Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Generative AI Security: Ensuring a Secure Microsoft Copilot Rollout

Dieser Artikel beschreibt, wie das Sicherheitsmodell von Microsoft 365 Copilot funktioniert und welche Risiken berücksichtigt werden müssen, um einen sicheren Rollout zu gewährleisten.
Rob Sobers
5 minute gelesen
Letzte aktualisierung 9. April 2024

Inhalt

    Microsoft Copilot has been called one of the most powerful productivity tools on
    the planet.

    Copilot ist ein KI-Assistent, der in jeder Ihrer Microsoft-365-Apps integriert ist – Word, Excel, PowerPoint, Teams, Outlook usw. Microsoft hat sich vorgenommen, die tägliche Arbeit weniger aufwändig und monoton zu gestalten und den Menschen die Möglichkeit zu geben, sich auf kreative Problemlösungen zu konzentrieren.

    Was Copilot so stark von ChatGPT und anderen KI-Tools unterscheidet, ist, dass es Zugriff auf alles hat, woran Sie jemals in 365 gearbeitet haben. Copilot kann sofort Daten aus Ihren Dokumenten, Präsentationen, E-Mails, Kalendern, Notizen und Kontakten suchen und zusammenstellen.

    Und genau darin liegt aus Sicht der IT-Sicherheitsteams das Problem. Copilot kann auf alle sensiblen Daten zugreifen, auf die ein Benutzer zugreifen kann – und das ist oft viel zu viel. Im Durchschnitt sind 10 % der M365-Daten eines Unternehmens für alle Mitarbeiter zugänglich.

    Copilot kann auch schnell neue sensible Daten generieren, die geschützt werden müssen. Schon vor der KI-Revolution konnten Benutzer Daten deutlich schneller erstellen und teilen, als diese geschützt werden konnten. Sehen Sie sich einfach die Trends bei Datenschutzverletzungen an. Generative KI gießt nun Öl in dieses Feuer.

    Es gibt viel zu erläutern, wenn es um generative KI als Ganzes geht: Model Poisoning, Halluzinationen, Deepfakes usw. In diesem Beitrag werde ich mich jedoch vor allem auf die Datensicherheit konzentrieren, und darauf, wie Ihr Team einen sicheren Rollout von Copilot gewährleisten kann.

    Anwendungsfälle für Microsoft 365 Copilot

    Die Anwendungsfälle generativer KI mit einer Kollaborations-Suite wie M365 sind grenzenlos. Man kann leicht verstehen, warum sich so viele IT- und Sicherheitsteams um einen frühen Zugang bemüht und ihre Rollout-Pläne vorbereitet haben. Die Produktivitätssteigerungen werden enorm sein.

    Sie können beispielsweise ein leeres Word-Dokument öffnen und Copilot bitten, ein Angebot für einen Kunden zu schreiben, basierend auf einem Zieldatensatz aus OneNote-Seiten, PowerPoint-Decks und anderen Office-Dokumenten. In Sekundenschnelle haben Sie so ein vollständiges Angebot.

    copilot_word_gifs_web

    Hier sind ein paar weitere Beispiele, die Microsoft während seiner Einführungsveranstaltung genannt hat:

    • Copilot kann an Ihren Teambesprechungen teilnehmen und in Echtzeit zusammenfassen, was besprochen wird, Aktionspunkte erfassen und Ihnen mitteilen, welche Fragen in der Besprechung offen geblieben sind. 
    • Copilot in Outlook kann Ihnen dabei helfen, Ihren Posteingang zu sortieren, E-Mails nach Prioritäten zu ordnen, Themen zusammenzufassen und Antworten für Sie zu erstellen.
    • Copilot in Excel kann Rohdaten analysieren und Ihnen Erkenntnisse, Trends und Vorschläge bieten. 

    Wie Microsoft 365 Copilot funktioniert

    Hier ist ein einfacher Überblick darüber, wie eine Copilot-Eingabe verarbeitet wird:

    • Ein Benutzer gibt seine Eingabe in einer Anwendung wie Word, Outlook oder PowerPoint ein.
    • Microsoft erfasst den Geschäftskontext des Benutzers anhand seiner M365-Berechtigungen.
    • Die Eingabe wird an das LLM (beispielsweise GPT4) gesendet, um eine Antwort zu generieren.
    • Microsoft führt nach der Verarbeitung überprüft die KI anschließend gründlich.
    • Microsoft generiert eine Antwort und Befehle zurück an die M365-Anwendung. 

    Quelle: https://learn.microsoft.com/en-us/DeployOffice/privacy/microsoft-365-copilotQuelle: https://learn.microsoft.com/en-us/deployoffice/privacy/microsoft-365-copilot 

    Sicherheitsmodell von Microsoft 365 Copilot

    With collaboration tools, there is always an extreme tension between productivity and security.

    Das zeigte sich während der Pandemie, als IT-Teams Microsoft Teams schnell einführten, ohne zunächst vollständig zu verstehen, wie das zugrundeliegende Sicherheitsmodell funktioniert oder wie gut die M365-Berechtigungen, -Gruppen und -Linkrichtlinien ihres Unternehmens darauf eingestellt sind. 

    What Microsoft handles for you:

    • Isolation von Mandanten. Copilot verwendet nur Daten vom M365-Mandanten des aktuellen Benutzers. Das KI-Tool zeigt keine Daten von anderen Mandanten an, in denen der Benutzer zu Gast ist, und auch nicht von Mandanten, für die eine mandantenübergreifende Synchronisierung eingerichtet wurde.
    • Beschränkungen des Trainings. Copilot verwendet Ihre Geschäftsdaten nicht, um die grundlegenden LLMs zu trainieren, die für alle Mandanten verwendet werden. Sie müssen sich also keine Sorgen darüber machen, dass Ihre geschützten Daten in den Antworten für andere Nutzer in anderen Mandanten auftauchen. 

    What you need to manage: 

    • Berechtigungen. Copilot zeigt alle Organisationsdaten an, für die einzelne Benutzer mindestens Anzeigeberechtigungen haben. 
    • Labels. Von Copilot generierte Inhalte übernehmen nicht die MPIP-Labels der Dateien, aus denen es seine Antwort bezieht.
    • Menschen. Es kann nicht garantiert werden, dass die Antworten von Copilot zu 100 % sachlich oder sicher sind. Menschen müssen die Verantwortung für die Überprüfung von KI-generierten Inhalten übernehmen.

    Schauen wir uns nun die schlechten Nachrichten einzeln an.

    Berechtigungen

    Es wäre eine hervorragende Idee, Copilot nur Zugriff darauf zu gewähren, worauf ein Benutzer zugreifen kann – aber nur, wenn Unternehmen das Least-Privilege-Prinzip (Prinzip der notwendigsten Berechtigung) in Microsoft 365 problemlos durchsetzen können. 

    Microsoft gibt Folgendes in seiner Copilot-Datensicherheitsdokumentation an:

    Es ist wichtig, dass Sie die Berechtigungsmodelle verwenden, die in Microsoft-365-Services wie SharePoint verfügbar sind, um sicherzustellen, dass die richtigen Benutzer oder Gruppen den richtigen Zugriff auf die richtigen Inhalte in Ihrer Organisation haben.
    Quelle: Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot

    Wir wissen jedoch empirisch, dass die meisten Organisationen so weit von Least Privilege entfernt sind, wie sie nur sein können. Sehen Sie sich einfach die Statistiken aus dem State of Cloud Permissions Risk Report von Microsoft an.

    2500

    Dieses Bild zeigt, was wir bei Varonis sehen, wenn wir jedes Jahr Tausende von Data Risk Assessments für Unternehmen durchführen, die Microsoft 365 verwenden. In unserem Bericht „The Great SaaS Data Exposure“ haben wir festgestellt, dass der durchschnittliche M365-Mandant:

    • Über 40 Millionen eindeutige Berechtigungen
    • über 113.000 vertrauliche Datensätze hat, die öffentlich zugänglich sind,
    • über 27.000 Freigabelinks hat.

    Warum ist das so? Microsoft-365-Berechtigungen sind extrem komplex. Bedenken Sie nur, wie viele Möglichkeiten es gibt, wie ein Benutzer Zugriff auf Daten erhalten kann:

    • Direkte Benutzerberechtigungen
    • Microsoft-365-Gruppenberechtigungen
    • Lokale SharePoint-Berechtigungen (mit benutzerdefinierten Ebenen)
    • Gastzugriff
    • Externer Zugriff
    • Öffentlicher Zugriff
    • Link-Zugriff (alle, unternehmensweit, direkt, Gast)

    Erschwerend kommt hinzu, dass Berechtigungen größtenteils unter der Kontrolle der Endbenutzer stehen, anstatt von IT- oder Sicherheitsteams. 

    Labels

    Microsoft verlässt sich in hohem Maße auf Sensibilitäts-Labels, um DLP-Richtlinien durchzusetzen, Verschlüsselung anzuwenden und Datenlecks im Allgemeinen zu verhindern. In der Praxis ist es jedoch schwierig, Labels so umzusetzen, dass sie gut funktionieren. Insbesondere wenn man sich darauf verlässt, dass die Benutzer selbst Sensibilitäts-Labels anwenden.

    Microsoft malt ein rostiges Bild von Labeling und Blockierung als ultimatives Sicherheitsnetz für Ihre Daten. Die Realität zeigt jedoch ein düsteres Szenario. Da Daten von Menschen erstellt werden, wird das Labeling oft erst später durchgeführt oder ist veraltet.

    Das Blockieren oder Verschlüsseln von Daten kann Arbeitsabläufe erschweren und Labeling-Technologien sind auf bestimmte Dateitypen beschränkt. Je mehr Labels eine Organisation hat, desto verwirrender kann es für Benutzer werden. In größeren Organisationen ist dieses Problem besonders ausgeprägt.

    Die Effizienz des Label-Datenschutzes wird mit Sicherheit abnehmen, wenn KI um Größenordnungen mehr Daten erzeugt, die präzise und automatisch aktualisierte Labels erfordern.

    Sind meine Labels in Ordnung?

    Varonis kann das Sensibilitäts-Labeling von Microsoft für eine Organisation validieren und verbessern, indem es Folgendes scannt, erkennt und behebt:

    • Sensible Dateien ohne Label
    • Sensible Dateien mit einem falschen Label
    • Nichtsensible Dateien mit einem sensiblen Label
     

    Menschen

    KI kann Menschen faul machen. Von LLMs wie GPT4 generierte Inhalte sind nicht nur gut, sie sind hervorragend. In vielen Fällen übertreffen die Geschwindigkeit und die Qualität bei weitem das, was ein Mensch leisten kann. Infolgedessen vertrauen die Menschen blindlings darauf, dass KI sichere und genaue Antworten liefert.  

    Wir haben bereits echte Fälle erlebt, in denen Copilot ein Angebot für einen Kunden schreibt und sensible Daten einbezieht, die zu einem völlig anderen Kunden gehören. Der Benutzer klickt nach einem kurzen (oder gar keinem) Blick auf „Abschicken“, und schon kommt es zu einem Datenleck oder einer Datenschutzverletzung.

    Treffen Sie Vorkehrungen, damit Ihr Mandant auch mit Copilot sicher bleibt

    Noch vor der Implementierung von Copilot sollten Sie sich unbedingt ein Bild Ihrer Datensicherheitslage machen. Copilot wird voraussichtlich Anfang nächsten Jahres allgemein verfügbar sein. Jetzt ist also ein guter Zeitpunkt, um entsprechende Sicherheitsmaßnahmen einzurichten.

    Varonis schützt Tausende von Microsoft-365-Kunden mit unserer Datensicherheitsplattform, die einen Echtzeit-Überblick über die Risiken bietet automatisch das Least-Privilege-Prinzip durchsetzen kann. 

     

    Wir können Ihnen helfen, die größten Sicherheitsrisiken mit Copilot praktisch ohne manuellen Aufwand anzugehen. Mit Varonis for Microsoft 365 können Sie:

    • Alle sensiblen KI-generierten Inhalte automatisch finden und klassifizieren.
    • Automatisch sicherstellen, dass MPIP-Labels korrekt angewendet werden. 
    • Automatisch die Berechtigungen nach dem Least-Privilege-Prinzip durchsetzen.
    • Vertrauliche Daten kontinuierlich in M365 überwachen, bei abnormalem Verhalten Warnungen erhalten und entsprechend reagieren.

    Der beste Einstieg ist eine kostenlose Risikobeurteilung: Die Einrichtung dauert nur wenige Minuten und innerhalb von ein oder zwei Tagen erhalten Sie einen Echtzeitüberblick über das Risiko Ihrer sensiblen Daten.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Rob Sobers
    Rob Sobers

    Rob Sobers ist ein Software-Ingenieur, der sich auf Web-Sicherheit spezialisiert hat, und ist Co-Autor des Buches Learn Ruby the Hard Way.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?