Microsoft 365 Copilot: Erweiterte Datenkontrolle und Audit-Funktionen

von | Juni 30, 2026 | CB-M365, Consulting Briefing | 0 Kommentare

Microsoft 365 Copilot: Erweiterte Datenkontrolle und Audit-Funktionen

Governance, Audit-Log und DSPM for AI im Praxis-Check

Consulting Briefing

01.07.2026 — boddenberg.de

KI & COPILOT

 

Microsoft 365 Copilot: Erweiterte Datenkontrolle und Audit-Funktionen

Executive Summary

Kurzfassung für alle, die gleich wieder ins nächste Meeting müssen: Microsoft hat die Governance- und Audit-Funktionen rund um den Microsoft 365 Copilot in den letzten Monaten massiv ausgebaut. Das Schlagwort heißt DSPM for AI – Data Security Posture Management for AI – und es ist im Kern die Schaltzentrale, über die du sehen, schützen und nachweisen kannst, was deine Leute mit dem Copilot eigentlich treiben. Gleichzeitig landet jede Copilot-Interaktion automatisch im Unified Audit Log von Microsoft Purview, ohne dass du auch nur einen Haken setzen musst.

Die gute Nachricht: Du bekommst Werkzeuge, mit denen sich KI im Unternehmen tatsächlich kontrolliert betreiben lässt – inklusive Nachweisbarkeit für Datenschützer, Betriebsrat und Wirtschaftsprüfer. Die schlechte Nachricht: Diese Werkzeuge sind ab Werk halb scharf gestellt, das Audit-Log enthält nicht das, was die meisten glauben, und der Copilot ist erbarmungslos ehrlich darin, jede schlecht gesetzte SharePoint-Berechtigung ans Tageslicht zu zerren. Wer hier nichts vorbereitet, baut sich eine Compliance-Zeitbombe mit eingebauter Selbstdokumentation.

 

Das Wichtigste in einem Satz

Der Copilot erfindet keine Berechtigungsprobleme – er macht die vorhandenen nur endlich sichtbar, und zwar in Sekunden statt in Jahren.

 

Worum geht es im Detail?

Fangen wir mit dem größten Missverständnis an, das in fast jedem Projekt auftaucht. „Wir loggen ja alles“, sagt der Kunde stolz, „im Audit-Log steht alles drin.“ Nein, steht es nicht. Das Unified Audit Log protokolliert jede Copilot-Interaktion automatisch als Teil von Audit (Standard) – du musst dafür nichts lizenzieren oder konfigurieren, sofern Auditing im Tenant überhaupt an ist. Aber es protokolliert Metadaten, nicht den Inhalt. Du siehst, welcher Nutzer wann über welche Oberfläche (AppHost: BizChat, Word, Outlook, Teams …) mit dem Copilot gesprochen hat, und du siehst, auf welche Dateien, Mails und SharePoint-Elemente er dabei zugegriffen hat – inklusive der jeweiligen SensitivityLabelId. Was du im Audit-Log NICHT siehst, ist der Wortlaut von Prompt und Antwort.

Das ist kein Bug, das ist Design. Der Klartext der Unterhaltung wird im Postfach des Nutzers abgelegt – in einem versteckten Ordner, technisch als Nachrichtenklasse IPM.SkypeTeams.Message.Copilot.* . Dort holst du ihn über eDiscovery wieder heraus, wenn Recht, Revision oder ein Ermittler danach fragen. Und parallel kannst du Prompts und Antworten im Activity Explorer von DSPM for AI sichtbar machen – allerdings nur, wenn dein Konto in der Rolle „Content Explorer Content Viewer“ sitzt. Drei Wege, drei Zwecke, drei Berechtigungsmodelle. Wer das durcheinanderbringt, sucht den Inhalt an der falschen Stelle und erklärt dem Auditor anschließend, warum man „nichts hat“.

Abb. 1: Drei getrennte Wege – Metadaten ins Audit-Log, Klartext ins Postfach, Analyse in DSPM for AI.

Spannend wird das Audit-Log durch ein paar Felder, die früher niemand brauchte und die heute Gold wert sind. AccessedResources zeigt jede einzelne Datei, die der Copilot für seine Antwort angefasst hat, mit Status (success/failure) und PolicyDetails – du siehst also auch, wenn eine Richtlinie den Zugriff geblockt hat. XPIADetected ist ein Boolean, der anschlägt, wenn aus einer angefassten Ressource ein Cross-Prompt-Injection-Angriff erkannt wurde – also der Klassiker, bei dem jemand bösartige Anweisungen in ein Dokument schmuggelt, damit der Copilot sie brav ausführt. JailbreakDetected meldet Versuche, die Leitplanken über den Prompt auszuhebeln. Und am AISystemPlugin mit dem Wert BingWebSearch erkennst du, ob der Copilot für eine Antwort ins offene Web gegriffen hat. Das ist Forensik-Material, von dem SOC-Teams vor zwei Jahren nur träumen konnten.

 

Faktencheck: Was kostet das Logging?

Microsoft-eigene Copilots (M365 Copilot, Security Copilot, Copilot Studio) sind in Audit (Standard) enthalten – ohne Aufpreis.

Für Nicht-Microsoft-KI-Apps (Schatten-KI im Browser) gilt Pay-as-you-go: Logs werden 180 Tage aufbewahrt und nach Anzahl der erfassten Audit-Datensätze abgerechnet.

Wer Volltext länger als die Standard-Aufbewahrung halten will, braucht Audit (Premium) bzw. die passende Retention.

 

Rund um das Audit-Log gruppiert sich der eigentliche Werkzeugkasten von Microsoft Purview, und der ist erstaunlich vollständig. DSPM for AI ist die Eingangstür: Es fährt ein automatisches, wöchentliches Data-Risk-Assessment und sagt dir konkret, wo Oversharing droht – also wo der Copilot für einen Nutzer Daten zusammensaugen könnte, die der eigentlich nie hätte sehen dürfen. Mit Ein-Klick-Richtlinien stellst du Sensitivity Labels scharf, blockst riskante oder unethische KI-Nutzung und nimmst gelabelte Dokumente komplett aus der Copilot-Verarbeitung heraus. Sensitivity Labels wirken dabei hart: Verschlüsselt ein Label ein Dokument, braucht der Nutzer das EXTRACT-Nutzungsrecht, sonst gibt der Copilot den Inhalt schlicht nicht zurück. Das ist der entscheidende Hebel – der Copilot respektiert deine bestehenden Rechte, er umgeht sie nicht.

Und jetzt kommt die Schicht, die viele noch unterschätzen: die Agenten. Mit Copilot Studio baut sich heute jede Fachabteilung in einer Mittagspause ihren eigenen kleinen Assistenten, und jeder davon greift auf Unternehmensdaten zu. Das Audit-Log hat dafür eigens das Feld AgentId bekommen, das deklarative und Custom-Engine-Agenten sauber auseinanderhält – samt AgentName und AgentVersion. Heißt im Klartext: Du kannst nachweisen, welcher selbstgebaute Bot wann auf welches Dokument zugegriffen hat. Das ist enorm wertvoll, denn die nächste Schatten-IT trägt kein USB-Logo mehr, sondern heißt „SalesAgent v25.001“ und wurde von jemandem zusammengeklickt, der noch nie von einer Datenschutz-Folgenabschätzung gehört hat. Wer Governance ernst nimmt, behandelt Agenten wie Mitarbeiter mit Zugriffsrechten – nicht wie nette Spielereien.

Was sind Chancen? Was sind Risiken?

Reden wir Klartext, denn dafür bist du ja hier. Die Chance ist real und groß: Zum ersten Mal kannst du KI-Nutzung im Unternehmen so betreiben, dass sie auditierbar, nachweisbar und steuerbar ist – mit denselben Purview-Mechanismen, die du für Mail und Dokumente ohnehin schon kennst. eDiscovery zieht Copilot-Konversationen wie jede andere Kommunikation in den Review-Set. Retention räumt sie nach Plan weg oder hält sie fest. Communication Compliance schaut mit pseudonymisierten Namen nach Belästigung, Drohungen oder dem Abfluss sensibler Inhalte – jetzt eben auch in Prompts. Insider Risk Management hat eine eigene Vorlage „Risky AI usage“, die Prompt-Injection und Zugriffe auf geschütztes Material erkennt und in Microsoft Defender XDR einspeist.

Und jetzt die Risiken, denn die kommen mit Ansage. Erstens: Oversharing. Der Copilot ist der ehrlichste Mitarbeiter, den du je hattest – er sagt dir genau, was er finden kann. Wenn die Geschäftsführungs-Gehaltsliste seit 2019 auf einem SharePoint mit „Jeder im Unternehmen“-Berechtigung liegt, dann war sie schon immer offen. Nur hat vorher niemand drei Jahre lang die richtige Suchanfrage getippt. Der Copilot tippt sie in zwei Sekunden. Zweitens: das falsche Sicherheitsgefühl beim Logging – siehe oben, Metadaten sind nicht Inhalt. Drittens: Schatten-KI. Was deine Leute in das ChatGPT-Fenster im Browser kippen, fängt kein M365-Audit-Log, sondern nur Endpoint-DLP.

 

Warnung: Die Standard-Einstellung ist Naivität

Ab Werk vertraut die Umgebung darauf, dass deine SharePoint- und OneDrive-Berechtigungen sauber sind. Sind sie das nie. Wer den Copilot ausrollt, ohne vorher das Oversharing-Assessment laufen zu lassen, veranstaltet eine unternehmensweite Schnitzeljagd nach vertraulichen Daten – nur dass diesmal alle gewinnen.

 

 

Warnung: Der Betriebsrat liest mit (und das ist gut so)

Prompt-Inhalte sind potenziell Leistungs- und Verhaltensdaten. Wer Communication Compliance oder Activity Explorer auf Copilot-Prompts loslässt, ohne die Mitbestimmung eingebunden zu haben, tauscht ein Compliance-Risiko gegen ein arbeitsrechtliches. Pseudonymisierung ist Pflicht, kein Nice-to-have.

 

Ein anekdotisches Beispiel aus der Praxis, Namen geändert, Fremdscham echt: Ein Mittelständler rollt den Copilot „mal eben“ für die Pilotgruppe aus. Tag drei fragt ein Vertriebler beiläufig den Copilot, was denn die Kollegen so verdienen. Der Copilot, hilfsbereit wie immer, fasst eine Excel-Tabelle aus einem alten Projekt-Teams zusammen – inklusive Boni. Die Tabelle lag dort seit Jahren, weltlesbar für die Organisation. Niemand hatte sie je gefunden. Nach dem Vorfall hatte sie jeder gefunden. Die Lösung war kein neues Produkt, sondern drei Tage Berechtigungs-Aufräumen und ein Sensitivity Label. Genau dafür gibt es das Oversharing-Assessment.

Unterm Strich ist die Risikobilanz erfreulich symmetrisch: Jedes Risiko hat in Purview ein passendes Gegenmittel. Oversharing kontert das Data-Risk-Assessment, das blinde Audit-Log ergänzen eDiscovery und Activity Explorer, die Schatten-KI fängt Endpoint-DLP, und gegen manipulierte Dokumente arbeiten XPIA-Erkennung und Insider Risk. Die Werkzeuge sind also da – sie wollen nur eingeschaltet und gepflegt werden. Der häufigste Projektfehler ist nicht fehlende Technik, sondern die Annahme, KI-Governance sei ein einmaliges Setup. Sie ist ein Dauerlauf: Berechtigungen verrotten, neue Agenten entstehen, Labels veralten. Wer das nicht als laufenden Betriebsprozess plant, hat in sechs Monaten wieder denselben Wildwuchs, nur mit besserem Werkzeugkasten im Keller.

Was müssen wir jetzt schon vorbereiten?

Die Reihenfolge ist entscheidend, und sie ist gnadenlos logisch: erst sehen, dann aufräumen, dann schützen, dann dauerhaft überwachen. Wer mitten in der Kette anfängt, baut Kontrollen auf Datenmüll. Der folgende 90-Tage-Fahrplan hat sich als robust erwiesen – er ist bewusst nüchtern, weil Governance keine Heldentat ist, sondern Hausarbeit.

Abb. 2: Vier Phasen in 90 Tagen – von der reinen Sichtbarkeit bis zur dauerhaften Überwachung.

Konkret heißt das für die ersten Wochen:

Sichtbarkeit zuerst: Purview Audit prüfen bzw. aktivieren, DSPM for AI öffnen und die Rollen sauber trennen – Compliance Administrator für die Steuerung, Content Viewer nur für die wenigen, die Klartext-Prompts sehen dürfen.

Oversharing zähmen: das wöchentliche Data-Risk-Assessment ernst nehmen, Sensitivity Labels schärfen und unbedingt die Labels für SharePoint und OneDrive aktivieren – ohne die bleibt der Schutz auf in Office geöffnete Dateien beschränkt.

Daten schützen: die DLP-Location „Microsoft 365 Copilot und Copilot Chat“ scharfstellen, Endpoint-DLP gegen das Einfügen sensibler Inhalte in Fremd-KI konfigurieren und Retention für „Microsoft Copilot Experiences“ einrichten.

Dauerhaft überwachen: Insider Risk „Risky AI usage“, Communication Compliance für KI-Interaktionen, einen geprobten eDiscovery-Prozess und die Anbindung der Audit-Logs an dein SIEM, damit XPIADetected nicht im Niemandsland verhungert.

 

Tipp aus dem Maschinenraum

Lass das Oversharing-Assessment laufen, BEVOR die erste Pilotlizenz vergeben wird. Ein sauberes Berechtigungsbild ist der mit Abstand günstigste Schutz – und es verhindert genau die Gehaltslisten-Anekdote, die du sonst auf der nächsten Betriebsversammlung erklären darfst.

 

 

Tipp: Rollen sind kein Detail

Trenne hart zwischen „darf Governance steuern“ und „darf Prompt-Klartext lesen“. Die Content-Viewer-Rolle ist mächtig – sie macht aus deinem Compliance-Team potenzielle Mitleser jeder KI-Konversation. Vergib sie sparsam und dokumentiert.

 

Häufig gestellte Fragen

Stehen die Prompt- und Antworttexte des Copilot wirklich nicht im Audit-Log?

Richtig, im Unified Audit Log stehen nur Metadaten – wer, wann, über welche Oberfläche und auf welche Ressourcen zugegriffen wurde. Den eigentlichen Wortlaut von Prompt und Antwort holst du über eDiscovery aus dem Postfach des Nutzers oder machst ihn im Activity Explorer von DSPM for AI sichtbar, sofern du die Content-Viewer-Rolle hast.

Welche Lizenzen brauche ich für Audit und Governance des Microsoft 365 Copilot?

Das Logging der Microsoft-eigenen Copilots ist in Audit (Standard) enthalten und kostet keinen Aufpreis. Für die volle Purview-Klaviatur – DSPM for AI, DLP für Copilot, Insider Risk, Communication Compliance – brauchst du in der Regel Microsoft 365 E5 Compliance bzw. die entsprechenden Add-ons; das Logging von Nicht-Microsoft-KI läuft über Pay-as-you-go.

Kann der Copilot Daten anzeigen, auf die ein Nutzer eigentlich keinen Zugriff hat?

Nein, der Copilot hält sich an die bestehenden Berechtigungen und gibt nur zurück, was der Nutzer ohnehin sehen darf. Das eigentliche Risiko ist Oversharing: zu weit gesetzte Berechtigungen, die vorher nur niemand gefunden hat. Genau deshalb steht das Oversharing-Assessment am Anfang jedes seriösen Rollouts.

Wie verhindere ich, dass Mitarbeiter sensible Daten in ChatGPT und Co. kippen?

Dagegen hilft kein M365-Audit-Log, sondern Endpoint-DLP auf den onboardeten Windows-Geräten. Du kannst das Einfügen sensibler Inhalte in browserbasierte Fremd-KI warnen oder blocken und die Vorgänge in DSPM for AI sichtbar machen – damit fängst du die Schatten-KI ein, die der Copilot selbst nicht sieht.

Muss ich Betriebsrat und Datenschutz vor dem Copilot-Rollout einbinden?

Ja, unbedingt und früh. Prompt-Inhalte können Leistungs- und Verhaltensdaten sein, weshalb Mitbestimmung und eine saubere datenschutzrechtliche Grundlage Pflicht sind. Purview unterstützt dich mit Pseudonymisierung und rollenbasiertem Zugriff – aber die Vereinbarung mit der Arbeitnehmervertretung ersetzt dir kein Produkt.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings

Claude Fable 5 ist wieder da

Sonder-Consulting Briefing 02.07.2026 · boddenberg.de AI / COPILOT   Claude Fable 5 ist wieder da Executive Summary Kurz für die Eiligen: Anthropics Spitzenmodell Claude Fable 5 ist seit dem 1. Juli 2026 wieder global verfügbar – nach 19 Tagen...

mehr lesen

Claude Sonnet 5 vorgestellt

Consulting Briefing 01.07.2026 · boddenberg.de AI / COPILOT Claude Sonnet 5 vorgestellt Executive Summary Anthropic hat am 30. Juni 2026 Claude Sonnet 5 vorgestellt – und damit still und leise die Rechnung für die halbe Branche neu aufgemacht. Die...

mehr lesen