Es ist die Art von Schwachstelle, die vor wenigen Jahren noch undenkbar gewesen wäre: Nicht ein ungepatchter Server, nicht ein verwundbares VPN-Gateway, nicht eine vergessene Firewall – sondern der hilfsbereite KI-Assistent, der seit Monaten unauffällig in Word, Excel, Teams und Outlook mitarbeitet, wird zum Ausgangspunkt für vollständige Codeausführung. Am 4. Juni 2026 hat Microsoft mit CVE-2026-45497 eine als kritisch eingestufte Remote-Code-Execution-Schwachstelle in Microsoft 365 Copilot offengelegt. Der CVSS-Score liegt bei 9.8 von 10 – höher geht es praktisch nicht.

Für den deutschen Mittelstand ist das weit mehr als eine weitere Zeile im Patch-Day-Protokoll. Es ist ein Lehrstück darüber, wie sich die Angriffsfläche verschiebt, sobald Künstliche Intelligenz nicht mehr nur Textvorschläge unterbreitet, sondern als Orchestrator agiert – mit Zugriff auf Postfächer, Dokumente, Kalender und ganze Geschäftsprozesse.

Was genau passiert ist

Microsoft kategorisiert CVE-2026-45497 als „Improper Neutralization of Special Elements used in a Command". Im Klartext: eine klassische Command Injection. Vom Benutzer beeinflussbare Zeichenketten wurden an einen Shell-Interpreter weitergereicht, ohne zuvor ausreichend gefiltert oder maskiert zu werden. Ein Angreifer mit entsprechender Autorisierung konnte auf diesem Weg über das Netzwerk beliebigen Code zur Ausführung bringen.

Das Tückische daran: Es handelt sich nicht um einen exotischen Spezialfall. Command Injection steht seit Jahrzehnten in jedem Lehrbuch der sicheren Softwareentwicklung. Dass dieser Fehlertyp ausgerechnet im Maschinenraum eines der meistgenutzten KI-Produkte der Welt auftaucht, zeigt, wie sehr die rasante Einführung generativer KI dem etablierten Sicherheitshandwerk davongeeilt ist.

Die technischen Eckdaten im Überblick

Die wichtigsten Fakten zur Schwachstelle lassen sich knapp zusammenfassen:

  • Kennung: CVE-2026-45497
  • Betroffenes Produkt: Microsoft 365 Copilot (Cloud-Dienst)
  • Schwachstellenklasse: Command Injection mit der Folge Remote Code Execution (RCE)
  • CVSS-Score: 9.8 (kritisch)
  • Voraussetzung: ein autorisierter Angreifer, Ausführung über das Netzwerk
  • Veröffentlichung: 4. Juni 2026 über den Microsoft Security Update Guide
  • Status: serverseitig in der Microsoft-Cloud behoben, kein Kundenpatch erforderlich

Vereinfacht und rein konzeptionell ähnelt das zugrundeliegende Anti-Muster diesem Schema – es handelt sich ausdrücklich um keinen funktionsfähigen Exploit, sondern um eine Veranschaulichung des Fehlertyps:

# Konzeptionelles Anti-Muster (KEIN lauffähiger Exploit)
eingabe = inhalt_aus_dokument_oder_mail()      # vom Angreifer beeinflussbar
os.system(f"render_tool {eingabe}")            # ungefilterte Übergabe an die Shell

Wird eingabe nicht streng validiert, kann eine eingebettete Steueranweisung die Grenze zwischen Daten und Befehl überschreiten. Genau diese Grenze verschwimmt bei KI-Assistenten besonders leicht, weil ihr gesamter Daseinszweck darin besteht, natürlichsprachliche Anweisungen aus beliebigen Quellen – E-Mails, Dokumenten, Chat-Nachrichten – entgegenzunehmen und in Aktionen zu übersetzen.

Warum „kein Patch nötig" nicht „kein Problem" bedeutet

Die gute Nachricht zuerst: Da Microsoft 365 Copilot ein zentral betriebener Cloud-Dienst ist, wurde die Lücke serverseitig geschlossen. Es gibt keine Datei, die Sie verteilen, und keinen Registry-Schlüssel, den Sie setzen müssen. Für die meisten Schlagzeilen war damit die Sache erledigt.

Die unbequeme Wahrheit lautet jedoch: Ein serverseitiger Fix beendet die akute Gefahr, sagt aber nichts darüber aus, was in dem Zeitfenster davor geschehen ist. Bei einer Schwachstelle mit CVSS 9.8, die Codeausführung erlaubt, gehört es zur Sorgfaltspflicht, die folgenden Fragen aktiv zu beantworten, statt sie auf sich beruhen zu lassen:

  • Wurden eigene Copilot-Erweiterungen, Plug-ins, Konnektoren oder Agenten eingesetzt, die mit der verwundbaren Komponente interagiert haben könnten?
  • Liegen in den Audit- und Anmelde-Protokollen Auffälligkeiten im relevanten Zeitraum vor?
  • Welche Zugangsdaten, Tokens und API-Schlüssel hat Copilot bzw. haben angebundene Integrationen vorgehalten – und gehören diese vorsorglich rotiert?

Diese Haltung ist kein übertriebener Alarmismus, sondern gelebte Informationssicherheit: Bei kritischen Lücken in zentralen Diensten ist die Annahme einer möglichen Kompromittierung im Vorfeld die professionellere Ausgangsbasis als blindes Vertrauen.

Copilot im Visier – nicht zum ersten Mal

CVE-2026-45497 reiht sich in eine Serie ein, die Sicherheitsforscher seit gut einem Jahr dokumentieren. Der bekannteste Vorfall trägt den Namen EchoLeak (CVE-2025-32711, CVSS 9.3): ein Zero-Click-Angriff, bei dem eine einzige präparierte E-Mail genügte, um Microsoft 365 Copilot zur stillen Ausleitung interner Daten zu bewegen – ganz ohne Klick des Opfers. Der Exploit umging gleich mehrere Schutzmechanismen, darunter Microsofts XPIA-Klassifikator gegen Cross-Prompt-Injection, und nutzte automatisch nachgeladene Bilder sowie eine Teams-Proxy-Funktion zur Datenexfiltration.

Hinzu kommt CVE-2025-53773, bei der eine versteckte Prompt-Injection in Pull-Request-Beschreibungen zu Remote Code Execution über GitHub Copilot führte (CVSS 9.6). Das Muster ist immer dasselbe: Der Angriff zielt nicht auf den Menschen, sondern auf den KI-Assistenten, der dem Menschen zuarbeitet. Prompt Injection gilt nicht ohne Grund als die Nummer eins der OWASP-Risikoliste für LLM-Anwendungen im Jahr 2026.

Der eigentliche Befund: Die Sprengkraft wächst mit den Rechten

Millionen von Wissensarbeiterinnen und Wissensarbeitern interagieren täglich mit Copilot – in Word, Excel, Teams und PowerPoint. Genau hier liegt der Kern des Problems: Sobald ein KI-Agent E-Mails lesen, Dateien durchsuchen, Termine planen und Workflows anstoßen kann, wächst der Schadensradius einer Codeausführungs-Lücke nicht linear, sondern exponentiell. Was früher ein kompromittiertes Postfach war, ist heute potenziell ein Assistent mit Überblick über das halbe Unternehmen.

Für mittelständische Unternehmen, die Copilot oder vergleichbare Assistenten gerade erst ausrollen, ist das die zentrale Lehre aus CVE-2026-45497: Ein KI-Assistent ist kein harmloses Komfort-Feature, sondern ein privilegiertes System mit weitreichendem Datenzugriff – und muss entsprechend in Risikomanagement, Berechtigungskonzept und Notfallplanung aufgenommen werden.

Was Sie jetzt konkret tun sollten

Auch wenn kein klassischer Patch ansteht, ergibt sich eine klare Handlungsliste:

  • Eigene Erweiterungen prüfen: Inventarisieren Sie alle selbst entwickelten Copilot-Plug-ins, Konnektoren, Graph-Connectoren und Agenten. Übergeben sie irgendwo Benutzereingaben an nachgelagerte Systeme oder Interpreter?
  • Zugangsdaten rotieren: Erneuern Sie vorsorglich Secrets, Tokens und API-Schlüssel, die von Copilot-Integrationen genutzt werden. Der Aufwand ist gering, der Sicherheitsgewinn erheblich.
  • Protokolle auswerten: Sichten Sie Audit-Logs, Anmeldeprotokolle und ungewöhnliche Datenabflüsse im Zeitraum vor dem Fix. Auffälligkeiten gehören dokumentiert.
  • Least Privilege durchsetzen: Begrenzen Sie, auf welche Daten Copilot überhaupt zugreifen darf. Sensitivitätskennzeichnungen, saubere Berechtigungen und Data-Loss-Prevention sind hier die wirksamsten Hebel.
  • KI-Governance etablieren: Legen Sie verbindlich fest, welche KI-Assistenten mit welchen Rechten im Unternehmen erlaubt sind – und wer Erweiterungen freigeben darf.
  • In NIS2-Kontext einordnen: Behandeln Sie KI-Assistenten als das, was sie sind: kritische Systeme, die in Ihre Risikoanalyse nach NIS2 und in Ihre Compliance-Prozesse gehören.

Fazit: Der Assistent gehört auf die Bedrohungslandkarte

CVE-2026-45497 ist serverseitig behoben – und trotzdem eine Mahnung. Sie zeigt, dass die Werkzeuge, die unsere Produktivität gerade neu definieren, denselben Sicherheitsregeln unterliegen wie jedes andere kritische System. Wer KI ernsthaft und produktiv einsetzen will, muss sie von Anfang an mitdenken: technisch, organisatorisch und regulatorisch.

Bei pleXtec verbinden wir genau diese beiden Welten – produktive KI-Einführung und belastbare Sicherheit. Wenn Sie wissen möchten, wie Ihr Unternehmen Copilot, Agenten und eigene KI-Workflows sicher betreibt, unterstützen wir Sie von der KI-Strategie über die technische Absicherung bis zur Governance. Einen Überblick über unsere Leistungen finden Sie unter Leistungen – oder sprechen Sie uns direkt über das Kontaktformular an.