Axios hat am späten 29. April die Geschichte gebrochen: Die Trump-Regierung arbeitet an einer exekutiven Anweisung, die es US-Bundesbehörden erlauben würde, Anthropics “Supply-Chain-Risk”-Einstufung zu umgehen und Claude Mythos einzusetzen. Diese Woche werden in Washington Unternehmen aus Finanzdienstleistungen, Verteidigung und Government-IT zu “Table Reads” der möglichen Anweisung geladen.
Klingt erstmal weit weg von Bonn, Bern oder Wien. Ist es aber nicht — denn diese Geschichte sitzt mitten in einem Themenkomplex, der die DACH-IT-Diskussion 2026 prägt: KI-Souveränität, Datenschutz, und die Frage, welchen ausländischen KI-Anbietern man im regulierten Umfeld trauen sollte.
Drei Sektoren in DACH werden sich diese Woche auf die Frage stürzen: Bundesbehörden (BMI, BSI, BMVg), regulierte Branchen (Finanz, Pharma, Gesundheit), und Mittelstand mit US-Cloud-Abhängigkeit. Hier ist, was du zur deutschen Lesart der Geschichte wissen solltest.
Die 90-Tage-Chronologie
Damit die Geschichte sauber landet, mal in zeitlicher Abfolge:
| Datum | Was passiert ist |
|---|---|
| 27. Februar 2026 | Trump weist alle US-Bundesbehörden an, Anthropic-KI mit 6-monatiger Auslauf-Frist nicht mehr zu nutzen |
| 3. März 2026 | Department of War (DoW) stuft Anthropic offiziell als “Supply Chain Risk” ein — erstmals für ein US-Unternehmen. Rechtsgrundlage: 10 U.S.C. § 3252 + 41 U.S.C. § 4713 |
| 9. März | Anthropic verklagt das DoW |
| 26. März | Bundesrichterin Rita F. Lin (N.D. Cal.) gewährt einstweilige Verfügung. Gericht sieht Anthropic als wahrscheinlich erfolgreich — Einstufung möglicherweise als verfassungswidrige Vergeltung für AI-Safety-Advocacy |
| 8. April | DoW-Berufung; D.C. Circuit lehnt Eilantrag ab |
| 16. April | White House Chief of Staff Susie Wiles und Finanzminister Scott Bessent treffen Anthropic-CEO Dario Amodei. Beide Seiten nennen es ein “produktives erstes Gespräch” |
| 16. April | Bloomberg meldet erstmals: Weißes Haus arbeitet an Mythos-Zugang für US-Behörden |
| 28. April | Pentagon-Google-Deal wird bekannt (Anthropic-Alternative für DoW) |
| 28.–29. April | Axios-Scoop: Weißes Haus entwirft Executive Order und lädt Branche zu “Table Reads” |
| ~Mai (gerüchteweise) | Mögliche EO-Verkündung |
| NSA-Status | National Security Agency nutzt Mythos schon — trotz Einstufung |
Die letzte Zeile ist der Knaller. Government Executive und Axios berichten, dass die NSA Claude Mythos die ganze Auseinandersetzung über genutzt hat. Die einstweilige Verfügung hat während der Klage die Tür offen gehalten — der Executive Order würde sie permanent öffnen.
Was die Policy-Welt auf X dazu sagt
Die Reaktion in der US-Policy-Twittersphäre war schärfer, als die meisten Berichte vermuten lassen. Der dominante Take von Procurement-Anwälten und AI-Policy-Accounts war keine Zustimmung. Es war: Lass die Einstufung doch einfach fallen.
Matt Yglesias hat den Axios-Scoop mit einem trockenen “When you fucked up but don’t want to admit it” zitiert — innerhalb 24 Stunden 2.557 Likes. Dean Ball, AI-Policy-Kommentator mit AEI-Reichweite, war direkter: Das Weiße Haus solle dem DoW eine Anweisung geben, die Einstufung zurückzunehmen, statt Workarounds zu schreiben. Gary Marcus hat das gleiche knapper formuliert. Sogar ein ehemaliger OpenAI-GTM-Mensch hat öffentlich gefragt: Warum nicht einfach die Einstufung zurücknehmen?
Der tiefere Punkt, den ein ehemaliger britischer Government-AI-Policy-Researcher gemacht hat: Die US-Regierung berät die US-Regierung dabei, wie sie eine Supply-Chain-Risk-Einstufung umgehen kann, die die US-Regierung einer US-Firma auferlegt hat. Das ist halt keine parteipolitische Kritik — das ist eine prozedurale.
Zwei Schlüsse:
- Der EO wird wahrscheinlich eine rechtliche Ausnahme statt einer sauberen Aufhebung. Hat Folgen für die Compliance-Sprache, die du dann schreiben musst.
- Das Pentagon zieht nicht mit. DoW-Klage läuft weiter. Der Spalt ist real. Bundesbehörden, die Mythos unter EOP-Anweisung onboarden, arbeiten in einem anderen Procurement-Rahmen als DoD-Aufträge.
Drei mögliche Szenarien
Wenn du als Federal Contractor, Subcontractor in der DACH-IT (z. B. mit Pentagon-anschlussfähigen Aufträgen) oder als deutscher CIO mit US-Cloud-Bezug planst, hat die nächste 30-Tage-Spanne grob drei Formen:
Szenario 1 — Executive Order kippt OMB-Anweisung. Die aggressivste Variante. Präsident unterzeichnet EO, OMB zieht die Anthropic-Beschränkung zurück, neuer Procurement-Sprech erlaubt Bundesbehörden den Einsatz von Anthropic-Modellen inklusive Mythos unter einem definierten Risikomanagement-Rahmen. Folge: Civilian-Buyer ziehen schnell (FY26-Q4-Deployment). DoD bleibt separat.
Szenario 2 — Teil-Ausnahme-Verfahren. Weniger aggressiv. EOP veröffentlicht ein Memo, das einen Case-by-Case-Ausnahme-Prozess schafft: Behörden, die Anthropic einsetzen wollen, beantragen eine Begründung bei OMB, OMB prüft gegen Kriterien, Ausnahme wird pro Use-Case erteilt. Folge: Civilian-Deployment slow-rollt (Quartal für Quartal, Behörde für Behörde). DoD bleibt separat.
Szenario 3 — Keine formale Aktion; Status quo mit Workarounds. Die “Table Reads” produzieren nichts Umsetzbares, aber Behörden weiten Mythos-Nutzung über bestehende Notfall-Befugnisse aus (so wie die NSA es jetzt macht). Folge: Rechtliche Mehrdeutigkeit bleibt, Deployment uneinheitlich, Compliance-Posture muss konservativ bleiben.
Die Axios-Berichterstattung deutet eher auf Szenario 1 oder 2 als auf 3. Das Wiles-Bessent-Amodei-Treffen am 16. April war keine Höflichkeit, sondern eine Kalibrierungs-Sitzung. Plane mit Szenario 2 als Basisfall, Szenario 1 als Upside.
Was das für DACH-Käufer konkret heißt
Hier wird’s praktisch. Pro Käufer-Archetyp:
Wenn du Bundes- oder Landesbehörden-IT bist (Deutschland, Österreich, Schweiz):
Die deutsche Souveränitätsdebatte rund um Cohere × Aleph Alpha (Übernahme im April) wird durch die US-Geschichte indirekt beeinflusst. Wenn die US-Regierung die Anthropic-Sperre zurücknimmt, sinkt der Sondereffekt deutscher und EU-Sovereign-AI-Anbieter wie Aleph Alpha — denn das US-Beispiel zeigt: politisch gewollte Sperren halten nicht. Andererseits steigt die Argumentation, eine eigene EU-souveräne Alternative zu betreiben, die gegen zukünftige solche Volten geschützt ist. Beide Lesarten existieren — du musst entscheiden, welcher Logik dein Beschaffungs-Statut folgt.
Wenn du als deutscher Mittelständler US-Cloud-KI nutzt:
Die unmittelbare Folge ist gering. Aber die Geschichte zeigt einen wichtigen Hebel: Politische Risikoeinstufungen sind volatil, und die rechtliche Auseinandersetzung um sie kann Quartale dauern. Wenn dein Compliance-Framework auf einer Liste “verbotener Anbieter” basiert, brauchst du Versionskontrolle für diese Liste — und einen klaren Prozess, wann die Liste nach US-EOs aktualisiert wird (und wann nicht). Wir empfehlen den BSI-Cloud-Compliance-Kontrollkatalog (C5:2026) als Referenz, weil er in einer ähnlichen Situation bei Microsoft-OpenAI-Eskalationen Anfang 2026 robust gehalten hat.
Wenn du in einer regulierten Branche bist (Finanz, Pharma, Gesundheit):
Dein Compliance-Team behandelt die OMB-Anweisung als US-Spezifik — also nicht direkt anwendbar. Aber EU-AI-Act-Risikoeinstufung und BaFin/MaRisk/MaGo-Anforderungen leben von ähnlichen Logiken. Was die US-Geschichte zeigt: Eine politisch gewollte Sperre ist nicht das Ende der Geschichte; sie ist der Anfang. Plan deine AI-Vendor-Strategie so, dass Wechsel-Kosten klein bleiben — auch wenn ein Anbieter politisch gerade nicht in Mode ist.
Wenn du als deutscher KI-Anbieter (Aleph Alpha, NyonAI, etc.) auf Mittelstand zielst:
Die Geschichte ist ein zweischneidiges Schwert. Pro: Politische Risikoaufladung von US-Anbietern kann dein Souveränitäts-Verkaufsargument stärken. Kontra: Wenn US-Sperren zurückgenommen werden, geht der Differenzierungs-Effekt zurück. Die wirklich nachhaltige Position ist nicht “wir sind nicht US” — sondern “wir sind technisch und vertraglich auf einem Niveau, das eigenständige Wahl rechtfertigt”.
Sechs Fragen für deinen Vendor-Audit diese Woche
Diese sechs Fragen lohnen sich diese Woche durchzuziehen, bevor irgendein US-EO landet:
1. Wo zitiert unsere AI-Vendor-Liste die Original-OMB-Direktive? Find jedes Governance-Dokument, das “OMB” + “Anthropic” + “Supply Chain Risk” referenziert. Wenn du zehn solche Dokumente hast, hast du am Tag nach einem EO zehn Sachen zu aktualisieren.
2. Welche aktiven Verträge haben Flow-Down-Klauseln, die Anthropic ausschließen? Konkrete Anbieter-Ausschlüsse leben oft in einem einzigen Anhang sechs Klicks tief im Vertragsmanagement. Find sie jetzt, solange Suchen billig ist.
3. Was ist unsere dokumentierte Begründung für jegliche aktuelle Mythos-Nutzung? Wenn du Mythos schon über irgendeine Konsortien-Variante (Glasswing-Partner etc.) nutzt, dokumentiere die Genehmigungskette jetzt.
4. Wo ist die Lücke zwischen unserem aktuellen AI-Risikomanagement und dem NIST AI RMF (auf das der EO sehr wahrscheinlich verweisen wird)? Der EO wird mit hoher Wahrscheinlichkeit auf das NIST AI Risk Management Framework verweisen. Wenn dein internes Framework abweicht, list die Gaps jetzt. Du brauchst sie, sobald dein CISO gefragt wird, welcher Framework-Version eure Governance entspricht.
5. Sind unsere Subcontractor-Vereinbarungen nach Vendor-Namen oder nach funktionalen Kontrollen geschrieben? Vendor-Namen-Ausschlüsse (“Auftragnehmer darf keine Anthropic-Modelle einsetzen”) müssen bei jeder Procurement-Anweisungs-Änderung überarbeitet werden. Funktionale Kontrollen (“Auftragnehmer stellt sicher, dass Modell-Anbieter folgende fünf Kriterien erfüllen”) überleben Anweisungs-Änderungen. Wenn du dieses Quartal neue Subverträge schreibst — funktionale Sprache ist die wartungsärmere Wahl.
6. Wer hat bei uns Unterschriftsbefugnis für AI-Vendor-Genehmigungen — und ist das dokumentiert? Wenn der EO erscheint und dein Team in derselben Woche einen neuen Anthropic-basierten Service freigeben muss, wird die Frage “wer unterschreibt” zum Engpass.
Was diese Geschichte nicht beantwortet
Die ehrliche Lesart: Niemand außerhalb des Weißen Hauses weiß, ob die exekutive Aktion im Mai kommt, in den Sommer rutscht oder ganz beerdigt wird. Die Axios-Berichterstattung ist solide — die Timeline echt unsicher.
Drei Dinge, die die aktuelle Berichterstattung nicht beantwortet:
Ob das DoD irgendwann einknickt. Die DoW-Klage läuft weiter. Ein White-House-EO bindet das Pentagon nicht; juristische Schiene am N.D. Cal. und Procurement-Schiene am OMB laufen parallel.
Welche “Mythos”-SKUs Bundesbehörden tatsächlich bekommen. Anthropics Project Glasswing hat 11 Organisationen. Federal-Zugang könnte ein separater Konsortien-Tier sein, eine Managed-Cloud-Variante über Amazon Bedrock oder Google Vertex (würde FedRAMP-äquivalente Kontrollen vom Hyperscaler erben), oder eine direkte Lizenzierung. Jede Variante hat andere Sicherheits- und Compliance-Implikationen.
Ob die breiteren Cybersecurity-Bedenken adressiert werden. Die AISI-Evaluation, Bruce Schneiers Kommentar und CETaS am Alan Turing Institute haben alle auf Mythos’ Cyber-Offensive-Fähigkeiten hingewiesen. Ob die Anweisung diese Bedenken adressiert oder als akzeptiertes Risiko innerhalb der Behörden-Anwendung behandelt — das wird der eigentliche EO-Text zeigen.
Was wir als Nächstes beobachten
Kurzliste, in Prioritätenreihenfolge:
- OMB-Sprache-Update. Erstes formales Signal kommt als Memo von OMB an Behörden-CIOs.
- Erste Mayer Brown / Goodwin / Wiley Rein-Beratungs-Memos nach EO. Diese drei Federal-Procurement-Kanzleien veröffentlichen Reaktions-Memos innerhalb von 72 Stunden nach jeglicher formaler Anweisung.
- DoD-Reaktion. Die Pentagon-Reaktion wird das zweitwichtigste Signal sein. Wenn DoW ein paralleles Update ausgibt, hast du einen koordinierten Rahmen.
- Anthropics eigene Anleitung. Anthropic veröffentlicht in der Regel Procurement-Anleitungen auf red.anthropic.com nach großen Policy-Ereignissen.
Unterm Strich
Die Anthropic-Supply-Chain-Risk-Einstufung war das folgenreichste US-Federal-AI-Procurement-Ereignis 2026 bisher. Das White-House-Workaround in Arbeit ist das zweitfolgenreichste. Wenn du als deutscher Federal-Contractor, regulierter Mittelständler oder Bundes-/Landes-IT-Käufer arbeitest, der Federal-Civilian-Anweisungen tracked: Die Woche zwischen jetzt und der EO-Verkündung ist die billigste Woche im Jahr, um deine Governance-Dokumente, Flow-Down-Sprache und AI-Vendor-Genehmigungs-Befugnisse zu aktualisieren.
Du musst nicht wissen, was die exekutive Anweisung sagen wird. Du musst wissen, welche deiner Dokumente in der Woche danach aktualisiert werden müssen. Diese Arbeit fängt heute an.
Wenn dich der breitere Souveränitäts-Kontext interessiert: Der Pentagon-Anthropic-Vendor-Audit erklärt die Procurement-Seite. Der Anthropic-900-Mrd.-Bewertungs-Hintergrund erklärt, warum Anthropic die politische Schwerkraft hat, das überhaupt zu ziehen.
Quellen:
- Scoop: Weißes Haus arbeitet an Plan, Anthropic zurückzubringen — Axios, 29. April 2026
- Weißes Haus entwirft Plan für Anthropic-Bundes-Nutzung — Government Executive, 29. April 2026
- Weißes Haus arbeitet an Anthropic-Mythos-Zugang für US-Behörden — Bloomberg, 16. April 2026
- Anthropic-Supply-Chain-Risk-Einstufung in Kraft — Mayer Brown, März 2026
- Pentagon Designates Anthropic a Supply Chain Risk — Mayer Brown, März 2026
- Anthropic verklagt Department of War wegen Supply-Chain-Risk-Einstufung — TechCrunch, 9. März 2026
- Where things stand with the Department of War — Anthropic
- Claude Mythos Preview — Anthropic
- Bewertung von Claude Mythos — UK AI Safety Institute
- Was Anthropics Mythos für die Cybersicherheit bedeutet — Schneier on Security
