Wie McKinseys KI-Plattform gehackt wurde – und was das für Unternehmen bedeutet

Dieser Beitrag basiert auf dem öffentlich veröffentlichten Sicherheitsbericht von [CodeWall](https://codewall.ai/blog/how-we-hacked-mckinseys-ai-platform) vom 9. März 2026. CodeWall hat die Schwachstelle verantwortungsvoll an McKinsey gemeldet, bevor sie sie publik gemacht haben. McKinsey hat die Lücke innerhalb von 24 Stunden nach der Meldung geschlossen – eine bemerkenswert schnelle Reaktion. Wir berichten darüber, weil die Erkenntnisse für jedes Unternehmen mit KI-Infrastruktur relevant sind.
McKinsey betreibt seit 2023 eine interne KI-Plattform namens Lilli – genutzt von über 43.000 Mitarbeitenden weltweit, mit 500.000 Anfragen pro Monat und einer Adoptionsrate von 70 %. Eine beeindruckende Infrastruktur. Bis ein autonomer KI-Agent des Sicherheitsunternehmens CodeWall die gesamte Produktionsdatenbank innerhalb von zwei Stunden kompromittiert hatte – ohne Zugangsdaten, ohne Insider-Wissen.
Was genau passiert ist, was exponiert wurde und was das für Unternehmen bedeutet, die heute KI-Plattformen betreiben.
Was ist Lilli?
Lilli ist McKinseys interne KI-Plattform – ein KI-Assistent, der 43.000 Mitarbeitenden Zugriff auf das gesamte interne Wissensarchiv des Unternehmens gibt.
Wie der Angriff ablief
Der CodeWall-Agent begann mit dem, womit jeder Penetrationstester beginnt: öffentlich zugänglicher Dokumentation. Lilli hatte über 200 API-Endpunkte – von denen 22 ohne Authentifizierung zugänglich waren.
Einer dieser ungeschützten Endpunkte schrieb Suchanfragen direkt in die Datenbank. Die Werte waren sicher parametrisiert – aber die JSON-Feldnamen wurden direkt in SQL-Statements konkateniert. Eine klassische SQL-Injection, die automatisierte Standardscanner übersehen hatten.
Der KI-Agent erkannte die Schwachstelle, führte 15 blinde Iterationen durch und extrahierte schrittweise die Datenbankstruktur – bis Produktionsdaten zurückflossen.
Was exponiert wurde
Die Zahlen sind alarmierend:
- 46,5 Millionen Chat-Nachrichten: im Klartext – darunter Strategiediskussionen, Finanzdaten und M&A-Informationen
- 728.000 Dateien: – 192.000 PDFs, 93.000 Tabellenkalkulationen, 93.000 Präsentationen
- 57.000 Benutzerkonten: – jeder Mitarbeitende im System
- 384.000 KI-Assistenten: und 94.000 Workspaces
- 95 System-Prompt-Konfigurationen: für 12 Modelltypen
- 3,68 Millionen RAG-Dokumenten-Chunks: – jahrzehntelanges proprietäres Forschungswissen
Durch verkettete SQL-Injection und IDOR-Schwachstellen konnte der Agent ausserdem auf benutzerübergreifende Suchverläufe zugreifen.
Die unterschätzte Gefahr: System Prompts als Angriffsfläche
Was den Vorfall besonders brisant macht: Die System-Prompts, die das Verhalten von Lilli steuerten, waren in derselben zugänglichen Datenbank gespeichert. Mit Schreibzugriff über die SQL-Injection hätte ein Angreifer diese Prompts unbemerkt überschreiben können – ohne Deployment, ohne Audit-Trail.
Die möglichen Konsequenzen: vergiftete Beratungsempfehlungen, Datenexfiltration über Modell-Outputs, Entfernung von Sicherheitsschranken, persistente Hintertüren im KI-Verhalten.
Warum McKinsey es übersehen hat
McKinsey ist kein kleines Unternehmen ohne Sicherheitsbewusstsein. Die Schwachstelle lag dennoch zwei Jahre lang unentdeckt in der Produktion. Der Befund von CodeWall ist ernüchternd:
> «Ein autonomer Agent hat es gefunden, weil er keine Checklisten abarbeitet.»
Standard-Sicherheitsscanner folgen definierten Mustern. Ein autonomer Agent denkt sich durch Kombinationen, die ausserhalb des regulären Prüframens liegen. Die SQL-Injection war nicht offensichtlich – sie entstand aus dem Zusammenspiel von JSON-Feldnamen und SQL-Konkatenation, eine Lücke, die nur durch gezieltes Reasoning erkennbar war.
Der Zeitplan der Offenlegung
- 28. Februar 2026: SQL-Injection identifiziert
- 1. März 2026: Responsible Disclosure an McKinsey
- 2. März 2026: McKinsey patcht die Lücke, Dev-Umgebung wird offline genommen
- 9. März 2026: Öffentliche Offenlegung durch CodeWall
McKinsey reagierte schnell – aber die Schwachstelle hatte bereits zwei Jahre in der Produktion existiert.
Was das für Unternehmen bedeutet
Dieser Vorfall ist kein Einzelfall. Er ist ein Muster.
KI-Plattformen werden schnell gebaut und schnell ausgerollt – die Sicherheitsüberprüfung hinkt hinterher. Das gilt für McKinsey genauso wie für jedes Unternehmen, das heute eine interne KI-Infrastruktur betreibt.
Konkrete Massnahmen:
1. API-Endpunkte konsequent absichern – jeder Endpunkt, der Daten schreibt oder liest, braucht Authentifizierung
2. System Prompts wie Code behandeln – Versionierung, Zugriffskontrollen, Audit-Logs
3. RAG-Dokumente und Vektorstores schützen – nicht nur die Anwendungsschicht, sondern die Datenschicht
4. Autonomes Sicherheitstesting einsetzen – klassische Checklisten reichen nicht mehr aus
5. Least Privilege für KI-Komponenten – KI-Systeme brauchen nur den Datenzugang, den sie tatsächlich benötigen
Bei BIT-Partners ist Sicherheit kein Anhang zum KI-Projekt – sie ist Teil der Architektur. Wenn Sie eine KI-Plattform aufbauen oder betreiben und sicherstellen möchten, dass sie wirklich abgesichert ist, sprechen Sie uns an.
Mehr darüber, wie KI-gestützte Angriffe generell zunehmen, lesen Sie in unserem Beitrag über KI und Cyberangriffe.
Quelle
Fragen zu diesem Thema?
Wir beraten Sie gerne unverbindlich. Kontaktieren Sie uns für ein Erstgespräch.
Jetzt kontaktierenWeitere Artikel
Claude Fable 5 ist da: Anthropics stärkstes KI-Modell ist jetzt für alle verfügbar
Mert Bacak · 2. Juli 2026
KI einführen ohne Chaos: Das Baukastenprinzip
Daniel Da Cruz · 17. Juni 2026
Claude verbindet sich mit Microsoft 365 – E-Mails, Teams und SharePoint direkt im KI-Assistenten
Mert Bacak · 21. Mai 2026