Stoppen Sensitivity Labels wirklich den Microsoft 365 Copilot?

März 20, 2025
|In Microsoft 365, Microsoft 365 Copilot, Microsoft Purview, Security & Data Privacy
|By Roger Haueter

Mit der wachsenden Nutzung von Microsoft 365 Copilot stellt sich für Unternehmen die Frage, wie sensible Inhalte in einer Umgebung geschützt werden können, in der künstliche Intelligenz Inhalte analysiert und weiterverarbeitet. Sensitivity Labels von Microsoft Purview spielen dabei eine entscheidende Rolle. Doch wie genau interagieren diese mit Copilot, und welche Strategien gibt es, um den Schutz vertraulicher Informationen sicherzustellen?

Sensitivity Labels

Sensitivity Labels sind ein zentrales Werkzeug, um Daten innerhalb von Microsoft 365 zu klassifizieren und gezielt zu schützen. Sie ermöglichen nicht nur Verschlüsselung, sondern auch die Einschränkung von Berechtigungen und Verarbeitungsvorgängen. Eine besondere Einstellung erlaubt es beispielsweise, den Zugriff von Content Services auf Dateien zu blockieren, wodurch Microsoft 365 Copilot nicht in der Lage ist, den Inhalt solcher Dokumente für Textgenerierung oder Zusammenfassungen zu nutzen.

Dieser Schutzmechanismus sorgt dafür, dass Copilot keine sensiblen Daten aus geschützten Dokumenten extrahieren kann. Allerdings bedeutet dies nicht, dass die betroffenen Dokumente für den Nutzer gänzlich unsichtbar werden. Copilot kann sie nach wie vor in Suchergebnissen anzeigen, da Microsoft Search und der Semantic Index weiterhin Metadaten wie Titel, Ersteller oder Erstelldatum indexieren. Sensitivity Labels verhindern also die Verarbeitung von Inhalten, nicht aber das Auffinden der Dokumente.

DLP-Richtlinien

Neben Sensitivity Labels können Data Loss Prevention (DLP)-Richtlinien in Microsoft Purview genutzt werden, um den Zugriff von Copilot auf bestimmte Inhalte weiter einzuschränken. Mit der kürzlich eingeführten Integration von Microsoft 365 Copilot in DLP-Richtlinien können Administratoren gezielt festlegen, dass Inhalte mit bestimmten Sensitivity Labels nicht für KI-gestützte Verarbeitung genutzt werden dürfen. Copilot kann solche Dateien zwar weiterhin in seinen Zitaten aufführen, ist jedoch nicht in der Lage, Inhalte aus diesen Dokumenten in generierten Antworten zu verwenden.

Dieser Mechanismus bietet eine effektive Ergänzung zu Sensitivity Labels, insbesondere für Unternehmen, die sicherstellen möchten, dass vertrauliche Daten nicht in KI-generierten Inhalten erscheinen. Gerade in Szenarien, in denen strenge Datenschutzvorgaben gelten, können DLP-Regeln eine kritische Schutzschicht darstellen.

Restricted Content Discoverability

Mit der Funktion Restricted Content Discoverability (RCD) bietet Microsoft eine weitere Schutzebene, um zu verhindern, dass sensible Inhalte übergreifend in Microsoft 365 Copilot Business Chat und unternehmensweiten Suchanfragen auftauchen.

  • Gezielte Einschränkung von Suchergebnissen: Aktivierte Sites erscheinen nicht in unternehmensweiten Suchanfragen oder Copilot Business Chat, es sei denn, ein Nutzer hatte kürzlich eine direkte Interaktion mit diesen Dateien.
  • Keine Änderung der Berechtigungen: Nutzer mit Zugriff auf eine Site können die Inhalte weiterhin öffnen und nutzen.
  • Eingeschränkte Sichtbarkeit von Inhalten: Standardmässig wird untergeordneter Content verborgen, es sei denn, es handelt sich um eigene oder kürzlich verwendete Dateien.
  • Keine Auswirkungen auf standortbezogene Suche oder intelligente Empfehlungen: Innerhalb eines bestimmten SharePoint-Sites bleiben Inhalte auffindbar.

Unternehmen können Restricted Content Discoverability gezielt Sites mit sensitiven Inhalten aktivieren. Die Funktion wird nicht automatisch angewandt, sondern muss durch Administratoren gezielt konfiguriert werden.

Anwendung von Restricted Content Discoverability

Die Nutzung von Restricted Content Discoverability setzt eine SharePoint Advanced Management Subscription voraus. Administratoren können die Funktion für einzelne SharePoint-Sites aktivieren oder deaktivieren:

Kommando zur Aktivierung für eine bestimmte Site:

Set-SPOSite –identity <site-url> -RestrictContentOrgWideSearch $true

Hinweis: Ein exzessiver Einsatz von Restricted Content Discoverability kann die allgemeine Such- und Copilot-Performance negativ beeinflussen, da weniger Inhalte zur Verfügung stehen und Suchergebnisse unvollständig oder ungenau ausfallen können.

Weitere Schutzmassnahmen

Zusätzlich können Unternehmen weitere Schutzmechanismen nutzen:

  • Block Download Policy: Verhindert das Herunterladen oder Drucken von sensiblen Dateien, auch ohne Sensitivity Labels.
  • Organization Asset Libraries: Stellt sicher, dass Logos, Banner und andere Branding-Ressourcen zentral verwaltet und geschützt werden.

Fazit

Sensitivity Labels, DLP-Richtlinien und Restricted Content Discoverability bieten ein abgestuftes Schutzmodell für sensible Unternehmensdaten. Unternehmen sollten eine Kombination dieser Schutzmechanismen nutzen, um Microsoft 365 Copilot sicher einzusetzen.

Restricted Content Discoverability ist eine besonders effektive Ergänzung, um sicherzustellen, dass sensible Inhalte nicht versehentlich in unternehmensweiten Suchanfragen oder Copilot-Antworten auftauchen. Gleichzeitig sollte die Nutzung mit Bedacht erfolgen, um die allgemeine Suchleistung nicht negativ zu beeinflussen.

Letztendlich bleibt der Schutz von Informationen eine Kombination aus technologischen Lösungen und einer klaren Datenstrategie. Unternehmen, die sich frühzeitig mit diesen Mechanismen auseinandersetzen, sind bestens gerüstet, um sensible Informationen effektiv zu schützen.