Kritische Exchange- und Outlook-Schwachstellen bedrohen Unternehmen weltweit – während OpenAI neue KI-Funktionen in PowerPoint und Microsoft 365 bringt.
Der Mai 2026 erweist sich als Zwickmühle für Microsoft: Einerseits zwingen mehrere schwerwiegende Sicherheitslücken im Exchange- und Outlook-Ökosystem zu Notfall-Updates, andererseits treibt der Konzern die Integration von Künstlicher Intelligenz in seine Produktivitätsanwendungen massiv voran. Die Sicherheitsbehörden warnen vor aktiven Cyber-Spionagekampagnen, während OpenAI neue ChatGPT-Funktionen direkt in PowerPoint und andere Tools einbaut.
Da Outlook-Fehler und Sicherheitslücken im Arbeitsalltag nicht nur Risiken bergen, sondern auch viel Zeit kosten, ist eine korrekte Konfiguration entscheidend. Diese kostenlose Anleitung zeigt, wie Sie häufige Einrichtungsfehler vermeiden und Ihr System für alle Versionen von 2003 bis 365 optimieren. 7 Zeitspar-Tricks für Outlook jetzt kostenlos entdecken
Notfall-Patches für kritische Exchange-Lücke
Bereits Mitte Mai veröffentlichte Microsoft einen dringenden Sicherheitspatch für eine kritische Schwachstelle in Exchange Server. Die als CVE-2026-23272 registrierte Lücke erreicht mit 9,8 von 10 möglichen Punkten einen nahezu maximalen CVSS-Schweregrad. Sie betrifft Exchange Server 2016, 2019 und Exchange Online.
Der Fehler liegt in der Unified Messaging Transport Pipeline und kann durch manipulierte SOAP-Anfragen ausgenutzt werden. Gelingt der Angriff, können Kriminelle beliebigen Code mit SYSTEM-Rechten ausführen. Während Exchange Online-Umgebungen automatisch aktualisiert wurden, müssen Administratoren lokaler Installationen die Patches KB5029385 oder KB5029386 umgehend einspielen.
Bereits im April 2025 hatte Microsoft eine weitere kritische Lücke geschlossen: CVE-2025-38096 ermöglichte Angreifern die Code-Ausführung allein durch die Vorschau einer E-Mail im Outlook-Preview-Bereich – ohne dass der Nutzer überhaupt klicken musste. Sicherheitsexperten betonen, dass viele Unternehmen diesen Patch noch immer nicht installiert haben.
Aktive Angriffe auf Outlook Web Access
Besonders brisant: Eine aktuelle Cross-Site-Scripting-Lücke in Exchange Servers Outlook Web Access (OWA) wird bereits aktiv ausgenutzt. Die als CVE-2026-42897 registrierte Schwachstelle erlaubt Angreifern, über manipulierte E-Mails JavaScript im Browser des Opfers auszuführen. Damit lassen sich Sitzungstoken stehlen oder E-Mail-Inhalte manipulieren.
Ein endgültiger Patch steht noch aus. Die US-Sicherheitsbehörde CISA empfiehlt Unternehmen, die Exchange Emergency Mitigation (EEM) Protokolle zu aktivieren und den Zugriff auf OWA-Schnittstellen einzuschränken.
Router-Hijacking-Netzwerk zerschlagen
Das FBI, das Justizministerium und die NSA haben gemeinsam die internationale Operation „Masquerade“ erfolgreich abgeschlossen. Ziel war ein Netzwerk der staatlich gesteuerten Gruppe APT28 (auch bekannt als GRU). Seit August 2025 hatte die Gruppe rund 18.000 Router weltweit gekapert – darunter 5.000 Geräte in 23 US-Bundesstaaten.
Die Angreifer konzentrierten sich auf TP-Link- und MikroTik-Hardware, um DNS-Hijacking zu betreiben und Outlook-Zugangsdaten zu stehlen. Die gekaperten Router leiteten Nutzer auf gefälschte Login-Seiten um. Als Reaktion auf die anhaltende Bedrohung durch unsichere Hardware hatte die US-Kommunikationsbehörde FCC bereits am 23. März 2026 ein Importverbot für Router bestimmter ausländischer Hersteller verhängt.
Outlook-Probleme und Workarounds
Nicht nur Sicherheitslücken, auch funktionale Probleme plagen Microsofts „Classic“ Outlook-Client. Nutzer der Version 2604 (Build 19929.20164) berichten, dass Bilder und Signaturen nicht mehr angezeigt werden – stattdessen erscheint ein rotes „X“. Microsoft bestätigte den Fehler und führt ihn auf ein Sicherheitsupdate zurück. Ein permanenter Fix wird für das späte Frühjahr erwartet, als Übergangslösung empfiehlt der Konzern die Aktivierung der WebView2-Darstellung über die Windows-Registry.
Zusätzlich kämpfen einige Nutzer seit Mai mit Anmeldeproblemen: Wiederholte Passwortaufforderungen und fehlgeschlagene Verifizierungscodes blockieren den Zugang. Experten raten betroffenen Anwendern, 24 Stunden mit weiteren Anmeldeversuchen zu warten, um dauerhafte Kontosperrungen zu vermeiden.
OpenAI integriert ChatGPT in PowerPoint
Trotz der Sicherheitsherausforderungen treibt Microsoft die KI-Integration unvermindert voran. Am 22. und 23. Mai 2026 gab OpenAI die direkte Einbindung von ChatGPT in Microsoft PowerPoint bekannt. Die Beta-Funktion erlaubt es, komplette Präsentationen aus einfachen Textbefehlen, Notizen oder Tabellen zu generieren. Das Tool kann zudem bestehende Folien umstrukturieren und auf inhaltliche Schwächen analysieren.
Die Integration erstreckt sich auch auf Gmail, Outlook und SharePoint. Damit positioniert sich OpenAI als direkter Konkurrent zu etablierten KI-Assistenten wie Google Gemini und Anthropics Claude.
Copilot-Button wird verschiebbar
Auf Nutzerfeedback reagiert Microsoft mit einer Anpassung des Copilot-Buttons in Microsoft 365. Bisher als schwebendes Symbol platziert, das viele Anwender als störend empfanden, kann der Button künftig per Rechtsklick in das Ribbon-Menü verschoben werden. Der breite Rollout beginnt in der kommenden Woche.
Branchenausblick: Sicherheit und KI unter einem Dach
Die aktuellen Entwicklungen zeigen die wachsende Komplexität, veraltete Unternehmenssoftware zu warten und gleichzeitig hochmoderne Funktionen zu integrieren. Die aktive Ausnutzung der OWA-Lücke (CVE-2026-42897) unterstreicht die Verwundbarkeit lokaler Infrastruktur, die bei kritischen Updates oft hinter Cloud-basierten Lösungen wie Exchange Online hinterherhinkt.
Sicherheitsanalysten beobachten einen erneuten Fokus von Angreifern auf Kommunikations-Hubs – ein erfolgreicher Einbruch dort gewährt Zugriff auf den gesamten Datenstrom eines Unternehmens.
Parallel dazu beschleunigt sich der Wettbewerb um KI-Produktivitätstools. Am 22. Mai 2026 veröffentlichte ONLYOFFICE Docs 9.4 und entfernte Verbindungslimits für seine Community-Edition. Firefox 151 (erschienen am 23. Mai 2026) führte ein lokales PDF-Zusammenführungswerkzeug ein, um Nutzer davon abzuhalten, sensible Dokumente auf unsichere Online-Konverter hochzuladen.
Während Microsoft die KI-Funktionen von OpenAI immer tiefer in Anwendungen wie PowerPoint integriert, stellt sich für viele Nutzer die Frage nach der praktischen Anwendung im Alltag. Ein kostenloser PDF-Report liefert Ihnen fertige Anleitungen und Beispiel-Prompts, um ChatGPT effektiv für Aufgaben wie Reiseplanung oder Organisation zu nutzen. ChatGPT als Alltagshelfer: Gratis-Report jetzt herunterladen
Ausblick: Stabilität und IPO-Druck
Für den Rest des Jahres 2026 steht die Stabilisierung des Microsoft-365-Ökosystems im Fokus. Unternehmen werden den Umstieg von veralteten Protokollen beschleunigen müssen, die XSS- und RCE-Angriffe erst ermöglichen. Die anhaltende Bedrohung durch staatlich gesteuerte Gruppen wie APT28 wird dafür sorgen, dass Hardwaresicherheit – insbesondere bei Routern – für IT-Abteilungen und Regulierungsbehörden oberste Priorität behält.
Aus wirtschaftlicher Perspektive blickt die Branche gespannt auf OpenAI: Das Unternehmen bereitet sich auf seinen Börsengang im September 2026 vor und meldete für das erste Quartal einen Umsatz von rund sechs Milliarden Euro. Trotz dieses starken Wachstums prognostiziert OpenAI einen Jahresverlust von 14 Milliarden Euro – vor allem aufgrund der immensen Kosten für Training und Infrastruktur der KI-Modelle, die nun in PowerPoint, Outlook und anderen Tools stecken. Ob sich diese Investitionen auszahlen und welche neuen Sicherheitsrisiken die KI-Integration mit sich bringt, wird von Investoren und Cybersicherheitsexperten gleichermaßen genau beobachtet.
