Lokalaise
Zurück zum Blog
KI-Sicherheit7 Min. Lesezeit

Wenn der KI-Assistent zum Datenleck wird: was EchoLeak und SearchLeak lehren

Ein Klick auf einen echten microsoft.com-Link – und Postfach, MFA-Codes und Dateien sind beim Angreifer. SearchLeak (Juni 2026) und EchoLeak (2025) zeigen ein Muster. Wir erklären die Lethal Trifecta, warum diese Lecks funktionieren und was eine lokale, berechtigungsbewusste KI an der Angriffsfläche ändert – und was nicht.

Marius Gill

Marius Gill

CTO @ Lokalaise

Teilen

7 Min. Lesezeit

Stellen Sie sich vor, ein Mitarbeiter klickt auf einen Link, der zweifelsfrei zu microsoft.com führt. Kein Download, keine Warnung, kein zweiter Klick. Sekunden später liegen E-Mail-Inhalte, MFA-Codes und vertrauliche SharePoint-Dateien beim Angreifer. Genau das beschreibt SearchLeak – eine am 15. Juni 2026 von Varonis offengelegte Schwachstelle in Microsoft 365 Copilot (Varonis Threat Labs).

Und es ist kein Einzelfall. Ein Jahr zuvor zeigte EchoLeak, dass schon eine einzige E-Mail – ganz ohne Klick – genügt, um denselben Assistenten zum Datenabfluss zu bewegen. Dazwischen liegen weitere Fälle bei Salesforce und Grafana. Das Muster ist wichtiger als jeder einzelne Patch. Schauen wir genau hin – nüchtern und ohne Sicherheits-Heilsversprechen.

Die Lethal Trifecta: drei Bedingungen, die jeden Angriff erst möglich machen

Der Entwickler Simon Willison brachte das Problem am 16. Juni 2025 auf eine Formel, die „Lethal Trifecta": Ein KI-Agent wird gefährlich, wenn drei Dinge zusammentreffen – Zugriff auf private Daten, Aussetzung gegenüber nicht vertrauenswürdigen Inhalten und die Möglichkeit, nach außen zu kommunizieren (Quelle). Erst die Kombination ist tödlich: Ein Angreifer schleust über einen der vielen Kanäle eine versteckte Anweisung ein (nicht vertrauenswürdiger Inhalt), das Modell hat Zugriff auf Ihr Postfach und Ihre Dateien (private Daten) und kann das Erbeutete über einen Netzwerkaufruf hinausschicken (externe Kommunikation).

Die Lethal Trifecta nach Simon Willison: erst wenn alle drei Bedingungen zusammenkommen, wird aus einer Prompt Injection ein echtes Datenleck.

Der entscheidende Punkt ist, dass die Trifecta konjunktiv ist: Alle drei Glieder müssen vorhanden sein. Entfernt man eines, bricht die konkrete Kette. Und das am besten kontrollierbare Glied ist die externe Kommunikation – der Kanal, über den gestohlene Daten überhaupt erst hinausgelangen.

Anatomie eines Lecks: EchoLeak und SearchLeak

Beide Angriffe trafen denselben Assistenten und folgten demselben Bauplan: Anweisung rein, Daten raus – über einen Kanal, der für das Sicherheitsmodell vertrauenswürdig aussah.

EchoLeak – ganz ohne Klick (2025)

EchoLeak (CVE-2025-32711, von Microsoft als kritisch mit CVSS 9.3 eingestuft, von der NVD mit 7.5) wurde von Aim Labs entdeckt und am 11. Juni 2025 offengelegt. Es gilt als erster dokumentierter Zero-Click-Angriff auf ein produktives KI-System: Der Angreifer schickt schlicht eine E-Mail mit versteckten Anweisungen. Fragt das Opfer später Copilot etwas Geschäftliches, zieht der Assistent diese E-Mail per Retrieval in seinen Kontext – und führt die Anweisung aus. Aim nennt das Prinzip „LLM Scope Violation": Nicht vertrauenswürdiger Input bringt das Modell dazu, vertrauenswürdige, privilegierte Daten preiszugeben (Analyse). Exfiltriert wurde über ein automatisch geladenes Markdown-Bild, dessen URL die gestohlenen Daten trug; eine vertrauenswürdige Microsoft-Domain diente als Umweg, um die Content Security Policy auszuhebeln. Microsoft schloss die Lücke serverseitig; eine Ausnutzung in freier Wildbahn ist nicht bekannt.

SearchLeak – ein Klick genügt (Juni 2026)

SearchLeak (CVE-2026-42824) verlagerte den Angriff in die Copilot-Enterprise-Suche. Die Kette aus drei Schritten ist lehrreich, weil sie klassische Web-Bugs mit KI-Bugs verbindet:

  1. Parameter-to-Prompt-Injection: Der q-Parameter der Such-URL ist für eine natürliche Frage gedacht – Copilot liest aber alles dort als Anweisung. Eine präparierte URL befiehlt dem Assistenten, das Postfach zu durchsuchen und Inhalte in eine Bild-URL einzubetten.
  2. Render-Race-Condition: Der Browser rendert die Antwort schon, während sie eintrifft. Der eingeschleuste Bild-Tag (<img>) feuert seinen Aufruf ab, bevor die Bereinigung greift.
  3. Bing als Exfiltrations-Proxy: Die Content Security Policy erlaubt nur Bilder von erlaubten Domains – darunter *.bing.com. Bings „Search by Image"-Endpoint lädt eine angegebene Bild-URL serverseitig nach. So wird Bing zum unfreiwilligen Exfiltrationskanal – eine klassische SSRF, versteckt hinter einem legitimen Microsoft-Dienst.

Abgegriffen werden konnten E-Mail-Betreffs und -Inhalte, MFA- und Einmalcodes, Kalenderdaten sowie private SharePoint- und OneDrive-Dateien – ausgelöst durch einen einzigen Klick auf einen microsoft.com-Link, ohne OAuth-Freigabe oder zweiten Schritt. Auch hier: serverseitig behoben, nur als Proof of Concept, keine bekannte Ausnutzung. Ein Hinweis zur Einordnung: Die Presse nennt SearchLeak oft „kritisch"; die formalen CVSS-Werte liegen jedoch bei 6.5 (Microsoft) bzw. 7.5 (NVD).

Ein Muster, kein Ausrutscher

Reiht man die Fälle auf, wird die Entwicklung sichtbar – vom Proof of Concept zum wiederkehrenden Bauplan über mehrere Anbieter hinweg.

FallOffengelegtProduktMechanismusStatus
EchoLeak (CVE-2025-32711)Juni 2025Microsoft 365 CopilotZero-Click, indirekte Prompt Injection → Markdown-Bildserverseitig behoben
ForcedLeak (CVSS 9.4)Sept. 2025Salesforce Agentforceindirekte Prompt Injection über Web-to-Leadbehoben (Trusted-URL-Enforcement)
GrafanaGhost (kein CVE)Apr. 2026Grafana KI-AssistentZero-Click indirekte Prompt Injectionbehoben
SearchLeak (CVE-2026-42824)Juni 2026M365 Copilot Enterprise SearchEin-Klick, q-Parameter → Render-Race → Bing-SSRFserverseitig behoben

Zur Genauigkeit gehört: GrafanaGhost (entdeckt von Noma Security) erhielt keine CVE-Nummer; die kursierende Kennung CVE-2026-27876 betrifft ein anderes Grafana-Problem. ForcedLeak wird mit CVSS 9.4 geführt, aber ohne formale CVE. Die Lektion ist trotzdem eindeutig: Indirekte Prompt Injection ist zu einem realen Datenabfluss-Vektor geworden – und sie steht als LLM01 ganz oben in den OWASP Top 10 für LLM-Anwendungen, der Datenabfluss als LLM02 direkt darunter.

Warum klassische Web-Bugs jetzt mit KI-Bugs verschmelzen

Das eigentlich Neue an SearchLeak ist die Komposition: Eine SSRF und eine Render-Race-Condition – beides altbekannt – werden mit einer KI-spezifischen Schwäche kombiniert, nämlich dass ein Assistent Anweisungen nicht zuverlässig von Daten trennen kann. Jeder zusätzliche Kanal, über den der Assistent Inhalte zieht (E-Mail, DMS, SharePoint, Web, URL-Parameter), vergrößert die Angriffsfläche für das zweite Trifecta-Glied. Und jeder ausgehende Netzwerkpfad – sei es ein Bild, ein Link oder ein API-Aufruf – ist ein potenzieller Exfiltrationskanal für das dritte.

Was eine lokale, berechtigungsbewusste KI anders macht – und was nicht

Hier ist die ehrliche Einordnung. Kein Design verhindert Prompt Injection vollständig – OWASP und Sicherheitsforscher sind sich einig, dass es keine zuverlässige 100-prozentige Prävention gibt. Wer mit „immun" oder „blockt 99 %" wirbt, verkennt, dass ein Angreifer nur den einen Versuch braucht, der durchkommt.

Was sich aber sehr wohl beeinflussen lässt, sind zwei der drei Glieder der Trifecta:

  • Den Exfiltrationskanal schließen. Ein lokaler Stack ohne ausgehende Internetverbindung hat keinen Pfad nach draußen, über den gestohlene Daten das Haus verlassen könnten. Das dritte – und am besten kontrollierbare – Glied entfällt strukturell. Mehr dazu unter Sicherheit & Datenhoheit.
  • Berechtigungsbewusst abrufen. Wenn das Modell nur aus Dokumenten antwortet, für die der Nutzer wirklich berechtigt ist, schrumpft das erste Glied: Selbst eine erfolgreiche Injection erreicht nur, worauf der jeweilige Nutzer ohnehin Zugriff hätte – nicht das gesamte Unternehmensgedächtnis.
Ein Glied zu entfernen genügt, um die Exfiltrationskette zu brechen – am wirksamsten ist das Schließen des Ausgangskanals.

Dazu kommt ein lückenloser Audit-Trail, der jeden Abruf nachvollziehbar macht. Genau so ist Lokalaise gebaut: eine permission-aware Wissensebene und KI-Agenten, die ausschließlich auf Ihren eigenen Dokumenten und Ihrer eigenen Hardware arbeiten – ohne externe APIs. Warum Datenhoheit auch jenseits der Sicherheit zählt, haben wir am Beispiel der Cloud-Souveränität beschrieben: BSI C3A: Wann ist eine Cloud wirklich souverän?.

Zur Ehrlichkeit gehört der Rest des Bildes: Ein lokaler Agent mit zu weitreichenden internen Rechten kann auch ohne Internet Schaden anrichten (OWASP nennt das „Excessive Agency"). Lokal ist kein Freibrief – Least Privilege, Freigaben und menschliche Kontrolle bleiben nötig. Defense in Depth heißt: mehrere Glieder gleichzeitig schwächen.

Was Entscheider jetzt tun sollten

Drei Fragen führen schnell zum Kern – stellen Sie sie zu jedem KI-Assistenten in Ihrem Haus:

  1. Exfiltration: Kann der Assistent eine ausgehende Verbindung ins offene Internet aufbauen – über Bilder, Links oder API-Aufrufe? Wenn ja, existiert ein Exfiltrationskanal.
  2. Berechtigungen: Antwortet die KI streng nur aus Quellen, für die der jeweilige Nutzer berechtigt ist – oder erbt sie ein zu großzügiges Berechtigungsmodell?
  3. Nachvollziehbarkeit: Lässt sich jeder Zugriff im Nachhinein prüfen?

Wenn Sie bei einer dieser Fragen ins Stocken geraten, lohnt der genauere Blick. In einer kurzen Demo zeigen wir Ihnen, wie ein lokaler, berechtigungsbewusster KI-Stack die Angriffsfläche in Ihrem Haus konkret verkleinert.

Häufige Fragen

Den Begriff prägte der Entwickler Simon Willison am 16. Juni 2025. Gemeint sind drei Bedingungen, die zusammen einen KI-Agenten gefährlich machen: Zugriff auf private Daten, Aussetzung gegenüber nicht vertrauenswürdigen Inhalten (indirekte Prompt Injection) und die Möglichkeit, nach außen zu kommunizieren (Exfiltration). Erst wenn alle drei zusammenkommen, kann ein Angreifer Daten abziehen – fehlt ein Glied, bricht die Kette.

Zwei real dokumentierte Schwachstellen in Microsoft 365 Copilot. EchoLeak (CVE-2025-32711, Juni 2025) war ein Zero-Click-Angriff: eine einzige E-Mail mit versteckten Anweisungen genügte, um Daten abzuziehen. SearchLeak (CVE-2026-42824, von Varonis am 15. Juni 2026 offengelegt) war ein Ein-Klick-Angriff über die Copilot-Enterprise-Suche. Beide nutzten indirekte Prompt Injection und einen vertrauenswürdig wirkenden Exfiltrationskanal.

Nach aktuellem Stand nein. Varonis veröffentlichte einen Proof of Concept; Microsoft hat die Lücke vor der Offenlegung serverseitig geschlossen, eine Kundenaktion ist nicht erforderlich. Eine Ausnutzung in freier Wildbahn ist nicht bekannt. Wichtig ist die strukturelle Lektion, nicht ein einzelner Patch – denn das zugrunde liegende Muster betrifft jeden cloudbasierten KI-Assistenten.

Nein – und jede gegenteilige Behauptung wäre unseriös. Prompt Injection gilt als ungelöst; auch OWASP und Sicherheitsforscher sagen, es gebe keine 100-prozentige Prävention. Ein lokaler, berechtigungsbewusster Stack eliminiert das Problem nicht, sondern bricht die konkrete Exfiltrationskette: ohne ausgehende Verbindung gibt es keinen Kanal, über den gestohlene Daten das Haus verlassen. Least Privilege und Audit bleiben trotzdem Pflicht.

Bei Prompt Injection bringt manipulierter Text das Modell dazu, unbeabsichtigt zu handeln (OWASP LLM01). Bei der indirekten Variante stehen die schädlichen Anweisungen nicht in der Nutzereingabe, sondern in Inhalten, die der Assistent verarbeitet – einer E-Mail, einem Dokument, einer Webseite, einem URL-Parameter. Der Assistent kann legitime Daten nicht zuverlässig von eingeschleusten Befehlen trennen.

An zwei der drei Trifecta-Glieder: Ein berechtigungsbewusstes Retrieval lässt das Modell nur aus Dokumenten antworten, für die der Nutzer wirklich berechtigt ist (begrenzt das Glied „private Daten"). Und ein lokaler Betrieb ohne ausgehende Internetverbindung entfernt den Exfiltrationskanal (das Glied „externe Kommunikation"). Ein lückenloser Audit-Trail macht jeden Zugriff nachvollziehbar.

Fazit

Prompt Injection ist nicht gelöst – niemand ist immun, und Filter, die 95 % abfangen, sind in der Sicherheit ein Versagen. Aber Datendiebstahl braucht alle drei Glieder der Lethal Trifecta. Wer das am besten kontrollierbare Glied entfernt – den Exfiltrationskanal nach außen – und das Modell nur aus berechtigten Quellen antworten lässt, verkleinert die Angriffsfläche drastisch. Genau das leistet ein lokaler, berechtigungsbewusster Stack: kein offener Kanal nach draußen, keine Daten außerhalb des Hauses.

Marius Gill

Geschrieben von

Marius Gill

CTO @ Lokalaise

Teilen

Zurück zum Blog

Weiterlesen

Mehr aus dem Blog

Souveränitäts-Skala von Datenresidenz über Betriebsautonomie bis zur rechtlichen Souveränität, mit Bezug zum BSI-Kriterienkatalog C3A.Cloud-Souveränität

BSI C3A: Wann ist eine Cloud wirklich souverän?

Am 27. April 2026 hat das BSI den Kriterienkatalog C3A veröffentlicht – die erste Messlatte dafür, wann eine Cloud wirklich souverän ist. Wir erklären „Cyber Dominance", die sechs Dimensionen der Souveränität und warum Datenresidenz nicht Datensouveränität ist.

Diagramm: ein entferntes Frontier-Modell in der Cloud gegenüber einem lokalen, in eigenen Dokumenten verankerten KI-Stack im Lokalaise-RASTER-Stil.Souveräne KI

Fable 5 ist da – und warum das stärkste KI-Modell allein nicht reicht

Anthropic hat mit Fable 5 das bislang leistungsfähigste öffentlich verfügbare KI-Modell vorgestellt – und es war binnen Tagen wieder weg. Was dieser Vorfall über Frontier-Modelle, digitale Souveränität und den eigentlichen Hebel verrät: KI, die in Ihrem eigenen Wissen verankert ist.