KI-gesteuerte E-Mail-Assistenten sind zu einem neuen Einfallstor für Cyberangriffe geworden. Eine kritische Schwachstelle in Microsoft 365 Copilot erlaubte es Angreifern, das Vertrauen in die KI zu missbrauchen und täuschend echte Phishing-Links zu generieren.
Wie der Angriff auf die KI funktioniert
Die als Cross-Prompt Injection Attack (XPIA) bekannte Methode umgeht traditionelle Sicherheitsfilter gezielt. Statt verdächtige Anhänge zu versenden, verstecken Angreifer unsichtbare Befehle in scheinbar harmlosen E-Mails – etwa durch weiße Schrift auf weißem Hintergrund. Für den menschlichen Leser ist nichts zu sehen.
Die Falle schnappt zu, sobald der Nutzer seinen KI-Assistenten bittet, die Nachricht zusammenzufassen. Die KI verarbeitet den gesamten Rohinhalt, inklusive der versteckten Anweisungen. Statt einer neutralen Zusammenfassung generiert sie dann eine gefälschte Warnmeldung, beispielsweise zur angeblichen Kompromittierung des Passworts – inklusive eines bösartigen Links. Da diese Warnung vom offiziellen Unternehmens-Assistenten stammt, wirkt sie äußerst glaubwürdig.
Moderne Cyberangriffe nutzen gezielt das Vertrauen in neue Technologien aus, um Sicherheitsbarrieren zu umgehen. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen gegen solche raffinierten Methoden wappnen können. IT-Sicherheitsstrategien für Unternehmen jetzt kostenlos herunterladen
Die Schwachstelle in Microsofts KI
Forscher des Unternehmens Permiso Security entdeckten die konkrete Lücke in Microsoft 365 Copilot, die als CVE-2026-26133 geführt wird. Der Fehler im Design der Vertrauensgrenze erlaubte es, dass externe E-Mails die Antworten der KI diktieren konnten – ohne klassischen Schadcode.
Microsoft bestätigt das Problem Ende Januar 2026 und rollte ab Mitte Februar Patches aus. Bis zum 11. März 2026, also einen Tag vor der öffentlichen Bekanntgabe, waren alle betroffenen Systeme aktualisiert. Die Gefahr lag vor allem in der Tarnung: Mitarbeiter sind darauf trainiert, externe E-Mails kritisch zu prüfen, hinterfragen aber selten eine Meldung des eigenen KI-Helfers.
Ein systemisches Problem der KI-Sicherheit
Der Fall bei Microsoft ist kein Einzelfall, sondern Teil eines besorgniserregenden Trends. Bereits im Juli 2025 wurde eine ähnliche Schwachstelle in Google Workspace aufgedeckt. Weitere Angriffsmuster wie EchoLeak oder Reprompt zeigten, wie KI-Assistenten zur Ausspähung sensibler Daten genutzt werden können.
Diese wiederholten Entdeckungen belegen: Prompt-Injection-Angriffe auf KI-Zusammenfassungstools sind eine systemische, plattformübergreifende Schwachstellenklasse. Je tiefer KI-Assistenten in Unternehmens-Ökosysteme integriert sind – mit Zugriff auf E-Mails, Dokumente und Kalender – desto größer wird ihre Angriffsfläche.
So können sich Unternehmen schützen
Die Abwehr von KI-generierten Phishing-Angriffen erfordert einen grundlegenden Wandel in der Cybersicherheits-Strategie.
Sofortmaßnahme: Patches einspielen
IT-Abteilungen müssen umgehend sicherstellen, dass die März-2026-Updates für Microsoft 365 Copilot installiert sind.Technische Kontrollen verschärfen
Neben Data Loss Prevention (DLP)-Richtlinien wird Identity Security Posture Management (ISPM) immer wichtiger. Diese überwacht kontinuierlich alle Identitäten – auch von KI-Dienstkonten – und erkennt anomales Verhalten. Der Zugriff der KI auf hochsensible Daten sollte streng beschränkt werden.Mitarbeiter neu schulen
Die Security-Awareness-Trainings müssen dringend angepasst werden. Die zentrale Botschaft: KI-generierte Zusammenfassungen und Warnungen sind nicht unfehlbar. Jede alarmierende Meldung – besonders zu Passwort-Reset oder Sicherheitsvorfällen – muss manuell überprüft werden, ohne die darin enthaltenen Links zu klicken.
Phishing-Angriffe werden durch KI-Unterstützung immer schwerer erkennbar und nutzen gezielt psychologische Muster aus. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen und Ihre Mitarbeiter wirksam vor modernen Hacker-Methoden schützen. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Ein Wendepunkt für die Unternehmenssicherheit
Die Entdeckung von CVE-2026-26133 markiert einen Wendepunkt. Künstliche Intelligenz ist keine Spielerei mehr, sondern kritische Infrastruktur. Dementsprechend müssen auch die Sicherungsmethoden reifen.
Die Cybersicherheitsbranche wird künftig robustere KI-Architekturen entwickeln müssen, die zuverlässig zwischen Nutzerbefehlen und nicht vertrauenswürdigen externen Daten unterscheiden. Bis dahin gilt für Unternehmen: Sie müssen davon ausgehen, dass ihre KI-Assistenten getäuscht werden können. Das Wettrüsten zwischen Angreifern und Sicherheitsforschern geht weiter – ständige Wachsamkeit und schnelles Patch-Management bleiben auf absehbare Zeit überlebenswichtig.
