McKinseys 20-Dollar-Angriff: Warum agentische KI das größte Sicherheitsrisiko 2026 ist
Ein autonomer Agent ließ sich 20 Dollar kosten und verschaffte sich in zwei Stunden vollständigen Lese- und Schreibzugriff auf Lily — McKinseys interne KI-Plattform, die 70 % seiner 40.000 Berater bedient. Der Angriff nutzte SQL Injection, erstmals dokumentiert 1998 und in jedem einführenden Websicherheitskurs behandelt. Das Versagen, so Analyst Nate B. Jones in einem detaillierten Nachbericht, war kein CS-101-Fehler, sondern das Resultat eines Beschaffungsprozesses, der für begrenzte SaaS-Systeme konzipiert wurde und nun auf unbegrenzte agentische Workflows angewendet wird. Vier unabhängige Quellen bestätigen in dieser Woche: Dies ist der dominante Sicherheits-Fehlermodus im Unternehmensbereich 2026.
Was die Quellen tatsächlich berichten
Die Codewall-Offenlegung (Vorfall: 28. Februar; verantwortungsvolle Offenlegung: 9. März) enthüllte, dass 22 der 200 API-Endpunkte von Lily ohne Authentifizierung ausgeliefert worden waren — darunter einer mit Produktionsschreibzugriff. Eine Fehlerquote von 11 % am Qualitätsstandard von McKinsey ist kein individuelles Versagen; es ist ein Kultur- und Architekturmuster. Jones' Kernargument: Die 15-jährige Enterprise-SaaS-Beschaffungssequenz — erst Strategie, dann Beschaffung, dann Sicherheitsprüfung, dann IT, dann Entwickler ganz am Ende — hat funktioniert, weil SaaS begrenzt ist. Anbieter liefern Admin-Konsolen, definierte APIs und rollenbasierte Berechtigungen. Agenten sind nicht begrenzt. Ein Agent, der ein Kundenverlängerungs-Briefing erstellt, muss CRM, Support-Tickets, Vertragsmanagement, Produktnutzung und Gesprächstranskripte überqueren — jedes davon erfordert Tokens, Scopes und auditierbare Berechtigungen, die über Systemgrenzen hinweg komponieren. „Der Bildschirm ist das Berechtigungsmodell", so Jones: Menschen sehen nur, was ihnen erlaubt ist zu sehen; Agenten müssen jedes System per Code fragen, ob sie lesen dürfen — und dieser Code existiert standardmäßig selten.
Experians Daten bestätigen, dass das Muster branchenweit ist: Von 5.000 Datenschutzverletzungen, mit denen das Unternehmen 2025 befasst war, waren 40 % KI-gestützt, und es prognostiziert agentische KI als führenden Bedrohungsvektor 2026. Ein paralleles Audit von rund 5.000 Vibe-codierten Apps auf Lovable, Replit und Netlify ergab, dass etwa 40 % Auth-Tokens oder sensible Daten exponieren. The AI Corners 2026-Vorfallkatalog dokumentiert acht namentlich genannte Katastrophen bei Anthropic, Cursor, Replit, Amazon Q und Google Gemini CLI — darunter CVE-2025-59145 (CVSS 9,6), ein Supply-Chain-Exploit, der via Copilot Chat heimlich Secrets aus privaten GitHub-Repositories exfiltrierte.
Strategische Einordnung
Jones' günstigste Gegenmaßnahme ist kostenlos: Die architektonische Entwicklerprüfung in der Beschaffungssequenz an den Anfang verlagern — vor die Vertragsunterzeichnung. Drei Fragen legen die meisten aktuellen Anbieterverträge offen: Unterscheidet die Plattform auf der Berechtigungsebene zwischen menschlicher und agentischer Identität? Kann sie einen pro-Agenten-Prüfpfad erzeugen, den Aufsichtsbehörden lesen können? Kann jemand den Agentenzugriff innerhalb von fünf Minuten über eine Konsole widerrufen? Die meisten im letzten Quartal unterzeichneten Plattformverträge können nicht alle drei Fragen bejahen.
