Microsoft und Google: KI-Assistenten werden zum neuen Sicherheitsrisiko

Während Microsoft sein letztes Sicherheitsupdate für 2025 veröffentlicht und Google Chrome gegen „agentische” Bedrohungen absichert, vollzieht sich ein fundamentaler Wandel: Die digitale Sicherheit konzentriert sich nicht mehr nur auf den Schutz von Geräten, sondern muss nun die KI-Assistenten absichern, die unser Leben verwalten.

Diese Woche wurde deutlich, wie sich die Landschaft der Online-Sicherheit verändert. Große Tech-Konzerne und Regierungsbehörden veröffentlichten koordiniert eine Welle von Updates und Warnungen. Am Mittwoch rollte Microsoft sein letztes „Patch Tuesday”-Update des Jahres aus und schloss eine kritische Zero-Day-Lücke in Windows. Gleichzeitig warnte das britische National Cyber Security Centre (NCSC) eindringlich vor „Prompt-Injection”-Angriffen auf KI-Systeme. Die Botschaft für Nutzer ist klar: Je autonomer unsere digitalen Werkzeuge werden, desto schneller müssen sich die Sicherheitsmaßnahmen weiterentwickeln.

Der „IDEsaster”-Bug und Microsofts Patchflut

Am 10. Dezember beseitigte Microsoft 56 Sicherheitslücken und beendete damit ein Jahr, in dem der Konzern über 1.100 Schwachstellen beheben musste. Das Dezember-Update wurde dominiert von der Schließung der Lücke CVE-2025-62221 – eine Zero-Day-Schwachstelle im Windows Cloud Files Mini Filter Driver, die bereits aktiv ausgenutzt wurde. Der Fehler ermöglichte Angreifern erweiterte Zugriffsrechte auf Zielrechner – ein typischer erster Schritt bei komplexen Ransomware-Attacken.

Passend zum Thema KI-Sicherheit: Prompt-Injection und agentische Angriffe verändern Sicherheitsanforderungen – und die EU-KI-Verordnung setzt jetzt verbindliche Pflichten. Das kostenlose E‑Book erklärt kompakt, welche Kennzeichnungspflichten, Risikoklassen und Dokumentationsschritte Sie kennen müssen, damit Ihre KI-Systeme rechtssicher laufen. Ideal für Entwickler, IT-Verantwortliche und Produktmanager, die prompt handeln müssen. Jetzt kostenlosen KI-Leitfaden herunterladen

Doch die besorgniserregendste Entwicklung betrifft eine neue Klasse von Schwachstellen in KI-gestützten Entwicklungswerkzeugen. Sicherheitsforscher Ari Marzuk taufte eine neu entdeckte Remote-Code-Execution-Lücke (CVE-2025-64671) im GitHub-Copilot-Plugin für JetBrains-IDEs auf den Namen „IDEsaster”. Obwohl es sich primär um ein Entwickler-Tool handelt, zeigt die Schwachstelle einen wachsenden Trend: KI-Agenten in unserer Alltagssoftware werden zur neuen Angriffsfläche für Hacker.

„Dieser Fehler scheint Teil eines breiteren Musters von Schwachstellen in verschiedenen KI-gestützten Tools zu sein”, erklärte Satnam Narang, Senior Staff Research Engineer bei Tenable. Das Risiko: Sobald KI-Agenten Berechtigungen zum Lesen von Dateien und Ausführen von Befehlen erhalten, werden sie zu mächtigen „Insider-Bedrohungen”, wenn sie kompromittiert werden.

„GeminiJack”: Wenn der KI-Assistent zur Spionage-Software wird

Wie real diese „agentische” Bedrohung ist, zeigte sich Anfang der Woche mit der Enthüllung von „GeminiJack”. Am 8. Dezember enthüllte Noma Security eine Schwachstelle in Googles Gemini Enterprise und Vertex AI Search, die Angreifern ermöglichte, sensible persönliche und Unternehmensdaten über ein simples geteiltes Google Doc zu exfiltrieren.

Laut Noma Labs funktionierte der Angriff „Zero-Click” – ohne Zutun des Nutzers. Öffnete jemand lediglich ein manipuliertes Dokument oder eine E-Mail, konnte der KI-Assistent – der hilfsbereit Inhalte für Kontext scannt – dazu gebracht werden, private Daten aus Gmail oder Drive auszulesen und an Angreifer zu senden.

Google reagierte schnell und trennte Vertex AI Search von Gemini Enterprise, um die Angriffskette zu unterbrechen. In einem Blog-Beitrag vom 8. Dezember skizzierte das Chrome Security Team seine neue „Defense-in-Depth”-Strategie für „agentische Fähigkeiten in Chrome”. Sie umfasst einen „User Alignment Critic” – ein separates KI-Modell, das ausschließlich dafür zuständig ist, die Aktionen des Haupt-KI-Assistenten zu überprüfen und sicherzustellen, dass er nicht von bösartigen Webinhalten manipuliert wird.

Hardware-Härtung: Android-Sicherheit und Malware-Wellen

Jenseits von Cloud und KI bleiben konkrete Bedrohungen für persönliche Geräte aktuell. Am 9. Dezember kündigten Googles Android Security und Privacy Team eine wichtige Partnerschaft mit Arm an, um Android-GPUs (Grafikprozessoren) abzusichern. Die GPU ist aufgrund ihrer Komplexität und privilegierten Zugriffs auf den Gerätespeicher zu einem bevorzugten Angriffsziel geworden. Die neuen Sicherheitsmaßnahmen sollen die „Angriffsoberfläche” des GPU-Treibers deutlich verkleinern.

Wie notwendig solche Härtungsmaßnahmen sind, zeigte sich in Neuseeland dramatisch. Das dortige National Cyber Security Centre (NCSC) kontaktierte am 9. Dezember 26.000 Einwohner, deren Geräte mit „Lumma Stealer” infiziert waren – einer verbreiteten Malware, die Passwörter und Krypto-Wallet-Details stiehlt. Der beispiellose Umfang der direkten Kontaktaufnahme verdeutlicht, wie „alltägliche” Malware Nutzer weiterhin plagt. Meist gelangt sie über Raubkopien oder Phishing-E-Mails ins System.

„Bösartige Software dieser Art ist relativ verbreitet, aber die Anzahl betroffener Neuseelander ist außergewöhnlich hoch”, erklärte Michael Jagusch, Chief Operating Officer des NCSC.

Der „unbehebbare” Fehler?

Das Zusammentreffen dieser Ereignisse – Microsofts Patches, die GeminiJack-Enthüllung und die NCSC-Warnungen – markiert einen Wendepunkt in 2025. Der Blog-Beitrag des britischen NCSC vom 10. Dezember bot eine ernüchternde Analyse: Prompt-Injection (das Austricksen einer KI, ihre Sicherheitsregeln zu ignorieren) könne möglicherweise niemals „vollständig behoben” werden – anders als traditionelle Software-Bugs wie SQL-Injection.

Das stellt einen fundamentalen Wandel dar, wie Sicherheit konzipiert wird. Jahrzehntelang bedeutete Sicherheit, „die Bösen draußen zu halten”. Im Zeitalter der KI-Agenten muss das System externe Daten hereinlassen (um E-Mails zu lesen, Webseiten zusammenzufassen usw.), und genau diese Daten können bösartige Anweisungen enthalten.

„Die primär neue Bedrohung für alle agentischen Browser ist indirekte Prompt-Injection”, schrieb Nathan Parker vom Chrome Security Team. Die Sicherheitslast verschiebt sich vom Nutzer (der schlechte Links meiden muss) zu den KI-Modellen (die lernen müssen zu erkennen, wann sie belogen werden).

Ausblick: Die Ära des „Vertrauen, aber verifizieren”

Experten prognostizieren, dass „Agentic Security” 2026 zum dominierenden Thema in der Verbrauchertechnologie wird. Mit Cloudflares Abwehr eines rekordverdächtigen 29,7 Tbps DDoS-Angriffs am 8. Dezember – angetrieben vom neuen „AISURU”-Botnetz – steigt nicht nur die Raffinesse der Attacken, sondern auch ihre schiere Größenordnung.

Nutzer müssen sich auf häufigere „Bestätigungsabfragen” ihrer KI-Assistenten einstellen, die vor Aktionen wie dem Versenden von E-Mails oder dem Zugriff auf Bankdaten explizite Erlaubnis einholen. Das mag die Nutzererfahrung verlangsamen, doch die Ereignisse dieser Woche beweisen: Es ist eine notwendige Bremse für das Eskalationspotenzial autonomer Software. Die Ära der „einstellen und vergessen”-Digitaltools endet – die Ära des „vertraue deiner KI, aber überprüfe sie” hat begonnen.

PS: Sie möchten vermeiden, dass Ihre KI-Assistenten zur Angriffsfläche werden? Unser Gratis-E‑Book zur EU-KI-Verordnung liefert einen praktischen Umsetzungsleitfaden mit klaren Schritten, Kennzeichnungsvorlagen und Fristen, damit Sie Risiken wie Prompt-Injection systematisch angehen können. Perfekt für Unternehmen und Teams, die KI-Produkte entwickeln oder einsetzen. Kostenfreies Umsetzungs‑E‑Book zur KI‑Verordnung anfordern