Generative KI erhöht den Nutzen von Daten, aber auch das Risiko für Datenabfluss und Compliance-Verstöße. Klare Datenklassifizierung ist daher die zentrale Voraussetzung für eine sichere und regelkonforme KI-Nutzung.
KI-Tools wie Microsoft Copilot versprechen Produktivitätsgewinne, schnellere Entscheidungsfindung und eine effizientere Wissensnutzung. Gleichzeitig wächst jedoch das Risiko für Datenabfluss und Compliance-Verstöße – häufig unterschätzt, aber potenziell teuer. Denn KI greift auf genau jene Informationen zu, auf die auch der jeweilige Anwender Zugriff hat. Ohne klare technische Leitplanken kann aus der erhofften Unterstützung schnell ein ernsthaftes Haftungsproblem werden.
Mit dem stetig wachsenden Datenvolumen und verschärften regulatorischen Anforderungen wie NIS2 oder der DSGVO rückt Transparenz in der Datennutzung immer stärker in den Fokus. Unternehmen müssen jederzeit nachvollziehen können, wo ihre Daten liegen, wie sensibel sie sind und in welchem Kontext sie genutzt werden. Klassische Zugriffskontrollen bilden dafür zwar weiterhin die Basis, reichen im Zusammenspiel mit generativer KI jedoch nicht mehr aus.
KI verschärft bestehende Schwachstellen
Große Sprachmodelle konsumieren nicht nur Daten, sie erzeugen auch neuen Content. Eingaben und Ausgaben können sensible Informationen enthalten, ohne dass ein klassischer Export oder eine offensichtliche Weitergabe stattfindet. Gleichzeitig bleibt die Funktionsweise vieler KI-Systeme eine Blackbox: Wie genau ein Ergebnis zustande kommt, lässt sich oft nicht im Detail nachvollziehen.
Besonders relevant sind in diesem Kontext Insider-Risiken. Mitarbeitende teilen Informationen versehentlich, testen neugierig die Grenzen neuer Tools oder nutzen unautorisierte KI-Anwendungen außerhalb der Kontrolle der IT. Solche Szenarien sind selten böswillig, bergen aber ein hohes Risiko. Die rechtliche Verantwortung liegt dabei nicht bei der KI, sondern beim Menschen, der den generierten Inhalt verwendet oder weitergibt.
Ein zentraler Baustein für eine sichere und regelkonforme KI-Nutzung ist eine saubere Datenklassifizierung. Sie bildet die Grundlage für nahezu alle technischen Compliance-Maßnahmen – von Data Loss Prevention über Zugriffsbeschränkungen bis hin zu Verschlüsselung und Aufbewahrungsregeln. Ohne eine korrekte Einordnung nach Schutzbedarf können diese Mechanismen ihre Wirkung nicht entfalten.
In Microsoft-365-Umgebungen erfolgt die Klassifizierung über Sensitivity Labels. Sie kennzeichnen Dokumente, E-Mails und weitere Inhalte nach ihrer Sensibilität und verknüpfen diese Einstufung mit konkreten Schutzmaßnahmen. Ein entscheidender Vorteil liegt in der Vererbung: Sensitivity Labels begleiten Informationen über ihren gesamten Lebenszyklus hinweg. Nutzt Microsoft Copilot klassifizierte Inhalte als Grundlage, übernimmt der generierte Output automatisch das entsprechende Schutzniveau. Verbotene Aktionen lassen sich technisch blockieren, erlaubte klar kennzeichnen. Für Anwender wird dadurch unmittelbar sichtbar, welche Nutzung zulässig ist.
Kontext statt pauschaler Verbote
Während klassische Security mit festen Regeln arbeitet, adressiert Compliance die Graubereiche dazwischen. Entscheidend ist nicht allein, ob ein Anwender technisch auf Informationen zugreifen darf, sondern unter welchen Bedingungen diese weiterverwendet oder geteilt werden dürfen. Gerade im KI-Kontext zeigt sich, ob Berechtigungen zu breit vergeben wurden oder sensible Inhalte unzureichend klassifiziert sind.
Data Loss Prevention übernimmt in diesem Zusammenspiel die Rolle technischer Leitplanken. DLP-Richtlinien setzen die inhaltliche Einordnung durch und verhindern beispielsweise, dass vertrauliche Informationen extern geteilt oder an private E-Mail-Adressen versendet werden. Typische Testszenarien nach der Einführung von Copilot – etwa Anfragen nach Gehalts- oder Personaldaten – lassen sich so zuverlässig absichern.
Um technische Compliance ganzheitlich umzusetzen, benötigen Unternehmen eine Plattform, die Datensicherheit, Governance und Überwachung bündelt. Microsoft Purview ermöglicht genau diese zentrale Sicht innerhalb von Microsoft 365. Aktivitäten lassen sich tenant-weit nachvollziehen, Datenflüsse analysieren und auch KI-bezogene Interaktionen transparent auswerten.
Gleichzeitig hilft diese Transparenz, Schatten-KI sichtbar zu machen. Viele Unternehmen wissen nicht, welche externen KI-Tools tatsächlich genutzt werden. Einblicke in Nutzungsmuster ermöglichen es, Risiken gezielt zu adressieren und die Adoption sicherer, interner Lösungen zu fördern.
Fazit: Mit Microsoft Purview zur KI-Compliance
Generative KI kann nur dann produktiv und sicher eingesetzt werden, wenn Daten klar klassifiziert und technisch kontrolliert sind. Eine saubere Datenklassifizierung bildet die Grundlage dafür, dass Schutzmechanismen greifen und KI-Ausgaben korrekt eingeordnet werden. Zentrale Plattformen wie Microsoft Purview schaffen die notwendige Transparenz, um Compliance im KI-Zeitalter praktikabel umzusetzen – nicht als Einmalprojekt, sondern als kontinuierliche Aufgabe.
Ein Beitrag von Julian Kusenberg, Senior Consultant bei SoftwareOne und Microsoft MVP Security.
Quelle: SoftwareOneJulian Kusenberg ist Senior Consultant bei SoftwareOne und spezialisiert auf Microsoft 365 Compliance mit Fokus auf Microsoft Purview. Er unterstützt Unternehmen bei der Umsetzung ganzheitlicher Sicherheits- und Governance-Strategien – von Sensitivity Labels bis zu Insider Risk Management und eDiscovery.
Weitere Informationen zu SoftwareOne finden Sie hier.