Claude, Copilot, Cowork: KI-Assistenten sicher im Unternehmen einsetzen

Die Frage ist nicht mehr, ob euer Team KI-Assistenten nutzt, sondern wie. Claude für Textarbeit und Code, Copilot für Microsoft 365, spezialisierte Agenten für Datenanalyse und Automatisierung. Wer den Einsatz nicht aktiv steuert, verliert die Kontrolle über Datenflüsse und Zugriffsrechte.

KI-Assistenten haben sich in den letzten Monaten von einem Experiment zur Infrastruktur entwickelt. In vielen Unternehmen arbeiten Mitarbeiter täglich mit Tools wie Claude, Microsoft Copilot oder branchenspezifischen Agenten. Die Produktivitätsgewinne sind real. Aber ebenso real sind die Risiken, wenn der Einsatz ohne klare Regeln und technische Leitplanken geschieht.

Dieser Artikel beschreibt einen praxiserprobten 3-Punkte-Plan, mit dem Unternehmen KI-Assistenten sicher und datenschutzkonform einsetzen können, ohne dabei die Produktivität zu bremsen.

Hinweis: Die hier beschriebenen Maßnahmen richten sich an Unternehmen jeder Größe, die bereits KI-Tools einsetzen oder den Einsatz planen. Der Fokus liegt auf praktisch umsetzbaren Schritten, nicht auf theoretischen Frameworks.

1. Datenklassifizierung vor KI-Nutzung

Der wichtigste Schritt kommt vor dem ersten Prompt: Unternehmen müssen wissen, welche Daten in welche Systeme fließen dürfen. Das klingt offensichtlich, wird aber in der Praxis erstaunlich selten umgesetzt. Ein Entwickler, der Quellcode in ein externes KI-Tool kopiert, handelt aus seiner Sicht effizient. Aus Sicht der Informationssicherheit kann genau das zum Problem werden.

Die Lösung ist eine einfache, praxistaugliche Klassifizierung. Nicht jedes Unternehmen braucht vier Vertraulichkeitsstufen mit zwanzigseitiger Richtlinie. Oft reichen drei Kategorien:

Öffentlich: Marketingtexte, allgemeine Produktinformationen, öffentlich zugängliche Daten. Diese dürfen in jedes KI-Tool eingegeben werden.
Intern: Interne Kommunikation, Projektpläne, allgemeine Geschäftsdokumente. Diese dürfen nur in zugelassene KI-Tools mit vertraglicher Absicherung (Auftragsverarbeitungsvertrag, keine Trainingsdatennutzung) eingegeben werden.
Vertraulich: Kundendaten, Finanzzahlen, Verträge, Zugangsdaten, personenbezogene Informationen. Diese dürfen nur in selbst kontrollierte Systeme oder gar nicht in KI-Tools eingegeben werden.

Entscheidend ist der Unterschied zwischen den verschiedenen KI-Architekturen. Cloud-basierte Dienste wie die Weboberfläche von ChatGPT verarbeiten Daten auf fremden Servern, oft ohne vertragliche Zusicherung, dass diese nicht für Modelltraining verwendet werden. Integrierte Lösungen wie Microsoft Copilot mit Tenant Boundary verarbeiten Daten innerhalb der eigenen Microsoft-365-Umgebung und unterliegen den bestehenden Compliance-Einstellungen. Lokale Tools wie Claude Code arbeiten direkt auf dem Rechner des Entwicklers, die Daten verlassen den Arbeitsplatz nur für die API-Kommunikation, die vertraglich abgesichert ist.

Diese Unterscheidung muss in die Richtlinie einfliessen. Ein pauschales „KI ist verboten" funktioniert nicht, weil Mitarbeiter dann auf unkontrollierte Alternativen ausweichen. Ein differenziertes „Tool X ist für Datenklasse Y zugelassen" schafft Klarheit und Akzeptanz.

2. Zugriffskontrolle und Identity Governance

KI-Assistenten brauchen Zugriff auf Daten, um nützlich zu sein. Copilot durchsucht SharePoint-Dokumente, Claude Code liest Dateien im Projektverzeichnis, spezialisierte Agenten greifen auf Datenbanken oder APIs zu. Die Frage ist: Wie viel Zugriff braucht ein Assistent wirklich, und wer kontrolliert das?

Das Prinzip der geringsten Berechtigung (Least Privilege) gilt für KI-Agenten genauso wie für menschliche Nutzer. Ein Copilot-Agent, der Besprechungsnotizen zusammenfasst, braucht keinen Zugriff auf die Personaldatenbank. Ein Chatbot für den Kundensupport braucht keinen Einblick in interne Finanzberichte. Diese Einschränkungen müssen technisch umgesetzt werden, nicht nur organisatorisch.

In Microsoft-365-Umgebungen bedeutet das konkret: Conditional Access Policies sollten auch für KI-Dienste gelten. Wer darf Copilot nutzen, von welchen Geräten aus, und mit Zugriff auf welche Daten? Microsoft hat mit Entra Agent-Identitäten eine eigene Identitätsebene für KI-Agenten eingeführt. Damit lässt sich nachvollziehen, welcher Agent was tut, und die Berechtigungen gezielt einschränken.

Wer einem KI-Agenten Vollzugriff auf den gesamten Tenant gibt, hat im Grunde einen Mitarbeiter eingestellt, der alles lesen kann, nie vergisst und keine Vertaulichkeitsvereinbarung unterschrieben hat.

Ein weiterer Aspekt ist die Überwachung von Schatten-KI. Mitarbeiter, die ohne Freigabe externe KI-Tools nutzen, erzeugen unkontrollierte Datenabflüsse. Das lässt sich über mehrere Wege erkennen: DLP-Richtlinien (Data Loss Prevention), die den Upload sensibler Daten an bekannte KI-Endpunkte erkennen, Cloud App Security Policies, die den Zugriff auf nicht freigegebene KI-Dienste protokollieren, und regelmäßige Audits der genutzten Cloud-Anwendungen über Defender for Cloud Apps.

Dateizugriff bei lokalen Agenten

Lokale KI-Assistenten wie Claude Code oder Cowork arbeiten auf dem Arbeitsplatz des Nutzers und benötigen Zugriff auf Dateien und Ordner. Bei modernen Implementierungen muss der Nutzer jeden Ordnerzugriff explizit freigeben. Das ist ein gutes Sicherheitsmodell, setzt aber voraus, dass Mitarbeiter verstehen, welche Ordner sie freigeben und warum. Eine kurze Schulung, die erklärt, warum man nicht pauschal das gesamte Laufwerk C: freigeben sollte, ist hier sinnvoll.

3. Compliance-Framework für KI aufbauen

Die regulatorischen Anforderungen an den Umgang mit KI sind klar, auch wenn viele Unternehmen sie noch nicht in ihre bestehenden Prozesse integriert haben. DSGVO und NIS2 stellen jeweils eigene Anforderungen, die direkt auf den KI-Einsatz anwendbar sind.

DSGVO: Auftragsverarbeitung und Betroffenenrechte

Wenn personenbezogene Daten in ein KI-System eingegeben werden, liegt in der Regel eine Datenverarbeitung vor, die einer Rechtsgrundlage bedarf. Bei externen KI-Diensten ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Dieser muss unter anderem regeln, dass der Anbieter die Daten nicht für eigene Zwecke (etwa Modelltraining) verwendet, die Daten in einer zulässigen Jurisdiktion verarbeitet werden und technische und organisatorische Maßnahmen zum Schutz der Daten bestehen.

Nicht alle KI-Anbieter bieten einen solchen Vertrag an. Wer ohne AVV personenbezogene Daten in ein externes Tool eingibt, handelt potenziell rechtswidrig. Die Verantwortung liegt beim Unternehmen, nicht beim einzelnen Mitarbeiter.

NIS2: Risikobewertung und Nachweispflicht

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen nachweisen, dass sie angemessene Maßnahmen zum Schutz ihrer Informationssysteme ergriffen haben. Der Einsatz von KI-Tools ist dabei keine Ausnahme. Eine formale Risikobewertung für jeden eingesetzten KI-Dienst ist empfehlenswert. Diese sollte dokumentieren, welche Daten verarbeitet werden, welche Risiken bestehen (Datenleck, Manipulation, Verfügbarkeit) und welche Maßnahmen ergriffen wurden, um diese Risiken zu reduzieren.

In einem Audit wird nicht gefragt, ob ihr KI nutzt. Es wird gefragt, ob ihr wisst, dass ihr KI nutzt, und ob ihr die Risiken bewertet und adressiert habt.

Praktische Umsetzung: Die KI-Nutzungsrichtlinie

All das mündet in einem zentralen Dokument: der KI-Nutzungsrichtlinie. Diese muss nicht hundert Seiten lang sein. Eine gute Richtlinie passt auf drei bis fünf Seiten und beantwortet die folgenden Fragen:

Welche Tools sind zugelassen? Eine explizite Liste der freigegebenen KI-Dienste mit jeweiliger Datenklassifizierung.
Welche Daten dürfen eingegeben werden? Klare Zuordnung von Datenklassen zu erlaubten Tools.
Wer ist verantwortlich? Benennung eines KI-Beauftragten oder Integration in die Rolle des Informationssicherheitsbeauftragten.
Wie wird überwacht? Beschreibung der technischen und organisatorischen Kontrollen.
Was passiert bei Verstößen? Klare Eskalationswege, nicht um zu bestrafen, sondern um schnell reagieren zu können, wenn sensible Daten in ein ungeeignetes System gelangt sind.

Wichtig: Die Richtlinie muss leben. KI-Tools entwicklen sich schnell, neue Dienste kommen hinzu, bestehende ändern ihre Nutzungsbedingungen. Ein quartalsweiser Review der zugelassenen Tools und ihrer Rahmenbedingungen ist das Minimum.

Fazit: Kontrolle ermöglicht Vertrauen

KI-Assistenten sind kein Risiko, das man vermeiden muss. Sie sind ein Werkzeug, das man richtig einsetzen muss. Unternehmen, die Datenklassifizierung, Zugriffskontrolle und ein Compliance-Framework etablieren, schaffen die Grundlage dafür, dass Teams KI produktiv nutzen können, ohne dass die Informationssicherheit darunter leidet.

Der Aufwand dafür ist überschaubar. Eine Datenklassifizierung lässt sich in wenigen Tagen erstellen. Conditional Access Policies sind in bestehenden Microsoft-365-Umgebungen oft in Stunden konfiguriert. Und eine KI-Nutzungsrichtline braucht keinen externen Berater, wenn man weiß, welche Fragen sie beantworten soll.

Wenn ihr Unterstützung braucht bei der Erstellung eurer KI-Nutzungsrichtlinie, bei der technischen Umsetzung von Zugriffkontrollen oder bei der Risikobewertung eurer KI-Landschaft, sprecht uns gerne an.