KI-Agenten werden – oft nach kurzen Testphasen – im Rekordtempo produktiv eingesetzt. Microsoft stellt quasi jedem lizenzierten Benutzer Agenten zur Verfügung. Microsoft Copilot Studio – eine Low-Code-Plattform zur Erstellung individueller KI-Agenten – ermöglicht es Teams, innerhalb weniger Stunden maßgeschneiderte Assistenten zu entwickeln. Microsoft 365 Copilot weitet diese Fähigkeiten dann auf Teams, SharePoint, Word und die übrigen Produktivitätsanwendungen aus.
Kombiniert man dies mit Microsoft Security Copilot für den SOC- und IT-Betrieb, entsteht eine GenAI-Landschaft, die Ihre sensibelsten Unternehmensdaten lesen, bearbeiten und nutzen kann.
Diese Agenten sind extrem leistungsstark, doch genau diese Fähigkeiten gehen mit erheblichen Risiken einher. Ohne starke Datensicherheit, Zugriffskontrollen und Governance können diese produktivitätssteigernden Komponenten unbemerkt Informationen offenlegen, nicht genehmigte Aktionen ausführen oder selbst zur Angriffsfläche werden.
Microsoft veröffentlicht zunehmend spezifische Leitlinien zu Sicherheit und Governance für Agenten – ein klares Signal für die Relevanz dieses Themas. Im Folgenden erfahren Sie, sich die Sicherheit von Copilot-Agenten im Microsoft-Ökosystem einordnen lässt und welche konkreten Maßnahmen sie im sicheren Rahmen halten.
Was sind Microsoft Copilot Studio und M365-Agenten?
Zur Microsoft Copilot-Familie gehören Microsoft Security Copilot (ein KI-gestützter Assistent für Sicherheits- und IT-Teams), Microsoft Copilot Studio (eine Low-Code-Plattform zur Erstellung maßgeschneiderter KI-Agenten) und Microsoft 365 Copilot (ein Produktivitätsassistent, der in Word, Teams, SharePoint und Outlook integriert ist und der durch eigene benutzerdefinierte Agenten erweitert werden kann).
Die Microsoft 365 Copilot-Agenten arbeiten direkt in den Apps, die Mitarbeiter täglich nutzen. Sie erstellen Inhalte in Word und Zusammenfassungen in Teams, stellen Dateien aus SharePoint bereit und verstehen Anfragen in natürlicher Sprache. Im Hintergrund greifen sie über Microsoft Graph auf Kontextdaten zu und übernehmen die Zugriffsrechte des jeweiligen Benutzers. Dieser Punkt ist entscheidend: Wenn ein Benutzer Zugriff auf eine Datei hat, gilt das für den Agenten ebenfalls.
Jede Ebene bringt eigene Sicherheitsanforderungen mit sich. Dieser Leitfaden richtet sich auf die über Copilot Studio und M365 Copilot entwickelten Agenten, da sie das größte Risiko in Bezug auf Datenzugriff und autonome Aktionen bergen.
Die Sicherheitsrisiken von KI-Agenten in Microsoft 365
Individuell entwickelte generative KI-Agenten schaffen neue Risiken, die von bestehenden Kontrollen nicht vollständig abgedeckt werden.
Nicht-deterministisches Verhalten (wenn Agenten ein Eigenleben entwickeln): Agenten sind so konzipiert, dass sie mehrstufige Aufgaben autonom planen und ausführen können. Dieselbe Autonomie bedeutet jedoch, dass sie Eingaben falsch interpretieren, falsche logische Zusammenhänge ableiten („halluzinieren“) oder unbeabsichtigte Aktionen ausführen können, etwa eine fehlerhafte E-Mail senden, einen CRM-Datensatz verändern oder in Ausführungsschleifen hängen bleiben – ohne menschliche Kontrolle. Im Gegensatz zur deterministischen Automatisierung lässt sich nicht vollständig vorhersagen, wie sich ein Agent in einer neuen Situation verhalten wird.
Datenrisiken durch zu weitreichende Berechtigungen: Agenten übernehmen die Berechtigungen des Benutzers. Veraltete Zugriffsrechte in SharePoint oder Teams können daher ein aktives Risiko darstellen. Ein Agent kann Dateien zutage fördern, auf die ein Benutzer zwar technisch zugreifen kann, es aber eigentlich nicht sollte. Dazu gehören alte Projektordner, sensible Personalunterlagen mit zu weitreichender Freigabe oder Inhalte der Geschäftsleitung mit vererbten Berechtigungen, die seit Jahren nicht mehr überprüft wurden. Der Agent erkennt nicht, dass diese Inhalte eigentlich nicht zugänglich sein sollten, weshalb eine Überprüfung der Datensicherheitslage unerlässlich ist.
Prompt Injection und Jailbreaks: Angreifer betten schädliche Anweisungen in Dokumente, E-Mails oder Webinhalte ein, die der Agent verarbeitet, und manipulieren ihn so, dass er Systemanweisungen preisgibt, Daten exfiltriert oder unautorisierte Befehle ausführt. Agenten sind darauf ausgelegt, kontextbezogene Anweisungen zu befolgen, weshalb die Grenze zwischen legitimen Anweisungen und böswilliger Manipulation für herkömmliche Sicherheitskontrollen oft nicht erkennbar ist.
Unsichere Konnektoren: Agenten, die mit ungeprüften Plug-ins, MCP-Servern oder APIs von Drittanbietern verbunden sind, können unbemerkt Unternehmensdaten an Ziele außerhalb Ihrer Kontrolle senden. Jeder Konnektor ist ein potenzieller Abflusskanal für Daten.
Diese Risiken verstärken sich in „Schatten-KI“-Umgebungen, in denen die Governance unklar ist und menschliche Kontrollinstanzen bei folgenreichen Aktionen fehlen. McKinseys Leitfaden für den sicheren und geschützten Einsatz von KI-Agenten zeigt, wie schnell autonome Systeme traditionelle Kontrollen übertreffen können und weshalb bewusst definierte Schutzmechanismen vorab eingerichtet werden müssen.
Implementierung von Zugangskontrollen und Identitätsmanagement
Das Least-Privilege-Prinzip sollte auf zwei Nutzergruppen angewendet werden: Entwickler von Agenten in Copilot Studio und deren Anwender.
Beginnen Sie mit Microsoft Entra ID (vormals Azure AD) und setzen Sie bedingten Zugriff („Conditional Access“) durch, um Agenteninteraktionen basierend auf Benutzerkontext, Gerätesicherheit und Standort zu steuern. Überprüfen Sie anschließend die Berechtigungsstruktur in Microsoft 365 – veraltete SharePoint-Freigaben und zu weit gefasste Teams-Mitgliedschaften begünstigen unmittelbar eine Überschreitung von Agentenbefugnissen. Microsoft Purview beschreibt in seinem Bereitstellungsmodell für Security Copilot, wie Daten-Governance und Klassifizierung unmittelbar in den Agentenlebenszyklus eingebunden werden können.
Eine Checkliste für die grundlegende Zugriffskontrolle:
Beschränken Sie die Entwickler- und Erstellerrechte in Copilot Studio auf einen verifizierten Personenkreis mit nachgewiesener Schulung.
Erzwingen Sie MFA für alle Entwickler-Accounts und Benutzer mit erweiterten Rechten.
Implementieren Sie Richtlinien für bedingten Zugriff für Endpunkte mit Agenten, basierend auf Gerätekonformität und Standort.
Überprüfen und korrigieren Sie SharePoint- und OneDrive-Freigaben in regelmäßigen Abständen.
Deaktivieren oder beschränken Sie riskante Konnektoren auf Mandantenebene und richten Sie einen klaren Genehmigungsprozess für neue ein.
Vergeben Sie Vertraulichkeitskennzeichnungen über Microsoft Purview, damit Agenten Daten entsprechend ihrer Klassifizierung behandeln.
Überwachung und Absicherung von Agenten mit Rubrik Agent Cloud
Identitäts- und Zugriffskontrollen begrenzen zwar den Schadensumfang, geben jedoch keinen Aufschluss darüber, was ein Agent tatsächlich getan hat. An dieser Stelle setzen spezialisierte KI-Sicherheitsprodukte an. Rubrik Agent Cloud schließt diese Lücke mit drei Kernbereichen für den sicheren Betrieb von Agenten.
Monitoring: Transparenz sowohl während der Entwicklung (Wie ist dieser Agent konfiguriert? Auf welche Tools und Datenquellen kann er zugreifen?) als auch zur Laufzeit (Was tut er gerade und in wessen Auftrag?) ist entscheidend. Rubrik deckt Identitäten, Zugriffsrechte und ausgeführte Aktionen ab und liefert Echtzeitwarnungen, sobald ein Agent gegen Richtlinien verstößt – sei es bei nicht autorisierten Modelländerungen, neuen MCP-Servern oder unerwarteten Datenquellen.
Governance: Klar definierte Leitlinien und sorgfältig entwickelte Systemrichtlinien zur Steuerung des Agentenverhaltens sind zwingend erforderlich. Dazu gehören etwa schreibgeschützte Betriebsmodi für bestimmte Agenten, freigegebene Tools und Modelle, das Blockieren nicht autorisierter MCP-Server sowie Regeln zum Schutz personenbezogener Daten, die verhindern, dass sensible Daten kontrollierte Umgebungen verlassen. Die Semantic AI Governance Engine (SAGE) von Rubrik setzt diese Vorgaben mithilfe semantischer Governance in Echtzeit um und verhindert riskante Aktionen bereits vor der Ausführung, statt sie lediglich im Nachgang zu markieren.
Korrektur: Verändert oder löscht ein Agent Daten – absichtlich, unbeabsichtigt oder aufgrund fehlerhafter Logik –, ermöglicht Rubrik eine präzise Wiederherstellung mit nur einem Klick. Die Möglichkeit, Agentenaktionen zurückzusetzen, verhindert, dass Fehlfunktionen aufwändige, mehrtätige Maßnahmen nach sich ziehen.
Einsatzszenarien und Vorteile einer sicheren Microsoft-Copilot-Implementierung
Richtig eingesetzt, erschließen maßgeschneiderte Agenten einen echten Mehrwert für das gesamte Unternehmen, zum Beispiel:
Ein interner HR-Agent, der strikt auf öffentliche Handbücher und Dokumentationen zu Zusatzleistungen beschränkt ist und von Gehaltsabrechnungssystemen sowie Personalakten abgeschottet bleibt.
Ein Kundensupport-Agent, der öffentlich verfügbare Webdaten mit anonymisierten internen Wissensquellen verknüpft, um Supportanfragen zu beantworten, und dabei Richtlinien zum Schutz personenbezogener Daten strikt einhält.
Ein Vertriebs-Agent, der über validierte Konnektoren, die den Datenaustausch zwischen Mandanten verhindern, auf CRM-Daten zugreift.
Ein IT-Support-Agent, der Tickets priorisieren und Lösungsvorschläge machen kann, jedoch vor Änderungen an Produktionssystemen eine menschliche Freigabe benötigt.
Ein juristischer Recherche-Agent, der fallrelevante Präzedenzfälle aus internen Dokumentenspeichern bereitstellt, ohne vertrauliche oder privilegierte Informationen teamübergreifend offenzulegen.
Die geschäftlichen Vorteile sind klar erkennbar: gesteigerte Mitarbeiterproduktivität; sicherer, breiter Zugang zu KI für alle Mitarbeiter; kontinuierliche Compliance mit Datenschutzvorgaben.
Best Practices für die Absicherung von Microsoft Copilot
Wenn Sie nur eine zentrale Erkenntnis aus diesem Leitfaden mitnehmen, dann diese: Die Absicherung von Microsoft-Copilot-Agenten gelingt nur durch ein mehrschichtiges Schutzkonzept über Konfiguration, Identitäten und Verhalten.
Etablieren Sie klare Regeln für Entwickler: Behandeln Sie den Zugriff auf Copilot Studio als privilegiert – mit verpflichtenden Schulungen, dokumentierten Freigabeprozesse und regelmäßiger Überprüfung von Konfigurationen.
Schaffen Sie saubere Berechtigungsstrukturen: Agenten übernehmen Benutzerrechte. Daher wird die Pflege von SharePoint- und OneDrive-Rechten zu einem Sicherheitsfaktor.
Implementieren Sie Identitätskontrollen: Entra ID Conditional Access, MFA und rollenbasierte Least-Privilege-Zuweisungen für Entwickler und privilegierte Benutzer.
Etablieren Sie semantische Kontrollen: Nutzen Sie eine dedizierte Governance-Schicht (wie Rubrik SAGE), um Richtlinien in Echtzeit durchzusetzen – etwa zum Schutz personenbezogener Daten, zur Freigabe von Tools und zur Kontrolle von Modellen.
Überwachen Sie sowohl Entwicklungs- als auch Laufzeit: Verschaffen Sie sich umfassende Transparenz darüber, wie Agenten konfiguriert sind und was sie tatsächlich tun – nicht nur eines von beidem.
Planen Sie für den Ernstfall: Gehen Sie davon aus, dass ein Agent irgendwann eine unbeabsichtigte Aktion ausführt, und stellen Sie sicher, dass Sie diese zurücksetzen können.
Wie geht es weiter?
Microsoft Security Copilot und das breitere Microsoft Copilot-Ökosystem bieten ein enormes Potenzial für KI-gestützte Abläufe und Produktivität – doch dieses Potenzial erfordert durchdachte Sicherheitsmaßnahmen. Sichere Konfigurationen, klare Regelwerke und eine kontinuierliche Überwachung sind keine optionalen Extras, sondern bilden die Grundlage für eine sichere Einführung von KI.
Bewerten Sie den aktuellen Stand Ihrer KI-Sicherheit und wenden Sie sich dann an Rubrik, um mehr darüber zu erfahren, wie wir Unternehmen dabei unterstützen, ihre KI-gestützten Abläufe durchgängig abzusichern.
Absicherung von Cloud-Umgebungen mit CIAM und identitätsorientierter Sicherheit
CIAM spielt eine zentrale Rolle bei der Eindämmung moderner Cyber-Bedrohungen, indem es steuert, wie Benutzer, Geräte und Dienste auf Cloud-Umgebungen zugreifen. Angesichts der Zunahme von identitätsbasierten Angriffen benötigen Unternehmen Strategien für das Zugriffsmanagement, die über Cloud-Plattformen hinweg skalierbar sind und gleichzeitig Transparenz, Verantwortlichkeit und die Einhaltung gesetzlicher Vorgaben gewährleisten.
Der identitätszentrierte Ansatz von Rubrik ermöglicht den sicheren Zugriff und eine schnelle Wiederherstellung von Identitäten bei Cyber-Vorfällen und hilft Unternehmen, den vertrauenswürdigen Zugriff wiederherzustellen, wenn Anmeldedaten kompromittiert oder missbraucht wurden. Durch die Einbindung von CIAM in umfassendere Strategien für Cloud- und Datensicherheit können Unternehmen Risiken minimieren, den Geschäftsbetrieb stabil halten und ihr Sicherheitsniveau insgesamt verbessern. Wenn Sie CIAM als Teil eines soliden Cloud-Sicherheitsprogramms einsetzen möchten, kontaktieren Sie Rubrik, um mehr zu erfahren.