Copilot und Governance: Was braucht es wirklich?

In der vierten Folge unserer Mini-Serie zu Microsoft Copilot widmen wir uns einem entscheidenden Aspekt, der bei der Einführung neuer Technologien oft zu kurz kommt: der Governance. Antje und Thomy diskutieren, welche Governance-Aspekte bei der Implementierung von Copilot tatsächlich relevant sind und wie Unternehmen damit umgehen können.

Was wurde besprochen?

• Definition von Governance:
  • Ursprung des Begriffs aus der Schifffahrt: Steuern und lenken
  • Unterschied zwischen „to govern“ (strategische Ebene) und „to manage“ (operative Umsetzung)
  • Für Endanwender bedeutet gute Governance: Tools nutzen können, ohne sich Sorgen machen zu müssen
• Oversharing als oft diskutiertes Problem:
  • Copilot verändert keine Berechtigungen, sondern setzt auf bestehende auf
  • Die Technik basiert auf Suchfunktionen: Prompts lösen Suchanfragen aus, deren Ergebnisse ins Large Language Model fließen
  • Was Copilot findet, wäre auch über die normale Suche auffindbar – es wird nur anders präsentiert
• Tiefer liegende Governance-Herausforderungen:
  • Jailbreaking, Prompt Injection und Data Exfiltration durch externe Plugins und Agents stellen größere Risiken dar
  • Mit zunehmender Anzahl an Copilot-Plugins und -Agenten steigt die Komplexität des Governance-Bedarfs
• Lösungsansätze für Governance-Herausforderungen:
  • Technische Lösungen: SharePoint Advanced Management, Datenklassifizierung, Sensitivity Labels
  • Ausschließen bestimmter Site Collections von der Copilot-Integration (derzeit bis zu 200 möglich)
  • Organisatorische Maßnahmen: Zusätzliche NDAs für frühe Nutzer, stufenweise Einführung

Schlüsselelemente aus dem Podcast

1. Die Taschenlampen-Analogie: Copilot ist wie eine Taschenlampe, die unter das Sofa leuchtet und zeigt, was schon immer da war – er schafft keine neuen Probleme, macht aber bestehende sichtbar.
2. Governance als Spielfeldabsteckung: Governance definiert den Rahmen, in dem sich Nutzer frei bewegen können – wie ein Fußballfeld mit klaren Grenzen, aber Freiheit innerhalb dieser Grenzen.
3. Pragmatischer Umgang mit Risiken: Bei großen Organisationen ist eine 100%-Lösung oft nicht realistisch – Risikomanagement und bewusste Entscheidungen sind wichtiger als das Warten auf Perfektion.
4. Organisatorische Verantwortlichkeiten: Die Frage „Wem gehört Copilot im Unternehmen?“ ist entscheidend für effektive Governance. Die horizontale Integration der Technologie erschwert klare Zuordnungen in klassischen Organisationsstrukturen.
5. Bestehende Probleme werden sichtbarer: Was vorher schon nicht richtig aufgesetzt war, wird durch Copilot transparenter. Die Technologie gibt einen neuen Anlass, grundlegende Governance-Fragen zu adressieren.

Die Diskussion zeigt deutlich: Copilot selbst verändert keine Berechtigungen oder Sicherheitseinstellungen, sondern macht bestehende Schwachstellen in der Informationsarchitektur sichtbarer. Statt Copilot als Risiko zu betrachten, können Unternehmen die Einführung als Chance nutzen, ihre Governance-Strukturen zu überdenken und zu verbessern.

In der nächsten Folge unserer Mini-Serie werden wir weitere praktische Aspekte der Copilot-Implementierung beleuchten. Bleiben Sie gespannt auf weitere Einblicke und Erfahrungen aus unseren Projekten.