BSI warnt vor kritischen Lücken in Microsoft Azure und Copilot

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Mehrere Kernprodukte von Microsoft weisen schwerwiegende Sicherheitslücken auf. Betroffen sind die zentrale Cloud-Plattform Azure, der KI-Assistent Copilot und der Identitätsdienst Microsoft Entra. Angreifer könnten damit tief in Unternehmenssysteme eindringen.

Die am Donnerstag veröffentlichte Warnung trägt die höchste Risikostufe. Sie betrifft unzählige deutsche Unternehmen und Behörden, die für ihre digitale Infrastruktur auf Microsoft-Lösungen setzen. Die Schwachstellen ermöglichen es Angreifern laut BSI, ihre Berechtigungen unerlaubt zu erweitern, sensible Daten abzugreifen oder schädlichen Code einzuschleusen.

Wie die Angriffe funktionieren könnten

Im Zentrum der Bedrohung steht eine Kombination mehrerer kritischer Lücken. Das gefährlichste Szenario: Privilegien-Eskalation. Ein Angreifer mit zunächst geringen Zugriffsrechten könnte sich so Administrator-Rechte erschleichen und die volle Kontrolle über Teile der IT-Landschaft übernehmen.

Eine weitere Gefahr sind Cross-Site-Scripting-Angriffe (XSS). Dabei wird Schadcode in die Weboberflächen der Microsoft-Dienste eingeschleust. Im Browser ahnungsloser Nutzer ausgeführt, könnte dieser Code Konten übernehmen oder auf vertrauliche Daten zugreifen. Das Common Vulnerability Scoring System (CVSS) bewertet eine der Lücken mit einem extrem hohen Base Score von 9,9.

Das BSI-Alarmzeichen macht deutlich, wie schnell Cloud- und KI‑Lücken ganze Infrastrukturen gefährden können. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ fasst die wichtigsten Schutzmaßnahmen für Azure-, Copilot- und Identitätsdienste zusammen – von Prioritäten beim Patch‑Management über Protokoll‑Analysen bis zu KI‑gerechten Zugriffskontrollen. Praktische Checklisten und sofort umsetzbare Schritte für IT‑Verantwortliche, die ohne große Investitionen das Risiko deutlich senken wollen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Welche Microsoft-Produkte betroffen sind

Die Liste der betroffenen Systeme liest sich wie ein Who-is-who der Microsoft-Cloud. Dazu gehören zentrale Azure-Komponenten wie Azure Logic Apps, der Azure Data Explorer und Azure Front Door. Besonders brisant: Auch der in Office-Programme wie Word tief integrierte Microsoft 365 Copilot und der fundamentale Identitätsdienst Microsoft Entra ID weisen Schwachstellen auf.

Diese breite Streuung zeigt das enorme Gefahrenpotenzial. Viele Firmen nutzen genau diese Produktkombination für ihre kritischen Geschäftsprozesse. Ein erfolgreicher Angriff auf eine Komponente könnte daher eine Kettenreaktion auslösen.

Microsoft reagiert mit Patches – Unternehmen müssen handeln

Der Softwarekonzern hat bereits auf die Enthüllungen reagiert und erste Sicherheitshinweise sowie Patches veröffentlicht. Das BSI verweist Unternehmen dringend auf diese Herstellerinformationen. Für eine spezielle Lücke in Copilot, die den Abfluss von Informationen ermöglicht, liegt bereits eine detaillierte Anleitung vor.

IT-Verantwortliche sollten nun umgehend prüfen, ob ihre Systeme betroffen sind, und die verfügbaren Updates einspielen. Die spezifischen Kennungen der Schwachstellen lauten CVE-2026-21227, CVE-2026-21264 und CVE-2026-21521. Parallel ist eine Überprüfung der Systemprotokolle auf bereits erfolgte Angriffsversuche sinnvoll.

Cloud und KI: Ein neues Risikoparadigma

Der Vorfall ist kein Einzelfall, sondern Teil eines Trends. Die zunehmende Abhängigkeit von zentralen Cloud-Plattformen und die tiefe Integration leistungsfähiger KI-Assistenten schaffen neue, komplexe Angriffsflächen. Ein kompromittierter KI-Assistent wie Copilot, der Zugriff auf E-Mails, Dokumente und interne Kommunikation hat, wird zum Generalschlüssel für die wertvollsten Unternehmensdaten.

Die Warnung des BSI sollte als Weckruf dienen. Sie unterstreicht, dass die Verantwortung für Sicherheit nicht allein bei den Cloud-Anbietern liegen kann. Unternehmen müssen ihre eigene Sicherheitsstrategie überdenken. Dazu gehören eine robuste Überwachung, ein proaktives Schwachstellenmanagement und das strikte Prinzip der geringsten notwendigen Berechtigungen. In der Ära von Cloud und KI muss Cybersicherheit zur Chefsache werden.

PS: Sie möchten Ihr Unternehmen pragmatisch und schnell schützen? Der Gratis‑Leitfaden „Cyber Security Awareness Trends“ zeigt, welche vier Hebel jetzt den größten Schutz bringen – etwa Patch‑Strategien für Azure, Zugriffskontrollen für Copilot‑Integrationen und Anti‑Phishing‑Routinen für Mitarbeitende. Ideal für Geschäftsführer und IT‑Teams, die mit überschaubarem Budget die größte Wirkung erzielen wollen. Jetzt Cyber‑Security‑Leitfaden anfordern