Ich greife nochmals den Vorfall als Wochenend-Thema auf, den ich die Woche in einem Beitrag am Rande mit erwähnt hatte. Unternehmensberater McKinsey hat seit ca. drei Jahren eine interne AI-Plattform für seine Berater aufgesetzt. Die sind "führend" dabei, wenn es darum geht, Behörden und Unternehmen den "sicheren" Einsatz von KI gegen Geld und gute Worte zu erklären. Dann hat jemand einen KI-Agenten losgelassen, und der hat ohne Vorwissen binnen 2 Stunden die McKinsey-AI-Plattform Lilli gehackt …
McKinsey AI-Plattform Lilli
Ich musste ziemlich suchen, bis ich auf diesen Artikel aus August 2025 stieß, der sich u.a. mit Lilli aus "Vor-Incident-Sicht" befasst. Dort findet sich die Aussage, dass das Beratungsunternehmen McKinsey seit 2023 eine interne KI namens Lilli" verwendet. Über die KI-Plattform lässt sich auf über 100.000 firmeninterne Dokumente zugreifen.
Die Aussage lautete, dass die AI-Plattform mittlerweile von 75 % der Belegschaft regelmäßig genutzt wird. Diese KI spare Zeit bei Recherche und Strukturierung – und zeige, wie Beratung künftig aussieht: als Kombination aus Erfahrung, Methode und Maschine.
Die McKinsey-Berater präsentieren sich dabei als Speerspitze, wenn es um den Einsatz von KI in Behörden und Unternehmen geht. Wobei es von den Kunden zwei Fraktionen gibt: Die Kunden, deren Management annimmt, dass McKinsey-Berater wissen, wie sich KI sicher im Unternehmen oder in der Behörde einsetzen lässt. Und die Fraktion, dessen Management auf der Position beharrt: "Ich will etwas durchsetzen, und brauche jetzt einen externen Berater, der das testiert. Wenn es schief geht, kann ich dem Berater die Schuld geben." Die Meinung der von solchen Projekten Betroffen, die sich oft auf "die Berater haben keine Ahnung, präsentieren einige Folien und sind schnell wieder weg" zurückziehen, berücksichtige ich mal nicht weiter.
Der "KI hackt KI"-Vorfall
Microsoft hatte die Tage seinen neuen Microsoft 365 E7-Plan für Unternehmen, die auf AI setzen, vorgestellt. Microsoft will ab Mai 2026 für 99 US-Dollar pro Nutzer und Monat alles, was rund um Microsoft 365 und AI kriecht, lizenzieren. Ich hatte das zum 10. März 2026 im Blog-Beitrag Microsoft 365 E7 (The Frontier Suite) ab 1. Mai 2026 für 99 US-$ pro Nutzer thematisiert, und am Rande auf die Risiken der "AI-Beglückung" hingewiesen.
Dazu hatte ich u.a. den KI-Vorfall bei McKinsey benutzt. Sicherheitsforscher haben sich die interne KI-Plattform Lilli der Unternehmensberatung von McKinsey vorgenommen. Dazu haben die Sicherheitsforscher ihren eigenen "Offensiv-Agenten" auf die McKinsey AI-Plattform angesetzt.
- Der Agent hatte keine Zugangsdaten für die Plattform und keine Insiderkenntnisse über die Implementierung von Lili.
- Es gab auch kein menschliches Eingreifen der Sicherheitsforscher, dem KI-Bot war lediglich der öffentliche Domainname der McKinsey KI-Plattform bekannt.
Der AI-Bot begann dann die KI-Plattform Lili zu analysieren und führte dabei auch einen Scan über ca. 150 API-Schnittstellen durch. Dabei stellte der KI-Bot fest, dass 20 dieser API-Schnittstellen ungesichert waren und Zugriffe auf die Plattform ohne vorherige Authentifizierung ermöglichten.
Binnen zwei Stunden hatte sich der KI-Agent über SQL Injection einen vollständigen Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank verschafft. Das Ganze war mir kurz vor dem Verfassen des obigen Beitrags untergekommen, weil die Sicherheitsforscher von Codewall den Vorgang im Beitrag How We Hacked McKinsey's AI Platform offen gelegt hatten.
Vertrauen in McKinsey-AI pulverisiert, machen wir weiter?
An der Stelle stellt sich die Frage nach den Folgen. Im Grunde müsste das Vertrauen von Auftraggebern in McKinsey in Bezug auf AI und Sicherheit oder die Frage "die wissen, wie es sicher geht" geradezu pulverisiert worden sein. Folgender Tweet greift das nochmals auf.
Im aktuellen Fall waren es Sicherheitsforscher, die nur ihren Job gemacht und die Möglichkeiten eines Bots ausgelotet haben. Cyberangreifer haben die gleichen Möglichkeiten. Und wer sagt denn, dass diese den Ansatz nicht längst genutzt haben? Ich gehe davon aus, dass die McKinsey AI-Plattform Lilli sehr viele spezielle Dokumente über Kunden enthält. In obigem Tweet heißt es, dass McKinsey intern nicht das umsetzt, was seine Berater bei Kunden predigen.
Und dann stellt man die Frage, was wohl wäre, wenn Behörden, Regierungen oder Großkonzerne mit einer Plattform arbeiten, die so leicht angreifbar ist? Ich formuliere es mal so: Meinem Gefühl nach ist es gelebte Praxis, dass die großen Lenker in Unternehmen und Behörden genau diesen Mist zelebrieren. Die Vorfälle, die ich hier im Blog behandele, sind ja nur die Spitze des Eisberges – und ich gewinne den Eindruck, dass wir so langsam die "Schmelze" des Ganzen erleben werden.
Die Cyberangriffe der letzten Wochen und Monate lassen erahnen, wo die Reise hin geht. Und dabei ist die (Schatten)-AI noch nicht in alle Bereiche von Unternehmen oder Organisationen vorgedrungen. Mir stellt sich die Frage: Ist der obige Vorfall nun Weckruf, oder macht man weiter, als wäre nichts geschehen? Ich glaube zu erkennen, dass es keine Konsequenzen hat. Man arbeitet fleißig weiter, als wäre nichts passiert – und will auch jegliche Regulierung in diesem Bereich möglichst schleifen, da es die AI-Journey beeinträchtigen könnte. Oder wie seht ihr das?
MVP: 2013 – 2016
Die Revolution frisst ihr Kinder oder die Geister, die ich rief, werd' ich nun nicht los.
"Orange Papa" wird's schon richten.