Microsoft Copilot Bug? — Zugriff auf mehr Daten kurzfristig möglich

Es gab in der vorletzten und letzten Woche Aufregung zu dem Thema Zugriff oder besser erweiterten Zugriff trotz Sperrung durch den Nutzer/Admin durch Copilot. Dieser Meldung gehen wir in diesem Beitrag auf den Grund und danken Microsoft dafür, dass Sie uns auch die Informationen für Kunden bereitstellten und mir Rede und Antwort standen. (USA)

Situation und Ur-Quelle

Ein kürzlich entdeckter Fehler in Microsoft 365 Copilot führte dazu, dass der KI‑Assistent seit Ende Januar vertrauliche E‑Mails zusammenfasste – selbst dann, wenn diese mit Sensitivitätslabels geschützt und durch DLP‑Richtlinien eigentlich vor automatisierter Verarbeitung abgeschirmt sein sollten. Der Bug, intern als CW1226324 geführt, betraf speziell die Work‑Tab‑Chat-Funktion und ermöglichte Copilot, Inhalte aus den Ordnern Gesendet und Entwürfe auszulesen und zu summarisieren. Microsoft gab an, dass ein Codefehler dafür verantwortlich sei, begann Anfang Februar mit der schrittweisen Bereitstellung eines Fixes und kontaktiert betroffene Nutzer, um die Wirksamkeit der Korrektur zu bestätigen. Laut Microsoft wurden keine Daten unbefugt offengelegt, dennoch zeigte der Vorfall die Risiken auf, die entstehen, wenn KI‑Systeme Schutzmechanismen umgehen, so die Urquelle von Bleedingcomputer.

Quelle: https://www.bleepingcomputer.com/news/microsoft/microsoft-says-bug-causes-copilot-to-summarize-confidential-emails/

Analyse der Situation

Was ist denn nun wirklich passiert, wenn Zugriff mehr passierte, als es zunächst technisch konfiguriert war.

Was war passiert?

Durch eine Fehlkonfiguration in den Metadaten von Microsoft im Exchange/Outlook war für 21 Tage der Zugriff auf mit Sensitivity Labels und DLP Policy geschützte E-Mails möglich. Somit wäre der Zugriff von Copilot, wenn man einen Prompt setzte (nicht automatisch ohne Prompt) der Zugriff auch auf diese geschützten Mails möglich gewesen. Dies bedeudet, dass auch oder öfters sensible Daten betroffen sein könnten, da diese eher mit einem Label zur Verhinderung von Copilot eingesetzt werden als klassische Daten mit SBK 1-2 Level.

Damit wurde konkret die Verhinderung der Nutzung von verbundenen Erfahrungen, die Inhalte analysieren zeitweilig nicht ausgeschaltet und der Copilot Chat und Copilot for Microsoft 365 hatten in Outlook/OWA Zugriff auf diese klassifizierten Mails.

Wen betrifft es?

Es betraft nur die Unternehmen und dann auch nur die Emails in Outlook, wenn die Unternehmen:

Sensitivity Label auf der Email mit Copilot Verhinderungsskript
DLP Policy für Copilot zur Verhinderung des Zugriffs

Konkret haben nach einer Umfrage von mir auf dem Exchange Summit in der vergangenen Woche unter 5% der Unternehmen diese Maßnahmen oben getroffen und waren damit von dem Bug nicht betroffen. Dies zeigt leider um so mehr, dass 95% der Unternehmen dem Copilot generell immer Zugriff gewähren (auch keine Sperre über den SharePoint) und dieser auf alle Daten Zugriff hat, die in der Cloud liegen und der Graph Zugriff hat.

Welche Zugriffe bestanden kurzfristig?

Ein möglicher Zugriff von Copilot Chat und Copilot for Microsoft 365 bestand in dem Punkt, dass die Blockierung des Zugriffs durch ein Label und einer dazugehörigen DLP Policy für Emails für 8 Tage nicht blockiert wurden.

E-Mails in Outlook (gesendete Ordner / Entwürfe)

(E-Mails in persönlichen Postfächern, deligated Postfächer, shared Mailboxen)

„Das Problem betraf nur vom Benutzer verfasste E-Mails in den Entwürfen/gesendeten Objekten in Outlook Desktop, so Microsoft“.

Kommentar:

Ich kann dies bestätigen. Ich führe um 7:00 und um 22:00 Uhr immer 15 Prompts durch, um den Betrieb und die Verfügbarkeit von Copilot, sowie Veränderung in der Content Security zu testen. Der Bug trat auf und dies nur bei E-Mails, die ich auch klassifiziert hatte. Es ist kein Bug, dass leider immer noch nicht alle Emails klassifiziert werden, wenn ich eine NachrichtenPolicy setze.

Was ist konkret das Problem?

Eine Fehlkonfiguration in den Metadaten von Microsoft im Exchange/Outlook ermöglichte den Zugriff auf Daten durch den Copiloten Chat und Copilot for Microsoft 365 zeitweilig.

Es wurden keine Berechtigungen gebrochen oder Berechtigungen umgangen. Es wurden auch keine Zugriffe gewährt über den normalen Zugriff von Copilot hinaus. Es mussten auch die Nutzer aktiv prompten, um herauszufinden, dass es wirklich klappte und dies in den Tagen bis zum letzten Donnerstag Nacht.

Auswirkungen für Kunden

Die Auswirkungen beschränkten sich auf die Kennzeichnung/DLP-Interpretation von Copilot, nicht auf die Berechtigungen für Postfächer.

Die Korrektur wurde weltweit in der Nacht vom 19.02.2026 bereitgestellt; es sind keine Maßnahmen seitens der Kunden erforderlich, um sie zu erhalten.

Was solltet ihr nun tun?

Wenn Ihr Microsoft 365 Copilot verwendet, führen Sie diese pragmatischen, priorisierten Schritte unverzüglich durch:

Überprüft, ob Ihr Mandant eine Microsoft-Empfehlung oder eine gezielte Nachricht mit dem Verweis CW1226324 erhalten hat. Ist dies der Fall, befolgen Sie die Kontaktanweisungen und öffnen Sie ein Support-Ticket, wenn kein Zeitplan oder keine Audit-Daten angegeben sind.
Führt eine gezielte Suche nach Nachrichten mit der Kennzeichnung „Vertraulich” in „Gesendete Objekte” und „Entwürfe” zwischen dem 21. Januar 2026 und dem 19. Februar durch, an dem euer Mandant die Bestätigung der Abhilfe erhalten hat. Exportieren Sie Metadaten (Absender, Empfänger, Zeitstempel) und bewahren Sie Kopien für die rechtliche und Compliance-Prüfung auf.
=> Purview / Defender siehe unten.
Fordern Sie ein Rückmeldung von Microsoft an: Fordern Sie Copilot-Zugriffsprotokolle und alle serverseitigen Telemetriedaten an, die Abruf- oder Zusammenfassungsereignisse im Zusammenhang mit Copilot-Abfragen für Ihren Mandanten zeigen. Wenn Microsoft dies nicht bereitstellen kann, dokumentieren Sie diese Lücke offiziell.
=> Microsoft meldet mit der Meldung untern zurück und verweist auf die Auditlogs im Tenant. Es gibt da keine Lücke.
Überprüfen Sie Ihre DLP-Regeln für Copilot und erwägen Sie eine vorübergehende harte Ausschlussregel: Verwenden Sie Restricted Content Discovery (RCD), RSS Feed deaktivieren, Copilot Verhinderung im SharePoint und Autolabling für Emails und ankommende Emails aus oder Postfach OnPremises schieben.
Rotieren Sie alle Anmeldeinformationen, Geheimnisse oder Tokens, auf die in offengelegten Nachrichten verwiesen wurde, insbesondere wenn der Inhalt der Nachrichten auf Schlüssel oder Zugriffszeichenfolgen hindeutet. Behandeln Sie solche Inhalte als kompromittiert, bis das Gegenteil bewiesen ist.
=> S/MINE, Customer Key
=> RMS nicht möglich

Prüfung im Defender for Cloud Apps

Option A. Defender for Cloud Apps

Als Defender Administrator kann man die Nutzung überprüfen. Hierzu ist es möglich den Zeitraum einzustellen und dann nach Copilot Interaktionen zu suchen im Bereich Microsoft Exchange Online. Hierzu benötigt ihr den Security Administrator oder zumindest den Global Reader oder den Aktivitätsanalyst.

Option B. Purview

Weiterhin könntet ihr auch den Aktivitätsexplorer in Purview verwenden mit entsprechenden Rechten in Purview, um zu überprüfen, ob Nutzer ggf. die Lücke ausgenutzt haben. Hierzu müsst ihr aber DLP, Insider Risk und Communications Compliance Regeln ausgerollt haben, dann seht ihr auch den konkreten Prompt und Datei.

Datenschutzrechtliche Prüfung

Als Datenschutzschützer muss man prüfen, ob eine Meldung nach Art 33 DSGVO an den LDSB nötig geworden ist und wäre. In einer Prüfung kommt es auf die Betroffenen und die Schwere an.

Hier meine Kurzprüfung vom 05. Februar 2026

Feststellung des Vorfalls / Verletzung des Schutzes personenbezogener Daten	ja
Ersteinschätzung des Risikos / *Kann ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht ausgeschlossen* werden? Hohes Risiko nach Art 34 DSGVO?**	nein, kein hohes Risiko
72‑Stunden‑Frist prüfen	nein, war noch innerhalb der Frist
Interne Dokumentation des Vorfalls	Beschreibung des Vorfalls. Kategorien personenbezogener Daten. Anzahl der betroffenen Datensätze und Personen. Auswirkungen für Betroffene. Bereits getroffene Maßnahmen zur Eindämmung
Bewertung des Meldebedarfs an die Aufsichtsbehörde	Nein, nur interne Dokumentation
Meldung an die Aufsichtsbehörde Art der Verletzung Kategorien und Anzahl betroffener Personen und Daten Name/Kontaktdaten des DSB Wahrscheinlichkeit und mögliche Folgen Maßnahmen zur Abhilfe / Eindämmung	Nein
Benachrichtigung der Betroffene	Nein
Nachbearbeitung & Maßnahmen	Ja, so: Prüfung technischer und organisatorischer Maßnahmen (TOMs). Anpassung von Prozessen (z. B. Zugriffskontrollen, Löschkonzept, IT‑Security). Lessons Learned und Präventionsmaßnahmen definieren. Ablage der vollständigen Dokumentation im Datenschutzmanagementsystem.

Weitere Quellen

https://t3n.de/news/copilot-bug-ki-vertrauliche-e-mails-1730337/

Copilot Privacy Flaw CW1226324 Exposes DLP Bypass in Microsoft 365 | Windows Forum

Microsoft 365 Copilot-Bug fasst vertrauliche Mails zusammen

Tenant Übersicht zu der Meldung

Link: https://admin.cloud.microsoft/?#/search/:/alerts/CW1226324

24 Februar	Title: Some users‘ Copilot prompts return information from Sent and Draft folder messages with Copilot DLP policies configured User impact: Users‘ Copilot prompts return information from Sent and Draft folder messages with Copilot DLP policies configured. More info: This issue was specific to Exchange Online email messages that were in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may have processed these email messages for the user that owned them even though these email messages had a sensitivity label applied, a Copilot DLP policy is configured. Final status: We have successfully deployed a targeted fix across all impacted environments. The root cause has been addressed, and customers should not experience this issue with email messages going forward.
20 Februar	Title: Some users‘ Copilot prompts return information from Sent and Draft folder messages with Copilot DLP policies configured User impact: Users‘ Copilot prompts return information from Sent and Draft folder messages with Copilot DLP policies configured. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a Copilot DLP policy is configured.
19 Februar	Title: Some users‘ Copilot prompts return information from Sent and Draft folder messages with Copilot DLP policies configured User impact: Users‘ Copilot prompts return information from Sent and Draft folder messages with Copilot DLP policies configured. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a Copilot DLP policy is configured.
19 Februar	Title: Users may notice Copilot prompts returning information from Sent and Draft folder messages with DLP policies configured User impact: Users may notice Copilot prompts returning information from Sent and Draft folder messages with DLP policies configured. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a DLP policy is configured. Current status: We have completed deployment of the fix and we’re working with affected users to confirm that the issue is mitigated. Scope of impact: Users leveraging Microsoft 365 Copilot Chat may notice that email messages in their Drafts or Sent Items folder may be referenced in prompt responses even though these messages may have a sensitivity label applied and a DLP policy configured. This section may be updated as our investigation continues. Start time: Mittwoch, 21. Januar 2026 um 08:25 MEZ Root cause: A code issue is allowing items in the Sent items and Draft folders to be picked up by Copilot even though confidential labels are set in place. Next update by: Donnerstag, 19. Februar 2026 um 10:30 ME
18 Februar	Title: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat User impact: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a DLP policy is configured. Current status: We’re continuing to monitor the final stages of our fix deployment as it saturates throughout the remaining affected infrastructure. Once this saturation is
18. Februar	Title: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat User impact: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a DLP policy is configured. Current status: We’re proceeding to monitor the deployment of the fix as it progresses and are reaching out to a subset of users to test for impact remediation. We expect to have an estimated time for completion by our next scheduled update. Scope of impact: Users leveraging Microsoft 365 Copilot Chat may notice that email messages in their Drafts or Sent Items folder may show up despite them having a sensitivity label applied and a DLP policy configured. This section may be updated as our investigation continues. Start time: Mittwoch, 21. Januar 2026 um 08:25 MEZ Root cause: A code issue is allowing items in the sent items and draft folders to be picked up by Copilot even though confidential labels are set in place. Next update by: Mittwoch, 18. Februar 2026 um 20:00 MEZ
10 Februar	Title: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat User impact: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a DLP policy is configured.
3 Februar	Title: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat User impact: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a DLP policy is configured.
03. Februar	Title: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat User impact: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these
03. Februar	Title: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat User impact: Users‘ sent and draft folder messages with confidential labels may be incorrectly processed by Microsoft Copilot chat. More info: This issue is specific to Exchange Online email messages that are in the Sent Items and Drafts folders. The Microsoft 365 Copilot „work tab“ Chat may process these email messages for the user that owns them even though these email messages have a sensitivity label applied and a DLP policy is configured. Current status: We’ve received reports of an issue with the Microsoft 365 Copilot chat improperly summarizing email messages. We’re reviewing some sample email messages to identify the underlying root cause of impact and inform our next steps. Scope of impact: Users leveraging Microsoft 365 Copilot Chat may notice that email messages in their Drafts or Sent Items folder may show up despite them having a sensitivity label applied and a DLP policy configured. This section may be updated as our investigation continues. Next update by: Dienstag, 3. Februar 2026 um 10:00 MEZ

Offizielle Stellung aus Ende Februar für Kunden

„Microsoft resolved an issue where, in limited scenarios, Microsoft 365 Copilot chat did not consistently recognize sensitivity labels on emails authored by a user and saved in Drafts or Sent Items in Outlook desktop.

This behavior did not change who could access the underlying email content and did not permit access to other users’ mailboxes or cross-tenant data. The impact was limited to how Copilot interpreted labeling and Data Loss Prevention (DLP) signals for a subset of emails authored by the user.

A configuration update has been deployed globally to ensure consistent identification of labeled content for Copilot, aligned with existing Microsoft 365 sensitivity labeling and DLP policies. No customer action is required.

Key takeaways

Issue affected only user authored emails in Drafts/Sent Items in Outlook desktop.
Impact was limited to Copilot’s labeling/DLP interpretation, not mailbox permissions.
Fix deployed globally; no customer action needed to receive it.

Identifiers

CVE Identifier	N/A
Vulnerability class	N/A
CVSS metric	N/A
CVSS vector string	N/A

Mitigations & protections

The configuration update addressing this issue has been deployed globally for enterprise customers. No customer action is required to receive the update.

Microsoft 365’s existing governance and security controls – including sensitivity labeling, Data Loss Prevention (DLP), encryption, authentication, authorization, and audit logging – remained in effect throughout and continue to serve as the primary protections governing Copilot’s use of data.

If desired, organizations may review their Copilot-specific sensitivity label and DLP configurations and use Microsoft Purview auditing to validate that Copilot usage aligns with their internal governance expectations. These activities are consistent with routine governance and assurance practices rather than responses to a change in data access or control effectiveness.

About the Class of Issue

This issue concerns the consistent interpretation of compliance metadata by AI experiences rather than a failure of access controls or data protection mechanisms. Microsoft 365 sensitivity labels and Data Loss Prevention (DLP) policies were correctly applied to the affected emails and continued to govern access and protection as designed.

In limited scenarios, Copilot did not consistently reflect those existing labels when determining whether certain user-authored emails in Outlook desktop Drafts or Sent Items should be used for grounding. The underlying labeling, DLP enforcement, and mailbox permissions remained intact.

This classification highlights the importance of ensuring that AI experiences consistently honor established compliance and governance signals across clients and content locations. It does not represent a traditional security vulnerability, data exposure, or access control bypass.

Attack & pre-conditions for success

This scenario does not involve an external attacker, malicious activity, or exploitation of access controls. It reflects a specific set of conditions under which Copilot behavior did not fully align with existing policy intent.

For this behavior to occur, all of the following conditions had to be met:

A user authored an email in Outlook desktop and applied a Microsoft 365 sensitivity label.
The email was saved in Drafts or Sent Items.
The same user asked Copilot a question that drew upon the content of that email.

Under these limited conditions, Copilot could summarize the content if the label recognition signal was not consistently applied. The behavior did not provide access to content the user could not already open directly and did not bypass mailbox permissions, sensitivity labeling enforcement, or Data Loss Prevention (DLP) controls.

This issue did not enable access to other users’ messages and did not represent an adversarial technique or attack path.

Customer data impact

There was no change to customer data access as a result of this issue. The behavior affected only how Copilot interpreted sensitivity labels and Data Loss Prevention (DLP) signals when determining whether certain user‑authored emails could be used for grounding.

The underlying email content remained accessible only to the user who authored the message, consistent with existing mailbox permissions, sensitivity labeling, and DLP enforcement. No other users gained access to this content, and no cross‑tenant data exposure occurred.

Organizations may categorize this as an AI policy alignment issue rather than a data access or data exposure issue.

Fitting into risk taxonomy

This issue concerns AI interpretation of policy metadata rather than traditional access control failure.

Since it is part of a service, no customer action is required to receive the update. In enterprise risk management frameworks, it maps to:

Threat Type: AI data handling / policy alignment
OWASP Top 10 LLM Risks: OWASP LLM06: Sensitive Information Disclosure (policy alignment related)
MITRE ATT&CK: No direct mapping; no adversary or cross-user access
MITRE ATLAS: No direct mapping; no adversary or cross-user access