Copilot Studio Agents absichern: 10 Fehlkonfigurationen

Einführung: warum das wichtig ist

Copilot Studio Agents werden zunehmend fest in operative Workflows eingebunden – sie ziehen Daten, lösen Aktionen aus und interagieren in großem Maßstab mit internen Systemen. Genau diese Automatisierung eröffnet jedoch auch neue Angriffswege, wenn Agents zu breit geteilt werden, mit übermäßigen Berechtigungen laufen oder standardisierte Governance-Kontrollen umgehen. Das Microsoft Defender Security Research-Team beobachtet diese Probleme „in the wild“, oft ohne offensichtliche Warnungen – proaktive Erkennung sowie laufendes Posture-Management sind daher entscheidend.

Was ist neu: 10 häufige Risiken bei Copilot Studio Agents (und wie man sie erkennt)

Microsoft hat eine praxisnahe Top-10-Liste von Fehlkonfigurationen bei Agents veröffentlicht und jede davon Microsoft Defender Advanced Hunting Community Queries zugeordnet (Security portal → Advanced hunting → Queries → Community queries → Ordner AI Agent). Zu den zentralen Risiken zählen:

1. Zu weitreichendes Sharing (gesamte Organisation oder große Gruppen) – vergrößert die Angriffsfläche und ermöglicht unbeabsichtigte Nutzung.
2. Keine Authentifizierung erforderlich – schafft öffentliche/anonyme Einstiegspunkte und potenziellen Datenabfluss.
3. Riskante HTTP Request-Aktionen – Aufrufe an Connector-Endpunkte, nicht-HTTPS oder nicht standardisierte Ports können Connector-Governance sowie Identitätskontrollen umgehen.
4. E-Mail-basierte Daten-Exfiltrationspfade – Agents, die E-Mails an KI-gesteuerte Werte oder externe Postfächer senden, können prompt-injection-getriebene Exfiltration ermöglichen.
5. Inaktive Agents/Aktionen/Verbindungen – veraltete Komponenten werden zu versteckter Angriffsfläche mit fortbestehenden Berechtigungen.
6. Author (maker) authentication – untergräbt die Funktionstrennung und kann Privilege Escalation begünstigen.
7. Hard-coded credentials in Topics/Aktionen – erhöht die Wahrscheinlichkeit von Credential Leakage und Wiederverwendung.
8. Model Context Protocol (MCP) tools konfiguriert – kann undokumentierte Zugriffspfade und unbeabsichtigte Systeminteraktionen einführen.
9. Generative orchestration ohne Anweisungen – höheres Risiko für Verhaltensdrift und Prompt-Missbrauch.
10. Orphaned agents (kein aktiver Owner) – schwache Governance und über die Zeit ungemanagter Zugriff.

Auswirkungen auf IT-Admins und Security-Teams

• Visibility Gap: Diese Fehlkonfigurationen wirken bei der Erstellung oft nicht bösartig und lösen möglicherweise keine klassischen Alerts aus.
• Risiken für Identität und Daten: Unauthentifizierter Zugriff, Maker-Credentials und breites Sharing können einen Agent zu einem „Low-Friction“-Pivot in Unternehmensdaten machen.
• Umgehung von Governance: Direkte HTTP-Aktionen können Power Platform Connector-Schutzmechanismen umgehen (Validierung, Throttling, Identity Enforcement).
• Betriebsrisiko: Orphaned oder inaktive Agents bewahren Business-Logik und Zugriffsrechte, lange nachdem Ownership und Zweck unklar sind.

Maßnahmen / nächste Schritte

1. Führen Sie die AI Agent Community Queries jetzt aus und erstellen Sie eine Baseline der Ergebnisse (starten Sie mit: org-weites Sharing, No-Auth-Agents, Author Authentication, Hard-coded Credentials).
2. Sharing und Authentifizierung verschärfen: Least-Privilege-Zugriff erzwingen und Authentifizierung für alle produktiven Agents verlangen.
3. HTTP Request-Nutzung prüfen: Bevorzugen Sie governte Connectors; markieren Sie nicht-HTTPS und nicht standardisierte Ports zur sofortigen Behebung.
4. Outbound-E-Mail-Szenarien kontrollieren: Externe Empfänger einschränken, dynamische Inputs validieren und auf prompt-injection-ähnliche Muster überwachen.
5. Lifecycle-Governance etablieren: Agents inventarisieren, Orphaned Agents entfernen oder neu zuweisen und inaktive Verbindungen/Aktionen stilllegen.

Indem Sie Agent-Konfiguration als Teil Ihrer Security Posture behandeln – und kontinuierlich nach diesen Mustern suchen –, reduzieren Sie die Exposure, bevor Angreifer sie operationalisieren.