CISOs Spielbuch

Sichere Bereitstellung von Microsoft Copilot

Innovation vorantreiben, ohne die Kontrolle über Ihre Daten zu verlieren

Die Einführung von Microsoft Copilot in Unternehmensumgebungen kann ein erhebliches Produktivitätspotenzial freisetzen, indem KI zur Unterstützung von Benutzern in allen Microsoft 365-Diensten eingesetzt wird. Doch mit großer Macht kommt auch große Verantwortung. Nach Angaben von Gartner verzögern sich 40 % der Copilot-Einführungen aufgrund von Datensicherheitsproblemen. Für Chief Information Security Officers und IT-Führungskräfte, die für die Datensicherheit im Unternehmen verantwortlich sind, ist es von entscheidender Bedeutung, sicherzustellen, dass die Funktionen von Copilot mit den Sicherheits- und Compliance-Anforderungen des Unternehmens übereinstimmen. In diesem Whitepaper werden die wichtigsten Überlegungen und Best Practices für die sichere Bereitstellung und den Betrieb von Microsoft Copilot dargelegt, wobei der Schwerpunkt auf Datenzugriff, Governance und Risikominderungsstrategien liegt.

Verständnis der Funktionsweise von Microsoft Copilot und seiner Datensicherheitsrisiken

Um die Herausforderungen für die Datensicherheit zu verstehen, die Microsoft Copilot mit sich bringt, ist es wichtig zu wissen, wie es funktioniert. Copilot lässt sich nahtlos in Microsoft 365-Anwendungen wie Word, Excel, Outlook und Teams integrieren und fungiert als virtueller Assistent, der Aufgaben automatisiert, Daten analysiert und auf die Bedürfnisse der Benutzer zugeschnittene Ergebnisse erzeugt. Auch wenn die Möglichkeiten von Copilot revolutionär sind, birgt der Betrieb von Copilot erhebliche Datensicherheitsrisiken, mit denen sich jedes Unternehmen auseinandersetzen muss.

Wie Microsoft Copilot funktioniert

Microsoft Copilot stützt sich auf eine tiefe Integration in Ihre Microsoft 365-Umgebung und greift auf Daten aus verschiedenen Quellen zu, um relevante Erkenntnisse und Ergebnisse zu generieren. So funktioniert es:

Kontextbezogene Benutzereingaben:Die Benutzer geben eine Aufforderung oder Aufgabe vor, z. B. das Verfassen eines Berichts, die Analyse einer Tabelle oder die Zusammenfassung einer Besprechung.
Daten-Aggregation:Copilot zieht Daten aus Microsoft 365-Anwendungen, einschließlich Dateien, E-Mails, Chatverläufen und freigegebenen Laufwerken, um seine Antwort zu erstellen.
Large Language Model (LLM) Verarbeitung:Copilot sendet die Benutzereingaben an sein zugrunde liegendes KI-Modell, das die Eingabeaufforderung interpretiert, die Daten verarbeitet und eine maßgeschneiderte Antwort oder Aktion generiert.
Bereitstellung der Ergebnisse:Der von der KI erzeugte Output wird direkt an den Nutzer geliefert, wobei häufig Daten aus verschiedenen organisatorischen Quellen kombiniert werden.

Abbildung 1: Illustration des Funktionsmechanismus von Microsoft Copilot

Wo liegen also die Risiken?

Es ist erwähnenswert, dass Microsoft Copilot mit den Zugriffsrechten des angemeldeten Benutzers arbeitet. Dieser grundlegende Aufbau stellt sicher, dass Copilot bestehende organisatorische Zugriffskontrollen und Berechtigungen respektiert. Doch genau hier liegt das Risiko. Da Copilot die Berechtigungen eines Benutzers erbt, wenn der Benutzer Zugang zu sensiblen Daten hat - unabhängig davon, ob diese für seine aktuelle Aufgabe relevant sind oder nicht - kann Copilot diese Informationen dennoch in seine Ausgabe einfließen lassen.Dies kann zu einer unbeabsichtigten Offenlegung von Daten oder einer Sicherheitsverletzung führen.

Diagramm, das zeigt, wie Microsoft Copilot Benutzerberechtigungen erbt. Ein Benutzer mit zu vielen Berechtigungen fordert Copilot auf, eine Aufgabe auszuführen. Copilot zeigt Daten aus verschiedenen Datentypen an, darunter Finanzdaten (grün), personenbezogene Daten (rot) und Produktdaten (grün). Er kombiniert Daten und gibt Ergebnisse aus, die überwiegend sichere Daten, aber auch potenzielle Risiken enthalten können, die als mehrere "sichere" Ausgaben und eine "Risiko"-Ausgabe dargestellt werden.

Abbildung 2: Illustration eines Benutzers mit Überberechtigung, der Aufgaben mit Copilot ausführt

">95% der ständigen Zugriffsrechte werden nicht genutzt" -- Microsoft State of Cloud Permissions Risks Report 2023

Bewährte Praktiken zur Abschwächung von Datensicherheits-Risiken

Organisationen müssen sicherstellen, dass Benutzer nur über die Berechtigungen verfügen, die sie zur effektiven Ausübung ihrer Aufgaben benötigen. Durch die Durchsetzung des Prinzips der geringsten Berechtigung und die regelmäßige Überprüfung der Berechtigungen können Unternehmen die mit der Implementierung von Microsoft Copilot verbundenen Risiken erheblich verringern.

Im Folgenden finden Sie einige bewährte Verfahren für die Einführung und den Betrieb von Microsoft Copilot:

1. Regelmäßige Überprüfung und Aktualisierung der Benutzerberechtigungen:

Regelmäßige Überprüfungen der Benutzerrechte sind unerlässlich, um sicherzustellen, dass sie mit den Rollen und Verantwortlichkeiten übereinstimmen. Tools, die Zugriffsüberprüfungen automatisieren und detaillierte Einblicke in risikobehaftete Identitäten gewähren, können diesen Prozess erheblich verbessern und Organisationen in die Lage versetzen, die Risiken einer übermäßigen Vergabe von Berechtigungen zu mindern und den Grundsatz der geringsten Privilegien zu befolgen.

Eine klare Visualisierung der Zugriffsberechtigungen ist auch für die Verwaltung von Berechtigungen von unschätzbarem Wert. Die Darstellung der Verbindung zwischen Benutzerrollen und Datenressourcen hilft bei der Identifizierung übermäßiger Berechtigungen und bietet verwertbare Erkenntnisse für die Verfeinerung der Zugriffskontrollen. Werkzeuge wie Access Graphhelfen Unternehmen beispielsweise dabei, zu visualisieren, über welche Gruppen, Rollen und Berechtigungen ihre Identitäten - ob menschlich oder nicht-menschlich - auf sensible Daten zugreifen können.

2. Datenklassifizierung und Sensitivitätskennzeichnung implementieren:

Die Festlegung und Durchsetzung von Richtlinien zur Datenklassifizierung ist ein grundlegender Schritt zum Schutz sensibler Informationen. Automatische Klassifizierungstools, wie z. B. Microsoft Purview, können den Kennzeichnungsprozess standardisieren, Konsistenz gewährleisten und menschliche Fehler reduzieren. Diese Tools können die Kennzeichnung sensibler Daten auch auf Plattformen wie SharePoint und OneDrive ausweiten und so den Schutz gespeicherter Daten verbessern.

Idealerweise sollten nicht nur die Daten, sondern auch die Identitäten klassifiziert und in einer ganzheitlichen Sichtweise konsolidiert werden. Bei CyberDesk wird dies erreicht durch Daten-Inventarisierung und Identitäts-Inventarisierung Tools erreicht, die diese Prozesse effektiv rationalisieren und Unternehmen ein Höchstmaß an Transparenz durch ein intuitives visuellen Mapping-System.

3. Implementierung von Zugangskontrollen und Aktivitätsüberwachung:

Richtlinien für den bedingten Zugriff und die Überwachung von Aktivitäten sind für die Absicherung risikoreicher Vorgänge unerlässlich. Effektive Lösungen sollten eine detaillierte Protokollierung und Anomalieerkennung ermöglichen, damit Teams ungewöhnliche Verhaltensmuster erkennen können. Um die Effektivität zu maximieren, sollten Unternehmen die ordnungsgemäße Konfiguration von Governance-Regeln sicherstellen und kontextbezogene Überwachungssysteme um Identitäts- und Dateninteraktionen zu überwachen. Überwachung in Echtzeit kann dazu beitragen, Anomalien oder Fehlkonfigurationen sofort zu erkennen und zu beheben, wodurch das Risiko potenzieller Datenschutzverletzungen oder Compliance-Probleme verringert wird.

4. Aufklärung und Schulung der Nutzer:

Eine starke Sicherheitslage beruht auf dem Bewusstsein der Benutzer und der Einhaltung bewährter Verfahren. Schulungsprogramme sollten die Risiken des Austauschs sensibler Informationen hervorheben und die Benutzer zum richtigen Umgang mit Daten anleiten. Durch die Einbindung automatischer Schutzmaßnahmen, die Benutzerfehler reduzieren, können Unternehmen eine Kultur der Compliance schaffen, ohne die Mitarbeiter zu belasten.

Die Rolle von CyberDesk bei der Absicherung von Microsoft Copilot

CyberDesk verfügt über eine bewährte Methodik zur Sicherung von Daten während der Einführung von Microsoft Copilot und nutzt einen strukturierten Ansatz, um ungenutzte Zugriffe zu beseitigen, die Transparenz zu erhöhen und die Einhaltung von Vorschriften sicherzustellen. CyberDesk konzentriert sich auf Schlüsselaspekte wie Datenempfindlichkeit, Zugriffsmanagement und Richtlinienumgestaltung und bietet Unternehmen einen zuverlässigen Rahmen, um ihre Umgebungen zu schützen und eine nahtlose Copilot-Implementierung zu ermöglichen.

CyberDesk geht diese Herausforderungen durch einen fünfstufigen Prozess an:

Fünf Schritte zur Vorbereitung einer sicheren Microsoft Copilot-Einführung. Die Schritte umfassen: Datenklassifizierung - automatische Klassifizierung von Dateien nach Empfindlichkeit; Ergebnis: Inventar-Tabelle. Zugriffstransparenz - Zuordnung von Gruppen, Rollen und Berechtigungen; Ergebnis: Berechtigungsdiagramm. Zugriffsverwendung - Erfassen von Aktivitätsnachweisen zur Identifizierung veralteter Berechtigungen; Ergebnis: Verwendungsmatrix. Zugriffsüberprüfungen - ermöglichen Zugriffsüberprüfungen auf Datei-, Ordner- oder Gruppenebene mit Kontext; Ergebnis: Überprüfungs-Workflow. Access Redesign - Entziehen Sie unnötigen Zugriff und aktualisieren Sie Richtlinien; Ergebnis: Aktualisierter Zugriff.

Abbildung 3: CyberDesk's 5-Schritte-Ansatz zur Sicherung der Microsoft Copilot-Bereitstellung

Dieser umfassende Ansatz hilft Unternehmen, das Prinzip der geringsten Privilegien einzuhalten, Risiken zu reduzieren und eine sichere Grundlage für die Nutzung von Microsoft Copilot zu schaffen.

Schlussbemerkungen

Microsoft Copilot hat das Potenzial, die Produktivität zu revolutionieren, aber seine Einführung muss sorgfältig verwaltet werden, um die Unternehmensdaten zu schützen. Durch die Implementierung robuster Zugriffskontrollen, die Einführung von Sensitivitätskennzeichnungen und den Einsatz fortschrittlicher Datensicherheitstools können Unternehmen Risiken minimieren und sicherstellen, dass Copilot mit ihren Sicherheits- und Compliance-Zielen übereinstimmt.

Für Technologieführer, ist der erfolgreiche Einsatz von Copilot nicht nur ein technisches Unterfangen, sondern eine strategische Initiative, die einen proaktiven Ansatz für Datensicherheit und Governance erfordert. Als Pionier der identitätszentrierten Datensicherheit in der EU und anerkannt als Rising Star von Kuppinger Coleals Rising Star ausgezeichnet, hat CyberDesk Kunden aus verschiedenen Branchen erfolgreich bei der Transformation ihrer Datensicherheit begleitet. Wir würden gerne auch Ihr Unternehmen unterstützen.

CyberDesk bietet Ihnen volle Transparenz über alle Ihre menschlichen und nicht-menschlichen Identitäten

Möchten Sie CyberDesk in Aktion sehen?

Erfahren Sie, wie CyberDesk Ihre Daten bei der Bereitstellung von Microsoft Copilot schützen kann.

Gründer

Dr. Tobias Lieberum & Prabhakar Mishra

Jahr der Gründung

2022

Hauptsitz

München, Deutschland

Über CyberDesk

CyberDesk wurde 2022 mit Sitz in München gegründet und wird von Dr. Tobias Lieberum und Prabhakar Mishra geleitet. In ihren früheren Karrieren in sensiblen Umgebungen im Bankwesen und in der Beratung haben die Gründer aus erster Hand erfahren, welche Herausforderungen der sichere Datenzugriff in der Cloud mit sich bringt. In Ermangelung einer zufriedenstellenden Lösung beschlossen sie, diese globale Bedrohung selbst zu lösen.