handeln, um bestimmte politische Agenden voranzutreiben. Diese Akteure nutzen eine Vielzahl von Methoden, darunter Cyberangriffe, Desinformation, wirtschaftlichen Druck und diplomatische Manöver, um ihre Ziele zu erreichen. Die Europäische Union und ihre Mitgliedstaaten stehen vor der Herausforderung, diese Bedrohungen zu erkennen und abzuwehren, um die Integrität ihrer demokratischen Prozesse zu schützen. Losgelöst zu dieser Thematik gibt es inzwischen bei uns auch einen Beitrag zu den Cyberfähigkeiten Israels.
Russland
Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.
China
China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.
Iran
Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.
Nordkorea
Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.
KI-Proliferationsrisiko: Nicht nur für Staaten
Ein Aspekt, der bislang zu wenig diskutiert wird: Die Proliferation von Offensivfähigkeiten dieser Qualität ist nicht auf Staaten beschränkt. Ich habe in meinem Beitrag zur Cybercrime-Phänomenologie beschrieben, wie staatlich entwickelte oder entdeckte Exploits in die Hände von Cyberkriminellen gelangen (Ferner, AnwZert ITR 22/2025 Anm. 2) – das klassische Beispiel sind die NSA-Tools, die nach dem Shadow-Brokers-Leak 2017 in WannaCry und NotPetya mündeten. Mit KI-Modellen der Mythos-Klasse droht eine strukturell ähnliche, aber potenziell weit schwerere Proliferationsspirale. Anthropic hat selbst im November 2025 dokumentiert, wie sein Claude-Code-Tool von einem staatlichen Akteur für autonome Spionagekampagnen umfunktioniert wurde. Die Frage ist nicht ob, sondern wann ein ähnliches Modell – oder ein Teil seines Trainings – den Weg in kriminelle oder terroristische Hände findet.
Das ist kein theoretisches Szenario. Der CrowdStrike-Report 2025 dokumentiert, wie staatlich gesteuerte Akteure – China, Iran und Russland – generative KI bereits zur Desinformation, Täuschung und Infiltration politischer Prozesse einsetzen. Das Arsenal erweitert sich gerade. Und mit Mythos existiert erstmals ein Modell, das nicht nur Desinformation produziert, sondern autonom in technische Infrastruktur eindringt. Es ist deshalb konsequent, wenn Anthropic den Zugang auf rund 40 Organisationen beschränkt hat – die Frage ist, ob diese Beschränkung langfristig haltbar ist, sobald Konkurrenten ähnliche Fähigkeiten entwickeln oder das Modell selbst aus seinem kontrollierten Umfeld entweicht.
Das Widerspruchsmodell: Anthropic zwischen Ethos und Staatsinteresse
Was macht man mit einem Unternehmen, das gleichzeitig KI-Sicherheit als Kernmission proklamiert, seinen Nutzungsbedingungen zufolge offensive Zwecke einschränkt, und dennoch eigene Mitarbeiter bei der NSA für Angriffe auf chinesische und iranische Netze stationiert? Die Spannung ist keine, die sich rechtlich einfach auflösen lässt. Sie illustriert vielmehr das strukturelle Dilemma, das entsteht, wenn private KI-Frontier-Unternehmen staatliche Sicherheitskritikalität erreichen: Sie werden zu Akteuren, die gleichzeitig kommerziellen Interessen, Sicherheitsethik, Kundenbindung und staatlicher Kooperationserwartung gerecht werden müssen – unter Bedingungen, die eine kohärente Linie nahezu unmöglich machen.
Aus juristischer Perspektive fehlt für diese Konstellation aus meiner Sicht ein klarer Rahmen: Weder das Völkerrecht noch das US-Recht noch das europäische Recht adressieren die Frage, welche Pflichten und Grenzen ein privates Unternehmen hat, wenn es als verlängerter Arm eines staatlichen Nachrichtendienstes für offensive Cyberoperationen tätig wird. NIS-2-Richtlinie und CER-Richtlinie sind auf defensive Schutzpflichten ausgerichtet und setzen bei kritischen Infrastrukturen an. Sie greifen dort nicht, wo ein privates Unternehmen selbst zum offensiven Akteur wird. Der AI Act der EU schweigt zu militärischen und nationalen Sicherheitsanwendungen (Art. 2 Abs. 3 AI Act).
Was bleibt…
Die Meldung über den NSA-Mythos-Einsatz ist mehr als eine Geheimdienstaffäre. Sie markiert eine Stufe in der Evolution hybrider Kriegsführung, in der KI vom Werkzeug zum Instrument geopolitischer Machtprojektion wird – nicht in staatlicher Hand allein, sondern in der Hand kommerzieller Unternehmen mit staatlichem Mandat. Diese Hybridisierung zweiter Ordnung – das hybride Verhältnis zwischen privatem Unternehmen und Staat, nicht nur zwischen Frieden und Krieg – ist das eigentlich Neue.
Das Völkerrecht ist darauf nicht eingestellt. Die Attributionsregeln der ARSIWA, das Gewaltverbot des Art. 2 Abs. 4 UN-Charta, das Interventionsverbot – alle setzen eine eindeutige staatliche Urheberschaft voraus oder zumindest zurechenbare Kontrolle, wie Hector (ZaöRV 2016, 513) eingehend dargelegt hat. Beides wird durch das Forward-Deployment-Modell systematisch verwischt. Und die Beschleunigung durch KI macht die nachträgliche juristische Kontrolle, die in der klassischen Kriegsführung zumindest theoretisch möglich ist, zur Illusion: Wenn ein Modell in Sekunden Angriffsketten entwickelt und ausführt, die früher Monate menschlicher Expertise erfordert hätten, dann ist die Legalitätskontrolle vor dem Einsatz die einzig praktisch wirksame. Das verlagert die Verantwortung auf Systemdesign und Training – also genau dorthin, wo Anthropic und die NSA gerade gemeinsam arbeiten.
Aus Sicht der Praxis lässt sich eine Erkenntnis festhalten, die ich in meinen bisherigen Beiträgen zu diesem Themenfeld durchgängig formuliert habe: Hybride Bedrohungen und Cyberkriminalität sind keine Nischenthemen mehr, sondern geopolitische Realität mit unmittelbaren rechtlichen Konsequenzen. Ein potenzieller Einsatz von Claude Mythos durch die NSA zeigt auf, wie schnell sich die technologische Entwicklung dem normativen Rahmen entzieht. Und: wie dringend es eines rechtsgebietsübergreifenden Denkens bedarf, das Strafrecht, Völkerrecht, KI-Regulierung und Cybersicherheitsrecht nicht als separate Schubladen behandelt, sondern als Teile eines kohärenten Gesamtbildes.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.