Ganz egal, ob Word, Excel, Outlook oder PowerPoint: Nahezu jeder Arbeitnehmer erledigt täglich Aufgaben, die er am liebsten an Künstliche Intelligenz abtreten würde. Um diese Aufgaben sinnvoll übernehmen zu können, benötigt Copilot jedoch eine Vielzahl an Daten innerhalb der jeweiligen M365-Umgebung – mit den entsprechenden Zugriffsberechtigungen. Dabei basiert das Berechtigungssystem von Microsoft auf den jeweiligen Zugriffsberechtigungen der Endnutzer. So erhält das Tool von Werkseinstellung weg auf all die Daten einen Zugriff, zu denen der zugeordnete Nutzer mindestens über eine Ansichtsberechtigung verfügt.
Genau hier entsteht aber ein Problem, das weitreichende Folgen haben kann: Viele Unternehmen haben bislang das Permission Management innerhalb ihrer IT-Umgebung aus Zeit- oder Personalgründen nur unzureichend durchgeführt. Oft kämpfen die IT-Security-Teams oder CI(S)Os auch mit einem undurchsichtigen oder schwer nachvollziehbaren System. Wenn Copilot nun aber mit einer Aufgabe beauftragt wird, hat das Tool unter Umständen Zugriff auf sensible Informationen. Oftmals sind auch mehr Daten sichtbar, als für die jeweiligen Aufgaben notwendig wären. Für Cyberkriminelle ist es also ein Leichtes, sich an einem bislang unentdeckten blinden Spot ins System einzuklinken.
Damit Unternehmen das volle Potenzial von Microsoft Copilot ausschöpfen können, ohne ihre Sicherheitsstandards zu gefährden, ist daher ein effektives Zugriffsmanagement unerlässlich. Ein Permission Manager, der auf dem Zero-Trust-Prinzip basiert, kann hierbei einen grundlegenden Baustein darstellen. Dabei geht man davon aus, dass keinem Endnutzer, ob innerhalb oder außerhalb des Unternehmensnetzwerks, automatisch vertraut werden kann.
Damit das eingesetzte Zugriffsmanagement-Tool tatsächlich einen Mehrwert darstellen kann, sollten sich IT-Teams einen groben Überblick über die eigene IT-Landschaft verschaffen: Es gilt, festzuhalten, wie viele Benutzer im Unternehmen aktiv sind, welche Anwendungen genutzt werden und welche Daten vorhanden sind. Nur so können sie sicherstellen, dass die implementierte Lösung die entsprechenden Berechtigungsrichtlinien auch effektiv durchsetzt. Essenzielle Bestandteile eines Permission Managers sind dabei unter anderem drei Funktionen.
Übersichtliche Anzeige der Berechtigungen
Standortberechtigungen, Benutzer- sowie Gruppenzugriffe müssen übersichtlich dargestellt werden. Moderne Tools setzen hierbei auf zentrale Dashboards, die vom jeweiligen Administrator eingesehen und bearbeitet werden können. So kann sichergestellt werden, dass jeder Endnutzer lediglich die benötigten Berechtigungen hat. Außerdem wird auf einen Blick ersichtlich, wenn Mitarbeiter das Unternehmen verlassen haben. Diesen Accounts können dann umgehend sämtliche Berechtigungen entzogen werden, sodass keine Karteileichen entstehen.
Abgleich mit Compliance- und Unternehmensrichtlinien
Der Zugriffsmanager muss kontinuierlich im Hintergrund prüfen, dass die Berechtigungen, die an Mitarbeiter oder Dritte vergeben wurden, nach wie vor den aktuellen Vorschriften entsprechen – intern wie extern. Dafür muss es möglich sein, im Tool eine entsprechende lokale oder Online-Datenbank zu hinterlegen, gegen die es die vergebenen Zugriffe rund um die Uhr prüfen kann. Sobald eine Zuwiderhandlung entdeckt wird, sollte der Administrator eine entsprechende Benachrichtigung bekommen, damit er innerhalb kürzester Zeit reagieren kann.
Automatisierte Benachrichtigungen
Ebenso sollte das Tool Endnutzer benachrichtigen, wenn sie wissentlich oder passiv gegen geltende Richtlinien verstoßen. Stellt der Zugriffsmanager beispielsweise fest, dass ein Anhang per Mail mit einem bislang unbekannten Empfänger geteilt werden soll, kann das Tool den entsprechenden Nutzer mit einem Pop-up-Fenster warnen und ihn so dazu bringen, noch einmal über das Doc Sharing nachzudenken.
Ein gut implementiertes Zugriffsmanagement-Tool stellt sicher, dass Microsoft Copilot nur auf die Daten zugreift, die tatsächlich für die jeweiligen Aufgaben benötigt werden. Dies minimiert das Risiko von Datenlecks und stellt sicher, dass sensible Informationen geschützt bleiben. Zudem ermöglicht ein solches Tool eine präzise Kontrolle und Nachverfolgung von Datenzugriffen, wodurch Compliance-Vorschriften leichter eingehalten werden können.
Ein weiterer Vorteil ist die signifikante Entlastung der IT-Abteilung. Durch die Automatisierung von Zugriffsanfragen und -genehmigungen können Routineaufgaben reduziert und der manuelle Aufwand verringert werden. Dies schafft Kapazitäten für die IT-Mitarbeiter, um sich auf strategische Aufgaben und die Verbesserung der Sicherheitsinfrastruktur zu konzentrieren.
Darüber hinaus kann ein robustes Zugriffsmanagement die Zusammenarbeit und Produktivität im Unternehmen steigern. Mit klar definierten und verwalteten Zugriffsrechten haben Mitarbeiter schnellen und sicheren Zugriff auf die benötigten Informationen, was die Effizienz der Arbeitsprozesse erhöht. Zudem werden durch regelmäßige Überprüfungen und Aktualisierungen der Zugriffsrechte überflüssige Berechtigungen entfernt, was die Angriffsfläche für potenzielle Cyberangriffe verringert.
Des Weiteren wird auch die Transparenz innerhalb des Unternehmens gefördert. Führungskräfte und Sicherheitsverantwortliche erhalten durch detaillierte Berichte und Analysen Einblick in die Nutzung und den Zugriff auf Unternehmensdaten. Dies ermöglicht eine bessere Entscheidungsfindung und unterstützt die Identifikation und Behebung von Schwachstellen im Sicherheitskonzept.
Schließlich trägt es zur Stärkung des Vertrauens bei Kunden und Geschäftspartnern bei. Indem Unternehmen zeigen, dass sie den Schutz sensibler Daten ernst nehmen und über fortschrittliche Sicherheitsmaßnahmen verfügen, können sie ihre Reputation verbessern und langfristige Geschäftsbeziehungen fördern.
Durch den Einsatz eines Permission Managers, der auf dem Zero-Trust-Prinzip basiert und die beschriebenen Funktionen bietet, können Unternehmen die Vorteile von Microsoft Copilot nutzen, ohne Kompromisse bei der Sicherheit einzugehen. Somit wird der Weg für eine sichere und effiziente Nutzung von KI in der täglichen Arbeit geebnet.
Umut Alemdar
ist Head of Security Lab bei Hornetsecurity.
Raus aus dem Rechenzentrum und auf die Rennstrecke: Interview mit Friedemann Kurz, Leiter Motorsport IT…
Unternehmen müssen genau hinhören, um Kundenbedürfnisse besser zu verstehen und Kunden gezielt ansprechen zu können,…
Fraunhofer-Forschende verbinden die Innenraum-Sensorik von Autos mit passenden Sprachmodellen. Fahrkomfort und Sicherheit sollen steigen.
Die Akzeptanz ist in den letzten zwölf Monaten noch einmal deutlich gestiegen, so der diesjährige…
"Es gibt einige Fallstricke bei der Einführung von KI zu beachten, damit veränderte Prozesse wirklichen…
Eine Kaspersky-Studie unter C-Level-Entscheidern zeigt, dass nur 22 Prozent über unternehmensinterne Regeln zur KI-Nutzung nachdenken.