36% der KI-Server angreifbar: niemand kontrolliert es

Sicherheitsforscher haben über 7.000 sogenannte MCP-Server (Model Context Protocol) gescannt, also jene Schnittstellen, über die KI-Agenten auf Dateien, Datenbanken und APIs zugreifen. Das Ergebnis: 36,7 Prozent dieser Server sind anfällig für Angriffe. In einem Ökosystem, das keine verpflichtende Sicherheitsprüfung kennt, ist das eine Einladung mit offener Tür.

36,7 Prozent der MCP-Server sind verwundbar

Das Model Context Protocol ist das Bindeglied zwischen KI-Agenten und den Werkzeugen, die sie nutzen: Dateien lesen, Datenbanken abfragen, Code ausführen. Forscher des Sicherheitsunternehmens Equixly scannten über 7.000 dieser Server und fanden bei 36,7 Prozent Schwachstellen für sogenannte SSRF-Angriffe (Server-Side Request Forgery), bei denen ein Server dazu gebracht wird, auf interne Ressourcen zuzugreifen, die eigentlich geschützt sein sollten.

In einem Proof-of-Concept gegen Microsofts MarkItDown-Server extrahierten die Forscher AWS-Zugangsdaten, geheime Schlüssel und Session-Tokens über einen Metadaten-Endpunkt. Das ist keine theoretische Gefahr: Es bedeutet die vollständige Übernahme eines Cloud-Kontos.

Trend Micro fand parallel 492 MCP-Server, die ohne jegliche Authentifizierung im Internet erreichbar waren. Keine Passwörter, keine Tokens, schlicht offene Türen.

Die Lieferkette für KI-Fähigkeiten ist bereits kompromittiert

Verwundbare Server wären allein schon problematisch genug. Doch die Lieferkette selbst ist vergiftet. Snyks ToxicSkills-Studie analysierte 3.984 sogenannte Agent Skills (Erweiterungen, die KI-Agenten neue Fähigkeiten verleihen) auf ClawHub, dem größten Marktplatz für solche Erweiterungen. 36 Prozent enthielten Prompt-Injection-Techniken. Darunter trugen 1.467 aktive Schadcode-Nutzlasten. Insgesamt wiesen 534 Skills (rund 13,4 Prozent) mindestens eine kritische Sicherheitslücke auf: Malware-Verteilung, Diebstahl von Zugangsdaten oder Hintertüren.

Jeder bestätigte bösartige Skill kombinierte Code-Angriffe mit Prompt Injection und attackierte damit sowohl die Software-Ebene als auch die natürlichsprachliche Steuerungsebene gleichzeitig. KI-Agenten lassen sich in 92 Prozent der Fälle kapern allein durch Prompt Injection. Kommt ein kompromittierter Skill hinzu, hat der Angreifer die vollständige Kontrolle.

Ein einziger kompromittierter Agent kostete 2,9 Millionen Euro in 72 Stunden

Ein mittelständischer Hersteller setzte ein agentenbasiertes Beschaffungssystem ein. Angreifer kompromittierten den Validierungsagenten über eine Supply-Chain-Attacke auf den KI-Modellanbieter. Der Agent begann, Bestellungen von Scheinfirmen zu genehmigen, die von den Angreifern kontrolliert wurden.

Da Multi-Agenten-Systeme Entscheidungen kaskadierend weiterreichen, verarbeitete der Zahlungsagent automatisch jede betrügerische Bestellung. Als die Bestandsprüfung die Abweichung aufdeckte, waren bereits rund 2,9 Millionen Euro (ursprünglich 3,2 Millionen US-Dollar) auf nicht rückverfolgbare Konten überwiesen. Die Ursache: ein einziger kompromittierter Agent in einer Kette, in der kein Agent die anderen verifizierte. Wenn 65 Prozent der Unternehmen keinen Schutz gegen Prompt Injection haben, wird das Vertrauen zwischen Agenten zum schwächsten Glied.

Warum niemand prüft

Das MCP-Ökosystem kennt keinen verpflichtenden Sicherheitsaudit. Allein zwischen Januar und Februar 2026 meldeten Forscher über 30 CVEs gegen MCP-Server, Clients und Infrastruktur. Von 2.614 untersuchten MCP-Implementierungen nutzen 82 Prozent Dateioperationen, die für Path-Traversal-Angriffe anfällig sind. Die Schwachstellen sind nicht exotisch: Es handelt sich um dieselben OWASP-Top-10-Fehler, gegen die Webanwendungen seit zwei Jahrzehnten kämpfen: Injection, fehlerhafte Authentifizierung, SSRF.

Der Unterschied ist die Geschwindigkeit. KI-gestützte Angriffe sind in 29 Minuten schneller als jedes Sicherheitsteam, und MCP-Server bieten Angreifern einen direkten Kanal in Cloud-Infrastruktur, Datenbanken und interne Schnittstellen. Unternehmen, die KI-Agenten einführen, ohne ihre MCP-Server zu überprüfen, verbinden im Grunde jedes interne System ohne Firewall mit dem offenen Internet. Das Schatten-KI-Problem, das Unternehmen bereits rund 4 Millionen Euro pro Sicherheitsvorfall kostet, wird sich dadurch erheblich verschärfen.

Was Sie jetzt tun sollten

Drei Schritte, beginnend heute. Erstens: Überprüfen Sie jeden MCP-Server, mit dem Ihre Organisation verbunden ist, auf SSRF, Path Traversal und Authentifizierungslücken. Das Vulnerable MCP Project führt eine durchsuchbare Datenbank bekannter Probleme.

Zweitens: Behandeln Sie KI-Agent-Skills wie Drittanbieter-Code-Abhängigkeiten. Scannen Sie sie vor der Installation. Snyks Studie zeigt, dass visuelle Inspektion praktisch nichts erkennt; automatisiertes Scanning ist das absolute Minimum.

Drittens: Implementieren Sie eine Agenten-zu-Agenten-Verifizierung. Kein einzelner Agent sollte die Befugnis haben, Finanztransaktionen zu genehmigen, auf Zugangsdaten zuzugreifen oder Infrastruktur zu verändern, ohne unabhängige Bestätigung durch einen zweiten, isolierten Agenten.

Die KI-Agenten-Revolution ist real. Doch die Lieferkettenkrise darunter ist es ebenso. Die Unternehmen, die bestehen werden, sind jene, die ihre KI-Infrastruktur mit derselben Sorgfalt behandeln wie jede andere geschäftskritische Software.

---

Weiterführende Artikel:

• Das eigentliche Sicherheitsproblem beginnt beim Login
• Fünf Sicherheitsabkürzungen, die Unternehmen teuer werden