Microsoft 365 Copilot sicher einführen: Das müsst ihr wissen
Auch 2025 bleibt künstliche Intelligenz, insbesondere Microsoft 365 Copilot, ein zentrales Thema. Viele Unternehmen stehen vor der Pilotierung oder Einführung dieser Technologie. Falls auch ihr dazu gehört, haben wir die wichtigsten Grundlagen vorbereitet, die ihr vorab prüfen oder umsetzen solltet. Besonders wichtig: eine gründliche Auseinandersetzung mit Sicherheits- und Datenschutzaspekten, um eine sichere Implementierung zu gewährleisten. In diesem Artikel erfahrt ihr, worauf es dabei ankommt, um Microsoft Copilot optimal zu nutzen.
Übersicht
- Oversharing kennen & kontrollieren
- SharePoint Advanced Management
- Grundlegende Sicherheit im Tenant herstellen
- Aktualisierung der Office-Applikationen
- Datenschutz & Datensicherheit
Oversharing kennen & kontrollieren
Der Begriff “Oversharing” wird in den letzten Monaten oft verwendet, doch was bedeutet er im Zusammenhang mit der Vorbereitung auf Microsoft 365 und der Einführung von Copilot?
Was ist Oversharing?
Oversharing, oder das “Überteilen” von Daten, bedeutet, dass Personen auf Daten zugreifen können, auf die sie eigentlich keinen Zugriff haben sollten. Dieses Problem tritt häufig aufgrund mangelnder Datenkontrolle auf. Ein IT-Magazin titelte im November 2024: “Copilot lässt Mitarbeiter die E-Mails ihrer Chefs lesen”. Diese Aussage ist jedoch faktisch falsch. Derartige Vorfälle sind nicht auf Copilot zurückzuführen, sondern auf unzureichende Datenkontrollen und Oversharing.
Der Microsoft Copilot basiert auf den Daten, die dem Nutzer zur Verfügung stehen. Er erhält keine zusätzlichen Berechtigungen, sondern verwendet einen Index, der es erleichtert, auf Informationen zu stoßen oder Dinge zu finden, von denen man nicht wusste, dass man darauf Zugriff hat.
Arten von Microsoft Teams
Wir unterscheiden bei Teams zwischen privaten und öffentlichen Teams. Befinden sich sensible oder geschützte Dokumente in öffentlichen Teams, können diese von allen Mitarbeitenden im Unternehmen eingesehen und somit auch von Copilot indexiert werden.
Es spricht grundsätzlich nichts dagegen, weiterhin auch öffentliche Teams zu nutzen – sogar viele davon. Wichtig ist jedoch sicherzustellen, dass die darin geteilten Informationen und Dokumente für alle zugänglich sein dürfen.
Empfehlung
Überprüft regelmäßig, welche Daten in euren Teams abgelegt sind, und räumt gegebenenfalls auf. Häufig handelt es sich um Altlasten, die beispielsweise aus der Einführungszeit von Microsoft Teams stammen und im Laufe der Zeit gewachsen sind.
Zugriff auf Daten in SharePoint Online
Die Dokumente, die in öffentlichen Teams abgelegt sind, befinden sich bekanntermaßen auch in SharePoint. Neben den Team-Sites in SharePoint gibt es jedoch auch eigenständige SharePoint-Sites und -Bibliotheken. Häufig haben auch hier alle oder viele Mitarbeitende Zugriff.
Empfehlung
Überprüft die Zugriffs- und Berechtigungseinstellungen auf den wichtigen SharePoint-Sites. Häufig verstecken sich dort beispielsweise “Alle Benutzer”-Objekte in den Gruppen der “Website-Besucher”.
Dokumente und Ordner (ab jetzt) richtig teilen
Ein weiterer, häufiger Fehler sind die sogenannten “Everyone Except External”-Links, mit denen Dokumente oder Ordner geteilt werden.
Praktisch, aber gefährlich: Wählt man beim Teilen eines Dokuments den Linktyp “Personen in meiner Organisation”, erhält jede Person, die den Link verwendet, Zugriff auf die Datei – und somit auch Copilot, da dieser immer im Benutzerkontext agiert.
Solche Links auf ganze Ordner, deren Inhalte sich über Monate oder Jahre verändern, führen häufig zu Oversharing-Vorfällen. Diese Art von Link bleibt wichtig und praktisch, sollte jedoch nicht als Standardeinstellung verwendet werden. Ein einfacher Tipp kann hier Abhilfe schaffen.
Empfehlung
Im SharePoint-Admincenter findet ihr unter „Richtlinien“ den Abschnitt „Datei- und Ordnerlinks“. Setzt hier die Standardeinstellung auf „Bestimmte Personen“. Dadurch wird die Option „Nur Personen in meiner Organisation“ erst durch bewusstes Anklicken verfügbar.
SharePoint Advanced Management
Eine neue zentrale Möglichkeit, um das volle Potenzial auszuschöpfen, ist die Nutzung der SharePoint Advanced Management-Funktionen. Diese ist seit dem 01.01.2025 in allen M365 Copilot Lizenzen inkludiert. Das bedeutet, egal ob man 1 oder 10.000 M365 Copilot Lizenzen hat, SharePoint Advanced Management ist jetzt inklusive.
SharePoint Advanced Management umfasst eine Vielzahl von Funktionen rund um die Themen Data Oversharing, Governance und Security. Bisher war dieses Add-On zusätzlich zu lizenzieren und hat deswegen kaum Beachtung gefunden. Die Funktionen und Möglichkeiten, die darin stecken, sind aber beachtlich und waren schon immer eine sinnvolle Ergänzung für die Administration und Vorbereitung von SharePoint Online in Bezug auf eine Einführung von künstlicher Intelligenz, wie Copilot. Microsoft beschreibt 4 Säulen, die SAM unterstützt:
Thema | Beschreibung |
---|---|
Verwalten von Content-Wildwuchs | Unterstützung der Administratoren bei der Verwaltung einer stetig wachsenden Anzahl an Dateien |
Oversharing verhindern | Erkennung und Verhinderung von Oversharing, z. B. durch defekte Berechtigungsvererbungen |
Zugriff von Copilot auf Inhalte verwalten | Tools zur Echtzeitkontrolle darüber, auf welche Dokumente Copilot zugreifen darf und auf welche nicht |
Verwaltung des Dokumenten-Lifecycle | Unterstützung bei der Überwachung und Steuerung aktiver und inaktiver SharePoint-Inhalte |
Empfehlung
Wir empfehlen jedem, der sich aktuell mit M365 Copilot beschäftigt, diese Funktionen zu aktivieren und zu nutzen. Dazu gehören insbesondere die Data Access Governance, Site Lifecycle Management und Restricted Access Control Policy sowie die Funktionen, von denen einige noch in der Preview sind (Oversharing Baseline Report und Restricted Content Discoverability Policy).
Mehr Details zu SharePoint Advanced Management findet ihr auf der offiziellen Seite von Microsoft.
Grundlegende Sicherheit im Tenant herstellen
Neben dem Zugriff auf Daten durch Copilot sollten wir sicherstellen, dass unser Tenant umfassend abgesichert ist. Der Einsatz künstlicher Intelligenz macht dies spätestens jetzt unverzichtbar. Es gibt zahlreiche Maßnahmen zur Absicherung – hier ein Überblick mit den wichtigsten Punkten.
Umsetzung Zero Trust
Der Begriff Zero-Trust ist in aller Munde – wahrscheinlich bist du ihm auch schon begegnet. Doch was bedeutet das genau, besonders im Kontext von Copilot? Kurz gesagt: Zero-Trust bedeutet in diesem Fall, dass niemand pauschalen Zugriff auf alles erhält, sondern nur auf die Ressourcen, die aktuell benötigt werden. Dieses Prinzip, bekannt als Least Privileged Access, ist essenziell, um Daten und Systeme vor unberechtigtem Zugriff zu schützen. Es knüpft direkt an Themen wie Oversharing an, da der Fokus darauf liegt, nur die notwendigen Informationen freizugeben.
Doch Zero-Trust beschränkt sich nicht nur auf SharePoint. Es betrifft auch den Zugriff auf E-Mails in Outlook, Kundeninformationen im CRM-System und andere sensible Bereiche. Mit der zunehmenden Integration von Copilot und künstlicher Intelligenz in Microsoft 365 und darüber hinaus gewinnt dieses Konzept weiter an Bedeutung. Je früher du und dein Team euch damit auseinandersetzt, desto besser seid ihr für die Zukunft gerüstet.
Zero-Trust: Besonders wichtig für Administratoren
Für Admins gewinnt das Thema noch mehr an Bedeutung: Mit der Einführung von Copilot in den Admincentern und dem Security-Copilot wird es unverzichtbar, administrative Zugriffe abzusichern. Tools wie Privileged Identity Management (PIM) sind hierbei entscheidend, um sicherzustellen, dass Admin-Rechte nur dann vergeben werden, wenn sie wirklich benötigt werden – und selbst dann nur zeitlich begrenzt und streng überwacht.
Mehrfaktor-Authentifizierung & Bedingter Zugriff? Ein Muss
Ein weiteres Kernelement der Sicherheit ist die Einrichtung von Multi-Faktor-Authentifizierung (MFA) und Conditional Access für alle Entra-ID-Konten in Microsoft 365. Microsoft forciert diese Einstellungen zunehmend, sodass du sicherstellen solltest, dass sämtliche Konten in deiner Organisation entsprechend abgesichert sind.
Warum ist das so wichtig? Technisch gesehen hat die Nutzung von Copilot nichts direkt mit MFA oder Conditional Access zu tun. Doch es geht darum sicherzustellen, dass die Person, die sich anmeldet, tatsächlich diejenige ist, für die sie sich ausgibt. Denn es wäre fatal, wenn ein Angreifer Zugriff auf einen leistungsstarken KI-Assistenten erhält.
Sicherheit ist mehr als nur Grundlagen
Natürlich sind Zero-Trust, MFA und Conditional Access nur der Anfang. Ein wirklich sicherer Tenant umfasst viele weitere Aspekte. Microsoft bietet eine breite Palette an Sicherheitslösungen, darunter die Microsoft Defender-Produkte, Entra ID, Sentinel und viele mehr. Diese Tools helfen dir, deine Organisation noch besser zu schützen und Sicherheitslücken zu schließen.
Empfehlung
Wenn du Unterstützung bei der Umsetzung benötigst oder unsicher bist, wo du anfangen sollst, helfen wir dir gerne weiter. Sicherheit ist eine Reise – und wir begleiten und unterstützen dich dabei, die richtigen Schritte zu machen, um dein Unternehmen zu schützen.
Mehr zu unserem Security Consulting Angebot erfahren Mehr über unser Cloud Security Operations Center erfahren
Aktualisierung der Office-Applikationen
Der volle Mehrwert von Microsoft Copilot entfaltet sich erst durch die Integration des AI-Assistenten in den installierten Office-Applikationen (M365 Apps). Dazu gehören aktuell Word, Excel, PowerPoint, OneNote, Outlook und Teams.
Allerdings unterscheidet Microsoft die Verfügbarkeit und Funktionen von Copilot je nach Version der installierten Apps. Wenn bei Benutzenden beispielsweise der Semi-Annual Enterprise Channel eingerichtet ist, stehen ihnen die KI-Features von Microsoft nicht zur Verfügung.
Empfehlung
Stellt sicher, dass eure Office-Apps mindestens den Monthly Enterprise Channel oder idealerweise den Current Channel nutzen. Nur so gewährleistet ihr, dass Copilot und die neuesten Funktionen nahtlos verfügbar sind.
Doch das ist nur ein Teil des Gesamtbildes. Themen wie Application Lifecycle Management und der Einsatz moderner Software-Management-Plattformen spielen eine entscheidende Rolle, insbesondere in Verbindung mit Intune. Hierbei unterstützt euch unsere Lösung RealmJoin, um den Prozess effizient zu gestalten und eure Anwendungen stets auf dem neuesten Stand zu halten.
RealmJoin ist die Cloud-basierte Ergänzung zu Microsoft Intune und das fehlende Puzzlestück auf dem Weg zu einer umfassenden Client-Management-Plattform. Es erleichtert die Bereitstellung von fast 2.000 vorgefertigten Standardanwendungen für Intune in hoher Qualität – eine moderne Paketfabrik für benutzerdefinierte Anwendungen, ergänzt durch zusätzliche Funktionen wie LAPS, Remote-Support und Runbook-Automatisierung.
Datenschutz & Datensicherheit
Gerade in europäischen Unternehmen stößt man auf Vorbehalte, wenn es um die Einführung von Microsoft Copilot geht – und das ist absolut nachvollziehbar. Neue Technologien können Unsicherheit auslösen, insbesondere wenn es um sensible Themen wie Datenschutz und Kontrolle geht.
Wenn ihr Copilot einführen möchtet, denkt daran, dass es nicht nur um die Technik geht. Setzt euch frühzeitig mit den entsprechenden Datenschutz- und Sicherheitsanforderungen auseinander. Holt dabei alle relevanten Stakeholder ins Boot – dazu gehören der interne oder externe Datenschutzbeauftragte, euer CISO, Betriebsräte, Compliance-Administratoren und andere Verantwortliche. Besprecht Vorbehalte und Fragen offen miteinander. Oft lassen sich diese Bedenken durch klare Informationen und bestehende Richtlinien ausräumen.
Microsoft bietet umfassende Dokumentationen und Erklärungen, die zeigen, wie, wann und wo Daten verarbeitet werden. Hier sind die wichtigsten Fakten:
- Grounding der KI-Modelle: Die von Copilot genutzten KI-Modelle greifen nicht direkt auf eure Daten zu. Stattdessen erfolgt der Zugriff über den Microsoft Graph und ist strikt auf den Benutzerkontext beschränkt.
- Datenschutz- und Sicherheitsstandards: Copilot erfüllt alle relevanten Datenschutz-, Sicherheits- und Compliance-Vorgaben, darunter die DSGVO, die EU-Datenschutzgrundverordnung sowie Standards wie ISO/IEC 27018 und den EU AI-Act.
- EU-Data Boundary: Alle Daten werden so nah wie möglich am Benutzer verarbeitet, jedoch immer innerhalb der EU. Die sogenannte EU-Data Boundary wird strikt eingehalten.
- Verschlüsselung: Eingaben (Prompts) und Ergebnisse werden verschlüsselt und niemals zur Weiterentwicklung von KI-Modellen (LLMs) genutzt.
- Compliance und Nachvollziehbarkeit: Prompts und Ergebnisse werden verschlüsselt im Tenant gespeichert. Sie können im Rahmen gesetzlicher Anforderungen analysiert werden, beispielsweise für Prüfungen oder bei richterlichen Anordnungen. Der Zugriff darauf ist nur mit speziellen Berechtigungen, etwa über Content Search oder eDiscovery, möglich.
- Sicherheitsmaßnahmen: Microsoft schützt seine Dienste, einschließlich Copilot, durch logische Isolierung, physische Sicherheitsmaßnahmen und Verschlüsselungstechnologien. Plug-Ins haben nur eingeschränkten Zugriff auf verschlüsselte Inhalte.
- Responsible AI: Microsoft legt großen Wert auf die verantwortungsvolle Nutzung von KI. Der Fokus liegt darauf, KI-Services positiv und ethisch einzusetzen und ihren Missbrauch für illegale oder fragwürdige Zwecke zu verhindern.
Empfehlung
Indem ihr euch frühzeitig mit diesen Themen beschäftigt und die relevanten Personen einbindet, schafft ihr Vertrauen und legt den Grundstein für eine erfolgreiche Einführung. Viele Bedenken lassen sich bereits durch die bestehenden Sicherheitsmaßnahmen und Richtlinien von Microsoft entkräften. Wenn ihr Unterstützung benötigt, stehen wir euch gerne zur Seite. Datenschutz und Sicherheit sind entscheidend – und wir helfen euch, diese Anforderungen optimal umzusetzen.
Mehr Informationen und Hintergrundwissen gibt es direkt bei Microsoft an verschiedenen Stellen wie:
- https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-privacy
- https://support.microsoft.com/de-de/topic/was-ist-verantwortungsvolle-ki-33fc14be-15ea-4c2c-903b-aa493f5b8d92
- https://learn.microsoft.com/de-de/copilot/microsoft-365/microsoft-365-copilot-architecture-data-protection-auditing