Microsoft Copilot: KI-Assistent mit Sicherheitslücken

Microsoft Copilot ist tief in Microsoft 365 integriert und hat Zugriff auf praktisch alles, was ein Mitarbeiter sehen kann – E-Mails, SharePoint-Dokumente, Teams-Chats. Genau das ist das Problem: In den meisten Unternehmen haben Mitarbeiter weit mehr Zugriffsrechte als nötig. Laut einem Bericht von Concentric AI sind 16 % aller geschäftskritischen Daten übermäßig geteilt, im Schnitt rund 800.000 Dateien pro Organisation. Copilot erbt diese Berechtigungen – und kann damit ungewollt zum Datenleck werden.

Hinzu kommt: Copilot-Ausgaben übernehmen keine Vertraulichkeits-Labels der Quelldateien. Wer also ein Dokument mit „Streng Vertraulich" als Quelle nutzt, bekommt eine KI-Ausgabe ohne diese Kennzeichnung – die dann unbeabsichtigt weitergeteilt wird. Auch eine konkrete Schwachstelle (CVE-2024-38206) in Copilot Studio wurde bekannt: Ein SSRF-Fehler ermöglichte es authentifizierten Angreifern, interne Microsoft-Infrastruktur abzufragen. Microsoft hat den Fehler gepatcht, aber er zeigt, dass KI-Tools neue Angriffsflächen schaffen.

Bin ich betroffen? Wer Microsoft 365 mit Copilot einsetzt und keine gezielten Zugriffskontrollen eingerichtet hat, ist potenziell betroffen. Besonders riskant: SharePoint-Ordner mit breiten Berechtigungen, unklassifizierte Dokumente und externe Freigaben.

Empfehlung: Vor dem Copilot-Einsatz Berechtigungen nach dem Least-Privilege-Prinzip auditieren, Datei-Klassifizierungen durchsetzen und externe Freigaben einschränken. Wer Copilot bereits nutzt, sollte prüfen, welche Daten für wen sichtbar sind – am besten mit einem Data-Access-Audit.

Quelle: concentric.ai

Related Posts

Meta will KI Analyse auch auf nicht geteilte Fotos anwenden

Facebook bittet laut einem Bericht von TechCrunch Nutzer derzeit um Erlaubnis, Fotos aus ihrem Kamera-Archiv — auch solche, die noch nicht auf Facebook hochgeladen wurden — für KI-gestützte Vorschläge zu nutzen. Die Funktion erscheint beim Erstellen neuer Stories und bietet „Cloud Processing“ an, um kreative Ideen wie Collagen, AI-Restylings oder Foto-Themen zu generieren.

Read More

Microsoft gesteht fehlende Garantie für EU-Datenschutz

Bei einer Anhörung vor dem französischen Senat räumte Anton Carniaux, Chefjustiziar von Microsoft France, ein, dass der Konzern nicht garantieren könne, EU-Daten niemals an US-Behörden weiterzugeben. Hintergrund sind gesetzliche Pflichten nach dem US-CLOUD Act und Patriot Act. Zwar prüfe Microsoft jedes Auskunftsersuchen genau und habe bislang keine Daten aus Frankreich weitergegeben, bei formal korrekten Anfragen sei das Unternehmen jedoch zur Herausgabe verpflichtet. Die Aussage befeuert EU-weit die Debatte über digitale Souveränität und den Einsatz von US-Cloud-Diensten wie Microsoft, Amazon AWS oder Google Cloud.

Read More

Studie aus 2025: AI-Plattformen im Datenschutzvergleich

Die Nutzung von generativer KI (Gen AI) und Large Language Models (LLMs) ist heute Alltag. Ob bei der Texterstellung, beim Programmieren oder im Kundenservice – diese Tools erleichtern vieles, doch oft auf Kosten des Datenschutzes. Die aktuelle Studie von Incogni, kombiniert mit der Privacy-Ranking-Grafik 2025, zeigt: Nicht alle Plattformen gehen gleich verantwortungsvoll mit Nutzerdaten um.

Read More