Microsoft 365 Copilot: Sicherheitslücken & Abwehrmaßnahmen

Microsoft 365 Copilot: Sicherheitslücken & Abwehrmaßnahmen

Avatar of Phil Hansen
Phil Hansen
29. August 2025
12 min Lesezeit
Künstliche Intelligenz - KIInformationssicherheit

Die neue Angriffsfläche der KI: Eine Expertenanalyse von Microsoft 365 Copilot-Schwachstellen und strategischen Abwehrmaßnahmen (2022-2025)

Navigation durch das neue Zeitalter der KI-Bedrohungen

Die Integration von KI-gestützten Systemen wie Microsoft 365 Copilot hat die Sicherheitslandschaft grundlegend verändert und eine neue Klasse von Bedrohungen eingeführt, die über traditionelle codebasierte Exploits hinausgehen. Dieses neue Paradigma konzentriert sich auf die "agentische" Natur der KI — ihre Fähigkeit, im Namen eines Benutzers auf Daten zuzugreifen, diese zu verarbeiten und darauf zu reagieren. Bei Fehlkonfiguration oder Manipulation kann sich ein Produktivitätswerkzeug in einen mächtigen Vektor zur Datenexfiltration verwandeln.1 Das größte Risiko ist nicht ein Fehler in Copilot selbst, sondern die Überberechtigung von Daten in der typischen Microsoft 365-Umgebung eines Unternehmens, ein systemisches Problem, das KI-Assistenten aufdecken und verschlimmern.

Öffentlich bekannt gewordene Schwachstellen in den letzten zwei Jahren haben zwei primäre Angriffsvektoren aufgezeigt. Der erste ist die logische Manipulation, wie sie bei der "EchoLeak"-Schwachstelle (CVE-2025-32711) zu sehen war, einem Zero-Click-Angriff, der indirekte Prompt-Injection nutzte, um heimlich sensible Daten zu stehlen. Der zweite ist eine traditionelle Fehlkonfiguration der Infrastruktur, wie sie in der Root-Zugriffs-Schwachstelle von Eye Security gezeigt wurde, die eine Privilegienerweiterung innerhalb eines Backend-Containers ermöglichte. Während Microsoft robuste Abwehrmaßnahmen implementiert und diese Schwachstellen behoben hat, ist ein übermäßiges Vertrauen in die vom Anbieter bereitgestellte Sicherheit unzureichend. Die Analyse zeigt, dass das Kernproblem eine geteilte Sicherheitsverantwortung ist, bei der die Effektivität der eingebauten KI-Schutzmechanismen direkt von der bereits bestehenden Datengovernance, dem Least-Privilege-Zugriffsmodell und der kontinuierlichen, unabhängigen Überwachung eines Unternehmens abhängt.

Die sich entwickelnde Bedrohungslandschaft von Microsoft 365 Copilot (2022-2025)

Blog post image

Die Einführung von KI-gestützten Systemen wie Microsoft 365 Copilot markiert eine bedeutende Veränderung in der Unternehmens-IT, aber auch in den damit verbundenen Sicherheitsrisiken. Im Gegensatz zu herkömmlichen Anwendungen, die eine bestimmte, vordefinierte Reihe von Aktionen ausführen, sind diese "agentischen" Systeme darauf ausgelegt, große Mengen von Daten zu durchsuchen, zu interpretieren und zu synthetisieren, um Benutzer in Echtzeit zu unterstützen. Diese einzigartige Fähigkeit, die die eigentliche Quelle ihres Nutzens ist, schafft auch eine neue und komplexe Angriffsfläche. Anstatt Schwachstellen im Code zu nutzen, um Remote Code Execution oder traditionellen Datendiebstahl zu erreichen, wenden sich Angreifer zunehmend einer neuen Klasse von "logischen" Schwachstellen zu, die die beabsichtigte Funktionalität der KI manipulieren, um bösartige Ergebnisse zu erzielen.

Die anfänglichen Sicherheitsbedenken bezüglich großer Sprachmodelle (LLMs) konzentrierten sich auf direkte Angriffe wie Prompt Injection, bei der ein Benutzer eine bösartige Anweisung direkt in die Chat-Oberfläche eingibt, um die Sicherheitsfilter des Modells zu "jailbreaken". Die öffentlich bekannt gewordenen Schwachstellen von 2024 und 2025 zeigen jedoch einen raffinierteren und heimtückischeren Ansatz. Diese modernen Angriffe nutzen die Fähigkeit der KI aus, externe, nicht vertrauenswürdige Inhalte zu verarbeiten. Ein Angreifer könnte beispielsweise eine versteckte Nutzlast in eine E-Mail oder eine PowerPoint-Folie einbetten. Wenn die KI, die mit den Berechtigungen des Benutzers arbeitet, diese Inhalte später als Teil einer Routineaufgabe verarbeitet, wird die versteckte Anweisung ausgeführt, was zu unbeabsichtigter und oft stiller Datenexfiltration führt. Diese grundlegende Änderung der Angriffsmethodik bedeutet, dass traditionelle Sicherheitsmaßnahmen, die oft dazu dienen, bösartige Dateien oder Netzwerkverkehr zu erkennen und zu blockieren, gegen einen Angriff, der einen vertrauenswürdigen, internen KI-Agenten als Kanal zur Exfiltration nutzt, weniger effektiv sind.

Detaillierte Analyse der grundlegenden Schwachstellen und Exploits

Im Zeitraum von 2024 bis Mitte 2025 wurden mehrere kritische Schwachstellen in Microsoft 365 Copilot öffentlich bekannt, die die einzigartigen Sicherheitsherausforderungen von KI-gesteuerten Systemen aufzeigen. Diese Vorfälle dienen als Fallstudien für die neue Ära der KI-zentrierten Bedrohungen.

Die "EchoLeak"-Schwachstelle (CVE-2025-32711): Eine Fallstudie in Zero-Click-KI-Ausnutzung

Die von Aim Security entdeckte "EchoLeak"-Schwachstelle ist wohl das bedeutendste KI-Sicherheitsereignis des Jahres und wurde mit einem kritischen CVSS-Score von 9.3 bewertet. Die Schwachstelle ermöglichte es Angreifern, heimlich sensible Daten aus der Microsoft 365-Umgebung eines Benutzers zu exfiltrieren, ohne dass eine explizite Benutzerinteraktion über eine Routineanfrage an Copilot hinaus erforderlich war. Der Angriff nutzte eine neue Art von Schwachstelle, die als "LLM Scope Violation" bezeichnet wird, aus, bei der ein nicht vertrauenswürdiger externer Input die KI manipulieren konnte, um auf vertrauliche Daten zuzugreifen und diese preiszugeben.

Der Angriff entfaltete sich in einem mehrstufigen Prozess der indirekten Prompt Injection. Ein Angreifer sendete eine scheinbar harmlose E-Mail an den Outlook-Posteingang eines Ziels. Diese E-Mail enthielt versteckte Prompt-Injection-Anweisungen, die als normaler Text getarnt waren und so gestaltet waren, dass sie Microsofts proprietäre KI-Sicherheitsfilter umgingen. Die bösartige Anweisung blieb inaktiv, bis der Benutzer eine Abfrage an Copilot stellte, wie zum Beispiel "Fasse unseren Quartalsbericht zusammen". Copilots Retrieval-Augmented Generation (RAG)-Engine, die eine umfassende Antwort liefern soll, würde die bösartige E-Mail abrufen und deren Inhalt ohne Wissen des Benutzers in den Kontext der KI ziehen. Diese bösartige Nutzlast würde dann ausgeführt und das LLM anweisen, die sensibelsten Informationen aus seinem aktuellen Kontext zu extrahieren, der E-Mails, Teams-Chats, OneDrive-Dateien und SharePoint-Dokumente umfassen konnte.

Für die Datenexfiltration nutzten die Angreifer eine clevere Technik, die als "Prompt Reflection" bekannt ist.5Anstatt die Daten über einen herkömmlichen Kanal zu leaken, wies der bösartige Prompt das LLM an, die sensiblen Daten als Bild-URL zu formatieren, wobei die vertraulichen Informationen in den Abfrageparametern der URL kodiert sind. Der Copilot-Chat-Client versuchte dann automatisch, dieses "Bild" vom Server des Angreifers zu laden, wodurch die gestohlenen Daten stillschweigend an den Server des Angreifers gesendet wurden, ohne dass der Benutzer auf einen Link klicken musste.5 Dies umging Standard-DLP-Kontrollen und machte den Angriff schwer erkennbar.5 Während einige Berichte den Angriff als "Zero-Click" bezeichneten, stellten andere Quellen klar, dass der Angriff ausgelöst wurde, als der Benutzer eine Abfrage stellte, die zum Abrufen der bösartigen E-Mail führte, die Exfiltration selbst jedoch keine weitere Benutzeraktion erforderte, was sie zu einem "Zero-Click"-Datenleck machte. Die Schwachstelle wurde von Microsoft im Juni 2025 gepatcht.

Blog post image

Privilegienerweiterung durch Umgebungskonfigurationsfehler

Im Juli 2025 legten Sicherheitsexperten von Eye Security eine separate und dennoch kritische Schwachstelle in der Backend-Infrastruktur von Microsoft Copilot Enterprise offen. Dieser Fehler, der auf einem Designfehler in einem Update vom April 2025 beruhte, ermöglichte es Angreifern, sich unbefugten Root-Zugriff auf die Backend-Container-Umgebung zu verschaffen.

Der Angriffsvektor war eine klassische $PATH-Variablen-Injection. Das

entrypoint.sh-Skript, das einen Dienst als Root-Benutzer startete, verwendete den Befehl pgrep, ohne seinen vollständigen Pfad anzugeben. Ein Angreifer nutzte dies aus, indem er ein bösartiges Skript namens

pgrep in ein beschreibbares Verzeichnis (/app/miniconda/bin) hochlud, das in der $PATH-Variable priorisiert wurde. Diese einfache Fehlkonfiguration führte dazu, dass das System das bösartige Skript des Angreifers mit Root-Rechten ausführte, anstatt das legitime

pgrep-Binary, was vollen administrativen Zugriff auf den Container gewährte.6

Obwohl die Forscher bestätigten, dass sie Root-Zugriff auf den Container erlangen konnten, berichteten sie nicht über den Zugriff auf größere Systeme oder Kundendaten. Der Exploit unterstrich jedoch eine bedeutende Schwäche: Die Sicherheit modernster KI-Systeme ist nur so stark wie die zugrunde liegende Infrastruktur, auf der sie aufbauen. Eine jahrzehntelang bekannte klassische Schwachstelle reichte aus, um das Backend eines modernen KI-Dienstes zu kompromittieren. Microsoft wurde über das Problem informiert und patchte es am 25. Juli 2025, wobei es die Schwere als moderat einstufte.

Mängel bei der Datenprotokollierung und Zugriffsrichtlinien

Die Analyse öffentlich gemeldeter Vorfälle zeigt auch grundlegende Probleme bei der Handhabung von Audit-Logs und API-Zugriffskontrollen durch Microsoft 365 Copilot.17 Im August 2025 entdeckte der Sicherheitsforscher Zack Korman eine Schwachstelle, die es Benutzern ermöglichte, Copilot anzuweisen, sensible Unternehmensdateien zusammenzufassen, ohne eine Spur in den Audit-Logs zu hinterlassen. Dieses Problem hatte bereits Michael Bargury auf der Black Hat Konferenz im August 2024 demonstriert.18 Die Schwachstelle rührte daher, dass ein Dateizugriff nur protokolliert wurde, wenn ein direkter Link zu Copilot bereitgestellt wurde, was bedeutet, dass ein Benutzer einfach keinen Link bereitstellen konnte, um den Audit-Trail vollständig zu umgehen.

Zur gleichen Zeit deckten Microsoft-Ingenieure eine kritische Schwachstelle (CVSS 9.1) in den Copilot-Agent-Richtlinien auf.17 Obwohl Administratoren über das Microsoft 365 Admin Center aufwändige Zugriffskontrollen einrichten konnten, um sensible KI-Agenten auf privilegierte Benutzer zu beschränken, wurden diese Richtlinien nicht auf der zugrunde liegenden Graph-API durchgesetzt, die die Agenten tatsächlich ausführt.17 Dies bedeutete, dass jeder Benutzer mit grundlegendem Microsoft 365-Zugriff die Graph-API direkt abfragen konnte, um alle "privaten" KI-Agenten im Unternehmen zu entdecken und sie ohne jegliche Richtlinienüberprüfung aufzurufen.

Das Vorhandensein des Audit-Log-Fehlers schuf einen bedeutenden "blinden Fleck" für Sicherheitsteams, insbesondere in stark regulierten Branchen wie dem Gesundheitswesen oder dem Finanzwesen, wo die Integrität von Audit-Trails für die Einhaltung von Vorschriften und forensische Untersuchungen unerlässlich ist.1 Microsofts Entscheidung, diesen Fehler am 17. August 2024 ohne öffentliche Bekanntmachung oder eine CVE-Kennung zu beheben, warf Fragen bezüglich der Transparenz des Unternehmens auf. Dies unterstreicht, dass ein vollständiges Bild der Sicherheitslage eines Unternehmens nicht allein auf vom Anbieter bereitgestellten Sicherheitsprotokollen beruhen kann und dass eine unabhängige Überwachung und Auditierung erforderlich sind, um diese potenziellen Lücken zu schließen.

Systemische Sicherheitsrisiken und architektonische Herausforderungen

Die in den vorangegangenen Abschnitten beschriebenen Schwachstellen sind keine isolierten technischen Fehler, sondern Symptome tieferer, systemischer Probleme, die ein Unternehmen angehen muss, um KI sicher zu integrieren.

Das Problem der Überberechtigung: Wenn Hilfsbereitschaft zur Gefahr wird

Das grundlegende Sicherheitsmodell von Microsoft 365 Copilot basiert auf dem Prinzip des geringsten Privilegs, oder genauer gesagt, auf dessen Umkehrung: Copilot erbt die vorhandenen Berechtigungen eines Benutzers über den Microsoft Graph. Das bedeutet, dass Copilot nur auf die Daten zugreifen und diese anzeigen kann, für die der Benutzer bereits Berechtigungen hat.11 Dieses Kernprinzip wird jedoch zu einer erheblichen Belastung, wenn ein Unternehmen eine schlechte Datengovernance und Überberechtigungsprobleme aufweist, die in den meisten Unternehmen weit verbreitet sind.

Die unangenehme Realität für viele Organisationen ist, dass die Berechtigungen viel zu breit gefasst sind. Eine Untersuchung von Microsoft zeigt, dass 95 % der Berechtigungen ungenutzt bleiben und 90 % der Identitäten nur 5 % ihrer gewährten Berechtigungen nutzen. Dies schafft einen massiven "Blast-Radius" für jede Schwachstelle. In einer solchen Umgebung wird eine KI-Schwachstelle wie EchoLeak exponentiell gefährlicher. Wenn ein Angreifer einen Benutzer mit einem korrekt konfigurierten Least-Privilege-Modell kompromittiert hätte, wären die Daten, die er exfiltrieren könnte, begrenzt gewesen. Ein EchoLeak-Angriff gegen einen überberechtigten Benutzer könnte jedoch riesige Mengen sensibler Daten freilegen und einen technischen Fehler in ein katastrophales Datenleck verwandeln. Die Kausalkette ist klar: Eine schlechte Datengovernance ermöglicht Überberechtigungen, die wiederum die Auswirkungen von KI-spezifischen Schwachstellen verstärken, was zu erheblichen Datenlecks führt. Dies macht die Neubewertung und Behebung der grundlegenden Daten- und Identitätsverwaltungspraktiken eines Unternehmens zum wichtigsten Schritt zur Sicherung von Copilot, anstatt den Kauf eines neuen Sicherheitstools.

Die Herausforderungen der Datenklassifizierung und -verwaltung

Die Effektivität von Copilot hängt nicht nur von den Berechtigungen ab, sondern auch von der Qualität und Relevanz der Daten, auf die es zugreifen kann. Das Vorhandensein redundanter, veralteter und trivialer (ROT) Daten, die Sicherheits- und Compliance-Risiken darstellen, kann auch die Genauigkeit und Qualität der Copilot-Antworten beeinträchtigen. Ein übermäßiges Vertrauen in native Tools für die Datenklassifizierung und -verwaltung ist ebenfalls eine erhebliche Herausforderung. Obwohl Microsoft Purview-Vertraulichkeitsbezeichnungen eine wichtige Kontrolle zur Beschränkung des Zugriffs von Copilot auf hochvertrauliche Informationen darstellen , ist die manuelle Klassifizierung fehleranfällig und schwer skalierbar. Wenn eine Datei falsch oder gar nicht gekennzeichnet ist, könnte Copilot sie einem Benutzer zugänglich machen, der keinen Zugriff auf diese Informationen haben sollte, unabhängig von den Datengovernance-Richtlinien des Unternehmens. Das Fehlen einer umfassenden Strategie zur Datenbereinigung und eines robusten Klassifizierungsrahmens schafft eine Umgebung, in der selbst die besten Sicherheitstools durch das einfache Vorhandensein von falsch verwalteten Daten untergraben werden können.

Ein Überblick über Microsofts Sicherheitsposition und Abwehrmaßnahmen

Microsofts offizielle Sicherheitsposition für Microsoft 365 Copilot basiert auf einer mehrschichtigen, tiefgreifenden Verteidigungsstrategie, die Unternehmenssicherheit, Datenschutz und Compliance-Standards umfasst.8 Dieser Ansatz erkennt an, dass keine einzige Schutzmaßnahme ein Allheilmittel ist und dass mehrere Schichten erforderlich sind, um eine robuste Sicherheitsposition zu gewährleisten.

Microsofts Defense-in-Depth-Strategie für KI

Das Microsoft Security Development Lifecycle (SDL) ist von Grund auf so integriert, dass Schwachstellen frühzeitig im Entwicklungsprozess identifiziert und behoben werden können.8 Auf der Produktseite hat das Unternehmen eine Reihe von gestuften Schutzmaßnahmen implementier:

  • Prompt Shields: Ein auf probabilistischen Klassifikatoren basierender Ansatz, der darauf abzielt, verschiedene Arten von Prompt-Injection-Angriffen aus externen Inhalten sowie andere Arten von unerwünschten LLM-Inputs zu erkennen und zu blockieren.1
  • XPIA-Klassifikatoren: Proprietäre Cross-Prompt-Injection-Attack-Klassifikatoren (XPIA) analysieren Eingaben in den Copilot-Dienst und helfen dabei, risikoreiche Prompts vor der Modellausführung zu blockieren.
  • Inhaltsfilterung: Das System führt sowohl Benutzerprompts als auch KI-Antworten durch Klassifizierungsmodelle, um die Ausgabe von schädlichen, hasserfüllten oder unangemessenen Inhalten zu identifizieren und zu blockieren.
  • Sandboxing: Es werden Ausführungskontrollen durchgesetzt, um Missbrauch wie die Generierung von Ransomware und die Remote-Code-Execution zu verhindern und sicherzustellen, dass Copilot innerhalb begrenzter Ausführungsgrenzen arbeitet.

Microsofts Verteidigungsstrategie erkennt an, dass möglicherweise nicht alle Prompt-Injection-Versuche blockiert werden können, und entwirft daher Systeme so, dass selbst bei einem erfolgreichen Injection-Versuch keine Sicherheitsauswirkungen für Kunden entstehen. Dies wird dadurch erreicht, dass Copilot im Kontext der Identität und des Zugriffs des Benutzers arbeitet, was den potenziellen "Blast-Radius" jedes Kompromisses begrenzt.

Die Rolle von Microsoft Purview und dem M365 Security Stack

Microsofts Sicherheitsposition basiert stark auf einem Modell der geteilten Verantwortung, bei dem die internen, cloudbasierten Schutzmechanismen durch die Nutzung des Microsoft 365 Security Stacks durch den Kunden ergänzt werden. Microsoft Purview ist das primäre Werkzeug für Kunden, um ihre KI-Umgebung zu sichern.11 Es bietet eine Reihe von datenzentrierten Kontrollen, die die zuvor erörterten Herausforderungen der Überberechtigung und Datenklassifizierung angehen sollen:

  • Data Loss Prevention (DLP): Purview kann sensible Informationen in Microsoft 365-Diensten und Endpunkten identifizieren und schützen und kann so konfiguriert werden, dass Copilot die Verarbeitung bestimmter Inhalte blockiert, wie z. B. Dateien, die als "streng vertraulich" gekennzeichnet sind.
  • Information Protection: Über Purview angewendete Vertraulichkeitsbezeichnungen können Daten automatisch klassifizieren und verschlüsseln; Copilot ist so konzipiert, dass es diese Bezeichnungen respektiert und neue, von ihm generierte Inhalte auf der Grundlage einer gekennzeichneten Quelldatei mit derselben Bezeichnung versieht.
  • Insider-Risikomanagement: Purview kann mithilfe der Richtlinienvorlage "Risky AI usage" potenziell riskante Interaktionen mit KI erkennen und melden.
  • Auditierung: Prompts und Antworten werden im einheitlichen Audit-Log erfasst, was eine Aufzeichnung der Benutzer-KI-Interaktionen für Sicherheitsuntersuchungen und Compliance-Audits liefert.

Anbieteraktionen und die Transparenzdebatte

Microsofts Reaktion auf die offengelegten Schwachstellen war eine Mischung aus schnellem Handeln und mangelnder Transparenz. Das Unternehmen patchte sowohl den EchoLeak- als auch den Agent-Policy-Fehler schnell, wies ihnen CVE-Kennungen zu und würdigte die Forscher öffentlich. Der Audit-Log-Fehler wurde jedoch anders gehandhabt. Obwohl zweimal offengelegt und als "wichtig" eingestuft, lehnte Microsoft die Zuweisung einer CVE-Kennung ab und entschied sich für eine stille Behebung. Diese Entscheidung legt nahe, dass Microsoft nur CVEs für Fehler herausgibt, die es als kritisch einstuft, was in diesem Fall die Integrität eines grundlegenden Sicherheitstools — des Audit-Logs — beeinträchtigte. Diese Situation unterstreicht, dass eine Organisation sich nicht allein auf Anbieterwarnungen verlassen kann, um ein vollständiges Sicherheitsbild zu erhalten. Das Fehlen einer CVE-Kennung und einer öffentlichen Benachrichtigung für den Audit-Log-Fehler bedeutet, dass Kunden möglicherweise nicht wissen, dass ihre historischen Daten unvollständig sind.

Handlungsempfehlungen und strategische Best Practices

Basierend auf der Analyse der gemeldeten Schwachstellen und systemischen Risiken bieten die folgenden Empfehlungen eine strategische Roadmap, um eine Microsoft 365-Umgebung gegen KI-zentrierte Bedrohungen zu sichern.

Stärkung Ihrer Microsoft 365-Umgebung mit einem datenzentrierten Modell

Der wirksamste Schritt, den eine Organisation unternehmen kann, ist die Behebung ihrer Probleme mit der Datengovernance und den Zugriffskontrollen.

  • Implementieren Sie ein Zero-Trust-Modell: Wenden Sie die Prinzipien "explizit verifizieren" und "geringstes Privileg" auf alle Identitäten und Daten innerhalb des Unternehmens an.9 Dies erfordert eine kontinuierliche Validierung des Benutzer-, Geräte- und Anwendungskontexts, bevor Zugriff gewährt wird.
  • Überprüfen Sie die Berechtigungen: Eine umfassende Prüfung der SharePoint- und OneDrive-Berechtigungen ist eine geschäftskritische Aufgabe.20 Konzentrieren Sie sich darauf, die Überfreigabe zu reduzieren, insbesondere durch Gruppen wie "Jeder außer externen Benutzern", die Copilot unbeabsichtigt Zugriff auf riesige Datenmengen gewähren können, die es nicht sehen sollte.
  • Bereinigen Sie Ihre Daten: Gehen Sie das Problem redundanter, veralteter und trivialer (ROT) Daten an, die ein erhebliches Risiko für die Qualität und Sicherheit von Copilots Antworten darstellen. Implementieren Sie Aufbewahrungsrichtlinien, um veraltete Inhalte automatisch zu archivieren oder zu löschen, was die gesamte Datenfläche und Angriffsfläche reduziert.

Nutzung bestehender und Drittanbieter-Lösungen für KI-Sicherheit

Während Microsoft eine robuste Reihe von Sicherheitstools bereitstellt, erfordert eine integrierte Verteidigungsstrategie die Nutzung sowohl nativer als auch von Drittanbieter-Lösungen, um eine mehrschichtige Verteidigung zu schaffen.

  • Meistern Sie Microsoft Purview: Implementieren und erzwingen Sie eine umfassende Reihe von Purview-Richtlinien.20 Dazu gehört die Erstellung und Anwendung von Vertraulichkeitsbezeichnungen zur Klassifizierung und zum Schutz von Daten, die Verwendung von DLP-Regeln zur Beschränkung des Zugriffs von Copilot auf hochsensible Informationen und die Konfiguration von Insider-Risikomanagement-Richtlinien zur Überwachung riskanter KI-Nutzung.
  • Setzen Sie KI-fähige Überwachung ein: Native Audit-Logs liefern möglicherweise kein vollständiges Bild, wie der Audit-Log-Fehler gezeigt hat. Organisationen sollten Drittanbieter-Lösungen einsetzen, die jeden Prompt, jede Antwort und jeden Dateizugriff von Copilot in Echtzeit überwachen können.3 Diese Tools können anomales Verhalten erkennen, wie z. B. den Zugriff von Copilot auf sensible Daten, die es noch nie zuvor berührt hat, und die Daten automatisch sperren, bevor es zu einem Verstoß kommen kann.

Aufbau eines proaktiven KI-Sicherheitsprogramms

Die Sicherung von KI ist ein fortlaufender Prozess, der mehr als nur technische Lösungen erfordert. Er erfordert einen proaktiven, programmatischen Ansatz.

  • Bedrohungsmodellierung: Gehen Sie davon aus, dass in Zukunft neue KI-spezifische Schwachstellen entdeckt werden, einschließlich neuer Formen der indirekten Prompt Injection und logischer Angriffe.1 Führen Sie regelmäßige Bedrohungsmodellierungsübungen durch, die diese Szenarien simulieren, um potenzielle Schwachstellen in den Abwehrmaßnahmen der Organisation zu identifizieren und eine effektive Reaktion zu planen.
  • Benutzerschulung: Schulen Sie Ihre Mitarbeiter über die Sicherheitsrisiken von KI.24 Die Schulung sollte die Gefahren der indirekten Prompt Injection, die Bedeutung der Datengovernance und die Rolle jedes Benutzers bei der Aufrechterhaltung der Sicherheit der Umgebung abdecken. Ein Benutzer, der sich dieser Risiken bewusst ist, kann als entscheidende letzte Verteidigungslinie fungieren.

Anhang: Chronologie der Schwachstellen und Kennzahlen

Die folgende Tabelle gibt einen chronologischen Überblick über die öffentlich gemeldeten Schwachstellen und Exploits für Microsoft 365 Copilot von 2024 bis 2025 und fasst Daten aus verschiedenen Quellen zusammen, um eine klare, leicht zu referenzierende Zusammenfassung zu bieten.

Quelle(n)Anmerkungen

Audit-Log-UmgehungN/AAugust 2024 / Juli 2025August 2024 / August 2025N/ALogischer FehlerInformationsfreigabe, reduzierte Integrität des Audit-Trails17Ein Fehler, der es Benutzern ermöglichte, über Copilot auf Dateien zuzugreifen, ohne einen Audit-Log-Eintrag zu generieren. Still behoben ohne eine CVE-Kennung."EchoLeak"CVE-2025-32711Mai 2025Juni 20259.3Indirekte Prompt Injection (LLM Scope Violation)Zero-Click-Datenexfiltration11Ermöglichte die heimliche Exfiltration sensibler Daten über eine bösartige E-Mail-Nutzlast. Der Angriff wurde durch eine Benutzerabfrage ausgelöst.PrivilegienerweiterungN/AJuli 2025Juli 2025Moderat$PATH-Variablen-InjectionPrivilegienerweiterung im Container6Eine Schwachstelle in einer falsch konfigurierten Python-Sandbox, die die Ausführung eines bösartigen Skripts mit Root-Rechten ermöglichte.Agent-Richtlinien-UmgehungN/AAugust 2025August 20259.1API-UmgehungInformationsfreigabe, Privilegienerweiterung17Ein architektonischer Fehler, bei dem vom Administrator festgelegte Zugriffsrichtlinien für KI-Agenten nicht auf der zugrunde liegenden Graph-API durchgesetzt wurden.Copilot Studio SSRFCVE-2024-3820620242024N/AServer-Side Request Forgery (SSRF)Informationsfreigabe, Zugriff auf interne Infrastruktur12Ein Fehler in Copilot Studio, der es authentifizierten Angreifern ermöglichte, SSRF-Schutzmechanismen zu umgehen, um auf interne Dienste zuzugreifen. Schnell gepatcht.

Deshalb ist es entscheidend, mit einem sicherheitsorientierten Unternehmen wie ADVISROI zusammenzuarbeiten, um sicherzustellen, dass Ihre KI-Implementierung von Anfang an geschützt ist.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Bereit, Ihr Wissen in Aktion umzusetzen?

Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich Datensicherheit für KI Ihr Projekt zum Erfolg führen kann.

Mehr über Datensicherheit für KI erfahren

Unverbindlich informieren & Potenziale entdecken.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten