Windows Copilot: Microsoft warnt vor Sicherheitsrisiken

Microsoft schlägt Alarm: Die neue “Agent Workspace”-Funktion für Windows Copilot birgt erhebliche Sicherheitslücken. Autonome KI-Agenten könnten Daten stehlen oder Malware installieren – trotz versprochener Isolation.

Die Warnung kommt nur Tage nach der Einführung des Features für Windows Insider. In der Cybersecurity-Branche tobt bereits eine hitzige Debatte: Wie sicher können KI-Agenten sein, die eigenständig auf lokale Dateien zugreifen?

Mitte November 2025 führte Microsoft den “Agent Workspace” für Windows Insider ein – ein fundamentaler Kurswechsel. Anders als bisherige Copilot-Versionen, die hauptsächlich als Chatbots fungierten, schafft das neue System eine abgetrennte Umgebung. Dort arbeiten KI-Agenten, sogenannte “Copilot Actions”, vollkommen selbstständig.

Die technische Dokumentation von dieser Woche offenbart Details: Das Feature erzeugt ein separates “Agent-Konto”, unabhängig vom Haupt-Login des Nutzers. Dieser Agent erhält Lese- und Schreibzugriff auf sechs zentrale Ordner: Dokumente, Downloads, Desktop, Musik, Bilder und Videos.

Viele Unternehmen sind auf Cyberangriffe nicht ausreichend vorbereitet – Studien zeigen, dass über 70 % der Betriebe kritische Lücken übersehen, bevor es zum Datenverlust kommt. Gerade lokale KI-Agenten mit breitreichendem Dateizugriff wie im Agent Workspace erhöhen dieses Risiko erheblich. Ein kostenloser Leitfaden erklärt praxisnahe Maßnahmen, mit denen Sie Angriffsflächen schließen, Audit‑Logs richtig nutzen und klare Berechtigungsregeln einführen. Der Report ist kostenlos und sofort per E‑Mail verfügbar. Gratis-Cyber-Security-Leitfaden jetzt anfordern

Die Idee dahinter? Der KI-Agent soll komplexe Aufgaben im Hintergrund erledigen – Dateien organisieren, E-Mails verfassen, Meetings planen. Alles ohne die aktive Sitzung des Nutzers zu stören. Doch genau diese Autonomie öffnet Angreifern Tür und Tor.

“Der Agent Workspace läuft in einer separaten Windows-Sitzung, parallel zur Nutzersitzung, um Sicherheitsisolation zu gewährleisten”, erklärte Microsoft am 24. November. Trotz dieser architektonischen Schutzmechanismen räumt der Konzern ein: Die Eigenständigkeit der Agenten schafft eine völlig neue Angriffsfläche.

Cross-Prompt-Injection: Wenn KI zum Sicherheitsrisiko wird

Der Kern von Microsofts Warnung: Cross-Prompt Injection Attacks (XPIA). Laut Sicherheitshinweisen, die am 25. November von Fachmedien wie SC Media und SecurityWeek aufgegriffen wurden, könnten Angreifer die Denkfähigkeit der Agenten gezielt ausnutzen.

XPIA funktioniert so: Der KI-Agent verarbeitet ein Dokument, eine E-Mail oder eine Webseite, die versteckte Schadanweisungen enthält. Weil der Agent darauf trainiert ist, Inhalte zu “verstehen” und darauf zu reagieren, interpretiert er diese Anweisungen möglicherweise als legitime Nutzerbefehle.

“Der Zugriff von Copilot-Agenten auf Dateien und Anwendungen erweitert nicht nur den Umfang der Daten, die gestohlen werden können, sondern auch die Angriffsfläche für indirekte Prompt-Injection”, warnte Shankar Krishnan, Mitgründer von PromptArmor, diese Woche gegenüber SC Media.

Microsoft formuliert in der Support-Dokumentation ungewöhnlich direkt. Das Unternehmen warnt: Erfolgreiche XPIA-Angriffe könnten die Sicherheitsanweisungen des Agenten außer Kraft setzen und zu “unbeabsichtigten Aktionen wie Datendiebstahl oder Malware-Installation” führen. Ein Beispiel? Ein Agent, der heruntergeladene Dateien zusammenfassen soll, könnte versehentlich ein bösartiges Skript in einem manipulierten PDF ausführen – klassische Benutzerautorisierung umgangen.

CVE-2025-32711: Die Warnung aus der Vergangenheit

Die Sorgen um den Agent Workspace wiegen umso schwerer, als Microsoft 2025 bereits mehrfach mit KI-Sicherheitslücken kämpfte. Sicherheitsexperten ziehen Parallelen zu CVE-2025-32711, einer kritischen Schwachstelle namens “EchoLeak”, die im Juni 2025 bekannt wurde.

EchoLeak zeigte, wie Angreifer über indirekte Prompt-Injection Microsoft 365 Copilot dazu bringen konnten, sensible Daten per E-Mail zu versenden – ohne jegliche Nutzerinteraktion. Ein “Zero-Click”-Angriff mit einem kritischen CVSS-Score von 9,3 Punkten.

Beim neuen Agent Workspace sind die Risiken noch höher. Während EchoLeak hauptsächlich in der Microsoft-365-Cloud-Umgebung wirkte, arbeitet der Agent Workspace lokal auf dem Gerät mit direktem Dateisystemzugriff. Von der Cloud aufs Gerät – das bedeutet: Ein kompromittierter Agent könnte theoretisch Dateien verschlüsseln (Ransomware) oder lokale Dokumente an externe Server übermitteln, falls die “isolierte” Grenze durchbrochen wird.

Branchenreaktion: Eine “dünne” Sicherheitsgrenze

Die Cybersecurity-Branche reagiert mit Skepsis. Zwar betont Microsoft, dass das Feature “standardmäßig deaktiviert” ist und Administratorrechte zur Aktivierung erfordert. Doch Experten befürchten: Der Druck, Produktivitätsgewinne zu erzielen, könnte Organisationen dazu verleiten, die Risiken zu ignorieren.

Berichte von Gadgets 360 und ISP.Tools vom 20. November griffen Kritik von Sicherheitsforschern auf, die die Risiken von Copilot Actions mit der jahrzehntealten Plage von Office-Makros verglichen. Genau wie schädliche Makros die Automatisierungsfunktionen von Excel und Word ausnutzten, könnten bösartige Prompts die Automatisierung des Agent Workspace missbrauchen.

“Sicherheitsexperten warnen, dass Nutzergewöhnung Sicherheitsgrenzen schwächen könnte”, hieß es bei Gadgets 360. Die Sorge: Nutzer, die sich daran gewöhnen, KI-Aktionen zu genehmigen, könnten gegenüber Autorisierungsabfragen abgestumpft werden – und so einem kompromittierten Agenten schädliche Aufgaben erlauben.

Zudem teilt sich der “Agent Workspace” trotz technischer Isolation weiterhin Hardware und Netzwerkressourcen der Host-Maschine. “Experten mahnen, dass selbst mit Admin-Kontrollen die Grenze zwischen hilfreicher Automatisierung und Sicherheitsrisiko dünn bleibt”, berichtete ISP.Tools am 19. November.

Ausblick: Zwischen Produktivität und Paranoia

Microsoft verspricht eine “Defense-in-Depth”-Strategie. Dazu gehören manipulationssichere Audit-Logs, mit denen Administratoren jede Aktion eines Agenten überprüfen können, sowie “Just-in-Time”-Entschlüsselungsmechanismen ähnlich der Windows-Recall-Funktion von Anfang 2025.

Doch die Sicherheitslast verlagert sich zunehmend auf Endnutzer und IT-Administratoren. Organisationen, die Windows Copilot einsetzen, müssen strikte Governance-Richtlinien implementieren – möglicherweise den Zugriff auf den Agent Workspace auf unkritische Geräte beschränken oder verstärkte Überwachungslösungen einsetzen.

Die klare Empfehlung von Sicherheitsprofis lautet: Behandelt den Agent Workspace mit der gleichen Vorsicht wie ungeprüfte Software. Wenn das Feature Ende 2025 oder Anfang 2026 vom Insider-Programm in die allgemeine Verfügbarkeit übergeht, wird der Kampf zwischen KI-Produktivität und KI-Sicherheit zur entscheidenden Herausforderung der neuen Windows-Ära.

PS: Wenn Sie Windows Copilot oder andere autonome KI-Agenten produktiv einsetzen wollen, sollten Sie jetzt präventive Schritte einleiten. Der kostenlose Report zeigt konkrete Kontrollen, Reporting‑Mechanismen und kostengünstige Schutzmaßnahmen, die sich direkt in Ihrem Alltag umsetzen lassen. Er enthält eine sofort anwendbare Checkliste für Administratoren, mit der Sie Governance‑Lücken schnell schließen. Jetzt kostenlosen Cyber-Security-Report herunterladen