Ihr KI-Assistent kann zu einem Ihrer größten Datenrisiken werden.
Das ist die Erkenntnis von Varonis Threat Labs, dessen Cybersicherheitsforscher kürzlich „SearchLeak” aufgedeckt haben - eine Sicherheitslücke in Microsoft 365 Copilot Enterprise Search. Die Forscher zeigten, wie Copilot dazu gebracht werden konnte, sensible Unternehmensdaten offenzulegen, darunter E-Mails, 2FA-Codes, Besprechungsnotizen, SharePoint-Dokumente und OneDrive-Dateien.
Microsoft hat das Problem behoben. Der Fall verdeutlicht jedoch ein größeres Problem für Unternehmen: Sobald KI interne Systeme durchsuchen kann, wird sie Teil der Sicherheitsarchitektur.
So funktionierte SearchLeak
Der Angriff begann mit einem scheinbar normalen Microsoft 365-Suchlink. Der Link verwies auf eine vertrauenswürdige Microsoft-Domäne, sodass er nicht als offensichtlicher Phishing-Versuch erschien. Im Suchteil der URL waren jedoch Anweisungen für Copilot versteckt.
Wenn ein Nutzer auf den Link klickte, interpretierte Copilot diese versteckten Anweisungen. Die Anweisungen wiesen Copilot an, die internen Unternehmensdaten des Nutzers zu durchsuchen und die Ergebnisse in einer Bild-URL zu platzieren.
Eine zweite Sicherheitslücke ermöglichte es, diese Bildanfrage auszulösen, bevor die Sicherheitsvorkehrungen von Microsoft die Ausgabe vollständig absichern konnten. Bing wurde dann als Proxy genutzt, um die offengelegten Informationen an einen vom Angreifer kontrollierten Server zu senden.
Im Klartext: Copilot wurde dazu verleitet, sensible Unternehmensdaten zu durchsuchen und diese außerhalb der Organisation zu versenden.
Die eigentliche Lehre
Für „SearchLeak” war kein Einbruch in eine Datenbank erforderlich. Es waren weder ein bösartiges Plugin noch besondere Zugriffsrechte nötig. Der Nutzer musste lediglich auf einen Microsoft-365-Link klicken, der seriös aussah.
Deshalb ist dies von Bedeutung. KI-Assistenten, die mit Unternehmenssystemen verbunden sind, beantworten nicht nur Fragen. Sie können mithilfe der Berechtigungen des Nutzers E-Mails, Dateien, Kalender, Dokumente und andere interne Quellen durchsuchen.
Wenn diese Systeme nicht ordnungsgemäß eingeschränkt, protokolliert und kontrolliert werden, wird KI zu einem neuen Weg, auf dem sensible Informationen innerhalb des Unternehmens zirkulieren und möglicherweise auch nach außen gelangen können.
Was Unternehmen daraus lernen sollten
Microsoft hat diese spezifische Sicherheitslücke behoben. Die allgemeine Lehre bleibt jedoch bestehen: Unternehmen benötigen klare Datengrenzen, bevor KI an sensible Systeme angebunden wird.
Das bedeutet strenge Berechtigungen, Protokollierung, Beschränkungen hinsichtlich dessen, was KI abrufen oder offenlegen darf, sowie klare Regeln dafür, was einer menschlichen Genehmigung bedarf. KI sollte nur auf die Daten zugreifen, die sie für eine bestimmte Aufgabe benötigt, und Unternehmen sollten nachvollziehen können, wonach sie gesucht hat, was sie erzeugt hat und was danach geschehen ist.
KI kann die Arbeit beschleunigen. Sobald sie jedoch unternehmensweite Systeme durchsuchen kann, schafft sie auch eine neue Angriffsfläche.
Diese Angriffsfläche muss von Anfang an kontrolliert werden.