Operation Bizarre Bazaar: KI-Infrastruktur wird zur dunklen Handelsware

Eine hochgefährliche Cyber-Kampagne namens „Operation Bizarre Bazaar“ industrialisiert den Diebstahl von KI-Rechenleistung. Angreifer kapern ungesicherte KI-Schnittstellen und verkaufen den Zugriff im Darknet – eine massive Bedrohung für Unternehmen weltweit.

Die Industrialisierung des „LLMjacking“

Sicherheitsforscher von Pillar Security schlagen Alarm. In einem aktuellen Bericht beschreiben sie eine beispiellose, koordinierte Angriffswelle. Zwischen Dezember 2025 und Januar 2026 verzeichneten sie über 35.000 bestätigte Angriffssitzungen in nur 40 Tagen. Das Ziel: Selbst gehostete KI-Modelle, die versehentlich ohne Authentifizierung im Internet erreichbar sind.

Dies ist kein Einzelfall mehr, sondern ein geregelter krimineller Betrieb. Die als „LLMjacking“ bekannte Praxis hat sich zu einer ausgereiften Lieferkette entwickelt. Automatisierte Scanner durchforsten das Netz nach verwundbaren Endpunkten, etwa auf den Standard-Ports 11434 (Ollama) oder 8000. Ungesicherte KI-Schnittstellen werden oft innerhalb weniger Stunden nach dem Start kompromittiert. Der entdeckte Zugang wird dann auf Darknet-Marktplätzen und Plattformen wie Telegram verpackt und weiterverkauft.

Passend zum Thema KI-Sicherheit: Die EU‑KI‑Verordnung stellt neue Anforderungen an Risikoklassifizierung, Kennzeichnung und Dokumentation von KI‑Systemen. Viele Sicherheitsteams sind darüber nicht ausreichend informiert – mit drohenden Fristen und möglichen Sanktionen. Dieser kostenlose Umsetzungsleitfaden erklärt praxisnah, welche Pflichten jetzt gelten, wie Sie Ihr System korrekt klassifizieren und welche Nachweise Sie bereithalten sollten. Inklusive Checklisten für Compliance‑Teams. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

Ein dreistufiges kriminelles Ökosystem

Hinter der Operation stehen laut Analyse drei spezialisierte Gruppen. Eine betreibt das Netzwerk aus Scan-Bots. Eine zweite validiert die gefundenen Endpunkte und prüft deren Fähigkeiten. Den Vertrieb übernimmt schließlich ein kommerzieller Dienst mit dem Codenamen „SilverInc“.

Das Geschäftsmodell ist simpel und lukrativ. Andere Cyberkriminelle können Zugang zu leistungsstarken Large Language Models (LLMs) zu einem Bruchteil der legalen Kosten kaufen. Sie nutzen die gekaperten Modelle dann für Spam, Phishing-E-Mails oder bösartige Bots – und das Opferunternehmen zahlt die Rechnung für Rechenleistung und Strom.

Die Datenschutzrisiken sind enorm. Angreifer können die Konversationshistorie der Modelle auslesen. Verarbeitet ein Unternehmen damit proprietären Code, Kundendaten oder interne Dokumente, droht der stille Abfluss wertvollen geistigen Eigentums.

MCP: Das Einfallstor ins Firmennetz

Besonders alarmierend ist das gezielte Ausspähen des Model Context Protocol (MCP). Dieser neue Standard verbindet KI-Modelle sicher mit lokalen Datenquellen wie Dateisystemen oder Datenbanken.

„Angreifer sehen die KI-Infrastruktur nun nicht mehr nur als Ressource, sondern als Drehscheibe“, warnt George Gerchow, Chief Security Officer bei Bedrock Data. Wird ein MCP-Server kompromittiert, erhält der Angreifer die gleichen Berechtigungen wie der KI-Agent. Hat die KI Lesezugriff auf interne Dateien, kann der Angreifer sie dazu manipulieren, diese Informationen preiszugeben. So wird das gekaperte KI-Modell zur Brücke für tiefere Angriffe ins Firmennetz.

Kritische Schutzmaßnahmen für Unternehmen

Die Angriffe nutzen einen grundlegenden Fehler aus: die Annahme, interne KI-Tools seien vor externer Entdeckung sicher. „Security by Obscurity“ funktioniert nicht mehr. Experten drängen Unternehmen zu sofortigen Audits ihrer KI-Infrastruktur.

Die wirksamsten Verteidigungsmaßnahmen sind oft die einfachsten:
1. Externen Zugriff blockieren: Firewall-Regeln sollten den Zugang zu KI-Ports (11434, 8000) auf vertrauenswürdige interne IP-Adressen beschränken oder über VPNs absichern.
2. Authentifizierung erzwingen: KI-Dienste niemals im „No-Auth“-Modus betreiben – auch nicht in Entwicklungsumgebungen. Starke API-Keys oder OAuth sind Pflicht.
3. Traffic überwachen: Ungewöhnliche Spitzen in der Rechenleistungsnutzung oder im ausgehenden Datenverkehr von KI-Servern können auf unbefugte Aktivitäten hinweisen.
4. Umgebungen isolieren: KI-Workloads in isolierten Containern oder virtuellen Maschinen mit eingeschränkten Netzwerkberechtigungen ausführen.

Ausblick: KI-Sicherheit wird zur Compliance-Pflicht

Die „Operation Bizarre Bazaar“ ist ein Weckruf für 2026. Mit der zunehmenden Integration von KI in Geschäftsprozesse steigt der Wert, diese Systeme zu kompromittieren. Experten rechnen damit, dass „LLMjacking“ bald ein Standard-Bedrohungsvektor neben Ransomware und Cryptojacking wird.

Die Branche erwartet, dass Regulierungsbehörden bald strengere Sicherheitsstandards für KI-Implementierungen vorschreiben werden – vergleichbar mit dem Schutz von Finanzdaten. Bis dahin liegt es an den Sicherheitsteams, zu verhindern, dass die eigenen digitalen Gehirne zu Zombie-Assets für das Darknet werden.

Übrigens: Die EU‑KI‑Verordnung ist bereits wirksam und für viele Unternehmen mit klaren Fristen verbunden. Dieser kompakte Gratis‑Leitfaden fasst Kennzeichnungspflichten, Risikoklassen und notwendige Dokumentationsschritte zusammen – verständlich aufbereitet für technische und Compliance‑Verantwortliche. Ideal, wenn Sie schnell prüfen wollen, ob Ihre KI‑Implementierung nach aktuellem Recht aufgestellt ist. Kostenlosen KI‑Compliance‑Leitfaden sichern