Microsoft 365 Copilot: Kritische Sicherheitslücke EchoLeak" entdeckt
Eine schwerwiegende Sicherheitslücke ermöglichte den automatischen Diebstahl sensibler Unternehmensdaten aus Microsoft 365 Copilot ohne Nutzerinteraktion durch manipulierte E-Mails.
Eine als „EchoLeak” bezeichnete Sicherheitslücke hätte es Hackern ermöglicht, sensible Unternehmensdaten aus Microsoft 365 Copilot zu stehlen – per gezielt präparierter E-Mail und ohne jegliche Nutzerinteraktion. Die Attacke nutzte eine Schwachstelle in der Art, wie der KI-Assistent Informationen verarbeitet.
Microsoft hat den Fehler inzwischen behoben und versichert, dass keine Kunden betroffen waren. Die als CVE-2025-32711 klassifizierte Sicherheitslücke verdeutlicht die wachsenden Risiken beim Einsatz generativer KI in Unternehmen. Besonders brisant: KI-Systeme mit weitreichendem Zugriff auf interne Dokumente, E-Mails und Kommunikation werden zu attraktiven Zielen für Cyberkriminelle.
Raffinierte Angriffsmethode ohne Nutzeraktion
Die „EchoLeak”-Attacke funktionierte über einen ausgeklügelten Mechanismus: Hacker versendeten E-Mails mit versteckten, bösartigen Anweisungen an Mitarbeiter von Zielunternehmen. Diese Befehle waren für Menschen unsichtbar formatiert, aber für Copilots zugrundeliegende Large Language Models erkennbar.
Sobald der betroffene Nutzer später Copilot für normale Aufgaben verwendete – etwa zum Zusammenfassen von E-Mails oder Dokumenten –, verarbeitete die KI auch die manipulierte Nachricht. Die versteckten Prompts führten dazu, dass Copilot sensible Informationen preisgab: Chat-Verläufe, OneDrive-Dateien, SharePoint-Inhalte und Teams-Gespräche.
Besonders alarmierend: Der Angriff umging mehrere von Microsofts Sicherheitsmechanismen, darunter die Klassifikatoren gegen Cross-Prompt Injection Attacks.
„LLM Scope Violation” – Neue Bedrohungskategorie
Die Sicherheitsforscher von Aim Security, die den Fehler entdeckten, prägten für diese Angriffsmethode den Begriff „LLM Scope Violation”. Dabei wird ein KI-Modell durch nicht vertrauenswürdige externe Eingaben manipuliert, um auf privilegierte interne Daten zuzugreifen.
„Diese Schwachstelle stellt einen bedeutenden Durchbruch in der KI-Sicherheitsforschung dar, da sie zeigt, wie Angreifer automatisch sensible Informationen aus Microsoft 365 Copilots Kontext abgreifen können – völlig ohne Nutzerinteraktion”, erklärt Adir Gruss, Mitgründer und CTO von Aim Security.
Die indirekte Prompt-Injektion macht die KI zum unwissentlichen Komplizen beim Datendiebstahl. Obwohl keine Anzeichen für aktive Ausnutzung in der Praxis gefunden wurden, warnen die Forscher vor ähnlichen Schwachstellen in anderen RAG-basierten KI-Anwendungen.
Microsofts schnelle Reaktion und Sicherheitsmaßnahmen
Microsoft wurde im Januar 2025 über die Schwachstelle informiert und schloss sie bis Mai 2025 vollständig. Mit einem CVSS-Score von 9,3 von 10 galt der Fehler als kritisch. Da die Behebung serverseitig erfolgte, müssen Kunden keine Maßnahmen ergreifen.
„Wir danken Aim Labs für die verantwortungsvolle Meldung, sodass das Problem behoben werden konnte, bevor Kunden betroffen waren”, teilte Microsoft mit.
Der Vorfall rückt Microsofts mehrstufige Verteidigungsstrategie in den Fokus. Das Unternehmen setzt auf präventive Maßnahmen wie gehärtete System-Prompts, Erkennungstools wie Microsoft Prompt Shields und Governance-Mechanismen. EchoLeak zeigt jedoch: Auch ausgereifte Abwehrsysteme lassen sich überwinden.
KI-Sicherheit: Das Dilemma der Integration
EchoLeak verdeutlicht das grundlegende Problem der KI-Sicherheit: Die größte Stärke generativer KI – die tiefe Integration mit sensiblen Daten – wird gleichzeitig zur größten Schwachstelle. Copilot benötigt weitreichenden Zugriff auf Unternehmensressourcen, um effektiv zu sein.
Dies schafft ein mächtiges Produktivitätswerkzeug, aber auch ein lukratives Angriffsziel. Bereits zuvor hatte der US-Kongress Mitarbeitern die Nutzung von Copilot untersagt – aus Sorge vor möglichen Datenlecks.
Experten warnen: Prompt Injection ist das KI-Äquivalent zur Remote-Code-Execution in herkömmlicher Software. Externe Akteure können damit mächtige interne Werkzeuge kontrollieren.
Anzeige: Während Unternehmen KI und Datenzugriffe härten, bleibt das private Smartphone oft das einfachste Einfallstor – gerade bei WhatsApp, Online-Banking und PayPal. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android – mit einfachen Schritt-für-Schritt-Anleitungen, ganz ohne teure Zusatz-Apps. Tipp 3 schließt eine häufig unterschätzte Lücke in Minuten. Jetzt gratis Sicherheits‑Guide für Ihr Android‑Smartphone sichern
Ausblick: Der KI-Sicherheits-Wettlauf beginnt
Microsoft hat die akute Bedrohung durch EchoLeak eliminiert, doch das grundlegende Problem der LLM-Sicherheit bleibt ungelöst. Die natürliche Sprachschnittstelle von KI erschwert absolute Sicherheit – Angreifer können kontinuierlich neue Formulierungen und Methoden entwickeln.
Unternehmen, die KI-Tools wie Microsoft 365 Copilot einsetzen, müssen proaktiv handeln: rigorose Überwachung der KI-Interaktionen, Nutzerschulung und – entscheidend – strikt kontrollierte Datenzugriffsberechtigungen.
EchoLeak dient als kritischer Weckruf: Bevor Unternehmen diese mächtigen Technologien flächendeckend einführen, muss das Sicherheitsfundament stimmen.