18 Minuten bis zum Vollzugriff: KI-Agent hackt Bains Wettbewerbs-Plattform — und komplettiert den Big-Three-Hattrick

Ein autonomer KI-Agent braucht 18 Minuten, um Bains Competitive-Intelligence-Plattform Pyxis zu kompromittieren. Keine Zero-Days, kein Social Engineering, kein Brute Force. Nur eine JavaScript-Datei, die ein hartcodiertes Passwort enthält. Dahinter: 159 Milliarden Zeilen Verbrauchertransaktionsdaten, Wettbewerbsstrategien von Fortune-500-Unternehmen und fast 10.000 KI-Konversationen, in denen Kunden gezielt nach ihren Konkurrenten fragten.

Das Sicherheitsunternehmen CodeWall veröffentlichte den Bericht am 13. April 2026 im Rahmen einer Responsible-Disclosure-Vereinbarung. Bain hat die Schwachstellen innerhalb von 24 Stunden behoben. Aber der Vorfall ist größer als ein einzelner Patch — denn Bain ist nicht allein. Es ist das dritte Unternehmen der „Big Three“ der Unternehmensberatung, das CodeWall auf dieselbe Weise kompromittiert hat.

Drei für drei: McKinsey, BCG, Bain

CodeWall hat seit März 2026 alle drei großen Strategieberatungen gehackt — jeweils mit einem autonomen KI-Agenten, ohne menschliche Steuerung:

McKinsey (März 2026, 2 Stunden): SQL-Injection in der internen KI-Plattform Lilli — genutzt von über 43.000 Beratern. Ergebnis: Lese- und Schreibzugriff auf die Produktionsdatenbank mit 46,5 Millionen Chat-Nachrichten im Klartext. Kritisch: Die System-Prompts, die Lillis Verhalten steuern, lagen in derselben Datenbank — ein Angreifer hätte die KI für 43.000 Nutzer lautlos manipulieren können.

BCG (März 2026): Ein unauthentifizierter SQL-Execution-Endpoint auf BCGs X Portal. Dahinter: 131 Terabyte, 3,17 Billionen Datenzeilen. Keine Authentifizierung erforderlich.

Bain (März 2026, 18 Minuten): Hartcodierte Zugangsdaten in einer öffentlich ausgelieferten JavaScript-Datei auf der Pyxis-Plattform.

Das Muster: Drei Unternehmen, die zusammen Milliarden für Technologieberatung umsetzen, hatten alle kritische Schwachstellen in ihren KI-Plattformen. Und klassische Penetrationstests — wahrscheinlich regelmäßig durchgeführt, wahrscheinlich sechsstellig budgetiert — haben keine davon gefunden.

Was genau bei Bain passiert ist

Der CodeWall-Agent begann mit nichts weiter als dem Firmennamen „Bain“. Innerhalb von Minuten kartierte er Bains externe Infrastruktur: Hunderte Subdomains, Login-Portale, API-Gateways. Die meiste Angriffsfläche war sauber abgesichert.

Aber Pyxis, Bains Competitive-Intelligence-Plattform, war die Ausnahme. Der Agent fand in einem JavaScript-Bundle, das als Teil der Pyxis-Website öffentlich ausgeliefert wurde, ein hartcodiertes Service-Account-Passwort. Kein Exploit nötig — die Datei war für jeden im Internet herunterladbar.

Mit den Credentials etablierte der Agent eine authentifizierte Session auf der Produktionsplattform und fand einen API-Endpoint, der rohe SQL-Payloads akzeptierte und Ergebnisse über Fehlermeldungen zurückgab — direkter Zugang zur Produktionsdatenbank. Der Service-Account war nicht eingeschränkt: Hunderte Berechtigungen und Rollen mit Lese-Schreib-Zugriff über 11 Datenbanken.

Was auf der anderen Seite lag

159 Milliarden Zeilen pseudonymisierter Verbrauchertransaktionsdaten — Postleitzahlen, Einkommenskategorien, Händlerdetails, Bestellsummen. Bei einer Zeile pro Sekunde: über 5.000 Jahre Lesezeit.

Firmennamen und Daten von Fortune-500-Unternehmen — Einzelhändler, Fluggesellschaften, Luxusmarken, Restaurantketten. Jeder Name war einem Datenbankschema zugeordnet, das die tatsächlichen Datenassets enthält, die Bain für diesen Kunden aufgebaut hat.

9.989 KI-Konversationen — einschließlich externer Mitarbeiter von Bain-Kunden. Die brisante Pointe: Kunden fragten gezielt nach ihren Wettbewerbern. Ein Mitarbeiter von Unternehmen A fragt: „Wie hat sich der durchschnittliche Bestellwert bei Unternehmen B im dritten Quartal verändert?“ Ein Mitarbeiter von Unternehmen C fragt: „Wie viele Kunden hat Unternehmen D an Unternehmen E verloren?“

Schlimmer als Datendiebstahl: Persistenz und Eskalation

Die eigentliche Gefährdung lag nicht im Datenzugang, sondern in den Eskalationspfaden:

Identitätsinfrastruktur kompromittierbar: Ein GraphQL-API-Endpoint erlaubte die Erstellung beliebiger Benutzerkonten und die direkte Modifikation des Okta-Verzeichnisses — ohne zusätzliche Authentifizierung. Ein Angreifer hätte sich direkt in Bains Identity-Infrastruktur einbetten können. Selbst nach Rotation der Credentials hätte der Zugang bestanden — die Hintertür wäre bereits gebaut.

36.869 JWT-Tokens im Klartext: Das Aktivitätslog speicherte vollständige Authentifizierungs-Tokens neben der zugehörigen Mitarbeiter-E-Mail. Gültigkeitsdauer: 365 Tage, ohne MFA. Ein Angreifer hätte jeden Bain-Mitarbeiter auf der Plattform imitieren können.

KI-Modellzugriff: LLM-Funktionen waren gegen Live-Produktionstabellen aufrufbar — mit Zugriff auf acht Modelle einschließlich Llama 3.1 405B, die mit echten Kundendaten arbeiteten.

Bulk-Extraktion: Export-Endpoints akzeptierten beliebige SQL-Queries und ein angreifergesteuertes externes Ziel — Cross-Cloud-Datenexfiltration mit einem einzigen API-Call.

System-Prompt exponiert: Der proprietäre Pyxis-Systemprompt — 18.621 Zeichen mit Berichtsmethodik, SQL-Schema-Definitionen und analytischen Frameworks — war für jede authentifizierte Session lesbar.

Die Schwachstelle aus den 1990ern

Hartcodierte Credentials in Frontend-Bundles. SQL-Injection. Fehlende Authentifizierung auf API-Endpoints. Das sind Schwachstellenklassen, die seit den 1990er Jahren bekannt sind und in jedem Grundkurs für Anwendungssicherheit behandelt werden.

Dass sie bei drei der renommiertesten Beratungsunternehmen der Welt gleichzeitig auftreten, zeigt ein systemisches Problem: KI-Plattformen werden wie interne Tools behandelt, obwohl sie die Angriffsfläche fundamental verändern. Eine KI-Plattform, die Zugriff auf Kundendaten, Strategiedokumente und Wettbewerbsanalysen hat, ist kein internes Tool — sie ist ein hochkritisches Asset.

Und der eigentlich beunruhigende Aspekt: Was CodeWall mit einem autonomen Agenten unter Responsible-Disclosure-Bedingungen demonstriert hat, können kriminelle Akteure genauso. Nur ohne Responsible Disclosure.

Was das für Unternehmen bedeutet

KI-Plattformen gehören in den Scope von Sicherheitsaudits. System-Prompts, Datenbankzugänge, API-Endpoints und Authentifizierungsmechanismen müssen mit derselben Rigorosität geprüft werden wie klassische Webanwendungen.

Credentials gehören nicht in Frontend-Code. Secret Scanning in CI/CD-Pipelines, Pre-Commit-Hooks und automatisierte Prüfung von Build-Artefakten sind keine optionalen Extras.

SQL-Injection ist nicht ausgestorben. KI-Plattformen mit dynamischen Datenbankabfragen reproduzieren dieselben alten Fehler auf neuen Angriffsflächen.

Autonome Agents verändern die Angriffsdynamik. Ein menschlicher Pentester hätte dieselben Schwachstellen gefunden — aber nicht in 18 Minuten. Die Verteidigung muss mit dieser Geschwindigkeit Schritt halten.

Drittanbieter-Risiko unter NIS-2: Wenn Ihr Berater eine KI-Plattform betreibt, die Ihre Wettbewerbsdaten enthält, und diese Plattform über hartcodierte Credentials zugänglich ist — dann ist das Ihr Risiko. NIS-2 verlangt Risikomanagement für die gesamte Lieferkette. Das schließt KI-Plattformen Ihrer Dienstleister ein.