Security

Copilot Studio-Fehlkonfigurationen erkennen mit Defender

3 Min. Lesezeit

Zusammenfassung

Microsoft zeigt, wie sich zehn häufige Fehlkonfigurationen in Copilot Studio mit Defender Advanced Hunting erkennen lassen, darunter Oversharing, fehlende Authentifizierung und unsichere Actions. Das ist wichtig, weil falsch konfigurierte Agents unbemerkt neue Angriffs- und Datenabflusswege schaffen können – und Unternehmen mit den bereitgestellten Community Queries sowie Maßnahmen in Copilot Studio und Power Platform gezielt gegensteuern können.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung: warum das wichtig ist

Agents entwickeln sich schnell zu einer neuen Steuerungsebene für Datenzugriff und Workflow-Automatisierung – oft schnell erstellt und bereitgestellt über Low-Code-Tools wie Copilot Studio. Microsoft warnt, dass kleine Konfigurationsentscheidungen (breites Sharing, unsichere Actions, schwache Auth, veraltete Ownership) Identitäts- und Datenzugriffspfade schaffen können, die traditionelle Security Controls möglicherweise nicht überwachen. Unterm Strich: Fehlkonfigurierte Agents können Ihre Angriffsfläche unbemerkt vergrößern und Prompt-getriebenen Missbrauch oder Data Exfiltration ermöglichen.

Was ist neu: 10 häufige Agent-Fehlkonfigurationen (und wie man sie erkennt)

Microsoft dokumentiert zehn „in the wild“ beobachtete Fehlkonfigurationen und ordnet jede Defender Advanced Hunting Community Queries zu (Security portal → Advanced hunting → Queries → Community Queries → AI Agent folder) plus empfohlene Maßnahmen in Copilot Studio/Power Platform.

Zentrale Themen sind:

1) Oversharing und schwache Access Boundaries

  • Risiko: Agents, die für die gesamte Organisation oder breite Gruppen freigegeben sind.
  • Erkennen: Queries wie AI Agents – Organization or Multitenant Shared.
  • Abhilfe: Managed Environments und agent sharing limits verwenden; Environment-Strategie und Sharing-Scope validieren.

2) Fehlende oder inkonsistente Authentifizierung

  • Risiko: Agents, die keine Authentifizierung erfordern, werden zu einem öffentlichen Einstiegspunkt.
  • Erkennen: AI Agents – No Authentication Required.
  • Abhilfe: agent authentication at the environment level erzwingen (Auth ist standardmäßig aktiviert – für Tests nicht ohne Guardrails lockern).

3) Riskante Actions, Connectors und Exfiltration Paths

  • Risiko: HTTP Request-Actions mit unsicheren Einstellungen (non-HTTPS, nonstandard ports) oder E-Mail-Actions, die Data Exfiltration ermöglichen.
  • Erkennen: Queries zu HTTP request patterns sowie email-to-external/AI-controlled inputs.
  • Abhilfe: Data Policies / Advanced Connector Policies anwenden und Microsoft Defender Real-time Protection sowie Connector-Action-Controls in Betracht ziehen.

4) Governance Drift: inaktive, verwaiste und überprivilegierte Agents

  • Risiko: Inaktive Agents/Connections, Author (maker) authentication, verwaiste Agents mit deaktivierten Owners, hardcoded credentials.
  • Erkennen: Queries für dormant/unmodified agents, author auth, hardcoded credentials, orphaned owners.
  • Abhilfe: Inventory regelmäßig prüfen, Maker-Credentials einschränken, Secrets über Environment Variables in Azure Key Vault speichern und veraltete Agents quarantänisieren/außer Betrieb nehmen.

5) Neue Tooling- und Orchestrierungsrisiken

  • Risiko: MCP tools und generative orchestration ohne klare Instructions (behavior drift/prompt abuse).
  • Erkennen: MCP configured sowie orchestration without instructions.
  • Abhilfe: MCP-Tooling per Policies begrenzen; auf integrierte Guardrails setzen (z. B. Azure Prompt Shield/RAI controls) und mit klaren Instructions veröffentlichen.

Auswirkungen für IT-Admins und Security-Teams

  • Rechnen Sie damit, dass Agents nicht-traditionelle Zugriffspfade einführen (Connectors, MCP tools, email actions), die Legacy-Monitoring umgehen können.
  • Die Low-Code-Geschwindigkeit erhöht die Wahrscheinlichkeit von Fehlkonfigurationen im großen Maßstab, insbesondere über mehrere Power Platform-Environments hinweg.
  • Governance-Probleme (Ownership, Dormancy, Maker-Credentials) können persistente, schwer sichtbare Risiken erzeugen.

Empfohlene nächste Schritte

  1. Die AI Agent Community Queries in Defender Advanced Hunting ausführen und Ergebnisse pro Environment baselinen.
  2. Authentifizierung auf Environment-Ebene erzwingen und Ausnahmen prüfen.
  3. Managed Environments, sharing limits sowie Data/Connector policies implementieren bzw. validieren.
  4. Auf author authentication, hardcoded secrets sowie orphaned/dormant agents prüfen; wo sinnvoll beheben und außer Betrieb nehmen.
  5. Secure-Build-Guidance für Makers dokumentieren (HTTP best practices, secret handling, instruction quality) und in das interne Onboarding aufnehmen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Copilot StudioMicrosoft DefenderAdvanced HuntingPower Platform governanceAI security

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.