Generative AI Security: Ensuring a Secure Microsoft Copilot Rollout

Microsoft Copilot has been called one of the most powerful productivity tools on
the planet.

Copilot ist ein KI-Assistent, der in jeder Ihrer Microsoft-365-Apps integriert ist – Word, Excel, PowerPoint, Teams, Outlook usw. Microsoft hat sich vorgenommen, die tägliche Arbeit weniger aufwändig und monoton zu gestalten und den Menschen die Möglichkeit zu geben, sich auf kreative Problemlösungen zu konzentrieren.

Was Copilot so stark von ChatGPT und anderen KI-Tools unterscheidet, ist, dass es Zugriff auf alles hat, woran Sie jemals in 365 gearbeitet haben. Copilot kann sofort Daten aus Ihren Dokumenten, Präsentationen, E-Mails, Kalendern, Notizen und Kontakten suchen und zusammenstellen.

Und genau darin liegt aus Sicht der IT-Sicherheitsteams das Problem. Copilot kann auf alle sensiblen Daten zugreifen, auf die ein Benutzer zugreifen kann – und das ist oft viel zu viel. Im Durchschnitt sind 10 % der M365-Daten eines Unternehmens für alle Mitarbeiter zugänglich.

Copilot kann auch schnell neue sensible Daten generieren, die geschützt werden müssen. Schon vor der KI-Revolution konnten Benutzer Daten deutlich schneller erstellen und teilen, als diese geschützt werden konnten. Sehen Sie sich einfach die Trends bei Datenschutzverletzungen an. Generative KI gießt nun Öl in dieses Feuer.

Es gibt viel zu erläutern, wenn es um generative KI als Ganzes geht: Model Poisoning, Halluzinationen, Deepfakes usw. In diesem Beitrag werde ich mich jedoch vor allem auf die Datensicherheit konzentrieren, und darauf, wie Ihr Team einen sicheren Rollout von Copilot gewährleisten kann.

Anwendungsfälle für Microsoft 365 Copilot

Die Anwendungsfälle generativer KI mit einer Kollaborations-Suite wie M365 sind grenzenlos. Man kann leicht verstehen, warum sich so viele IT- und Sicherheitsteams um einen frühen Zugang bemüht und ihre Rollout-Pläne vorbereitet haben. Die Produktivitätssteigerungen werden enorm sein.

Sie können beispielsweise ein leeres Word-Dokument öffnen und Copilot bitten, ein Angebot für einen Kunden zu schreiben, basierend auf einem Zieldatensatz aus OneNote-Seiten, PowerPoint-Decks und anderen Office-Dokumenten. In Sekundenschnelle haben Sie so ein vollständiges Angebot.

Hier sind ein paar weitere Beispiele, die Microsoft während seiner Einführungsveranstaltung genannt hat:

• Copilot kann an Ihren Teambesprechungen teilnehmen und in Echtzeit zusammenfassen, was besprochen wird, Aktionspunkte erfassen und Ihnen mitteilen, welche Fragen in der Besprechung offen geblieben sind. 
• Copilot in Outlook kann Ihnen dabei helfen, Ihren Posteingang zu sortieren, E-Mails nach Prioritäten zu ordnen, Themen zusammenzufassen und Antworten für Sie zu erstellen.
• Copilot in Excel kann Rohdaten analysieren und Ihnen Erkenntnisse, Trends und Vorschläge bieten. 

Wie Microsoft 365 Copilot funktioniert

Hier ist ein einfacher Überblick darüber, wie eine Copilot-Eingabe verarbeitet wird:

• Ein Benutzer gibt seine Eingabe in einer Anwendung wie Word, Outlook oder PowerPoint ein.
• Microsoft erfasst den Geschäftskontext des Benutzers anhand seiner M365-Berechtigungen.
• Die Eingabe wird an das LLM (beispielsweise GPT4) gesendet, um eine Antwort zu generieren.
• Microsoft führt nach der Verarbeitung überprüft die KI anschließend gründlich.
• Microsoft generiert eine Antwort und Befehle zurück an die M365-Anwendung. 

Quelle: https://learn.microsoft.com/en-us/deployoffice/privacy/microsoft-365-copilot 

Sicherheitsmodell von Microsoft 365 Copilot

With collaboration tools, there is always an extreme tension between productivity and security.

Das zeigte sich während der Pandemie, als IT-Teams Microsoft Teams schnell einführten, ohne zunächst vollständig zu verstehen, wie das zugrundeliegende Sicherheitsmodell funktioniert oder wie gut die M365-Berechtigungen, -Gruppen und -Linkrichtlinien ihres Unternehmens darauf eingestellt sind. 

What Microsoft handles for you:

• Isolation von Mandanten. Copilot verwendet nur Daten vom M365-Mandanten des aktuellen Benutzers. Das KI-Tool zeigt keine Daten von anderen Mandanten an, in denen der Benutzer zu Gast ist, und auch nicht von Mandanten, für die eine mandantenübergreifende Synchronisierung eingerichtet wurde.
• Beschränkungen des Trainings. Copilot verwendet Ihre Geschäftsdaten nicht, um die grundlegenden LLMs zu trainieren, die für alle Mandanten verwendet werden. Sie müssen sich also keine Sorgen darüber machen, dass Ihre geschützten Daten in den Antworten für andere Nutzer in anderen Mandanten auftauchen. 

What you need to manage: 

• Berechtigungen. Copilot zeigt alle Organisationsdaten an, für die einzelne Benutzer mindestens Anzeigeberechtigungen haben. 
• Labels. Von Copilot generierte Inhalte übernehmen nicht die MPIP-Labels der Dateien, aus denen es seine Antwort bezieht.
• Menschen. Es kann nicht garantiert werden, dass die Antworten von Copilot zu 100 % sachlich oder sicher sind. Menschen müssen die Verantwortung für die Überprüfung von KI-generierten Inhalten übernehmen.
  

Schauen wir uns nun die schlechten Nachrichten einzeln an.

Berechtigungen

Es wäre eine hervorragende Idee, Copilot nur Zugriff darauf zu gewähren, worauf ein Benutzer zugreifen kann – aber nur, wenn Unternehmen das Least-Privilege-Prinzip (Prinzip der notwendigsten Berechtigung) in Microsoft 365 problemlos durchsetzen können. 

Microsoft gibt Folgendes in seiner Copilot-Datensicherheitsdokumentation an:

Es ist wichtig, dass Sie die Berechtigungsmodelle verwenden, die in Microsoft-365-Services wie SharePoint verfügbar sind, um sicherzustellen, dass die richtigen Benutzer oder Gruppen den richtigen Zugriff auf die richtigen Inhalte in Ihrer Organisation haben.

Wir wissen jedoch empirisch, dass die meisten Organisationen so weit von Least Privilege entfernt sind, wie sie nur sein können. Sehen Sie sich einfach die Statistiken aus dem State of Cloud Permissions Risk Report von Microsoft an.

Dieses Bild zeigt, was wir bei Varonis sehen, wenn wir jedes Jahr Tausende von Data Risk Assessments für Unternehmen durchführen, die Microsoft 365 verwenden. In unserem Bericht „The Great SaaS Data Exposure“ haben wir festgestellt, dass der durchschnittliche M365-Mandant:

• Über 40 Millionen eindeutige Berechtigungen
• über 113.000 vertrauliche Datensätze hat, die öffentlich zugänglich sind,
• über 27.000 Freigabelinks hat.

Warum ist das so? Microsoft-365-Berechtigungen sind extrem komplex. Bedenken Sie nur, wie viele Möglichkeiten es gibt, wie ein Benutzer Zugriff auf Daten erhalten kann:

• Direkte Benutzerberechtigungen
• Microsoft-365-Gruppenberechtigungen
• Lokale SharePoint-Berechtigungen (mit benutzerdefinierten Ebenen)
• Gastzugriff
• Externer Zugriff
• Öffentlicher Zugriff
• Link-Zugriff (alle, unternehmensweit, direkt, Gast)

Erschwerend kommt hinzu, dass Berechtigungen größtenteils unter der Kontrolle der Endbenutzer stehen, anstatt von IT- oder Sicherheitsteams. 

Labels

Microsoft verlässt sich in hohem Maße auf Sensibilitäts-Labels, um DLP-Richtlinien durchzusetzen, Verschlüsselung anzuwenden und Datenlecks im Allgemeinen zu verhindern. In der Praxis ist es jedoch schwierig, Labels so umzusetzen, dass sie gut funktionieren. Insbesondere wenn man sich darauf verlässt, dass die Benutzer selbst Sensibilitäts-Labels anwenden.

Microsoft malt ein rostiges Bild von Labeling und Blockierung als ultimatives Sicherheitsnetz für Ihre Daten. Die Realität zeigt jedoch ein düsteres Szenario. Da Daten von Menschen erstellt werden, wird das Labeling oft erst später durchgeführt oder ist veraltet.

Das Blockieren oder Verschlüsseln von Daten kann Arbeitsabläufe erschweren und Labeling-Technologien sind auf bestimmte Dateitypen beschränkt. Je mehr Labels eine Organisation hat, desto verwirrender kann es für Benutzer werden. In größeren Organisationen ist dieses Problem besonders ausgeprägt.

Die Effizienz des Label-Datenschutzes wird mit Sicherheit abnehmen, wenn KI um Größenordnungen mehr Daten erzeugt, die präzise und automatisch aktualisierte Labels erfordern.

Sind meine Labels in Ordnung?

Varonis kann das Sensibilitäts-Labeling von Microsoft für eine Organisation validieren und verbessern, indem es Folgendes scannt, erkennt und behebt:

• Sensible Dateien ohne Label
• Sensible Dateien mit einem falschen Label
• Nichtsensible Dateien mit einem sensiblen Label

Menschen

KI kann Menschen faul machen. Von LLMs wie GPT4 generierte Inhalte sind nicht nur gut, sie sind hervorragend. In vielen Fällen übertreffen die Geschwindigkeit und die Qualität bei weitem das, was ein Mensch leisten kann. Infolgedessen vertrauen die Menschen blindlings darauf, dass KI sichere und genaue Antworten liefert.  

Wir haben bereits echte Fälle erlebt, in denen Copilot ein Angebot für einen Kunden schreibt und sensible Daten einbezieht, die zu einem völlig anderen Kunden gehören. Der Benutzer klickt nach einem kurzen (oder gar keinem) Blick auf „Abschicken“, und schon kommt es zu einem Datenleck oder einer Datenschutzverletzung.

Treffen Sie Vorkehrungen, damit Ihr Mandant auch mit Copilot sicher bleibt

Noch vor der Implementierung von Copilot sollten Sie sich unbedingt ein Bild Ihrer Datensicherheitslage machen. Copilot wird voraussichtlich Anfang nächsten Jahres allgemein verfügbar sein. Jetzt ist also ein guter Zeitpunkt, um entsprechende Sicherheitsmaßnahmen einzurichten.

Varonis schützt Tausende von Microsoft-365-Kunden mit unserer Datensicherheitsplattform, die einen Echtzeit-Überblick über die Risiken bietet automatisch das Least-Privilege-Prinzip durchsetzen kann. 

Wir können Ihnen helfen, die größten Sicherheitsrisiken mit Copilot praktisch ohne manuellen Aufwand anzugehen. Mit Varonis for Microsoft 365 können Sie:

• Alle sensiblen KI-generierten Inhalte automatisch finden und klassifizieren.
• Automatisch sicherstellen, dass MPIP-Labels korrekt angewendet werden. 
• Automatisch die Berechtigungen nach dem Least-Privilege-Prinzip durchsetzen.
• Vertrauliche Daten kontinuierlich in M365 überwachen, bei abnormalem Verhalten Warnungen erhalten und entsprechend reagieren.

Der beste Einstieg ist eine kostenlose Risikobeurteilung: Die Einrichtung dauert nur wenige Minuten und innerhalb von ein oder zwei Tagen erhalten Sie einen Echtzeitüberblick über das Risiko Ihrer sensiblen Daten.