Die Datenschutzrisiken bei der Einführung von Copilot für Microsoft 365

Microsoft übernimmt die Führung, wenn es um KI-gestützte Ökosysteme geht. Der neu eingeführte Copilot KI-Assistent für Microsoft 365 nutzt Unternehmensdaten, um den Nutzern ein nahtloses Arbeitserlebnis zu bieten. Doch mit einer großen Menge an Daten geht auch große Verantwortung einher. KI-gestützte Tools steigern die Produktivität und erzeugen gleichzeitig erhebliche neue Datenmengen, die gesichert werden müssen. Gleichzeitig erhöhen diese Tools das Risiko einer unbeabsichtigten Offenlegung sensibler Informationen.

Was ist Copilot für Microsoft 365?

Copilot ist Microsofts KI-Arbeitsassistent, der sich in Microsoft 365 (M365)-Apps wie Outlook, Word, Excel, Teams und andere Apps integriert, um ein nahtloses und ganzheitliches Workflow-Produktivitätstool zu schaffen. Erstmals am 1. November 2023 eingeführt, bittet der KI-gestützte Assistent die Nutzer um eine Eingabeaufforderung, um Inhalte zu generieren und ihnen dabei zu helfen, Meetings zu planen, E-Mails zu versenden, Präsentationen zu erstellen und andere Aufgaben produktiver zu erledigen. Die Hauptvorteile von Copilot für Microsoft 365 sind:

• Fähigkeit für Benutzer, in Echtzeit Vorschläge zu erhalten, wenn sie E-Mails verfassen, Dokumente erstellen, Code schreiben oder andere arbeitsbezogene Aufgaben erledigen. Copilot kann Ihre Bedürfnisse voraussehen und individuelle Vorschläge anbieten, wodurch Zeit gespart und die Produktivität gesteigert wird.
• Automatisierung von Routineaufgaben wie das Organisieren von Dateien, das Planen von Kalenderterminen und das Erstellen von Berichten.
• Zusammenfassung von Teammeetings und Gesprächen, die mit dem Rest der Organisation geteilt werden können, damit alle über wichtige Diskussionen und Entscheidungen auf dem Laufenden sind.
• Lernt aus Ihren Aktionen und Vorlieben, um seine Vorschläge individuell anzupassen und sich intuitiv an Ihren eigenen Arbeitsstil anzupassen.

Microsofts Hauptziel mit Copilot für M365 ist es, Nutzern und Organisationen zu helfen, schneller, kreativer und effizienter zu arbeiten.

Was macht Copilot einzigartig?

Im Gegensatz zu anderer KI-gestützter Software nutzt Copilot für Microsoft 365 gleichzeitig den Kontext und die Intelligenz des Internets, integriert Arbeitsdaten und synchronisiert sich mit laufenden Aufgaben auf verschiedenen Geräten, um den Nutzern erweiterte KI-Funktionen für ihre Arbeitsaufgaben zu bieten. Aber das Beste daran ist: Wussten Sie, dass Copilot nicht auf Microsoft 365 beschränkt ist?

Copilot umfasst verschiedene Microsoft Copilots, die spezialisierte KI-Engines nutzen, um unterschiedliche Anwendungsfälle abzudecken. Daher sollte Copilot eher als ein neuer Technologiestack und nicht nur als einfaches Produktivitätstool verstanden werden. Zum Beispiel umfasst die Suite Microsoft Copilot for Sales und Microsoft Service Copilot; beide beinhalten und erweitern Copilot für Microsoft 365, das im Laufe des Jahres 2024 aktualisiert und eingeführt wird.

Da Copilot eine umfassende KI-Suite von Technologien bildet, müssen sich die Nutzer der inhärenten Risiken bei der Nutzung dieser Technologie bewusst sein. Laut dem Gartner-Bericht Assessing the Impact of Microsoft’s Generative AI Copilots on Enterprise Application Strategy sind „Microsoft Copilots auf einer komplexen Wechselwirkung neuer und bestehender Microsoft-Technologien aufgebaut, die, wenn sie nicht richtig bewertet werden, zu Risiken wie mangelhafter Compliance und Datenverwaltung führen können.“

Welche Risiken für die Datensicherheit bestehen bei der Einführung von Microsoft Copilot für 365?

Viele Organisationen sind noch nicht vollständig darauf vorbereitet, die Risiken im Zusammenhang mit der großflächigen Einführung von Microsofts Copilot für M365-Technologien zu bewältigen. Microsoft gibt an, dass das im Microsoft 365-Mandanten integrierte Zugriffskontrollsystem so konzipiert ist, dass versehentliche Datenfreigaben zwischen Benutzern, Gruppen und verschiedenen Mandanten verhindert werden. Darüber hinaus ist Microsoft Copilot für Microsoft 365 so eingerichtet, dass nur Informationen angezeigt werden, auf die ein Benutzer Zugriff hat, wobei die gleichen Datenzugriffsmechanismen verwendet werden, die in verschiedenen Microsoft 365-Diensten implementiert sind. Dennoch ist es für viele Organisationen eine Herausforderung, Transparenz darüber zu erlangen, wo sensible Daten gespeichert sind. Das gilt auch für den Umgang mit Datenzugriffskontrollen und Microsoft-Sensitivitätsbezeichnungen (Microsoft Information Protection oder „MIP“) innerhalb von Microsoft 365. Im Folgenden sind einige der wichtigsten Risiken aufgeführt, die Copilot für Microsoft 365 mit sich bringt:

• Offenlegung sensibler Daten: Fehlende Transparenz in Bezug auf sensible Dateien und Datenspeicher, kombiniert mit übermäßigen Zugriffsberechtigungen, kann dazu führen, dass sensible Daten unbefugten Nutzern offengelegt werden. Während die Offenlegung sensibler Daten gegenüber Mitarbeitenden bereits eigene Risiken birgt, vervielfachen sich diese Risiken, wenn böswillige Insider oder Bedrohungsakteure beschließen, die laschen Zugriffsebenen auszunutzen.
• Offenlegung von durch Copilot generierten sensiblen Daten: Die Nutzung verschiedener Datenquellen durch Copilot kann dazu führen, dass Nutzer sich der generierten Inhalte, die sensible Informationen wie vertrauliche Geschäftsdaten oder Mitarbeiterdaten enthalten, nicht bewusst sind. Dies könnte zu einer unbeabsichtigten Weitergabe sensibler Daten an Dritte und unbefugte Nutzer führen.
• Unsachgemäße Verwendung von Sensitivitätsbezeichnungen: Neu erstellte Inhalte übernehmen die Sensitivitätsbezeichnungen der Dateien, auf die Copilot bei der Erstellung des Inhalts Bezug genommen hat. Dies verschärft das Problem der inkonsistenten Kennzeichnung sensibler Dateien, was eine aktive Durchsetzung erfordert und das Risiko erhöht, dass sensible Daten unbefugten Parteien offengelegt werden.

Wie hilft Cyera dabei, diese Risiken zu mindern?

Cyera vereint wichtige Lösungen zur Erkennung, Klassifizierung und Behebung in einer einzigen Plattform, um Ihre Daten in der Microsoft 365-Umgebung zu schützen. Hier sind die wichtigsten Aspekte, bei denen Cyera Ihnen helfen kann, Antworten zu finden und Lösungen zu bieten:‍

Welche Daten habe ich und wo befinden sie sich?
Cyera erkennt und klassifiziert automatisch alle sensiblen Daten, die in SharePoint- und OneDrive-Datenspeichern in Ihrer Microsoft 365-Umgebung gespeichert sind.

Wer kann auf die Daten zugreifen?
Cyera ermöglicht es Ihnen, zu sehen, auf welche Arten von Datenklassen und Datenspeichern Copilot-Benutzer Zugriff haben. Cyera hilft Ihnen außerdem, Anomalien bei den Zugriffsberechtigungen zu erkennen, wie zum Beispiel einen Mitarbeiter aus dem Personalwesen mit Zugriff auf Kundendaten. Cyera hebt kritische Exponierungen, Probleme mit der Datensicherheitslage und Risiken im Zusammenhang mit zu großzügigen Zugriffsrechten innerhalb von Microsoft 365-Umgebungen hervor und priorisiert diese – unabhängig davon, ob sie durch öffentlichen Zugriff, organisationsweiten Zugriff oder individuellen Zugriff entstehen.

Wie kann ich die richtige Sensitivitätskennzeichnung für Daten zuweisen?‍

Cyera erkennt Dateien, die falsche Microsoft-Sensitivitätsbezeichnungen aufweisen und nicht mit den bestehenden Informationsschutzrichtlinien übereinstimmen. Cyera weist automatisch die korrekten Sensitivitätsbezeichnungen den vorhandenen, von Microsoft Copilot referenzierbaren Dateien zu. Dadurch wird auch sichergestellt, dass neu generierte Inhalte die richtigen Bezeichnungen von ihren Ursprungsdateien erben.

Unternehmen, die mit Microsoft 365 arbeiten, wählen Cyera, um ihre Datensicherheit und Cyber-Resilienz zu verbessern, Datenschutz und regulatorische Compliance zu gewährleisten und die Kontrolle über ihr wertvollstes Gut – ihre Daten – zu gewinnen.

Erfahren Sie mehr darüber, wie Cyera Ihnen helfen kann, die sichere Nutzung von Microsoft Copilot zu verbessern, und vereinbaren Sie noch heute eine Demo.