88 % der Organisationen berichten von Sicherheitsvorfällen mit KI-Agenten. Vielen IT-Teams fehlt die notwendige Sichtbarkeit, wenn so etwas passiert.
Mai 2026 | 8 Min. Lesezeit
Auf einen Blick
1. Agenten arbeiten auf Vertrauensbasis — und Angreifer nutzen genau das aus
Mit der allgemeinen Verfügbarkeit von Microsoft Copilot Studio können Organisationen autonome KI-Systeme aufbauen, die Dokumente lesen, Daten abfragen, E-Mails versenden und Workflows auslösen. Diese Agenten reagieren nicht nur auf Eingaben. Sie führen auf ihrer Grundlage auch Aktionen aus.
Das ist ein grundlegender Wandel. Ein Chatbot, der eine falsche Antwort gibt, ist unangenehm. Ein Agent, der einer manipulierten Anweisung folgt, kann jedoch Daten exfiltrieren, unberechtigte Aktionen ausführen oder künftige Empfehlungen unbemerkt verfälschen.
Bereits im Februar 2026 setzten 80 % der Fortune-500-Unternehmen aktive KI-Agenten ein (Microsoft Security Blog). Vielen dieser Organisationen fehlt jedoch ein belastbares Framework dafür, auf welche Daten Agenten zugreifen dürfen, wer ihnen Anweisungen geben kann und wie mit böswilligen Eingaben umzugehen ist. Genau diese Lücke wird derzeit ausgenutzt. Ein solides Microsoft 365 Governance-Framework ist die Grundlage, um dieser Herausforderung zu begegnen.
2. Prompt Injection: ein Angriff, den Microsoft bereits mehrfach schließen musste
Von einem Prompt-Injection-Angriff spricht man, wenn eine böswillige Anweisung in Inhalte eingebettet wird, die ein KI-Agent verarbeitet, etwa in ein Dokument, eine E-Mail, eine Webseite oder ein Datenfeld, und der Agent diese Anweisung als legitim einstuft. Der Agent erkennt die Manipulation nicht, sondern führt die erhaltene Anweisung schlicht aus.
Im Jahr 2026 stieg die Zahl der Prompt-Injection-Angriffe um 340 % (Practical DevSecOps). Das ist kein theoretisches Risiko. Microsoft ordnete Copilot Studio die Sicherheitslücke CVE-2026-21520 zu, eine indirekte Prompt Injection mit einem CVSS-Wert von 7,5, die im Januar 2026 geschlossen wurde. Kurz darauf wurden zwei weitere kritische CVEs identifiziert, CVE-2026-25592 und CVE-2026-26030, die Remote-Code-Ausführung durch Injection-Angriffe auf Agenten ermöglichten.
SICHERHEITSRISIKO: Prompt Injection ermöglicht Datenexfiltration bei bis zu 40 % der erfolgreichen KI-bezogenen Angriffe. Agenten mit Zugriff auf Exchange, SharePoint und Teams können angewiesen werden, vertrauliche Inhalte an externe Empfänger weiterzuleiten, lautlos und innerhalb eines normalen Ausführungspfads.
Ein erfolgreicher indirekter Prompt-Injection-Angriff, auch Cross-Prompt-Injection-Angriff (XPIA) genannt, kann einen Agenten dazu bringen, interne Daten an externe Empfänger zu senden, Datensätze zu verändern oder Berechtigungen auszuweiten — und zwar innerhalb des regulären Ausführungspfads. Copilot Studio verfügt über integrierte Erkennungsmechanismen für benutzerseitige Prompt-Angriffe (UPIA) und domänenübergreifende Prompt-Injections (XPIA); Microsoft hat über die Defender-Integration zudem einen Schutz mit nahezu Echtzeitwirkung hinzugefügt. Diese Kontrollen sind hilfreich, beseitigen das Risiko aber nicht, vor allem nicht bei benutzerdefinierten Agenten mit weitreichendem Datenzugriff. Die aktuellen Sicherheitskontrollen finden Sie in der Copilot-Sicherheitsdokumentation von Microsoft.
3. Memory Poisoning: Wenn der Angriff die Konversation überdauert
Die meisten Prompt-Injection-Angriffe beschränken sich auf die aktuelle Konversation. Der Agent wird manipuliert, führt die Anweisung aus, und die Sitzung endet. Memory Poisoning ist anders. Es bleibt bestehen.
Im Februar 2026 veröffentlichte Microsoft Erkenntnisse, die 31 Unternehmen identifizierten, deren KI-Speicher über gefälschte „Zusammenfassen mit KI”-Schnittstellenschaltflächen manipuliert worden war. Die Angreifer nutzten diese Einstiegspunkte, um persistente Anweisungen in den Agentenspeicher einzuschleusen, wodurch alle künftigen Interaktionen verfälscht wurden, ohne dass Sicherheitswarnungen ausgelöst wurden.
„Memory Poisoning überlebt sitzungsübergreifend und beeinflusst die künftigen Empfehlungen des Assistenten stillschweigend, ohne dass der Nutzer davon etwas bemerkt.” (Microsoft Security Blog, Februar 2026)
Für Organisationen, die Agenten mit persistentem Speicher betreiben, ist dies ein Governance-Problem mit langer Nachwirkung. Ein Agent, dessen Speicher manipuliert wurde, kann über Wochen oder Monate hinweg subtil fehlerhafte Empfehlungen geben. Es gibt standardmäßig keine Prüfpfade und keine Warnmeldungen. Die Verfälschung ist unsichtbar, solange keine aktive Überwachung stattfindet. Dies ist unmittelbar mit dem Problem der Governance-Sichtbarkeit verknüpft: Wer nicht sieht, was seine Agenten tun, kann auch nicht erkennen, wenn sie kompromittiert wurden.
4. Das „Double-Agent”-Risiko: Wenn Ihre KI gegen Sie arbeitet
Das im März veröffentlichte OWASP Top 10 für agentische Anwendungen 2026 identifiziert zehn kritische Risikokategorien für autonome KI-Systeme. Mehrere davon betreffen direkt die Risiken, denen IT-Teams beim Einsatz von Microsoft 365 Copilot Studio-Agenten heute ausgesetzt sind. Das bedeutendste ist das Agent Goal Hijacking: Ein Agent, der durch Injection oder Memory Manipulation dazu gebracht wurde, Ziele zu verfolgen, die von den Absichten des Nutzers oder der Organisation abweichen.
Ein entführter Agent arbeitet autonom und hat keinen menschlichen Kontrolleur, der böswillige Anweisungen abfangen könnte. In einer Microsoft 365-Umgebung kann dieser Agent Zugriff auf Exchange, SharePoint, Teams und Entra ID haben — genau das, was ihn nützlich, und genau das, was ihn gefährlich macht, wenn er kompromittiert wird.
Das OWASP-Framework deckt Agent Goal Hijacking, Missbrauch von Tools, Identitäts- und Berechtigungsmissbrauch, Memory Poisoning, unsichere Kommunikation zwischen Agenten sowie Kaskadenausfälle ab. Nichts davon ist theoretisch. Der eigene Sicherheitsblog von Microsoft hat die reale Ausnutzung dieser Angriffsvektoren im Jahr 2026 dokumentiert. Die Arbeit zur Copilot-Bereitschaft, also Datenklassifizierung, Zugangshygiene und Lizenz-Governance, bereitet einen Tenant gleichzeitig darauf vor, den Schaden eines kompromittierten Agenten zu begrenzen.
5. Was das OWASP-Framework Organisationen empfiehlt
Das OWASP Top 10 für agentische Anwendungen 2026 ist kein theoretisches Framework. Es ist eine von Fachleuten geprüfte, global validierte Liste von Risiken, mit denen Organisationen bereits konfrontiert sind. Microsoft hat Leitlinien veröffentlicht, die die Copilot Studio-Kontrollen dem OWASP-Framework zuordnen. Diese Leitlinien zu lesen setzt jedoch voraus, dass man zunächst versteht, was man exponiert.
Die praktischen Schritte, die OWASP und Microsoft Organisationen empfehlen, die Agenten in Microsoft 365-Umgebungen betreiben:
- Alle aktiven Agenten inventarisieren: wissen, was existiert, wer es erstellt hat und auf welche Daten es zugreifen kann
- Jede Agenteninstanz mit Least-Privilege-Berechtigungen versehen: Agenten sollen nur auf die Daten zugreifen, die für ihre definierte Aufgabe erforderlich sind
- Microsoft Defender for Cloud Apps-Überwachung für Copilot Studio-Agenten-Aktivitäten aktivieren
- Eine Agenten-Lifecycle-Richtlinie definieren, die Erstellung, regelmäßige Überprüfung und Außerbetriebnahme umfasst
- Agentenspeicher regelmäßig auditieren, insbesondere für Agenten, die sensible Daten verarbeiten
- Prompt Injection als Angriffsfläche behandeln, die der SQL-Injection gleichwertig ist: explizit testen
Die Sicherheitsrisiken von Microsoft Copilot sind real und dokumentiert. Die Frage ist nicht, ob Ihre Organisation exponiert ist. Es ist die Frage, ob Sie die Sichtbarkeit haben, das Ausmaß dieser Exposition zu kennen. Ein Microsoft 365 Governance-Framework mit Agenten-Inventar und Berechtigungshygiene ist der Ausgangspunkt. Die Microsoft Purview Audit-Lösungsübersicht enthält die verfügbaren Protokollierungskontrollen.
6. Die Governance-Parallele, die IT-Teams bereits kennen
Das Sicherheitsproblem mit Agenten ist nicht neu. Es ist eine Neuformulierung von Problemen, die IT-Teams im Bereich Lizenzen und Identitäten seit Jahren verwalten, mit höherer Geschwindigkeit und weniger nativen Kontrollen.
Ungenutzte Lizenzen häufen sich an. Ungenutzte Agenten werden es auch. Veraltete Anmeldedaten überdauern die Mitarbeiter, für die sie erstellt wurden. Überprivilegierte Agenten-Identitäten ebenso. Zugriffsrechte, die für ein Projekt gewährt und nie entfernt wurden, haben in SharePoint Sicherheitsrisiken geschaffen. Dasselbe Muster wiederholt sich bei Agentendeployments. Agenten erben dieselben Governance-Defizite. Sie führen sie nur schneller aus, und in größerem Maßstab.
Organisationen, die bereits Governance-Disziplinen rund um Lizenzmanagement, Speicherhygiene und Identity Lifecycle aufgebaut haben, sind besser positioniert, diese Disziplinen auf ihre Agenten-Infrastruktur auszuweiten. Die Kontrollen sind dieselben. Die Einsätze sind höher.
Bereit, dies in Ihrem Tenant zu sehen? Starten Sie eine kostenlose Analyse Ihrer M365-Umgebung mit TeamsFox, ohne Vertrag, ohne Kontoänderungen. Sie erhalten innerhalb von 30 Minuten einen Überblick über Ihre Exposition.
Fazit
Prompt Injection ist dokumentiert. Memory Poisoning ist dokumentiert. Das Double-Agent-Risiko ist dokumentiert. Das OWASP-Framework existiert. Microsoft hat innerhalb von weniger als sechs Monaten drei CVEs für seine eigene Copilot Studio-Plattform veröffentlicht. Dies ist keine Spekulation über künftige Bedrohungen. Es ist eine Beschreibung des aktuellen Zustands.
Die Organisationen, die am besten für das Management von Agenten-Sicherheitsrisiken aufgestellt sind, haben bereits die Governance-Grundlagen geschaffen: Agenten-Inventar, Least-Privilege-Zugang, Lifecycle-Management und Verhaltensüberwachung. Die Microsoft 365 Governance-Disziplinen, die vor Lizenzverschwendung und Datenspreizung schützen, sind dieselben, die vor kompromittierten Agenten schützen. Sie skalieren.
Über TeamsFox
TeamsFox GmbH ist eine Microsoft 365 Management-Plattform mit Sitz in Düsseldorf, Deutschland. TeamsFox hilft IT-Teams dabei, die Kontrolle über ihre Microsoft 365-Umgebung zu behalten: Lizenzen verwalten, Speicher optimieren, Governance durchsetzen und Tenants für die Copilot-Bereitstellung vorbereiten. Kunden erzielen im Durchschnitt eine Reduzierung der Lizenzkosten um 30 % und der Speicherausgaben um 40 % innerhalb des ersten Jahres.