Warum Datenklassifizierung vor KI kommen muss — und wie die Arbeit zu sequenzieren ist
Tobias Schüle ist Senior Microsoft 365-Architekt und Gründer von Opsora, mit über einem Jahrzehnt Erfahrung in der IT-Transformation europäischer mittelständischer Unternehmen.
Microsoft Copilot für M365 fasst lange E-Mail-Threads zusammen, erstellt Dokumente aus Prompts, generiert Meetingnotizen und synthetisiert Informationen aus der gesamten M365-Umgebung. Für Unternehmen mit gut verwalteten Daten liefert es unmittelbare Produktivitätsgewinne mit überschaubarem Risiko.
Für Unternehmen ohne gut verwaltete Daten — und die meisten mittelständischen M365-Umgebungen fallen in diese Kategorie — ist es ein Governance-Beschleuniger anderer Art. Es macht sichtbar, schnell und für viele Personen gleichzeitig, die Überfreigabe und den Berechtigungswildwuchs, der sich still über Jahre angesammelt hat.
Das Verständnis warum erfordert das Verständnis, was Copilot tatsächlich tut.
Microsoft Copilot für M365 hat keinen Zugriff auf Daten, auf die der angemeldete Benutzer nicht bereits Zugriff hat. Es respektiert das bestehende Microsoft 365-Berechtigungsmodell: Wenn sich ein Dokument in einer SharePoint-Website befindet, auf die der Benutzer zugreifen kann, kann Copilot es anzeigen.
Das ist ein wichtiger architektonischer Punkt, der häufig missverstanden wird. Copilot schafft keine neuen Zugriffspfade. Es umgeht keine Sensibilitätslabels oder DLP-Richtlinien. Es arbeitet innerhalb der bestehenden Berechtigungsgrenzen.
Das Problem ist, dass diese Berechtigungsgrenzen in den meisten Unternehmen viel weiter sind, als sie sein sollten. Wenn Copilot dann innerhalb dieser Grenzen operiert — aktiv sucht, synthetisiert und Inhalte anzeigt — macht es das, was theoretisch zugänglich war, praktisch sichtbar.
Betrachten Sie eine typische mittelständische M365-Umgebung nach drei bis fünf Jahren Betrieb. Eine SharePoint-Website wurde für ein HR-Projekt erstellt und bei der Einrichtung für das gesamte Unternehmen zugänglich gemacht. Ein Teams-Kanal enthält Dateien mit Gehaltsbändern und Leistungsbeurteilungsnotizen. Das OneDrive eines Führungskraft enthält ein vertrauliches Akquisitionsmemorandum, das mit "Jeder in der Organisation" geteilt wurde.
Keines davon stellt einen Verstoß gegen das Berechtigungsmodell dar. All das sind Daten, die sich dort befinden, wo sie nicht sein sollten, zugänglich für Personen ohne legitimen Bedarf. In einer traditionellen M365-Umgebung würde kaum ein Benutzer diese Dateien finden. Die Exponierung existiert, bleibt aber weitgehend inaktiv.
Copilot ändert das. Ein Benutzer, der Copilot bittet, "die Situation bei der jüngsten Akquisition zusammenzufassen", könnte Antworten erhalten, die auf Inhalte zurückgreifen, die er nie hätte sehen sollen.
Opsora führt strukturierte Bewertungen für europäische IT-Teams durch. Sprechen Sie direkt mit einem erfahrenen Architekten — kein Vertriebsteam, keine vorbereitete Präsentation.
Briefing anfragenEine Position zu erreichen, von der aus Copilot verantwortungsvoll eingesetzt werden kann, ist keine Copilot-Konfigurationsaufgabe. Es ist ein Daten-Governance-Programm, das Copilot als Ergebnis freischaltet:
Schritt 1: Microsoft Purview Sensibilitätslabels einrichten. Definieren Sie eine Label-Taxonomie — mindestens Öffentlich, Intern, Vertraulich und Streng Vertraulich — und beginnen Sie, Labels auf Dokumente anzuwenden. Beginnen Sie mit hochwertigen Repositories: HR-Ordner, Finanz-Websites, Führungskommunikation.
Schritt 2: Data-Loss-Prevention-Richtlinien implementieren. Sobald Labels angewendet sind, können DLP-Richtlinien verhindern, dass beschriftete Dokumente ohne Rechtfertigung extern geteilt, auf nicht verwaltete Geräte kopiert oder auf Weisen zugegriffen werden, die gegen Richtlinien verstoßen.
Schritt 3: Zugriffsüberprüfung durchführen. Wer hat Zugriff auf was? Entra ID Access Reviews, SharePoint-Berechtigungsberichte und externe Freigabe-Audits geben Ihnen ein Bild Ihres aktuellen Zugangsstatus. Die Sanierung ist unspektakulär: Zugang entfernen, der nicht existieren sollte, fragmentierte Websiteberechtigungen konsolidieren, Gastkonten ablaufen lassen.
Schritt 4: Überfreigabe-Bewertung durchführen. Die Data Security Posture Management-Funktionen von Microsoft Purview bieten eine Ansicht, wo überfreigegebene Inhalte in Ihrem Mandanten existieren. Kombinieren Sie dies mit einer SharePoint-Berechtigungsanalyse, um die höchsten Risiko-Repositories zu identifizieren.
Schritt 5: Pilotbetrieb mit Governance-Kontrollen. Starten Sie Copilot mit einer begrenzten Gruppe von Benutzern in Unternehmensbereichen mit reifer Governance. Richten Sie einen Prozess ein, damit Benutzer unerwartete Inhaltsanzeigen melden können — das ist wertvolles Signal für Ihr fortlaufendes Sanierungsprogramm.
Das EU-KI-Gesetz, das jetzt in seine Durchsetzungsphasen eintritt, klassifiziert Microsoft Copilot für M365 als KI-Modell für allgemeine Zwecke. Für die meisten betroffenen Unternehmen löst dies keine Hochrisiko-Klassifizierungsanforderungen aus — aber es schreibt Transparenzpflichten vor. Mitarbeiter müssen darüber informiert werden, dass KI-Tools in ihren Workflows eingesetzt werden. Unternehmen müssen erklären können, auf welche Daten die KI zugreifen kann.
Das hat praktische Auswirkungen auf HR-Anwendungsfälle — wenn Copilot verwendet wird, um Leistungsbeurteilungen zu erstellen oder Bewerberinformationen zusammenzufassen, kann dieser Anwendungsfall spezifische Dokumentation und in einigen Ländern Anforderungen an die menschliche Aufsicht erfordern. Bauen Sie Ihren KI-Governance-Rahmen auf, bevor sich die Anwendungsfälle über den ersten Piloten hinaus ausweiten.
Unternehmen, die Copilot verzögern, weil ihre Governance noch nicht bereit ist, treffen eine vernünftige Entscheidung. Aber die produktivere Sichtweise ist diese: Die Copilot-Einführung ist das Geschäftsargument, das endlich die Governance-Arbeit rechtfertigt, die ohnehin hätte erledigt werden sollen.
Jedes Unternehmen, das M365-Daten in überfreigegebenen SharePoint-Websites mit undokumentierten Berechtigungen und ohne Sensibilitätslabels hat, hat ein Governance-Problem — unabhängig davon, ob es Copilot einsetzt. Copilot macht es nur dringend und sichtbar auf eine Weise, die schwer zu ignorieren ist.
Behandeln Sie die Copilot-Einführung als Triebfeder. Nutzen Sie das Budget und die Aufmerksamkeit der Führungsebene, um die zugrunde liegende Governance-Arbeit zu finanzieren. Dann setzen Sie Copilot in der daraus resultierenden Umgebung ein — nicht in der, die derzeit existiert.
Wenn Sie eine Copilot-Einführung planen und zunächst Ihre Governance-Bereitschaft validieren möchten, deckt unser KI-Governance- und Copilot-Readiness-Service die vollständige Vor-Einsatz-Bewertung ab.
NIS2 ist kein Checklistenprojekt. Hier ist eine strukturierte, M365-spezifische Roadmap für IT-Teams, die sich erstmals mit der Richtlinie befassen.
Nach der Bewertung von mehr als 50 M365-Umgebungen tauchen immer wieder dieselben fünf Governance-Lücken auf — und jede davon schafft echte betriebliche und Compliance-Risiken.
Opsora begleitet europäische IT-Führungskräfte bei genau diesen Herausforderungen. Ein typisches Engagement beginnt mit einem 30-minütigen Briefing und einem klaren Projektumfang innerhalb einer Woche.