Der virtuelle Co-Pilot fliegt mit …

Da ist er nun also. Der Co-Pilot mit künstlicher Intelligenz, der uns auch in der Microsoft M365 Welt umsorgt.

Es war wohl nur eine Frage der Zeit, bis die KI auch in die Apps wie beispielsweise Word, Teams, Outlook, Power Point oder Excel integriert wird.
    • mit Copilot in Word bekommt der kreative Schaffungsprozess eine Starthilfe
    • Copilot in PowerPoint hilft, ansprechende Präsentationen mit einem einfachen Befehl zu erstellen
    • mit Copilot in Excel können sie Trends analysieren und Daten innerhalb von Sekunden professionell visualisieren lassen
    • Copilot in Outlook hilft dabei, den Posteingang in Minuten aufzuräumen
    • jedes Meeting ist mit Copilot in Teams produktiv
    • mit Copilot in Power Plattform kann jeder wiederkehrende Aufgaben automatisieren
Das ist doch einmal eine Ansage.
 
Tatsächlich habe ich im Moment sehr große Bauchschmerzen damit und warum – dass will ich kurz erklären.
 
Jede KI braucht zunächst einmal einen „Input“ auf den sie reagieren kann.
Das ist vielleicht ein Text, eine Tabelle oder auch ein Bild.
 
Diese „Informationen“ müssen im nächsten Schritt an das System weitergegeben werden, welches diese dann weiter verarbeitet.
Microsoft 365 Copilot hat Echtzeitzugriff, sowohl auf Inhalte als auch den Unternehmenskontext in Microsoft Graph. Das bedeutet, dass Antworten basierend auf den Unternehmensinhalten generiert werden – aus Dokumenten, E-Mails, Kalendern, Chats, Meetings, Kontakten und weiteren Daten – und kombiniert diese unter Einbezug des Arbeitskontexts.
Verstehe ich das richtig – Microsoft hat mit diesem Tool einen Echtzeitzugriff auf die Unternehmensinhalte?
Da erinnere ich mich an eine banale Anfrage eines meiner Kunden:
Wir prüfen jede Datei die wir per Mail bekommen indem wir diese erst einmal mit Virustotal checken. Ist doch klar – wir können den Dateien ja nicht einfach so ungeprüft vertrauen.
Mir hat das die Schuhe ausgezogen. Da werden also systematisch Dateien mit vielleicht kritischen, sensiblen oder vielleicht sogar personenbezogenen Daten an einen externen Dienstleiter zur Prüfung übergeben?
 
Um sicher zu gehen habe ich die Bing KI danach gefragt und ich bekomme diese Antwort:
„Werden Dateien die ich in Virustotal prüfe auch zu diesem Anbieter hochgeladen?“
Ja, wenn Sie eine Datei auf Virustotal prüfen, wird diese Datei auf den Server von Virustotal hochgeladen. Die Datei wird dann von bis zu 70 verschiedenen Antivirenprogrammen und Malwarescannern überprüft. Es ist wichtig zu beachten, dass der Upload von verdächtigen Dateien problematisch sein kann, da Sie die Vertraulichkeit der hochgeladenen Dateien aufgeben und diese de facto öffentlich verfügbar machen. Es ist ratsam, sich über die möglichen Folgen des Uploads von Dateien auf Online-Dienste wie Virustotal im Klaren zu sein, bevor Sie diese Aktion durchführen.
Na, so blöd ist die KI offensichtlich nicht, oder?
 
Als CISO frage ich mich, wie die Microsoft KI mit diesen vielen Informationen im „Unternehmenskontext“ umgeht?
 
Wie ist eigentlich die Rechtslage wenn ich Informationen erhalte, die „geschützt“ sind und diese dann in einem der obigen Programme (im KI-Kontext) verarbeite?
Darf ich das oder müsste ich mir dazu eine Freigabe der Person oder Institution einholen, die den Schutzbedarf festgelegt hat?
 
Viel moderne Funktionen der Microsoft Cloud liegen auch nicht in den euzropäischen Rechenzentren.
 
Nur weil ich für Postfächer o.ä  speziell eine EU-Cloud gebucht habe.
 
Dazu ein paar Statements zum Nachdenken:
    • Die Transkription von Besprechungen wird auf Basis der Cognitive Services von Microsoft durchgeführt. Transkriptionen können auch außerhalb der Europäischen Union stattfinden und sind nicht mit der DSGVO vereinbar.
    • Der plastische Reader in Microsoft Teams nutzt u.a. Funktionen, basierend auf Cognitive Services. Sie können sich darüber unter anderem Texte vorlesen- oder übersetzen lassen und kann hilfreich für die Inklusion von Mitarbeitern sein. Diese Funktion kann auch außerhalb der Europäischen Union stattfinden und ist nicht mit der DSGVO vereinbar.   
    • Microsoft Teams nutzt Machine Learning um „Smart Reply“ Nachrichten mit Hilfe von Cognitive Services zu verbessern. Diese Funktion kann auch außerhalb der Europäischen Union stattfinden und sind nicht mit der DSGVO vereinbar.   
    • Giphy ist ein Dienst aus den USA, dessen Verwendung Risiken im Hinblick auf den Datenschutz birgt. Es wird empfohlen, die Nutzung für Benutzer einzuschränken.
Ich habe jetzt nur den Datenschutz und nicht den Informationsschutz betrachtet.
 
Insgesamt finde ich es unverantwortlich wenn Microsoft automatisierte (KI) Funktionen in seine Produkte einbaut, die mehr oder minder uneingeschränkt Zugang zu den Kundeninformationen haben.
Eine solche Funktion darf nur mit expliziter Zustimmung der Nutzer aktiv werden.
 
Darüber hinaus muss es Möglichkeiten geben, die „Datenbasis“ für die KI einzuschränken.
 
Die Nutzer müssen unbedingt sensibilisiert werden. Auch mit Blick auf simple Funktionen wie das Übersetzen von Texten oder die Verbesserung von Texten.
 
Ich bin definitiv kein Feind moderner Technologien. Aber wir müssen als Nutzer jederzeit darüber die Kontrolle behalten.
Sonst haben die „Dienstleister“ sehr schnell einen Zugriff auf höchst sensible Daten in den Unternehmen.
 
Wenn du in der Rolle eines Entscheiders sein solltest (wie schon früher erwähnt möchte ich explizit alle „Geschlechter“ mit diesem Begriff einbeziehen!), dann kümmere dich darum, bevor still und heimlich die KI bei dir einzieht.
 
Noch ist es erst 5 vor 12 …