Eine Behörde beziffert die Lücke

Am 17. Juli 2026 veröffentlichte das britische AI Security Institute die erste empirische Messung, wie weit offene KI der geschlossenen Spitze bei offensiver Cyber-Arbeit hinterherhinkt, und die Zahl fällt kleiner aus, als die Branche annahm. AISI stellte fest, dass die besten herunterladbaren Modelle die Cyber-Fähigkeit geschlossener Spitzensysteme erreichen, die vier bis sieben Monate früher erschienen sind. Über weite Teile von 2025 lag diese Lücke bei sechs bis zehn Monaten. Der Vorsprung der geschlossenen Labore gegenüber frei verfügbaren Modellen hat sich in einem einzigen Jahr um rund ein Drittel bis die Hälfte verringert.

Das Ergebnis stützt sich auf zwei Testverfahren, nicht auf einen einzelnen Benchmark. AISI ließ siebzig eng gefasste Cyber-Aufgaben über vier Schwierigkeitsstufen laufen und dann eine Reihe von Cyber-Ranges, die messen, ob ein Modell einen durchgängigen Angriff auf ein simuliertes Netz eigenständig führen kann. GLM-5.2, im Juni 2026 erschienen, verhielt sich bei den engen Aufgaben wie geschlossene Modelle von vier Monaten zuvor und erreichte Opus 4.5 auf den längeren Ranges. DeepSeek V4-Pro lag gleichauf mit demselben Opus 4.5, einem Modell, das fünf Monate vor ihm erschienen war.

Der Vorsprung war nie umsonst

Die Lücke ist der eigentliche Grund, sie zu messen. Die fähigsten Cyber-Modelle waren stets geschlossen, erreichbar nur über die Schnittstelle eines Anbieters, wo dieser die Nutzung beobachten, Missbrauch verweigern und ein Konto abschalten kann. Genau diese Kontrolle verschafft Verteidigern Zeit: Sicherheitsteams mit Zugang zu den stärksten geschützten Systemen können Schwachstellen finden und schließen, bevor dieselbe Fähigkeit über ein Modell zu Angreifern gelangt, das niemand überwacht.

Dieses Fenster ist nicht theoretisch. Im April 2026 legten zwei geschlossene Modelle, Mythos Preview und GPT-5.5, die größten Einzelsprünge an Cyber-Fähigkeit hin, die AISI seit Testbeginn 2023 verzeichnet hatte, was internationale Warnungen auslöste. Die geschlossene Spitze bewegt sich weiter; die Frage, die AISI beantwortete, ist, wie schnell das offene Feld folgt. Der Vergleich spricht für sich, denn GLM-5.2 und DeepSeek V4-Pro stehen nun dort, wo Opus 4.5, Opus 4.6 und GPT-5.3-Codex vor wenigen Monaten standen.

Was eine Lücke von Monaten für Ihr Sicherheitsbudget bedeutet

Planen Sie Ihre Verteidigung nach einer Uhr, die nun Monate zeigt, nicht ein Jahr. Was die bezahlte Spitze heute offensiv kann, sollte als in etwa einem halben Jahr in einem unbeaufsichtigten, herunterladbaren Modell verfügbar behandelt werden. Ein offenes Modell hat keine Ratenbegrenzung, keine Missbrauchssperre und keinen Ausschalter; sind die Gewichte einmal öffentlich, wandern die Schutzmechanismen eines gehosteten Dienstes nicht mit. Die praktische Planungsannahme ist Angreifer-Gleichstand mit der geschützten Spitze bei zwei Quartalen Verzug.

Für einen Betrieb verschiebt das mehrere Posten. Ein Patch-Rhythmus, der auf einen gemächlichen Quartalszyklus eingestellt ist, liegt nun in dem Fenster, in dem ein Massenmodell eine öffentliche Schwachstelle zu einem funktionierenden Einbruch verketten kann. Erkennungswerkzeuge, gekauft mit dem Versprechen, neuartige Angriffe blieben selten, müssen annehmen, dass neuartig wirkende Angriffe früher zur Routine werden. Und der Sicherheitswert, für ein geschlossenes Spitzenmodell zu zahlen, ist real, aber schrumpfend, denn dasselbe Denken, das Ihr Team mietet, ist Monate davon entfernt, von jedem herunterladbar zu sein, der Sie ins Visier nimmt.

Ein offenes Modell lässt sich nicht zurückrufen

Die Asymmetrie, die das schwer macht, ist die Dauerhaftigkeit. Ein geschlossenes Labor, das feststellt, dass sein Modell gefährlich geworden ist, kann Filter verschärfen, den Zugang drosseln oder es zurückziehen. Offene Gewichte werden nach der Freigabe kopiert, gespeichert und neu gehostet, außerhalb der Reichweite jeder einzelnen Partei, und die eintrainierten Leitplanken lassen sich von jedem entfernen, der die Datei und bescheidene Hardware hat. AISI formuliert es unverblümt: Verteidiger haben ein kurzes Fenster, bevor die heutigen Spitzen-Cyber-Fähigkeiten ohne dieselben Schutzmechanismen zugänglich werden könnten.

All das macht offene Modelle nicht zum Schurken; dieselbe Offenheit trägt die Forschung, die Prüfbarkeit und die Souveränität, die europäische Firmen zunehmend von ihrem Software-Stack verlangen. Es ist ein Argument über das Timing. Der Nutzen offener Gewichte und das Risiko offener Gewichte treffen gemeinsam ein, und die Risiko-Uhr ist die, die sich gerade beschleunigt hat. Die Vier-bis-sieben-Monats-Zahl als festes Gesetz zu behandeln, wäre ebenfalls ein Fehler, denn der Trend über das Jahr ist, dass sie weiter schrumpft.

Das Fazit

Nehmen Sie an, dass die Werkzeuge des Angreifers die geschützte Spitze in etwa sechs Monaten erreichen, und besetzen, patchen und überwachen Sie nach dieser Annahme. Unter NIS2 liegt die Verantwortung für dieses Urteil nun bei namentlich benannter Leitung, nicht bei einem Dienstleister, der Kalender, gegen den Sie planen, ist damit eine Zahl für die Geschäftsführung. Stellen Sie Ihrer Sicherheitsleitung in diesem Quartal eine Frage: Wenn ein herunterladbares Modell bis Jahresende einen autonomen Angriff auf unser Netz führen könnte, was ändert sich heute. Die ehrliche Antwort ist ein Budgetposten, keine Beruhigung.