Der Tech-Riese kämpft gleich an zwei Fronten: Eine kritische Sicherheitslücke in Copilot und eine milliardenschwere Aktionärsklage setzen den Konzern unter Druck.
Sicherheitspanne: Ein Klick genügte für den Datenklau
Sicherheitsforscher von Varonis Threat Labs haben eine schwerwiegende Schwachstelle in Microsoft 365 Copilot Enterprise aufgedeckt. Die als CVE-2026-42824 registrierte Lücke – von den Experten auf den Namen SearchLeak getauft – hätte es Angreifern ermöglicht, mit nur einem einzigen Klick sensible Unternehmensdaten zu stehlen.
Anzeige: Wer die Copilot SearchLeak-Lücke in seinem Unternehmen bewerten will, findet in diesem kostenlosen Report die wichtigsten Sicherheitsmaßnahmen – von der URL-Überwachung bis zur Compliance-Prüfung. Jetzt kostenlosen Sicherheits-Report anfordern
Microsoft hat den Fehler am 9. Juni 2026 mit einem serverseitigen Update geschlossen. Doch die Angriffslogik war ausgeklügelt: In einem dreistufigen Verfahren gelang es den Angreifern, das KI-System zu manipulieren. Zunächst wurde eine sogenannte Parameter-to-Prompt-Injection über eine URL ausgeführt – das System konnte nicht zwischen legitimen Nutzerbefehlen und bösartigen Inhalten unterscheiden. Es folgte ein HTML-Rendering-Wettlauf, der die Sicherheitsvorkehrungen aushebelte. Den Abschluss bildete ein Server-Side-Request-Forgery-Angriff (SSRF) über die Bing-Suche, der die Daten abfloss.
Besonders brisant: Für den Angriff waren weder spezielle Berechtigungen noch Schadsoftware nötig. Es handelte sich um eine rein semantische Übernahme des KI-Assistenten. Gefährdet waren unter anderem MFA-Codes, Passwort-Reset-Links, E-Mails sowie Dateien auf SharePoint und OneDrive. Microsoft hat inzwischen die Eingabebereinigung verstärkt und eine URL-Whitelist implementiert, um solche Angriffe künftig zu verhindern.
Aktionäre werfen Microsoft Täuschung vor
Parallel zu den Sicherheitsproblemen hat eine zweite Front für Unruhe gesorgt. Am 12. Juni 2026 reichte die Stadt St. Clair Shores Police and Fire Retirement System eine Sammelklage vor dem US-Bezirksgericht für den westlichen Bezirk von Washington ein. Die Kläger vertreten Anleger, die zwischen dem 1. Mai 2025 und dem 28. Januar 2026 Microsoft-Aktien erworben haben.
Die Vorwürfe wiegen schwer: Microsoft habe den Markt über den Erfolg seiner KI-Initiativen getäuscht. Konkret nennen die Kläger CEO Satya Nadella und CFO Amy Hood als Verantwortliche. Das Unternehmen soll Probleme mit der Benutzerfreundlichkeit von Copilot, der Markenwahrnehmung und der Interoperabilität heruntergespielt haben, um den Aktienkurs künstlich hochzutreiben.
Hinzu kommt: Microsoft soll angeblich nicht offen über das nachlassende Wachstum des Cloud-Geschäfts Azure und die tatsächlichen Investitionskosten für die KI-Infrastruktur informiert haben.
Milliardenverlust an der Börse
Die juristischen Schritte sind eine direkte Folge des dramatischen Kurssturzes vom 29. Januar 2026. Damals fiel die Microsoft-Aktie um rund zehn Prozent – ein Minus von 48 Dollar pro Anteilsschein. Die Marktkapitalisierung schrumpfte um schätzungsweise 357 Milliarden Dollar.
Anzeige: Aktionärsklage und Milliardenverlust zeigen: Die Copilot-Conversion enttäuscht. Doch das eigentliche Risiko liegt in der Sicherheitslücke, die Datenklau ohne Berechtigung ermöglicht. Dieser Report zeigt, wie Sie Ihr Unternehmen schützen. Copilot-Sicherheits-Checkliste jetzt sichern
Auslöser war die Veröffentlichung der Quartalszahlen. Dabei zeigte sich: Azure wuchs nur noch um 39 Prozent – im Vorquartal waren es noch 40 Prozent gewesen. Und die Prognose für das Folgequartal lag sogar nur bei 37 bis 38 Prozent. Gleichzeitig explodierten die Investitionen: Im zweiten Quartal gab Microsoft 37,5 Milliarden Dollar für Kapitalausgaben aus – ein Anstieg von 66 Prozent im Vergleich zum Vorjahr.
Besonders bitter für die Aktionäre: Die Conversion-Rate von Copilot blieb enttäuschend. Von 450 Millionen Microsoft-365-Nutzern zahlten während des Klagezeitraums gerade einmal 15 Millionen für den KI-Dienst.
Microsoft hat die Vorwürfe zurückgewiesen. Die Frist für die Benennung des Hauptklägers läuft noch bis zum 11. August 2026. Sicherheitsexperten empfehlen Unternehmen, die Copilot einsetzen, weiterhin Such-URLs zu überwachen und die Content-Security-Policy-Whitelists zu prüfen – um das Risiko durch KI-gestützte Assistenten zu minimieren.
