30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Kostenlose Vorlage · Microsoft 365 Copilot

Microsoft 365 Copilot Readiness-ChecklisteBeheben Sie Oversharing, bevor Copilot es findet

Copilot umgeht Ihre Berechtigungen nicht. Es respektiert sie perfekt, und genau das ist das Problem: Es bringt alles zum Vorschein, worauf Ihre Nutzer technisch Zugriff haben, einschließlich Websites, an deren Freigabe sich niemand mehr erinnert. Diese Checkliste führt IT- und Sicherheitsteams durch sieben Readiness-Phasen, mit 57 nachweisgestützten Prüfpunkten und formalen Go/No-go-Gates vor dem Pilotprojekt und vor dem breiten Rollout.

Warum Copilot-Rollouts ins Stocken geraten

Die meisten blockierten Rollouts gehen auf dieselbe Geschichte zurück: Ein Pilotnutzer stellt eine Routinefrage und erhält eine Antwort aus Inhalten, die er nie hätte sehen dürfen.

Berechtigungen werden respektiert, nicht geprüft

Copilot greift auf alles zu, was ein Nutzer technisch erreichen kann. Websites, die vor Jahren mit „Jeder außer externen Benutzern“ geteilt wurden, sind plötzlich nur noch eine Frage in Alltagssprache entfernt.

Freigabelinks laufen nie von selbst ab

Alte organisationsweite Links gewähren dauerhaften Zugriff, lange nachdem alle sie vergessen haben. Copilot respektiert jeden einzelnen, bis Sie ihn ablaufen lassen.

Das Problem ist unsichtbar, bis es das nicht mehr ist

Niemand besucht die vergessene Finanz-Website, also wirkt nichts auffällig. KI-gestützte Suche ändert das über Nacht, deshalb muss Governance vor der Aktivierung kommen.

Die Checkliste bringt die Korrekturen in die richtige Reihenfolge: Berechtigungswildwuchs auditieren, Freigabelinks bereinigen, sensible Inhalte mit Microsoft Purview kennzeichnen und schützen, und erst dann Lizenzen zuweisen.

Die sieben Readiness-Phasen

57 Prüfpunkte, jeweils mit einer Zeile zum Warum, einem Nachweisfeld und einem Verantwortlichen. Arbeiten Sie die Phasen der Reihe nach ab; die Gates prüfen, dass nichts übersprungen wurde.

1
Voraussetzungen und Lizenzierung
7 Punkte

Berechtigte Basispläne, Exchange Online-Postfächer, Entra ID, OneDrive, Update-Kanäle und Netzwerkendpunkte. Das technische Fundament vor jeder Governance-Arbeit.

2
Daten-Governance vor der Aktivierung
12 Punkte

Die entscheidende Phase: Audit des Berechtigungswildwuchses, Hygiene der Freigabelinks, Vertraulichkeitsbezeichnungen, DLP für Copilot und Entscheidungen zu Restricted Content Discovery.

3
Sicherheitskonfiguration
9 Punkte

Audit-Protokollierung der Copilot-Interaktionen, Aufbewahrung und eDiscovery, Umgang mit Web-Grounding und die Governance-Baseline für Agents.

4
Pilotdesign
7 Punkte

Eine Kohorte aus echten Fachbereichen, Erfolgskennzahlen mit Ausgangswerten, eine Feedback-Schleife mit Verantwortlichem und ein Eindämmungsplan, den Sie hoffentlich nie brauchen.

5
Richtlinie und Menschen
8 Punkte

Ergänzung der KI-Nutzungsrichtlinie um Copilot, Leitfaden für zulässige Prompts, Schulung vor der Lizenzzuweisung und unterschriebene Bestätigungen.

6
Rollout und Überwachung
8 Punkte

Gestaffelte Wellen mit Checkpoints, kontinuierliche Oversharing-Überwachung, Prüfung der Audit-Protokolle, Agent-Reviews und ein eingespielter Incident-Pfad.

7
Überprüfung nach dem Rollout
6 Punkte

Das 90-Tage-Review: Oversharing-Bewertung erneut durchführen, Bezeichnungen und DLP nachjustieren, temporäre Einschränkungen zurücknehmen und an den Sponsor berichten.

Go/No-go-Gates

Zwei formale Entscheidungspunkte halten den Rollout ehrlich. Jedes Kriterium muss auf Go stehen; ein einziges No-go pausiert den Start, bis es gelöst oder schriftlich akzeptiert ist.

Gate A: Pilotstart

Nach den Phasen 1 bis 5
  • Oversharing-Audit abgeschlossen; Hochrisiko-Websites bereinigt oder eingeschränkt
  • Vertraulichkeitsbezeichnungen veröffentlicht und Copilot-DLP-Richtlinie mit einer Testdatei verifiziert
  • Test-Interaktion mit Copilot im Audit-Protokoll sichtbar; Aufbewahrungsrichtlinie angewendet
  • Alle Pilotnutzer geschult, mit unterschriebenen Bestätigungen
  • Eindämmungs-Runbook dokumentiert, mit benanntem Incident-Kontakt

Die Vorlage enthält ein ausgearbeitetes Beispiel für ein gut gehandhabtes No-go: markierte Websites einschränken, bereinigen, zwölf Tage später erneut entscheiden, sauber starten.

Gate B: Breiter Rollout

Am Ende des Pilotprojekts
  • Erfolgskennzahlen des Piloten erreicht oder Abweichungen schriftlich akzeptiert
  • Keine ungelösten Copilot-bezogenen P1/P2-Vorfälle; alle Warnungen bis zum Abschluss bearbeitet
  • Aktuelle Oversharing-Bewertung geprüft, ohne neue Hochrisiko-Websites
  • Schulung und Support-Modell für jede Rollout-Welle bereit
  • Kontrollen für Agents und Erweiterbarkeit anhand der Pilot-Erkenntnisse überprüft

Gate B macht aus den Nachweisen des Piloten eine Rollout-Entscheidung, hinter der Ihr Governance-Gremium stehen kann.

Erste Schritte

Kennen Sie jedes KI-Tool im Einsatz, bevor Copilot kommt

Copilot ist selten die einzige KI im Unternehmen. Aona erkennt jedes KI-Tool, das Ihre Mitarbeitenden bereits nutzen, zeigt, welche Daten hineinfließen, und hält Ihr KI-Inventar für den Rollout audit-bereit.