Anwenden der Prinzipien von Zero Trust auf Microsoft Copilot

Zusammenfassung: Um Zero Trust-Prinzipien auf Microsoft Copilot anzuwenden, müssen Sie Folgendes tun:

1. Implementieren Sie Sicherheitsschutzmaßnahmen für webbasierte Prompts für das Internet.
2. Fügen Sie Sicherheitsschutzmaßnahmen für die Microsoft Edge-Browserzusammenfassung hinzu.
3. Vervollständigen Sie die empfohlenen Sicherheitsvorkehrungen für Microsoft 365 Copilot.
4. Wahren Sie die Sicherheitsvorkehrungen, wenn Sie Microsoft Copilot und Microsoft 365 Copilot zusammen verwenden.

Einführung

Microsoft Copilot, kurz Copilot, ist ein KI-Begleiter auf copilot.microsoft.com, in Windows, Edge, Bing und der mobilen Copilot-App. Dieser Artikel hilft Ihnen bei der Implementierung von Sicherheitsmaßnahmen, um Ihre Organisation und Ihre Daten während der Verwendung von Copilot zu schützen. Durch die Implementierung dieser Schutzmaßnahmen schaffen Sie eine Grundlage für Zero Trust.

Bei den Zero Trust-Sicherheitsempfehlungen für Copilot liegt der Schwerpunkt auf Schutzmaßnahmen für Benutzerkonten, Benutzergeräte und die Daten, die im Rahmen Ihrer Konfiguration von Copilot verwendet werden.

Sie können Copilot schrittweise einführen: von webbasierten Prompts für das Internet bis hin zu webbasierten und Microsoft 365 Graph-basierten Prompts sowohl für das Internet als auch für Ihre Unternehmensdaten. Dieser Artikel hilft Ihnen dabei, den Umfang der einzelnen Konfigurationen und folglich die Empfehlungen für die Vorbereitung Ihrer Umgebung mit angemessenen Sicherheitsmaßnahmen zu verstehen.

Wie hilft Zero Trust bei KI?

Sicherheit, insbesondere der Schutz von Daten, ist häufig ein wichtiges Anliegen bei der Einführung von KI-Tools in einer Organisation. Zero Trust ist eine Sicherheitsstrategie, bei der jede Benutzer-, Geräte- und Ressourcenanforderung überprüft wird, um sicherzustellen, dass jede dieser Anforderungen zulässig ist. Der Begriff „Zero Trust“ bezieht sich auf die Strategie, jede Verbindungs- und Ressourcenanforderung so zu behandeln, als stamme sie von einem nicht kontrollierten Netzwerk und einem böswilligen Akteur. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: "Niemals vertrauen, immer überprüfen."

Als führender Sicherheitsexperte bietet Microsoft eine praktische Roadmap und verständliche Anleitungen für die Implementierung von Zero Trust. Die Copilots von Microsoft basieren auf vorhandenen Plattformen, die die auf diese Plattformen angewendeten Schutzmaßnahmen erben. Details zum Anwenden von Zero Trust auf Microsoft-Plattformen finden Sie im Zero Trust Guidance Center. Durch die Implementierung dieser Schutzmaßnahmen erstellen Sie eine Grundlage der Zero Trust-Sicherheit.

Dieser Artikel stützt sich auf diesen Leitfaden, um die Zero Trust-Schutzmaßnahmen im Zusammenhang mit Copilot zu beschreiben.

Inhalt dieses Artikels

In diesem Artikel werden die Sicherheitsempfehlungen beschrieben, die in vier Phasen zur Anwendung kommen. So können Sie Copilot in Ihrer Umgebung einführen und gleichzeitig Sicherheitsmaßnahmen für Benutzer, Geräte und die Daten implementieren, auf die Copilot zugreift.

Phase	Konfiguration	Zu schützende Komponenten
1	Webbasierte Prompts für das Internet	Grundlegende Sicherheit für Benutzer und Geräte mithilfe von Identitäts- und Zugriffsrichtlinien
2	Webbasierte Prompts für das Internet mit aktivierter Zusammenfassung der Edge-Browserseite	Ihre Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud, die Copilot in Edge zusammenfassen kann
3	Webbasierte Prompts für das Internet und Zugriff auf Microsoft 365 Copilot	Alle von Microsoft 365 Copilot betroffenen Komponenten.
4	Webbasierte Prompts für das Internet und Zugriff auf Microsoft 365 Copilot mit aktivierter Seitenzusammenfassung im Edge-Browser	Alle oben aufgeführten Komponenten

Phase 1. Beginnen Sie mit Sicherheitsempfehlungen für webbasierte Prompts für das Internet

Die einfachste Konfiguration von Copilot bietet KI-Unterstützung bei webbasierten Prompts.

In der Abbildung:

• Benutzer können mit Copilot über copilot.microsoft.com, Windows, Bing, den Edge-Browser und die mobile Copilot-App interagieren.
• Prompts sind webbasiert. Copilot verwendet nur öffentlich verfügbare Daten, um auf Prompts zu reagieren.

Mit dieser Konfiguration sind Ihre Organisationsdaten nicht in den Daten enthalten, auf die Copilot verweist.

Verwenden Sie diese Phase, um Identitäts- und Zugriffsrichtlinien für Benutzer und Geräte zu implementieren und zu verhindern, dass böswillige Akteure Copilot verwenden. Sie müssen zumindest Richtlinien für bedingten Zugriff konfigurieren, die Folgendes voraussetzen:

• Multi-Faktor-Authentifizierung für alle Benutzer
• Vertrauenswürdige und fehlerfreie Geräte

Weitere Empfehlungen für Microsoft 365 E3

• Konfigurieren Sie für die Authentifizierung von und den Zugriff auf Benutzerkonten auch die Identitäts- und Zugriffsrichtlinien zum Blockieren von Clients, die keine moderne Authentifizierung unterstützen.
• Verwenden der Windows-Schutzfunktionen

Weitere Empfehlungen für Microsoft 365 E5

Implementieren Sie die Empfehlungen für E3, und konfigurieren Sie die folgenden Identitäts- und Zugriffsrichtlinien:

• Festlegen, dass bei mittlerem oder hohem Anmelderisiko Multi-Faktor-Authentifizierung verwendet werden muss
• Benutzer mit hohem Risiko müssen das Kennwort ändern.

Phase 2. Hinzufügen von Sicherheitsmaßnahmen für die Edge-Browserzusammenfassung

Microsoft Copilot unterstützt Sie über die Microsoft Edge-Seitenleiste dabei, Antworten und Inspirationen aus dem Web zu und – falls aktiviert – aus einigen Arten von Informationen zu erhalten, die auf geöffneten Browserregisterkarten angezeigt werden.

Hier sind einige Beispiele für private Webseiten oder Organisationswebseiten und Dokumenttypen, die Copilot in Edge zusammenfassen kann:

• Intranetsites wie SharePoint, mit Ausnahme eingebetteter Office-Dokumente
• Outlook Web App
• PDF-Dateien, einschließlich auf dem lokalen Gerät gespeicherter Dateien
• Websites, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien (Mobile Application Management, Verwaltung mobiler Anwendungen) oder MDM-Richtlinien geschützt sind

Hinweis

Die aktuelle Liste der Dokumenttypen, für die die Analyse und Zusammenfassung durch Copilot in Edge unterstützt wird, finden Sie unter Verhalten bei der Webseitenzusammenfassung von Copilot in Edge.

Potenziell vertrauliche Unternehmenswebsites und Dokumente, die Copilot in Edge zusammenfassen kann, können an Speicherorten in der lokalen Umgebung sowie im Intranet oder in der Cloud gespeichert werden. Diese Organisationsdaten können einem Angreifer offengelegt werden, der Zugriff auf das Gerät hat und Copilot in Edge verwendet, um schnell Zusammenfassungen von Dokumenten und Websites zu generieren.

Die Organisationsdaten, die von Copilot in Edge zusammengefasst werden können, können Folgendes umfassen:

• Lokale Ressourcen auf dem Computer des Benutzers

  PDF-Dateien oder Informationen, die auf einer Edge-Browserregisterkarte von lokalen Apps angezeigt werden, die nicht durch MAM-Richtlinien geschützt sind

• Intranetressourcen

  PDF-Dateien oder Websites für interne Apps und Dienste, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind

• Microsoft 365-Websites, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind

• Microsoft Azure-Ressourcen

  PDF-Dateien auf VMs oder Websites für SaaS-Apps, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDM-Richtlinien geschützt sind

• Cloudproduktwebsites von Drittanbietern für cloudbasierte SaaS-Apps und -Dienste, die nicht durch Microsoft Purview-DLP-Richtlinien, MAM-Richtlinien oder MDA-Richtlinien geschützt sind

Implementieren Sie in dieser Phase Sicherheitsstufen, um zu verhindern, dass böswillige Akteure Copilot verwenden, um vertrauliche Daten schneller zu finden und darauf zuzugreifen. Sie müssen mindestens folgende Aktionen ausführen:

• Bereitstellen von Datenschutz und Complianceschutz mit Microsoft Purview
• Konfigurieren von Mindestbenutzerberechtigungen für Daten
• Bereitstellen von Bedrohungsschutz für Cloud-Apps mit Microsoft Defender for Cloud-Apps

Weitere Informationen zu Copilot in Edge finden Sie hier:

• Copilot in Edge
• Verhalten bei der Webseitenzusammenfassung von Copilot in Edge

Die folgende Abbildung zeigt die für Microsoft Copilot in Edge verfügbaren Datasets mit aktivierter Browserzusammenfassung:

Empfehlungen für E3 und E5

• Implementieren Sie für den Schutz von Daten Intune-App-Schutzrichtlinien (App Protection Policies, APP). App-Schutzrichtlinien können das versehentliche oder absichtliche Kopieren der von Copilot generierten Inhalte in Apps auf einem Gerät verhindern, die nicht in der Liste der zulässigen Apps enthalten sind. ASR kann den Strahlradius eines Angreifers mit einem kompromittierten Gerät einschränken.

• Aktivieren Sie Plan 1 für Microsoft Defender für Office 363, der Exchange Online Protection (EOP) für sichere Anlagen, sichere Links, erweiterte Phishingschwellenwerte und Identitätswechselschutz sowie Echtzeiterkennungen beinhaltet.

Phase 3: Abschließen von Sicherheitsmaßnahmen, die für Microsoft 365 Copilot empfohlen werden

Microsoft 365 Copilot kann die folgenden Datasets verwenden, um Graph-basierte Prompts zu verarbeiten:

• Ihre Microsoft 365-Mandantendaten
• Internetdaten über die Bing-Suche (sofern aktiviert)
• Die von Copilot-fähigen Plug-Ins und Connectors verwendeten Daten

Weitere Informationen finden Sie unter Anwenden der Zero Trust-Prinzipien auf Microsoft 365 Copilot.

Empfehlungen für E3

Implementieren Sie Folgendes:

• Anforderungsrichtlinien für die Geräteverwaltung und -compliance in Intune

• Schutz von Daten in Ihrem Microsoft 365-Mandanten

  • Vertraulichkeitsbezeichnungen

  • Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP)

  • Aufbewahrungsrichtlinien

• Aktivieren von Microsoft Defender for Endpoint

Empfehlungen für E5

Implementieren Sie die Empfehlungen für E3 sowie Folgendes:

• Verwenden Sie einen größeren Bereich von Klassifizierern für die Suche vertraulicher Informationen
• Automatisieren Sie Ihre Aufbewahrungsbezeichnungen.
• Probieren Sie die Funktionen von Plan 2 in Defender für Office 365 aus. Dazu zählen Funktionen zur Untersuchung nach Sicherheitsverletzungen, für Hunting sowie für Reaktion, Automatisierung und Simulation.
• Aktivieren Sie Microsoft Defender for Cloud-Apps.
• Konfigurieren Sie Defender for Cloud-Apps, um Cloud-Apps zu entdecken und ihr Verhalten zu überwachen.

Phase 4: Verwalten von Sicherheitsmaßnahmen bei der gemeinsamen Verwendung von Microsoft Copilot und Microsoft 365 Copilot

Wenn Sie eine Lizenz für Microsoft 365 Copilot besitzen, wird das Umschaltsteuerelement Arbeit/Web im Edge-Browser, in Windows und in der Bing-Suche angezeigt. Mit dem Umschalter können Sie zwischen Folgendem wechseln:

• Graph-basierte Prompts, die an Microsoft 365 Copilot gesendet werden (Umschaltfläche auf Arbeit festgelegt)
• Webbasierte Prompts, die in erster Linie Internetdaten verwenden (Umschaltfläche auf Web festgelegt)

Hier sehen Sie ein Beispiel für copilot.microsoft.com:

Die folgende Abbildung zeigt den Flow von Graph- und webbasierten Prompts:

In der Abbildung:

• Benutzende auf Geräten mit einer Lizenz für Microsoft 365 Copilot können den Modus Arbeit oder Web für Microsoft Copilot-Prompts auswählen.
• Wenn Arbeit ausgewählt ist, werden Graph-basierte Prompts zur Verarbeitung an Microsoft 365 Copilot gesendet.
• Wenn Web ausgewählt ist, verwenden webbasierte Prompts, die über Windows, Bing oder Edge eingegeben werden, Internetdaten bei der Verarbeitung.
• Bei Edge und entsprechender Aktivierung bezieht Windows Copilot einige Arten von Daten auf geöffneten Edge-Registerkarten in die Verarbeitung ein.

Wenn die Benutzenden nicht über eine Lizenz für Microsoft 365 Copilot verfügen, wird die Umschaltfläche Arbeit/Web nicht angezeigt, und alle Prompts sind webbasiert.

Hier sehen Sie die zugänglichen Organisationsdaten für Microsoft Copilot, die sowohl Graph- als auch webbasierte Prompts enthalten:

In der Abbildung stellen die gelb hinterlegten Blöcke Ihre Organisationsdaten dar, auf die über Copilot zugegriffen werden kann. Der Zugriff auf diese Daten durch einen Benutzer über Copilot hängt von den dem Benutzerkonto zugewiesenen Berechtigungen für die Daten ab. Er kann auch vom Status des Geräts des Benutzers abhängen, wenn der bedingte Zugriff entweder für den Benutzer oder für den Zugriff auf die Umgebung konfiguriert ist, in der sich die Daten befinden. Nach den Zero Trust-Prinzipien handelt es sich dabei um Daten, die Sie schützen möchten, falls ein Angreifer ein Benutzerkonto oder Gerät kompromittiert.

• Für Graph-basierte Prompts (Umschaltfläche auf Arbeit festgelegt) umfasst dies Folgendes:

  • Ihre Microsoft 365-Mandantendaten

  • Daten für Copilot-fähige Plug-Ins und Connectors

  • Internetdaten (wenn das Web-Plug-In aktiviert ist)

• Bei webbasierten Prompts vom Edge-Browser mit aktivierter Zusammenfassung geöffneter Browserregisterkarten (Umschaltfläche auf Web festgelegt) kann dies Organisationsdaten umfassen, die von Copilot in Edge aus Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud zusammengefasst werden können.

Überprüfen Sie in dieser Phase die Implementierung der folgenden Sicherheitsstufen, um zu verhindern, dass böswillige Akteure Copilot verwenden, um auf Ihre vertrauliche Daten zuzugreifen.

• Bereitstellen von Datenschutz und Complianceschutz mit Microsoft Purview
• Konfigurieren von Mindestbenutzerberechtigungen für Daten
• Bereitstellen von Bedrohungsschutz für Cloud-Apps mit Microsoft Defender for Cloud-Apps

Empfehlungen für E3

• Überprüfen Sie Ihre Konfiguration und die Features von Plan 1 für Defender für Office 365 und von Plan 1 für Defender for Endpoint, und implementieren Sie bei Bedarf zusätzliche Funktionen.
• Richten Sie geeignete Schutzebenen für Microsoft Teams ein.

Empfehlungen für E5

Implementieren Sie die Empfehlungen für E3, und erweitern Sie die XDR-Funktionen in Ihrem Microsoft 365-Mandanten:

• Aktivieren Sie Microsoft Defender for Identity.

• Überprüfen Sie Ihre Konfiguration, und implementieren Sie bei Bedarf zusätzliche Funktionen, um Ihren Bedrohungsschutz mit der vollständigen Microsoft Defender XDR-Suite zu erhöhen:

  • Defender für Endpunkt

  • Defender für Office 365

  • Microsoft Defender for Identity

  • Defender-für-Cloud-Apps

  • Konfigurieren von Sitzungsrichtlinien für Defender for Cloud-Apps

Konfigurationszusammenfassung

Die folgende Abbildung fasst Microsoft Copilot-Konfigurationen und die resultierenden zugänglichen Daten zusammen, die Copilot für die Reaktion auf Prompts verwendet:

Diese Tabelle enthält Zero Trust-Empfehlungen für Ihre ausgewählte Konfiguration.

Konfiguration	Zugängliche Daten	Zero Trust-Empfehlungen
Ohne Microsoft 365 Copilot-Lizenzen (Umschaltfläche Arbeit/Web nicht verfügbar) AND Zusammenfassung von Edge-Browserseiten deaktiviert	Bei webbasierten Prompts nur Internetdaten	Keine erforderlich, aber dringend empfohlen für die allgemeine Sicherheit
Ohne Microsoft 365 Copilot-Lizenzen (Umschaltfläche Arbeit/Web nicht verfügbar) AND Zusammenfassung von Edge-Browserseiten aktiviert	Bei webbasierten Prompts: - Internetdaten - Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud, die Copilot in Edge zusammenfassen kann	Informationen zu Ihrem Microsoft 365-Mandanten finden Sie unter Zero Trust für Microsoft 365 Copilot und „Anwenden von Zero Trust-Schutzmechanismen“. Informationen zu Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud finden Sie unter Verwalten von Geräten mit Intune – Übersicht (MAM- und MDM-Richtlinien). Informationen zu DLP-Richtlinien finden Sie außerdem unter Verwalten von Datenschutz mit Microsoft Priva und Microsoft Purview.
Mit Microsoft 365 Copilot-Lizenzen (Umschaltfläche Arbeit/Web verfügbar) AND Zusammenfassung von Edge-Browserseiten deaktiviert	Bei Graph-basierten Prompts: - Microsoft 365-Mandantendaten - Internetdaten, wenn das Web-Plug-In aktiviert ist - Daten für Copilot-fähige Plug-Ins und Connectors Bei webbasierten Prompts nur Internetdaten	Informationen zu Ihrem Microsoft 365-Mandanten finden Sie unter Zero Trust für Microsoft 365 Copilot und „Anwenden von Zero Trust-Schutzmechanismen“.
Mit Microsoft 365 Copilot-Lizenzen (Umschaltfläche Arbeit/Web verfügbar) AND Zusammenfassung von Edge-Browserseiten aktiviert	Bei Graph-basierten Prompts: - Microsoft 365-Mandantendaten - Internetdaten (wenn das Web-Plug-In aktiviert ist) - Daten für Copilot-fähige Plug-Ins und Connectors Bei webbasierten Prompts: - Internetdaten - Organisationsdaten, die auf einer Edge-Browserseite gerendert werden können, einschließlich lokaler Ressourcen sowie Cloud- und Intranetressourcen	Informationen zu Ihrem Microsoft 365-Mandanten finden Sie unter „Zero Trust für Microsoft 365 Copilot“ und „Anwenden von Zero Trust-Schutzmechanismen“. Informationen zu Organisationsdaten an Speicherorten in der lokalen Umgebung sowie im Intranet und in der Cloud finden Sie unter Verwalten von Geräten mit Intune – Übersicht (MAM- und MDM-Richtlinien). Informationen zu DLP-Richtlinien finden Sie außerdem unter Verwalten von Datenschutz mit Microsoft Priva und Microsoft Purview.

Nächste Schritte

Weitere Artikel finden Sie in den folgenden Artikeln zu Zero Trust und Copilots von Microsoft:

• Übersicht
• Microsoft 365 Copilot
• Microsoft Copilot für Security

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.

• Copilot in Edge
• Verhalten bei der Webseitenzusammenfassung von Copilot in Edge
• Verwalten von Copilot unter Windows
• Verwalten des Zugriffs auf öffentliche Webinhalte in Reaktionen von Microsoft 365 Copilot
• Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot