Microsoft Copilot Sicherheitsversagen: Eine Chronologie des verlorenen Vertrauens
Zum zweiten Mal innerhalb von acht Monaten wurde festgestellt, dass Microsofts Flaggschiff-KI-Assistent, Copilot, genau jene Sicherheitsprotokolle umgeht, die ihn für den Unternehmenseinsatz sicher machen sollen. Ein kritischer Fehler, der bis Anfang 2026 aktiv war, ermöglichte es der KI, E-Mails zu lesen, zusammenzufassen und offenzulegen, die explizit als „Vertraulich“ markiert waren. Dabei wurden Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) umgangen und sensible Daten in großen Organisationen exponiert, einschließlich des britischen National Health Service (NHS).
Dieser jüngste Vorfall, durch den sensible Datensätze fast vier Wochen lang gefährdet waren, ist kein isolierter Systemfehler. Er folgt auf eine schwerwiegende Schwachstelle, die im Juni 2025 entdeckt wurde, und zeichnet das besorgniserregende Bild eines „systemischen blinden Flecks“ im modernen KI-Sicherheitsstack. Während Unternehmen zur Einführung von Generative KI (Generative AI) drängen, werfen diese wiederholten Ausfälle dringende Fragen auf: Können herkömmliche Sicherheits-Frameworks wie DLP und Vertraulichkeitsbezeichnungen (Sensitivity Labels) Large Language Models (LLMs) zur Laufzeit wirklich einschränken?
Der Vorfall vom Februar 2026: Umgehung der Kennzeichnung „Vertraulich“
Ende Januar 2026 deaktivierte ein Defekt auf Code-Ebene in Microsoft 365 Copilot faktisch die „Vertrauensgrenze“, auf die sich Organisationen verlassen, um ihre sensibelste Kommunikation zu schützen. Der von Microsoft als CW1226324 verfolgte Fehler ermöglichte es dem KI-Assistenten, auf E-Mails zuzugreifen, diese zu verarbeiten und zusammenzufassen, die in den Ordnern „Gesendete Elemente“ und „Entwürfe“ der Benutzer gespeichert waren – selbst wenn diese E-Mails restriktive Vertraulichkeitsbezeichnungen wie „Streng vertraulich“ trugen oder durch aktive DLP-Richtlinien abgedeckt waren.
Im Normalbetrieb fungieren Vertraulichkeitsbezeichnungen als digitale „Zutritt verboten“-Schilder für die KI. Wenn ein Dokument als „Vertraulich“ gekennzeichnet ist, ist Copilot vertraglich und technisch verpflichtet, es während seines Prozesses der Retrieval-Augmented Generation (RAG) zu ignorieren. Jedoch versagte dieser Mechanismus für etwa 28 Tage – vom 21. Januar bis zum 19. Februar 2026 – für spezifische Outlook-Ordner.
Die Auswirkungen waren in regulierten Sektoren deutlich spürbar. Der NHS, der enorme Mengen privater Patientendaten verwaltet, markierte den Vorfall intern als INC46740412. Fast einen Monat lang hätten Mitarbeiter, die Copilot für routinemäßige administrative Aufgaben nutzten, unbeabsichtigt geschützte Gesundheitsinformationen (Protected Health Information, PHI) oder interne Strategiedokumente offenlegen können, die für das KI-Modell eigentlich unsichtbar sein sollten.
Obwohl Microsoft inzwischen einen Fix bereitgestellt und erklärt hat, dass der Fehler „niemandem Zugriff auf Informationen verschafft hat, für die er nicht bereits autorisiert war“, untergräbt das Versagen das Kernversprechen der KI-Governance (AI Governance): dass die KI keine Daten verarbeitet, die sie ignorieren soll. In einem rechtlichen oder Compliance-Kontext kann allein die Verarbeitung eingeschränkter Daten durch ein KI-Modell – etwa das Zusammenfassen eines privilegierten Rechtsentwurfs oder einer Patientenakte – einen Richtlinienverstoß darstellen.
Ein Muster der Sicherheitsanfälligkeit: Der EchoLeak-Präzedenzfall
Das Versagen im Februar 2026 ist der zweite schwere Schlag gegen die Sicherheitsarchitektur von Copilot in weniger als einem Jahr. Acht Monate zuvor, im Juni 2025, enthüllten Forscher eine kritische Schwachstelle namens „EchoLeak“ (CVE-2025-32711).
Im Gegensatz zum Fehler im Februar, der ein funktionales Versagen von Kennzeichnungen war, handelte es sich bei EchoLeak um einen hochentwickelten „Zero-Click“-Exploit. Er ermöglichte es Angreifern, versteckte Anweisungen in harmlos wirkende E-Mails einzubetten. Wenn Copilot diese E-Mails verarbeitete, „kaperten“ die versteckten Prompts das Kontextfenster der KI und zwangen sie dazu, sensible Daten abzurufen und an den Angreifer zu exfiltrieren, ohne dass der Benutzer den Einbruch jemals bemerkte.
Beide Vorfälle offenbaren eine gefährliche Realität: Microsofts Sicherheitskontrollen haben Mühe, mit der komplexen, nicht-deterministischen Natur von LLMs Schritt zu halten.
Vergleich aktueller Copilot-Sicherheitsausfälle
| Vorfallname | Zeitraum aktiv | Grundursache | Mechanismus des Versagens |
|---|---|---|---|
| EchoLeak (CVE-2025-32711) | Juni 2025 | Verletzung des LLM-Bereichs | Bösartige Prompt-Injektion ermöglichte es Angreifern, den RAG-Abruf zu kapern und Daten zu exfiltrieren. |
| DLP-Umgehung (CW1226324) | Jan - Feb 2026 | Funktionaler Code-Defekt | Copilot ignorierte Vertraulichkeitsbezeichnungen in spezifischen Outlook-Ordnern (Entwürfe/Gesendet) und fasste vertrauliche Daten zusammen. |
Der systemische blinde Fleck: Laufzeit- vs. statische Sicherheit
Das wiederholte Auftreten dieser Probleme verdeutlicht eine fundamentale Diskrepanz zwischen traditioneller Datensicherheit und der Funktionsweise von Generative KI.
Herkömmliche Tools wie DLP und Vertraulichkeitsbezeichnungen sind für einen statischen oder transaktionalen Schutz konzipiert. Sie stellen binäre Fragen: Hat Benutzer A die Berechtigung, Datei B zu öffnen? Enthält diese E-Mail eine Kreditkartennummer?
KI-Copiloten arbeiten jedoch dynamisch zur Laufzeit. Sie nutzen RAG, um Informationsfragmente aus Tausenden von Dokumenten in Millisekunden zu scannen, abzurufen und zu synthetisieren.
- Die Kontextlücke: Wie beim Vorfall im Februar zu sehen war, ignoriert die KI einfach die Metadaten-Tags (Labels), die sie blockieren sollen, wenn die Abruflogik der KI einen Fehler aufweist.
- Die Interpretationslücke: Wie bei EchoLeak zu sehen war, kann die KI getäuscht werden, bösartige Daten als Befehl zu interpretieren, wodurch statische Firewalls umgangen werden, die nur nach Malware-Signaturen suchen.
Sicherheitsexperten warnen zunehmend davor, dass das „Anwenden von Berechtigungen“ nicht mehr ausreicht. Die KI-Schicht selbst benötigt eine dedizierte Firewall – eine, die nicht nur validiert, wer auf Daten zugreift, sondern auch, was die KI in Echtzeit damit macht.
Auswirkungen auf die Branche: Das Vertrauensdefizit
Für CIOs und CISOs sind die Auswirkungen der Zeitachse „zweimal in acht Monaten“ schwerwiegend. Die NHS-Exposition dient als eindringliches Fallbeispiel für die Risiken, die mit dem Vertrauen auf anbietereigene Sicherheitskontrollen in Hochrisikoumgebungen verbunden sind.
Wichtige Erkenntnisse für Unternehmensleiter:
- Verifizierung vor Vertrauen: Organisationen können nicht länger davon ausgehen, dass das Aktivieren von „DLP On“ die KI-Compliance gewährleistet. Unabhängige Audits und „Red Teaming“ von KI-Implementierungen werden obligatorisch.
- Datenbereinigung: Die Schwachstelle in den Ordnern „Entwürfe“ und „Gesendet“ deutet darauf hin, dass Datenhygiene entscheidend ist. Alte Entwürfe enthalten oft ungefilterte Gedanken oder sensible Daten, die, wenn sie von der KI wieder ans Licht gebracht werden, Rufschäden verursachen können.
- Souveränitätsbedenken: Da das Europäische Parlament und andere staatliche Stellen den Rollout von Copilot zuvor aufgrund von Datenschutzbedenken pausiert haben, bestätigen diese technischen Fehler den Ansatz der „Souveränen KI“ (Sovereign AI), bei dem kritische Daten physisch von Allzweck-LLMs isoliert werden.
Microsoft hat Maßnahmen ergriffen, um diese Schwachstellen zu beheben, aber die Häufigkeit dieser öffentlichkeitswirksamen Ausfälle deutet darauf hin, dass die Architektur von Enterprise-KI noch immer ihre Form finden muss. Bis der „blinde Fleck“ zwischen statischen Berechtigungen und dynamischer KI-Verarbeitung geschlossen ist, bleiben Unternehmen nur ein Update von ihrer nächsten Datenexponierung entfernt.
