Wenn der Hacker kein Mensch mehr ist
Zwei Stunden. Kein Passwort. Kein Insider-Wissen. Kein Mensch am Steuer.
Das ist alles, was ein autonomer KI-Agent gebraucht hat, um sich vollständigen Zugriff auf McKinseys interne KI-Plattform „Lilli“ zu verschaffen, inklusive 46,5 Millionen Chat-Nachrichten, 728.000 vertraulicher Dateien, 57.000 Nutzerkonten und 95 System-Prompts, die das Verhalten der gesamten Unternehmens-KI steuern. Der Vorfall ist kein Zukunftsproblem. Er ist passiert. Jetzt. Und er verändert grundlegend, wie wir über KI-Infrastruktur, API-Design und die nächste Generation von KI-Hardware denken müssen.
Willkommen im Zeitalter, in dem KI nicht mehr nur gebaut wird, sondern anfängt, sich gegenseitig zu hacken.
Was genau passiert ist und warum es jeden KI-Infrastruktur-Verantwortlichen aufhorchen lassen sollte
Das Ziel: Lilli, McKinseys Enterprise-KI
Lilli ist nicht irgendeein Chatbot auf einem Testserver. Die Plattform versorgt über 40.000 McKinsey-Mitarbeiter weltweit mit KI-gestützter Unterstützung für Strategie, Recherche und Dokumentenarbeit. Darunter läuft eine skalierbare Enterprise-Infrastruktur, Cloud-GPU-Instances, API-Gateways, Lastverteilung, Multi-Tenant-Datenbank-Backends. Kurz: alles, was eine moderne, hochbelastete KI-Plattform ausmacht.
Genau das macht den Vorfall so bedeutsam. Es war kein Angriff auf einen schlecht gewarteten Legacy-Server. Es war ein Angriff auf ein ernstzunehmendes, produktives Enterprise-KI-System – und es hat funktioniert.
Der Angreifer: Ein Offensive-Agent von CodeWall
Das Security-Startup CodeWall entwickelt KI-Agenten, die für Penetrationstests eingesetzt werden. Im Rahmen von McKinseys eigener Responsible-Disclosure-Richtlinie wurde der Agent losgeschickt, vollständig autonom, ohne menschliche Steuerung, ohne Zugangsdaten, ohne Innentäter. Der Agent wählte Lilli eigenständig als Ziel aus, kartierte die verfügbare API-Oberfläche selbstständig und führte den gesamten Angriff ohne einen einzigen manuellen Eingriff durch.
Das ist der entscheidende Paradigmenwechsel, den viele in der KI-Szene noch unterschätzen: Es geht nicht mehr darum, ob ein Mensch Zeit und Skill hat, eine Schwachstelle zu finden. Es geht darum, ob dein System einer Maschine standhalten kann, die in Minuten arbeitet, was Menschen in Wochen tun.
Die Lücke: Eine Schwachstelle aus den 1990ern in einer 2024er-KI-Plattform
Hier liegt eine der bittersten Pointen der Geschichte. Der Exploit war kein Zero-Day-Wunder, keine ausgeklügelte KI-spezifische Angriffstechnik. Es war SQL-Injection, eine Angriffsmethode, die seit den frühen 2000ern bekannt ist und gegen die es seit Jahrzehnten etablierte Schutzmaßnahmen gibt.
Der Ablauf war so systematisch wie erschreckend effizient:
Schritt 1 – API-Kartierung: Der Agent sichtete die öffentlich zugängliche API-Dokumentation von Lilli und identifizierte über 200 Endpunkte. Von diesen waren 22 ohne Authentifizierung erreichbar.
Schritt 2 – Der kritische Endpunkt: Einer dieser offenen Endpunkte schrieb Suchanfragen direkt in die Datenbank. Der entscheidende Fehler: Die Eingabewerte selbst waren korrekt parametrisiert, aber die JSON-Feldnamen wurden ungefiltert direkt in SQL-Abfragen eingebaut. Eine klassische, lehrbuchhafte SQL-Injection-Angriffsfläche, die offensichtlich durch kein Code-Review und keinen automatisierten Scanner entdeckt worden war.
Schritt 3 – Blind-SQL-Injection in 15 Iterationen: Der Agent nutzte Fehlermeldungen als Rückmeldung, um in 15 systematischen Iterationsschritten die komplette Datenbankstruktur zu kartieren. Danach hatte er vollen Lese- und Schreibzugriff auf die Produktionsdatenbank.
Das Ausmaß: Nicht nur Daten, sondern Kontrolle über die KI selbst
Die reinen Zahlen sind beeindruckend genug: 46,5 Millionen Chat-Nachrichten, 728.000 Dateien, 57.000 Nutzerkonten. Aber der wirklich beunruhigende Aspekt liegt tiefer.
Die 95 System-Prompts, die das Verhalten von Lilli grundlegend steuern, lagen in derselben Datenbank wie alle anderen Daten. Ein Angreifer mit Schreibzugriff, was der Agent hatte, hätte diese Prompts verändern können. Ohne Code-Deployment. Ohne Server-Neustart. Mit einem einzigen SQL-UPDATE-Statement, abgesetzt über eine reguläre API-Anfrage.
Das bedeutet im Klartext: Der Angreifer hätte nicht nur Daten gestohlen, sondern die KI selbst umprogrammiert. Er hätte Lilli dazu bringen können, falsche Informationen zu liefern, vertrauliche Inhalte zu extrahieren oder interne Abläufe zu sabotieren, alles im Verborgenen, ohne dass Nutzer oder Administratoren etwas gemerkt hätten. Das ist keine Datenpanne. Das ist die Übernahme eines KI-Systems von innen.
Hardware, Geschwindigkeit und der Multiplikatoreffekt
Jetzt kommt die KI-Hardware-Perspektive ins Spiel und sie ist wichtiger, als sie auf den ersten Blick scheint.
McKinsey hat klargestellt, dass der Test kontrolliert ablief und keine Kundendaten tatsächlich extrahiert wurden. Technisch gesehen blieb der Schaden begrenzt. Aber die Geschwindigkeit des Angriffs zeigt eine neue Qualität der Bedrohung, die direkt mit der zugrunde liegenden Infrastruktur zusammenhängt.
Zwei Stunden für den Vollzugriff auf Millionen Datensätze, das ist nur möglich, weil moderne Cloud-Datenbank-Backends hohe Parallelität und massive Abfrageraten unterstützen. Dieselben Features, die Lilli für 40.000 gleichzeitige Nutzer skalierbar machen, haben dem Agenten ermöglicht, seinen SQL-Injection-Angriff mit maximaler Effizienz durchzuführen.
Das ist der bittere Kern der Erkenntnis: Hochperformante KI-Infrastruktur macht Angriffe nicht langsamer, sie beschleunigt sie. Eine Schwachstelle, die in einer langsamen Legacy-Umgebung vielleicht Tage zur Ausnutzung gebraucht hätte, wird in einer modernen, hochskalierten KI-Cloud zur Waffe mit Stundentakt.
KI-Agent vs. menschlicher Pentester, ein fairer Vergleich?
| Aspekt | Menschlicher Pentester | KI-Agent (CodeWall) |
|---|---|---|
| Angriffszeit | Tage bis Wochen | 2 Stunden |
| Zielwahl | Manuell, scope-abhängig | Eigenständig, datengetrieben |
| SQL-Injection-Erkennung | Scanner + manuell | Selbstlernend, iterativ |
| Klassische Scanner | Teilweise wirksam | Wird umgangen |
| Parallelität | Begrenzt | Volle Cloud-Ressourcen |
Der entscheidende Punkt: Der Agent hat keine geheimen Werkzeuge genutzt. Er hat dieselben APIs und Tools genutzt, die auch legitime Clients verwenden, nur mit rücksichtsloser Automatisierung und einer Rückkopplungsschleife, die kein menschlicher Tester in dieser Dichte reproduzieren kann.
Unser Fazit: Was der McKinsey-Fall für KI-Hardware-Verantwortliche bedeutet
Der McKinsey-Vorfall ist kein isolierter Einzelfall und kein Beleg für schlechtes IT-Management. Er ist ein Systemproblem, das die gesamte KI-Infrastruktur-Szene betrifft und ein klares Warnsignal für jeden, der heute Enterprise-KI-Plattformen plant, baut oder betreibt.
Die wichtigste Erkenntnis ist dabei keine technische, sondern eine konzeptionelle: Sicherheit und Hardware-Skalierung werden immer noch in getrennten Silos gedacht. Man kauft schnellere GPUs, skaliert die Cloud-Infrastruktur hoch, optimiert Latenzen und vergisst dabei, dass dieselbe Infrastruktur, die die KI-Plattform leistungsfähiger macht, einen Angreifer gleichzeitig gefährlicher macht.
Konkret bedeutet das für den Betrieb von KI-Plattformen:
Agent-Aware Security ist keine Option mehr, sondern Pflicht. Klassische User-Level-Sicherheitsmodelle reichen nicht aus, wenn autonome Agenten auf APIs zugreifen können. Rechte- und Zugriffsmodelle müssen explizit für KI-Agenten konzipiert werden, mit eigenem Scope, eigenem Logging und eigenen Rate-Limits.
API-Hardening geht vor Modell-Hardening. Es bringt wenig, das beste LLM einzusetzen, wenn die API-Schicht darüber ungefilterte SQL-Eingaben akzeptiert. Parametrisierte Queries, Input-Validierung auf Feldnamen-Ebene und regelmäßige Security-Audits sind keine optionalen Add-ons, sie sind Grundvoraussetzungen.
System-Prompts gehören nicht in die Produktionsdatenbank. Wer das Verhalten seiner KI steuert, muss diese Steuerungsebene vom operativen Datenbankbetrieb trennen. Getrennte Speicherschichten, separate Zugriffsmodelle, Integritätsprüfungen, das ist keine Überengineering-Paranoia, sondern elementare KI-Betriebssicherheit.
Red-Teaming mit KI-Agenten ist der neue Standard. Wenn Angreifer KI-Agenten einsetzen, müssen Verteidiger das auch tun. Automatisiertes Pentesting mit Offensive-Agenten, wie CodeWall es macht, sollte zum regulären Bestandteil jedes Security-Zyklus werden, bevor jemand anderes das für euch übernimmt.
Der Blick nach vorne: Vera Rubin und die nächste Eskalationsstufe
Nvidia bereitet mit dem Codename „Vera Rubin“ die nächste GPU-Mikroarchitektur-Generation vor, der geplante Nachfolger der Blackwell-Architektur, konzipiert für maximale KI-Workload-Beschleunigung bei generativen Modellen und Code-Generierung. In Kombination mit schnellen Speicherlösungen im 100-TB-Bereich soll Rubin KI-Plattformen auf Exaflops-Niveau bringen.
Für die Sicherheits-Community ist das eine zwiespältige Nachricht. Mehr Rechenleistung bedeutet bessere KI-Modelle, aber eben auch mehr Parallelität, schnellere API-Antwortzeiten und höhere Durchsatzraten bei Datenbankabfragen. Alles Parameter, die einen SQL-Injection-Angriff wie den auf Lilli noch schneller und noch verheerender machen würden.
Die KI-Hardware-Roadmap und die Sicherheits-Roadmap müssen deshalb zusammenwachsen. Was uns für die kommenden Vera-Rubin-Analysen bei AIFactum beschäftigen wird: Hardware-seitige Sicherheitsfeatures wie Secure-Enclave-Konzepte für System-Prompts, In-Hardware-Rate-Limiting und isolierte Execution-Environments für KI-Agenten. TFLOPS und Wärmeleistung sind nur ein Teil der Geschichte, der andere Teil heißt ab sofort: Wie sicher ist die Hardware selbst, wenn Agenten mit ihr arbeiten?
Der McKinsey-Fall ist ein Wendepunkt. Nicht weil McKinsey besonders unvorsichtig war, sondern weil er zeigt, dass die Kombination aus autonomen KI-Agenten und klassischen Sicherheitslücken eine neue, qualitativ andere Bedrohungsklasse erzeugt. Eine, die nicht durch bessere Modelle gelöst wird, sondern durch besseres Systemdenken: Modell, API, Datenbank und Hardware als ein einziges, durchgehärtetes Gesamtsystem.
Wer das jetzt versteht, hat einen Vorsprung. Wer wartet, bis der eigene Lilli-Moment kommt, hat zwei Stunden und dann keinen mehr.
Hinweis: Dieser Artikel enthält Inhalte, die mit Unterstützung eines KI-Systems erstellt wurden. Die Inhalte wurden anschließend von einem Menschen mit Hinweis: Dieser Artikel enthält Inhalte, die mit Unterstützung eines KI-Systems erstellt wurden. Die Inhalte wurden anschließend von einem Menschen mit ❤️ überprüft und bearbeitet, um Qualität und Richtigkeit sicherzustellen.