Würde Ihr Unternehmen den Verlust eines KI-Tools über Nacht überstehen?
Anthropic zog Claude Fable 5 innerhalb weniger Stunden nach einer Anordnung der US-Regierung zurück. Warum jedes Unternehmen in der DACH-Region und im Vereinigten Königreich seine KI-Abhängigkeiten jetzt auf Resilienz auslegen sollte.
Gestern zog Anthropic Claude Fable 5 innerhalb weniger Stunden nach einer Anordnung der US-Regierung zurück. Das Modell war erst wenige Tage alt, daher bekamen es nur wenige Teams zu spüren. Genau das macht es zu einer kostengünstigen Vorschau auf ein Risiko, das man jetzt in Ruhe einplanen sollte – in der DACH-Region wie im Vereinigten Königreich.
Am Freitagabend wies eine US-Exportkontrollanordnung Anthropic an, den Zugang zu seinen beiden neuesten und leistungsfähigsten Modellen – Claude Fable 5 und Claude Mythos 5 – für sämtliche ausländischen Staatsangehörigen zu sperren. Um die Vorgabe zu erfüllen, schaltete das Unternehmen beide Modelle innerhalb weniger Stunden für jeden Kunden in jeder Region ab. Alle anderen Claude-Modelle liefen weiter. Fable 5 war erst seit wenigen Tagen allgemein verfügbar, sodass nur sehr wenige Teams es bereits in etwas Geschäftskritisches eingebunden hatten. Die Störung blieb diesmal gering.
Genau deshalb lohnt ein genauer Blick. Entscheidend ist der Mechanismus, nicht die geringe Zahl der Betroffenen. Ein vor einem Jahr veröffentlichtes Modell, das in Hunderte von Arbeitsabläufen eingewoben ist und hinter Funktionen steckt, mit denen Ihre Kunden in Berührung kommen, könnte auf dieselbe Weise und in denselben wenigen Stunden aus demselben Grund zurückgezogen werden. Auslöser war hier ein echtes Sicherheitsbedenken, und eine Regierung sollte auf ein solches reagieren können. Doch die Form der Maßnahme – zur Einhaltung der Vorgabe alles für alle auf einmal abzuschalten – macht aus einer sachlich richtigen Sicherheitsentscheidung ein betriebliches Ereignis für jedes nachgelagerte Unternehmen. Man kann die Entscheidung für richtig halten und trotzdem einen Plan für den Morgen brauchen, an dem das Tool weg ist.
Die meisten Unternehmen können die externen Dienste, von denen ihr Betrieb abhängt, noch gar nicht benennen. Einige sind offensichtlich und liegen in einer Beschaffungsakte: das ERP, die Bank, der Cloud-Anbieter. Der Rest kam durch die Seitentür. Ein Entwickler meldete sich mit der Firmenkarte für einen KI-Assistenten an. Ein Team begann, Kundenanfragen über ein Tool zu leiten, das niemand formell freigegeben hatte. Nichts davon durchlief eine Prüfung, also landete nichts davon in einem Verzeichnis, also stellte niemand die Frage, die der Freitag gerade greifbar gemacht hat: Was funktioniert weiter, wenn das morgen weg ist?
Für alle, die für Sicherheit verantwortlich sind, hat der KI-Fall eine schärfere Kante. Diese Tools haben sich am schnellsten innerhalb der Sicherheitsarbeit selbst verbreitet: Triage, Log-Auswertung, das Entwerfen von Erkennungsregeln, Code-Reviews. Ein leistungsfähiges Modell verschafft einem überlasteten Team echte Stunden zurück. Es bedeutet aber auch, dass sich ein Teil Ihrer Verteidigung nun auf etwas stützt, das eine Exportanordnung ohne Vorwarnung abschalten kann – und gerade deshalb abschaltet, weil das Modell gut in Sicherheitsfragen ist. Je besser das Tool, desto mehr lohnt es sich, darauf zu setzen, und desto mehr lohnt es sich, einen Weg zum Ersatz zu haben. Die Absicherung eines KI-Systems geht längst über das Prüfen seiner Ergebnisse hinaus. Sie umfasst nun auch die Frage, ob Sie an dem Morgen, an dem es verschwindet, noch arbeitsfähig sind.
Nichts davon ist eine neue Risikokategorie, und Ihre Aufsichtsbehörde hat längst darauf hingewiesen. In der EU widmet DORA dem IKT-Drittparteienrisiko einen ganzen Abschnitt und verlangt von beaufsichtigten Unternehmen, ihre kritischen Anbieter zu erfassen und Ausstiegsszenarien zu planen, wobei Konzentrationsrisiken ausdrücklich benannt werden; NIS2 zählt die Sicherheit der Lieferkette und die Geschäftskontinuität zu ihren Kernpflichten. Im Vereinigten Königreich betreiben FCA und PRA seit Jahren ein Regime für operationelle Resilienz, und im Januar 2025 trat ein neues Regime für kritische Drittparteien in Kraft, geschaffen von der Bank of England und den Aufsichtsbehörden, weil zu große Teile des Finanzsystems auf dieselben wenigen Anbieter angewiesen waren. ISO 27001 und das NIST-Framework führen Lieferanten- und Cloud-Kontrollen, solange überhaupt jemand ein Zertifikat besitzt. Die Richtung steht fest. Ein KI-Spitzenmodell ist schlicht in die Liste der Anbieter aufgerückt, die verschwinden können – und das innerhalb von Stunden.
Die Form der Antwort ist kein Geheimnis. Sie ruht auf drei Dingen: zu wissen, auf welche externen Tools Sie einen normalen Tag wirklich nicht verzichten können, für die wichtigen davon eine bewusst gewählte zweite Option zu haben und zu belegen, dass der Wechsel funktioniert, bevor Sie ihn brauchen. Die meisten Teams können das erste Tool auf dieser Liste in einer einzigen Besprechung benennen.
Die Schwierigkeit ist nie die Liste; es ist das Urteilsvermögen darunter. Sie müssen ein Tool, das Sie nur vermissen würden, von einem unterscheiden, ohne das der Betrieb stillstünde. Die Ausweichlösung muss Sie wirklich absichern und nicht aus demselben Grund im selben Moment ausfallen. Und der Wechsel muss an einem schlechten Morgen halten, nicht in einem aufgeräumten Test. Genau dieses Urteilsvermögen macht aus einem Verzeichnis echte Resilienz – und genau hier zeigte sich gestern, wer es kaum bemerkte und wer in Hektik geriet.
Das ist der Teil, den wir übernehmen – auf beiden Seiten des Ärmelkanals –, und Sie müssen ihn nicht allein lösen. Small Scale entwickelt Betriebsmodelle und Compliance-by-Design für KMU in der DACH-Region, damit Ihre Arbeitsweise weiterläuft, wenn ein Anbieter es nicht tut. CRMG bringt tiefes Cyber-Risikomanagement ins Vereinigte Königreich und darüber hinaus, einschließlich des Drittparteienrisikos und der KI-Absicherung, um die es bei diesem Vorfall geht. Wir helfen Ihnen, die Abhängigkeiten zu finden, auf die es wirklich ankommt, und Ausweichlösungen zu wählen, die halten, sodass der Wechsel zu etwas wird, das Sie eingeübt haben, statt es zu fürchten.
Welches eine Tool könnte Ihr Unternehmen morgen nicht verlieren – und haben Sie ein zweites bereit, das seinen Platz einnimmt?
Buchen Sie ein Gespräch mit Small Scale →
Alexandre de Sousa Bally ist Principal Consultant bei Small Scale, das Betriebsmodelle und Compliance-by-Design für KMU in der DACH-Region entwickelt.
Dieser Beitrag erscheint auch auf der Small-Scale-Insights-Seite.
Kommentare sind noch nicht konfiguriert.