Zum Inhalt springen
Michael Heim
Über mich M365 Training Blog Kontakt
Zurück zum Blog

Copilot Readiness (1/3) — Copilot findet, was du nie gesucht hast

Bestandsaufnahme deiner Datengrundlage. Oversharing finden, Zugriffe prüfen und Restricted Search aktivieren bevor Copilot auf dein Chaos losgelassen wird.

CopilotSecuritySharePoint
Copilot Readiness (1/3) — Copilot findet, was du nie gesucht hast

Gartner hat es auf dem Security & Risk Management Summit klar gesagt. Die Sicherheitsmaßnahmen in Unternehmen hinken der KI-Einführung deutlich hinterher. Copilot verstärkt bestehende Schwächen in der Datenverwaltung. Dokumente mit falschen Berechtigungen, die jahrelang niemand gefunden hat, werden plötzlich sichtbar.

Das ist kein theoretisches Risiko. Das passiert gerade in Tenants die Copilot ohne Vorbereitung aktivieren.

Copilot nutzt den Microsoft Graph und hat damit Zugriff auf alles worauf der angemeldete User Zugriff hat. Jede SharePoint Site, jedes OneDrive Dokument, jede Teams Nachricht, jeden E-Mail Anhang.

Bevor du Copilot einführst brauchst du eine Bestandsaufnahme. Einen Frühjahrsputz deiner Datengrundlage. Denn eines ist sicher. Du kannst nur schützen, was du kennst.

Und die meisten Unternehmen wissen gar nicht worauf ihre User tatsächlich Zugriff haben.

👉 Am Ende dieses Artikels findest du einen konkreten Trainingsplan mit 8 Schritten für deine Copilot Bestandsaufnahme, zum direkt Abhaken.

Copilot arbeitet im User Scope

Der Microsoft Graph ist die zentrale API hinter Microsoft 365. Outlook, Teams, SharePoint, OneDrive, alles läuft über den Graph. Und Copilot genauso.

Der entscheidende Punkt. Copilot hat genau die gleichen Berechtigungen wie der angemeldete User. Keine eigenen Admin Rechte, keine versteckten Zugänge. Aber alles was der User sehen darf, sieht auch Copilot.

Das klingt erstmal harmlos. Ist es aber nicht.

Wir bauen nicht auf Sand

Bevor Copilot auf deinen Tenant losgelassen wird muss die Datenbasis stimmen. Das betrifft drei Bereiche.

1. SharePoint und OneDrive. Wo liegen deine Daten?

  • Wie viele SharePoint Sites hast du? Welche sind aktiv, welche verwaist?
  • Gibt es Sites ohne Owner? Ohne klare Struktur?
  • Welche OneDrive Ordner sind extern freigegeben?

2. Teams. Was passiert in deinen Gruppen?

  • Jedes Team erzeugt eine M365 Gruppe, eine SharePoint Site, ein geteiltes Postfach
  • Alte Teams die niemand mehr nutzt enthalten oft noch sensible Daten
  • Chat Nachrichten und geteilte Dateien in Teams sind für Copilot durchsuchbar

3. Exchange und OneDrive. Was wird vergessen?

  • E-Mail Anhänge mit vertraulichen Informationen
  • OneDrive Ordner die mit “Jeder” geteilt wurden
  • Geteilte Postfächer mit unkontrollierten Berechtigungen

Du brauchst einen vollständigen Überblick bevor du Copilot die Tür aufmachst.

Oversharing. Das stille Risiko

Oversharing bedeutet Daten sind für mehr Personen zugänglich als sie es sein sollten. Und das passiert in Microsoft 365 erschreckend schnell.

Direkte Zugriffe

  • “Everyone except external users” ist der häufigste Fehler. Wird eine SharePoint Site oder ein Dokument mit dieser Gruppe geteilt hat jeder interne Mitarbeiter Zugriff. Auch der Praktikant. Auch der Werkstudent.
  • Anonyme Links (“Anyone”) sind ein Link den jeder öffnen kann. Ohne Anmeldung, ohne Nachverfolgung. Höchstes Risiko.
  • “People in your organization” ist ähnlich wie “Everyone except external users” aber als Sharing Link. Jeder mit dem Link hat Zugriff.

Indirekte Zugriffe

  • Vererbte Berechtigungen. Ein User wird in eine M365 Gruppe aufgenommen und bekommt automatisch Zugriff auf die SharePoint Site, den Planner, das geteilte Postfach. Ohne dass jemand bewusst entschieden hat ob das sinnvoll ist.
  • Vergessene Freigaben. “Ich teile das mal schnell mit dir” wird nie zurückgenommen. Nach Monaten sammeln sich Freigaben an die niemand mehr überblickt.
  • Verwaiste Sites und Teams. Mitarbeiter verlassen das Unternehmen aber ihre Teams und SharePoint Sites bleiben bestehen. Mit allen Berechtigungen.

Wichtig zu wissen. Allein das Erstellen eines Sharing Links gibt noch keinen Zugriff. Erst wenn ein User den Link einlöst und die Berechtigung akzeptiert wird der Zugriff wirksam. Aber das Risiko liegt darin dass du nicht weißt wie viele Links draußen sind und wer sie eingelöst hat.

Was Copilot daraus macht

Ohne Copilot war Oversharing ein stilles Risiko. Die Daten waren da aber niemand hat danach gesucht. Kein Praktikant hat sich durch hunderte SharePoint Sites geklickt um die Gehaltsliste zu finden.

Mit Copilot reicht eine einzige Frage.

“Fasse alle Dokumente zusammen die das Wort Gehalt enthalten.”

Und Copilot liefert. Aus allen Sites, allen Gruppen, allen geteilten Ordnern. In Sekunden.

Copilot ist nicht das Problem. Copilot macht bestehende Probleme sichtbar.

Du bist mitten in der Bestandsaufnahme aber willst Copilot trotzdem schon für eine Pilotgruppe aktivieren? Dann gibt es eine Sofortmaßnahme. Restricted SharePoint Search, auch bekannt als Restricted Content Discoverability.

Damit definierst du eine Allowlist. Nur Sites auf dieser Liste werden von Copilot und Microsoft Search durchsucht. Alles andere ist für Copilot unsichtbar.

Im Admin Portal Microsoft 365 Admin Center > Settings > Search & Intelligence > Restricted SharePoint Search

Per PowerShell

# Restricted Search aktivieren
Connect-SPOService -Url https://deinTenant-admin.sharepoint.com
Set-SPOTenantRestrictedSearchMode -Mode Restricted

# Erlaubte Sites hinzufügen (max. 100)
Add-SPOTenantRestrictedSearchAllowedList -SitesList @(
  "https://deinTenant.sharepoint.com/sites/Marketing",
  "https://deinTenant.sharepoint.com/sites/Produkt"
)

# Aktuelle Liste anzeigen
Get-SPOTenantRestrictedSearchAllowedList

# Zurück auf unrestricted (nach Abschluss der Remediation)
Set-SPOTenantRestrictedSearchMode -Mode Disabled

Wichtig. Restricted Search ist eine temporäre Maßnahme. Maximal 100 Sites und es schränkt auch Copilot Ergebnisse für korrekt berechtigte Inhalte ein. Nutze es als Sicherheitsnetz während du Oversharing beseitigst. Nicht als Dauerlösung.

Wie du Oversharing findest

1. Data Access Governance Report

Unter SharePoint Admin Center > Reports > Data Access Governance findest du einen dedizierten Oversharing Report

  • Sites mit “Everyone except external users” Freigaben
  • Sites mit anonymen Links
  • Sites mit den meisten externen Zugriffen
  • Ownerless Sites

Das ist dein Startpunkt. Bevor du Copilot aktivierst solltest du diesen Report durchgearbeitet haben.

2. PowerShell Oversharing Audit

# Alle Sites mit deren Sharing Capability auflisten
Connect-SPOService -Url https://deinTenant-admin.sharepoint.com
Get-SPOSite -Limit All | Select-Object Url, SharingCapability, Owner |
  Where-Object { $_.SharingCapability -ne 'Disabled' } |
  Sort-Object SharingCapability |
  Export-Csv -Path "SharingAudit.csv" -NoTypeInformation

Damit exportierst du eine komplette Liste aller Sites bei denen Sharing nicht deaktiviert ist. Jede Site mit “ExternalUserAndGuestSharing” oder “ExternalUserSharingOnly” solltest du dir einzeln ansehen.

3. Sharing Defaults verschärfen

Im SharePoint Admin Center > Policies > Sharing

  • Default Link Type auf “Specific people” setzen, nicht “Anyone” oder “People in your organization”
  • Link Ablauf mit Expiration für externe Links setzen, z.B. 30 Tage
  • Anonyme Links idealerweise komplett deaktivieren

4. Gegenprobe mit Copilot

Wenn du Copilot bereits für eine Pilotgruppe aktiviert hast nutze ihn als Audit Tool. Frag Copilot gezielt nach Dokumenten aus Bereichen auf die der Pilot User keinen Zugriff haben sollte. Wenn Copilot Ergebnisse liefert hast du Oversharing gefunden.

Mit Copilot Cowork wird das noch wichtiger

Microsoft hat mit Copilot Cowork ein Feature gelauncht das Copilot eigenständig an Aufgaben weiterarbeiten lässt, auch wenn du nicht aktiv vor dem Bildschirm sitzt. Copilot durchsucht dann im Hintergrund Dokumente, erstellt Zusammenfassungen und bereitet Ergebnisse vor.

Das heißt Copilot greift nicht mehr nur dann auf Daten zu wenn ein User aktiv eine Frage stellt. Copilot arbeitet kontinuierlich mit den Daten auf die der User Zugriff hat. Wenn dein Fundament nicht steht multipliziert Copilot Cowork das Risiko.

Die Frage ist nicht ob du Copilot einführst. Die Frage ist ob dein Fundament steht wenn Copilot in Zukunft mehr Funktionen bekommt.

🏋️ Trainingsplan. Bestandsaufnahme und Frühjahrsputz

  • Datenlandschaft inventarisieren und alle SharePoint Sites, Teams und geteilte Postfächer erfassen
  • Data Access Governance Report durcharbeiten im SharePoint Admin Center unter Reports
  • PowerShell Audit und alle Sites mit offenem Sharing exportieren und einzeln prüfen
  • Direkte Zugriffe bereinigen und “Everyone except external users” durch gezielte Gruppen ersetzen
  • Indirekte Zugriffe prüfen also verwaiste Teams, alte Gruppen, vergessene Gastkonten
  • Sharing Defaults verschärfen und Default Link Type auf “Specific people” setzen, Link Ablauf setzen
  • Restricted Search aktivieren als Sofortmaßnahme für den Copilot Piloten
  • Gegenprobe mit Copilot und nach der Remediation testen ob Oversharing beseitigt ist

👉 Zum Copilot Readiness Check 10 Fragen, die zeigen ob dein Tenant bereit ist für Copilot.

Im nächsten Teil geht es um Sensitivity Labels, warum deine Daten ein Namensschild brauchen und wie du mit Microsoft Purview sicherstellst dass Copilot weiß was vertraulich ist.

Gruß Micha

Hat dir der Artikel geholfen? Teile ihn mit deinem Netzwerk.

LinkedIn X