Microsoft Copilot: Ein-Klick-Angriff enttarnt Sicherheitslücke

Eine raffinierte Attacke namens ‘Reprompt’ konnte bis vor kurzem persönliche Daten aus Microsofts KI-Assistenten Copilot stehlen – mit nur einem einzigen Klick. Microsoft hat die kritische Lücke inzwischen geschlossen.

Die Sicherheitsforscher von Varonis Threat Labs enthüllten die Methode am 14. Januar 2026. Sie zeigte eine gravierende Schwachstelle in der Copilot Personal-Variante auf. Angreifer hätten so Sicherheitsvorkehrungen umgehen und sensible Nutzerdaten abfließen lassen können, ohne dass die Betroffenen etwas bemerkt hätten. Microsoft bestätigte, das Problem noch am Tag der Veröffentlichung behoben zu haben.

Der Vorfall unterstreicht die wachsenden Sicherheitsherausforderungen durch generative KI. Die Attacke machte sich eine authentifizierte Nutzersitzung zunutze und erforderte kaum Interaktion. Für die sicherere Enterprise-Version Microsoft 365 Copilot bestand keine Gefahr.

Passend zum Thema Phishing- und Link-Manipulationen: Viele Datenabflüsse beginnen mit einem einzigen manipulierten Link – genau wie die hier beschriebene “Reprompt”-Attacke. Das kostenlose Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte-Anleitung, mit der Sie verdächtige URLs erkennen, typische Social‑Engineering-Tricks entlarven und sofortige Schutzmaßnahmen umsetzen. Ideal für Privatnutzer und IT‑Verantwortliche, die ihre Erkennungsrate deutlich verbessern wollen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

So funktionierte die ‘Reprompt’-Attacke

Die Gefahr lag in der Täuschung. Der Angriff verband drei Techniken zu einer mächtigen Datenabfluss-Schiene – ausgelöst durch einen simplen Klick.

• Getarnte URL: Zuerst nutzten die Angreifer eine Funktion aus, über die Befehle direkt per Link an Copilot gesendet werden konnten. Ein manipulierter Link zur echten Domain copilot.microsoft.com enthielt im Hintergrund einen bösartigen Initialbefehl.
• Umgehung der Sicherheit: Die zweite Komponente war eine “Doppelanfrage”-Technik. Die Forscher beobachteten, dass Copilots Sicherheitsprüfungen bei der ersten Anfrage am strengsten waren. Ein Befehl, jede Funktion zweimal auszuführen und die Ergebnisse zu vergleichen, ließ oft die zweite, weniger kontrollierte Anfrage durchschlüpfen.
• Verdeckte Kommunikation: Abschließend etablierte eine “Kettenanfrage”-Methode einen versteckten Kanal. Der erste Befehl wies Copilot an, weitere Instruktionen von einem Server des Angreifers abzurufen. So konnte die KI im Hintergrund immer neue Befehle erhalten, basierend auf bereits gestohlenen Daten – alles ohne Wissen des Nutzers.

Unsichtbare Datenspionage mit Folgen

Die Bedrohung war so tückisch, weil sie den KI-Assistenten in ein unsichtbares Spionagetool verwandelte. Ein kompromittiertes System konnte angewiesen werden, kürzlich geöffnete Dateien zusammenzufassen, persönliche Informationen wie den Standort preiszugeben oder nach Urlaubsplänen zu fragen. Die Attacke konnte sogar fortbestehen, nachdem der Nutzer das Chat-Fenster geschlossen hatte.

Was macht diese Methode so besonders? Sie benötigte weder manuell eingegebene Prompts, noch bösartige Plugins oder spezielle Connectors. Die Schwachstelle liegt in einem grundlegenden Problem vieler KI-Systeme: Das Modell kann oft nicht zuverlässig zwischen Anweisungen eines vertrauenswürdigen Nutzers und denen einer unbekannten externen Quelle unterscheiden. Diese Grauzone ermöglicht indirekte Prompt-Injection-Angriffe.

Lehren für die KI-Sicherheit

Microsofts schnelles Handeln hat die unmittelbare Gefahr gebannt. Nutzer von Copilot Personal sind mit den aktuellen Sicherheitsupdates vom Januar geschützt. Der Vorfall zeigt aber auch die Stärken der Enterprise-Lösung: Microsoft 365 Copilot blieb aufgrund zusätzlicher Sicherheitsebenen wie Data Loss Prevention (DLP) und administrativer Restriktionen unverwundbar.

Für die gesamte Tech-Branche ist der Fall eine wichtige Lektion. Die Sicherheit von KI bedeutet nicht nur, das Modell selbst zu schützen, sondern das gesamte Ökosystem abzusichern – inklusive der Schnittstellen, über die es Daten empfängt. Für Nutzer bleibt die grundlegende Regel: Unerwartete Links, selbst von vertrauenswürdig wirkenden Domains, immer kritisch prüfen, bevor sie angeklickt werden.

PS: Diese Angriffsstrategien kombinieren oft mehrere Täuschungsstufen, sodass herkömmliche Kontrollen nicht ausreichen. Das Anti‑Phishing‑Paket zeigt in einem kompakten Guide, welche technischen und Verhaltens‑Checks sofort helfen, Kettenangriffe zu erkennen und zu stoppen. Enthalten sind Checklisten, Erkennungsregeln und konkrete Sofortmaßnahmen für Einzelpersonen und IT-Teams. Anti‑Phishing‑Guide jetzt anfordern