Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Microsoft Copilot konnte wochenlang Ihre vertraulichen E-Mails lesen. Das ist passiert – und so beheben Sie das Problem.

Microsoft Copilot konnte wochenlang Ihre vertraulichen E-Mails lesen. Das ist passiert – und so beheben Sie das Problem.

von Patrick Spencer updated Februar 23, 2026 Cybersecurity-Risikomanagement
Lesezeit: 10 Minuten

Wochenlang las, fasste und präsentierte Microsoft 365 Copilot unbemerkt E-Mails, die Unternehmen ausdrücklich als vertraulich gekennzeichnet hatten. Juristische Gutachten. Geschäftsvereinbarungen. Schriftverkehr mit Behörden. Geschützte Gesundheitsinformationen. Alles verarbeitet von einer KI, die diese Daten eigentlich nie berühren sollte.

Wichtige Erkenntnisse

  1. KI-Kontrollen auf Anwendungsebene sind ein Single Point of Failure. Die Sensitivitätslabels und DLP-Richtlinien von Microsoft existierten auf derselben Plattform wie Copilot. Als ein Codefehler auftrat, versagten sämtliche Kontrollen gleichzeitig. Unternehmen hatten keine unabhängige Verteidigungsschicht, um zu verhindern, dass die KI vertrauliche Inhalte verarbeitete – darunter juristische Kommunikation, Geschäftsvereinbarungen und geschützte Gesundheitsinformationen.
  2. Unternehmen hatten keinerlei unabhängige Transparenz darüber, worauf Copilot zugriff. Vom 21. Januar bis Anfang Februar 2026 las und fasste Copilot vertrauliche E-Mails zusammen, ohne dass eine unabhängige Benachrichtigung ausgelöst wurde. Unternehmen erfuhren erst von dem Datenschutzverstoß, als Microsoft ihn – Wochen später – offenlegte. Ohne unabhängige Audit-Trails waren Sicherheitsteams blind für die unautorisierte KI-Verarbeitung in ihrer eigenen Umgebung.
  3. Microsofts Reaktion ging an der eigentlichen Compliance-Frage vorbei. Microsoft erklärte, dass Nutzer nur auf Informationen zugriffen, für die sie bereits berechtigt waren. Doch die Compliance-Frage ist nicht, ob der Nutzer berechtigt war, sondern ob die KI berechtigt war, vertrauliche Inhalte zu erfassen, zu verarbeiten und zusammenzufassen. Im Rahmen von HIPAA, DSGVO und dem EU AI Act ist diese Unterscheidung entscheidend.
  4. Defense in Depth für KI-Governance ist unverzichtbar. Dieser Vorfall bestätigt, was Sicherheitsexperten schon lange fordern: KI-Governance erfordert unabhängige, datenorientierte Kontrollen, die getrennt von der KI-Plattform agieren. Zero-trust-Architektur, Purpose Binding und Least-Privilege-Zugriff für KI sind keine Zukunftsvision – sie sind betriebliche Notwendigkeit. Kiteworks stellt diese unabhängige Governance-Schicht bereit und sorgt dafür, dass bei Versagen von Anbieter-Kontrollen die Datenebene weiterhin geschützt bleibt.
  5. Das regulatorische Risiko ist real und ungelöst. Hat Copilot E-Mails mit PHI, PII oder anderen regulierten Daten verarbeitet, drohen Unternehmen Meldepflichten nach HIPAA, DSGVO Artikel 33 und staatlichen Datenschutzgesetzen. Microsoft hat nicht offengelegt, wie viele Unternehmen betroffen sind, sodass Compliance-Teams das Risiko mit unvollständigen Informationen bewerten müssen.

Der Bug – unter CW1226324 geführt – wurde erstmals am 21. Januar 2026 von Kunden gemeldet. Microsoft begann Anfang Februar mit der Fehlerbehebung, aber Mitte Februar war die Behebung noch nicht für alle betroffenen Mandanten abgeschlossen. Der britische National Health Service meldete das Problem intern. Microsoft hat nicht veröffentlicht, wie viele Unternehmen betroffen waren.

Das sollte jede Sicherheitsverantwortliche aufhorchen lassen: Die Sensitivitätslabels waren gesetzt. Die Data Loss Prevention (DLP)-Richtlinien waren korrekt konfiguriert. Jede Vorgabe wurde eingehalten. Und nichts davon hat geholfen.

Es war kein Konfigurationsfehler. Kein Admin-Fehler. Es war ein Code-Bug in der Plattform – und er hat alle Schutzmechanismen außer Kraft gesetzt, die die KI von vertraulichen Daten fernhalten sollten. Das ist kein Fall für einen schnellen Patch – das ist ein grundlegendes Architekturproblem.

Was tatsächlich passiert ist

Ein Codefehler in der „Work Tab“-Funktion von Copilot Chat erlaubte der KI, E-Mails aus den Ordnern „Gesendete Elemente“ und „Entwürfe“ von Nutzern abzurufen – selbst wenn diese E-Mails mit Vertraulichkeitslabels versehen und DLP-Regeln explizit konfiguriert waren, um KI-Verarbeitung zu blockieren. Die Labels signalisierten „Finger weg“. Copilot ignorierte sie.

Microsoft bestätigte das Problem in einer Service-Mitteilung und erklärte, dass E-Mails mit einem Vertraulichkeitslabel von Microsoft 365 Copilot Chat „fälschlicherweise verarbeitet“ wurden. Das Unternehmen führte die Ursache auf einen Codefehler zurück und begann Anfang Februar mit der serverseitigen Behebung.

Microsofts öffentliche Stellungnahme war vorsichtig formuliert: Nutzer hätten nur auf Informationen zugegriffen, für die sie bereits berechtigt waren. Technisch gesehen ist das korrekt – Copilot agiert im Kontext des eigenen Postfachs des Nutzers. Doch das geht an der eigentlichen Frage vorbei.

Die Frage war nie, ob der Nutzer berechtigt war. Die Frage ist, ob die KI berechtigt war, vertrauliche Inhalte zu erfassen, zu verarbeiten und zusammenzufassen. Die Sensitivitätslabels und DLP-Richtlinien existierten aus genau einem Grund: um das zu verhindern. Als diese Kontrollen versagten, verarbeitete ein KI-System vertrauliche Daten auf eine Weise, die das Unternehmen explizit untersagt hatte. Das ist der relevante Compliance-Verstoß.

Das Architekturproblem, über das niemand sprechen will

Hier geht es nicht um einen einzelnen Bug. Fehler passieren. Code wird mit Fehlern ausgeliefert. Patches werden ausgerollt. Das ist der Lebenszyklus.

Das eigentliche Problem ist strukturell. Jede Sicherheitskontrolle, die unautorisierte KI-Verarbeitung verhindern sollte – Sensitivitätslabels, DLP, Zugriffsbeschränkungen – befand sich auf derselben Plattform wie die KI selbst. Wenn die Plattform ausfiel, fiel alles aus. Keine zweite Schicht. Keine unabhängige Prüfung. Kein Backup.

Stellen Sie sich Folgendes vor: Eine Bank, bei der Tresortür, Alarmanlage und Überwachungskameras alle an demselben Sicherungskasten hängen. Ein Kurzschluss – und Sie haben einen offenen Tresor, keinen Alarm und keine Aufnahmen. Genau das ist hier passiert.

Das ist kein theoretisches Risiko. Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums zeigt: Datenabflüsse durch generative KI sind inzwischen das größte Cybersecurity-Risiko für CEOs weltweit – 30 % der Befragten nennen es als Top-Sorge. Bei Cybersecurity-Experten insgesamt stieg die Sorge von 21 % (2024) auf 34 % (2026). Gleichzeitig hat rund ein Drittel der Unternehmen noch immer keinen Prozess, um KI-Sicherheit vor dem Einsatz zu validieren.

Der Copilot-Vorfall zeigt, wie sich diese Lücke in der Praxis auswirkt.

Warum „Vertrauen ist gut, Kontrolle ist besser“ scheitert, wenn der Anbieter auch der Prüfer ist

Microsoft ist gleichzeitig KI-Anbieter, Anbieter der Sicherheitskontrollen und die Instanz, die prüft, ob diese Kontrollen funktionieren. Als die Kontrollen versagten, hatten Unternehmen keine unabhängige Möglichkeit, das zu erkennen. Sie erfuhren es erst, als Microsoft sie informierte – Wochen nach Beginn des Vorfalls.

Kein unabhängiger Audit-Trail dokumentierte Copilots Zugriff auf vertrauliche Inhalte. Keine Anomalieerkennung schlug bei ungewöhnlichen Verarbeitungsvorgängen Alarm. Keine Echtzeit-Benachrichtigung wurde ausgelöst, als die KI plötzlich begann, E-Mails zusammenzufassen, für die sie nie autorisiert war. Das einzige Signal war eine Service-Mitteilung – im Nachhinein veröffentlicht.

Genau diese Governance-Lücke schließt Kiteworks. Die Argumentation – und der Copilot-Bug macht sie schwer widerlegbar – lautet: KI-Governance-Kontrollen müssen auf einer separaten Ebene von der KI-Plattform agieren. Nicht als Policy-Schalter im selben Ökosystem, sondern als unabhängige Kontrollinstanz.

So sieht das in der Praxis aus:

Unabhängige Data-Governance-Schicht. Kiteworks agiert als eigenständige Kontrollinstanz. KI-Plattformen greifen über Kiteworks-APIs auf Daten zu – mit durchgesetzten Richtlinien, nicht über direkten Zugriff auf E-Mail-Repositorys oder Dateisysteme. Selbst wenn eine KI-Plattform einen Bug hat, kann sie Kontrollen, die sie nicht verwaltet, nicht umgehen.

Purpose Binding und Least-Privilege-Zugriff. KI-Zugriff wird auf bestimmte Datenklassifizierungen und Use Cases beschränkt. Anstatt Copilot Zugriff auf das gesamte Postfach zu geben, erlaubt Purpose Binding Unternehmen, festzulegen, dass KI nur auf allgemeine Geschäftsmails, nicht aber auf als vertraulich, PHI oder CUI gekennzeichnete E-Mails zugreifen darf. Jede Anfrage wird gegen aktuelle Richtlinien geprüft – nicht „einmal authentifizieren, für immer alles sehen“.

Anomalieerkennung und Echtzeit-Monitoring. Kiteworks erkennt, wenn KI-Systeme ungewöhnliche Datenzugriffsmuster zeigen. Beginnt ein KI-System plötzlich, große Mengen vertraulicher Inhalte zu verarbeiten, erhält das Sicherheitsteam automatisierte Benachrichtigungen in Echtzeit – nicht erst Wochen später über eine Service-Mitteilung.

Unveränderbare, unabhängige Audit-Trails. Umfassende Protokolle dokumentieren, auf welche Daten die KI wann, mit welcher Autorisierung und zu welchem Zweck zugegriffen hat. Diese Protokolle liegen in der Kontrolle des Unternehmens – nicht des KI-Anbieters. Wenn eine Aufsichtsbehörde nachfragt, hat das Unternehmen eigene Belege – unabhängig vom Bericht des Anbieters.

Das Compliance-Risiko, das Unternehmen jetzt bewerten müssen

Die regulatorischen Folgen des Copilot-Bugs gehen über die technische Behebung hinaus. Hat Copilot E-Mails mit geschützten Gesundheitsinformationen, personenbezogenen Daten oder anderen regulierten Inhalten verarbeitet, stehen Unternehmen möglicherweise Compliance-Pflichten bevor, die sie noch nicht bedacht haben.

HIPAA. Nach § 164.308(b)(1) müssen betroffene Einrichtungen schriftliche Verträge mit Geschäftspartnern abschließen, die erlaubte Nutzungen und Offenlegungen von PHI regeln. Hat Copilot PHI verarbeitet, die als vertraulich markiert war und nicht durch die bestehende Vereinbarung abgedeckt ist, müssen Unternehmen prüfen, ob dies einen meldepflichtigen Datenschutzverstoß darstellt. Microsofts Hinweis, dass Nutzer zur Einsicht berechtigt waren, beantwortet nicht, ob die KI zur Verarbeitung berechtigt war – genau diese Unterscheidung werden HIPAA-Prüfer hinterfragen.

DSGVO. Artikel 32 verlangt „geeignete technische und organisatorische Maßnahmen“, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Unternehmen, die sich ausschließlich auf Microsofts Sensitivitätslabels als technische Schutzmaßnahme verlassen haben, stehen vor einem schwierigen Argument, wenn diese Schutzmaßnahmen wochenlang versagt haben. Artikel 33 verlangt die Meldung an Aufsichtsbehörden innerhalb von 72 Stunden nach Bekanntwerden eines Datenschutzverstoßes. Enthielten vertrauliche E-Mails EU-Personendaten, könnte diese Frist bereits laufen.

EU AI Act. Artikel 12 verlangt, dass Hochrisiko-KI-Systeme detaillierte Aufzeichnungen über ihre Vorgänge führen. Unternehmen, die Copilot zur Verarbeitung sensibler Daten einsetzen, könnten unter die Hochrisiko-Bestimmungen fallen. Wenn ihre einzigen Betriebsprotokolle aus Microsofts eigenen Logs stammen – also vom Anbieter, bei dem der Fehler lag – fehlt die unabhängige Dokumentation, die die Regulierung vorsieht.

US-Bundesstaatliche Datenschutzgesetze. Mehrere US-Bundesstaaten verlangen Benachrichtigung bei unautorisiertem Zugriff auf personenbezogene Informationen. Hat Copilot vertrauliche E-Mails mit Informationen verarbeitet, die unter solche Meldepflichten fallen, können Unternehmen Verpflichtungen haben, die Microsofts Service-Mitteilung nicht abdeckt.

Kiteworks adressiert diese Compliance-Anforderungen direkt. Unabhängige Audit-Trails liefern die Nachweise, die Unternehmen für Meldepflichten benötigen. Exportierbare Compliance-Berichte belegen KI-Governance-Kontrollen gegenüber Aufsichtsbehörden. Datenverarbeitungsvereinbarungen und Business Associate Agreements werden auf der Datenebene durchgesetzt – nicht nur durch vertragliche Zusagen, die auf das Funktionieren der Anbieter-Kontrollen angewiesen sind.

Was Unternehmen jetzt tun sollten

Bewerten Sie Ihr Risiko. Prüfen Sie, ob Ihr Unternehmen von CW1226324 betroffen war. Überprüfen Sie Microsoft 365 Admin Center-Benachrichtigungen und Copilot-Nutzungsprotokolle vom 21. Januar bis zum Datum der Bestätigung der Fehlerbehebung für Ihren Mandanten. Exportieren Sie Metadaten aller vertraulichen E-Mails in „Gesendete Elemente“ und „Entwürfe“ in diesem Zeitraum. Falls Microsoft keine Zugriffsprotokolle bereitstellen kann, die zeigen, was Copilot verarbeitet hat, dokumentieren Sie diese Lücke formell.

Prüfen Sie Meldepflichten bei Datenschutzverstößen. Enthielten vertrauliche E-Mails PHI, PII oder andere regulierte Daten, konsultieren Sie Rechtsberater zu möglichen Pflichten nach HIPAA § 164.408, DSGVO Artikel 33 oder geltenden US-Bundesstaatengesetzen. Verlassen Sie sich nicht darauf, dass Microsofts Darstellung des Vorfalls Ihre Compliance-Pflichten erledigt.

Implementieren Sie unabhängige KI-Governance. Verlassen Sie sich nicht ausschließlich auf KI-Plattform-Kontrollen, um sensible Daten vor KI-Verarbeitung zu schützen. Setzen Sie eine unabhängige Data-Governance-Schicht ein – wie Kiteworks – die Zugriffsrichtlinien unabhängig von Anbieter-Bugs durchsetzt. Purpose Binding, Least-Privilege-Zugriff und kontinuierliche Verifikation sollten auf der Datenebene, nicht auf der Anwendungsebene, durchgesetzt werden.

Stellen Sie unabhängige Audit-Trails sicher. Sorgen Sie dafür, dass Ihr Unternehmen Protokolle über KI-Datenzugriffe besitzt, die nicht ausschließlich vom KI-Anbieter kontrolliert werden. Kiteworks bietet unveränderbare Audit-Trails, die jede KI-Interaktion mit Unternehmensdaten dokumentieren – und so Sicherheits- und Compliance-Teams unabhängige Nachweise liefern.

Überprüfen Sie Ihre KI-Zugriffsarchitektur. Prüfen Sie, ob Ihre KI-Tools weitreichenden Zugriff auf Daten-Repositorys haben oder ob der Zugriff nach Zweck und Klassifizierung beschränkt ist. Der Copilot-Bug betraf „Gesendete Elemente“ und „Entwürfe“, weil Copilot Zugriff auf den gesamten Postfach-Kontext hatte. Purpose Binding und attributbasierte Zugriffskontrollen hätten die Verarbeitung auf autorisierte Klassifizierungen beschränkt – auch wenn die plattformeigenen Kontrollen versagten.

Fordern Sie Transparenz von Anbietern ein. Fordern Sie von Microsoft einen Bericht nach dem Vorfall an, der Umfang, betroffene Mandanten, Datenaufbewahrung für während des Vorfalls verarbeitete Inhalte und Zeitplan für die vollständige Behebung dokumentiert. Kann der Anbieter diese Transparenz nicht liefern, ist das ein Governance-Signal, das Ihre Architekturentscheidungen künftig beeinflussen sollte.

Die Lektion, die die Branche lernen muss

Der Microsoft Copilot-Bug ist kein Einzelfall. Er zeigt, was passiert, wenn Unternehmen KI-Plattformen die Selbstkontrolle überlassen.

Der Global Cybersecurity Outlook 2026 des WEF warnte: Mit zunehmender Verbreitung von KI-Agenten wird das Management ihrer Berechtigungen, Zugriffe und Interaktionen ebenso kritisch – und vermutlich komplexer – wie das von menschlichen Nutzern. Der Bericht fordert kontinuierliche Verifikation, Audit-Trails und robuste Verantwortlichkeitsstrukturen auf Basis von zero-trust-Prinzipien, die jede KI-Interaktion standardmäßig als nicht vertrauenswürdig behandeln.

Der Copilot-Bug zeigt, warum das notwendig ist. Die Sensitivitätslabels waren ein Vertrauensmechanismus. Man vertraute darauf, dass die Plattform sie respektiert. Das tat sie nicht – nicht aus Böswilligkeit, sondern wegen eines Codefehlers. Und ohne unabhängige Governance-Schicht gab es keinen Mechanismus, der das Versagen auffing.

Kiteworks bietet diese unabhängige Schicht. Die zero-trust-Datenaustausch-Architektur stellt sicher, dass KI-Plattformen sich über Kiteworks authentifizieren müssen, um auf sensible Daten zuzugreifen – mit Richtlinien, die auf der Datenebene durchgesetzt werden, nicht auf der Anwendungsebene. Purpose Binding begrenzt, worauf KI zugreifen darf. Kontinuierliche Verifikation prüft jede Anfrage. Und umfassende Audit-Trails belegen, was wann und mit wessen Autorisierung passiert ist.

Die Unternehmen, die die KI-Ära ohne den nächsten Service-Hinweis überstehen, sind jene, die jetzt unabhängige Governance aufbauen. Keine Komitees. Keine Labels. Keine Anbieter-Versprechen. Operative Infrastruktur, die Richtlinien auf der Datenebene durchsetzt – wo sie nicht durch einen Code-Bug in der Plattform umgangen werden kann, die sie eigentlich steuern soll.

Die Labels waren gesetzt. Die Richtlinien waren konfiguriert. Die KI hat Ihre vertraulichen E-Mails trotzdem gelesen. Wenn das Ihre Sicht auf KI-Governance nicht verändert, was dann?

Häufig gestellte Fragen

Im Januar 2026 ermöglichte ein Codefehler (CW1226324) in Microsoft 365 Copilot Chat der KI, E-Mails aus den Ordnern „Gesendete Elemente“ und „Entwürfe“ von Nutzern zu lesen und zusammenzufassen, obwohl diese mit Vertraulichkeitslabels versehen waren. Dies geschah, obwohl DLP-Richtlinien konfiguriert waren, um die KI-Verarbeitung dieser E-Mails zu blockieren. Der Bug wurde erstmals am 21. Januar 2026 gemeldet, Microsoft begann Anfang Februar mit der Fehlerbehebung, die Mitte Februar jedoch noch nicht für alle Mandanten abgeschlossen war. Betroffen waren unter anderem Geschäftsvereinbarungen, juristische Kommunikation, Anfragen von Behörden und geschützte Gesundheitsinformationen.

Ein Codefehler in der „Work Tab“-Funktion von Copilot Chat führte dazu, dass die KI E-Mails in „Gesendete Elemente“ und „Entwürfe“ verarbeitete – unabhängig davon, ob Vertraulichkeitslabels gesetzt waren. Die Sensitivitätslabels und DLP-Richtlinien waren korrekt konfiguriert – die Kontrollen funktionierten jedoch nicht wie vorgesehen, da der Bug innerhalb derselben Plattform lag, die diese Kontrollen eigentlich durchsetzen sollte. Das ist die zentrale architektonische Schwachstelle: Wenn KI-Governance-Kontrollen und die KI selbst auf derselben Plattform laufen, kann ein einzelner Fehler alle Schutzmechanismen gleichzeitig aushebeln.

Microsoft erklärte, dass Nutzer nur auf Informationen zugriffen, für die sie bereits berechtigt waren, da Copilot im Kontext des Nutzerpostfachs agiert. Die Compliance-Frage unterscheidet sich jedoch von der Frage nach Zugriffsberechtigungen. Die KI war nicht berechtigt, vertrauliche Inhalte zu verarbeiten – genau deshalb existieren Sensitivitätslabels und DLP-Richtlinien. Ob der Nutzer die E-Mail manuell hätte lesen können, beantwortet nicht, ob die automatisierte Verarbeitung und Zusammenfassung durch die KI einen Compliance-Verstoß nach HIPAA, DSGVO oder anderen regulatorischen Vorgaben darstellt.

Hat Copilot E-Mails mit geschützten Gesundheitsinformationen (PHI) verarbeitet, die als vertraulich markiert waren, müssen Gesundheitseinrichtungen prüfen, ob dies einen meldepflichtigen Datenschutzverstoß nach HIPAA darstellt. Entscheidend ist, ob die KI-Verarbeitung von PHI durch das Business Associate Agreement mit Microsoft abgedeckt war. Unternehmen sollten Copilot-Nutzungsprotokolle aus dem betroffenen Zeitraum prüfen, vertrauliche E-Mails mit PHI identifizieren und Rechtsberater zu Meldepflichten nach HIPAA § 164.408 konsultieren.

KI-Governance auf Datenebene bedeutet, Zugriffssteuerung, Purpose Binding und Audit-Logging direkt auf der Dateninfrastruktur durchzusetzen – unabhängig von der KI-Plattform. Anstatt sich auf plattformeigene Kontrollen (wie Microsofts Sensitivitätslabels) zu verlassen, muss sich die KI vor jedem Datenzugriff über eine separate Kontrollinstanz authentifizieren. Ein Bug in der KI-Plattform kann so die Governance-Kontrollen nicht umgehen, weil diese außerhalb der Plattform existieren. Kiteworks bietet diese unabhängige Governance-Schicht durch zero-trust-Datenaustausch, Purpose Binding, Least-Privilege-Zugriff und umfassende Audit-Trails.

Kiteworks agiert als unabhängige Data-Governance-Schicht zwischen KI-Plattformen und sensiblen Unternehmensdaten. KI-Systeme müssen sich über Kiteworks-APIs authentifizieren und durchgesetzte Richtlinien einhalten, bevor sie auf Inhalte zugreifen dürfen. Purpose Binding beschränkt den KI-Zugriff auf bestimmte Datenklassifizierungen – und verhindert so den Zugriff auf vertrauliche Inhalte, unabhängig davon, ob die plattformeigenen Kontrollen funktionieren. Kontinuierliche Verifikation prüft jede Datenanfrage gegen aktuelle Richtlinien. Anomalieerkennung identifiziert ungewöhnliche Zugriffsmuster in Echtzeit. Und unveränderbare Audit-Trails dokumentieren jede KI-Interaktion und liefern unabhängige Nachweise, die nicht von den Logs des KI-Anbieters abhängen.

Betroffene Unternehmen sollten sofort mehrere Schritte einleiten. Erstens: Überprüfen Sie das Microsoft 365 Admin Center auf Hinweise zu CW1226324 und analysieren Sie Copilot-Nutzungsprotokolle vom 21. Januar bis zum Datum der Fehlerbehebung. Zweitens: Identifizieren Sie vertrauliche E-Mails in „Gesendete Elemente“ und „Entwürfe“, die im betroffenen Zeitraum verarbeitet wurden, und sichern Sie Metadaten für die rechtliche Prüfung. Drittens: Fordern Sie von Microsoft Zugriffsprotokolle an, die Copilots Verarbeitung während des Vorfalls dokumentieren. Viertens: Prüfen Sie, ob betroffene E-Mails PHI, PII oder andere regulierte Daten enthielten, die Meldepflichten auslösen könnten. Schließlich: Bewerten Sie die Einführung unabhängiger Data-Governance auf Datenebene, um ähnliche Vorfälle künftig unabhängig von Anbieter-Bugs zu verhindern.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks