Veröffentlicht am
·
6 Minuten
Ihre KI hat eine neue Angriffsfläche. Die meisten Sicherheitsteams wissen nicht, dass es sie gibt.
Paul Tholens
Kurze Zusammenfassung
KI wächst schneller als die Sicherheitsmodelle, die sie schützen sollen. Während Unternehmen sich beeilen, interne Copiloten, KI-Assistenten und automatisierte Agenten einzusetzen, schützen die meisten Sicherheitsteams noch immer eine Infrastruktur, die für eine Welt vor der KI entwickelt wurde. Das Ergebnis ist eine wachsende Angriffsfläche, die viele Unternehmen nicht einmal als selbst geschaffen erkennen. Aktuelle Forschung von CodeWall zeigt, wie autonome KI-Agenten gewöhnliche Anwendungsfehler ausnutzen können, um tiefen Zugriff auf KI-Plattformen zu erlangen – nicht nur auf die darin enthaltenen Daten, sondern auch auf die Anweisungen, die steuern, wie sich diese Systeme verhalten. Diese Vorfälle machen einen entscheidenden Wandel deutlich: KI-Systeme führen völlig neue Sicherheitsebenen ein, und wer sie wie herkömmliche Software behandelt, kann einige der sensibelsten Vermögenswerte in einer Organisation gefährlich ungeschützt lassen.
Vor zwei Wochen brach ein autonomer KI-Agent in McKinseys interne KI-Plattform ein. Keine Zugangsdaten, kein Insiderwissen, kein Mensch in der Schleife. Innerhalb von zwei Stunden hatte er Lese- und Schreibzugriff auf die gesamte Produktionsdatenbank: 46,5 Millionen Chatnachrichten, 728.000 Dateien, 57.000 Mitarbeiterkonten und jahrzehntelange proprietäre Forschung.
In der folgenden Woche richtete derselbe Agent seine Aufmerksamkeit auf Jack & Jill, einen mit 20 Mio. US-Dollar finanzierten KI-Recruiter, der von Anthropic, Stripe und Monzo genutzt wurde. Vier Bugs, von denen keiner für sich allein kritisch war, wurden miteinander verkettet und führten zu einer vollständigen Übernahme jedes Unternehmens auf der Plattform.
Beide Erkenntnisse stammten von CodeWall, einer Sicherheitsforschungsfirma. Beide wurden verantwortungsvoll offengelegt und gepatcht. Aber was sie darüber offenbarten, wie Organisationen KI einsetzen, verdient mehr Aufmerksamkeit als eine Patch-Notiz.
Die Angriffsfläche, von der Sie nicht wussten, dass Sie sie haben
Jahrelang konzentrierte sich die Unternehmenssicherheit auf dieselben Assets: Server, Datenbanken, Zugangsdaten, Endpunkte. Das Modell war klar. Schützen Sie den Perimeter, überwachen Sie den Zugriff, prüfen Sie die Protokolle.
KI verändert dieses Modell grundlegend.
McKinseys Plattform, Lilli, wurde von über 70 % der 43.000 Mitarbeitenden der Firma genutzt, um Strategie, Kundenprojekte, Finanzen und M&A-Aktivitäten zu besprechen. Diese Gespräche, jedes einzelne, wurden als Klartext in einer Produktionsdatenbank gespeichert, die sich über eine einzige nicht authentifizierte SQL-Injection als erreichbar erwies. Die Schwachstelle war nicht exotisch. Sie war kein Zero-Day. Es war die Art von Fehler, die Code-Reviews durchrutscht und jahrelang unbemerkt in der Produktion lebt. Lilli lief bereits seit über zwei Jahren, bevor der Agent sie fand.
Aber hier ist der Teil, der für jeden, der KI in einer regulierten Umgebung einsetzt, am wichtigsten ist.
Der Angreifer hatte nicht nur Zugriff auf die Daten. Er hatte Zugriff auf die Prompts, die Systemanweisungen, die steuern, wie sich die KI verhält. Worauf sie antwortet. Was sie ablehnt. Wie sie Quellen zitiert. Welche Leitplanken sie befolgt. Diese Prompts wurden in derselben Datenbank gespeichert. Über dieselbe Injection beschreibbar.
Ein Angreifer hätte McKinseys KI-Anweisungen umschreiben können. Heimlich. Kein Deployment. Keine Codeänderung. Nur ein einziges UPDATE-Statement. Und 43.000 Berater würden dem Output weiter vertrauen, weil er aus ihrem eigenen internen Tool käme.
KI-Prompts sind die neuen Kronjuwelen-Assets. Fast niemand behandelt sie so.
Vier Bugs, jedes Unternehmen
Der Jack-&Jill-Kompromittierungsfall erzählt eine andere Geschichte, und in mancher Hinsicht eine lehrreichere.
Keiner der vier gefundenen Bugs war für sich allein kritisch. Ein URL-Fetcher, der Anfragen an interne Dienste per Proxy weiterleiten konnte. Ein in der Produktion aktiv gelassener Test-Authentifizierungsmodus, in dem ein statischer sechsstelliger Code jedes beliebige Konto erstellen konnte. Eine fehlende Rollenprüfung an einem Admin-Endpunkt für Unternehmen. Eine API, die die Unternehmenszugehörigkeit allein anhand der E-Mail-Domain zuwies, ohne zu verifizieren, wem diese Domain tatsächlich gehörte.
Für sich genommen: mittlere Befunde. Ärgernisse. Dinge, die als „niedrige Priorität, im nächsten Sprint beheben“ eingestuft werden könnten.
Der KI-Agent verkettete sie in weniger als einer Stunde. Am Ende hatte er ein Konto auf der eigenen Domain von CodeWall erstellt, den statischen Testcode zur Authentifizierung verwendet, den Endpunkt zur Unternehmenszuweisung aufgerufen und sich der bestehenden CodeWall-Organisation mit vollem Adminzugriff angeschlossen – in der Lage, unterzeichnete Verträge zu lesen, Stellenanzeigen zu bearbeiten und auf Kandidatendaten zuzugreifen.
Dieselbe Kette funktionierte gegen jedes Unternehmen auf der Plattform. Einschließlich Anthropic. Einschließlich Stripe.
Das ist das, was KI-gestützte offensive Sicherheit tut, was ein menschlicher Penetrationstester oft nicht tut: Sie erkennt Zusammenhänge zwischen Befunden. Ein Mensch könnte den get_or_create_company-Endpunkt finden und feststellen, dass er sich auf die E-Mail-Domain verlässt. Aber ohne den Testmodus-Bypass separat zu identifizieren, würde er weitermachen. Der Agent hatte beides bereits gefunden und sofort verstanden, was die Kombination bedeutete.
Was das bedeutet, wenn Sie KI in einer regulierten Branche betreiben
McKinseys Chatnachrichten enthielten Diskussionen über Kundenstrategien. M&A-Aktivitäten. Finanzanalysen. In einem Krankenhauskontext könnten diese 46 Millionen Nachrichten Patientenakten sein. In einer Genossenschaftsbank könnten sie Diskussionen über Mitgliederkonten oder Notizen des Kreditkomitees sein. In einer Regierungsbehörde könnten sie klassifizierte Programmdetails sein.
Die regulatorischen Folgen sind nicht hypothetisch. Ein Datenleck dieser Art ist nicht nur ein Reputationsschaden — es ist eine HIPAA-Meldung, ein GDPR-Bericht, eine aufsichtsrechtliche Prüfung, eine mögliche Lizenzfrage.
In der Cloud gehostete KI schafft auf jeder Ebene Angriffsfläche:
Die Datenebene — Gespräche, Dokumente und Dateien, die auf die KI-Plattform hochgeladen werden
Die Modellebene — feinabgestimmte Modelle und Bereitstellungskonfigurationen, die genau beschreiben, wie Ihre KI erstellt wurde
Die Prompt-Ebene — Systemanweisungen, die stillschweigend geändert werden können, um das Verhalten der KI zu ändern
Die Pipeline-Ebene — der vollständige Weg vom Hochladen des Dokuments bis zum Abruf, einschließlich Vektorspeicher von Drittanbietern und Embedding-APIs
Jede davon ist eine Angriffsfläche. Und in einer Cloud- oder internetseitig erreichbaren Bereitstellung ist jede davon erreichbar — direkt oder über die Art verketteter Bugs, die für sich genommen harmlos wirken.
Das Argument dafür, es intern zu halten
On-Premise-KI-Bereitstellung eliminiert Sicherheitsrisiken nicht. Nichts tut das. Aber sie verändert das Bedrohungsmodell grundlegend.
Wenn Ihre KI in Ihrer eigenen Infrastruktur läuft, ohne externe API-Aufrufe, ohne internetseitig erreichbare Endpunkte, ohne Datenverkehr über eine Cloud eines Drittanbieters, schrumpft die Angriffsfläche drastisch. Ein Angreifer kann nicht auf Ihren Gesprächsverlauf zugreifen, indem er einen falsch konfigurierten S3-Bucket findet. Er kann Ihre System-Prompts nicht über einen nicht authentifizierten Endpunkt umschreiben. Er kann Ihre Modellkonfigurationen nicht über eine öffentlich zugängliche API-Dokumentationsseite auflisten.
Die beiden CodeWall-Angriffe haben einen gemeinsamen Nenner: sensible Daten und KI-Verhaltenskontrollen waren aus dem Internet erreichbar. Das ist kein McKinsey-Problem und kein Jack-&Jill-Problem. Das ist ein Problem der Bereitstellungsarchitektur. Und genau dagegen ist Private-KI-Infrastruktur, die auf Ihrer Hardware, innerhalb Ihres Netzwerks und möglicherweise luftgetrennt bereitgestellt wird, speziell ausgelegt.
Ihr Compliance-Team hat jahrelang Kontrollen darum aufgebaut, wo Daten liegen und wer darauf zugreifen kann. Ihre KI-Bereitstellung sollte diese Kontrollen respektieren und nicht umgehen. Die Tatsache, dass ein System KI verwendet, befreit es nicht von denselben Fragen, die Sie jedem anderen System mit sensiblen Daten stellen würden: Wo läuft das? Wer kann es erreichen? Was passiert, wenn es kompromittiert wird?
Die Organisationen, die das richtig machen, werden nicht nur den nächsten CodeWall-Bericht vermeiden. Sie werden diejenigen sein, denen Kunden und Aufsichtsbehörden die sensibelsten Workloads anvertrauen — und genau dort liegt, da KI immer zentraler dafür wird, wie Entscheidungen getroffen werden, zunehmend der Wettbewerbsvorteil.
Zylon baut On-Premise-KI-Infrastruktur für Organisationen, die ihre Daten nicht in die Cloud senden können. Wenn Sie die KI-Bereitstellung für eine regulierte Umgebung bewerten, lassen Sie uns sprechen.
Autor: Paul Tholens
Veröffentlicht: Feb 2026
Zuletzt aktualisiert: Feb 2026
Paul arbeitet an privaten On-Premise-KI-Bereitstellungen für regulierte Branchen, darunter Finanzen, Regierung, Verteidigung und Gesundheitswesen.
Veröffentlicht am
Geschrieben von
Paul Tholens
