KI von Microsoft: Ist Ihr Unternehmen Copilot Ready?
Blog

KI von Microsoft: Ist Ihr Unternehmen Copilot Ready?

Microsofts KI-System Copilot für Office und Exchange verspricht rasante Produktivitätssteigerungen. Ob E-Mails, Präsentationen, Analysen oder Statistiken - mit dem auf ChatGPT basierenden System soll alles schneller und einfacher laufen. Doch bevor Unternehmen in die schöne neue KI-Welt starten, sollten wichtige Fragen rund um Datensicherheit, Compliance, Regulierung und Zugriffsbeschränkungen geklärt werden. Ist Ihr Unternehmen Copilot Ready? Lesen Sie hier, worauf Sie achten sollten.
6 Minuten
03. April 2024

Microsoft 365 Copilot - Ist Ihr Unternehmen bereit für KI?

  • Microsoft 365 Copilot ist eine künstliche Intelligenz, die direkt in die Microsoft Office-Programme, SharePoint und Exchange Server integriert ist.
  • Das System unterstützt Mitarbeitende bei alltäglichen Aufgaben und und erhöht so die Effizienz unterschiedlicher Abteilungen.
  • Die Einführung von Copilot hat weitreichende Auswirkungen auf den Datenschutz von Unternehmen und muss daher umfassend vorbereitet und begleitet werden.

Microsoft 365 Copilot - Ist Ihr Unternehmen bereit für KI?

Die Lizenzierung von Copilot für Microsoft 365 stellt einen gravierenderen Einschnitt in die IT-Sicherheitsarchitektur eines Unternehmens dar als der Einsatz von ChatGPT, Gemini oder anderen KI-Assistenten, die auf Large Language Models (LLM) basieren. Denn anders als ChatGPT & Co. greift Copilot nicht nur auf vorgegebene Daten zu. Das Microsoft-Tool bezieht zusätzliche Informationen aus dem Internet und – noch wichtiger – aus dem firmeneigenen Datenbestand. Copilot nutzt etwa die Daten des SharePoint-Servers und kann über Microsoft Graph auch auf Mails, Chats und Dokumente . So werden in den Antworten und Inhalten von Copilot eventuell auch Informationen sichtbar, die bisher nur Lokal in den Daten einzelner Mitarbeiter und Gruppen verfügbar gewesen sind.

„Die Einführung von Copilot in einem Unternehmen kann Auswirkungen auf die bestehende DSGVO-Konformität haben, je nachdem, wie Copilot genutzt wird und welche Daten damit verarbeitet werden. Daher ist es ratsam, die Konformität nach der Einführung von Copilot erneut zu prüfen, um sicherzustellen, dass keine Verstöße oder Risiken entstehen .“

Oliver Teich (Strategic Consultant)

Berechtigungsmodelle überprüfen und/oder einrichten

Microsoft selbst weist in der zu Copilot generell darauf hin: „Es ist wichtig, dass Sie die Berechtigungsmodelle verwenden, die in Microsoft 365-Diensten wie SharePoint verfügbar sind, um sicherzustellen, dass die richtigen Benutzer oder Gruppen den richtigen Zugriff auf die richtigen Inhalte in Ihrer Organisation haben.”

Dabei reicht es nicht aus, die Berechtigungen von Benutzern und Gruppen zu überprüfen. Auch andere Zugriffswege, wie Gastzugänge, lokale SharePoint-Berechtigungen, Freigabe-Links und externe und öffentliche Zugriffe sollten dringend überprüft werden.

Wichtig: Über freigegebene Team-Channels können auch Personen Zugriff auf Daten haben, die nicht zu Ihrem Unternehmen gehören.

Hinweis: , die über Microsoft Purview Information Protection (MPIP) vergeben wurden. Das System stellt zwar sicher, dass für KI-generierte Inhalte nur Daten verwendet werden, die für den jeweiligen Benutzer relevant sind – die Antwort selbst erhält jedoch kein MPIP-Label.

Insgesamt sollte darum eine strikte Need-to-Know-Politik im Unternehmen umgesetzt werden. Mit Copilot ist es wichtiger denn je, dass Mitarbeitende tatsächlich nur Zugriff auf die Daten haben, die für ihre jeweilige Aufgabe relevant sind. Es empfiehlt sich die Implementierung einer Zero-Trust-Architektur auf Basis des Least-Privileg-Prinzips, oder zumindest eine strenge Überprüfung sämtlicher Zugriffsrechte, sollte dies nicht möglich sein.

Überprüfung der Datenschutzbestimmungen

Microsoft behauptet, dass sowohl Microsoft 365 als auch der Copilot der Datenschutz-Grundverordnung entsprechen. Das Unternehmen verspricht auf seiner Website: “Microsoft Copilot für Microsoft 365 entspricht unseren bestehenden Datenschutz-, Sicherheits- und Compliance-Verpflichtungen gegenüber kommerziellen Microsoft-365-Kunden, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der Datenbegrenzung der Europäischen Union (EU).”

„Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung (DPIA) für die Nutzung von Copilot durchführen müssen. Eine DPIA ist eine systematische Analyse der Auswirkungen einer Datenverarbeitung auf den Schutz personenbezogener Daten.“

Oliver Teich (Strategic Consultant)

Bewertung von Zusatzvereinbarungen

Die Datenschutzkonferenz des Bundes und der Länder (DSK) und andere Aufsichtsbehörden sind jedoch der Auffassung, dass die von Microsoft angebotene Data Protection Addendum (DPA, Auftragsverarbeitungsvereinbarung) die Anforderungen des europäischen Datenschutzrechts nicht ausreichend erfüllt. Sie empfehlen Unternehmen, mit Microsoft eine zusätzliche Vereinbarung zur Auftragsverarbeitung abzuschließen oder dies zumindest kritisch zu prüfen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen beschreibt in einer Handreichung, welche Überlegungen hier wichtig sind. Im Wesentlichen empfehlen die Experten: „Eine zwischen dem Verantwortlichen und Microsoft abzuschließende Zusatzvereinbarung zum DPA sollte klarstellen, dass diese Zusatzvereinbarung gegenüber sämtlichen entgegenstehenden Vertragstexten, die seitens Microsoft einbezogen werden, Vorrang hat und diesen im Kollisionsfalle vorgeht.“ Diese Zusatzvereinbarung sollten u.a. die folgenden Punkte regeln:

  • Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind,
  • Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen
  • Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO
  • Löschen personenbezogener Daten und
  • Information über Unterauftragsverarbeiter

Sofern solche Vereinbarungen bereits abgeschlossen oder evaluiert wurden, sollten sie im Rahmen der Copilot-Einführung zumindest einer erneuten Datenschutz-Folgenabschätzung unterzogen werden.

Daten können die Grenzen des Microsoft-365-Dienstes verlassen

IT-Sicherheitskonzept überprüfen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in einer Studie zum Einsatz von KI-Sprachmodellen in Unternehmen zu dem Ergebnis, dass diese Systeme neben vielen Vorteilen auch neuartige IT-Sicherheitsrisiken bergen bzw. das Bedrohungspotenzial bekannter IT-Bedrohungen erhöhen können.

Das BSI rät daher: “Als Reaktion auf diese Bedrohungspotenziale sollten Unternehmen oder Behörden vor der Integration von großen KI-Sprachmodellen in ihre Arbeitsabläufe eine Risikoanalyse für die Verwendung in ihrem konkreten Anwendungsfall durchführen. Daneben sollten sie Missbrauchsszenarien dahingehend evaluieren, ob diese für ihre Arbeitsabläufe eine Gefahr darstellen. Darauf aufbauend können existierende Sicherheitsmaßnahmen angepasst und gegebenenfalls neue Maßnahmen ergriffen werden sowie Nutzende über die potenziellen Gefahren aufgeklärt werden.”

Vor der Einführung des Copilot-Systems sollten sich Unternehmen daher dringend einen Überblick über den aktuellen Stand ihrer IT-Sicherheitsarchitektur verschaffen. Dazu sollten nicht nur Microsoft 365, sondern auch alle anderen genutzten Programme, Apps, Dienste und Plugins überprüft werden. Microsoft selbst empfiehlt für Copilot die Einführung eines Zero-Trust-Modells.

Betriebsrat muss KI-Einsatz absegnen

Der Start ins KI-Zeitalter kann nicht allein von der Geschäftsführung oder der IT-Abteilung beschlossen werden. Da sich ein System wie Copilot signifikant auf Arbeitsabläufe und -verfahren auswirkt, muss allein in die Planung der Einführung oder für ein Pilotprojekt bereits ein vorhandener Betriebsrat einbezogen werden.

Da die KI-Systeme Leistung und Verhalten der Mitarbeiter und Mitarbeiterinnen überwachen können, hat der Betriebsrat ein Mitbestimmungsrecht, kann sogar die Schließung einer Betriebsvereinbarung zum Einsatz von KI fordern.

Mitarbeiter schulen

Der wohl wichtigste Schritt bei der Einführung des Copilot-Systems in Microsoft 365 ist die Schulung der Mitarbeiterinnen und Mitarbeiter. Dabei sollten folgende Punkte klar und verständlich an alle kommuniziert werden, die später mit Copilot arbeiten:

  • Die Aussagen der KI dürfen niemals ungeprüft übernommen werden. Microsoft selbst räumt ein: “Die Antworten, die generative KI erzeugt, sind nicht garantiert zu 100 % sachlich.” Diese etwas holprige Formulierung bedeutet: KI erfindet manchmal Informationen. Bevor man sich also auf die von Copilot gelieferten Daten verlässt, sollten diese immer unabhängig vom Copilot-System durch Mitarbeitenden überprüft werden. Denn Microsoft bietet die Copilot-Informationen nur im Rahmen der Best-Effort-Qualitätsrichtlinien an, übernimmt so keine Haftung für die Richtigkeit der Aussagen des Systems.
  • Die Nutzung von Copilot führt dazu, dass für jeden Nutzer ein sogenannter semantischer Index erstellt wird. Er dient dazu, in Zukunft Inhalte zu erstellen, die authentisch klingen und dem jeweiligen Stil des Nutzers entsprechen. Dazu analysiert die KI über mehrere Wochen die Eigenheiten und Gewohnheiten ihrer Nutzer.
  • Alle Anfragen an die KI werden zunächst gespeichert und können später jederzeit vom Nutzer (und von höheren Administratoren) in der Copilot-Interaktions-Historie eingesehen werden. Dies gilt nicht nur für Eingaben in Anwendungen wie Word, PowerPoint oder Excel, sondern auch für Teambesprechungen, in denen die automatische Transkriptionsfunktion von Copilot aktiviert wurde.
„Die Erstellung von individuellen Sprachprofilen für einzelne Nutzer kann mit dem EU-Datenschutz-Recht vereinbar sein, wenn einige Faktoren berücksichtigt und eingehalten werden. Copilot bietet verschiedene Möglichkeiten, die Erstellung von individuellen Sprachprofilen für einzelne Nutzer zu steuern und zu verwalten, zum Beispiel durch die Auswahl der Datenquellen, die Einstellung der Datenschutzebene und die Löschung, Einsehbarkeit und Korrigierbarkeit der Daten Daten durch den Nutzer.“

Oliver Teich (Strategic Consultant)

Mit Copilot bereit für die KI-Revolution

Copilot bietet großartige Möglichkeiten: Er vereinfacht alltägliche Büroarbeiten, erstellt automatisch Konferenzaufzeichnungen, gestaltet Präsentationen und bereitet Daten übersichtlich auf. Diese mächtigen Fähigkeiten bedeuten aber auch einen weitreichenden Eingriff in die Datenschutzstruktur eines Unternehmens.

Die Einführung des Copilot-Systems muss daher auf vielen Ebenen vorbereitet, begleitet und gesteuert werden. Nur wenn ein Unternehmen umfassend auf den KI-Assistenten vorbereitet ist, kann es die Möglichkeiten und Chancen des Systems voll ausschöpfen. Werden hingegen Fehler bei der Implementierung gemacht, drohen neben regulatorischen Problemen auch tatsächliche Datenschutzlecks in der Office-Architektur.

Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
Cloud Platform Security
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
Identität trifft Resilience
Mehr erfahren
NIS2
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Assessment & Advisory
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen