KI-Agenten als Hacker: Was das für dein Unternehmen bedeutet

Drei der mächtigsten Unternehmensberatungen der Welt wurden innerhalb weniger Wochen von demselben autonomen KI-Agenten gehackt. Alle drei beraten ihre Kunden im Bereich Cybersecurity. Und alle drei hatten dieselbe elementare Lücke. Das ist kein Zufall – das ist ein Signal. Und es gilt nicht nur für Konzerne.

Was passiert ist

Den Anfang machte McKinsey.

CodeWall – ein Sicherheitsforschungs-Unternehmen, das im Auftrag gezielt nach Schwachstellen sucht, bevor echte Angreifer es tun – setzte seinen autonomen KI-Agenten auf McKinseys interne KI-Plattform „Lilli“ an. Der Agent wählte das Ziel vollständig eigenständig, basierend auf öffentlich zugänglichen Informationen. Ohne Zugangsdaten, ohne menschliche Steuerung.

Er fand eine technische Schnittstelle, über die Systeme miteinander kommunizieren, mit Zugangspunkten, die keinerlei Anmeldung erforderten. Über eine klassische Angriffstechnik, bei der gezielt manipulierte Eingaben in ein Datenbankfeld eingeschleust werden, um unautorisierten Zugriff zu erzwingen, hatte er innerhalb von zwei Stunden vollständigen Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank.

Was er vorfand: 46,5 Millionen Chat-Nachrichten im Klartext, 728.000 Dateien mit vertraulichen Kundendaten, 57.000 Benutzerkonten – und 95 System-Prompts, die das Verhalten von Lilli steuern. Beschreibbar. Ein Angreifer hätte alle Antworten, die täglich Zehntausende McKinsey-Berater erhalten, still und leise vergiften können.

McKinsey reagierte schnell. Einen Tag nach der Meldung waren die Lücken geschlossen.

Zwei Wochen später war BCG dran.

Nach der McKinsey-Veröffentlichung stellte CodeWall seinem Agenten eine einfache Frage: Wer hat wahrscheinlich dasselbe Problem? Die Antwort des Agenten war logisch: McKinsey, BCG und Bain bauen zur selben Zeit ähnliche Plattformen, mit ähnlichen Tech-Stacks, in ähnlichem Tempo. Der Agent wählte BCG als nächstes Ziel.

Auf dem Portal von BCG X, dem KI- und Datenarm der Beratung, fand er eine Schnittstelle, über die man direkt Datenbankabfragen stellen konnte. Ohne Login. Ohne Passwort. Ohne irgendeinen Schutz davor. Was dahinter lag: 3,17 Billionen Datenbankzeilen. 131,2 Terabyte Daten. Darunter 553 Millionen individuelle Karriereverläufe, 8,7 Milliarden Mitarbeiterwechsel-Datensätze, Vergütungsdaten bis auf die Ebene einzelner BCG Senior Partner, M&A-Analysedaten und Konsumtransaktionen. Auch hier: vollständige Schreibrechte. BCG schloss die Lücke innerhalb von 48 Stunden.

Kurz darauf folgte Bain.

Dort fand der Agent in unter 18 Minuten Zugangsdaten, die fest in einer öffentlich zugänglichen Programmdatei eingebettet waren – so als hätte jemand den Hausschlüssel unter der Fußmatte liegen lassen. Was folgte, war Zugriff auf 159 Milliarden Datensätze, darunter Konsumerdaten und Wettbewerbsstrategien globaler Konzerne.

Drei Firmen. Drei Angriffe. Derselbe Agent. Innerhalb weniger Wochen.

Was diese Firmen gemeinsam haben – außer den Lücken

McKinsey, BCG und Bain sind drei der einflussreichsten Unternehmensberatungen der Welt – mit Milliardenumsätzen, globalen Tech-Divisionen und Tausenden von Mitarbeitern. Und alle drei beraten ihre Kunden aktiv im Bereich Cybersecurity.

McKinsey hat eine eigene Cybersecurity-Practice und hilft Organisationen dabei, Cyber-Strategien zu entwickeln und sichere Unternehmen aufzubauen. BCG betreibt explizit „Cybersecurity Strategy and Digital Risk Consulting“. BCG X, die gehackte Plattform, ist der digitale Arm, der IT- und KI-Projekte für Kunden umsetzt. Bain berät im selben Feld.

Das ist keine Häme. Es ist eine nüchterne Feststellung. Wenn Firmen, die anderen erklären, wie man sich schützt, an einem grundlegenden Fehler scheitern – einer Schnittstelle ohne Zugangskontrolle, die in einer routinemäßigen Sicherheitsprüfung hätte auffallen sollen – dann sagt das etwas über die aktuelle Lage.

Was das wirklich bedeutet

Der eigentliche Befund dieser Vorfälle ist nicht, wer gehackt wurde. Der eigentliche Befund ist, was der Agent dabei gezeigt hat.

Er hat nicht auf einen Hinweis gewartet. Er hat kein Ziel zugewiesen bekommen. Er hat sich McKinsey selbst ausgesucht, basierend auf öffentlichen Informationen. Er hat eigenständig recherchiert, analysiert, angegriffen und dokumentiert – vollständig autonom, vom ersten Schritt bis zum fertigen Bericht. Und er hat dabei Schwachstellen erkannt, die Standard-Tools übersehen hätten.

Das ist die neue Messlatte. Nicht ein Hacker, der gezielt eine Firma ins Visier nimmt, weil sie groß genug oder interessant genug ist. Sondern ein Agent, der rund um die Uhr läuft, beliebig skaliert und angreift, wer eine Lücke hat.

Damit ist ein Argument vom Tisch, das viele kleine und mittlere Unternehmen bisher beruhigt hat: „Wer sollte schon uns hacken wollen?“ Ein autonomer Agent stellt diese Frage nicht. Er sucht nicht nach lohnenden Zielen. Er sucht nach offenen Türen. Und wer eine hat, ist dran – unabhängig von Größe, Branche oder Bekanntheit.

Das verändert die Risikorechnung fundamental. Bisher war das Angriffspotenzial durch menschliche Kapazitäten begrenzt. Ein Hacker hat nur so viele Stunden am Tag, kann nur so viele Ziele gleichzeitig bearbeiten und wählt deshalb nach Aufwand und Ertrag aus. Autonome Agenten kennen diese Beschränkung nicht. Sie können parallel laufen, pausenlos arbeiten und sich durch tausende potenzielle Ziele arbeiten – ohne dass jemand einen Befehl eingeben muss.

Was das für Unternehmen bedeutet

Die Frage ist nicht mehr: Bin ich groß genug, um ein Ziel zu sein? Die Frage ist: Habe ich eine offene Tür?

Und die ehrliche Antwort lautet: Die meisten Unternehmen wissen es nicht genau. Nicht weil sie fahrlässig wären, sondern weil die Angriffsfläche moderner IT-Infrastruktur gewachsen ist – durch Cloud-Migrationen, SaaS-Integrationen, KI-Tools, Vendor-Portale, APIs, die Teams schnell aufgesetzt und selten vollständig geprüft haben.

CodeWall hält in seinem Bericht fest, dass der Fehler nicht ausgeklügelt war. Er war grundlegend. Die Art von Problem, die bei einer routinemäßigen Sicherheitsprüfung hätte auffallen sollen. Das Problem ist, dass solche Prüfungen nicht mehr mit der Geschwindigkeit mithalten, in der heute Software gebaut und ausgerollt wird.

Was jetzt sinnvoll ist

Jedes Unternehmen sollte sich fragen: Welche Teile unserer IT von außen erreichbar sind? Welche davon erfordern eine Anmeldung, welche nicht? Und wann haben wir unsere IT-Infrastruktur zuletzt geprüft – nicht einmal beim Aufsetzen, sondern seitdem?

Das sind keine Fragen, die nur große Unternehmen betreffen. Es sind wesentliche Grundlagen jedes sicheren IT-Infrastruktur.

Quellen: CodeWall – How We Hacked McKinsey’s AI Platform | CodeWall – How We Hacked BCG’s Data Warehouse | Financial Times – Bain & Co vulnerability | McKinsey Cybersecurity Practice | BCG Cybersecurity Consulting