Copilot als Sicherheitsrisiko: Wenn der KI-Assistent Firmengeheimnisse leakt

8 Min. Lesezeit

Microsoft 365 Copilot hat eine Zero-Click-Schwachstelle mit CVSS-Score 9.3. Der Europäische Datenschutzbeauftragte hat die EU-Kommission wegen M365-Nutzung gerügt. Und 34 Prozent der deutschen Beschäftigten nutzen KI-Tools an der Firmen-IT vorbei. Drei Fakten, ein Problem: Unternehmen rollen KI-Assistenten aus, ohne die Sicherheitsarchitektur dafür gebaut zu haben.

Das Wichtigste in Kürze

• CVE-2025-32711 (EchoLeak): Erste Zero-Click-Schwachstelle in einem produktiven KI-System. CVSS 9.3. Angreifer konnten Daten aus dem Copilot-Kontext exfiltrieren ohne Nutzerinteraktion (Infosecurity Magazine, Mai 2025).
• EDPS rügt EU-Kommission: Der Europäische Datenschutzbeauftragte stellte im März 2024 fest, dass die EU-Kommission beim Einsatz von M365 gegen Datenschutzrecht verstoßt – unzureichende Spezifikation der Datenerhebung und fehlende Transfergarantien.
• 34 Prozent Shadow AI in Deutschland: Jeder dritte Beschäftigte nutzt generative KI mit privatem Account außerhalb der Firmen-IT (Bitkom 2024). Nur 23 Prozent der Unternehmen haben Regeln dafür.
• Oversharing ist das größte Risiko: Microsoft selbst benennt übermäßige Berechtigungen als häufigste Risikokategorie bei Copilot-Deployments. Copilot macht bestehende Berechtigungsfehler sofort ausnutzbar.
• Gartner warnt: 40 Prozent aller KI-Datenschutzverletzungen werden bis 2027 aus grenzüberschreitendem GenKI-Missbrauch entstehen (Gartner, Februar 2025).

EchoLeak: Die erste Zero-Click-KI-Schwachstelle

Copilot ist kein Chatbot. Es ist ein System das auf sämtliche Daten zugreift, die ein Nutzer in SharePoint, OneDrive, Teams und Outlook sehen kann – und manchmal auf Daten die er nicht sehen sollte. Für IT-Security-Teams bedeutet das: Jede Berechtigungslücke, jedes vergessene „Anyone“-Sharing, jeder verwaiste Workspace wird plötzlich durch eine KI-Suchmaschine erreichbar. Dieser Artikel zeigt, welche Angriffsvektoren dokumentiert sind, was das BSI empfiehlt und welche Maßnahmen vor einem Copilot-Rollout Pflicht sein sollten.

Im Januar 2025 entdeckten Forscher von Aim Labs eine Schwachstelle in Microsoft 365 Copilot, die eine neue Kategorie eröffnete: CVE-2025-32711, getauft „EchoLeak“. CVSS-Score: 9.3 von 10. Das Besondere: Kein Klick, kein Öffnen einer Datei, keine Nutzerinteraktion erforderlich. Der Angreifer konnte Daten direkt aus dem Copilot-Kontext eines anderen Nutzers exfiltrieren.

Microsoft patchte die Lücke im Mai 2025. Aber EchoLeak markiert einen Wendepunkt: Es war der erste dokumentierte Fall einer Zero-Click-Schwachstelle in einem produktiven LLM-System. Für Security-Teams bedeutet das, dass KI-Assistenten nicht nur neue Angriffsflächen schaffen – sie schaffen Angriffsflächen die ohne jede Mitwirkung des Opfers ausgenutzt werden können.

Prompt Injection: Vier dokumentierte Angriffswege

EchoLeak ist nicht der einzige dokumentierte Angriffsvektor. Sicherheitsforscher haben seit 2024 mehrere Wege gefunden, Copilot zu manipulieren – und Microsoft musste jedes Mal nachpatchen.

ASCII Smuggling (Johann Rehberger, 2024): Der Forscher zeigte, dass unsichtbare Unicode-Zeichen sensible Daten in harmlosen Hyperlinks tarnen können. Eine manipulierte E-Mail oder ein präpariertes Dokument genügt: Copilot führt eine indirekte Prompt Injection aus, sammelt Daten (inklusive MFA-Codes) und versteckt sie in einem Link. Ein Klick des Nutzers exfiltriert die Daten. Microsoft klassifizierte den Fund zunächst als „Low Severity“ – und patchte erst nach einer öffentlichen Demonstration auf der HITCON-Konferenz.

Mermaid-Diagramm-Exfiltration (Truesec, September 2025): Copilot konnte über manipulierte Office-Dokumente dazu gebracht werden, E-Mail-Inhalte in interaktive Links innerhalb von Mermaid-Diagrammen einzubetten. Microsoft deaktivierte daraufhin interaktive Links in Mermaid-Diagrammen komplett.

Confidential-Label-Bypass (Januar 2026): Copilot griff trotz gesetzter Vertraulichkeits-Labels auf geschützte E-Mails in Sent Items und Drafts zu. DLP-Policies wurden umgangen. Microsoft lieferte einen Notfall-Patch aus.

Indirekte Prompt Injection via E-Mail (Zenity, Black Hat 2024): Der Zenity-CTO demonstrierte auf der Black Hat USA, dass Copilot manipulierte E-Mails selbstständig verarbeitet – ohne dass das Opfer sie öffnet. In der Demo ersetzte Copilot Bankdaten in Zahlungsanweisungen und präsentierte eine gefälschte Microsoft-Login-Seite.

„Das BSI empfiehlt, vor der Integration von grossen KI-Sprachmodellen in Arbeitsabläufe eine Risikoanalyse für den konkreten Anwendungsfall durchzuführen.“
– BSI, Generative KI-Modelle: Chancen und Risiken, sinngemäss (Mai 2024)

Oversharing: Das unterschätzte Alltagsrisiko

Die spektakulären Schwachstellen dominieren die Schlagzeilen. Aber das größte Copilot-Risiko ist banal: übermäßige Berechtigungen in SharePoint, OneDrive und Teams. Microsoft selbst benennt Oversharing als häufigste Risikokategorie bei Copilot-Deployments.

Das Problem: Copilot nutzt das bestehende Berechtigungsmodell. Wenn ein SharePoint-Ordner mit „Anyone“-Link geteilt wurde, wenn verwaiste Workspaces mit aktiven Berechtigungen existieren, wenn verschachtelte Gruppenberechtigungen Zugriff auf Daten erlauben die der Nutzer nie bewusst gesehen hat – dann macht Copilot all das sofort durchsuchbar und zusammenfassbar.

Ein Beispiel: Ein Mitarbeiter fragt Copilot „Was wurde letzte Woche über das Projekt Alpha besprochen?“ Copilot durchsucht alle Teams-Chats, E-Mails und SharePoint-Dokumente auf die der Nutzer Zugriff hat – auch solche in Kanälen die er nie besucht hat, in Ordnern die er nie geöffnet hat. Wenn die Berechtigungen zu weit gefasst sind, liefert Copilot vertrauliche Informationen die der Nutzer ohne Copilot nie gefunden hätte.

Für deutsche Unternehmen ist das besonders brisant. Anders als in den USA, wo Datenzugriff innerhalb eines Unternehmens oft großzügig gehandhabt wird, stellt die DSGVO klare Anforderungen an die Zweckbindung und Datenminimierung. Wenn Copilot einem Mitarbeiter aus der Marketing-Abteilung Gehaltsverhandlungen aus einem HR-Channel zusammenfasst, weil die Teams-Berechtigungen zu weit gefasst waren, ist das nicht nur ein Sicherheitsproblem – es ist ein DSGVO-Verstoss. Die Aufsichtsbehörden in Bayern und Nordrhein-Westfalen haben bereits signalisiert, dass KI-gestützte Datenverarbeitung besondere Aufmerksamkeit erhält.

Microsofts eigene Empfehlung ist unmissverständlich: Bevor Copilot ausgerollt wird, muss das Berechtigungsmodell aufgeräumt werden. Das Oversharing Assessment Blueprint von Microsoft sieht vor: Least-Privilege-Prinzip durchsetzen, regelmäßige Permission Reviews, SharePoint Advanced Management für die Identifikation von Risiko-Sites. In der Praxis bedeutet das: Wochen bis Monate Vorarbeit, bevor der erste Nutzer Copilot aktivieren sollte.

EDPS-Entscheidung: Wenn die EU-Kommission selbst gegen Datenschutzrecht verstoßt

Am 8. März 2024 stellte der Europäische Datenschutzbeauftragte (EDPS) offiziell fest: Die EU-Kommission verstoßt beim Einsatz von Microsoft 365 gegen die Datenschutzverordnung EU 2018/1725. Die Kern-Befunde: unzureichende Spezifikation welche personenbezogenen Daten Microsoft erhebt und zu welchen Zwecken, und keine angemessenen Garantien für Datentransfers außerhalb des EU/EWR-Raums.

Die Maßnahme war drastisch: Ab 9. Dezember 2024 mussten alle Datentransfers an Microsoft außerhalb EU/EWR ausgesetzt werden. Die EU-Kommission hat die Verstoße mittlerweile behoben – der EDPS schloss die Untersuchung im Juli 2025. Aber die Entscheidung bleibt als Präzedenzfall bestehen: Wenn die EU-Kommission selbst mit Microsoft M365 gegen Datenschutzrecht verstoßt, was bedeutet das für ein mittelständisches Unternehmen das dieselbe Software mit weniger Ressourcen betreibt?

Für DACH-Unternehmen ist das eine konkrete Handlungsaufforderung. Eine Datenschutz-Folgenschätzung nach Art. 35 DSGVO wird bei Copilot-Einsatz von Datenschutzrechtlern dringend empfohlen. Und Microsoft hat zwar für November 2025 In-Country Data Processing für Deutschland angekündigt – aber ob das die DSGVO-Bedenken vollständig ausräumt, ist unter Juristen umstritten.

Das BSI hat im November 2025 eine spezifische Warnung zu „Evasion Attacks auf KI-Sprachmodelle“ veröffentlicht. Die Empfehlungen: präzise System-Prompts, Filterung schädlicher Inhalte in Drittdokumenten und explizite Nutzerbestätigung vor jeder Aktion die ein LLM ausführt. CERT-Bund hat unter WID-SEC-2025-1746 ein spezifisches Advisory zu M365 Copilot herausgegeben. Für Unternehmen die unter NIS2 oder KRITIS-Regulierung fallen, sind diese BSI-Empfehlungen nicht optional – sie gehören zur Sorgfaltspflicht die bei Nichteinhaltung persönliche Geschäftsführerhaftung auslösen kann.

Shadow AI: Das Problem das schneller wächst als die Policy

Während IT-Abteilungen über Copilot-Rollouts diskutieren, haben die Mitarbeiter längst Fakten geschaffen. Laut Bitkom nutzen 34 Prozent der deutschen Beschäftigten generative KI-Tools mit privatem Account außerhalb der Firmen-IT. In 8 Prozent der Unternehmen ist Shadow AI weit verbreitet – eine Verdoppelung gegenüber dem Vorjahr. Und nur 23 Prozent der Unternehmen haben Regeln für den KI-Einsatz definiert.

Global sieht es nicht besser aus: Laut einer WalkMe-Umfrage unter 12.000 Wissensarbeitern nutzen 60 Prozent KI-Tools bei der Arbeit, aber nur 18,5 Prozent kennen eine offizielle KI-Policy ihres Arbeitgebers. 38 Prozent teilen vertrauliche Daten mit KI-Plattformen ohne Genehmigung.

Gartner prognostiziert: Bis 2030 werden mehr als 40 Prozent der globalen Unternehmen Sicherheits- oder Compliance-Vorfälle durch unauthorisierte KI-Tools erleiden. Die Prognose für 2027 ist spezifischer: 40 Prozent aller KI-Datenschutzverletzungen werden aus grenzüberschreitendem GenKI-Missbrauch entstehen.

Warum Copilot gefährlicherer ist als ChatGPT

Viele Unternehmen setzen Copilot mit ChatGPT gleich – ein Chatbot mit dem man Texte schreiben kann. Das ist ein fundamentales Missverständnis. ChatGPT arbeitet mit den Daten die der Nutzer eingibt. Copilot arbeitet mit allen Daten auf die der Nutzer Zugriff hat – plus allen Daten die in geteilten Ressourcen liegen auf die er theoretisch zugreifen könnte.

Der Unterschied in der Praxis: Wenn ein Mitarbeiter ChatGPT ein internes Dokument gibt, ist das eine bewusste Entscheidung – problematisch, aber nachvollziehbar. Wenn Copilot eigenständig E-Mails durchsucht, Teams-Chats aggregiert und SharePoint-Dokumente zusammenfasst, geschieht das automatisch und unsichtbar. Der Nutzer weiss oft nicht einmal aus welchen Quellen Copilot seine Antworten zusammensetzt.

Das hat Konsequenzen für die Angriffsoberfläche. Bei ChatGPT muss ein Angreifer den Nutzer dazu bringen, eine manipulierte Eingabe zu machen. Bei Copilot genügt es, eine manipulierte E-Mail zu senden oder ein präpariertes Dokument in einen geteilten Ordner zu legen. Copilot zieht den Inhalt selbstständig heran – das ist der Mechanismus den der Zenity-CTO auf der Black Hat demonstrierte und den Johann Rehberger mit ASCII Smuggling zu Ende dachte.

Für Security-Teams bedeutet das: Die Bedrohungsmodellierung für Copilot ist grundlegend anders als für andere KI-Tools. Es reicht nicht, den Nutzer zu schulen. Man muss die gesamte Datenlandschaft absichern – weil Copilot jede Lücke findet und dem Nutzer auf dem Silbertablett präsentiert.

Microsoft hat das erkannt und bietet seit Ende 2025 In-Country Data Processing für 15 Länder an, darunter Deutschland. Das löst das Datentransfer-Problem teilweise. Aber es löst nicht das Oversharing-Problem und nicht die Prompt-Injection-Angriffe die innerhalb der eigenen Tenant-Grenzen stattfinden.

Was vor einem Copilot-Rollout Pflicht sein sollte

1. Berechtigungs-Audit vor dem Rollout. Microsoft empfiehlt SharePoint Advanced Management für ein systematisches Permission-Review. „Anyone“-Links eliminieren, verwaiste Workspaces identifizieren, verschachtelte Gruppenberechtigungen auflösen. Kein Copilot-Zugang ohne abgeschlossenes Berechtigungs-Audit.

2. Sensitivity Labels flächendeckend. Microsoft Purview Information Protection Labels auf alle Dokumente und E-Mails. Ohne Labels gibt es keine wirksame DLP-Kontrolle – und Copilot ignoriert was nicht gelabelt ist.

3. DLP-Policies für Copilot konfigurieren. Seit 2025 unterstützt Microsoft Purview DLP explizit den Standort „Microsoft 365 Copilot“. Wer diese Policies nicht konfiguriert, lässt Copilot ohne Leitplanken auf Unternehmensdaten los.

4. Pilotgruppe vor org-weitem Rollout. Maximal 50 Nutzer in einer kontrollierten Umgebung. Monitoring: Welche Daten zeigt Copilot an die er nicht zeigen sollte? Erst wenn die Antwort „keine“ lautet, skalieren.

5. DSGVO-Folgenschätzung durchführen. Art. 35 DSGVO verlangt eine Datenschutz-Folgenschätzung wenn die Verarbeitung voraussichtlich hohe Risiken birgt. Ein KI-System das auf sämtliche Unternehmensdaten zugreift, erfüllt dieses Kriterium.

6. KI-Nutzungsrichtlinie etablieren. Klare Regeln: Welche Tools sind erlaubt, welche Daten dürfen eingegeben werden, wie wird Shadow AI gehandhabt. Die Bitkom-Zahlen zeigen: Ohne Policy macht jeder was er will.

Das Zusammenspiel von offiziellem Copilot-Rollout und inoffizieller Shadow AI erzeugt eine doppelte Angriffsfläche. Einerseits die kontrollierten Copilot-Instanzen mit ihren dokumentierten Schwachstellen. Andererseits die unkontrollierten privaten KI-Tools, in die Mitarbeiter Kundendaten, Vertragsdetails und interne Strategiepapiere eingeben – ohne Audit, ohne Logging, ohne jede Möglichkeit der Nachverfolgung. Für CISOs ist das ein Albtraumszenario: Man kann weder den offiziellen noch den inoffiziellen KI-Kanal vollständig absichern.

„KI-gestützte Angriffe sind laut Gartner das Top-Emerging-Risk für Unternehmen – drei Quartale in Folge.“
– Gartner Q3 2024 Emerging Risks Survey, sinngemäss

Der entscheidende Punkt: Copilot ist kein Sicherheitsproblem per se. Es ist ein Multiplikator. Wer seine Berechtigungen im Griff hat, profitiert. Wer sie nicht im Griff hat, gibt einer KI Zugang zu allem was schlecht gesichert ist – und macht es durchsuchbar, zusammenfassbar und exportierbar. Die Vorbereitung auf Copilot ist keine IT-Aufgabe. Sie ist eine Security-Aufgabe.

Ein letzter Gedanke zur Einordnung: Microsoft ist nicht der Feind. Copilot ist ein produktives Werkzeug das bei richtiger Vorbereitung echten Mehrwert liefert. Aber die Vorbereitung ist der Schlüssel – und die meisten Unternehmen unterschätzen den Aufwand. Die EchoLeak-Schwachstelle, die EDPS-Entscheidung und die Bitkom-Zahlen zu Shadow AI zeigen alle in die gleiche Richtung: Wer KI-Assistenten ausrollt ohne vorher die Berechtigungen, die Datenschutz-Architektur und die Nutzungsrichtlinien in Ordnung gebracht zu haben, handelt fahrlässig. Und unter NIS2 kann Fahrlässigkeit in der IT-Sicherheit persönliche Konsequenzen für die Geschäftsführung haben.

Häufige Fragen

Ist Microsoft 365 Copilot unsicher?

Copilot selbst ist nicht per se unsicher. Aber es verstärkt bestehende Berechtigungsprobleme – es macht Daten zugänglich die Nutzer ohne Copilot nie gefunden hätten. Die dokumentierten Schwachstellen (EchoLeak, ASCII Smuggling, Label-Bypass) wurden von Microsoft gepatcht, zeigen aber dass das System angreifbar ist.

Was ist EchoLeak (CVE-2025-32711)?

Die erste dokumentierte Zero-Click-Schwachstelle in einem produktiven KI-System. CVSS-Score 9.3 von 10. Angreifer konnten Daten aus dem Copilot-Kontext exfiltrieren ohne dass der Nutzer etwas tun musste. Microsoft hat die Lücke im Mai 2025 gepatcht.

Was hat der EDPS zur Microsoft-365-Nutzung entschieden?

Im März 2024 stellte der Europäische Datenschutzbeauftragte fest, dass die EU-Kommission beim Einsatz von M365 gegen Datenschutzrecht verstoßt. Die Verstoße wurden bis Juli 2025 behoben, aber die Entscheidung bleibt als Präzedenzfall relevant für alle EU-Organisationen die M365 nutzen.

Brauche ich eine DSGVO-Folgenschätzung für Copilot?

Datenschutzrechtler empfehlen dringend eine Datenschutz-Folgenschätzung nach Art. 35 DSGVO, da Copilot personenbezogene Daten verarbeitet und auf breite Unternehmensdaten zugreift. Im Data Processing Addendum von Microsoft gibt es keine gesonderten Regelungen zu KI/Copilot.

Wie verbreitet ist Shadow AI in deutschen Unternehmen?

34 Prozent der deutschen Beschäftigten nutzen generative KI-Tools mit privatem Account an der Firmen-IT vorbei (Bitkom 2024). In 8 Prozent der Unternehmen ist Shadow AI weit verbreitet. Nur 23 Prozent haben Regeln für den KI-Einsatz.

Was muss ich vor einem Copilot-Rollout tun?

Mindestens: Berechtigungs-Audit in SharePoint/OneDrive/Teams, Sensitivity Labels flächendeckend einrichten, DLP-Policies für Copilot konfigurieren, DSGVO-Folgenschätzung durchführen und eine KI-Nutzungsrichtlinie etablieren. Microsoft empfiehlt einen Pilottest mit maximal 50 Nutzern.

Kann Copilot auf vertrauliche E-Mails zugreifen?

Ja – wenn die Berechtigungen es erlauben. Im Januar 2026 wurde ein Bug dokumentiert, bei dem Copilot trotz Vertraulichkeits-Labels auf geschützte E-Mails in Sent Items und Drafts zugriff. Microsoft hat einen Notfall-Patch ausgeliefert.

Quelle Titelbild: Pexels / cottonbro studio (px:6153354)

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik