Copilot-Fehler bei Freigabe-Links: Von unsichtbaren Freigaben bis zu unberechtigten Zugriffen auf geschützte Dokumente
Aus Datenschutzsicht stellt Microsoft Copilot die IT vor neue Herausforderungen. Gefragt ist hier eine sorgfältige Daten-Governance, die die für Copilot sichtbaren Dokumentenbereiche klar definiert. Hilfreich sind dabei auch SharePoint- und OneDrive-Freigaben, doch gerade hier tut sich mit der Freigabeoption „Personen in <Ihre Organisation>“ eine Copilot-Datenschutzlücke auf: Einerseits können nicht-geklickte Dokumente verborgen bleiben, andererseits können weitergegebene Links von Nichtberechtigten geöffnet werden.
Der Microsoft Copilot kann sehr große Datenmengen handhaben, und findet damit oftmals mehr als die klassische Suche. Die Schattenseite einer solch effizienten Suche ist, aus den Tiefen von Ordnern und Datenbanken plötzlich Dokumente auftauchen können, die nicht zur Veröffentlichung gedacht sind. Ohne gründliche Daten-Governance sollte daher kein Copilot auf Unternehmensdaten losgelassen werden.
Copilot nimmt Rücksicht auf Freigaben und Berechtigungen
Microsoft weiß um diese Bedenken und stellt klar, dass der Datenschutz in Copilot oberste Priorität genießt – insbesondere wenn es um Freigaben geht: „Microsoft Copilot für Microsoft 365 zeigt nur Organisationsdaten an, für die einzelne Benutzer mindestens über Anzeigeberechtigungen verfügen.“
Diese Anzeigeberechtigungen lassen sich über die Freigabemechanismen in SharePoint und OneDrive gut steuern. Mittels granularer Zugriffsrechte können die Benutzer sehr genau festlegen, welche Personen oder Gruppen auf Dokumente Zugriff erhalten.
SharePoint und OneDrive bieten vier entsprechende Rechtestufen an:
- Jeder ermöglicht den Zugriff für jeden, der diesen Link erhält, auch Personen von außerhalb Ihrer Organisation.
- Personen in <Ihre Organisation> mit dem Link gibt jedem in Ihrer Organisation, der den Link hat, Zugriff auf die Datei.
- Personen mit bestehendem Zugriff kann von Personen verwendet werden, die bereits Zugriff haben. Es werden keine Berechtigungen geändert. Ist gedacht für Personen, die bereits Zugriff haben.
- Bestimmte Personen gewährt nur den angegebenen Personen Zugang. Dies kann auch Personen von außerhalb Ihrer Organisation einschließen. Wird die Freigabeeinladung weitergeleitet, können nur Personen, die bereits Zugriff auf das Element haben, den Link nutzen.
Dabei verhalten sich die drei Optionen Jeder, Personen mit bestehendem Zugriff und Bestimmte Personen exakt so, wie Microsoft es bei den Anzeigeberechtigungen beschreibt.
Tücken bei Freigabetyp ‚Personen in <Ihre Organisation>‘
Hingegen stellen sich bei der Option Personen in <Ihre Organisation> mit dem Link überraschende Nebeneffekte ein. Hier gilt nämlich die Besonderheit, dass mit dem Erstellen eines Links die adressierte Person zwar die Zugriffsberechtigung erhält. Allerdings tritt diese erst in Kraft, nachdem die berechtigte Person das erste Mal auf den Link geklickt hat.
Diese verzögerte Freigabe hat nun gravierende Folgen auf die Suche wie den auf deren Index aufbauenden Copiloten: Solange dieser initiale Klick nicht erfolgt ist, erkennt die Suche keine Berechtigung, und somit bleibt das Dokument für Suche und Copilot unsichtbar.
Microsoft beschreibt die Funktionsweise in seiner Dokumentation folgendermaßen:
Damit Einzelpersonen auf die Datei oder den Ordner zugreifen können, müssen sie im Besitz des Links sein, und dieser muss durch das erste Aufrufen aktiviert werden. Ein Benutzer kann den Link für sich nutzen, indem er ihn anklickt. In einigen Fällen kann der Link automatisch aktiviert werden, wenn er per E-Mail, Chat oder über andere Kommunikationsmethoden an jemanden gesendet wird.
Copilot kann noch nicht geklickte Freigaben nicht sehen
In der Praxis hat diese an die Vorbedingung geknüpfte Freigabe gravierende Folgen für die Copilot-Benutzer. Deutlich wird das im folgenden Beispiel, wo der Benutzer Stan Laurel die beiden Dateien RefDoc.docx und SnabelesSnowball.docx über die Linkvariante Personen in <Ihre Organisation> mit dem Link freigegeben hat (siehe Bild).
Ein anderer Benutzer, der zum Kreis der Berechtigten gehört, hat beide Links erhalten. Allerdings hat er nur auf den Freigabelink für RefDoc.docx geklickt, nicht jedoch auf SnabelesSnowball.docx.
Obwohl der User von der Freigabe her Zugriff auf beide Dateien hat, zeigt ihm der Copilot nur eine Datei. Die andere findet der Suchindex nicht, weil hier noch keine erkennbare Zugriffsberechtigung existiert. Befragt der Nutzer nun den Copilot zu Inhalten aus der Datei SnabelesSnowball.docx, erhält er eine abweisende Antwort wie diese hier:
Fragt dieser Benutzer hingegen etwas zu den Inhalten aus der Datei RefDoc.docx, deren Freigabelink bereits geklickt wurde, dann erhält er tatsächlich eine aussagekräftige Antwort:
Auch Listen von nicht geklickten Dateien bleiben unsichtbar
Diese „Blindheit“ von Copilot gegenüber noch nicht geklickten Freigabelinks lässt sich auch noch in einer anderen, ähnlich gelagerten Aufgabe vorführen. Hier geht es darum, dass der Copilot eine Liste aller Dateien erstellen soll, die über den Link-Typ Personen in <Ihre Organisation> freigegeben wurden.
Wie zu erwarten erscheint die bereits geklickte Datei RefDoc.docx in der Liste. Hingegen bleibt die ungeklickte SnabelesSnowball.docx außen vor.
Bei Linkweitergabe können auch Nicht-Berechtigte Inhalte sehen
Diese Variante des Freigabelinks birgt aber auch noch eine weitere Problematik. Und zwar dann, wenn Sie eine Dokument über Personen in <Ihre Organisation> freigeben verteilt haben. Sobald dieser Link von anderen Personen weitergereicht wurde, etwa per Teams-Post oder E-Mail, dann gibt der Copilot all diesen Empfängern Antworten aus dem Inhalt preis. Selbst dann, wenn die enthaltenen Informationen gar nicht nicht für alle Nutzer im Unternehmen bestimmt waren.
Es ist also Vorsicht geboten bei der Nutzung der Freigabe-Variante Personen in <Ihre Organisation> freigeben. Und es empfiehlt sich ein solides Konzept für dem Umgang mit dem Thema, um diese Copilot-Datenschutzlücke zu vermeiden.
Immerhin bietet das SharePoint Admin Center die Möglichkeit, alle Arten von Freigabe-Links in einer Liste anzuzeigen, über „Reports Data access governance reports for SharePoint sites“. So finden Sie auch die potenziell sicherheitskritische Freigaben und können diese bei Bedarf entfernen.
- Über den Autor
- Letzte Beiträge
Nicki Borell ist Microsoft Regional Director, MVP für Office Apps & Services, Mitgründer von Experts Inside und Gründer des Labels „Xperts at Work“. Als Team setzen wir erfolgreich IT- und Strategieprojekte im gehobenen Mittelstand und Großkundensegment um. Profitieren Sie von unserer Expertise, unserer Kompetenz und unserem Fachwissen, das wir zusammen mit starken Partnern in jedes unserer Projekte mit einbringen. Kontakt: nb@expertsinside.com
Vielen Dank für den wieder einmal informationsreichen Artikel! Haben Sie evtl. auch geprüft, ob dieses Verhalten nicht nur im Zusammenhang mit dem Copiloten, sondern auch bei der normalen Suche auftritt?