Das KI-Tool Copilot von Microsoft ist bald nicht mehr wegzudenken, denn kaum ein Unternehmen wird auf die Vorteile noch verzichten wollen. Wenn Sie überlegen, Copilot einzusetzen, sollten Sie unbedingt auf die passende Absicherung und den Schutz sensibler Daten achten. Microsoft unterstützt seine Kunden dabei mit einem praktischen Vorab-Scan, um zu bestimmen, ob eine Organisation die Voraussetzungen für Copilot erfüllt. Zu diesen Voraussetzungen zählt auch ein passendes Identity & Access Management (IAM-Strategie), die sicherstellt, dass Daten nur für Berechtigte zugänglich sind. Andernfalls können sensible oder vertrauliche Daten in die Hände Unbefugter gelangen – und dies kann zu Rufschäden und auch zu Compliance-Problemen führen. Vor allem Scale-ups haben hier in der Praxis enorme Schwierigkeiten. In diesem Blogartikel geht es außerdem um die Berührungspunkte zwischen Copilot und IAM.
Weil Microsoft Copilot immer beliebter wird, bot der Managed Service Provider (MSP) Provider kürzlich zwei Know-how-Sessions zu diesem Tool an. Bei diesen Meetings sprachen sowohl der weltweite Anbieter von IT-Produkten und -Dienstleistungen TD SYNNEX als auch Tools4ever über Copilot und die damit verbundenen Herausforderungen für das IAM.
Immer mehr Interesse seitens der Kunden
Das benutzerfreundliche Tool Microsoft Copilot basiert auf der Technologie von OpenAI. Viele Unternehmen trainieren dieses System mit eigenen Daten, die dabei stets im Besitz des Unternehmens bleiben und nicht zu Microsoft gelangen. Copilot bietet interessante Möglichkeiten. So kann der KI-Assistent beispielsweise Zusammenfassungen von (sehr umfangreichen) Daten-Sets erstellen und Trends aufzeigen, aber auch Stellenausschreibungen oder Angebotstexte vorformulieren.
Es wundert daher nicht, dass immer mehr Kunden an Copilot und dem Einsatz des Tools interessiert sind. Auch wenn es sich derzeit meist noch um Pilotprojekte handelt, lässt sich das große Interesse nicht abstreiten, und es scheint nur eine Frage der Zeit zu sein, bis Copilot in größerem Umfang eingesetzt wird. Auch unter unseren Partnern finden sich einige Nutzer, darunter Previder, ein Anbieter, zu dessen Leistungen Rechenzentrumsdienste, digitale Arbeitsplätze, IT-Infrastruktur, Backup-Lösungen und Sicherheit zählen. Dieser Managed-Service-Provider nutzt Copilot unter anderem zum Erstellen von Angeboten, wobei das Tool Kunden- und Vertriebsdaten kombiniert. Auf diese Weise kann Previder in kürzester Zeit mit einem einfachen Prompt ein fehlerloses Angebot generieren.
Auf sichere Weise mit Copilot loslegen
Wer smarte Tools wie Microsoft Copilot einsetzt, kann von vielen Vorteilen profitieren. Um damit auf sichere Weise loszulegen, ist es jedoch wichtig, dass die eigene IT-Umgebung ordnungsgemäß eingerichtet und funktionsfähig ist. Wesentliche Bedeutung kommt dabei dem Identity & Access Management (IAM) zu. Damit stellen Kunden sicher, dass Nutzer ausschließlich die Daten sehen dürfen, auf die sie zugreifen müssen, und alle anderen Daten vor ihnen verborgen sind. Das mag offensichtlich klingen, aber es ist ein Aspekt, an dem es in der Praxis oft hapert.
Arnout van der Vorst, Identity & Access Management Architect bei Tools4ever, erklärt: „Wer Copilot implementiert, der integriert das System in seine Microsoft 365-Umgebung. Dabei wird die gesamte Umgebung indexiert: die SharePoint-Seiten, alle E-Mail-Konversationen und sämtliche Daten. Anschließend kann man Copilot in natürlicher Sprache Fragen stellen, und das Tool antwortet auf verständliche Weise, basierend auf den indexierten Daten.“
Eine unzureichende Berechtigungsverwaltung kann diverse Probleme verursachen
Copilot vereinfacht den Zugang zu – und die Nutzung von – Daten ganz enorm. Neben den Vorteilen bringt dies aber auch einige Risiken mit sich. Wenn die Zugriffsberechtigungen in Microsoft 365 nicht ordnungsgemäß eingerichtet sind, können Unbefugte mit einem ganz einfachen Copilot-Prompt Zugang zu sensiblen Daten erhalten. Ein Beispiel? Praktikanten erhalten ungewollten Zugang zu den Gehaltsinformationen der Geschäftsführung. Oder Mitarbeiterinnen und Mitarbeiter können die persönlichen Daten ihrer Kollegen einsehen.
Ein weiteres Schreckensszenario ist die Kompromittierung des Benutzerkontos eines Beschäftigten durch einen Angreifer. Denken Sie aber auch an sogenannte „Insider-Bedrohungen“, wenn z. B. ein Vertriebsmitarbeiter, der das Unternehmen in Unfrieden verlässt, vor seinem Weggang sensible oder vertrauliche Kundendaten über Copilot abruft und mitnimmt. Unbewusste Fehler durch eigene Mitarbeiter zählen ebenfalls zu den Insider-Bedrohungen, zum Beispiel wenn über Copilot Daten von mehreren Kunden auf einem einzigen Angebotsschreiben zusammengeführt werden. Dies kann zur Offenlegung sensibler Daten führen und zugleich Rufschäden sowie Compliance-Probleme verursachen.
Microsoft bietet ein Scanning an, mit dem Organisationen vor dem Einsatz von Copilot bestimmen können, ob sie die Voraussetzungen erfüllen. „Bei diesem Scanning handelt es sich eigentlich um einen Indikator dafür, ob Sie bereit sind für den Einsatz von Copilot. Microsoft berichtet, dass bei 90 Prozent aller Organisationen noch Handlungsbedarf besteht“, so Van der Vorst. „Zahlen unseres Partners TD SYNNEX lassen vermuten, dass diese Zahl sogar noch höher liegt.“
Wieso ein IAM für Scale-ups besonders schwierig ist
Es sind große Unterschiede zwischen einzelnen Unternehmen zu sehen. Viele größere Anbieter sind bereits gut vorbereitet, indem sie ihre Daten ausreichend streng segmentiert und abgesichert haben. Van der Vorst: „Das ist bei vielen Scale-up-Unternehmen jedoch nicht der Fall, denn dort haben die Mitarbeitenden häufig Zugriff auf sehr viele Daten. Das liegt auch daran, dass die Aufgabenbereiche in kleineren Firmen viel durchlässiger sind, und dementsprechend sind mehr Zugriffsrechte erforderlich. Wenn ein Unternehmen vom Start-up zum Scale-up wird, ist es sehr sinnvoll, zugleich auch das IAM auf ein höheres Niveau zu bringen.“
Das angebotene Scanning von Microsoft können Kunden selbst durchführen, aber man kann auch einen MSP wie z. B. Previder beauftragen. Dies hat den Vorteil, dass der MSP den Kunden hinsichtlich eventueller Maßnahmen beraten kann, die zur Vorbereitung der Copilot-Implementierung nötig sind. Außerdem erhält der Kunde Unterstützung bei der Umsetzung dieser Maßnahmen.“
Die richtige IAM-Strategie
Um Microsoft Copilot auf sichere Weise einzusetzen, ist nicht unbedingt eine bestimmte Lösung notwendig, sondern viel eher die richtige IAM-Strategie. „Die IAM-Lösung HelloID von Tools4ever unterstützt Kunden beim Erstellen, Umsetzen und Verwalten dieser Strategie. So hilft das Role Mining dabei, schnell zu ermitteln, welche Benutzer auf welche Daten zugreifen dürfen. Beim Role Mining handelt es sich um eine Methode, die die vorhandenen Berechtigungen analysiert, um daraus Rollen abzuleiten“, erklärt Van der Vorst. Diese Technik liegt unter anderem der rollenbasierten Zugriffskontrolle (RBAC) zugrunde. Dank HelloID haben und behalten Kunden immer die Kontrolle, und sie können es nachweisen.
Angesichts der großen Popularität von Microsoft Copilot fokussiert sich dieser Blogbeitrag auf dieses KI-Tool. Die Bedeutung eines IAM und einer angemessenen Zugangsverwaltung sind aber auch für andere KI-Assistenzsysteme relevant, wie zum Beispiel Sendsteps.ai, NeuralPit oder Amazon Q. Möchten Sie mehr über die sichere Arbeit mit Copilot erfahren? Dann kontaktieren Sie uns.
Geschrieben von:
Ali Özdogan
Senior Consultant IAM/SAP & HelloID
Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.
