SearchLeak: Kritische Lücke in Microsoft 365 Copilot gefährdet Unternehmen
21.06.2026 - 02:55:47 | boerse-global.de
Die jüngsten Sicherheitsvorfälle in der Microsoft-365-Welt zeigen: Native Schutzfunktionen reichen für kleine und mittlere Unternehmen längst nicht mehr aus. Neue Schwachstellen und verschärfte Compliance-Vorgaben zwingen Betriebe, ihre Cloud-Strategie grundlegend zu überdenken.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen
SearchLeak: Gefährliche Schwachstelle in Copilot entdeckt
Sicherheitsforscher haben eine kritische Schwachstelle in Microsoft 365 Copilot Enterprise Search aufgespürt. Die als SearchLeak bekannte Lücke (CVE-2026-42824) besteht aus drei Angriffsstufen: Parameter-to-Prompt-Injection, einer Race-Condition bei der Darstellung sowie einer Umgehung der Content-Security-Policy über die Bing-Bildersuche.
Microsoft hat zwar einen serverseitigen Fix eingespielt, und aktive Ausnutzungen wurden nicht gemeldet. Doch die theoretische Gefahr war enorm: Ein einziger Klick auf einen manipulierten Link hätte ausgereicht, um E-Mails, Kalenderdaten und sogar Multi-Faktor-Authentifizierungs-Codes zu stehlen.
Noch alarmierender: Über 1.300 internetzugängliche SharePoint-Server sind weiterhin anfällig für einen Spoofing-Angriff (CVE-2026-32201). Microsoft hatte den Patch für diese Zero-Day-Lücke bereits im April 2026 veröffentlicht. Dass so viele Server ungeschützt bleiben, zeigt die anhaltenden Probleme vieler KMU beim Patch-Management.
Warum die Bordmittel nicht reichen
Branchenexperten warnen seit Mitte Juni: Die nativen Sicherheitsfunktionen von Microsoft 365 genügen den heutigen Anforderungen nicht mehr. Das gilt besonders für die Ransomware-Abwehr und die Einhaltung von Compliance-Vorgaben.
Das Problem liegt im Shared-Responsibility-Modell: Microsoft sorgt für die Plattformverfügbarkeit, doch die Datensicherung bleibt in der Verantwortung des Kunden. Funktionen wie die Versionshistorie oder der Papierkorb gelten zunehmend als unzureichend – vor allem nach komplexen Cyberangriffen oder Synchronisationsfehlern.
Kritiker bemängeln vor allem das Fehlen unveränderlicher Backups und KI-gestützter Bedrohungserkennung. Die Folge: Immer mehr Berater empfehlen Drittanbieter-Lösungen von Firmen wie Redstor, Axcient oder Veeam. Diese bieten granulare Wiederherstellungsoptionen und erfüllen langfristige Aufbewahrungspflichten – besonders wichtig für Gesundheitswesen, Rechtsberatung und Finanzsektor.
Neue Regeln: MFA wird zur Pflicht
Seit dem 27. April 2026 hat sich die Lage für Unternehmen weiter verschärft. Die Cyber-Essentials-Zertifizierung verlangt nun zwingend Multi-Faktor-Authentifizierung für alle Cloud-Dienste – inklusive kostenpflichtiger Konten. Wer MFA nicht umsetzt oder das Patch-Management vernachlässigt, fällt automatisch durch die Prüfung durch.
In Italien zeigt sich, wie ernst die Lage ist: Seit dem 18. Oktober 2024 gilt dort die NIS-2-Richtlinie. Empfohlen werden Microsoft-365-Business-Premium-Lizenzen und zwölf grundlegende Kontrollmechanismen – darunter Conditional Access zur Blockierung veralteter Authentifizierungsverfahren sowie lückenloses Logging. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes.
Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Umsetzungsleitfaden zum EU AI Act sichern
KI-Assistenten: Segen und Risiko zugleich
Microsoft rüstet seine KI-Functions weiter auf. Bis Juli 2026 erhalten alle gewerblichen Mandanten neue Steuerungsmöglichkeiten: Administratoren können künftig über Microsoft Purview Sensitivity Labels festlegen, welche Dateien Copilot und andere KI-Dienste verarbeiten dürfen. Die Aktualisierung betrifft Word, Excel, PowerPoint und Outlook.
Gleichzeitig bringt Microsoft KI-gestützte Updates für Teams und SharePoint Online – mit verbesserten Meeting-Zusammenfassungen und automatischer Datenklassifizierung. Doch jeder neue KI-Assistent verändert auch die Risikolandschaft: Vertrauliches Material lässt sich schneller zusammenfassen und teilen. Ein datenzentrierter Sicherheitsansatz wird damit unverzichtbar.
Große Lücken bei Managed Service Providern
Der Enhanced.io MSP Security Coverage Report 2026 offenbart ein weiteres Problem: Nur etwa ein Drittel der Managed Service Provider sichert Microsoft-365-Umgebungen konsequent ab. Zwar bieten 81 Prozent der MSPs Endpunkt-Erkennung und -Abwehr, doch Identitätssicherung und IoT bleiben oft unterversorgt.
Dabei steigt die Bedrohungslage rasant: Branchenberichten zufolge nahmen zerstörerische Cloud-Angriffe im Jahr 2025 um 87 Prozent zu. Für KMU bedeutet das: Wer sich ausschließlich auf seinen Dienstleister verlässt, sollte dringend nachfragen, ob die Sicherheitslücken wirklich geschlossen sind.
