Microsoft 365 Copilot: KI las vertrauliche E-Mails aus

Ein schwerwiegender Sicherheitsfehler in Microsofts KI-Assistenten Copilot hat es dem System ermöglicht, vertrauliche E-Mails zu lesen und zusammenzufassen – trotz aktivierter Datenschutzsperren. Der seit Januar bekannte Bug untergrub die zentralen Sicherheitsrichtlinien von Unternehmen.

Der Fehler, intern als CW1226324 geführt, betraf die Chat-Funktion in Outlook, Word und Excel. Copilot konnte dadurch Nachrichten in den Ordnern „Gesendete Elemente“ und „Entwürfe“ verarbeiten, selbst wenn diese mit strengen Vertraulichkeitsstufen gekennzeichnet waren. Diese Labels sollen genau solchen automatisierten Zugriff verhindern. Microsoft bestätigte den Vorfall und begann Anfang Februar mit der Auslieferung eines Fixes.

Wie die KI Schutzmechanismen umging

Das Kernproblem lag nicht in einem klassischen Zugriffsbruch, sondern in der fehlerhaften Verarbeitung durch die KI selbst. Obwohl Nutzer nur auf ihre eigenen E-Mails zugreifen konnten, ignorierte Copilot die konfigurierten Data Loss Prevention (DLP)-Richtlinien. Diese digitalen Barrieren für Geschäftsgeheimnisse, Finanzdaten oder Personalakten wurden somit unwirksam.

Der Fehler entstand in der Verarbeitungspipeline der KI: Sie prüfte die Vertraulichkeitsmarkierungen in den genannten Ordnern nicht korrekt. Microsoft betont, dass keine unbefugten Nutzer Zugriff erhielten. Doch genau darin liegt das neue Risiko: KI-Agenten, die innerhalb bestehender Berechtigungen operieren, können durch Softwarefehler Sicherheitskonturen aushebeln.

Alarm in der Cybersicherheits-Community

Der Vorfall schürt die ohnehin wachsenden Bedenken gegenüber Generativer KI in Unternehmen. Sicherheitsexperten warnen vor neuen Angriffsflächen und Datenlecks. Ein simpler Codefehler kann komplexe Sicherheitsarchitekturen lahmlegen – dieser Fall liefert den Beweis.

Die Timing ist brisant. Erst kürzlich blockierte das IT-Department des Europäischen Parlaments KI-Funktionen auf Dienstgeräten aus Sorge um unkontrollierte Datenübertragungen in die Cloud. Der Microsoft-Fehler dürfte nun insbesondere regulierte Branchen wie Finanzen, Gesundheitswesen und Behörden aufschrecken. Der britische Gesundheitsdienst NHS hat den Vorfall intern bereits als Problem markiert.

Unternehmen, die KI-Systeme einsetzen, sollten jetzt prüfen, ob sie die neuen EU-Anforderungen erfüllen. Ein kostenloses E-Book zur EU-KI-Verordnung erklärt kompakt Kennzeichnungspflichten, Risikoklassifizierung, notwendige Dokumentation und Übergangsfristen – inklusive praktischer Umsetzungs-Tipps für Entwickler und Anbieter. Jetzt kostenlosen KI-Leitfaden herunterladen

Folgen für den KI-Markt und Microsofts Reaktion

Microsoft arbeitet an der vollständigen Behebung und führt Gespräche mit betroffenen Kunden. Das volle Ausmaß ist noch unklar; das Unternehmen spricht von einer „Advisory“ mit begrenzter Reichweite. Doch die langfristigen Folgen könnten erheblich sein.

Das Ereignis unterstreicht die Notwendigkeit von „Security by Design“ bei KI-Systemen. Sie müssen bestehende Datenschutzrichtlinien unter allen Umständen einhalten. Für Unternehmen ist es eine Warnung: Die Einführung von KI erfordert parallele Investitionen in aktualisierte Sicherheitsprotokolle und permanente Überwachung. Microsoft kündigte an, in Zukunft verbesserte Protokollierung und Berechtigungsprüfungen zu integrieren, um unerlaubte Zugriffsversuche sichtbarer und verhinderbar zu machen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.