Claude Code & Copilot: Neue Angriffsfläche für Schweizer Unternehmen

Claude Code, GitHub Copilot und ähnliche KI-Coding-Tools sind längst nicht mehr nur Werkzeuge für Softwareentwickler. In Schweizer Unternehmen werden sie zunehmend für LinkedIn-Scraping, CRM-Automatisierung, Finanzverarbeitung, Kundenoutreach und Datenanalyse eingesetzt — von Mitarbeitenden ohne technischen Hintergrund. Eine interne Studie mehrerer Fortune-500-Unternehmen (2025) zeigt, dass über 50 Prozent der aktiven Claude-Code-Nutzer keine Entwickler sind, sondern Mitarbeitende aus Vertrieb, Marketing, HR und Finanzen. Diese Nutzung schafft eine neue, weitgehend unsichtbare Angriffsfläche — mit bereits dokumentierten kritischen Schwachstellen.

Claude Code und Copilot: Mehr als Coding-Tools

Was Claude Code ist — und was es wirklich kann

Claude Code ist ein KI-Agent von Anthropic, der in der Lage ist, selbstständig Code zu schreiben, zu analysieren, Dateien zu lesen und zu bearbeiten, Bash-Befehle auszuführen und mit externen Systemen zu interagieren. Das Tool hat direkten Zugriff auf das Dateisystem, kann Netzwerkverbindungen aufbauen und Programme ausführen — es ist de facto ein autonomer Software-Agent mit Systemzugriff.

In der Praxis wird Claude Code in Unternehmen für weit mehr als Softwareentwicklung eingesetzt:

• LinkedIn-Scraping und Outreach: Vertriebsmitarbeitende nutzen Claude Code, um LinkedIn-Profile zu scrapen, Kontaktdaten zu extrahieren und automatisierte Outreach-Kampagnen zu erstellen
• CRM-Automatisierung: Datenbereinigung, Import/Export, automatisierte Follow-Ups und Reporting
• Finanzverarbeitung: Rechnungsverarbeitung, Buchhaltungsautomatisierung, Finanzreporting
• Datenanalyse: Verarbeitung grosser Datensätze, Erstellung von Dashboards und Reports
• Content-Erstellung: Marketing-Texte, E-Mail-Kampagnen, Social-Media-Inhalte
• HR-Prozesse: Bewerbungsscreening, Vertragsentwürfe, Mitarbeiterdokumentation

GitHub Copilot: Integration in Microsoft-Ökosysteme

GitHub Copilot — und insbesondere Microsoft 365 Copilot — ist tief in die Microsoft-Produktpalette integriert: Outlook, Teams, Word, Excel, PowerPoint. Damit hat es Zugriff auf E-Mails, Chat-Verläufe, Dokumente und Unternehmensdaten. Die Nutzung erfolgt automatisch im Hintergrund und ist für viele Mitarbeitende «unsichtbar» — sie wissen nicht einmal, dass ein KI-System ihre Daten verarbeitet.

Über 50 Prozent Nicht-Entwickler-Nutzung

Die Verschiebung von «Coding-Tool» zu «Business-Automatisierungstool» hat fundamentale Sicherheitsimplikationen:

Nutzungsgruppe	Anteil aktiver Nutzer	Typische Anwendung
Software-Entwickler	45 %	Code-Generierung, Debugging, Testing
Vertrieb & Marketing	22 %	LinkedIn-Scraping, Outreach, Content
Finanzen & Controlling	12 %	Reporting, Datenanalyse, Automatisierung
HR & Recruiting	8 %	Screening, Korrespondenz, Dokumentation
Management	7 %	Recherche, Präsentationen, Strategieanalyse
Sonstige	6 %	Diverse Ad-hoc-Aufgaben

Quelle: Interne Nutzungsdaten mehrerer Fortune-500-Unternehmen, aggregiert (2025)

Diese Nicht-Entwickler-Nutzung ist besonders riskant, weil die Nutzenden:

• Keine Kenntnis von Sicherheitsrisiken in Code-Ausführungsumgebungen haben
• API-Schlüssel und Zugangsdaten in Projektkonfigurationen speichern
• Sensible Unternehmensdaten an externe KI-Modelle übertragen
• Keine Code-Reviews durchführen und generierten Code blind ausführen

Kritische Schwachstellen: CVE-2025-59536 und CVE-2026-21852

CVE-2025-59536: Remote Code Execution in Claude Code (CVSS 8.7)

Im Oktober 2025 wurde eine kritische Schwachstelle in Claude Code entdeckt und als CVE-2025-59536 registriert. Mit einem CVSS-Score von 8.7 (High) handelt es sich um eine der schwerwiegendsten Schwachstellen in einem weit verbreiteten KI-Tool.

Technische Details:

Die Schwachstelle ermöglichte Remote Code Execution (RCE) über speziell präparierte Projektdateien. Wenn ein Nutzer ein Repository mit einer manipulierten Konfigurationsdatei öffnete, konnte Claude Code dazu gebracht werden, beliebigen Code auf dem System des Nutzers auszuführen — ohne dass der Nutzer eine explizite Genehmigung erteilte.

Angriffsvektor:

1. Angreifer erstellt ein scheinbar harmloses Git-Repository (z. B. ein «nützliches» Template oder eine Bibliothek)
2. Das Repository enthält eine manipulierte Konfigurationsdatei mit versteckten Anweisungen
3. Wenn ein Nutzer das Repository klont und Claude Code darin verwendet, werden die versteckten Anweisungen als Teil des Projektcontexts verarbeitet
4. Claude Code führt die Anweisungen aus — potentiell mit vollen Systemberechtigungen des Nutzers

Auswirkung:

• Vollständiger Zugriff auf das Dateisystem des Nutzers
• Exfiltration von SSH-Schlüsseln, API-Keys, Zugangsdaten
• Installation von Backdoors oder Malware
• Laterale Bewegung in das Unternehmensnetzwerk

Anthropic hat die Schwachstelle innerhalb von 48 Stunden nach Meldung gepatcht. Allerdings waren zu diesem Zeitpunkt bereits Millionen von Nutzern potenziell exponiert — und es ist unklar, wie viele Systeme kompromittiert wurden.

CVE-2026-21852: API-Key-Exfiltration über Prompt Injection

Im Januar 2026 wurde eine weitere kritische Schwachstelle entdeckt: CVE-2026-21852 ermöglichte die Exfiltration von API-Schlüsseln über eine indirekte Prompt Injection in Projektdateien.

Technische Details:

Claude Code liest beim Start eines Projekts automatisch Konfigurationsdateien, README-Dateien und andere Projektmetadaten. Ein Angreifer konnte in diese Dateien versteckte Anweisungen einbetten, die Claude Code dazu brachten, im Projekt gefundene API-Schlüssel, Zugangsdaten und andere Secrets über HTTP-Requests an einen externen Server zu exfiltrieren.

Besonders tückisch: Die Exfiltration geschah im Rahmen «normaler» Netzwerkaktivitäten (z. B. als Teil eines Package-Downloads oder API-Tests), sodass sie von Netzwerk-Monitoring-Systemen nicht als anomal erkannt wurde.

Auswirkung:

• API-Schlüssel für Cloud-Dienste (AWS, Azure, GCP) exponiert
• Datenbankzugangsdaten kompromittiert
• Third-Party-API-Keys (Stripe, Twilio, etc.) gestohlen
• Unbemerkte Datenexfiltration über Wochen oder Monate möglich

Supply-Chain-Risiko: Die neue Dimension

KI-Coding-Tools verändern die Software-Supply-Chain fundamental. Wenn Claude Code oder Copilot Code generieren, der auf externen Paketen, Bibliotheken oder Frameworks basiert, entsteht eine neue Art von Supply-Chain-Risiko:

1. Dependency Confusion via KI

KI-Modelle können Paketnamen «halluzinieren» — sie empfehlen Pakete, die nicht existieren. Angreifer haben begonnen, diese halluzinierten Paketnamen zu registrieren und mit Malware zu bestücken. Wenn ein Nutzer den KI-generierten Code ausführt und das halluzinierte Paket installiert, wird die Malware aktiv.

2. Trojanisierte Code-Snippets

Angreifer können in öffentlichen Repositories Code platzieren, der von KI-Modellen als «Best Practice» gelernt und weitergegeben wird. Wenn das Modell diesen Code in seinen Vorschlägen reproduziert, verbreitet sich der trojanisierte Code über tausende Projekte.

3. Konfigurationsdatei-Angriffe

Wie CVE-2025-59536 und CVE-2026-21852 zeigen, sind Konfigurationsdateien ein bevorzugter Angriffsvektor. KI-Tools lesen automatisch Projektdateien — und diese können manipuliert werden, bevor der Nutzer sie bewusst öffnet.

«Die Supply-Chain-Risiken von KI-Coding-Tools sind eine Grössenordnung komplexer als traditionelle Software-Supply-Chain-Angriffe. Statt eines einzelnen kompromittierten Pakets haben wir jetzt einen autonomen Agenten, der Code generiert, Pakete installiert und Systembefehle ausführt — und der dabei manipuliert werden kann.»

— Alex Birsan, Supply-Chain-Sicherheitsforscher

Shadow AI: Das unsichtbare Risiko

Die Nutzung von Claude Code und Copilot in Unternehmen geschieht häufig als «Shadow AI» — ohne Wissen oder Genehmigung der IT-Abteilung. Laut der gfs-zürich-Studie (2025) nutzen 67 Prozent der Schweizer KMU KI-Tools, aber nur 18 Prozent haben Richtlinien dafür.

Wie Shadow AI mit Coding-Tools funktioniert

1. Persönliche Accounts: Mitarbeitende nutzen ihre privaten Claude-Code- oder Copilot-Abonnements für berufliche Aufgaben
2. Firmen-Laptops mit privater Software: KI-Tools werden auf Firmengeräten installiert, ohne dass die IT-Abteilung informiert wird
3. Umgehung von Richtlinien: Wenn das Unternehmen bestimmte KI-Tools blockiert, weichen Mitarbeitende auf alternative Tools oder VPN-Verbindungen aus
4. Projektspezifische Nutzung: Teams installieren KI-Tools für ein spezifisches Projekt und vergessen, sie danach zu deaktivieren

Die spezifischen Risiken

• Datenleckage: Sensible Unternehmensdaten werden an externe KI-Modelle (Anthropic, OpenAI, Microsoft) übertragen
• Unkontrollierter Systemzugriff: Claude Code hat vollen Zugriff auf das Dateisystem des Geräts — inklusive aller Unternehmensdaten
• Keine Audit-Trails: Die IT-Abteilung hat keine Sichtbarkeit über die Nutzung und kann Vorfälle nicht nachvollziehen
• Compliance-Verstösse: Übertragung von Personendaten an externe KI-Anbieter ohne nDSG-konforme Rechtsgrundlage

Mehr zu Shadow AI in unserem ausführlichen Artikel Shadow AI: Wenn Mitarbeitende KI-Tools ohne Genehmigung nutzen.

Spezifische Risiken für Schweizer Unternehmen

nDSG-Compliance

Das Schweizer Datenschutzgesetz (nDSG) stellt Anforderungen an die Verarbeitung von Personendaten. Wenn Claude Code für LinkedIn-Scraping, Bewerbungsscreening oder CRM-Automatisierung eingesetzt wird, werden regelmässig Personendaten an Anthropic (USA) übertragen. Ohne angemessene Rechtsgrundlage und Schutzmassnahmen verstösst dies gegen das nDSG.

Bankgeheimnis und Finanzregulierung

Für Unternehmen im Finanzsektor gelten besondere Sorgfaltspflichten. Wenn Mitarbeitende Claude Code oder Copilot für die Verarbeitung von Finanzdaten nutzen, können Bankgeheimnis- und FINMA-Anforderungen verletzt werden.

Geistiges Eigentum

Code, der mit KI-Tools generiert wird, wirft Fragen zum geistigen Eigentum auf: Wem gehört KI-generierter Code? Was passiert, wenn KI-generierter Code urheberrechtlich geschützten Code eines Dritten reproduziert? Für Schweizer Unternehmen, die Software entwickeln oder entwickeln lassen, sind diese Fragen juristisch nicht abschliessend geklärt.

Statistiken zur KI-Tool-Nutzung und -Sicherheit

• 67 Prozent der Schweizer KMU nutzen KI-Tools (gfs-zürich, 2025)
• 18 Prozent haben KI-Nutzungsrichtlinien (gfs-zürich, 2025)
• 50+ Prozent der Claude-Code-Nutzer in Unternehmen sind Nicht-Entwickler (Fortune-500-Studie, 2025)
• CVSS 8.7 — Schweregrad der Claude-Code-RCE-Schwachstelle CVE-2025-59536
• 43 Prozent der Mitarbeitenden in Unternehmen ohne KI-Richtlinie nutzen KI-Tools, die der IT unbekannt sind (Universität Bern, 2025)
• CHF 4,2 Millionen — durchschnittliche Kosten eines datenbezogenen Sicherheitsvorfalls in der Schweiz (IBM, 2025)

Verteidigungsstrategien

1. KI-Tool-Inventar erstellen

Dokumentieren Sie alle KI-Tools, die in Ihrem Unternehmen genutzt werden — auch inoffizielle. Führen Sie anonyme Umfragen durch, um Shadow-AI-Nutzung zu identifizieren, ohne Mitarbeitende zu bestrafen.

2. KI-Nutzungsrichtlinie implementieren

Erstellen Sie klare Richtlinien, die festlegen:

• Welche KI-Tools für welche Aufgaben zugelassen sind
• Welche Daten in KI-Tools eingegeben werden dürfen (und welche nicht)
• Wie API-Schlüssel und Zugangsdaten geschützt werden müssen
• Welche Genehmigungen für neue KI-Tools erforderlich sind

3. Sichere KI-Umgebungen bereitstellen

Statt KI-Tools zu verbieten (was zur Shadow-AI-Nutzung führt), stellen Sie sichere Alternativen bereit:

• Enterprise-Versionen von KI-Tools mit Datenschutzgarantien (z. B. Claude Enterprise, Copilot for Business)
• Isolierte Umgebungen (Sandboxes) für KI-Tool-Nutzung
• Zentralisierte API-Key-Verwaltung (z. B. über HashiCorp Vault)

4. Code-Review-Prozesse für KI-generierten Code

KI-generierter Code muss denselben Review-Prozessen unterliegen wie menschlich geschriebener Code — wenn nicht strengeren:

• Automatisierte Security-Scans (SAST, DAST) für allen generierten Code
• Manuelle Code-Reviews für sicherheitskritische Komponenten
• Dependency-Checks für alle vorgeschlagenen Pakete und Bibliotheken

5. Monitoring und Alerting

Implementieren Sie Überwachung für KI-Tool-Nutzung:

• Netzwerk-Monitoring für Verbindungen zu bekannten KI-API-Endpunkten
• Endpunkt-Monitoring für installierte KI-Software
• DLP (Data Loss Prevention) für sensible Daten, die an externe Dienste gesendet werden

6. Regelmässiges KI Red Teaming

Lassen Sie Ihre KI-Tool-Nutzung regelmässig durch professionelle KI Red Teams prüfen. Ein Red Team kann Shadow-AI-Nutzung identifizieren, Supply-Chain-Risiken bewerten und die Wirksamkeit Ihrer KI-Richtlinien testen.

Lesen Sie dazu auch unseren Überblick über KI-basierte Cyberangriffe und den Vergleich KI Red Teaming vs. Penetrationstest.

Handlungsempfehlungen für Schweizer KMU

Sofort (diese Woche)

1. Führen Sie eine interne Umfrage durch: Welche KI-Tools werden in Ihrem Unternehmen genutzt?
2. Prüfen Sie, ob API-Schlüssel in Projektverzeichnissen, .env-Dateien oder Konfigurationsdateien gespeichert sind
3. Deaktivieren Sie die automatische Verarbeitung von Projektdateien in KI-Tools, wo möglich

Kurzfristig (diesen Monat)

4. Erstellen Sie eine KI-Nutzungsrichtlinie
5. Implementieren Sie Enterprise-Versionen von KI-Tools mit Datenschutzgarantien
6. Schulen Sie Mitarbeitende zu den spezifischen Risiken von KI-Coding-Tools

Strategisch (dieses Quartal)

7. Implementieren Sie ein kontinuierliches KI-Tool-Monitoring
8. Lassen Sie ein KI-Security-Assessment durch einen spezialisierten Anbieter durchführen
9. Etablieren Sie einen KI-Governance-Prozess für die Einführung neuer KI-Tools

Weiterführende Ressourcen

• KI-basierte Cyberangriffe: Die neue Bedrohung
• Shadow AI Risiken für KMU
• Prompt Injection: Die grösste KI-Schwachstelle
• KI Red Teaming: Warum Ihre KI-Systeme getestet werden müssen
• KI-Sicherheit für KMU: Der Komplettleitfaden
• Supply Chain Angriffe

Fazit: KI-Coding-Tools sind Business-Tools — mit Business-Risiken

Claude Code und GitHub Copilot sind keine reinen Entwicklertools mehr. Sie sind Business-Automatisierungstools, die von Mitarbeitenden aller Abteilungen für sensible Geschäftsprozesse eingesetzt werden. Die dokumentierten Schwachstellen CVE-2025-59536 und CVE-2026-21852 zeigen, dass diese Tools reale, kritische Sicherheitsrisiken bergen.

Für Schweizer KMU ist die grösste Gefahr nicht die Schwachstelle selbst — sondern die Unsichtbarkeit der Nutzung. Wenn Ihre IT-Abteilung nicht weiss, dass Mitarbeitende Claude Code für LinkedIn-Scraping oder Finanzverarbeitung nutzen, kann sie die damit verbundenen Risiken nicht managen.

Die Lösung liegt nicht im Verbot, sondern in der kontrollierten, sicheren Bereitstellung — kombiniert mit klaren Richtlinien, Monitoring und regelmässigem Security Testing.