Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > KI-Lieferkettenangriff: Das Mercor-LiteLLM-Muster steht erst am Anfang

KI-Lieferkettenangriff: Das Mercor-LiteLLM-Muster steht erst am Anfang

von Patrick Spencer updated Mai 27, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Am 6. April 2026 berichtete Computing, dass Meta die Zusammenarbeit mit dem KI-Datenauftragsnehmer Mercor nach einem Vorfall ausgesetzt hat, bei dem sensible Informationen über das Training führender KI-Systeme offengelegt worden sein könnten. Mercor bestätigte den Vorfall in einer internen E-Mail an die Mitarbeitenden am 31. März und beschrieb ihn als Teil eines „größeren Sicherheitsvorfalls, der Tausende von Organisationen weltweit betrifft“.

Das Entscheidende: Forschende führten den Mercor-Vorfall auf kompromittierte Updates in LiteLLM zurück, einer KI-Bibliothek, die als einheitliche Schnittstelle zu mehreren LLM-Anbietern weit verbreitet ist. So sieht ein moderner KI-Lieferkettenvorfall aus: Kein einzelner Perimeter, den man schützen kann. Keine einzelne CVE, die gepatcht werden muss. Ein Drittanbieter-Tool, das Tausende Teams aus legitimen Entwicklungsgründen installiert haben, wurde upstream kompromittiert – und die Angriffsfläche breitet sich auf jedes Unternehmen mit dieser Abhängigkeit aus.

5 Wichtige Erkenntnisse

1. Die KI-Trainingspipeline ist jetzt eine aktive Angriffsfläche.

Eine einzige kompromittierte KI-Bibliothek – LiteLLM – hat sich laut Berichten auf Meta, OpenAI und „Tausende von Organisationen“ ausgewirkt. Klassische Lieferantenbewertungen sind nicht darauf ausgelegt, Kompromittierungen von KI-Tool-Abhängigkeiten zu erkennen, da sie aus einer anderen Zeit stammen. Der Angriff erfolgte nicht über einen kundenorientierten Service, sondern über ein Entwicklungstool innerhalb des Workflows.

2. Vererbungsrisiko, Transparenz und Konzentration sind gleichzeitig gescheitert.

Der WEF Global Cybersecurity Outlook 2026 stuft das Vererbungsrisiko – die fehlende Gewährleistung der Integrität von Drittanbieter-Software – als das größte Cyberrisiko in der Lieferkette ein, gefolgt von Transparenz. Mercor traf alle drei: ein konzentriertes KI-Tool, geringe Transparenz beim Datenzugriff und vererbte Integritätsschwächen, die kein Security-Team durch Fragebögen hätte erkennen können. Laut Risikodaten bezeichnen 65 % der großen Unternehmen Schwachstellen bei Drittanbietern als größte Herausforderung für ihre Resilienz.

3. Die KI-Pipeline ist die konzentrierteste Lieferkette der IT.

Hugging Face, LiteLLM, LangChain, LlamaIndex – der gemeinsame Abhängigkeitsgraph moderner KI-Workloads ist dicht. Die MalHug-Pipeline-Studie identifizierte 91 bösartige Modelle und 9 bösartige Datensatz-Ladeskripte unter mehr als 705.000 Hugging Face-Modellen. JFrog meldete einen 6,5-fachen Anstieg bösartiger Hugging Face-Modelle von 2024 bis 2025. Das KI-Ökosystem erinnert an npm im Jahr 2018: rasant, unterreguliert, und ein kompromittierter Maintainer reicht für einen Kaskadeneffekt.

4. 87 % der Unternehmen haben keinen gemeinsamen Incident-Response-Plan mit Partnern.

Die Kiteworks 2026 Prognose ergab, dass 87 % keinen gemeinsamen Incident-Response-Plan mit Partnern haben, 89 % nie Incident Response mit Drittanbietern geübt haben und 84 % keine automatisierten Kill Switches für Partnerzugriffe besitzen. Die meisten Unternehmen würden einen Vorfall wie bei Mercor erst aus den Medien erfahren – und müssten ihre Reaktion improvisieren, ohne Plan und ohne Übung.

5. Die einzige wirksame Verteidigung ist Governance auf Datenebene – unabhängig von der Lieferkette.

Wenn das KI-Tool kompromittiert ist, muss der Schutz auf Datenebene greifen. ABAC-Durchsetzung, FIPS-140-3-Verschlüsselung und manipulationssichere Audit-Logs auf Datenebene funktionieren weiterhin, auch wenn eine Drittanbieter-Abhängigkeit kompromittiert ist. Eine kompromittierte Bibliothek, die das Data Gateway erreicht, trifft immer noch auf die Policy Engine, bevor Daten zurückgegeben werden.

Sie Vertrauen auf die Sicherheit Ihres Unternehmens. Aber Können Sie es Nachweisen?

Jetzt lesen

Warum klassische Lieferantenbewertungen KI-Tool-Kompromittierungen übersehen

Das Lieferantenrisikomodell der meisten Unternehmen stammt aus einer früheren Ära. Ein Fragebogen fragt nach SOC-2-Berichten, Verschlüsselungspraktiken, SLA zur Vorfallmeldung und Zugriffskontrollen. Keine dieser Fragen hätte das Mercor-Problem aufgedeckt. Der Angriff erfolgte nicht über einen kundenorientierten Service, sondern über eine KI-Bibliothek, die über Standard-Update-Kanäle verteilt und gegen die verarbeiteten Daten eingesetzt wurde.

Der WEF Global Cybersecurity Outlook 2026 zeigt: 65 % der großen Unternehmen sehen Schwachstellen bei Drittanbietern und in der Lieferkette als größte Herausforderung für ihre Cyberresilienz – ein Anstieg gegenüber 54 % im Jahr 2025. Vererbungsrisiko steht an erster Stelle: Man kann nicht vertrauen, was man nicht selbst gebaut hat. Transparenz folgt: Man weiß nicht, was man nutzt. Konzentration an dritter Stelle: Fällt ein Knoten, fallen viele. Der Mercor-LiteLLM-Vorfall vereint alle drei Risiken gleichzeitig.

Der Black Kite 2026 Third-Party Breach Report dokumentiert 136 bestätigte Drittanbieter-Vorfälle im Jahr 2025, 719 namentlich genannte Opfer und rund 26.000 betroffene Organisationen ohne Namensnennung. Die mittlere Zeit bis zur öffentlichen Bekanntgabe lag bei 73 Tagen – das heißt, als die meisten Unternehmen vom Vorfall erfuhren, waren ihre Daten bereits seit über zwei Monaten betroffen.

Die KI-Pipeline ist die konzentrierteste Lieferkette der IT

Der gemeinsame Abhängigkeitsgraph moderner KI-Workloads ist dicht. Hugging Face für Modelldistribution. LiteLLM, LangChain oder LlamaIndex für Orchestrierung. PyTorch und TensorFlow für das Training. Wenige Anbieter-APIs für Inferenz. Eine wachsende Zahl von MCP-Servern für Agenten-Integration. Eine einzige kompromittierte Bibliothek erreicht einen enormen Anteil produktiver KI-Workloads.

Die wissenschaftlichen Belege sind alarmierend: Die MalHug-Pipeline-Studie, veröffentlicht auf der ASE 2024, überwachte über 705.000 Modelle und 176.000 Datensätze auf Hugging Face und identifizierte 91 bösartige Modelle sowie 9 bösartige Datensatz-Ladeskripte – darunter Reverse Shells und Browser-Zugangsdiebstahl, eingebettet in scheinbar legitime Artefakte. JFrogs Telemetrie 2024–2025 meldete einen 6,5-fachen Anstieg bösartiger Modelle auf Hugging Face. Neue IEEE S&P-Forschung zu Drittanbieter-KI-Chatbot-Plugins zeigte: 8 von 17 Plugins erzwingen keine Integrität der Konversationshistorie, was direkte Prompt-Injection um das 3–8-Fache verstärkt, und 15 von 17 ermöglichen indirekte Prompt-Injection, da sie vertrauenswürdige und nicht vertrauenswürdige Inhalte nicht unterscheiden.

Auf dieser Lieferkette laufen KI-Workloads. Sie erinnert an das npm-Ökosystem 2018: öffentlich, schnelllebig, unterreguliert und ein kompromittierter Maintainer reicht für einen Kaskadeneffekt. Der Mercor-LiteLLM-Vorfall ist kein Ausreißer – er ist das Muster, das andere Unternehmen 2026 mit anderen Tools wieder erleben werden.

Warum „Wir vertrauen unseren Lieferanten“ keine Verteidigung mehr ist

Mercors Kunden – Meta, OpenAI und andere – haben keinen Vertrag mit LiteLLM geschlossen, sondern mit Mercor. Mercor wiederum nutzte das Open-Source-Ökosystem. Die Kompromittierung wanderte vom Ökosystem in Mercors Umgebung und von dort zu den Kunden. Bis jemand die richtige Risikofrage stellen konnte, waren die Daten bereits seit Wochen exponiert.

Die Kiteworks 2026 Prognose befragte 225 Unternehmen zur Drittanbieter-Bereitschaft und zeigte gravierende Lücken: 87 % haben keinen gemeinsamen Incident-Response-Plan mit Partnern, 89 % haben nie Incident Response mit Drittanbietern geübt, 84 % besitzen keine automatisierten Kill Switches für Partnerzugriffe. Wird ein Partner kompromittiert, improvisieren fast neun von zehn Unternehmen ihre Reaktion – ohne Plan, ohne Übung, ohne Koordination.

Das ist die Realität, in die die Mercor-Offenlegung fiel. Die meisten Unternehmen würden einen Vorfall wie Mercor in ihrer Lieferkette erst aus den Medien erfahren – nicht über ihre Security-Tools.

Verteidigung unterhalb der Lieferkette ansetzen

Die architektonische Konsequenz ist unbequem, aber zunehmend unausweichlich: Die KI-Lieferkette kann nicht rechtzeitig vertrauenswürdig gemacht werden. Die Tools entwickeln sich zu schnell, die Abhängigkeitsgraphen sind zu dicht, und die Transparenz über Kompromittierungsmuster hinkt der Einführung Monate hinterher. Die Verteidigung muss auf eine Ebene verlagert werden, die die Lieferkette nicht erreicht – die Daten.

Governance auf Datenebene bedeutet: Jede Anfrage eines KI-Agenten, RAG-Pipeline oder Orchestrierungstools wird authentifiziert, anhand attributbasierter Zugriffskontrollen geprüft und mit vollständiger Attribution protokolliert, bevor Daten zurückgegeben werden. Die Kompromittierung einer Upstream-Bibliothek ändert das Policy-Ergebnis nicht. Die Identität des Agenten wird kryptografisch verifiziert. Die Datenklassifizierung wird in Echtzeit im Kontext der Anfrage bewertet. Die Verschlüsselung nutzt FIPS-140-3-validierte Kryptomodule. Der Audit-Trail ist manipulationssicher und wird in Echtzeit an SIEM gestreamt – so wird aus einer „Tausende Organisationen“-Offenlegung eine verteidigbare, belegbare Incident Response.

Die Daten der Kiteworks 2026 Prognose zeigen, wo die meisten Unternehmen beim Wandel stehen: 33 % fehlt ein Audit-Trail in Beweisqualität, 41–44 % haben grundlegende KI-Governance-Kontrollen nicht implementiert, und 55–63 % fehlt es an Containment-Kontrollen wie Kill Switches und Purpose Binding. Die architektonische Korrektur ist real, aber die meisten Unternehmen haben noch nicht begonnen.

Wie Kiteworks Governance implementiert, die die Lieferkette nicht umgehen kann

Der Kiteworks Secure MCP Server ermöglicht KI-Assistenten den Zugriff auf Unternehmensdaten über OAuth 2.0-Authentifizierung, wobei die Zugangsdaten in OS-Keychains gespeichert und nie im LLM-Kontext offengelegt werden. Jede Operation wird anhand von ABAC- und RBAC-Richtlinien geprüft, durch Ratenbegrenzung vor Massenextraktion geschützt und mit vollständiger Attribution protokolliert. Eine kompromittierte KI-Bibliothek, die den MCP Server erreicht, trifft immer noch auf die Policy Engine, bevor Daten zurückgegeben werden – die KI erbt die Benutzerberechtigungen und kann diese nicht überschreiten.

Das AI Data Gateway erzwingt dieselben Kontrollen für RAG-Pipelines und automatisierte Workflows. Jeder Abruf wird auf Datenebene authentifiziert und autorisiert, mit FIPS-140-3-validierter Verschlüsselung zwischen Gateway und Datenspeicher. Das Gateway ist modellunabhängig – es funktioniert mit Claude, Microsoft Copilot, OpenAI und jedem MCP-kompatiblen System. Die Richtlinienkontrolle folgt den Daten, nicht dem Modell.

Die gehärtete virtuelle Appliance-Architektur unter beiden Funktionen ist die zusätzliche Antwort auf die Lieferkettenproblematik. Single-Tenant-Isolierung, integrierte WAF und IDS sowie One-Click-Updates sorgen dafür, dass die Angriffsfläche die von Kiteworks kontrollierte bleibt – nicht eine Drittanbieter-Oberfläche, die Kunden selbst absichern müssen. Als Log4Shell 2021 auftrat, reduzierte diese Architektur einen branchenweiten CVSS-10-Vorfall auf CVSS 4 für Kiteworks-Kunden. Dasselbe Prinzip gilt für Vorfälle wie Mercor: Eine kompromittierte Abhängigkeit erreicht keine Daten, die die Plattform gezielt von Drittanbieter-Tools isoliert.

Das Kiteworks Private Data Network erweitert diese Architektur auf alle Kanäle des Datenaustauschs – E-Mail, Filesharing, SFTP, MFT, APIs, Web-Formulare – unter einer Policy Engine und einem konsolidierten Audit-Log.

Was Unternehmen vor der nächsten KI-Lieferketten-Offenlegung tun müssen

Erstens: Erfassen Sie alle KI-Tools, die mit sensiblen Daten arbeiten. Die meisten Unternehmen können die von ihren Entwicklungs- und Data-Science-Teams genutzten KI-Bibliotheken, Frameworks und Orchestrierungstools nicht benennen. Laut Kiteworks 2026 Prognose haben bereits 51 % KI-Agenten im Produktivbetrieb, aber Governance- und Containment-Kontrollen hinken der Einführung um 15–20 Prozentpunkte hinterher. Die Inventarisierung ist die Voraussetzung für alle weiteren Schritte.

Zweitens: Behandeln Sie KI-Tools als regulierte Software-Lieferkette. SBOM-Management für KI-Abhängigkeiten, kontinuierliches Monitoring auf Kompromittierungsindikatoren in KI-Bibliotheken und signierte Build-Verifizierung für Modell-Artefakte. 72 % der Unternehmen können keine verlässliche Softwarekomponenten-Inventur vorlegen – in der KI-Lieferkette ist das Problem noch größer, da es keinen Standard für Modell-Attestierung gibt und kaum jemand die Herkunft von Modellen nachverfolgt.

Drittens: Schließen Sie die Incident-Response-Lücke bei Drittanbietern. 87 % der Unternehmen haben keine gemeinsamen IR-Playbooks mit Partnern und 89 % haben nie IR mit Drittanbietern geübt. Ein Vorfall wie Mercor in Ihrer Lieferkette ist nicht der Moment, um festzustellen, dass Ihr IR-Plan an der Perimetergrenze endet.

Viertens: Implementieren Sie KI-Datengovernance unabhängig von der KI-Lieferkette. ABAC-Durchsetzung auf Datenebene, FIPS-140-3-validierte Verschlüsselung, manipulationssichere Audit-Logs und kryptografisch authentifizierte Agentenidentität. Diese Kontrollen greifen auch dann, wenn das KI-Tool kompromittiert ist – genau dann, wenn die Governance der Lieferkette versagt.

Fünftens: Fordern Sie Audit-Beweise für jeden KI-Workflow. Eine Aufsichtsbehörde akzeptiert bei einer Drittanbieter-KI-Kompromittierung kein „Der Anbieter sagt, unsere Daten waren nicht betroffen“ als Nachweis. 33 % der Unternehmen fehlt laut Kiteworks 2026 Prognose ein Audit-Trail in Beweisqualität. Diese Lücke wird im Ernstfall zum Prüfpunkt, sobald ein Vorfall wie Mercor Ihre Daten betrifft.

Das Zeitfenster zwischen Offenlegung und dem nächsten Vorfall schließt sich. Unternehmen, die auf Beweise warten, liefern diese am Ende selbst.

Erfahren Sie mehr darüber, wie Sie Ihre sensiblen Daten vor KI-Lieferkettenrisiken schützen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Der Mercor-Vorfall zeigt, dass eine kompromittierte KI-Bibliothek Kundendaten Wochen vor der Offenlegung erreichen kann. Greift Ihre Pipeline auf regulierte Daten zu, hat die Kiteworks 2026 Prognose ergeben, dass 84 % der Unternehmen keine automatisierten Kill Switches für Partnerzugriffe besitzen. Governance auf Datenebene mit ABAC-Durchsetzung setzt Kontrollen zwischen KI-Bibliothek und Daten – unabhängig von Upstream-Kompromittierungen. Der Secure MCP Server erzwingt die Policy, bevor Daten zurückgegeben werden.

HIPAA verlangt protokollierte Durchsetzung des Zugriffs durch autorisiertes Personal, unabhängig davon, wie der Zugriff vermittelt wird. Das AI Data Gateway erzwingt ABAC-Richtlinien, FIPS-140-3-Verschlüsselung und manipulationssichere Audit-Logs auf Datenebene – unabhängig davon, welche KI-Bibliothek die Daten abruft. Ein kompromittiertes Orchestrierungstool kann die Berechtigungen des authentifizierten Nutzers nicht überschreiten.

Nach den SEC-Cybersecurity-Regeln müssen wesentliche Vorfälle innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit offengelegt werden – auch wenn sie von Drittanbietern ausgehen. Der Black Kite 2026 Report zeigt mit 73 Tagen mittlerer Offenlegungsverzögerung, dass die meisten Unternehmen von Lieferkettenvorfällen erst nach dem eigentlichen Schaden erfahren. Manipulationssichere Audit-Trails sind essenziell für eine schnelle und belegbare Wesentlichkeitsbewertung.

CMMC Level 2 verlangt durchgesetzte Autorisierung und Audit für jeden Zugriff auf CUI – auch durch KI-Agenten mit Drittanbieter-Tools. Die Kiteworks 2026 Prognose ergab, dass nur 46 % der DIB-Organisationen sich auf CMMC vorbereitet sehen. Governance auf Datenebene mit kryptografischer Agentenidentität, ABAC-Durchsetzung und FIPS-140-3-Verschlüsselung erfüllt AC-, AU- und IA-Kontrollen – unabhängig von der Integrität des KI-Tools.

Sie können die Lieferkette nicht mit der Geschwindigkeit auditieren, mit der sie sich verändert – Sie müssen darunter steuern. Erfassen Sie alle KI-Tools, die mit sensiblen Daten arbeiten, setzen Sie Governance auf Datenebene unabhängig vom Toolchain ein und verlangen Sie manipulationssichere Audit-Logs für jeden KI-Datenzugriff. Das Kiteworks Private Data Network reduziert die Folgen dieser Lücke, indem selbst eine kompromittierte Abhängigkeit auf Policy Enforcement trifft, bevor sie regulierte Daten erreicht.

Weitere Ressourcen

  • Blogbeitrag So schützen Sie Studiendaten in internationalen klinischen Forschungsprojekten
  • Blogbeitrag Der CLOUD Act und der britische Datenschutz: Warum der Gerichtsstand zählt
  • Blogbeitrag Zero Trust Data Protection: Strategien für mehr Sicherheit
  • Blogbeitrag Datenschutz durch Technikgestaltung: So integrieren Sie DSGVO-Kontrollen in Ihr MFT-Programm
  • Blogbeitrag So verhindern Sie Datenpannen mit sicherem Filesharing über Ländergrenzen hinweg

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks