ChatGPT-Sicherheitslücke: KI-Agenten als Datenlecks

Eine kritische Schwachstelle in ChatGPTs Unternehmens-Integrationen ermöglichte Angreifern den Diebstahl sensibler Outlook-Daten – ganz ohne Klick des Nutzers. Der Fall “ZombieAgent” offenbart fundamentale Sicherheitsrisiken der KI-gesteuerten Arbeitswelt.

Zero-Click-Angriff durch versteckte Befehle

Cybersicherheitsforscher von Radware enthüllten am 8. Januar eine ausgeklügelte Angriffsmethode, die ChatGPT-Connectors ausnutzte. Diese Schnittstellen verbinden die KI mit Microsoft Outlook, Gmail und Google Drive. Das Besondere: Der Angriff benötigte keine Nutzerinteraktion.

In einem demonstrierten Szenario schickten Angreifer eine scheinbar harmlose E-Mail an ein Zielpostfach. Versteckt im Nachrichtentext – etwa durch weiße Schrift auf weißem Hintergrund – befanden sich bösartige Befehle. Fragte der Nutzer später ChatGPT, seine E-Mails zusammenzufassen, las die KI die versteckten Anweisungen mit.

Wenn Outlook‑Connectors und KI‑Assistenten auf Postfächer zugreifen, reicht ein versteckter Befehl, um Kontaktlisten, Anhänge und andere sensible Daten zu exfiltrieren — ganz ohne Nutzerinteraktion. IT‑Verantwortliche sollten daher Postfachzugriffe strikt einschränken und Outlook sicher konfigurieren. Der kostenlose Outlook‑Spezialkurs liefert eine praxisnahe Schritt‑für‑Schritt‑Anleitung zur fehlerfreien Einrichtung, Kontosynchronisation, Datensicherung sowie konkreten Maßnahmen gegen E‑Mail‑Prompt‑Injektionen. Jetzt kostenlosen Outlook‑Spezialkurs herunterladen

Die Folge: ChatGPT exfiltrierte automatisch sensible Daten wie Kontaktlisten und Anhänge an server der Angreifer. Da dies innerhalb von OpenAIs Cloud-Infrastruktur geschah, umging der Datenabfluss klassische Sicherheitssysteme wie Firewalls.

KI-Gedächtnis als dauerhaftes Einfallstor

Besonders bedrohlich machte “ZombieAgent” seine Fähigkeit zur Persistenz. Die Attacke manipulierte ChatGPTs Memory-Funktion, die Nutzerpräferenzen speichert. Einmal infiziert, wurde der KI-Assistent zum “Zombie” – er scannte fortlaufend nach neuen Daten, ohne weitere externe Befehle zu benötigen.

Die Forscher umgingen sogar frühere Sicherheitspatches. Nachdem OpenAI dynamische URL-Modifikationen blockiert hatte, nutzten sie statische URLs für jedes Alphabet-Zeichen. So rekonstruierte die kompromittierte KI gestohlene Informationen Zeichen für Zeichen.

OpenAI reagiert – Grundproblem bleibt

OpenAI bestätigte die Schwachstelle und implementierte am 16. Dezember 2025 einen umfassenden Patch. Das Update soll verhindern, dass ChatGPT versteckte Befehle in abgerufenen Inhalten ausführt, die das Gedächtnis modifizieren oder externe Verbindungen auslösen.

Doch Sicherheitsexperten warnen: Das spezifische Leck ist gestopft, das architektonische Risiko besteht weiter. Der Vorfall illustriert die “SaaS-to-AI”-Sicherheitslücke, wo vertrauenswürdige Verbindungen zwischen Produktivitätstools und KI-Agenten neue Datenlecks schaffen.

Weckruf für deutsche Unternehmen

Für IT-Abteilungen, die Microsoft 365 Copilot oder ChatGPT Enterprise nutzen, wirkt der Fall wie ein Weckruf. Die Bequemlichkeit, E-Mails von KI lesen zu lassen, birgt inhärente Risiken – besonders wenn die Agenten nicht zuverlässig zwischen Nutzerbefehlen und fremden Inhalten unterscheiden können.

Sicherheitsexperten raten zu strikteren Zugriffskontrollen:
* KI-Zugriffe auf spezifische Ordner statt gesamte Postfächer beschränken
* Automatische Memory-Funktionen für sensible Konten deaktivieren
* Spezielle “KI-Firewalls” implementieren, die Prompts auf Injection-Angriffe prüfen

KI-Sicherheit wird 2026 dominieren

Die Cybersecurity-Landschaft 2026 wird laut Radware-Bericht von der Verteidigung KI-gesteuerter Agenten geprägt sein. Angreifer entwickeln zunehmend komplexe, mehrstufige Exploits, die die Vernetzung moderner SaaS-Ökosysteme ausnutzen.

Die Branche erwartet einen Schub bei “AI Security Posture Management”-Tools. Große Anbieter wie OpenAI und Microsoft dürften granularere Berechtigungsmodelle einführen. Nutzer könnten dann spezifische Datenzugriffe in Echtzeit genehmigen müssen, statt pauschal Vollmacht zu erteilen.

“ZombieAgent” mag behoben sein – doch er signalisiert deutlich: Die Sicherheitsherausforderungen des KI-integrierten Arbeitsplatzes haben gerade erst begonnen. Für deutsche Unternehmen, die zunehmend auf KI-Assistenten setzen, wird sorgfältige Absicherung zur Existenzfrage.

PS: Für Unternehmen mit Copilot oder ChatGPT Enterprise kann eine falsche Outlook‑Konfiguration zur dauerhaften Datenleck‑Quelle werden. Holen Sie sich den Gratis‑Download “Outlook‑Installationsanleitung” mit konkreten Anleitungen zu Berechtigungen, Deaktivierung von Memory‑Funktionen bei sensiblen Konten, Backup‑Checks und sieben Praxistipps für Admins. Schnell umsetzbar, speziell für Microsoft‑365‑Umgebungen. Kostenlosen Outlook‑Installationsguide anfordern