Konfigurieren von Microsoft Purview für den Datenschutz in LLMs von Drittanbietern

Konfigurieren von Microsoft Purview für den Datenschutz in LLMs von Drittanbietern

  1. Februar 2026

Einführung: Die Herausforderung der Datenverwaltung im Zeitalter externer LLMs

Bis 2026 wird die Einführung von Large Language Models (LLMs) und generativen künstlichen Intelligenz (KI)-Tools in vielen Organisationen Realität sein. Während native Lösungen wie Microsoft 365 Copilot sichere Integrationen und Datenverwaltung bieten, nutzen viele Unternehmen auch eine Vielzahl anderer LLMs von Drittanbietern, die über das Web oder APIs zugänglich sind. Diese Verbreitung externer KI-Tools ist zwar vorteilhaft für Innovation und Produktivität, birgt jedoch ein erhebliches Risiko: die unbeabsichtigte oder böswillige Offenlegung sensibler Daten [1].

Aus Effizienzgründen oder aus Neugier können Mitarbeiter versehentlich Geschäftsgeheimnisse, Kundeninformationen, Finanzdaten oder geistiges Eigentum in öffentliche KI-Chat-Schnittstellen oder LLMs von Drittanbietern einfügen, die nicht über die gleichen Sicherheits- und Datenschutzgarantien wie Unternehmenslösungen verfügen. Dieses Verhalten kann zu massiven Datenlecks, Compliance-Verstößen und schweren Reputationsschäden führen. Das Risiko, dass Mitarbeiter öffentliche KI-Modelle mit sensiblen Unternehmensdaten „trainieren“, ist eines der größten Probleme im Bereich Datensicherheit und Governance im Jahr 2026 [2].

Um dieser Herausforderung zu begegnen, hat Microsoft Purview im Jahr 2026 seine Data Loss Prevention (DLP)-Funktionen erheblich erweitert. Purview fungiert nun als „KI-Sicherheitsgateway“, das das Senden sensibler Daten an nicht autorisierte externe KI-Tools in Echtzeit überwacht und blockiert. Es untersucht den ausgehenden Datenverkehr, identifiziert sensible Datenmuster und setzt Richtlinien zur Verhinderung der Exfiltration durch, um sicherzustellen, dass KI-Innovationen die Datensicherheit und Compliance nicht gefährden [3].

Dieser technische und lehrreiche Artikel soll Compliance-Administratoren, Sicherheitsanalysten und IT-Leitern dabei helfen, die mit LLMs von Drittanbietern verbundenen Risiken zu verstehen und Microsoft Purview-Schutzmaßnahmen zum Schutz sensibler Daten zu konfigurieren. Wir behandeln die zugrunde liegenden Prinzipien, Voraussetzungen und eine detaillierte Schritt-für-Schritt-Anleitung zur Implementierung spezifischer DLP-Richtlinien für KI-Dienste.

Die Risiken von LLMs Dritter und die Notwendigkeit einer Governance

Der einfache Zugang und die Leistungsfähigkeit von LLMs von Drittanbietern können ein zweischneidiges Schwert sein. Sie bieten zwar Vorteile, bergen aber auch erhebliche Risiken für die Datensicherheit von Unternehmen:

  • Unbeabsichtigte Datenexfiltration: Mitarbeiter können ohne böse Absicht sensible Daten kopieren und in externe LLM-Eingabeaufforderungen einfügen, um Inhalte zusammenzufassen, zu analysieren oder zu generieren, ohne sich darüber im Klaren zu sein, dass diese Daten möglicherweise gespeichert oder zum Trainieren des KI-Modells verwendet werden, wodurch sie öffentlich oder für Dritte zugänglich gemacht werden.

  • Böswillige Datenexfiltration: Ein böswilliger Mitarbeiter könnte ein LLM eines Drittanbieters als Kanal nutzen, um sensible Daten zu exfiltrieren und dabei herkömmliche Sicherheitskontrollen zu umgehen.

  • Compliance-Verstöße: Das Senden regulierter Daten (wie PII, PHI, PCI) an externe LLMs kann gegen Datenschutzgesetze (DSGVO, LGPD) und branchenspezifische Vorschriften verstoßen, was zu hohen Geldstrafen und Reputationsschäden führen kann.

  • Geistiges Eigentum: Geschäftsgeheimnisse, proprietäre Quellcodes und Geschäftspläne können offengelegt werden, wenn sie in LLMs von Drittanbietern eingefügt werden.

  • Mangelnde Sichtbarkeit und Kontrolle: Ohne die entsprechenden Tools haben Unternehmen keinen Überblick darüber, welche LLMs von Drittanbietern verwendet werden, welche Daten geteilt werden und ob diese Dienste den internen Sicherheitsrichtlinien entsprechen.

Microsoft Purview begegnet diesen Risiken, indem es seine DLP-Funktionen auf den Bereich der KI-Dienste ausdehnt. Es ermöglicht Unternehmen, den Fluss sensibler Daten zu diesen Diensten zu identifizieren, zu überwachen und zu steuern und stellt so sicher, dass Richtlinien zur Datenverwaltung im gesamten digitalen Ökosystem konsistent angewendet werden [4].

Datenschutzgrundsätze für KI in Microsoft Purview

Der wirksame Schutz sensibler Daten in LLMs von Drittanbietern in Microsoft Purview basiert auf den folgenden Grundsätzen:

  1. KI-Erkennung und -Klassifizierung: Identifizieren Sie, auf welche KI-Dienste von Drittanbietern im Netzwerk zugegriffen wird, und klassifizieren Sie deren Ebenedes Risikos. Dadurch können DLP-Richtlinien zielgerichtet und effektiv sein.

  2. Erkennung sensibler Daten in Echtzeit: Untersuchen Sie den ausgehenden Datenverkehr in Echtzeit, um das Vorhandensein sensibler Informationen (z. B. Kreditkartennummern, Sozialversicherungsnummern, Gesundheitsdaten) zu identifizieren, bevor er ein externes LLM erreicht.

  3. Zugriffskontrolle und -blockierung: Wenden Sie Richtlinien an, um Versuche, vertrauliche Daten mit nicht autorisierten LLMs zu teilen, zu blockieren oder zu warnen, um sicherzustellen, dass nur genehmigte Kanäle verwendet werden.

  4. Benutzerbewusstsein: Geben Sie Benutzern sofortiges Feedback zu Richtlinienverstößen und informieren Sie sie über die sichere Verwendung von KI-Tools und die Risiken, die mit der Weitergabe sensibler Daten verbunden sind.

  5. Prüfung und Berichterstattung: Führen Sie eine detaillierte Aufzeichnung aller versuchten Richtlinienverstöße und stellen Sie Berichte zur Analyse und kontinuierlichen Verbesserung des Sicherheitsstatus bereit.

Voraussetzungen für die Implementierung

Um Microsoft Purview-Schutzmaßnahmen für LLMs von Drittanbietern zu konfigurieren, benötigen Sie die folgenden Elemente:

  • Lizenzierung für Microsoft 365 E5 oder Microsoft Purview Compliance Suite: Diese Pläne umfassen die erforderlichen erweiterten DLP- und AI-Governance-Funktionen.

  • Administratorzugriff: Konten mit den Berechtigungen „Compliance-Administrator“, „Sicherheitsadministrator“ oder „Globaler Administrator“ im Microsoft Purview-Compliance-Portal („compliance.microsoft.com“).

  • Kenntnisse der Datenrichtlinien: Vertrautheit mit den sensiblen Datentypen und internen Compliance-Richtlinien Ihres Unternehmens.

  • DLP-Agent-Bereitstellung: Für die Endpunktüberwachung müssen Microsoft Purview DLP-Agents auf den Geräten der Benutzer bereitgestellt werden.

Schritt-für-Schritt-Anleitung: Konfigurieren von DLP-Richtlinien für KI in Microsoft Purview

Um Schutzmaßnahmen gegen das Senden sensibler Daten an LLMs von Drittanbietern einzurichten, müssen riskante KI-Anwendungen identifiziert und gezielte DLP-Richtlinien erstellt werden.

Schritt 1: Riskante KI-Anwendungen identifizieren

Der erste Schritt besteht darin, einen Überblick darüber zu gewinnen, auf welche KI-Dienste von Drittanbietern in Ihrem Netzwerk zugegriffen wird, und deren Risiko einzuschätzen.

  1. Zugriff auf das Microsoft Purview Compliance Portal: Öffnen Sie Ihren Browser und navigieren Sie zu „compliance.microsoft.com“. Melden Sie sich mit einem Konto an, das über die erforderlichen Administratorrechte verfügt.

  2. Navigieren Sie zu AI Hub: Gehen Sie im linken Navigationsbereich zu AI Hub > Discovery. AI Hub ist der neue Bereich, der 2026 eingeführt wurde, um die KI-Sicherheit und -Compliance zu verwalten.

  3. Entdeckte KI-Dienste überprüfen: Purview listet alle Websites und KI-Dienste von Drittanbietern auf, auf die in Ihrem Netzwerk zugegriffen wurde. Für jeden Dienst wird eine „Risikobewertung“ basierend auf Faktoren wie dem Ruf des Anbieters, bekannten Datenschutzrichtlinien, dem Speicherort der Daten und der Art der Daten, die der Dienst verarbeitet, zugewiesen. Auf diese Weise können Sie ermitteln, welche LLMs von Drittanbietern das größte Risiko für Ihr Unternehmen darstellen.

  4. Anwendungen klassifizieren: Klassifizieren Sie KI-Anwendungen basierend auf der Risikobewertung und internen Richtlinien als „Genehmigt“, „Überwacht“ oder „Nicht autorisiert“.

Schritt 2: Erstellen von DLP-Blockierungsrichtlinien für LLMs von Drittanbietern

Sobald riskante KI-Anwendungen identifiziert sind, können Sie DLP-Richtlinien erstellen, um den Fluss sensibler Daten zu kontrollieren.

  1. Erstellen Sie eine neue DLP-Richtlinie: Gehen Sie im Compliance-Portal von Microsoft Purview zu Verhinderung von Datenverlust > Richtlinien. Klicken Sie auf + Richtlinie erstellen.

  2. Vorlage auswählen oder anpassen: Sie können mit einer bereits vorhandenen Vorlage beginnen (z. B. „Finanzdaten“, „Gesundheitsdaten“) oder eine benutzerdefinierte Richtlinie erstellen. Für LLMs von Drittanbietern bietet eine benutzerdefinierte Richtlinie mehr Flexibilität.

  3. Standorte festlegen: Wählen Sie im Abschnitt „Standorte“ die Option „KI-Dienste und Chatbots“ aus. Dies ist eine neue Option, die im Jahr 2026 eingeführt wurde und es Ihnen ermöglicht, Richtlinien gezielt auf Interaktionen mit LLMs von Drittanbietern auszurichten. Sie können auch andere Standorte, z. B. Endpunkte, einbeziehen, um das Kopieren/Einfügen zu überwachen.

  4. Bedingungen definieren: Konfigurieren Sie die Bedingungen, die die Richtlinie auslösen. Dabei geht es oft um die Erkennung bestimmter sensibler Informationstypen (SITs), wie zum Beispiel:

  5. Finanzdaten: Kreditkartennummernsagte, Bankkonten.

  6. Persönliche Daten: CPFs, Identitätsnummern, Firmen-E-Mail-Adressen.

  7. Geistiges Eigentum: Quellcode, Dokumente mit bestimmten Vertraulichkeitskennzeichnungen (z. B. „Vertraulich“).

  8. Sie können Bedingungen so verfeinern, dass sie Schlüsselwörter oder reguläre Ausdrücke enthalten, die auf proprietäre Daten hinweisen.

  9. Aktionen festlegen: Legen Sie für nicht autorisierte oder risikoreiche LLMs von Drittanbietern die Aktion auf „Blockieren mit Richtlinientipp“ fest. Der Richtlinientipp informiert den Benutzer darüber, dass die Aktion blockiert wurde und warum, und informiert ihn über die Sicherheitsrichtlinie. Bei überwachten LLMs können Sie zwischen „Überwachen“ und „Blockieren mit Benutzerüberschreibung“ wählen (damit der Benutzer dies begründen und fortfahren kann).

  10. Speichern und aktivieren Sie die Richtlinie: Überprüfen Sie die Richtlinie und aktivieren Sie sie. Es kann einige Zeit dauern, bis DLP-Richtlinien vollständig in Ihrer gesamten Umgebung angewendet werden.

Schritt 3: Überwachung und kontinuierliche Schulung

Die Überwachung ist unerlässlich, um die Wirksamkeit der DLP-Richtlinien sicherzustellen und Bereiche zu identifizieren, die zusätzlicher Aufklärung bedürfen.

  1. AI Hub-Berichte verwenden: Im Microsoft Purview AI Hub finden Sie detaillierte Berichte zu DLP-Richtlinienverstößen im Zusammenhang mit LLMs von Drittanbietern. Diese Berichte zeigen:

  2. Welche LLMs von Drittanbietern werden verwendet: Identifizieren Sie die beliebtesten Dienste und diejenigen, die das größte Risiko darstellen.

  3. Welche sensiblen Daten werden geteilt: Verstehen Sie die Arten von Informationen, die Benutzer an externe LLMs senden möchten.

  4. Welche Benutzer/Abteilungen verstoßen gegen Richtlinien: Identifizieren Sie Bereiche, die zusätzlicher Schulung oder Sensibilisierung bedürfen.

  5. Vorfalluntersuchung: Verwenden Sie den Activity Explorer in Purview, um DLP-Vorfälle im Detail zu untersuchen, einschließlich des Benutzers, der Datei, des beteiligten KI-Dienstes und der blockierten Inhalte.

  6. Bildung und Sensibilisierung: Nutzen Sie Berichtsdaten, um die Schulung des KI-Sicherheitsbewusstseins voranzutreiben. Erklären Sie Ihren Mitarbeitern die Risiken der Weitergabe sensibler Daten an externe LLMs und fördern Sie den Einsatz von vom Unternehmen genehmigten KI-Tools.

  7. Periodische Richtlinienüberprüfung: Die KI-Landschaft entwickelt sich ständig weiter. Überprüfen Sie regelmäßig Ihre DLP-Richtlinien für LLMs von Drittanbietern, um sicherzustellen, dass sie relevant und wirksam gegen neue Bedrohungen und neue KI-Dienste bleiben.

Zusätzliche Überlegungen und Best Practices

  • Datenklassifizierung: Eine robuste Datenklassifizierung ist die Grundlage für effektive DLP-Richtlinien. Verwenden Sie Vertraulichkeitsbezeichnungen, um vertrauliche Daten automatisch oder manuell zu klassifizieren.

  • Klare Kommunikation: Kommunizieren Sie den Mitarbeitern klar und deutlich die KI-Nutzungsrichtlinien. Erklären Sie, was erlaubt ist und was nicht und welche Risiken mit der Verwendung nicht autorisierter LLMs verbunden sind.

  • Phasenansatz: Erwägen Sie die phasenweise Implementierung von DLP-Richtlinien, beginnend mit dem Audit-Modus, um das Benutzerverhalten zu verstehen, bevor Sie harte Blockierungen anwenden.

  • SIEM/SOAR-Integration: Integrieren Sie Microsoft Purview DLP-Warnungen in Ihr SIEM-System (z. B. Microsoft Sentinel), um eine zentrale Ansicht von Sicherheitsvorfällen zu erhalten und automatisierte Reaktionen zu orchestrieren.

  • KI-Anbieterbewertung: Wenn Sie den Einsatz von LLMs von Drittanbietern in Betracht ziehen, führen Sie eine strenge Sicherheits- und Datenschutzbewertung der Anbieter durch, um sicherzustellen, dass sie Ihre Compliance-Anforderungen erfüllen.

Fazit

Der Schutz sensibler Daten in einer Welt, in der LLMs von Drittanbietern allgemein zugänglich sind, stellt im Jahr 2026 eine entscheidende Herausforderung für die Informationssicherheit dar. Microsoft Purview bietet mit seinen erweiterten DLP- und KI-Governance-Funktionen eine robuste Lösung, um die Risiken der Datenexfiltration und Compliance-Verstöße zu mindern. Durch die Implementierung gezielter DLP-Richtlinien, die Identifizierung riskanter KI-Anwendungen und die Aufklärung der Benutzer können Unternehmen die Vorteile künstlicher Intelligenz nutzen, ohne die Sicherheit ihrer wertvollsten Vermögenswerte zu gefährden. Die effektive Konfiguration von Microsoft Purview für den Datenschutz in LLMs von Drittanbietern ist nicht nur eine technische Maßnahme, sondern eine grundlegende Säule einer umfassenden und proaktiven KI-Sicherheitsstrategie.

Referenzen

[1] Microsoft Data Security Index 2026.“ Entdeckendie Zukunft der Datensicherheit, einschließlich neuer Innovationen und Strategien sowie Empfehlungen und Best Practices.“ Verfügbar unter: https://info.microsoft.com/ww-landing-data-security-index-2026.html?lcid=en-us [2] Microsoft-Sicherheitsblog. „Vier Prioritäten für KI-gestützte Identitäts- und Netzwerkzugriffssicherheit im Jahr 2026.“ Verfügbar unter: [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [3] Microsoft 365-Roadmap. „Die Microsoft 365-Roadmap enthält geschätzte Veröffentlichungstermine und Beschreibungen für kommerzielle Funktionen.“ Verfügbar unter: https://www.microsoft.com/microsoft-365/roadmap?featureid=109581 [4] Microsoft-Sicherheit. „Stärken Sie die Identitätssicherheit mit KI.“ Verfügbar unter: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id