Eine kritische Sicherheitslücke in Microsofts KI-Assistent Copilot erlaubte es Angreifern, mit einem einzigen Klick auf persönliche Daten zuzugreifen. Das Update ist da – die Gefahr einer neuen Art von Phishing bleibt.
Ein simpler Klick auf einen manipulierten Link hätte ausgereicht: Sicherheitsforscher der Firma Varonis entdeckten eine gravierende Schwachstelle in Microsoft Copilot Personal. Die als „Reprompt“ bezeichnete Attacke hätte Angreifern erlaubt, die Sitzungen der Nutzer zu übernehmen und sensible Daten abzugreifen – von Gesprächsverläufen bis zu persönlichen Dateien. Microsoft hat die Lücke mit den Sicherheitsupdates vom 13. Januar 2026 geschlossen.
So funktionierte die „Reprompt“-Attacke
Die Gefahr lag in der schlichten Eleganz des Angriffs. Er nutzte eine legitime Funktion von Copilot: Über einen URL-Parameter können Befehle direkt in einen Link eingebettet werden. Ein solcher Link, etwa per Phishing-Mail verschickt, sah harmlos aus. Klickte das Opfer darauf, öffnete sich jedoch eine authentifizierte Copilot-Sitzung, die sofort versteckte, bösartige Anweisungen ausführte.
Ein einziger Klick kann schon reichen – wie die „Reprompt“-Attacke zeigt, lassen sich über manipulierte Copilot‑Links vertrauliche Daten abziehen. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Strategie, wie Sie solche Angriffe erkennen, technische Barrieren aufbauen, Mitarbeitende sensibilisieren und im Ernstfall schnell reagieren. Praxisnahe Checklisten und branchenspezifische Maßnahmen helfen IT‑Verantwortlichen und Entscheidern sofort. Jetzt kostenloses Anti‑Phishing‑Paket anfordern
Diese Parameter-2-Prompt (P2P)-Injection benötigte keine weitere Interaktion. Der prompt befahl Copilot, mit einem Server der Angreifer zu kommunizieren und einen Kanal für den fortlaufenden Datenabfluss zu etablieren. Erschreckend: Diese Verbindung konnte selbst dann bestehen bleiben und weiter Daten stehlen, wenn der Nutzer das Chat-Fenster bereits geschlossen hatte.
Welche Daten in Gefahr waren
Die Schwachstelle hätte einen breiten Zugriff ermöglicht. Gefährdet waren der Name des Nutzers, sein Standort, der gesamte Konversationsverlauf und eine Historie der aufgerufenen Dateien. Über den etablierten Backchannel hätten Angreifer die KI kontinuierlich nach persönlichen Details abfragen können – der Assistent wäre zum Spion geworden.
Besonders tückisch: Die Attacke umging Copilots eingebaute Sicherheitsmechanismen. Zwar blockierten diese den direkten Datenabgriff, doch die Forscher fanden einen Weg. Sie instruierten die KI einfach, eine Aktion zweimal zu wiederholen. Diese Methode ermöglichte eine anhaltende und schwer zu erkennende Kette von Anfragen. Spezielle Plugins waren für die Ausnutzung nicht nötig, was die Hürde für Angreifer senkte.
Microsofts Reaktion und wer betroffen war
Microsoft bestätigte die Schließung der Lücke im Rahmen der monatlichen „Patch Tuesday“-Updates. Nutzer mit aktuellen Systemen sind geschützt. Varonis hatte den Konzern bereits am 31. August 2025 informiert, sodass Zeit für eine Entwicklung des Fixes blieb.
Der Patch korrigiert, wie Copilot mit URL-Parametern umgeht, und verhindert die automatische Ausführung bösartiger Prompts. Wichtig für Unternehmen: Die Enterprise-Version Microsoft 365 Copilot war nicht betroffen. Sie verfügt über strengere Sicherheitskontrollen, erweiterte Überwachung und Richtlinien zur Verhinderung von Datenverlust (DLP).
Analyse: KI-Assistenten als neues Phishing-Ziel
Der Fall „Reprompt“ markiert eine neue Bedrohungsklasse. Je tiefer KI-Assistenten in persönliche und geschäftliche Daten eingebunden sind, desto wertvoller werden sie für Angreifer. Die Attacke zeigt, wie Komfort-Funktionen – wie das Starten eines KI-Chats per Link – ungeahnte Risiken bergen.
Die Gefahr ist real, weil Nutzer oft für das Herunterladen von Dateien sensibilisiert sind, aber einem Link zu einem vertrauenswürdigen Dienst wie Microsoft Copilot eher trauen. Dieser Exploit unterscheidet sich von vielen früheren KI-Schwachstellen: Er benötigte keine komplexe Prompt-Engineering durch den Nutzer und keine bösartigen Plugins. Die Einfachheit des Angriffsvektors – ein clever getarnter Link – macht ihn zu einem wirksamen Werkzeug für Phishing-Kampagnen.
Was Nutzer jetzt tun sollten
Die spezifische Lücke ist geschlossen, die Methode bleibt eine Warnung. Solange KI-Assistenten automatisch Eingaben aus nicht vertrauenswürdigen Quellen wie URL-Parametern verarbeiten, bleibt das Risiko ähnlicher Prompt-Injection-Angriffe bestehen.
Für Nutzer gelten die klassischen Regeln mehr denn je:
1. Software aktuell halten: Das Betriebssystem und alle Programme müssen stets die neuesten Sicherheitsupdates erhalten.
2. Links kritisch prüfen: Extreme Vorsicht ist bei unerwarteten Links geboten – auch wenn sie zu bekannten Diensten zu führen scheinen. Links, die bereits Prompts in KI-Assistenten vorausfüllen, sollten besonders skeptisch betrachtet werden.
Die Entwicklung der KI-Technologie schreitet voran. Mit ihr entwickeln sich auch die Bedrohungen weiter. Wachsamkeit der Nutzer und kontinuierliche Sicherheitsarbeit der Anbieter sind entscheidend.
PS: Diese neue Form des Phishings trifft nicht nur Konzerne – auch kleine Firmen und Privatanwender sind gefährdet. Das Anti‑Phishing‑Paket zeigt, welche psychologischen Tricks Angreifer nutzen, welche technischen Vorkehrungen sofort greifen und wie Sie Mitarbeitende wirksam schulen. Enthalten sind Vorlagen für Notfallpläne und konkrete Handlungsschritte, die Sie ohne großen Aufwand umsetzen können. Anti‑Phishing‑Paket jetzt gratis herunterladen
