Zum Hauptinhalt springen
Alle Beiträge

Schatten-KI im Griff: Microsoft hebt DLP auf die Netzwerkebene

8. Juli 2026 · Matthias Tichý

Das unsichtbare Datenleck

Ein Mitarbeiter kopiert Vertragsdaten und fügt sie in ChatGPT ein. Kein Datei-Upload, kein Alarm — der Text verlässt das Unternehmen als unauffälliger, verschlüsselter Web-Request. Diese Form der Schatten-KI-Nutzung ist in den meisten Unternehmen längst Alltag, und klassische Schutzmechanismen sehen davon nichts. Data-Loss-Prevention-Lösungen setzen traditionell am Endgerät oder in den eigenen Cloud-Diensten an: Sie erkennen, wenn eine vertrauliche Datei per USB-Stick kopiert, per E-Mail versendet oder in einen Cloud-Speicher hochgeladen wird. Doch wer Text in ein Prompt-Feld tippt oder einfügt, erzeugt keine Datei. Der Inhalt fließt als Teil eines HTTPS-Requests ab, den herkömmliche Werkzeuge weder sehen noch bewerten können. Zwar kann Microsoft Purview Endpoint DLP das Einfügen sensibler Inhalte in Webseiten bereits heute teilweise erkennen — in Edge nativ, in Chrome und Firefox per Browser-Erweiterung. Ungemanagte Browser, native Apps, Add-ins und direkte API-Zugriffe bleiben damit aber unsichtbar. Genau diese Lücke schließt Microsoft jetzt.

Die Neuerung: Purview Network Data Security mit Entra Internet Access

Microsoft verbindet zwei Produkte, die bisher getrennt gearbeitet haben: Microsoft Purview (Klassifizierung und Data Loss Prevention) und Entra Internet Access, den Cloud-Webfilter aus der Global-Secure-Access-Familie (GSA). Das Ergebnis heißt Network Data Security: Der Webverkehr verwalteter Geräte wird auf Netzwerkebene inspiziert, Inhalte werden in Echtzeit klassifiziert — und sensible Daten können gestoppt werden, bevor sie das Unternehmen verlassen. Erfasst werden über 35.000 katalogisierte Cloud-Apps, wahlweise pauschal über Kategorien wie „generative KI“, „Cloud-Speicher“ oder „Webmail“. Der Ablauf im Überblick:
Diagramm: Ein KI-Prompt läuft vom Endgerät über den GSA-Client zur TLS-Inspektion, wird von Purview klassifiziert und dann blockiert oder zugelassen
Der Weg eines KI-Prompts: Entschlüsselung, Klassifizierung und Richtlinien-Entscheidung passieren, bevor der Text den Anbieter erreicht.

So funktioniert die TLS-Inspektion

Normalerweise ist die Verbindung zwischen Browser und KI-Dienst durchgehend verschlüsselt — niemand dazwischen kann mitlesen. Die TLS-Inspektion hebt das kontrolliert auf: 1. Auf den Firmengeräten wird per Intune oder Gruppenrichtlinie ein unternehmenseigenes CA-Zertifikat verteilt. 2. Ruft der Browser eine Webseite auf, beendet der GSA-Dienst die Verbindung bei sich und präsentiert dem Browser ein selbst ausgestelltes Zertifikat für die Zielseite. Da das Gerät der Firmen-CA vertraut, zeigt der Browser das gewohnte Schloss-Symbol. 3. Zum echten Server baut GSA eine zweite, eigene verschlüsselte Verbindung auf. Aus einer durchgehenden Verschlüsselung werden also zwei — und in der Mitte liegt der Inhalt im Klartext vor. Dort wird der HTTP-POST-Body extrahiert und an die Purview-Klassifizierung übergeben. Technisch ist das ein „Man in the Middle“ mit legitim verteiltem Vertrauensanker — mächtig, aber rechtlich anspruchsvoll, wie wir weiter unten zeigen.
Diagramm: Zwei getrennte TLS-Verbindungen zwischen Browser, GSA-Inspektionspunkt und KI-Dienst — in der Mitte liegt der Inhalt im Klartext vor
TLS-Inspektion: Aus einer Ende-zu-Ende-Verschlüsselung werden zwei Verbindungen mit einer kontrollierten Lesestelle in der Mitte.

Was erkannt und bewertet wird

Im entschlüsselten Datenstrom unterscheidet das System vier Arten von Aktivitäten: • Text gesendet an eine Cloud- oder KI-App — der klassische Prompt, aber auch Formulare oder Webmail • Datei hochgeladen — Dokumente, PDFs, Archive, Bilder • Text empfangen von der App — auch die Antwort der KI • Datei heruntergeladen Die Bewertung übernimmt dieselbe Purview-Engine, die viele Unternehmen bereits für Exchange, SharePoint und Endpoint DLP einsetzen — mit denselben Erkennungsmustern (IBAN, Ausweisnummern, eigene Schlüsselwörter), trainierbaren Klassifizierern („Vertrag“, „Quellcode“) und Vertraulichkeits-Labels. Die Richtlinie entscheidet dann in Echtzeit: „Audit only“ protokolliert die Übertragung, „Block“ verhindert sie — der Vertragstext verlässt das Unternehmen nie. Alle Ereignisse laufen zentral im Purview Activity Explorer und in Data Security Posture Management for AI zusammen. Optional kann sogar die komplette KI-Konversation mitgeschnitten werden — ein Punkt, der die rechtliche Dimension bereits erahnen lässt.

Zeitplan: Von der Preview zur Abrechnung

Die Datei-Filterung über Global Secure Access ist seit Juni/Juli 2026 allgemein verfügbar. Der spannendere Teil — die Inspektion getippter Texte und Prompts — befindet sich seit Juli 2026 in der Preview und soll im September 2026 allgemein verfügbar werden. Wichtig: Während der Preview fallen für GSA-erzwungene Richtlinien noch keine Zusatzkosten an. Mit der allgemeinen Verfügbarkeit beginnt die verbrauchsbasierte Abrechnung.
Zeitleiste: Juni/Juli 2026 Datei-Filterung allgemein verfügbar, Juli 2026 Preview für Text und Prompts, September 2026 allgemeine Verfügbarkeit mit Beginn der Abrechnung pro Request
Der Prompt-Schutz ist in der Preview kostenfrei — mit der General Availability startet die Pay-as-you-go-Abrechnung.

Hürde 1: Das Kostenmodell verstehen

Network Data Security wird nicht allein über Lizenzen abgedeckt, sondern nutzt Microsofts Pay-as-you-go-Modell: Abgerechnet wird pro Request — und das ist jeder Netzwerkaufruf eines Geräts an eine erfasste Website oder API, nicht etwa jeder Prompt. Moderne Webanwendungen erzeugen pro Nutzeraktion oft Dutzende solcher Aufrufe. Wer also pauschal den gesamten Webverkehr in den Geltungsbereich nimmt, produziert ein Vielfaches der nötigen Klassifizierungs-Requests — und erlebt bei der ersten Abrechnung eine böse Überraschung. Die Stellschraube sind eng gefasste Scopes: nur die relevanten App-Kategorien (etwa generative KI und Cloud-Speicher), nur die betroffenen Benutzergruppen. Dazu kommen die Lizenzvoraussetzungen: Microsoft 365 E5 mit Purview plus Entra-Internet-Access-Lizenzen (oder das neue E7-Bundle), und das Pay-as-you-go-Abo muss im Tenant eingerichtet sein, bevor überhaupt Richtlinien angelegt werden können. Unser Tipp: Vor der allgemeinen Verfügbarkeit im September lohnt ein Pilot in der kostenfreien Preview — Scope definieren, zwei bis vier Wochen im Audit-only-Modus messen, Request-Volumen hochrechnen und erst dann über den produktiven Umfang entscheiden.

Hürde 2: Datenschutz und Mitbestimmung

Die TLS-Inspektion bricht verschlüsselte Verbindungen der Beschäftigten auf — und ist damit Verhaltensüberwachung im rechtlichen Sinne. Daraus folgt im deutschsprachigen Raum ein klares Pflichtenheft: • Datenschutz-Folgenabschätzung (DSFA): Systematische Überwachung von Beschäftigten gilt als Verarbeitung mit hohem Risiko — eine DSFA nach Art. 35 DSGVO ist faktisch obligatorisch. • Betriebsrat: Technische Einrichtungen, die zur Verhaltens- oder Leistungskontrolle geeignet sind, unterliegen der Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG). Ohne Betriebsvereinbarung geht nichts. • Fernmeldegeheimnis: Ist die private Internetnutzung am Arbeitsplatz erlaubt oder geduldet, steht zusätzlich § 3 TDDDG im Raum — die Privatnutzung muss geregelt oder sauber ausgenommen werden. • Ausnahmelisten: Banking-, Gesundheits- und Behördenseiten gehören von der TLS-Inspektion ausgenommen. • Transparenz: Beschäftigte müssen nachvollziehbar informiert werden, was inspiziert wird und was nicht. Diese Hausaufgaben sind keine Formalie, sondern Einführungsvoraussetzung: Eine ohne DSFA und Mitbestimmung eingeführte TLS-Inspektion kann im Streitfall unverwertbar und bußgeldbewehrt sein — und beschädigt das Vertrauen der Belegschaft nachhaltig.

Unsere Empfehlung: In vier Schritten zum sinnvollen Einsatz

1. Bestandsaufnahme: Welche KI-Dienste werden im Unternehmen tatsächlich genutzt? Die Discovery-Funktionen (DSPM for AI) zeigen das bereits ohne Blockierung. 2. Rechtlichen Rahmen schaffen: DSFA durchführen, Betriebsvereinbarung verhandeln, Ausnahmelisten und Privatnutzung regeln — parallel zur technischen Pilotierung. 3. Pilot im Audit-Modus: Eng gefasster Scope, kleine Benutzergruppe, nur protokollieren statt blockieren. Dabei das Request-Volumen und damit die späteren Kosten realistisch messen. 4. Gezielt scharf schalten: Blockier-Richtlinien nur für die wirklich kritischen Datenkategorien aktivieren — flankiert von einer sicheren, freigegebenen KI-Alternative wie Microsoft 365 Copilot, damit die Belegschaft eine legitime Anlaufstelle hat.

Fazit

Microsoft schließt mit Purview Network Data Security eine echte Lücke: Erstmals lassen sich getippte KI-Prompts unternehmensweit erkennen und stoppen, bevor sensible Daten abfließen — unabhängig von Browser oder App. Die Technik ist beeindruckend konsequent, aber kein Selbstläufer: Ohne enges Kosten-Scoping wird das Pay-as-you-go-Modell teuer, und ohne DSFA und Betriebsvereinbarung ist der Einsatz in Deutschland schlicht nicht zulässig. Wer beides sauber vorbereitet, bekommt ein Werkzeug, das Schatten-KI vom unkalkulierbaren Risiko zum steuerbaren Prozess macht. Sie möchten wissen, welche KI-Dienste in Ihrem Unternehmen bereits genutzt werden — und wie Sie den Schutz rechtssicher einführen? Sprechen Sie uns an, wir begleiten Sie von der Bestandsaufnahme bis zum Rollout.
MT

Matthias Tichý

IT-Berater und Gründer von IT-Service M.Tichý in Berlin-Spandau. Seit 2010 betreut er kleine und mittlere Unternehmen in Berlin und Brandenburg bei Microsoft 365, IT-Sicherheit, Backup und Managed Services.