Einleitung

Mara - KI-Agentin

Am 9. März 2026 passierte etwas, das die KI-Security-Welt aufrüttelte. Eine autonome KI-Agentin namens "Mara" – entwickelt von der Sicherheitsfirma CodeWall – drang in weniger als zwei Stunden in eines der prestigeträchtigsten Consulting-Unternehmen der Welt ein. McKinsey & Company. Über 40.000 Berater nutzen täglich ihre interne KI-Plattform "Lilli". In diesen zwei Stunden stand plötzlich alles offen.[1]

Was folgte, war nicht nur ein Datenschutzvorfall. Es war ein Fenster in die Zukunft – und diese Zukunft sieht beunruhigend aus.

Der Angriff im Detail

Was wurde exponiert?

Die Zahlen sind atemberaubend. Nach dem Breach-Bericht von CodeWall wurden kompromittiert:

  • 46,5 Millionen Chat-Nachrichten im Klartext – Strategien, M&A-Analysen, Kunden-Engagements[2]
  • 728.000 Dateien – PDFs, Excel-Sheets, PowerPoint-Decks[2]
  • 57.000 Benutzerkonten
  • 266.000+ OpenAI Vector Stores
  • 3,68 Millionen RAG-Dokument-Chunks
  • 95 System-Prompts über 12 verschiedene Modelltypen

Alle waren schreibbar[1].

Der Angriffsvektor – erschreckend simpel

Die Ironie: Der Angriff nutzte eine der ältesten Schwachstellen der Web-Sicherheit. SQL Injection – OWASP Top 10 seit über zwei Jahrzehnten.

Das Perfide: McKinseys Entwickler hatten das "Richtige" getan. Sie parametrisierten Benutzereingaben in SQL-Queries, wie es jedes Sicherheitshandbuch empfiehlt. Was sie übersahen: Die JSON-Feldnamen selbst wurden ungefiltert in die SQL-Statements eingebaut. Die standardisierten Scanner wie OWASP ZAP testen dafür nicht.[3]

22 der über 200 API-Endpunkte von Lilli erforderten keinerlei Authentifizierung. Als die Agentin fehlergesteuerte SQL-Responses sah, erkannte sie den klassischen Injection-Vektor und begann, Daten iterativ zu extrahieren.

Das Ergebnis: Vollständiger Read-Write-Zugriff auf die gesamte KI-Plattform. Ohne Credentials. Ohne Insider-Zugriff. Ohne menschliche Beteiligung.[4]

Die Medienberichterstattung

Der Breach erhielt breite Aufmerksamkeit in den Tech- und Business-Medien:

Die Financial Times berichtete, dass McKinsey "eilig" versuchte, die Schwachstellen zu beheben, nachdem diese öffentlich wurden[5]. Das Wall Street Journal und Forbes hoben die Ironie hervor: Ein Unternehmen, das selbst andere Firmen in KI-Sicherheit berät, wurde Opfer einer grundlegenden Sicherheitslücke.[6]

The Register titelte treffend: "AI vs AI" – eine KI-Agentin, die eine andere KI-Plattform hackt[4]. Cybernews und Inc.com betonten die Geschwindigkeit des Angriffs: Vollständiger Zugriff in nur zwei Stunden.[7]

Das eigentliche Problem

Nicht ein Datenleck – ein Supply-Chain-Angriff

Jede Schlagzeile fokussierte auf die Datenmengen. Aber die wahre Bedrohung lag woanders:

95 System-Prompts waren schreibbar.

Lilli wird von über 40.000 McKinsey-Beratern genutzt. Mehr als 500.000 Prompts pro Monat verarbeitet das System. Diese System-Prompts definieren, wie Lilli denkt: Empfehlungen, Verweigerungen, Quellen-Zitierungen, Guardrails.[8]

Wie CodeWall in ihrem Bericht schrieb: "Kein Deployment nötig. Kein Code-Change. Nur ein einzelnes UPDATE-Statement in einem einzigen HTTP-Call."[1]

Ein Angreifer mit Schreibzugriff auf diese Prompts hätte still und heimlich ändern können, wie Lilli Wettbewerbslandschaften bewertet, Akquisitionsziele einordnet oder Risiken einschätzt. Die vergifteten Outputs würden direkt in Deliverables für Fortune-500-Kunden fließen. Niemand würde es merken.

Die doppelte Giftkugel

Noch schlimmer: Gleicher Zugriff auf die 266.000+ Vector Stores und 3,68 Millionen RAG-Chunks. Das sind die Wissensdatenbanken, aus denen Lilli Wissen abruft und synthetisiert. Wer Zugriff auf System-Prompts UND RAG-Stores hat, manipuliert nicht nur die Schlussfolgerungen – sondern auch die Grundlagen, auf denen sie basieren.[9]

Die architecturale Ursache

Application Security reicht nicht

Es ist verlockend, dies auf eine einzelne Schwachstelle zu reduzieren. SQL Injection – klassisch, vermeidbar, peinlich.

Aber das Problem liegt tiefer, wie Security Boulevard analysierte: Die eigentliche Ursache sind exponierte APIs ohne Authentication[10]. McKinseys Team machte das Standard-Things. Sie parametrisierten SQL-Eingaben. Sie folgten dem Lehrbuch. Was sie nicht bedachten: Dass JSON-Feldnamen ungeprüft in Queries landen.

Der eigentliche Fehler: Keine unabhängigen Verteidigungsschichten zwischen Internet und Produktions-Datenbank.[11]

  • Keine Request-Inspektion am Gateway
  • Keine Authentifizierung auf 22 Endpunkten
  • Keine Content-Safety-Checks in der AI-Pipeline
  • Keine Access-Governance für Agenten oder automatisierte Caller

Industry-Kontext und Timing

Das Timing ist bemerkenswert

Der Breach fiel in eine Zeit intensiver Diskussion über AI-Sicherheit. Erst im Februar 2026 hatte Accenture seinen Mitarbeitern mitgeteilt: "Wer eine Beförderung will, muss KI am Arbeitsplatz nutzen"[12]. Gleichzeitig warnte das World Economic Forum, dass der "AI-Cyber-Bubble" bald platzen könnte[13].

The Next Web titelte passend: "Why 2026 will be the year of governed cybersecurity AI"[14]. Gartner schätzt, dass 40% der Enterprise-Anwendungen bis Ende 2026 KI-Agenten integrieren werden – von unter 5% in 2025[15].

McKinseys eigene Position

Ironie der Ironie: McKinsey wurde erst im Februar 2026 von Forrester als "Leader in Cybersecurity Consulting Services" ausgezeichnet[16]. Die Beratungsfirma veröffentlich regelmäßig eigene Cybersecurity-Reports und Empfehlungen zur KI-Sicherheit[17].

Schlussfolgerung

Der McKinsey-Breach ist kein Einzelfall. Er ist ein Beweisfall. Die 16+ unabhängigen Quellen, die diesen Vorfall deckten, zeigen: Die Industry nimmt das Problem ernst. Aber die Verteidigungen hinken hinterher.

Die Frage ist nicht, ob der nächste Breach kommt. Die Frage ist, ob wir vorbereitet sind.

Die Agenten kommen. Die Angriffsfläche expandiert mit Maschinengeschwindigkeit. Und die Verteidigungen – in den meisten Organisationen – sind noch für eine Welt konzipiert, in der Menschen Queries in Web-Forms tippten.

  1. Traefik Labs. "The Real Security Lesson from the McKinsey Breach." https://traefik.io/blog/mckinsey-breach-is-about-ai-governance
  2. Inc.com. "An AI Agent Broke Into McKinsey's Internal Chatbot and Accessed Millions of Records in Just 2 Hours." https://www.inc.com
  3. The Decoder. "An AI agent hacked McKinsey's internal AI platform in two hours using a decades-old technique." https://the-decoder.com
  4. The Register. "AI vs AI: Agent hacked McKinsey's chatbot and gained full read-write access in just two hours." https://www.theregister.com
  5. Financial Times. "McKinsey rushes to fix AI system after hacker exposes flaws." https://www.ft.com
  6. Forbes. "Agentic AI Takes Over — 11 Shocking 2026 Predictions." https://www.forbes.com
  7. Cybernews. "Red-teamers unleash AI agent on McKinsey's chatbot, gain full access in two hours." https://cybernews.com
  8. CXOToday.com. "McKinsey's AI chatbot hack reveals the security risks agentic AI poses." https://cxotoday.com
  9. India Today. "AI agents now hacking other AI? McKinsey system breached in 2 hours." https://www.indiatoday.in
  10. Security Boulevard. "An AI Agent Didn't Hack McKinsey. Its Exposed APIs Did." https://securityboulevard.com
  11. Security Boulevard. "Agentic AI Has Become Critical Infrastructure. Most Companies Aren't Treating It That Way." https://securityboulevard.com
  12. The Register. "Accenture tells staffers: If you want a promotion, use AI at work." https://www.theregister.com
  13. World Economic Forum. "Is the AI-cyber bubble about to burst?" https://www.weforum.org
  14. The Next Web. "Why 2026 will be the year of governed cybersecurity AI." https://thenextweb.com
  15. BankInfoSecurity. "Autonomous Agent Hacked McKinsey's AI in 2 Hours." https://www.bankinfosecurity.com
  16. McKinsey & Company. "McKinsey named a Leader in Cybersecurity Consulting Services by Forrester." https://www.mckinsey.com
  17. Allianz Commercial. "Allianz Risk Barometer 2026 - Artificial intelligence." https://commercial.allianz.com