Was unterscheidet die kostenpflichtige Version von Copilot von der kostenlosen Version?
Als CISO habe ich gelernt, KI-Lösungen selektiv zu betrachten und das damit verbundene Risiko zu bewerten. Microsoft bietet aktuell eine kostenpflichtige Version seines “Copilot” an, die fast 30 € pro Monat und Nutzer kostet. Viele fragen sich nun, ob sich diese Investition lohnt.
Aber haben Sie auch die damit verbundenen Risiken bedacht?
Der wesentliche Unterschied zwischen den Versionen liegt in der Nutzung der in der Microsoft-Umgebung des Kunden gespeicherten Daten. Der frei verfügbare Copilot, der sich beispielsweise im Edge-Browser nutzen lässt, hat keinen Zugang zu den Unternehmensdaten. Die kostenpflichtige Variante hingegen nutzt die sogenannte “Graph API”, um auf das Wissen des Unternehmens zugreifen zu können. Die Graph API ist ein leistungsstarkes Werkzeug, das Zugang zu fast allen Microsoft-Diensten und -Inhalten bietet.
Microsoft selbst macht deutlich, welche Voraussetzungen für den Einsatz von Copilot erfüllt sein müssen.
To prepare for Copilot for Microsoft 365, you must get your information ready for search. For example, if your organization already established the right information access controls and policies, then your users only have access to the information that they need and nothing else as they search in places like SharePoint. So if your organization already implemented these types of controls, then you’re one step ahead. (Quelle: https://learn.microsoft.com/en-us/training/modules/implement-microsoft-365-copilot/)
Ein einfacher Grund dafür birgt gleichzeitig ein enormes Risiko für die Informationssicherheit: Mit der Graph API erhält ein Benutzer Zugang zu den Informationen, die nicht für ihn gesperrt sind. Jeder öffentliche Teams-Kanal, SharePoint-Inhalt oder alle Quellen, die Microsoft anbietet, werden dabei durchsucht.
Die KI kann mehr als der Mensch
Die KI kann problemlos nach Informationen in allen Sprachen suchen. Ein Mensch braucht viel Zeit, um nach und nach die Informationen zu suchen und zu sichten. Der Microsoft Copilot macht das sehr viel schneller. Dadurch werden Informationen zugänglich, die bisher durch den notwendigen Aufwand zum Finden geschützt waren.
Wenn es kein vernünftiges Sicherheitskonzept in der M365-Umgebung gibt, eröffnen sich ungeahnte Möglichkeiten.
Wie reagiert der Copilot wohl auf den Befehl: “Vergleiche die Gehälter aller Manager im Unternehmen”? Der Copilot hat keinen Grund, diese Anfrage nicht zu erfüllen, wenn er die notwendigen Daten finden kann und diese nicht vor dem Zugriff durch den Benutzer geschützt sind.
Kein Plan wegen Corona
Viele Unternehmen sind nicht geplant in die Cloud gegangen. Es war der Zwang durch Corona, der den Einstieg erzwungen hat. Doch nun können sich fehlende Vorbereitungen und Planungslücken gravierend auswirken.
Was ich in den letzten Jahren in Unternehmen gesehen habe, war eher selten eine geschützte Umgebung. Meist eine “gewachsene” Struktur, bei der kaum über eine Abgrenzung und den Schutz der Daten nachgedacht wurde.
Deshalb meine dringende und eindringliche Warnung an alle Entscheider: Nehmt die Worte von Microsoft ernst und kümmert euch zunächst einmal um eure Informationen, die in der Cloud liegen.
Dadurch wird der Einstieg in die wunderbare Welt der Arbeitserleichterungen durch die Cloud nicht verhindert. Schon die kostenlose Version von Copilot ist beeindruckend leistungsfähig – wenn man die richtigen Fragen kennt.
Copilot kann gute Dinge tun
Vor einigen Tagen stand ich vor der Aufgabe, eine Liste von Schwachstellen in einer bestimmten Umgebung zu bewerten und die passenden CVEs (ein Standard zur Kennzeichnung von Schwachstellen) zu finden. Hätte ich jede Suche einzeln von Hand durchführen müssen, wäre das ein zeitaufwendiger Prozess gewesen. Doch mit dem richtigen Befehl konnte die KI diese Aufgabe in Sekundenschnelle erledigen.
Daher empfehle ich dringend, die Nutzer in dieser (kostenlosen) Welt zu schulen. Ja, eine Schulung ist unerlässlich, damit die Nutzer lernen, wie sie mit der KI richtig umgehen können.
Es sollte auch eine klare Richtlinie für den Einsatz der KI geben, die kommuniziert und erklärt wird.
Der Vorteil liegt auf der Hand: Es sind keine Unternehmensdaten im Spiel, und Sie gewinnen Zeit, um Ihre Umgebung auf die Einführung vorzubereiten.
So gelingt der Einstieg mit dem Copiloten…
The article discusses the difference between the free and the paid version of Copilot, a Microsoft AI solution that can help users with various tasks. The main difference is that the paid version can access the data stored in the Microsoft environment of the customer, using the Graph API, a powerful tool that connects to almost all Microsoft services and content. The author warns that this poses a significant risk for information security, as the AI can access any information that is not locked for the user, such as public Teams channels, SharePoint content, or salaries of managers. The author advises the decision-makers to take the words of Microsoft seriously and prepare their information for search, by establishing the right access controls and policies. The author also acknowledges that Copilot can do good things, such as finding the appropriate CVEs for a list of vulnerabilities in a short time. The author concludes that the free version of Copilot is already impressive, if one knows the right questions. The author also recommends training the users in the free version of Copilot, to teach them how to deal with the AI properly. The author suggests that there should be a clear guideline for the use of the AI, which is communicated and explained. The author points out the advantage of the free version, which is that there are no corporate data at stake, and that it gives time to prepare the environment for the introduction of the paid version. The author summarizes the article with the phrase: “This is how you succeed with Copilot…”