Die rasante Verbreitung von KI-gestützten Tools in Unternehmen bringt nicht nur Effizienzgewinne mit sich, sondern auch neue, schwer kalkulierbare Risiken. Eine aktuelle Entdeckung von Aim Security offenbart mit der Sicherheitslücke „EchoLeak“ in Microsoft 365 Copilot erstmals einen sogenannten Zero-Click-Angriff auf einen KI-Agenten. Der Vorfall zeigt eindrücklich, wie angreifbar moderne KI-Anwendungen sind – insbesondere im Hinblick auf Datenschutz und Informationssicherheit.
Was ist EchoLeak?
EchoLeak ist eine kritische Zero-Click-KI-Schwachstelle in Microsoft 365 Copilot, die es Angreifern ermöglicht, automatisch sensible und proprietäre Informationen aus dem Kontext von M365 Copilot zu exfiltrieren – ganz ohne ein Zutun der Benutzer. Für einen erfolgreichen Angriff muss ein Angreifer lediglich eine E-Mail an das Opfer senden, wobei es keine Einschränkung für die Absender-E-Mail gibt. Die Schwachstelle verwandelt den KI-Assistenten effektiv gegen sich selbst.
Wie funktioniert EchoLeak?
Diese Angriffskette nutzt eine neue Technik, die Aim Labs als „LLM Scope Violation“ bezeichnet hat. Eine LLM Scope Violation beschreibt Situationen, in denen spezifische Anweisungen eines Angreifers an das Large Language Model (LLM) – die aus nicht vertrauenswürdigen Eingaben stammen – das LLM dazu veranlassen, auf vertrauenswürdige Daten im Modellkontext zuzugreifen, ohne die ausdrückliche Zustimmung des Benutzers. Dies verstößt gegen das Prinzip der geringsten Privilegien.
Wenn der KI-Assistent sich selbst kompromittiert
Diese Angriffstechnik nutzt eine Reihe ineinandergreifender Schwachstellen. Zunächst gelingt es, Microsofts Schutzmechanismen gegen Prompt Injection zu umgehen, indem die schädlichen Anweisungen geschickt in harmlos wirkende Texte eingebettet werden. Externe Referenzen – etwa über manipulierte Markdown-Links oder eingebettete Bilder – bleiben dabei im Kontext erhalten, obwohl Microsoft eigentlich deren Entfernung vorgesehen hatte. Besonders perfide ist, dass über Microsoft-eigene Dienste wie SharePoint Online oder Teams legitime Kommunikationskanäle genutzt werden, um Daten aus dem System herauszuleiten. Dadurch umgeht der Angriff auch die Content-Security-Policy, die eigentlich genau solche Verbindungen verhindern soll.
Hinzu kommt eine Technik namens „RAG Spraying“, bei der die Angreifer E-Mails in besonders langen Formaten versenden, um die Wahrscheinlichkeit zu erhöhen, dass Copilot Fragmente daraus bei Nutzeranfragen berücksichtigt. Abgerundet wird das Angriffsszenario durch Anweisungen, die Copilot dazu bringen, die fragliche E-Mail im Chatverlauf nicht zu erwähnen. So bleibt der Angriff unentdeckt.
Datenschutzrechtliche Risiken und grundlegende Designschwäche von KI-Systemen
Aus Sicht des Datenschutzrechts ist EchoLeak ein besonders alarmierendes Szenario. EchoLeak verweist auf ein tieferliegendes Problem in der Architektur vieler KI-Systeme. Die Trennung zwischen vertrauenswürdigen und nicht-vertrauenswürdigen Informationen ist für ein LLM kaum klar zu ziehen. Anweisungen und Daten verschwimmen kontextuell – und machen es Angreifern leicht, diese Unschärfe auszunutzen. Der Aim Security spricht gegenüber FORTUNE daher von einem grundsätzlichen Designfehler, vergleichbar mit den Sicherheitslücken der 1990er Jahre, die durch Pufferüberläufe ganze Betriebssysteme kompromittieren konnten.
Es wird deutlich, dass klassische Sicherheitsmechanismen nicht ausreichen, um diese neuen Angriffsszenarien abzuwehren. Vielmehr bedarf es spezifischer Schutzmechanismen für LLMs und KI-Agenten. Etwa durch Echtzeit-Überwachung auf sogenannte Scope Violations. Die Zero-Klick-Schwachstelle macht zudem deutlich, dass der Einsatz von KI-Tools wie Copilot zwingend mit einer Risikobewertung einhergehen muss. Technische und organisatorische Maßnahmen müssen neu gedacht und auf die Besonderheiten von KI-Systemen abgestimmt werden.
Wachsende Datenschutzbedenken bei Microsoft
Microsoft sieht sich zunehmender Kritik wegen Datenschutz- und Sicherheitsproblemen gegenüber. Bereits im März 2024 wurde diskutiert, ob die Nutzung von Microsoft 365 durch die EU-Kommission DSGVO-konform ist – vor allem wegen möglicher US-Zugriffe bei Cloud-basierten Angeboten. Im Juli verklagte die Kommission den Europäischen Datenschutzbeauftragten, nachdem dieser Microsoft 365 in EU-Institutionen verboten hatte.
Technisch geriet Microsoft erneut im April 2025 in die Kritik: Das neue Outlook erschwerte die Nachverfolgbarkeit der Datenspeicherung. Als Reaktion kündigte Microsoft im Mai das „EU Data Boundary“-Programm an, um Daten europäischer Nutzer nur in der EU zu verarbeiten. Nach der „EchoLeak“-Entdeckung bleibt jedoch fraglich, ob diese Zusicherungen tatsächlich ausreichen, um die datenschutzrechtliche Integrität der Microsoft-Produkte langfristig zu gewährleisten.
Wie Microsoft auf die Copilot-Sicherheitslücke reagiert
Microsoft hat gegenüber FORTUNE erklärt, dass sie das Problem in Microsoft 365 Copilot bereits behoben haben und beteuert, dass bisher keine Kunden betroffen waren. Das Unternehmen hat nach eigenen Angaben zusätzliche Maßnahmen zur Stärkung seiner Sicherheitslage implementiert. Organisationen können auch DLP-Tags (Data Loss Prevention) verwenden oder Copilot so konfigurieren, dass es keine externen E-Mails verarbeitet, obwohl dies die Funktionen von Copilot einschränken kann.
Handlungsempfehlungen für Unternehmen nach EchoLeak
Für Unternehmen, die KI-Agenten implementieren oder nutzen, ist die Erkenntnis von EchoLeak eine ernüchternde Warnung. Solange eine Anwendung auf einem LLM basiert und nicht vertrauenswürdige Eingaben akzeptiert, könnte sie ähnlichen Angriffen ausgesetzt sein. Unternehmen stehen vor der Herausforderung, nicht nur reaktiv auf Schwachstellen zu reagieren, sondern präventiv zu handeln. Das bedeutet konkret: Eine regelmäßige Sicherheitsbewertung der eingesetzten KI-Tools sollte zur Routine werden. Datenschutz-Folgenabschätzungen sind insbesondere bei Systemen mit Zugriff auf personenbezogene Daten unerlässlich. Sicherheitsstrategien müssen angepasst und überarbeitet werden, um mit den besonderen Risiken KI-basierter Systeme Schritt zu halten. Ebenso wichtig ist der Aufbau eines Sicherheitsverständnisses innerhalb der Organisation: Fachabteilungen, IT und Datenschutzbeauftragte müssen gemeinsam daran arbeiten, KI nicht nur effizient, sondern auch sicher und gesetzeskonform einzusetzen.
Fazit
Die Sicherheitslücke „EchoLeak“ in Microsoft 365 Copilot ist ein Weckruf für alle, die sich mit der Implementierung von KI-Technologien beschäftigen. Der Vorfall zeigt, wie schnell ein System, das eigentlich den Arbeitsalltag erleichtern soll, zum Risikofaktor werden kann. Für die sichere und verantwortungsvolle Einführung von KI in Unternehmen reicht es nicht, auf schnelle Updates des Herstellers zu hoffen. Es braucht eine grundsätzliche Neubewertung der eingesetzten Technologien, fundierte rechtliche Analysen – und eine klare Linie in der Sicherheitsarchitektur. Der Weg zu vertrauenswürdiger KI führt nur über Transparenz, Kontrolle und technische sowie rechtliche Weitsicht.
