Die Einführung von Microsoft 365 Copilot verspricht enorme Produktivitätssteigerungen – birgt aber ein massives Datenschutz- und Sicherheitsrisiko. Copilot arbeitet auf Basis des semantischen Index und greift auf alle Daten zu, auf die der anfragende Mitarbeiter Zugriff hat. Existiert in Ihrer Microsoft-Umgebung ein Datenchaos mit falsch konfigurierten Berechtigungen, listet Copilot plötzlich sensible E-Mails des Vorstands, Gehaltsabrechnungen oder Patente für unbefugte Mitarbeiter auf.
Das größte Datenschutzrisiko bei Microsoft Copilot
Viele Unternehmen konfigurieren Freigaben in SharePoint und Teams nach dem Prinzip „Wird schon passen“. Copilot deckt diese Lücken schonungslos auf:
- Das Over-Sharing-Problem: Ein Mitarbeiter fragt Copilot: „Was verdient der Geschäftsführer?“ Hat der Geschäftsführer vor Jahren eine Excel-Tabelle in einem Ordner abgelegt, der fälschlicherweise für „Alle Mitarbeiter“ freigegeben ist, liest Copilot die Antwort direkt aus.
- DSGVO-Verstöße: Personenbezogene Daten von Kunden oder Bewerbern dürfen nur einem eng begrenzten Personenkreis zugänglich sein. Copilot verarbeitet diese Daten im Hintergrund und kann sie bei Prompts unbefugter Mitarbeiter ausgeben.
- Sicherung von geistigem Eigentum: Konstruktionspläne, Patente oder vertrauliche Strategiepapiere müssen durch Verschlüsselung und Klassifizierung (Labels) aktiv vor der automatischen Indexierung durch KI-Modelle geschützt werden.
Als Spezialist für M365-Sicherheit in Ulm unterstützen wir Sie bei der Bereinigung Ihrer Freigaben, der Konfiguration von Vertraulichkeitsbezeichnungen (Sensitivity Labels) und dem datenschutzkonformen Rollout von Copilot.
🛠️ Technische Copilot-Absicherung & Microsoft Purview Richtlinien
Für Microsoft 365 Global Admins und CISOs sind folgende technische Schritte zwingend erforderlich, bevor Copilot-Lizenzen im Tenant zugewiesen werden:
1. Implementierung von Microsoft Purview Sensitivity Labels
Erstellen Sie Vertraulichkeitsbezeichnungen (z. B. Streng vertraulich) in Microsoft Purview. Copilot respektiert diese Labels: Dokumente mit Labels, die dem Benutzer keine Leserechte gewähren, werden von Copilot nicht indexiert und fließen nicht in die Antworten ein.
# PowerShell: Abfrage aller SharePoint-Seiten ohne Vertraulichkeitslabel
Get-SPOSite | Select-Object Url, SensitivityLabel | Where-Object {$_.SensitivityLabel -eq ""}
# Alle unbeschrifteten Seiten stellen ein potenzielles Over-Sharing-Risiko dar!
2. Einschränkung des Copilot-Zugriffs auf SharePoint-Seiten
Wenn Sie sensible SharePoint-Seiten haben, die temporär komplett von der Copilot-Suche ausgeschlossen werden sollen, deaktivieren Sie die Indizierung in den Websiteeinstellungen:
- Navigieren Sie zu:
Websiteeinstellungen->Such- und Offlineverfügbarkeit. - Stellen Sie „Indizierung dieser Website zulassen?“ auf **Nein**.
- Dadurch wird die Seite und all ihre Dokumente innerhalb von 24 Stunden aus dem semantischen Index von Copilot entfernt.
3. Data Loss Prevention (DLP) & Tenant Restrictions
Aktivieren Sie Richtlinien zur Verhinderung von Datenverlust (DLP), die das Kopieren oder Herunterladen von vertraulichen Inhalten, die durch Copilot generiert wurden, auf nicht-verwaltete private Endgeräte blockieren.
Sie planen die Einführung von Microsoft 365 Copilot? Wir führen ein Vorbereitungs-Audit durch, beseitigen Over-Sharing-Risiken und konfigurieren Ihre Microsoft Purview Richtlinien rechtssicher.
Haben Sie Fragen zu diesem Thema?
Wir unterstützen kleine und mittelständische Unternehmen bei der Absicherung, Cloud-Migration und gesamten IT-Betreuung.