Microsoft Copilot: Ein Klick genügte für Datenklau

Sicherheitsforscher deckten eine kritische Lücke namens „Reprompt“ auf, die Angreifern Zugriff auf persönliche Nutzerdaten verschaffte. Microsoft hat das Problem inzwischen behoben.

Eine neu entdeckte Sicherheitslücke in Microsofts KI-Assistenten Copilot ermöglichte es Angreifern, mit nur einem Klick sensible Nutzerdaten abzugreifen. Die als „Reprompt“ bezeichnete Schwachstelle nutzte eine raffinierte Methode, um die Schutzmechanismen des Chatbots zu umgehen. Betroffen war die persönliche Version von Copilot; Unternehmenskunden mit Microsoft 365 blieben verschont. Der Vorfall wirft grundlegende Fragen zur Sicherheit von KI-Systemen auf.

So funktionierte der „Reprompt“-Angriff

Die Sicherheitsexperten von Varonis Threat Labs beschreiben den Angriff als eine Form des indirekten Prompt Injections. Dabei wird die KI manipuliert, bösartige Anweisungen für legitime Nutzerbefehle zu halten. Der Trick bestand aus einer cleveren Dreifach-Kombination.

Zunächst schleusten die Angreifer über einen manipulierten Microsoft-Link einen speziellen Befehl in die Copilot-Sitzung ein. Der eigentliche Clou war jedoch eine „Doppel-Anfrage-Technik“. Die Sicherheitsvorkehrungen von Copilot, die das direkte Auslesen von Daten verhindern sollen, griffen nur bei der ersten Ausführung einer Anfrage. Indem die KI angewiesen wurde, jeden Befehl zweimal auszuführen, wurde die Prüfung beim zweiten Mal umgangen.

Passend zum Thema KI‑Sicherheit: Seit August 2024 gelten neue EU‑Regeln für KI‑Systeme – viele Unternehmen riskieren unwissentlich Bußgelder, wenn Pflichtaufgaben wie Risikoklassifizierung, Kennzeichnung und lückenlose Dokumentation fehlen. Gerade Unternehmen, die Werkzeuge wie Copilot nutzen, sollten jetzt prüfen, welche Nachweise nötig sind und welche Fristen laufen. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt verständlich Risikoklassen, Dokumentationspflichten, Kennzeichnungspflichten und konkrete Schritte zur sofortigen Umsetzung im Unternehmen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Schließlich etablierte der Angriff eine permanente Verbindung zum Server des Angreifers. Nach jeder Antwort holte sich Copilot neue Anweisungen von dort und sendete weitere Daten – ein unsichtbarer Datenstrom, der sogar anhielt, nachdem der Nutzer das Chat-Fenster geschlossen hatte.

Microsofts Reaktion und das Risiko für Nutzer

Das Risiko war erheblich: Angreifer hätten potenziell auf alle Daten zugreifen können, die während der Sitzung verwendet wurden – von persönlichen Notizen bis zu Aktivitätsdetails. Die Kontrolle über die KI blieb bei den Angreifern.

Microsoft wurde die Lücke bereits Ende August 2025 gemeldet. Nach einer üblichen Schonfrist zur Entwicklung eines Patches hat der Konzern das Problem nun behoben. Ein Sprecher bestätigte die geschlossene Lücke und dankte den Forschern für die verantwortungsvolle Offenlegung. Zusätzliche Schutzmaßnahmen seien implementiert worden, um ähnliche Angriffstechniken abzuwehren.

Prompt Injection: Das grundlegende Sicherheitsdilemma der KI

Der „Reprompt“-Vorfall ist kein Einzelfall. Er steht exemplarisch für eine ganze Klasse von Schwachstellen, die als Prompt-Injection-Angriffe bekannt sind. Das Kernproblem: Viele KI-Modelle können nicht zuverlässig zwischen vertrauenswürdigen Nutzeranweisungen und bösartigen Befehlen aus externen Quellen – wie URLs oder Dokumenten – unterscheiden.

Ähnliche Muster zeigten sich bei anderen kürzlich entdeckten Lücken wie „EchoLeak“. Experten sehen darin eine architektonische Grundsatzfrage für die gesamte Branche. Die klare Trennung von vertrauenswürdigen und nicht-vertrauenswürdigen Datenverarbeitungswegen gilt als Schlüssel für mehr Sicherheit.

Was bedeutet das für die Zukunft der KI-Sicherheit?

Die spezifische „Reprompt“-Lücke ist zwar geschlossen, doch der Wettlauf zwischen Angreifern und Verteidigern geht weiter. Der Vorfall unterstreicht die Dringlichkeit für KI-Anbieter, alle externen Eingaben als potenziell gefährlich zu behandeln und durchgängige Validierungsprozesse einzubauen.

Für Unternehmen, die KI-Tools wie Copilot nutzen oder einführen wollen, ist dies eine klare Warnung. Die Sicherheit von KI-Anwendungen ist eine geteilte Verantwortung. Neben den Maßnahmen der Anbieter sind eigene Risikobewertungen und Sicherheitsstrategien unerlässlich. Die Integration künstlicher Intelligenz schafft neue Angriffsflächen – die Verteidigung muss Schritt halten.

PS: Unternehmen, die KI entwickeln oder einsetzen, stehen jetzt vor konkreten Compliance‑Aufgaben, von Modellbewertungen bis zur Nutzerinformation. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung liefert praxisnahe Checklisten, erklärt welche Nachweise Prüfer erwarten und wie Sie Ihre Systeme korrekt klassifizieren. Ideal für IT‑Verantwortliche, Sicherheitsteams und Compliance‑Abteilungen, die schnell priorisieren und Risiken minimieren wollen. Kostenlosen Leitfaden zur KI-Verordnung anfordern