Künstliche Intelligenz verbreitet sich rasant und auch Microsoft Copilot verspricht, den Arbeitsalltag der Mitarbeiterinnen und Mitarbeiter enorm zu erleichtern. Für die Aufbereitung von Präsentationen, E-Mails oder Zusammenfassungen nutzt die KI gespeicherte Dokumente, E-Mails und Dateien in SharePoint und OneDrive von Microsoft 365, auf die der Nutzer Zugriff hat. Dabei ist es möglich, dass das Tool aufgrund von ungünstigen standardmäßigen Freigabekonfigurationen auf sensible Informationen stößt, die für den Nutzer eigentlich nicht zugänglich sein sollten. Das ist ein echtes Sicherheitsrisiko – und ein Albtraum für CISOs und Admins!
Datenlecks durch Teilen in Teams und Copilot-Suche in OneDrive und SharePoint
So praktisch der digitale Assistent auch ist – sein Einsatz kann schnell zu ungewollten Datenfreigaben führen: Sensible Daten können durch die Informationsbeschaffung von Copilot in die falschen Hände geraten. Selbst wenn Mitarbeiter des Unternehmens keinen direkten Zugangslink erhalten und nichts von dem Dokument wissen, hat Copilot dennoch Zugriff darauf und kann Informationen aus dem Dokument auslesen und in Rechercheergebnisse einfließen lassen. Wenn die Freigabeeinstellungen nicht richtig konfiguriert sind, erhöht das Teilen von Dateien in einem Teams-Channel ebenfalls das Risiko eines Datenlecks im Zusammenhang mit Copilot, denn diese Dateien werden auch in SharePoint gespeichert. Besonders kritisch wird es, wenn externe Microsoft 365-Gastnutzer Copilot nutzen, um an Informationen von dem Unternehmen zu gelangen, auf die sie eigentlich keine direkten Zugriffslinks haben.
Starkes Berechtigungsmanagement für Microsoft 365-Daten erforderlich
Alle Organisationsdaten, für die einzelne Nutzer mindestens über Anzeigeberechtigungen verfügen, werden von Copilot genutzt und angezeigt. Daher ist für Unternehmen die strikte Umsetzung des Need-to-Know Prinzips, also die Vergabe von minimalen Zugriffsrechten in Microsoft 365, von entscheidender Bedeutung. Das bedeutet, Benutzern den Zugriff auf ausschließlich für ihre Arbeit erforderliche Daten einzuschränken und keine darüberhinausgehenden Berechtigungen zu erteilen. Wenn sich Benutzerrollen innerhalb der Organisation ändern, sollten diese Zugriffsrechte zudem unverzüglich aktualisiert werden.
In Punkto Zugriff auf Unternehmensdaten müssen auch rechtliche Anforderungen berücksichtigt werden. Diese sind von unterschiedlichsten Faktoren abhängig, wie z. B. den Unternehmensstandort und die Art der betreffenden Daten. Besonders seit NIS2 hat auch die Branchenzugehörigkeit einen entscheidenden Einfluss auf den Arbeitsaufwand bezüglich Datensicherheit für Admins und CISOs. Ein effizientes Berechtigungsmanagement ist deshalb auch aufgrund von Gesetzen und Regularien unabdingbar.
Microsoft bietet keine adäquate Lösung für das Berechtigungsmanagement
Auch wenn Microsoft mit der Einführung des Settings “Restricted SharePoint Search” die unternehmensweite Suche und die Copilot-Recherche auf ausgewählte SharePoint-Sites einschränkbar macht, bietet dies keinen Raum für granulare Einstellungen. Durch die Aktivierung dieser Funktion ist eine SharePoint-Site entweder zugelassen oder komplett blockiert – und dadurch ergeben sich Auswirkungen auf das gesamte Suchergebnis von Copilot. Es muss also sichergestellt werden, dass Dateien fortlaufend über die korrekten Berechtigungen verfügen und somit nur für den Nutzer vorgesehene Dateien in der Copilot-Recherche auftauchen. Hierzu bedarf es einer effizienten Data Lifecycle Management-Lösung für Microsoft 365.
Mit 365 Permission Manager Copilot-ready werden und Compliance-Richtlinien einhalten
Für die Einhaltung von definierten Freigabe-Richtlinien wird ein skalierbares Tool benötigt, das selbst große Mandanten mit Tausenden von SharePoint-Sites mühelos abdeckt. Mit dem 365 Permission Manager von Hornetsecurity ist es möglich, Zugriffe und Berechtigungen effektiv zu überwachen und zu verwalten. Durch die Vereinfachung des Berechtigungsmanagements wird verhindert, dass sich Informationen über Copilot ungewollt verbreiten.
Administratoren und CISOs sollten es lieber vermeiden, durch die verschiedenen Portale in den nativen Tools von Microsoft navigieren zu müssen. Der 365 Permission Manager bietet eine bequeme und benutzerfreundliche Oberfläche, um Berechtigungen in M365-Umgebungen umfassend zu überblicken, Compliance-Richtlinien zu definieren und Verstöße zu verhindern bzw. zu revidieren.
