Ich greife nochmals den Vorfall als Wochenend-Thema auf, den ich die Woche in einem Beitrag am Rande mit erwähnt hatte. Unternehmensberater McKinsey hat seit ca. drei Jahren eine interne AI-Plattform für seine Berater aufgesetzt. Die sind "führend" dabei, wenn es darum geht, Behörden und Unternehmen den "sicheren" Einsatz von KI gegen Geld und gute Worte zu erklären. Dann hat jemand einen KI-Agenten losgelassen, und der hat ohne Vorwissen binnen 2 Stunden die McKinsey-AI-Plattform Lilli gehackt …
McKinsey AI-Plattform Lilli
Ich musste ziemlich suchen, bis ich auf diesen Artikel aus August 2025 stieß, der sich u.a. mit Lilli aus "Vor-Incident-Sicht" befasst. Dort findet sich die Aussage, dass das Beratungsunternehmen McKinsey seit 2023 eine interne KI namens Lilli" verwendet. Über die KI-Plattform lässt sich auf über 100.000 firmeninterne Dokumente zugreifen.
Die Aussage lautete, dass die AI-Plattform mittlerweile von 75 % der Belegschaft regelmäßig genutzt wird. Diese KI spare Zeit bei Recherche und Strukturierung – und zeige, wie Beratung künftig aussieht: als Kombination aus Erfahrung, Methode und Maschine.
Die McKinsey-Berater präsentieren sich dabei als Speerspitze, wenn es um den Einsatz von KI in Behörden und Unternehmen geht. Wobei es von den Kunden zwei Fraktionen gibt: Die Kunden, deren Management annimmt, dass McKinsey-Berater wissen, wie sich KI sicher im Unternehmen oder in der Behörde einsetzen lässt. Und die Fraktion, dessen Management auf der Position beharrt: "Ich will etwas durchsetzen, und brauche jetzt einen externen Berater, der das testiert. Wenn es schief geht, kann ich dem Berater die Schuld geben." Die Meinung der von solchen Projekten Betroffen, die sich oft auf "die Berater haben keine Ahnung, präsentieren einige Folien und sind schnell wieder weg" zurückziehen, berücksichtige ich mal nicht weiter.
Der "KI hackt KI"-Vorfall
Microsoft hatte die Tage seinen neuen Microsoft 365 E7-Plan für Unternehmen, die auf AI setzen, vorgestellt. Microsoft will ab Mai 2026 für 99 US-Dollar pro Nutzer und Monat alles, was rund um Microsoft 365 und AI kriecht, lizenzieren. Ich hatte das zum 10. März 2026 im Blog-Beitrag Microsoft 365 E7 (The Frontier Suite) ab 1. Mai 2026 für 99 US-$ pro Nutzer thematisiert, und am Rande auf die Risiken der "AI-Beglückung" hingewiesen.
Dazu hatte ich u.a. den KI-Vorfall bei McKinsey benutzt. Sicherheitsforscher haben sich die interne KI-Plattform Lilli der Unternehmensberatung von McKinsey vorgenommen. Dazu haben die Sicherheitsforscher ihren eigenen "Offensiv-Agenten" auf die McKinsey AI-Plattform angesetzt.
- Der Agent hatte keine Zugangsdaten für die Plattform und keine Insiderkenntnisse über die Implementierung von Lili.
- Es gab auch kein menschliches Eingreifen der Sicherheitsforscher, dem KI-Bot war lediglich der öffentliche Domainname der McKinsey KI-Plattform bekannt.
Der AI-Bot begann dann die KI-Plattform Lili zu analysieren und führte dabei auch einen Scan über ca. 150 API-Schnittstellen durch. Dabei stellte der KI-Bot fest, dass 20 dieser API-Schnittstellen ungesichert waren und Zugriffe auf die Plattform ohne vorherige Authentifizierung ermöglichten.
Binnen zwei Stunden hatte sich der KI-Agent über SQL Injection einen vollständigen Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank verschafft. Das Ganze war mir kurz vor dem Verfassen des obigen Beitrags untergekommen, weil die Sicherheitsforscher von Codewall den Vorgang im Beitrag How We Hacked McKinsey's AI Platform offen gelegt hatten.
Vertrauen in McKinsey-AI pulverisiert, machen wir weiter?
An der Stelle stellt sich die Frage nach den Folgen. Im Grunde müsste das Vertrauen von Auftraggebern in McKinsey in Bezug auf AI und Sicherheit oder die Frage "die wissen, wie es sicher geht" geradezu pulverisiert worden sein. Folgender Tweet greift das nochmals auf.
Im aktuellen Fall waren es Sicherheitsforscher, die nur ihren Job gemacht und die Möglichkeiten eines Bots ausgelotet haben. Cyberangreifer haben die gleichen Möglichkeiten. Und wer sagt denn, dass diese den Ansatz nicht längst genutzt haben? Ich gehe davon aus, dass die McKinsey AI-Plattform Lilli sehr viele spezielle Dokumente über Kunden enthält. In obigem Tweet heißt es, dass McKinsey intern nicht das umsetzt, was seine Berater bei Kunden predigen.
Und dann stellt man die Frage, was wohl wäre, wenn Behörden, Regierungen oder Großkonzerne mit einer Plattform arbeiten, die so leicht angreifbar ist? Ich formuliere es mal so: Meinem Gefühl nach ist es gelebte Praxis, dass die großen Lenker in Unternehmen und Behörden genau diesen Mist zelebrieren. Die Vorfälle, die ich hier im Blog behandele, sind ja nur die Spitze des Eisberges – und ich gewinne den Eindruck, dass wir so langsam die "Schmelze" des Ganzen erleben werden.
Die Cyberangriffe der letzten Wochen und Monate lassen erahnen, wo die Reise hin geht. Und dabei ist die (Schatten)-AI noch nicht in alle Bereiche von Unternehmen oder Organisationen vorgedrungen. Mir stellt sich die Frage: Ist der obige Vorfall nun Weckruf, oder macht man weiter, als wäre nichts geschehen? Ich glaube zu erkennen, dass es keine Konsequenzen hat. Man arbeitet fleißig weiter, als wäre nichts passiert – und will auch jegliche Regulierung in diesem Bereich möglichst schleifen, da es die AI-Journey beeinträchtigen könnte. Oder wie seht ihr das?
MVP: 2013 – 2016
Die Revolution frisst ihr Kinder oder die Geister, die ich rief, werd' ich nun nicht los.
"Orange Papa" wird's schon richten.
Wie das weitergeht wissen wir doch spätestens seit Snowden: Nen kurzer Aufschrei, bei dem die Presse das Schwein durchs Dorf treibt, nach ein paar Wochen kräht kein Hahn mehr danach! Einige Wenige werden ihre Konsequenzen ziehen (das sind aber sowieso schon die eh skeptischen).
That´s buiness as usual!
Nicht nur bei Snowden, dass ist bei allem so!
Es heißt auch seit Jahren. Dieses Jahr wird Linux den Durchbruch schaffen und Windows untergehen.
Dabei ist Linux seit Jahrzehnten überall, nur der durchschnitts Dau weiß es nicht.
Ich habe 1977 mein erstes (FORTRAN) Programm geschrieben. In den nun fast 50 Jahren habe ich "was mit Computern" ;-) in unterschiedlichen Bereichen und Firmen gemacht. Die Erfahrung zeigt, es wird so weiter gehen. Eine Thematisierung könnte Mitarbeiter und Kunden verunsichern… Managementmethode "Learning by Autsch."
Und was Berater angeht (empirisch) – Beratung im Sinne des Wortes geschieht in den seltesten Fällen. Es gab (gibt?) den Spruch: "Sag mir, welchen berater Du hast und ich sage Dir, welches System Du bekommst." Wissen abgreifen, um es an anderer Stelle zu monetarisieren schon eher. Wie gesagt, subjektiv. Vielleicht ist es in letzter Zeit ja besser geworden.
Nein, es wurde nicht besser …
MC Kinsey.
Ein Name wie in Stein gemeisselt.
Sesselpupsende Rotstifte und 360° brutale Powerpointkompetenz.
Die Jogginghose des Consultings.
Wer da nicht begeistert zugreift hat die Kontrolle über sein Leben verloren.
(K.Lagerfeld)
naja wen man Consulting braucht, hast du eh schon verloren. Die sagen dir nix was man nicht eh schon weis und verkaufen dir das dafür teuer!
Oder anders gesagt: wann merkst du wann du den Arbeitgeber wechseln solltest? Wenn dieser nen Consulting ins Haus holt.
Ironie Off
Was für ein Schwachsinn. Komm mal in der realen Welt an.
In der realen Welt dreht sich inzwischen vieles um Verantwortung vermeiden und weiterschieben und in dem Kreislauf wird Consulting dafür allzugern dazugeholt. Um eigenen nachhaltigen Aufbau und Pflege von Kernkompetenzen und Verantwortlichkeiten innerhalb der Firma geht es leider oft kaum noch.
Das stimmt nur teilweise.
Ändert aber auch nichts daran, dass Luzifer wieder mal haltlose Polemik absondert
Ob jetzt dieser Konzern oder andere, der Endkunde weiß von solchen Schwachstellen nichts.
Grund dazu, wie ich finde, sind die Kanäle worüber so etwas berichtet wird. Hier z.B. sind nur Admins, EDV-Begeisterte oder pseudo Admins.
Wie oft habe ich schon von GFs gehört "Na, wenn die Sicherheitslücken/Schwachstellen/ganze Software so unsicher ist, wieso verwenden es so viele und wieso hört man so was nicht in den Nachrichten?".
Kommt also ein Berater zu dem Auftragsgeber, wird er von der Story sicherlich nichts erzählen. Der GF bzw. der Vorstand oder der Rat bekommen solche Storys auch nicht mit. Der interne Administrator hat eh keine Ahnung und trägt eh ein Aluhut, falls er darauf hinweist.
Genau deswegen werde solche KIs oder das Vertrauen niemals "pulvererisiert" werden.
Hier eine interne Story:
Firma aus De wurde von einem Konzern aus Österreich gekauft. Ratz fatz wurde der exchange onprem auf 365 gezogen, Daten von File-Server zur Sharepoint. Auf jedem Gerät wurde NinjaOne installiert.
Auf die Frage, wie diese die Sicherheit der Daten auf dem Sharepoint garantieren, da diese ja öfters jetzt schon komprimiert wurde und MS bis heute keine Meldung gibt, dass keine Angreifer mehr vorhanden sind, kam nur "bis heute lief alles gut, also ist da nichts".
Selbiges auf die Frage mit Copilot (in eigenen und auch die Implementierung in den Anwendungen) und der Transkription im Teams. Selbe geile Antwort. Zur Info, die Antworten kamen vom Leiter der EDV von diesem Konzern.
Wenn der GF, der die Firma verkauft hat, davon keine Ahnung hatte, der Konzern es vllt weiß, aber nicht kommuniziert, ist der Verlauf vorhersehbar.
Lange Rede, kurzer Sinn. Ändern sich die Kanäle nicht, wird sich nie, niemals, absolut never, sich etwas ändern.
War das mit den entkernten Kompetenzen etc. denn früher anders?
Willst DU wirklich die Verantwortung auch für all die Dinge übernehmen die anderen Leuten aus dem A* gekrochen sind?
Die du als der IT-HIWI implementieren und oft auch durchsetzen musst.
Ich denke da an Datenschutzgurkenverordnung und ähnliche Schleudersitze.
Verständlich das man da delegiert wo immer es geht, um den eigenen Hals zu schonen.
Sinnlose Audits, Compliancegehampel und Cybasekuritty.
Schöne teure Zertifikate, die (manchmal) Existenzen retten.
Schon meine Oma sagte: "Der Schuster hat die schlechtesten Schuhe".
Wie weit muss man zählen, bis jemand auf die Idee kommt KI zur Abwehr von Agriffen mit oder ohne KI einzusetzen. Und wir weit dann bis das auffällt, wie schlecht die Idee war?