5 Freigabe-Risiken beseitigen, um Copilot-Datenschutz zu verbessern und Oversharing zu vermeiden

Wolfgang Miedl
1 Kommentar

Wenn es um Datenschutzprobleme mit Microsoft Copilot geht, stecken in der Regel zu freizügige Zugriffseinstellungen in Microsoft 365 dahinter. Mit 5 Einstellungen rund um SharePoint-Berechtigungen lässt sich das sogenannte Oversharing vermeiden und auch die Sicherheit bei der Zusammenarbeit verbessern.

Die Einführung von Copilot in Microsoft 365-Umgebungen hat auch datenschutzrelevante Probleme mit sich gebracht. Schlagzeilen wie „Copilot lässt Mitarbeiter E-Mails vom Chef lesen“ haben für einiges Aufsehen gesorgt.

Dabei liegen die Ursachen meist an Nachlässigkeiten bei der Daten-Governance. Im Mittelpunkt steht hier der semantische Index, der nicht klassisch auf Suchbegriffen basiert, sondern der sprachliche Bedeutungen (Semantik) erkennt.

Zum Verständnis ist dabei wichtig, dass nicht Copilot selbst neue Sicherheitslücken eröffnet. Stattdessen deckt er bestehende Schwächen in der Datenhaltung, bei SharePoint-Berechtigungen und bei Dokumentenfreigaben auf.

Folgende 5 Tipps helfen dabei, die Risiken von unerwünschten Datenzugriffen oder Offenlegungen zu minimieren oder komplett zu vermeiden.

1. ‚Jeder-Links‘ bieten Angriffsflächen für externe Zugriffe

5 Freigabe Risiken In Microsoft 365

Wen es darum geht, Dokumente möglichst einfach und ohne Anmeldung für jeden intern und extern freizugeben, bieten sich die Jeder-(Anyone-)Links in Microsoft 365 an. Zu aktivieren sind sie in SharePoint, Teams und OneDrive über Teilen, Linkeinstellungen (sofern das im Admin-Center in den Freigabeeinstellungen aktiviert ist).

Der Preis für die Einfachheit ist allerdings ein gewisses Sicherheitsrisiko, denn solche Links lassen sich nicht kontrollieren. Weder weiß der Administrator, wer darauf zugegriffen hat, noch, an wen solche Links weitergegeben wurden und wie viele Downloads sich ereignet haben.

Wichtig zur Klarstellung: Jeder-Links öffnen an sich keine Hintertür in SharePoint-Sites. Sie verleiten aber zu unkontrollierten Freigaben, wenn Nutzer etwa versehentlich Ordner nach außen öffnen oder in freigegebenen Ordnern vertrauliche Dokumente landen.

Konsequenz: Je nach Sicherheitsanforderungen sollten Jeder-Links entweder im gesamten Tenant deaktiviert werden. Oder aber nur gezielt für eigens eingerichtete Download-Websites freigeben werden.

2. Unsichtbare Freigaben: Copilot übersieht nicht geklickte Links

5 Freigabe Risiken In Microsoft 365 Vermeiden 1200x450
5 Freigabe Risiken In Microsoft 365 Vermeiden 2 1200x686

Ein weiterhin wenig bekanntes Verhalten bei Freigaben offenbart der Linktyp Personen in <meiner Organisation>: Sie stellen einem Kollegen ein Dokument per Freigabe-Link zur Verfügung. Doch die tatsächliche Berechtigung darauf wird erst aktiviert, wenn der Empfänger das erste mal auf den Link klickt.

Vor dieser Aktion gilt das Dokument aus SharePoint-Sicht noch nicht als freigegeben. Auch der Index – und damit Copilot – sieht das Dokument im Berechtigungskontext des Adressaten nicht. Im englischen heißt der Vorgang des Klicks Redemption (Einlösung). Das Phänomen wurde bereits in unserem Artikel Copilot-Fehler bei Freigabe-Links beschrieben.

Konsequenz: Äußerlich kann man Links vom Typ Personen in <meiner Organisation> nicht ankennen, ob sie bereits geöffnet wurden und somit auch für Index und Copilot sichtbar sind.

3. Von freizügigen Ordner-Freigaben zu Copilot-Zugriffen

5 Freigabe Risiken In Microsoft 365 Vermeiden 3

SharePoint und Teams bieten auch auf Ordner-Ebene die bekannten Mechanismen für unkomplizierte Freigaben. Das vereinfacht die Zusammenarbeit, bietet jedoch auch viel Raum für unentdeckte Freigaben.

So kann es etwa leicht passieren, das Mitarbeiter Ordner für gemeinsame Dateien mit freizügigen Zugriffsrechten einrichten. Dort könnten dann allerdings auch unbeabsichtigt vertrauliche Dokumente landen. Die insbesondere von Copilot leicht gefunden werden.

Konsequenz: Diese Problematik ist nur Anwender-Schulungen wirksam einzudämmen. Freigaben generell zu verbieten dürfte sich im Sinne zunehmend kollaborativer Arbeitsweisen als Produktivitätsbremse erweisen.

4. Kontrollverlust durch Vererbungsunterbrechung in SharePoint

Das Berechtigungssystem von SharePoint beruht auf dem Prinzip der Vererbung. Benutzer erhalten dabei die Zugriffsberechtigungen für Objekte immer auf der obersten Ebene der Site erteilt, und können so immer durchgängig auf alle darunterliegenden Instanzen wie Bibliotheken, Ordner und Dokumente zugreifen.

Eine Dokumentbibliothek erbt die Berechtigung von der Site, ein Ordner die der darüberliegenden Bibliothek und so fort. Der Vorteil dabei ist, dass die Verwaltung von Zugriffsrechten sehr strukturiert von oben nach unten erfolgt.

5 Freigabe Risiken In Microsoft 365 Vermeiden 4

Allerdings ergeben sich im Alltag ständig Anforderungen, den Zugriff auf Ordner oder Dokumente für bestimmte Nutzer oder Gruppen einzuschränken. Um das zu erreichen unterbricht man die Vererbung und erzielt damit eine Individualisierung der Zugriffsrechte.

Der Nachteil dieser Methode ist, dass mit der Zeit ein Gewirr an individuellen Berechtigungen entsteht, das nur noch schwer zu kontrollieren ist.

Konsequenz: Idealerweise sollten SharePoint-Sites so angelegt werden, dass die Berechtigungsstufen für alle darin aktiven Benutzer identisch sind. Falls bestimmte Benutzergruppen andere Zugriffsrechte benötigen, sollten dafür separate Sites angelegt werden. In der Praxis lässt sich das allerdings selten durchhalten. Allerdings sollte auf eine möglichst geringe Berechtigungskomplexität geachtet werden.

5. ‚Teilen‘ und ‚Link kopieren‘ funktionieren unterschiedlich

5 Freigabe Risiken In Microsoft 365 Vermeiden 5

SharePoint mit den daran aufbauenden Apps bietet ein verwirrendes Duo für das Teilen von Dokumenten an: Teilen und Link kopieren. Dahinter stehen Linktypen, die das oben beschriebe Problem der Vererbungsunterbrechung mit sich bringen:

  • Teilen unterbricht die Berechtigungsvererbung des geteilten Elements
  • Link kopieren kann die Berechtigung sowohl des Elementes wie der darüber angesiedelten Bibliothek unterbrechen.

Das bedeutet, dass ein simpler Klick in Word oder Excel rechts oben auf Link kopieren die Berechtigungsstruktur über mehrere Ebenen in SharePoint bricht. Die Folge ist, dass bei bestimmten Berechtigungsvorgängen die normalerweise übliche kaskadierende Vererbung von oben (Siteebene) nach unten (Dokumente) nicht immer funktioniert.

Konsequenz: Solange Sie das Teilen von Inhalten nicht komplett verbieten, sind diese von Microsoft eingerichteten Freigabemechanismen aktiv. Idealerweise sollten die Benutzer über die Funktionsweise unterrichtet werden.

Verwandte Beiträge:

  1. Dokumente in SharePoint teilen – aber sicher: Mit Link-Typ 'Personen mit Zugriff' als Standard
  2. Öffentliche Dokumenten-Downloads mit SharePoint – so konfigurieren Sie eine sichere Extranet-Site
  3. Hero-Links: Microsoft bringt eine komplett neue Teilen-Funktion für SharePoint und OneDrive
  4. Die 4 Teilen-Links in SharePoint & Teams: Wählen zwischen einfacheren oder sicheren Freigaben
  5. Microsoft startet die 'zweite Copilot-Welle' mit etlichen Neuerungen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ein Kommentar

  1. Ein rundum gelungener Artikel! 👏 Besonders beeindruckt mich, wie klar und praxisnah die fünf Freigabe-Risiken aufgezeigt werden – von „Anyone‑Links“ bis zu invisiblen Freigaben – und dass hier mit einfachen Maßnahmen viel Sicherheit gewonnen werden kann. Es ist erfrischend, wie der Autor betont, dass Copilot keine neuen Lücken schafft, sondern schlicht bestehende Governance-Schwächen „gnadenlos aufdeckt“: ein wichtiger Weckruf für jede Organisation. Die verständlichen Tipps – etwa das Deaktivieren von „Jeder-Links“ oder das gezielte Freigeben nur in definierten Szenarien – machen den Artikel zu einem echten Mehrwert für alle, die ihre Microsoft 365-Umgebung sicher und verantwortungsvoll einsetzen wollen. Bravo!

    Antworten