Analyse des McKinsey-Lilli-Hacks: 46.5 Millionen Nachrichten in 2 Stunden exponiert. Was Schweizer Unternehmen aus dem grössten KI-Sicherheitsvorfall lernen müssen. Im Abschnitt "Was geschehen ist" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

McKinsey Lilli: Was der grösste KI-Sicherheitsvorfall für Schweizer Unternehmen bedeutet

46,5 Millionen interne Chat-Nachrichten. Zwei Stunden. Ein einziger Prompt-Injection-Angriff. Am 14. Januar 2026 wurde McKinseys KI-System «Lilli» kompromittiert, und das Ausmass übertraf alles, was Sicherheitsexperten bisher dokumentiert hatten. Der Vorfall stellt den grössten bekannten KI-Sicherheitsvorfall dar und zwingt jedes Unternehmen mit KI-Systemen, seine Schutzmassnahmen zu überdenken.

Was geschehen ist

Die Chronologie

McKinsey hatte «Lilli» 2023 als internes Wissensmanagement-Tool lanciert. Das System basierte auf einem Large Language Model, das auf McKinseys umfangreicher Wissensbasis trainiert und mit internen Dokumenten, Beratungsberichten und Kommunikationsverläufen verknüpft war. Über 30’000 McKinsey-Berater nutzten Lilli täglich für Recherchen, Analysen und Dokumentenerstellung.

Phase 1: Erkundung Die Sicherheitsforscher identifizierten zunächst die Architektur des Systems. Lilli nutzte ein Retrieval Augmented Generation (RAG) Setup: Das Modell griff bei jeder Anfrage auf eine umfangreiche Vektordatenbank zu, die McKinseys gesamtes institutionelles Wissen indexierte.

Phase 2: Prompt Injection Durch eine mehrstufige Prompt-Injection-Attacke gelang es, die Systemprompts zu extrahieren und die Sicherheitsvorkehrungen des Modells zu umgehen. Entscheidend war eine indirekte Injection über ein Dokument, das als «interner Forschungsbericht» getarnt war.

Phase 3: Datenexfiltration Einmal an den Guardrails vorbei, konnten die Forscher das RAG-System instrumentalisieren, um systematisch Daten aus der Vektordatenbank abzurufen. In nur zwei Stunden wurden 46,5 Millionen Nachrichten extrahiert, darunter Beratungsdokumente, Kundenkorrespondenz, strategische Analysen und interne Kommunikation.

Was exponiert wurde

Die exponierten Daten umfassten:

Strategische Beratungsdokumente: Vertrauliche Analysen für Fortune-500-Unternehmen
Kundenkommunikation: Interne Diskussionen über Kundenmandate
Finanzinformationen: Nicht-öffentliche Finanzdaten von McKinsey-Kunden
Personalinformationen: Interne Bewertungen und Karrieredaten von McKinsey-Beratern
M&A-Informationen: Vertrauliche Due-Diligence-Materialien

Die technischen Ursachen

Der Vorfall hatte mehrere ineinandergreifende technische Ursachen:

1. Unzureichende Input-Validierung

Die Eingabevalidierung für das RAG-System war auf klassische Injection-Angriffe (SQL, XSS) ausgelegt, nicht auf LLM-spezifische Prompt Injection. Die Sicherheitsarchitektur behandelte den LLM-Layer wie eine herkömmliche Applikationsschicht. Ein fundamentaler Fehler.

2. Übermässige Berechtigungen des RAG-Systems

Das RAG-System hatte Lesezugriff auf nahezu den gesamten Datenbestand. Es gab keine granulare Zugriffskontrolle auf Dokumentenebene. Wenn ein Berater eine Frage stellte, konnte das System potenziell auf alle indexierten Dokumente zugreifen, nicht nur auf diejenigen, für die der Benutzer berechtigt war.

3. Fehlende Anomalieerkennung

Es gab kein Monitoring, das ungewöhnliche Zugriffsmuster erkannt hätte. Die Exfiltration von Millionen von Dokumenten über einen Zeitraum von zwei Stunden erzeugte keine Alerts.

4. Keine Segmentierung des Wissensbestands

Hochsensible Daten (M&A, Kundendaten) waren in derselben Vektordatenbank indexiert wie allgemeine Informationen. Es gab keine Trennung nach Vertraulichkeitsgrad.

Bedeutung für Schweizer Unternehmen

Warum der Vorfall jeden betrifft

Die Relevanz des McKinsey-Lilli-Vorfalls geht weit über die Beratungsbranche hinaus. Er illustriert Schwachstellen, die in praktisch jedem Unternehmen mit KI-Systemen existieren können:

1. Das RAG-Problem ist universell

Viele Schweizer Unternehmen setzen RAG-Systeme ein, von Kundensupport-Chatbots über interne Recherchetools bis hin zu Dokumentenmanagementsystemen. Wenn diese Systeme nicht korrekt abgesichert sind, kann ein einzelner Prompt-Injection-Angriff den gesamten indexierten Datenbestand offenlegen.

2. Die Datendimension übersteigt klassische Breaches

Bei einem klassischen Datenbreach wird eine Datenbank kompromittiert, mit einem definierten Inhalt. Bei KI-Systemen mit RAG-Architektur kann ein einziger Exploit potenziell auf das gesamte konsolidierte Wissen einer Organisation zugreifen. Die Schadensdimension ist qualitativ anders.

3. Schweizer Finanzplatz besonders exponiert

Schweizer Banken, Versicherungen und Vermögensverwalter verarbeiten hochsensible Finanzdaten. Viele dieser Institute experimentieren mit oder setzen bereits KI-Systeme ein. Die FINMA hat bisher keine spezifischen Richtlinien für KI-Sicherheit erlassen. Der McKinsey-Vorfall könnte dies beschleunigen.

4. nDSG und EU AI Act schaffen Haftungsrisiken

Unter dem neuen Schweizer Datenschutzgesetz (nDSG) und dem EU AI Act können Unternehmen für unzureichende Sicherheitsmassnahmen bei KI-Systemen haftbar gemacht werden. Ein McKinsey-ähnlicher Vorfall in einem Schweizer Unternehmen hätte nicht nur Reputationsschäden, sondern auch erhebliche rechtliche Konsequenzen.

Branchen mit erhöhtem Risiko

Branche	Typische KI-Anwendungen	Spezifisches Risiko
Banking/Finance	Kundenberatung, Risikobewertung, Compliance-Monitoring	Bankgeheimnis, FINMA-Regulierung
Pharma	Forschungsdatenanalyse, Patentrecherche, Clinical Trial Data	Geschäftsgeheimnisse, Patientendaten
Versicherungen	Schadensbewertung, Underwriting, Kundeninteraktion	Personenbezogene Gesundheitsdaten
Rechtsberatung	Vertragsanalyse, Rechtsrecherche, Due Diligence	Anwaltsgeheimnis, Mandantendaten
Öffentliche Verwaltung	Bürgerservices, Dokumentenverarbeitung	Besonders schützenswerte Personendaten

Die regulatorischen Konsequenzen

EU-Perspektive

Der McKinsey-Vorfall fällt in eine Phase, in der die EU AI Act Verpflichtungen für General Purpose AI (GPAI) gerade in Kraft getreten sind (August 2025). Die EU-Kommission prüft, ob:

McKinseys Lilli als Hochrisiko-KI-System einzustufen ist
Die Transparenzpflichten für GPAI eingehalten wurden
Angemessene Sicherheitstests vor dem Deployment durchgeführt wurden

Die Bussgelder unter dem EU AI Act (bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes) schaffen einen neuen Haftungsrahmen, der McKinsey erhebliche Kosten verursachen könnte.

Schweizer Perspektive

Die Schweiz hat noch kein spezifisches KI-Gesetz, aber bestehende Regulierung greift:

nDSG: Das revidierte Datenschutzgesetz verlangt angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten. Ein unzureichend gesichertes KI-System kann einen Verstoss darstellen.
FINMA: Für den Finanzsektor gelten besondere Anforderungen an die operative Resilienz. KI-Systeme mit Zugang zu Kundendaten fallen unter diese Anforderungen.
Branchenspezifische Regulierung: Gesundheitswesen (EPD), Telekommunikation und weitere Sektoren haben eigene Datenschutzanforderungen.

Der Bundesrat hat im Februar 2026 angekündigt, einen Entwurf für eine Schweizer KI-Regulierung vorzulegen, der sich am EU AI Act orientieren wird. Der McKinsey-Vorfall hat diese Diskussion beschleunigt.

Lehren für die Praxis

Was Unternehmen sofort tun sollten

1. RAG-Systeme überprüfen

Wenn Ihr Unternehmen ein RAG-System einsetzt, ob für Kundensupport, interne Recherche oder Dokumentenmanagement, sollten Sie sofort prüfen:

Welche Daten sind im Index? Gibt es eine Segmentierung nach Vertraulichkeitsgrad?
Sind Zugriffskontrollen auf Dokumentenebene implementiert?
Werden Benutzeranfragen auf Prompt-Injection-Muster geprüft?
Gibt es ein Monitoring für anomale Zugriffsmuster?

2. Datenklassifizierung durchsetzen

Der McKinsey-Vorfall hätte weniger gravierend sein können, wenn hochsensible Daten nicht in derselben Vektordatenbank wie allgemeine Informationen indexiert gewesen wären. Implementieren Sie eine strenge Datenklassifizierung:

Welche Daten dürfen in KI-Systeme fliessen?
Welche Daten müssen in getrennten, stärker gesicherten Umgebungen verbleiben?
Wie wird die Einhaltung überwacht?

3. KI-Sicherheitstests durchführen lassen

Der McKinsey-Vorfall zeigt, dass klassische Sicherheitstests (Netzwerk-Pentests, Webapp-Audits) KI-spezifische Schwachstellen nicht abdecken. Unternehmen brauchen spezialisierte KI Red Teaming Assessments.

Für eine detaillierte technische Analyse der Angriffstechniken und Gegenmassnahmen empfehlen wir den Fachartikel auf dem RedTeam Partners Blog, der die Methodik des Angriffs und die daraus abzuleitenden Schutzmassnahmen im Detail erläutert.

4. Incident-Response-Plan um KI-Szenarien erweitern

Die meisten Incident-Response-Pläne decken KI-spezifische Vorfälle nicht ab. Ergänzen Sie Ihren Plan um Szenarien wie:

Prompt-Injection-Angriff auf kundenorientierte KI-Systeme
Datenexfiltration über RAG-Systeme
Manipulation von KI-gestützten Entscheidungsprozessen
Shadow-AI-Vorfall (Mitarbeiter exponiert Daten über privates KI-Tool)

Mittelfristige Massnahmen

5. EU AI Act Compliance vorbereiten

Auch wenn die Schweiz (noch) nicht direkt unter den EU AI Act fällt, sollten Unternehmen mit EU-Bezug, sei es durch Kunden, Niederlassungen oder Marktpräsenz, die August-2026-Frist für Hochrisiko-KI-Systeme ernst nehmen.

6. KI-Governance-Strukturen aufbauen

Der McKinsey-Vorfall zeigt, dass KI-Sicherheit nicht allein eine technische Aufgabe ist. Es braucht Governance-Strukturen, die Verantwortlichkeiten, Prozesse und Kontrollmechanismen definieren.

7. Lieferantenbewertung für KI-Dienste

Wenn Sie KI-Dienste von Drittanbietern nutzen, prüfen Sie deren Sicherheitsarchitektur. Fragen Sie nach:

Wie ist das RAG-System gesichert?
Welche Prompt-Injection-Schutzmassnahmen sind implementiert?
Gibt es Mandantentrennung?
Welche Zertifizierungen hat der Anbieter?

Der Markt reagiert

Beschleunigung der KI-Sicherheitsbranche

Der McKinsey-Vorfall hat die Nachfrage nach spezialisierten KI-Sicherheitsdienstleistungen sprunghaft ansteigen lassen. Laut Branchenbeobachtern haben sich die Anfragen für KI Red Teaming in der Schweiz seit Januar 2026 mehr als verdreifacht.

Gleichzeitig drängen zahlreiche Anbieter in den Markt, die «KI-Sicherheit» anbieten, ohne tiefgreifende Expertise zu besitzen. Für Unternehmen ist es daher umso wichtiger, bei der Anbieterauswahl auf nachweisbare Qualifikationen wie CREST-Zertifizierung zu achten.

Einen detaillierten Leitfaden zur Auswahl eines KI Red Teaming Anbieters finden Sie in unserem Guide KI Red Teaming Anbieter in der Schweiz: Auswahlkriterien 2026.

Reaktionen der Aufsichtsbehörden

EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter): Hat eine Stellungnahme angekündigt zu KI-Systemen und Datenschutzpflichten
FINMA: Prüft erweiterte Anforderungen an KI-Systeme im regulierten Finanzsektor
EU-Kommission: Hat den Fall als Referenz in die laufende Ausarbeitung der AI Act Guidelines aufgenommen

Was Unternehmen aus dem Vorfall lernen können: Fünf Prinzipien

Prinzip 1: Zero Trust für KI-Systeme

Behandeln Sie KI-Systeme wie jeden anderen externen Dienst, mit dem Grundsatz «Never trust, always verify». Jede Interaktion mit dem Modell muss validiert werden, unabhängig davon, ob sie von einem internen Benutzer stammt.

Prinzip 2: Least Privilege für RAG-Zugriffe

RAG-Systeme sollten nach dem Prinzip der minimalen Berechtigungen konfiguriert werden. Wenn ein Marketing-Mitarbeiter das System nutzt, darf es nicht auf M&A-Dokumente zugreifen können, auch wenn die Vektordatenbank diese enthält.

Prinzip 3: Defense in Depth

Verlassen Sie sich nicht auf eine einzelne Sicherheitsschicht. Kombinieren Sie:

Input-Validierung (Prompt-Injection-Erkennung)
Output-Filterung (Verhinderung von Datenexfiltration)
Zugriffskontrollen (dokumentenbasierte Berechtigungen)
Monitoring (Anomalieerkennung)
Rate Limiting (Begrenzung der Abfragemenge)

Prinzip 4: Assume Breach

Planen Sie für den Fall, dass Ihre KI-Sicherheitsmassnahmen versagen. Stellen Sie sicher, dass:

Der Schaden begrenzt bleibt (durch Segmentierung)
Sie den Vorfall schnell erkennen (durch Monitoring)
Sie schnell reagieren können (durch vorbereitete Incident-Response-Prozesse)
Sie aus dem Vorfall lernen (durch Post-Incident-Analyse)

Prinzip 5: Regelmässige Sicherheitstests

KI-Systeme entwickeln sich ständig weiter, und mit ihnen die Angriffsmethoden. Ein einmaliger Sicherheitstest reicht nicht aus. Planen Sie mindestens jährliche KI Red Teaming Assessments ein, bei kundenkritischen Systemen häufiger.

Was dieser Vorfall für die Branche bedeutet

Der McKinsey-Lilli-Vorfall ist nicht einfach ein weiterer Datenbreach. Er markiert einen Wendepunkt in der Diskussion über KI-Sicherheit. Zum ersten Mal hat ein KI-spezifischer Angriff, kein klassischer Infrastruktur-Hack, einen der grössten und bestgesicherten Konzerne der Welt getroffen.

Für Schweizer Unternehmen ist die Botschaft klar: KI-Sicherheit ist kein optionales Zusatzthema mehr. Es gehört auf die Agenda der Geschäftsleitung, in das Budget der IT-Sicherheit und in den Audit-Plan.

Die gute Nachricht: Die Lehren aus dem McKinsey-Vorfall sind konkret und umsetzbar. Wer jetzt handelt, kann seine KI-Systeme absichern, bevor ein ähnlicher Vorfall eintritt.

Für eine weiterführende Einordnung der KI-Sicherheitsrisiken für Schweizer Unternehmen empfehlen wir unseren Leitfaden KI-Sicherheit für Unternehmen: Was Sie 2026 wissen müssen.

Alpine Excellence ist eine unabhängige redaktionelle Plattform. Dieser Artikel stellt keine Anlage- oder Rechtsberatung dar.