Ein zentrales Dokument von Microsoft im Zusammenhang mit Copilot ist der Leitfaden für seine Copilot-Nutzer – ein Dokument, das Unternehmen bei der Risikobewertung von Copilot für Microsoft 365 unterstützt.
Einfach ausgedrückt, bietet der QuickStart Guide einen Überblick über die potenziellen KI-Risiken und darüber, wie diese Risiken für Copilot für Microsoft 365 gemindert werden. Die Botschaft ist klar und deutlich: Microsoft ist zwar Eigentümer der zugrunde liegenden Infrastruktur, aber es bleibt den Kunden überlassen, ihre eigenen Daten zu schützen.
Was besagt der Leitfaden?
Laut Microsoft zielt dieser QuickStart Guide darauf ab, Organisationen bei der Durchführung einer umfassenden Risikobewertung von Copilot für Microsoft 365 zu unterstützen, und dient als erste Referenz für die Identifizierung von Risiken, die Untersuchung von Risikominderungsmaßnahmen und Diskussionen mit den Beteiligten. Organisationen, die eine Risikobewertung als Teil ihres Due-Diligence-Prozesses durchführen wollen, können sich auf dieses Dokument verlassen, um den Anfang zu machen.
Wir bei Rencore haben den 39-seitigen QuickStart Guide gelesen (damit Sie das nicht tun müssen) und haben die wichtigsten Aussagen dieses Leitfadens zusammengefasst. Lassen Sie uns zunächst einen Blick auf den Umfang dieses Dokuments werfen. Der QuickStart Guide deckt drei Hauptaspekte ab:
- Rahmen für AI-Risiken und -Minderungsmaßnahmen
- Beispielhafte Risikobewertung
- Zusätzliche Ressourcen
Das AI Risks and Mitigations Framework beschreibt die Hauptkategorien von KI-Risiken und wie Microsoft ihnen begegnet - auf Unternehmensebene und auf Dienstebene. Zweitens zeigt der Leitfaden ein Beispiel für eine Risikobewertung, indem er eine Reihe von Fragen und Antworten von echten Kunden präsentiert, die den Benutzern helfen, ihre Risikolage zu bewerten. Schließlich bietet der Leitfaden auch zusätzliche Ressourcen, die Unternehmen dabei helfen, mehr über das KI-Risikomanagement zu erfahren.
Der Leitfaden geht näher auf verschiedene KI-Risiken und die entsprechenden Abhilfemaßnahmen ein, z.B. Verzerrungen, Desinformation, übermäßiges Vertrauen und Automatisierungsverzerrungen, Unbegründetheit (Halluzinationen), Datenschutz, Widerstandsfähigkeit, Datenlecks und Sicherheitslücken.
Modell der geteilten Verantwortung
Nach monatelangen Bemühungen, die Einführung von Copilot in Unternehmen voranzutreiben, scheint Microsoft nun die Sicherheitsbedenken zu berücksichtigen, die Microsoft 365-Nutzer von Anfang an geäußert haben. Mit der Veröffentlichung dieses neuen Leitfadens zur Risikobewertung scheint Microsoft anzuerkennen, dass zwischen dem Kauf von Copilot für Microsoft 365 und der Einführung des Tools eine Menge zu tun ist. Dies ist zweifellos ein wichtiger Schritt, um die Sicherheit und Compliance von KI-gesteuerten Lösungen zu gewährleisten.
Microsoft schlägt für die Einführung und Nutzung von Copilot ein sogenanntes AI Shared Responsibility Model vor. Was bedeutet dies im Wesentlichen? Einfach ausgedrückt, erkennt das Modell der geteilten Verantwortung an, dass die Nutzer von Copilot auch eine inhärente Verantwortung dafür haben, dass die Nutzung und Zusammenarbeit mit Copilot sicher bleiben.
Microsoft behauptet, dass viele Risiken durch eine angemessene und verantwortungsvolle Nutzung gemindert werden können, und ermutigt die Kunden, ihre Nutzer darin zu schulen, "die Grenzen und die Fehlbarkeit von KI zu verstehen". Je nachdem, für welche Optionen sich die Kunden bei der Implementierung von Copilot entscheiden, übernehmen sie die Verantwortung für verschiedene Teile der notwendigen Abläufe und Richtlinien, die für eine sichere Nutzung von KI erforderlich sind.
Das Diagramm veranschaulicht die Verantwortungsbereiche zwischen dem Kunden und Microsoft je nach Art der Bereitstellung.
Bei der Durchführung einer Risikobewertung fordert Microsoft seine Kunden auf, das Modell der geteilten Verantwortung im Auge zu behalten. Warum ist dies der Fall? Weil es den Kunden hilft, die Risiken genau zu identifizieren, die sowohl von Microsoft als auch von ihrer eigenen Organisation gemindert werden müssen.
Alle Wege führen zu Governance
Der QuickStart Guide dient als erste Referenz für Unternehmen, um die Risiken nach Prioritäten zu ordnen, Strategien zur Risikominderung zu formulieren und Diskussionen mit den Stakeholdern zu initiieren. Microsoft plant, den Security Development Lifecycle (SDL) regelmäßig zu aktualisieren, um ihn an die sich ständig weiterentwickelnden Bedrohungen anzupassen. Um KI-Risiken, einschließlich generativer KI, besser berücksichtigen zu können, wird er aktualisiert, sobald neue Risiken auftauchen.
Das eigentliche Ziel ist jedoch, dass Unternehmen effizient und sicher zusammenarbeiten können. Dazu reicht es nicht aus, Sicherheit und Risikobewertung als eigenständige Säulen zu betrachten, sondern die gesamte Cloud-Collaboration-Governance zu berücksichtigen. Ist Ihr Unternehmen Copilot-fähig?
Wenn Sie mehr über die Governance von KI-Tools wie Microsoft Copilot erfahren möchten, empfehlen wir Ihnen den Download unseres Whitepapers Regulating your AI companion: Best Practices für die Steuerung von Microsoft Copilot.
