Experte Oliver Krizek
©Schedl/NavaxWas darf der Copilot? Was darf er nicht? IT-Experte Oliver Krizek gibt Tipps, wie der KI-Assistent für das Unternehmen eingestellt sein muss, um Datenpannen zu vermeiden, und wie Mitarbeitende auf ihren neuen Assistenten vorbereitet werden sollten.
Neuerdings bietet er seine Dienste sogar direkt über den Browser an, der KI-Assistent von Microsoft: Copilot. Für Millionen Nutzer:innen ist er zu einem extrem produktiven und durchaus kreativen Zuarbeiter in der Büroarbeit geworden, der natürlich auch Zugriff auf Firmeninformationen hat. Mit den passenden Befehlen sind eine Menge an Abkürzungen bei Aufgaben möglich, die mit Word, Excel, Outlook & Co. erledigt werden. Copilot ist ein mächtiges Werkzeug, das für die Informationsverarbeitung in Unternehmen aber unbedingt korrekt eingestellt sein muss. trend hat mit einem Experten über die sichere Konfiguration gesprochen.
Der Copilot muss viel Wissen haben, um hilfreich zu sein: Wie lässt sich technisch und organisatorisch vermeiden, dass das Programm keine Dokumente zeigt, die nicht alle sehen sollen?
Damit Copilot im Unternehmen hilfreich sein kann, muss er auf viele Informationen zugreifen – idealerweise nur auf jene Datenquellen, die für die jeweilige Person auch bestimmt sind. Technisch lässt sich das sicherstellen, indem man die Zugriffsrechte in Microsoft 365, SharePoint, OneDrive und Teams sauber verwaltet. Copilot zeigt in weiterer Folge nur jene Inhalte, die für den Anwender bestimmt sind. Organisatorisch bedeutet das: Es braucht klare Regeln, wer welche Daten sehen darf und regelmäßige Berechtigungsprüfungen.
Ein Beispiel: Wenn ein vertrauliches HR-Dokument versehentlich in einem allgemein zugänglichen Ordner liegt, kann Copilot daraus Informationen ziehen. Der Fehler liegt allerdings nicht an Copilot selbst bzw. der KI-Lösung, sondern an der falschen Datenablage. Tipp: Wer also seine Daten gut strukturiert und Mitarbeitende sensibilisiert, kann Copilot sicher und effektiv nutzen.
Welche Werkseinstellungen müssen unbedingt geändert werden? Und wie stellt man sicher, dass keine Daten nach draußen gehen oder von draußen eingesehen werden können?
Einige Werkseinstellungen von Microsoft Copilot M365 sollten unbedingt angepasst werden, um sowohl die Datensicherheit als auch den Datenschutz im Unternehmen zu gewährleisten. Besonders wichtig ist es, den Zugriff auf externe Datenquellen zu beschränken und sogenannte „Cross-Tenant“-Verbindungen zu deaktivieren – also den automatischen Austausch von Informationen mit anderen Organisationen. Zusätzlich sollten Datenschutzfunktionen (z.B. Microsoft Purview) genutzt werden, um sensible Daten zu klassifizieren und deren Verarbeitung durch Copilot gezielt zu steuern. Ein Beispiel: Wenn personenbezogene Daten wie Mitarbeiterlisten oder Gesundheitsinformationen nicht korrekt gekennzeichnet sind, könnten sie unbeabsichtigt in eine Copilot-Antwort einfließen. Der Umstand wäre mit Sicherheit datenschutzrechtlich problematisch. Tipp: Wer die richtigen Einstellungen im Microsoft 365 Admin Center vornimmt, Datenschutzrichtlinien technisch abbildet und Mitarbeitende entsprechend schult, schafft eine sichere und DSGVO-konforme Grundlage für den produktiven Einsatz von Copilot M365.
Zur Person
Oliver Krizek ist Gründer und Geschäftsführer der NAVAX-Unternehmensgruppe, die mit 330 Mitarbeitenden mehr als 1.000 Firmenkunden (Fokus auf Financial Services, Produktion, Bau, Handel und Professional Services) im DACH-Raum mit IT-Lösungen bei der digitalen Transformation unterstützt.
Für IT-Abteilung und Sicherheitsbeauftrage bedeutet der KI-Einsatz neue Routinen und Regeln: Was müssen die Verantwortlichen hier im Blick haben?
Mit dem Einsatz von Microsoft Copilot entstehen für IT-Abteilungen und Sicherheitsverantwortliche neue Routinen - nicht nur technisch, sondern auch rechtlich. Besonders im Fokus steht dabei der EU AI-Act, der seit 2025 verbindliche Anforderungen an den Einsatz von KI-Systemen stellt. Unternehmen müssen sicherstellen, dass Copilot nur auf freigegebene Daten zugreift, und gleichzeitig dokumentieren, wie die KI eingesetzt wird. Technisch lässt sich das über Zugriffsrechte, Sensitivitätskennzeichnungen und Audit-Logs steuern. Zusätzlich können bestimmte Abfragen, etwa zu besonders sensiblen Daten wie Gehältern oder Gesundheitsinformationen, gezielt blockiert oder eingeschränkt werden, um Risiken zu minimieren und den Anforderungen des AI-Acts gerecht zu werden.
Ein Beispiel: Ein Unternehmen kann Copilot so konfigurieren, dass Anfragen wie „Zeige mir alle Mitarbeitende mit Burnout-Diagnose“ automatisch unterbunden werden – nicht nur aus Datenschutzgründen, sondern auch, weil der AI-Act vorschreibt, dass Hochrisikoanwendungen besonders geschützt und kontrolliert werden müssen. Tipp: Wer diese Schutzmechanismen mit einer klaren Governance, regelmäßigen Schulungen und einer internen KI-Richtlinie kombiniert, schafft die Grundlage für einen sicheren, rechtskonformen und produktiven Einsatz von Copilot im Unternehmen.
Wie lässt sich der Copilot kontrollieren und monitoren?
Über das Microsoft 365 Admin Center kann die IT genau festlegen, welche Funktionen Copilot nutzen darf, auf welche Daten er zugreifen kann und für welche Nutzergruppen er aktiviert ist. Zusätzlich lassen sich sensible Inhalte mit sogenannten „Sensitivity Labels“ schützen, und über Audit-Logs kann jederzeit nachvollzogen werden, welche Informationen verarbeitet wurden.
Ein Beispiel: In einem Unternehmen wurde Copilot im Marketing-Team eingeführt, aber gezielt so konfiguriert, dass er keine Daten aus dem Finanzbereich analysieren kann – selbst wenn ein Mitarbeitender danach fragt. So bleibt er ein leistungsstarkes Werkzeug, das produktiv unterstützt, aber immer unter klarer Kontrolle und im Einklang mit Datenschutz und Unternehmensrichtlinien arbeitet.
Haben Sie bei Copilot-Projekten für Ihre Kunden eine bestimmte Vorgangsweise, eine Art Supertipp?
Ein bewährter „NAVAX-Hack“ für den sicheren und produktiven Umgang mit Copilot ist die Kombination aus einer klaren AI-Strategie, einer verantwortlichen Rolle im Unternehmen und dem gezielten Einsatz eigener KI-Modelle in Azure. Statt Mitarbeitenden unkontrollierten Zugang zu externen KI-Diensten wie ChatGPT, Google Gemini oder Claude zu gewähren, empfehlen wir, geprüfte, unternehmensinterne Lösungen bereitzustellen – etwa über Azure Services, die sich nahtlos in bestehende Microsoft-365-Umgebungen integrieren lassen. So können Mitarbeitende über eine sichere Azure-Instanz auf bis zu 2.000 KI-Modelle zugreifen – mit voller Kontrolle über Datenschutz, Datenstandort und Nutzung. Alle Informationen bleiben im Unternehmen, Compliance und Governance sind gewährleistet.
Ein zentraler Bestandteil dieser Strategie ist der NAVAX Buddy – ein unternehmensinterner KI-Assistent, der auf Azure AI Foundry, Copilot Studio Agents und Microsoft 365 basiert. Der Buddy fungiert als sicherer Einstiegspunkt für alle KI-Anfragen im Unternehmen. Er verarbeitet ausschließlich freigegebene interne Datenquellen wie SharePoint, Intranet oder Jira und bietet über spezialisierte Agents (z. B. für HR, IT, Sales oder Engineering) gezielte Unterstützung im Arbeitsalltag. Adaptive Cards und Feedback-Mechanismen sorgen für Transparenz und Nachvollziehbarkeit. So wird verhindert, dass sensible Inhalte in öffentliche Tools gelangen – und gleichzeitig wird Wissen zentralisiert, dokumentiert und wiederverwendbar gemacht.
Copilot ist ein Supertool, das viele Anwender:innen anfangs oft gar nicht richtig auszureizen wissen: Wie sollten Schulungen konzeptioniert sein, damit die Mitarbeitenden den KI-Assistenten gut einsetzen können?
Damit Mitarbeitende das volle Potenzial von Copilot nutzen können, sollten Schulungen nicht nur praxisnah und rollenbasiert sein, sondern auch den rechtlichen Rahmen berücksichtigen – insbesondere den EU AI-Act: Der verpflichtet Unternehmen, sicherzustellen, dass alle, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse verfügen.
Wir empfehlen ein gestuftes Schulungskonzept: Zunächst eine Basisschulung für alle mit Grundlagen zu KI, Datenschutz, dem AI-Act, sicheren Prompts und Sensibilisierung beim Arbeiten mit KI-Tools. Darauf aufbauend folgen bereichsspezifische Trainings, z. B. für HR, Vertrieb, Finanzen oder IT, und für fortgeschrittene Nutzer auch vertiefende Module, etwa zur Integration von KI in Workflows oder zur Nutzung eigener Modelle in Azure. Bei unseren Einführungen haben sich einstündige E-Learnings für alle Mitarbeitenden im Unternehmen bewährt, bevor sie mit etwaigen AI-Modellen in Berührung kommen. Das ist optimalerweise in den Onboarding-Prozess integriert und sorgt für Sicherheit, Akzeptanz und eine gemeinsame Wissensbasis.
