Im Januar 2026 stellten Organisationen, die Microsoft 365 nutzen, fest, dass Copilot Chat E-Mails zusammenfasste, die als vertraulich gekennzeichnet waren — obwohl Data-Loss-Prevention-Richtlinien (DLP) genau das verhindern sollten. Der Fehler wurde am 21. Januar von Kunden gemeldet. Microsoft bestätigte ihn Anfang Februar in einer Mitteilung unter der Kennung CW1226324.

Was passiert ist

Microsoft 365 verwendet Vertraulichkeits-Labels (z. B. „Vertraulich", „Streng vertraulich") und DLP-Richtlinien über Microsoft Purview, um den Datenfluss innerhalb einer Organisation zu kontrollieren. Die Erwartung: Wenn eine E-Mail als vertraulich gekennzeichnet ist, sollten KI-Werkzeuge sie nicht verarbeiten.

Die Realität: Ein Code-Fehler veranlasste Copilot Chat, Elemente aus den Ordnern „Gesendete Elemente" und „Entwürfe" ungeachtet ihrer Vertraulichkeits-Labels abzurufen. Die KI fasste vertrauliche E-Mails auf Anfrage zusammen und lieferte den Inhalt über den „Arbeit"-Tab von Copilot Chat aus.

Microsofts eigene Dokumentation räumt bereits ein, dass Vertraulichkeits-Labels nicht konsistent über alle Copilot-Oberflächen hinweg gelten — ein Caveat, das viele Administratoren übersehen haben dürften.

Der Souveränitäts-Aspekt

Dieser Vorfall ist nicht nur ein einzelner Bug. Er illustriert ein strukturelles Problem: Organisationen, die kritische Kommunikation an eine Cloud-KI-Plattform auslagern, können nicht unabhängig überprüfen, worauf diese KI zugreift. DLP-Richtlinien sind ein vertragliches und technisches Versprechen — aber wenn die KI Closed Source ist, auf der Infrastruktur eines Dritten läuft und nach dem Ermessen des Anbieters aktualisiert wird, hat die Organisation keine Möglichkeit, die Einhaltung in Echtzeit zu auditieren.

Für europäische Organisationen, die bereits unter dem Jurisdiktionsrisiko des CLOUD Act operieren, kommt eine zweite Sorge hinzu: Nicht nur wer legal auf Ihre Daten zugreifen kann, sondern auch welche KI-Funktionen sie stillschweigend verarbeiten.

Microsoft hat inzwischen ein Konfigurations-Update ausgerollt. Aber der Vorfall lief wochenlang, bevor er bestätigt wurde — Wochen, in denen vertrauliche Inhalte ohne Autorisierung von einem KI-Modell verarbeitet wurden.

Was Organisationen tun können

  • Auditieren Sie das tatsächliche Verhalten von Copilot, nicht nur Ihre Richtlinien-Konfiguration. Beides stimmt nicht notwendigerweise überein.
  • Testen Sie DLP-Richtlinien gezielt gegen KI-Oberflächen — Vertraulichkeits-Labels, die in Outlook funktionieren, gelten möglicherweise nicht in Copilot Chat, Teams oder anderen verbundenen Diensten.
  • Prüfen Sie, ob KI-Funktionen für sensible Kommunikationskategorien überhaupt aktiviert sein sollten. Der Standard in Microsoft 365 ist Opt-in durch Deployment, nicht Opt-in durch den Nutzer.
  • Berücksichtigen Sie die Kontrollasymmetrie. In einem selbst gehosteten Open-Source-Stack kann ein solcher Bug durch Lesen des Quellcodes gefunden werden. In einer proprietären SaaS-Plattform erfährt man davon, wenn der Anbieter sich entscheidet, es mitzuteilen.

Was folgt

Dieser Vorfall ist eine Erinnerung: Wenn Sie Kommunikationsdaten an eine Closed-Source-KI übergeben, vertrauen Sie darauf, dass diese KI Ihre Richtlinien einhält — aber Sie können nicht überprüfen, ob sie es tut. Der Bug existierte wochenlang, bevor jemand ihn bemerkte. Vertrauliche Daten wurden ohne Autorisierung verarbeitet, und der einzige Grund, warum wir davon wissen, ist, weil Microsoft sich entschied, es offenzulegen.

Organisationen haben drei realistische Optionen:

Diese Woche (minimaler Aufwand):

  • Deaktivieren Sie Copilot für Nutzer, die mit sensiblen Daten arbeiten. Nicht alle Microsoft 365-Lizenzen beinhalten Copilot — auditieren Sie, wer Zugriff hat, und widerrufen Sie ihn für Rollen mit vertraulichen Informationen.
  • Aktivieren Sie Purview DLP für Copilot explizit. Verlassen Sie sich nicht auf die Standardkonfiguration. Testen Sie sie.
  • Gehen Sie davon aus, dass jede E-Mail, die von Copilot verarbeitet wird, von Microsoft abgerufen werden kann. Wenn das inakzeptabel ist, nutzen Sie Copilot nicht für sensible Kommunikation.

Diesen Monat (Infrastrukturprojekt):

  • Deployen Sie eine selbst gehostete Summarisation-KI. Eine lokale LLM auf interner Infrastruktur — mit Open-Weight-Modellen wie Mistral 7B oder LLaMA 3.1 8B — läuft auf Ihren Servern, unter Ihrer Kontrolle. Die KI verarbeitet Ihre Daten, nicht die von Microsoft. Tools wie vLLM und Ollama machen das Deployment auf einem einzelnen GPU-Server einfach.

Dieses Quartal (strategische Entscheidung):

  • Überdenken Sie das Microsoft-365-Bundle. Copilot wird als Teil von Microsoft 365 verkauft, aber der Sicherheits-Kompromiss ist explizit: Sie fügen eine KI-Schicht hinzu, die alles in Ihrem Tenant verarbeitet. Für Organisationen mit echten Daten-Souveränitätsanforderungen ist die Alternative nicht „keine KI" — es ist KI auf Ihrer Infrastruktur, mit Open-Weight-Modellen, unter Ihrer Jurisdiktion.

Der Copilot-Vorfall wird nächsten Monat vergessen sein. Die nächste KI-Überraschung wird es nicht sein. Die Organisationen, die jetzt vorbereiten, werden später keine Datenschutzverletzung erklären müssen.

Quellen