This is the Trace Id: d929f7f060127d9bfb47566d5e42c4d6

Seien Sie am 24. März dabei: RSAC Executive Panel „KI-Agenten sind da! Sind Sie bereit?“

Jetzt registrieren

Microsoft-Leitfaden zur Absicherung des KI-gestützten Unternehmens: Data Governance und Sicherheit

Leitfaden herunterladen
Teilen
Ein Mann im Anzug steht vor einem blauen Hintergrund.

Übersicht

Während Organisationen KI im großen Stil einführen, wachsen Data Governance und Datensicherheit immer stärker zusammen und bilden die tragenden Säulen der Unternehmensresilienz. Für Frontier-Unternehmen – Vorreiter der KI-getriebenen Transformation – erfordert die Fähigkeit, KI-Systeme bereitzustellen, die umfangreiche Datenbestände interpretieren können, eine bisher beispiellose Zusammenarbeit zwischen Chief Information Officers (CIOs), Chief Information Security Officers (CISOs) und ihren Datenverantwortlichen. Ohne gemeinsame Verantwortung und einheitliche Ausführung steigen Risiken wie Datenlecks, übermäßige Datenfreigabe und Fehlanwendungen von KI exponentiell an.

Dieser Leitfaden baut auf den vorherigen Themen der Serie Absicherung des KI-gestützten Unternehmens auf, um Ihnen eine sichere KI-Einführung zu ermöglichen und den Wert Ihrer Investition zu maximieren.

Die Governance-Lücke

In manchen Unternehmen wird KI schneller eingeführt, als traditionelle Governance-Strukturen Schritt halten können. Laut dem Microsoft Data Security Index geben branchenübergreifend nur 47 % der Organisationen an, spezifische GenAI-Sicherheitskontrollen einzuführen,1 was eine Gelegenheit für Organisationen aufzeigt, die notwendige Transparenz für eine sichere KI-Einführung zu schaffen. Noch wichtiger: Laut einer von Microsoft in Auftrag gegebenen multinationalen Umfrage unter mehr als 1 700 Datensicherheitsexperten der Hypothesis Group nutzen bereits 29 % der Mitarbeitenden nicht genehmigte KI-Agenten für ihre Arbeit.2 Dies stellt Organisationen vor neue Herausforderungen bei der Datenverarbeitung, Sicherheitsüberwachung und Compliance – insbesondere wenn generative KI-Werkzeuge mit sensiblen oder unstrukturierten Daten arbeiten.

Gleichzeitig reagieren Führungskräfte: Immer mehr Organisationen implementieren spezialisierte Kontrollen für generative KI und erhöhen ihre Investitionen in technische und operative Schutzmaßnahmen. Die Botschaft ist eindeutig: KI-Innovation kann nur mit der passenden Governance erfolgreich und sicher wachsen.

Ein einheitliches Verantwortungsmodell: klassifizieren, kennzeichnen, schützen, verwalten

Effektive Datenverwaltung erfordert klare Verantwortlichkeiten zwischen CIO, CISO, Chief Data Officer (CDO) und Chief Privacy Officer (CPO). Doch in vielen Unternehmen ist die Zuständigkeit noch fragmentiert. Um diese Lücke zu schließen, empfehlen wir ein gemeinsames Modell: Klassifizieren, Kennzeichnen, Schützen und Verwalten.

1. Klassifizieren: Observability und Verantwortlichkeit schaffen

Der Weg zu effektiver Governance beginnt mit dem genauen Überblick über vorhandene Daten. Organisationen müssen vollständige Observability von strukturierten, unstrukturierten und KI-generierten Daten schaffen – inklusive der Fähigkeit, neue KI-Agenten zu identifizieren und zu verfolgen. Für die Klassifizierung sind erforderlich:

  • Ein klares, intuitives Schema, das an den Geschäftsrisiken ausgerichtet ist
  • Benannte Datenverantwortliche und Datenverwalter in den Geschäftseinheiten
  • Kontinuierliche Bestandsaufnahme, unterstützt durch vom CIO geleitete Entdeckungsmaßnahmen

Die Klassifizierung bildet die Grundlage für alle weiteren Schritte.

2. Kennzeichnung: Governance praktisch umsetzen

Während die Klassifizierung die Absicht definiert, sorgt die Kennzeichnung für deren konsequente Umsetzung. Vertraulichkeitskennzeichnungen verbinden Richtlinien mit der praktischen Anwendung und steuern Sicherheitssysteme, Zugriffskontrollen und sogar den Umgang der Mitarbeitenden mit KI-Ergebnissen.

Wichtige Elemente sind:

  • Einsatz von Technologien, die dabei helfen, die Kennzeichnungsvorgaben durchzusetzen und sicherstellen, dass diese aktiv Richtlinien für Sicherheit und Verhinderung von Datenverlust auslösen
  • Eine risikobasierte Kennzeichnungsstrategie, die Auswirkungen auf das Unternehmen reflektiert
  • Gezielte Mitarbeiterschulungen, die vermitteln, wann und wie Kennzeichnungen korrekt angewendet werden

3. Schützen: Sicherheit operationalisieren

Schutz bedeutet, Richtlinien in verlässliche Leitplanken zu verwandeln. Dazu gehören:

  • Durchsetzung von Richtlinien mittels Zugriffssteuerung wie rollenbasierter Zugriffssteuerung (RBAC), Just-in-Time-Zugriff (JIT) und DLP
  • Verschlüsselung von ruhenden Daten und während der Datenübertragung
  • Automatisierte Überwachung zur Vermeidung von übermäßiger Datenfreigabe und Richtlinienverstößen
  • Strukturierte Pläne zur Incident Response, die an Datenschutzvorschriften ausgerichtet sind

Diese Kontrollen schützen vertrauliche Daten auch dann, wenn KI-Werkzeuge im großen Stil auf sie zugreifen und sie verarbeiten.

4. Verwalten: Ganzheitliche Steuerung des gesamten Datenlebenszyklus

Governance ist ein kontinuierlicher Prozess. Organisationen müssen Folgendes gewährleisten:

  • Richtlinien zur Aufbewahrung und Löschung von Daten, die den Prinzipien der Datenminimierung folgen
  • Kontinuierliche Überwachung von Datendrift, Fehlkennzeichnungen und Zugriffsanomalien
  • Automatisierte Rezertifizierung der Datenverantwortlichkeiten
  • Transparenz und Governance von KI-Agenten über IT-, Entwicklungs- und Sicherheitsteams hinweg

Lebenszyklusverwaltung minimiert Angriffsflächen und gewährleistet langfristige Übereinstimmung zwischen Datennutzung und Geschäftswert.

Der Ausblick: Eine hybride Belegschaft aus Menschen und KI-Agenten managen

Mit der zunehmenden Komplexität der von KI-Agenten gesteuerten Workflows muss sich auch die Governance weiterentwickeln. Frontier-Unternehmen führen das Konzept des Agenten-Chefs ein – eine neue Rolle, die jedem Mitarbeitenden Verantwortung für die eingesetzten digitalen Arbeitskräfte überträgt.

Dieser Wandel stellt neue Anforderungen an die Technologieführung:

Für CIOs:

Aufbau eines föderierten KI-Ökosystems, in dem Geschäftseinheiten sicher Agenten mit genehmigten Vorlagen erstellen und einsetzen können – gesteuert von einem KI-Exzellenzzentrum.

Für CISOs:

Erweitern Sie Zero Trust über menschliche Benutzer hinaus und beziehen Sie autonome Agenten mit ein. Das bedeutet:
 

  • Erstellung eines vollständigen Inventars aller Agenten und ihrer Identitäten
  • Durchsetzung des geringstprivilegierten Zugriffs, abgestimmt auf die jeweiligen Aufgaben der Agenten
  • Überwachung des Agentenverhaltens und Annahme eines Sicherheitsvorfalls bei Interaktion mit vertraulichen Daten

Die Bereitschaft für das autonome Unternehmen basiert auf der Kombination dieser neuen Kontrollen mit menschlicher Verantwortlichkeit.

Ihre ersten 180 Tage: Ein gemeinsames Playbook für CIOs und CISOs

Der Weg beginnt mit einer strukturierten Roadmap, die IT- und Sicherheitsverantwortlichen hilft, eine unternehmensgerechte KI-Governance umzusetzen:

Erste Woche: Grundlegende Ausrichtung
 

  • Definieren eines gemeinsamen Datenklassifizierungsschemas.
  • Erfassen kritischer Vermögenswerte und Kontinuitätsanforderungen.
  • Ausrichten auf Standards zur Erstellung und Verifizierung von KI-Agenten.

Erste 90 Tage: Entdecken und Zuordnen von Kontrollen
 

  • Inventarisierung von KI-Anwendungsfällen und zugehörigen Datenquellen.
  • Durchführen von DLP- und Kontrolllückenanalysen.
  • Erstellen eines gemeinsamen Risikoregisters und Priorisieren von Pilotanwendungsfällen.

Erste 180 Tage: Umsetzung und Validierung
 

  • Einführen neuer Kennzeichnungen und Richtlinien in Pilot-Geschäftseinheiten.
  • Rollout eines automatisierten DLP für Hochrisikoszenarien.
  • Einrichten eines monatlichen Governance-Rats zur kontinuierlichen Optimierung der Kontrollen.

Dieses Playbook unterstützt Organisationen dabei, die Datenverwaltung von einer reinen Compliance-Funktion in einen strategischen Treiber für KI-Innovationen zu transformieren.

Erstellen des KI-fähigen Unternehmens

Der Weg in eine KI-gestützte Zukunft beginnt mit einer dauerhaften, gemeinsam verantworteten Basis für Datenverwaltung und Datensicherheit. Indem Organisationen die Verantwortlichkeiten von CIO und CISO abstimmen, ein gemeinsames Lifecycle-Modell etablieren und sich auf eine hybride Belegschaft aus Menschen und Agenten vorbereiten, können sie das volle Potenzial von KI mit größerer Zuversicht und Sicherheit ausschöpfen.

Jetzt ist der richtige Zeitpunkt, um diese Grundlage zu schaffen.

Leitfaden herunterladen

Mehr davon entdecken

Eine Gruppe von Personen sitzt auf einem Sofa, im Hintergrund ist der Schriftzug „NEW Cyber Pulse An AI Security Report“ zu sehen.

Cyber Pulse: Ein KI-Sicherheitsbericht

Erkenntnisse über das Wachstum von KI-Agenten und den Weg zu einer verantwortungsvollen, sicheren Einführung durch Observability, Governance und Sicherheit.
Artikel lesen
Buchcover mit dem Titel „Microsoft Security Strategies for Governing AI“ und der Illustration eines Mannes in einem grünen Hemd, der an einem Tisch vor einem Computer sitzt.

Strategien für KI-Governance

Konkrete Maßnahmen, um Vertrauen zu schaffen, Risiken zu minimieren, Kosten zu senken und Innovationen voranzutreiben
Leitfaden lesen
Eine weiße Linienzeichnung eines Briefs im Umschlag mit dem Schriftzug „Neu“ vor blauem Hintergrund.

Abonnieren Sie den CISO-Digest

Bleiben Sie mit Experteneinsichten, Branchentrends und Sicherheitsforschung in dieser zweiwöchentlichen E-Mail-Serie auf dem Laufenden.
Registrieren
  1. [1]
    Microsoft Data Security Index 2026: Vereinheitlichung von Datenschutz und KI-Innovation, Microsoft Security, 2026
  2. [2]
    Multinationale Umfrage im Juli 2025 unter mehr als 1 700 Datensicherheitsfachleuten, von Microsoft bei Hypothesis Group in Auftrag gegeben.

Microsoft Security folgen