Microsoft Copilot: Potenzielle Sicherheitsprobleme und Auswirkungen auf die IT

Ein Sicherheitsgurt für Microsoft Copilot IT-Sicherheit und Datenschutz bei digitalen Assistenten

17.11.2023 Von Sebastian Mehle * Lesedauer: 6 min |

Anbieter zum Thema

Varonis Systems (Deutschland) GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

Windhoff Group

Insider Research

Microsoft Copilot kann auf eine ganz andere (sensible) Datenbasis zugreifen als andere KI-Tools. Für die IT-Sicherheit bedeutet das: Der Chat-Assistent weiß viel, möglicherweise zu viel. Höchste Zeit, sich mit potenziellen Problemen auseinanderzusetzen.

Für Security-Verantwortliche ist die Integration von Large Language Models in Office-Anwendungen eine nicht zu unterschätzende Herausforderung.
(© Production Perig - stock.adobe.com)

Microsoft Copilot könnte sich zu einem der leistungsstärksten Produktivitätstools der nächsten Jahre entwickeln. Der KI-Assistent ist in jede Microsoft-365-App wie Word, Excel, PowerPoint, Teams oder Outlook integriert. Dies soll Usern die Arbeit erleichtern und es ihnen ermöglichen, sich auf kreative Problemlösungen zu konzentrieren.

Was Copilot von ChatGPT und anderen KI-Tools unterscheidet, ist die Tatsache, dass es Zugriff auf alles hat, woran ein User jemals in 365 gearbeitet hat. Copilot kann sofort Daten aus den entsprechenden Dokumenten, Präsentationen, E-Mails, Kalendern, Notizen und Kontakten suchen und zusammenstellen.

Genau hier liegt das Problem für die Sicherheitsverantwortlichen. Copilot kann auf alle sensitiven Daten zugreifen, auf die eine Arbeitskraft zugreifen kann. Und das sind in aller Regel viel zu viele: Im Durchschnitt sind zehn Prozent der M365-Daten eines Unternehmens für alle Mitarbeiterinnen und Mitarbeiter zugänglich. Zudem kann Copilot schnell neue sensitive Daten erzeugen, die ebenfalls geschützt werden müssen.

Schon vor der KI-Revolution überstieg die Fähigkeit der Menschen, Daten zu erstellen und zu teilen, bei weitem die Fähigkeit, sie adäquat zu schützen. Generative KI gießt nun noch Benzin in dieses Feuer. Bei der generativen KI als Ganzes gibt es viel zu diskutieren – von „vergifteten“ Modellen über Halluzinationen bis hin zu Deepfakes und ähnlichem. Hier wollen wir uns jedoch speziell auf die Datensicherheit konzentrieren und darauf, wie eine Copilot-Einführung sicher gestaltet werden kann.

Anwendungsfälle für Microsoft 365 Copilot

Die Einsatzmöglichkeiten von generativer KI in einer Collaboration-Suite wie M365 sind grenzenlos. Es ist offensichtlich, warum sich so viele IT- und Sicherheitsteams um einen frühen Zugang bemühen, und bereits ihre Rollout-Pläne vorbereiten.

Die Produktivitätssteigerungen dürften enorm sein. So kann man beispielsweise ein leeres Word-Dokument öffnen und Copilot bitten, ein Angebot für einen Kunden auf der Grundlage eines Zieldatensatzes zu erstellen, der OneNote-Seiten, PowerPoint-Decks und andere Office-Dokumente enthalten kann. Innerhalb von Sekunden erhält man ein vollständiges Angebot.

Microsoft hat auf seiner Einführungsveranstaltung einige weitere Beispiele angeführt:

Copilot kann an Teams-Besprechungen teilnehmen und in Echtzeit zusammenfassen, was besprochen wird, Aktionspunkte erfassen und mitteilen, welche Fragen in der Besprechung ungelöst geblieben sind.

In Outlook kann Copilot dabei helfen, den Posteingang zu sortieren, E-Mails nach Prioritäten zu ordnen, Themen zusammenzufassen und Antworten zu generieren.

Als Teil von Excel kann Copilot die Rohdaten analysieren und Einblicke, Trends und Vorschläge liefern.

Anfragen werden dabei im Allgemeinen wie folgt bearbeitet: Ein Benutzer gibt eine Eingabeaufforderung in einer Anwendung wie Word, Outlook oder PowerPoint ein. Microsoft erfasst den geschäftlichen Kontext des Benutzers auf der Grundlage seiner M365-Berechtigungen. Die Anfrage wird an ein Large Language Model (LLM) gesendet, um eine Antwort zu generieren. Microsoft führt dann die für die Nachbearbeitung zuständigen AI-Prüfungen durch, generiert eine Antwort und sendet diese zurück an die M365-Anwendung.

Das Copilot-Sicherheitsmodell

Wie bei den meisten Anwendungen gibt es auch bei Microsoft stets ein Spannungsfeld zwischen Produktivität und Sicherheit. Dies zeigte sich besonders deutlich während der Pandemie: IT-Teams stellten schnell Microsoft Teams bereit, ohne zunächst vollständig zu verstehen, wie das zugrunde liegende Sicherheitsmodell funktioniert oder wie angemessen die M365-Berechtigungen, Gruppen und Verknüpfungsrichtlinien des Unternehmens waren.

Positive Aspekte:

Mandantenisolierung: Copilot verwendet nur Daten aus dem M365-Tenant des aktuellen Benutzers. Das KI-Tool zeigt weder Daten aus anderen Tenants an, in denen der Benutzer Gast-Zugang hat, noch aus Tenants, die möglicherweise mit einer mandantenübergreifenden Synchronisierung eingerichtet sind.

Beschränktes Training: Copilot verwendet keine Geschäftsdaten des Unternehmens, um die grundlegenden LLMs zu trainieren, die Copilot für alle Tenants verwendet. Man muss sich wohl keine Sorgen machen, dass die eigenen sensitiven Daten in Antworten an andere Benutzer in anderen Tenants auftauchen.

Potenzielle Gefahrenquellen:

Berechtigungen: Copilot erfasst alle Unternehmensdaten, für die einzelne Benutzer mindestens über eine Ansichtsberechtigung verfügen.

Labels: Von Copilot generierte Inhalte erben nicht die MPIP-Labels der Dateien, aus denen Copilot seine Antwort bezogen hat.

Faktor Mensch: Die Antworten von Copilot sind nicht unbedingt zu 100 Prozent korrekt oder zuverlässig. Menschen müssen die Verantwortung für die Überprüfung von KI-generierten Inhalten übernehmen.

Um die Datensicherheit auch unter Copilot zu gewährleisten, muss man sich diesen Schwächen zuwenden und sie entsprechend adressieren.

Berechtigungen

Copilot nur Zugriff auf das zu gewähren, worauf ein bestimmter Benutzer zugreifen kann, ist prinzipiell eine gute Idee. Voraussetzung ist natürlich, dass Unternehmen effektiv einen Least-Privilege-Ansatz umsetzen. In seiner Copilot-Datensicherheitsdokumentation weist Microsoft auf die Wichtigkeit hin, dass Anwender die in Microsoft 365-Diensten wie SharePoint verfügbaren Berechtigungsmodelle nutzen, um sicherzustellen, dass nur die richtigen Benutzer oder Gruppen den richtigen Zugriff auf die richtigen Inhalte haben.

Die Realität sieht freilich anders aus. So zeigt der SaaS-Datenrisiko-Report von Varonis (PDF-Download), der auf tausenden Risikobewertungen von M365-Umgebungen basiert, dass ein durchschnittlicher M365-Mandant über mehr als 40 Millionen eindeutige Berechtigungen verfügt, gut 110.000 sensitive Daten öffentlich teilt und 27.000 Links erstellt hat.

Wie kommt es dazu? Microsoft 365-Berechtigungen sind extrem komplex. So gibt es viele Möglichkeiten, wie ein Benutzer Zugriff auf Daten erhalten kann:

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Direkte Benutzerberechtigungen

Microsoft 365-Gruppenberechtigungen

Lokale SharePoint-Berechtigungen (mit benutzerdefinierten Ebenen)

Gastzugriff

Externer Zugriff

Öffentlicher Zugriff

Link-Zugriff (jeder, unternehmensweit, direkt, Gast)

Erschwerend kommt hinzu, dass die Berechtigungen meist in den Händen der Anwender und nicht (mehr) der IT- oder Sicherheitsteams liegen.

Labels

Microsoft verlässt sich bei der Durchsetzung von DLP-Richtlinien, der Anwendung von Verschlüsselung und der weitgehenden Verhinderung von Datenlecks in hohem Maße auf Sensibilitätskennzeichnungen. In der Praxis ist es jedoch schwierig, die Labels wirksam zu nutzen, insbesondere, wenn die Mitarbeitenden die Dateien mit Labels versehen müssen.

Für Microsoft ist die Kennzeichnung und Sperrung das ultimative Sicherheitsnetz für sensitive Unternehmensdaten. Die Realität sieht jedoch wesentlich düsterer aus. Die Kennzeichnung durch Mitarbeitende kann erfahrungsgemäß kaum mit der Erstellung von Daten Schritt halten und ist häufig veraltet.

Das Blockieren oder Verschlüsseln von Daten kann die Arbeitsabläufe behindern, weshalb eher „schwächere“ Labels verwendet werden. Zudem sind Kennzeichnungstechnologien auf bestimmte Dateitypen beschränkt. Je mehr Labels ein Unternehmen verwendet, desto verwirrender ist es für die Benutzer. Dies gilt insbesondere für größere Unternehmen. Entsprechend wird die Effizienz des Label-basierten Datenschutzes sicherlich abnehmen, wenn KI wesentlich mehr Daten generiert, die genaue und automatisch aktualisierte Kennzeichnungen erfordern.

Faktor Mensch

Künstliche Intelligenz kann Menschen faul und gutgläubig machen. Wir sehen dies bereits seit Jahren bei Assistenzsystemen wie der Navigation, der blind gefolgt wird. Inhalte, die von LLMs wie GPT4 generiert werden, wirken oftmals großartig (und sind es in etlichen Fällen auch). Sie übertreffen die Geschwindigkeit und teilweise die Qualität dessen, was ein Mensch leisten kann. Das führt dazu, dass die Menschen anfangen, der KI blind zu vertrauen, wenn es darum geht, sichere und genaue Antworten zu geben.

Wir haben bereits Situationen in der Praxis beobachtet, in denen Copilot ein Angebot für einen Kunden erstellt hat, das sensible Daten eines völlig anderen Kunden enthält. Der User wirft nur einen kurzen Blick auf das erstellte Dokument, freut sich über das Ergebnis und klickt auf „Senden“. Und verursacht damit eine Datenschutzverletzung.

Die Datensicherheitsstrategie für Copilot bereitmachen

Es ist von entscheidender Bedeutung, dass sich Sicherheitsverantwortliche vor der Einführung von Copilot einen Überblick über die Datensicherheit verschaffen. Copilot wird wahrscheinlich Anfang nächsten Jahres allgemein verfügbar sein, so dass jetzt ein guter Zeitpunkt ist, um die entsprechenden Sicherheitskontrollen einzurichten. So sollten sie vor dem Rollout vor allem zu weitgefasste Berechtigungen auf das tatsächlich nötige Minimum reduzieren und das Labeln automatisieren.

Grundsätzlich sollten von KI-erstellte Dokumente Teil der Datensicherheitsstrategie sein. Aufgrund der erwartbaren noch schneller steigenden Anzahl an Dokumenten führt dabei an Automation kein Weg vorbei. Alle von KI generierten Inhalte müssen automatisch erkannt und klassifiziert werden. Dabei muss sichergestellt sein, dass die MPIP-Labels korrekt angewendet werden. Zudem sollte das Least-Privilege-Modell auch tatsächlich durchgesetzt und der Datenzugriff so reduziert werden.

Sensitive Daten, auch und insbesondere von KI erzeugte, müssen kontinuierlich überwacht und abnormales Nutzerverhalten identifiziert werden. In Bezug auf die Datensicherheit ändern sich durch Copilot zwar nicht die grundsätzlichen Herausforderungen, allerdings ist es spätestens bei dessen Einführung höchste Zeit, den Schutz der Daten ins Zentrum der Security-Strategie zu stellen.

* Über den Autor
Sebastian Mehle ist Account Manager bei Varonis Systems.

Bildquelle: gemeinfrei

(ID:49788863)

Merkliste