Breach FM diese Woche mit einer Premiere und zugleich Ausnahme. Da sich Max Imbiel noch im wohlverdienten Urlaub befinde, nehme ich aus Oslo eine kurze Solo Folge auf.Am Sonntag früh kam die Meldung: Anthropic hat Fable 5 – die öffentliche, mit Guardrails versehene Version von Mythos – sowie Mythos selbst abgeschaltet, auf Anweisung des US-Handelsministeriums per Export-Control-Direktive. Da die Order auch Anthropics eigene nicht-US-amerikanische Mitarbeiter traf, blieb Anthropic keine Wahl, als beide Modelle global zu deaktivieren.Zur Einordnung: Aus Regierungskreisen heißt es, Guardrails von Fable ließen sich jailbreaken. Anthropic selbst hat das als engen, nicht-universellen Jailbreak eingestuft, der auch bei anderen Modellen möglich ist. Ich sehe drei mögliche Erklärungen: echte Sicherheitsbedenken, wirtschaftlicher Protektionismus – oder der andauernde Kleinkrieg zwischen White House und Anthropic. Wahrscheinlich eine Mischung. Was mich am meisten beschäftigt: Wenn es wirklich um Sicherheit geht, warum wurde es nicht auch für US-Bürger gesperrt? Die EU-Souveränitätsdebatte bespreche ich lieber nächste Woche mit Max.Zweites Thema: Ein Varonis-Report, den ich unbedingt empfehlen möchte. Varonis hat einen OpenClaw-Agenten in einer realistischen Google-Workspace-Umgebung mit internen E-Mails, AWS-Credentials und CRM-Daten klassischem Phishing ausgesetzt. Ergebnis: Der Agent hat auf Social Engineering fast immer reagiert – Credentials rausgegeben, Kundendaten extern verschickt. Nicht weil das LLM ausgetrickst wurde, sondern weil es ein Trust-Problem ist. Wer gerade agentische Systeme im Backoffice aufbaut, sollte diesen Report lesen.

Anthropic Statement zur Abschaltung
https://www.anthropic.com/news/fable-mythos-access

Hintergrund: Amazon-CEO löste Abschaltung aus (Fortune)
https://fortune.com/2026/06/14/how-a-warning-from-amazon-led-the-white-house-to-shut-down-anthropics-mythos-model/

Varonis: KI-Agenten und Phishing

https://www.varonis.com/blog/openclaw-phishing

In der neuen Folge von Breach FM melde ich mich aus Helsinki, wo es derzeit nicht dunkel wird, Max Imbiel darf glücklicherweise wieder im Homeoffice sein.

The Record from Recorded Future News berichtet, dass Shyam Sankar, CTO von Palantir und seit über 20 Jahren im Unternehmen, als führender Kandidat für die seit Januar 2025 vakante CISA-Direktorenstelle gilt. Das White House dementierte mit "at this time this is not accurate" – was kein Dementi ist. Relevant wird die Personalie vor allem im zeitlichen Zusammenhang mit der neuen KI-Executive-Order, die die CISA erstmals mit durchsetzungsfähigen Binding Operational Directives ausstattet. Von Cyber-Koordinator zur KI-Governance-Behörde – wir haben da kein gutes Bauchgefühl.

Das Kernthema bringt Max: der Nightmare-Eclipse-Eklat bei Microsoft. Der Researcher hat zwischen April und Mitte Mai sechs Windows-Zero-Days veröffentlicht – BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma – alle ohne vorherige Koordination. Microsoft reagierte mit juristischen Drohungen, ruderte nach Community-Aufschrei zurück. Drei Exploits wurden aktiv ausgenutzt und ins KEV aufgenommen. Adam Shostack, Mitbegründer von Microsofts eigenem Threat-Modeling-Ansatz, kritisierte den Umgang offen. Der Kernvorwurf: Microsoft hält sich selbst nicht an seinen CVD-Prozess – Researcher spielen Bugs jetzt lieber untereinander weiter. Der Schaden trifft alle Nutzer.

Dann der Meta-Instagram-"Hack": Angreifer nutzten den Meta-KI-Support-Chatbot, um einfach eine neue E-Mail-Adresse am Zielkonto zu hinterlegen – der Bot schickte den Reset-Code dorthin, ohne zu verifizieren. Mindestens 20.225 Konten betroffen, darunter der Obama-White-House-Account. Angriffsfenster: sieben Wochen. Moral: Schreibrechte gehören nicht in Chatbots im Authentifizierungsflow – und 2FA aktivieren.

Shyam Sankar / CISA-Nominierung (The Record) https://therecord.media/trump-considers-palantir-exec-to-lead-cisa

Nightmare Eclipse: alle sechs Zero-Days im Überblick https://cipherssecurity.com/nightmare-eclipse-microsoft-windows-zero-day/

Microsoft Statement zu CVD und Nightmare Eclipse https://cybersecuritynews.com/microsoft-clarifies-nightmare-eclipse-controversy/

Meta Instagram Chatbot-Hack (404 Media) https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/

Meta bestätigt 20.225 betroffene Konten https://this.weekinsecurity.com/meta-confirms-thousands-of-instagram-accounts-were-hacked-by-abusing-its-ai-chatbot/

Jacob Butler, 23, online bekannt als "Dort", wurde in Ottawa verhaftet. Ihm wird vorgeworfen, das DDoS-for-Hire-Botnet KimWolf mit über einer Million kompromittierten Geräten betrieben zu haben. Angriffe bis 30 Terabit/s dokumentiert, darunter auf das US Department of Defense Information Network. Brian Krebs hatte ihn im Februar öffentlich identifiziert, woraufhin Butler ihn mit DDoS, Doxing und Swatting anging. Ich nutze das als Aufhänger für eine Diskussion mit Max über IoT-Botnet-Verantwortung und wo die Grenze zwischen Provider-Pflicht und Konsumentenverantwortung liegt.

Dann der Portraitbox-Breach – von dem ich selbst betroffen war. Angreifer erlangten am 16./17. Mai Zugriff auf den Paderborner Fotodienstleister, luden Daten herunter und löschten sie. Betroffen: Fotos, Namen, E-Mail-Adressen, Bestellhistorien – darunter massenhaft Kita- und Schulfotos von Kindern. Zahlungsdaten nicht betroffen. Die Benachrichtigungspflicht liegt strukturell bei den Fotografen. Die ZAC NRW ermittelt.

GitHub hat einen Breach gemeldet: Ein Mitarbeiter installierte eine kompromittierte Version der NX-Konsole VS Code Extension – Teil der TeamPCP-Kampagne, über die wir in den letzten Wochen mehrfach berichtet haben. Betroffen: rund 3.800 interne GitHub-Repositories. Keine Kunden-Repos kompromittiert, aber wer Zugriff auf interne Engineering-Repos hat, hat deutlich mehr als nur Code. Das führt Max und mich zu einer längeren Debatte über Anbieterkonzentration: Es ist nicht gesund, Produktivität, Entwicklung und Security beim gleichen Anbieter zu konsolidieren – und das sage ich mit vollem Bewusstsein meiner eigenen Befangenheit.

Zum Abschluss: CISA hat eine externe Nominierungsmöglichkeit für den KEV-Katalog eingeführt. Meine These: Das "Known Exploited"-Flag wird für Patch-Priorisierung zunehmend irrelevant – wenn die Zeit von Vulnerability zu Exploit bei unter 30 Minuten liegt, muss man ohnehin von sofortiger Ausnutzung ausgehen.

KimWolf-Botnet-Festnahme (KrebsOnSecurity)

https://krebsonsecurity.com/2026/05/alleged-kimwolf-botmaster-dort-arrested-charged-in-u-s-and-canada/

KimWolf-Botnet-Festnahme (DOJ)

https://www.justice.gov/usao-ak/pr/canadian-man-arrested-international-authorities-charged-administrating-kimwolf-ddos

Portraitbox-Breach (heise online)

https://www.heise.de/news/Sicherheitsvorfall-bei-Fotoanbieter-Wird-Portraitbox-erpresst-11304453.html

GitHub Breach / NX-Konsole Supply Chain (TeamPCP)

https://github.blog/security/supply-chain-security/security-incident-nx-console-extension/

CISA KEV Nomination Process

https://www.cisa.gov/known-exploited-vulnerabilities-catalog