In Microsofts Unternehmensplattform Microsoft 365 ist ein Fehler aufgetreten, der zeigt, wie verletzlich integrierte KI-Assistenten für Datenschutz- und Compliance-Risiken sein können. Der Fehler betraf Microsoft 365 Copilot und führte dazu, dass der Assistent trotz aktiver Data-Loss-Prevention-(DLP)-Richtlinien und Sensitivitätsbezeichnungen vertrauliche E-Mails lesen und zusammenfassen konnte.
Microsoft 365 Copilot Bug: KI ignoriert DLP-Richtlinien
Nach Angaben von Microsoft war der Vorfall auf die Komponente Copilot Chat beschränkt – den kontextsensitiven Chat-Assistenten, der in Word, Excel, PowerPoint, Outlook und OneNote integriert ist. Über diesen Chat können Mitarbeitende Inhalte zusammenfassen lassen, Fragen zu E-Mails und Dokumenten stellen und Routineaufgaben automatisieren.
Der Fehler wurde am 21. Januar festgestellt und mit der Kennung CW1226324 versehen. Betroffen war der Bereich Work innerhalb von Copilot Chat. Dort griff der Assistent auf Inhalte aus den Ordnern „Gesendete Elemente“ und „Entwürfe“ zu – einschließlich Nachrichten, die mit Sensitivitätslabels als vertraulich markiert und über DLP-Richtlinien besonders geschützt waren.
Die zentrale Schwachstelle: Copilot berücksichtigte die geltenden DLP-Policies und Beschränkungen der Sensitivitätsbezeichnungen nicht korrekt. Normalerweise sollen diese Einstellungen verhindern, dass automatisierte Systeme wie KI-Assistenten geschützte Inhalte analysieren oder in Antworten wiedergeben.
Wie der Copilot-Fehler Data Loss Prevention aushebelte
Rolle von Sensitivitätsbezeichnungen und DLP in Microsoft 365
In Microsoft 365 werden Sensitivitätslabels und DLP-Richtlinien eingesetzt, um besonders schützenswerte Informationen – etwa Geschäftsgeheimnisse, personenbezogene Daten oder Finanzzahlen – zu klassifizieren und technisch zu schützen. Diese Mechanismen können Inhalte verschlüsseln, Weiterleitungen einschränken und die Verarbeitung durch bestimmte Dienste, einschließlich KI-Funktionen, blockieren.
Im vorliegenden Fall waren jedoch gerade diese markierten E-Mails für Copilot Chat lesbar und zusammenfassbar. Dies deutet auf eine logische Schwäche in der Prüfung von Zugriffs- und Richtlinienregeln auf der Copilot-Seite hin. Microsoft spricht von einem „Fehler im Code“, ohne bislang technische Details offenzulegen – ein typisches Vorgehen, um Nachahmung und Missbrauch zu erschweren.
Warum „Entwürfe“ und „Gesendete Elemente“ besonders heikel sind
Ordner wie „Entwürfe“ und „Gesendete Elemente“ gehören in vielen Organisationen zu den inhaltlich sensibelsten Speicherorten. In Entwürfen finden sich oft noch ungefilterte Formulierungen, Rohdaten, interne Bewertungen und strategische Überlegungen. In gesendeten Nachrichten liegen final abgestimmte Texte mit konkreten Zahlen, Verträgen, personenbezogenen Daten oder vertraulichen Absprachen.
Kann eine KI diese Inhalte ungefiltert auswerten, steigt das Risiko für kritische Informationsabflüsse deutlich. Selbst ohne externen Angreifer können sensible Details über Chat-Abfragen versehentlich mit Kolleginnen und Kollegen geteilt werden, die laut Berechtigungskonzept keinen Zugriff haben sollten.
Sicherheitsrisiken und Auswirkungen für Unternehmen
Microsoft hat nach eigenen Angaben Anfang Februar mit der Verteilung eines Patches begonnen. Umfang und genaue Zahl der betroffenen Organisationen sind jedoch nicht öffentlich, und das Unternehmen weist darauf hin, dass sich die Bewertung des Vorfalls mit fortschreitender Analyse ändern kann.
Der Vorfall zeigt exemplarisch ein Muster, das auch Branchenberichte wie der Verizon Data Breach Investigations Report und Analysen der ENISA seit Jahren belegen: Immer mehr Sicherheitsvorfälle entstehen nicht durch klassische Angriffe, sondern durch Fehlkonfigurationen und logische Fehler in Cloud- und SaaS-Umgebungen. Mit der tiefen Integration von KI-Funktionen in Produktivsysteme verschärft sich dieses Problem.
Selbst wenn keine externen Datenabflüsse nachweisbar sind, bleibt der Schaden potenziell erheblich. Vertrauliche Informationen könnten in Antworten von Copilot wiederverwendet, überprompte Abfragen an größere Nutzerkreise „weitergereicht“ oder für Personen sichtbar geworden sein, die normalerweise keinen Zugriff auf diese E-Mails haben. Für regulierte Branchen – etwa Finanzdienstleister, Gesundheitswesen oder kritische Infrastrukturen – kann dies auch Compliance- und Haftungsfragen aufwerfen.
Handlungsempfehlungen: So reduzieren Unternehmen das Risiko
Der Bug CW1226324 macht deutlich, dass selbst ausgereifte Plattformen wie Microsoft 365 nicht vor logischen Fehlern gefeit sind. Organisationen sollten den Vorfall als Anlass nehmen, ihre Sicherheitsarchitektur rund um KI-Assistenten kritisch zu überprüfen.
1. Richtlinien zur Nutzung von KI-Werkzeugen schärfen. Unternehmen sollten definieren, welche Rollen Copilot nutzen dürfen und für welche Datenkategorien die Nutzung untersagt ist. Für besonders sensible Bereiche (z. B. Rechtsabteilung, M&A, F&E, Vorstandskommunikation) kann es sinnvoll sein, Copilot temporär zu deaktivieren oder getrennte Konten bzw. Tenants für hochkritische Informationen einzusetzen.
2. DLP- und Sensitivitätskonfiguration systematisch auditieren. Sicherheits- und Compliance-Teams sollten Sensitivitätslabels, DLP-Richtlinien und Zugriffsregeln in Microsoft 365 überprüfen und gezielt Tests durchführen, die reale Copilot-Szenarien nachbilden. Wichtig ist zu verifizieren, dass KI-Funktionen bei als „vertraulich“ oder „streng vertraulich“ klassifizierten Inhalten wie gewünscht blockiert werden.
3. Monitoring und Audit-Logs für KI-Zugriffe aktivieren. Über die Audit-Funktionen von Microsoft 365 (z. B. Microsoft Purview) lassen sich Zugriffe und Abfragen protokollieren. Unternehmen sollten diese Protokolle aktiv auswerten, etwa um ungewöhnlich breite Suchanfragen oder wiederholte Abfragen zu sensiblen Themen zu erkennen, die auf Fehlbedienung oder Missbrauch hindeuten.
4. KI-Assistenten strikt in eine Zero-Trust-Architektur einbetten. Der Zero-Trust-Ansatz geht davon aus, dass keinem Benutzer, keinem Gerät und keinem Dienst per se vertraut wird – auch nicht einem von Microsoft bereitgestellten KI-Assistenten. Copilot sollte als eigenständige Anwendung mit minimal notwendigen Rechten betrachtet werden. Wo möglich, sind Zugriffe auf bestimmte Postfächer, Ordner oder Dokumenttypen zu begrenzen und regelmäßig zu überprüfen.
Der Copilot-Vorfall in Microsoft 365 verdeutlicht, dass der Einsatz von KI im Unternehmen nicht nur Effizienzgewinne bringt, sondern auch neue Angriffs- und Fehlerflächen schafft. Organisationen, die ihre DLP-Strategie anpassen, Mitarbeitende im verantwortungsvollen Umgang mit KI schulen und KI-Dienste konsequent nach Zero-Trust-Prinzipien absichern, reduzieren das Risiko schwerwiegender Datenpannen deutlich. Jetzt ist der richtige Zeitpunkt, Copilot und andere KI-Funktionen nicht nur technisch zu aktivieren, sondern strategisch kontrolliert und sicher in die eigene Sicherheitsarchitektur zu integrieren.
