AI Agents in M365 | Compliance ohne Mensch

Berechtigungen in Microsoft 365 wurden über zwei Jahrzehnte mit einer einzigen, nie ausgesprochenen Annahme gebaut: Auf Daten greifen Menschen zu. Genau diese Annahme zerfällt gerade. Mit Copilot, SharePoint Agents und den ersten produktiv eingesetzten Agentic-Szenarien sitzt eine neue Klasse von Akteuren in deinem Tenant, die in keiner klassischen Governance-Matrix vorkommt: Non-Human Identities, die im Kontext echter Benutzer agieren, aber nicht wie Benutzer arbeiten.

Aus Compliance-Sicht passen AI Agents in keine vorhandene Schublade. Sie sind weder Personen noch klassische Service Accounts. Sie greifen auf Daten zu, verarbeiten sie und erzeugen daraus neue Inhalte, und sie tun das in einem Umfang, der mit menschlichem Zugriffsverhalten nichts mehr zu tun hat. Ein Mitarbeiter öffnet drei, vier, vielleicht zehn Dokumente am Tag gezielt. Ein Agent zieht in derselben Zeit hunderte Files quer durch SharePoint, OneDrive und Exchange, korreliert Inhalte aus mehreren Sites und generiert daraus eine Zusammenfassung, in der am Ende niemand mehr sagen kann, aus welcher Quelle welcher Satz stammt.

Klassisches Compliance- und Audit-Tooling ist auf Fragen ausgelegt, die im menschlichen Kontext sinnvoll waren. Wer hat auf die Datei zugegriffen? Wer hat geteilt? Wer hat heruntergeladen? Diese Fragen beantworten Unified Audit Log und SharePoint-Logs zuverlässig.

Sobald aber ein Agent dazwischensitzt, werden diese Fragen wertlos. Relevant ist plötzlich: Welche Dokumente sind in den Kontext eines Copilot-Prompts geflossen? Welche Inhalte hat der Agent zur Generierung einer Antwort tatsächlich gelesen? In welchem Userkontext lief die Anfrage, und was wurde aus den verarbeiteten Daten erzeugt? Genau hier wird es dünn. Die Verarbeitung passiert indirekt, das Ergebnis ist ein Mischprodukt aus mehreren Quellen, und die Verantwortlichkeit lässt sich nicht mehr sauber einer Aktion einer Person zuordnen.

Microsoft hat diese Lücke erkannt und baut Microsoft Purview Schritt für Schritt um. DSPM for AI bringt erstmals einen Datensicherheits-Posture-Blick speziell auf KI-Verarbeitung in den Tenant. Copilot-Aktivitäten landen mittlerweile im Audit-Log, inklusive der Information, welche Dateien in den Prompt-Kontext geflossen sind. Insider Risk Management bezieht AI-bezogene Signale ein, und Communication Compliance bekommt schrittweise Erkennungsmuster für riskante Prompts. Das ist die richtige Richtung, aber es ersetzt nicht das, was du als Admin im Hintergrund neu denken musst.

Die zweite stille Annahme, auf der die meisten Tenants laufen, lautet: Wenn die SharePoint- und Teams-Berechtigungen sauber sind, ist auch die Datennutzung sauber. Für Menschen stimmt das näherungsweise, weil ein Benutzer mit Lesezugriff auf eine zu großzügig geteilte Bibliothek diese in der Praxis trotzdem selten komplett durchforstet. Für einen Agent stimmt das nicht. Er nutzt jede Berechtigung, die da ist, und zwar vollständig.

Das verändert die Risikobewertung von Oversharing fundamental. Eine Site, die historisch mit „Jeder im Unternehmen kann lesen" konfiguriert wurde, war früher ein theoretisches Risiko. Heute ist sie ein Kontext-Pool, aus dem Copilot bei jedem passenden Prompt Inhalte zieht und in Antworten an andere Benutzer einfließen lässt. Eine Personalbewertung in einem alten Teams-Channel, ein vergessenes Vertragsdraft im OneDrive eines ehemaligen Mitarbeiters, eine Excel mit Gehaltsspannen aus 2019: Solange die Berechtigungen bestehen, sind das verfügbare Trainings-Bausteine für jede Antwort, die im Kontext eines berechtigten Users generiert wird.

Berechtigungen wirken damit nicht mehr nur als Tür, sondern als Multiplikator. Was einem Benutzer technisch offensteht, wird durch den Agent skaliert genutzt, und das Ergebnis erscheint in einem Format, das vom ursprünglichen Dokument kaum noch zurückverfolgbar ist.

Die meisten Governance-Modelle in M365 sind container-orientiert: Site Permissions, Channel Membership, Mailbox-ACLs. Für KI ist das zu grob. Wenn der Agent quer durch alle berechtigten Container liest, ist die einzig wirksame Schutzschicht die am Datum selbst. Sensitivity Labels, Auto-Klassifizierung über Trainable Classifiers, DLP-Policies, die explizit auch Copilot-Interaktionen erfassen, werden vom Nice-to-have zur Pflichtebene.

Ein konkretes Bild dazu: Ein Vertragsdokument liegt in einer Site mit korrekt konfigurierten Berechtigungen. Container-Sicht ist sauber, Audit ist sauber. Wird das Label „Confidential" am Dokument selbst gesetzt, kann eine entsprechende DLP-Regel verhindern, dass Copilot den Inhalt in Antworten an User außerhalb der berechtigten Empfängergruppe einbaut. Ohne Label greift nur die Container-Berechtigung, und die wurde nie für Agentic-Zugriff designt.

Die ersten drei Hebel sind keine Forschungsthemen, sondern Hausaufgaben.

Was bisher in vielen Organisationen organisatorisch funktioniert hat, weil Berechtigungen ein IT-Thema waren und Compliance ein Prozess-Thema, kollabiert mit AI Agents. Die Frage „wer darf eine Information sehen" ist plötzlich keine reine technische Berechtigungsfrage mehr, sondern eine kombinierte aus IT-Konfiguration (Permissions, Labels, DLP), Datenschutz (Verarbeitungszweck, Rechtsgrundlage für KI-Nutzung) und Compliance (Audit-Pflichten, Aufbewahrung, Nachvollziehbarkeit). Wer diese drei Stränge in getrennten Silos verwaltet, wird die Lücken erst im Audit oder im Schadensfall sehen.

AI Agents sind kein Add-on zu deinem bestehenden Berechtigungsmodell, sie sind ein neuer Layer, der das Modell unter Last setzt. Die Tools, die du dafür brauchst, baut Microsoft gerade in Purview ein, und sie funktionieren nur, wenn du sie aktivierst und in einen Auswerteprozess überführst. Die Konfigurationsarbeit ist dabei der einfachere Teil. Der schwierigere ist die mentale Umstellung: weg von der Frage, wer auf eine Datei zugreifen darf, hin zu der Frage, was mit den Daten passiert, wenn ein nicht-menschlicher Akteur sie im Kontext eines berechtigten Users verarbeitet. Solange du nur Container schützt, schützt du nur die Hälfte. Was du an Sensitivity Labels, DLP-Policies und DSPM-Auswertung jetzt nicht aufbaust, holst du im ersten Compliance-Vorfall mit Copilot-Bezug nicht mehr nach. Die Agents sind im Tenant, mit oder ohne Governance. Welche der beiden Varianten dein Modell wird, entscheidet sich in den nächsten Quartalen.