Consulting Briefing

09.05.2026 – boddenberg.de

Purview AI Data Security Investigations rollen bis Mai 2026 in alle Tenants

Executive Summary

Microsoft schaltet zwischen Mitte April und Mitte Mai 2026 schrittweise die Purview AI Data Security Investigations (DSI) in jedem M365-Tenant frei. Was klingt wie noch ein Compliance-Akronym, ist in Wirklichkeit der erste ernsthafte Versuch, die Black Box „KI-Vorfall“ forensisch aufzubrechen. DSI korreliert Logs aus Microsoft 365, Azure und Drittanbieter-KI-Diensten und rekonstruiert in einer visuellen Timeline, wie ein Agent eine Kunden-Datenbank angezapft, personenbezogene Daten zusammengefasst und munter an ein externes LLM weitergereicht hat.

Du bekommst damit das Werkzeug, das du nach dem ersten Copilot-Vorfall sowieso brauchst – nur leider in dem Moment, in dem auch die EU-AI-Act-High-Risk-Pflichten ab August 2026 voll greifen. Wer jetzt nicht aufräumt, kombiniert demnächst zwei unangenehme Dinge: einen produktiven Datenschutzvorfall und eine Investigations-Konsole, die ihn minutiengenau dokumentiert. Gute Nachricht: dieselbe Konsole rettet dir später den Hintern, wenn du sie vorher sauber aufsetzt.

Worum geht es im Detail?

Microsoft Purview hatte bisher zwei Welten: DSPM for AI als grünen Punkt im Dashboard („alles im Lot, hoffentlich“) und die klassischen eDiscovery-Cases („wir suchen mit der Lupe, weil schon was passiert ist“). Dazwischen klaffte genau die Lücke, in der KI-Vorfälle leben: Ein Marketing-Agent feuert in vier Sekunden zehn Aktionen ab – er liest, kombiniert, fasst zusammen, schickt raus. Audit-Log allein? Zeigt dir Bruchstücke. SIEM? Sieht den Trigger, nicht den Inhalt. Die DLP-Konsole? Schreit „PII versendet“ und schweigt zum Rest. DSI schliesst genau diese Lücke.

Technisch sitzt DSI im neuen Investigations-Hub des Purview-Portals. Du startest einen Case, fütterst ihn mit einem Trigger – das kann ein DLP-Alert sein, ein Insider-Risk-Signal, eine Beschwerde oder ein „ich hab da was gesehen“-Zuruf aus dem Compliance-Office. DSI sammelt dann automatisch alle relevanten Daten quer über Mailboxen, Teams-Chats, SharePoint-Sites, Copilot-Interaktionen, Endpoint-DLP-Events, Entra-registrierte AI-Apps, ChatGPT Enterprise, Microsoft Foundry und sogar Browser-erkannte 3rd-Party-Tools wie Gemini oder DeepSeek.

Die GenAI-Engine im Hintergrund tut zwei Dinge: Erstens gruppiert sie verwandte Inhalte automatisch und schlägt dir eine Risikobewertung vor – inklusive Begründung im Klartext. Zweitens beantwortet sie natürlichsprachige Fragen („Zeig mir alle Fälle, in denen Kunden-IBANs an externe LLMs geflossen sind“). Microsoft verspricht: was früher Wochen dauerte, geht jetzt in Stunden. Was sie nicht so laut sagen: dafür fliesst auch die Rechnung in Stunden, nicht in Wochen – die Compute-Kosten der GenAI-Analyse stehen separat auf der Rechnung.

Abbildung 1: DSI korreliert Logs aus M365, Azure und 3rd-Party-KI zu einer Timeline

Highlight Nummer eins ist die visuelle Timeline. Stell dir das wie einen Tatort-Krimi vor, nur dass der Täter ein Agent ist und das Opfer deine Kunden-Stammdaten. Du siehst pro Sekunde: welcher Identity-Token, welcher Tenant-Scope, welche Datei mit welchem Sensitivity-Label, welcher Prompt, welche LLM-Antwort, welcher Outbound-Call. Wer das einmal vor einer Geschäftsleitung gezeigt hat, weiss: ab da gibt es kein „da muss noch jemand draufschauen“ mehr. Es gibt nur noch „wer hat das genehmigt?“.

Highlight Nummer zwei sind die Custom Examination Focus Areas, die Mitte Juni in die GA gehen. Damit definiert ein Admin, worauf eine Untersuchung priorisiert schauen soll – z. B. ausschliesslich auf Gesundheitsdaten, oder nur auf interne Strategie-Dokumente, oder auf Fälle mit Beteiligung externer Identitäten. Klingt banal, ist aber der Hebel, mit dem ein Compliance-Officer eine Untersuchung eskalieren kann, ohne den Cost-Counter durch die Decke zu treiben.

Highlight Nummer drei: die Endpoint-DLP-Integration. Ab Mitte Mai 2026 können DSI-Cases direkt Files aus Endpoint-DLP-Alerts einsaugen – inklusive der Browser-Events, in denen ein Mitarbeiter einen Kreditkartennummern-Block in ChatGPT eingefügt hat. Du musst nicht mehr zwischen DLP-Konsole und eDiscovery hin- und herspringen. Eine Wahrheit, ein Case, ein Fall für den Datenschutzbeauftragten.

Wichtig für die Architektur: DSI ist kein neuer SKU, der dir auf magische Weise eine saubere Datenklassifizierung schenkt. Es ist eine Konsole, die das nutzt, was du schon (hoffentlich) hast – Sensitivity-Labels, Audit-Logs, DLP-Policies, Insider-Risk-Signale. Wenn die unten dreckig sind, ist auch die Timeline oben dreckig. Garbage in, forensisch dokumentiertes Garbage out.

Abbildung 2: Rollout-Timeline der DSI-Funktionen 2026

Was sind Chancen? Was sind Risiken?

Chancen

Chance Nummer eins: Du bekommst zum ersten Mal eine vorzeigbare Antwort auf die Frage „können wir KI-Datenschutzvorfälle eigentlich aufklären?“. Die juristische Halbwertszeit von „Frau Müller hat irgendwas in Copilot getippt“-Erklärungen ist mit DSI vorbei. Du hast Logs, du hast eine Timeline, du hast einen Audit-Trail mit Hashwerten – das, was die DSGVO seit 2018 von dir wollte und du seit 2018 in Excel-Tabellen behauptest.

Chance Nummer zwei: das Produkt zwingt dich, dein Berechtigungsmodell ehrlich anzusehen. Wer DSI sinnvoll betreiben will, braucht klare Rollen: wer darf einen Case öffnen, wer darf Inhalte sehen, wer darf eine Purge-Action auslösen, wer darf Cost-Estimator-Werte anschauen. Das ist Governance, die du sowieso brauchst, nur dass DSI sie diesmal wirklich erzwingt.

Chance Nummer drei: das Cost-Estimator-Werkzeug. Microsoft hat aus den Beschwerden zur früheren Compute-Verbrennung gelernt. Vor jedem grossen Fall siehst du, was die Analyse kosten wird. Du kannst mit dem Compliance-Officer also nicht nur über den Inhalt einer Untersuchung diskutieren, sondern auch über das Budget. Endlich.

Risiken

Risiko Nummer eins: Schatten-Compliance. Sobald DSI live ist, gibt es im Tenant automatisch eine Forensik-Funktion. Wenn du keine Policy hast, wer sie nutzen darf, wird sie irgendwann genutzt – vom HR-Manager, der einem Mitarbeiter etwas nachweisen will, vom Geschäftsführer, der einen Verdacht hat, vom IT-Praktikanten, der mal schnell „ausprobieren“ will. DSI hat zwar Role-Based-Access, aber wenn du allen Compliance-Admins out-of-the-box Rechte gibst, hast du eine ungewollte Überwachungsmaschine im Haus.

Risiko Nummer zwei: Falscher Sicherheitsglaube. DSI rekonstruiert, was passiert ist – es verhindert nicht, dass es passiert. Ein Tenant ohne saubere DLP-Policies, ohne Sensitivity-Labels, ohne Insider-Risk-Konfiguration und ohne Endpoint-Onboarding bekommt mit DSI vor allem eines: eine bessere Sicht auf seine Probleme. Das ist nützlich, ersetzt aber keine Prävention.

Risiko Nummer drei: Kostenexplosion. Nutzungsbasierte Abrechnung ist ein freundliches Wort für „du zahlst, was du verbrauchst, und du verbrauchst mehr als du denkst“. Eine natürlichsprachige Suche über drei Monate Tenant-Inhalte ist nicht billig. Wer den Cost-Estimator ignoriert, hat am Monatsende eine Microsoft-Rechnung, die der CFO mit Lupe und schlechter Laune liest.

Risiko Nummer vier: EU-AI-Act-Mismatch. Ab August 2026 greifen die High-Risk-System-Pflichten voll. DSI hilft dir bei Transparency und Human-Oversight – aber nur, wenn du deine eingesetzten Agents als High-Risk korrekt klassifiziert hast. Wer DSI als Feigenblatt verkauft, ohne die Klassifizierung gemacht zu haben, hat zwei Probleme: einen unsicheren Agent UND einen Audit-Trail, der das schön dokumentiert.

Was müssen wir jetzt schon vorbereiten?

Bis DSI bei dir aufschlägt, hast du je nach Tenant noch ein paar Tage bis zu sechs Wochen. Nutze sie. Folgende Liste ist nicht das nice-to-have, sondern der Startpunkt für einen ordentlichen Go-Live:

1. Sensitivity-Labels für SharePoint und OneDrive aktivieren – falls noch nicht geschehen. Ohne Labels ist die Timeline blind für Schutzbedarf.

2. Endpoint-DLP-Onboarding prüfen. Devices, die nicht onboarded sind, liefern keine Browser-Events. Das grösste Loch in der KI-Forensik sitzt am Endpoint, nicht in der Cloud.

3. Insider-Risk-Management mit dem Risky-AI-Usage-Policy-Template aktivieren. Das speist DSI mit Signalen wie Prompt-Injection-Versuchen oder Zugriff auf geschütztes Material.

4. Rollenmodell definieren: wer darf Cases anlegen, wer darf Inhalte sehen, wer darf Purge-Actions auslösen. Vorlage: drei Rollen (Investigator, Reviewer, Approver) plus klares Vier-Augen-Prinzip.

5. Datenschutzbeauftragten und Betriebsrat einbeziehen – bevor der erste Case läuft, nicht danach. Eine Betriebsvereinbarung zur Nutzung von DSI ist kein Bug, sondern ein Feature.

6. Cost-Estimator nutzen und Budgetgrenzen festlegen. Wer ohne Cap startet, hat im Juli den ersten Eskalations-Call mit dem CFO.

7. Use-Cases dokumentieren: wann darf DSI eingesetzt werden? Datenleck, Insider-Risk, Verdacht auf Bestechung, unangemessene Inhalte – das sind die offiziellen Microsoft-Szenarien. Alles dahinter braucht eine eigene Diskussion.

8. Schulung für Investigators ansetzen. Die natürlichsprachige Abfrage klingt einfach, ist aber leicht missbrauchbar. Eine schlechte Frage liefert eine teure Antwort.

9. AI-Agent-Inventar bauen. Welche Copilot-Studio-Agents, welche Entra-registrierten AI-Apps, welche Microsoft-Foundry-Workloads laufen überhaupt? Ohne Inventar keine Risikoeinschätzung, ohne Risikoeinschätzung keine EU-AI-Act-Compliance.

10. Pilot-Case planen. Ein realistisch geplanter Test-Case (idealerweise ein abgeschlossener Alt-Vorfall) zeigt dir in zwei Stunden mehr, als drei Workshops mit Microsoft.

Bottom Line: DSI ist kein „activate and forget“-Feature. Es ist eine forensische Konsole, die du – wie jede forensische Konsole – mit klaren Prozessen, klaren Rollen und klarem Budget betreiben musst. Wer das tut, hat ab August 2026 ein veritables Differenzierungsmerkmal gegenüber Wettbewerbern, die ihre Copilot-Vorfälle weiter mit Excel und gutem Glauben aufklären. Wer es nicht tut, hat zwei Probleme statt einem: den Vorfall und die Konsole, die ihn dokumentiert.

Mein Rat: Behandle DSI wie das Brandmeldesystem in einem Hochhaus. Niemand will, dass es losgeht. Aber wenn es losgeht, willst du, dass die Sensoren sauber kalibriert sind, die Sprinkler funktionieren und der Fluchtplan aktuell ist. Die nächsten sechs Wochen sind genau das: Sensoren kalibrieren. Den Rest erledigt im Zweifel der Vorfall – egal ob du willst oder nicht.