Copilot in regulierten Umgebungen: 5 Voraussetzungen für den sicheren Einsatz

Copilot verspricht enorme Produktivitätsgewinne. In regulierten Umgebungen kann es aber zum unkontrollierten Datenscanner werden, der alles sichtbar macht, worauf Nutzer theoretisch Zugriff haben. Diese fünf Voraussetzungen müssen erfüllt sein, bevor Copilot ausgerollt wird.

Warum Copilot ein Compliance-Thema ist

Copilot greift auf dieselben Daten zu wie der Benutzer. E-Mails, Dokumente in SharePoint und OneDrive, Teams-Nachrichten, OneNote. Es kann diese Daten durchsuchen, zusammenfassen und in neuen Kontexten präsentieren.

Das Problem: In den meisten M365-Umgebungen sind Berechtigungen historisch gewachsen. Viele SharePoint-Sites sind für alle Mitarbeiter zugänglich. Das war nie ein großes Problem, weil niemand aktiv in fremden Ordnern gesucht hat. Copilot ändert das. Es sucht aktiv und findet alles, worauf der Nutzer Zugriff hat.

Für regulierte Unternehmen, also Versicherungen mit BaFin-Aufsicht, KRITIS-Betreiber unter NIS2, Unternehmen mit ISO-Zertifizierung, ist unkontrollierter Datenzugriff durch KI ein Compliance-Verstoß.

Voraussetzung 1: Datenklassifizierung abschließen

Bevor Copilot aktiviert wird, müssen alle sensiblen Daten klassifiziert sein. Sensitivity Labels in Purview sind das Werkzeug dafür. Ein 4-stufiges Modell (Öffentlich, Intern, Vertraulich, Streng vertraulich) hat sich bewährt. Auto-Labeling skaliert die Klassifizierung auf bestehende Dokumente. Ohne Klassifizierung weiß Copilot nicht, welche Daten sensibel sind und behandelt alles gleich.

Voraussetzung 2: Berechtigungen bereinigen

Oversharing ist das größte Copilot-Risiko. Identifizieren Sie alle SharePoint-Sites und OneDrive-Ordner mit zu breiten Berechtigungen. Besonders kritisch: die Berechtigung „Alle außer externe Benutzer", die in vielen Tenants Standard ist. SharePoint Access Reviews und Permission Reports helfen bei der Identifikation. Die Bereinigung erfordert Abstimmung mit den Fachbereichen. Planen Sie dafür Zeit ein.

Voraussetzung 3: DLP produktiv schalten

DLP-Policies müssen aktiv sein, bevor Copilot ausgerollt wird. Copilot muss denselben Schutzmaßnahmen unterliegen wie jeder andere Zugriffsweg. Wenn DLP verhindert, dass ein Nutzer eine Gehaltsliste per Mail verschickt, muss es auch verhindern, dass Copilot die Gehaltsliste in einer Zusammenfassung zitiert.

Voraussetzung 4: Pilotgruppe definieren

Rollen Sie Copilot nicht unternehmensweit aus. Starten Sie mit einer kontrollierten Pilotgruppe. IT-Team und Compliance-Abteilung sind ideal. Diese Gruppe testet Copilot unter realen Bedingungen und dokumentiert auffällige Datenzugriffe. Typische Pilotphase: 4 bis 6 Wochen.

Voraussetzung 5: Monitoring einrichten

Richten Sie Monitoring für Copilot-Nutzung ein. Der M365 Audit Log protokolliert Copilot-Interaktionen. Definieren Sie Alerts für ungewöhnliche Zugriffsmuster. Reviewen Sie die Copilot-Nutzung monatlich und passen Sie Berechtigungen und Labels basierend auf den Erkenntnissen an.