AI Shadow IT unter Kontrolle: Microsoft Defender und Entra überwachen jetzt Drittanbieter-AI
Kurzfazit
Microsoft hat in den letzten zwölf Monaten drei Produkte miteinander verbunden, die bisher getrennte Silos waren: Microsoft Defender for Cloud Apps, Microsoft Entra Internet Access und Microsoft Purview. Das Ergebnis ist ein vierstufiger Kontrollrahmen für den Umgang mit Drittanbieter-AI-Apps, der von der Entdeckung über die Sperrung bis zur Datenverwaltung reicht. Für Schweizer Mittelstands-Tenants, die heute noch keine strukturierte AI-Shadow-IT-Policy haben, ist das ein konkreter Einstiegspfad, der auf bestehenden Microsoft-Lizenzen aufbaut.
Geltungsbereich. Dieser Beitrag beschreibt den Microsoft-empfohlenen Ansatz zur Kontrolle von Shadow-AI anhand der offiziellen Microsoft-Purview-Deployment-Guidance und der Entra-Internet-Access-Dokumentation (Stand Mai 2026). Die meisten beschriebenen Funktionen erfordern Microsoft Entra ID P1 oder höher sowie Microsoft Defender for Cloud Apps (Bestandteil von M365 E5 oder als Add-on). Einzelne Funktionen (TLS Inspection, AI Gateway) erfordern Entra Internet Access, das separat lizenziert wird.
Das Problem: 80 Prozent Shadow, 1.000 Apps, null Überblick
Microsoft-interne Daten, bestätigt von Defender-for-Cloud-Apps-Deployments: Die durchschnittliche Organisation nutzt über 1.000 verschiedene Cloud-Apps. IT-Abteilungen schätzen diese Zahl auf 30 bis 40. Die Differenz ist Shadow IT. Seit generative-AI-Tools für jeden Browser-Nutzer zugänglich sind, hat sich die AI-Dimension dieses Problems deutlich beschleunigt: ChatGPT, Claude, Perplexity, Gamma, Notion AI, Canva AI und Dutzende weiterer Tools sind heute in jedem Unternehmen in Gebrauch, unabhängig davon, ob die IT das genehmigt hat.
80 Prozent der Mitarbeitenden nutzen nicht genehmigte Apps, die keine Sicherheits- oder Compliance-Prüfung durchlaufen haben. Für AI-Apps heisst das konkret: Kundendaten, interne Verträge und Finanzinformationen werden in Prompt-Feldern eingegeben, die ausserhalb der Datenschutzkontrolle des Unternehmens liegen.
Der vierstufige Microsoft-Kontrollrahmen
Microsoft empfiehlt einen gestuften Ansatz, der mit Sichtbarkeit beginnt und mit Datenverwaltung endet.
Schritt 1: Entdecken, welche AI-Apps genutzt werden
Microsoft Defender for Cloud Apps (MDCA) erkennt Cloud-Apps anhand von Netzwerkprotokollen. Im Cloud Discovery Dashboard filtert man den Cloud-App-Katalog nach App-Kategorie Generative AI. Der Katalog umfasst über 31.000 Apps, jede mit einem Risiko-Score aus mehr als 90 Faktoren (Verschlüsselung, Audit-Logs, Datenschutzrichtlinien, Compliance-Zertifizierungen und mehr). Das Ergebnis ist eine priorisierte Liste von AI-Apps, die tatsächlich in der Organisation genutzt werden, mit Angabe der aktiven Nutzer und des generierten Traffic-Volumens.
Schritt 2: Nicht genehmigte Apps sperren
Apps werden in MDCA als Unsanctioned markiert. Diese Markierung synchronisiert sich innerhalb von bis zu drei Stunden automatisch mit Microsoft Defender for Endpoint: die Domains der gesperrten Apps werden auf alle verwalteten Endgeräte propagiert und durch den Microsoft Defender Antivirus Network Protection Block enforced. Für Tenants ohne Defender for Endpoint gibt es einen alternativen Export-Block-Script-Pfad über bestehende Firewalls und Proxys.
Alternativ oder ergänzend: Microsoft Entra Internet Access kategorisiert den gesamten Web-Traffic per Secure Web Gateway (SWG) und kann die Kategorie Artificial Intelligence pauschal oder differenziert sperren. Der Kniff liegt in der Differenzierung: ein Security Profile kann gleichzeitig m365.cloud.microsoft (Microsoft 365 Copilot) explizit erlauben (Priorität 100) und die AI-Kategorie pauschal sperren (Priorität 200). So bleibt Enterprise Copilot zugänglich, während nicht genehmigte KI-Tools geblockt werden.
Schritt 3: Datenverlust zu genehmigten AI-Apps verhindern
Für AI-Apps, die offiziell genehmigt sind (Sanctioned), aber trotzdem keine unbegrenzte Datenfreigabe erhalten sollen, greift Microsoft Purview Data Loss Prevention. DLP-Policies können konfigurieren, welche Datenklassifikationen (vertraulich, GDPR-relevant, Finanzinformationen) in den Prompt-Feldern dieser Apps erkannt und geblockt oder gewarnt werden. Das setzt TLS Inspection in Entra Internet Access voraus (Public Preview seit Mai 2025), das den verschlüsselten HTTPS-Traffic für die Purview-Inspektion aufbricht.
Schritt 4: Langfristig Daten regieren, die an AI-Apps gehen
Der vierte Schritt verbindet die Cloud-Discovery-Logs mit Microsoft Sentinel für weitergehende Auswertungen, Power BI-Dashboards und benutzerdefinierte Alerts. Auf dieser Stufe ist Shadow-AI-Kontrolle kein reaktives Sicherheitsprojekt mehr, sondern ein laufendes Compliance-Monitoring mit Audit-Trail.
Praxisvergleich: drei Ausgangssituationen im Schweizer Mittelstand
- Situation A: kein Defender for Cloud Apps, nur M365 E3. Basis-Sichtbarkeit über Microsoft Entra ID P1 (Cloud App Discovery als Teilfunktion): zeigt welche Apps aus dem Entra-verknüpften Traffic bekannt sind, aber ohne den vollen 31.000-App-Katalog und ohne native Block-Integration. Sinnvoller nächster Schritt: Entra Internet Access für den AI-Kategorie-Block evaluieren, da dies keine vollständige Defender-for-Cloud-Apps-Lizenz voraussetzt.
- Situation B: M365 E5 oder Defender for Cloud Apps bereits lizenziert. Cloud Discovery und Block-via-MDE sind sofort nutzbar. Haufige Lücke: Cloud Discovery-Logs werden nicht zentral ausgewertet. Quick-Win: Discovery-Report wöchentlich per Power Automate an IT-Leitung senden, ohne dass ein neues Produkt lizenziert werden muss.
- Situation C: Entra Internet Access bereits eingesetzt (Global Secure Access Client deployed). Vollständiger Kontrollrahmen möglich: Kategorie-Block für AI, TLS Inspection, Purview DLP auf Prompt-Ebene. Das ist die Ziel-Architektur, aber für die meisten Schweizer Mittelstands-Tenants heute noch zu komplex für einen Schritt. Schrittweise Aktivierung ist realistischer als ein Big-Bang-Deployment.
Was wir explizit nicht empfehlen
Alle AI-Apps pauschal sperren, ohne eine Inventarisierung durchgeführt zu haben. In jedem Tenant, den wir in den letzten sechs Monaten auf Shadow-AI-Kontrolle vorbereitet haben, sind nach der Discovery-Phase drei bis fünf AI-Tools aufgetaucht, die bereits im Einsatz waren und für die es legitime Geschäfts-Anwendungsfälle gab: ChatGPT für Übersetzungsarbeiten im Marketing, Gamma für Pitch-Decks im Sales, Perplexity für Research-Zusammenfassungen im Consulting-Team. Ein pauschaler Block hätte die Teams in ihren Workflows gestoppt, ohne eine Alternative bereitzustellen. Der Ansatz, den wir empfehlen, ist Inventar zuerst, Policy danach.
Ebenso vorsichtig sollte man mit TLS Inspection sein. Die Funktion ist mächtiger als gedacht, aber sie führt zu Zertifikat-Fehlern bei schlecht gepflegten App-Clients und erfordert eine sorgfältige Pilot-Phase mit einer kleinen Nutzergruppe, bevor sie tenant-weit ausgerollt wird.
Anmerkung von Milan: Das Thema Shadow AI ist in Kunden-Gesprächen noch nicht angekommen, aber im Board schon längst. Wir sehen den Trend: CISO-Berichte erwähnen AI-Shadow-IT als Risikokategorie, aber die IT-Abteilungen haben noch keine Governance-Prozesse. Das ist die Situation, in der Microsoft die Werkzeuge liefert, und die Beratung den Kunden zeigt, wie sie benutzt werden. Wer jetzt mit Schritt 1 (Discovery) beginnt, hat in sechs Monaten eine Baseline, auf der er eine policy aufbauen kann. Wer wartet, hat in sechs Monaten das gleiche Problem, nur grösser.
Anmerkung von Bak-Heang: Die technische Implementierung von Schritt 1 und 2 dauert in einem gut vorbereiteten Tenant weniger als einen halben Tag. Was länger dauert, ist die Entscheidung, welche AI-Apps sanctioned sind und welche nicht. Das ist eine Business-Entscheidung, keine IT-Entscheidung, und sie braucht einen strukturierten Prozess, der die richtigen Stakeholder involviert. Das ist die eigentliche Arbeit.
Theia-Empfehlung für Kundenberatung
- AI-Shadow-IT-Discovery starten. Aktivieren Sie Cloud Discovery in Microsoft Defender for Cloud Apps und filtern Sie nach der Kategorie "Generative AI". Lassen Sie den Discovery-Report mindestens zwei Wochen laufen, bevor Sie Entscheidungen treffen, um ein repräsentatives Nutzungsbild zu erhalten.
- Sanctioned/Unsanctioned-Liste erstellen. Führen Sie einen Workshop mit IT, Legal, Compliance und einem Business-Vertreter pro Hauptabteilung durch. Ziel: eine explizite Liste genehmigter AI-Tools (mit Begründung) und nicht genehmigter Tools (mit Alternativempfehlung oder Austauschplan). Dieser Workshop dauert in der Regel einen halben Tag.
- Block schrittweise aktivieren. Beginnen Sie mit dem Block nicht genehmigter Apps per MDCA und MDE. Kommunizieren Sie den Block aktiv und benennen Sie eine Alternative für jeden gesperrten Use Case. Das reduziert Support-Tickets und verhindert, dass Nutzer auf Umgehungslösungen ausweichen (Privat-Smartphone, Home-Netzwerk).
- Theia AI Shadow IT Workshop. Wir begleiten Sie durch Schritt 1 und 2: Discovery-Aktivierung, erster Report-Review, Workshop für die Sanctioned/Unsanctioned-Liste und Block-Aktivierung per MDCA. Halber Tag remote, fester Preis pro Mandat. Ergebnis: erste funktionierende Shadow-AI-Governance und eine priorisierte Roadmap für Schritte 3 und 4.
Quelle: Microsoft Learn, "Prevent data leak to shadow AI" (Abruf: 25. Mai 2026), learn.microsoft.com/purview/deploymentmodels/depmod-data-leak-shadow-ai-intro; Microsoft Learn, "Tutorial: Discover and manage shadow IT" (Abruf: 25. Mai 2026), learn.microsoft.com/defender-cloud-apps/tutorial-shadow-it; Microsoft Learn, "Global Secure Access Web content filtering categories" (Abruf: 25. Mai 2026), learn.microsoft.com/entra/global-secure-access/reference-web-content-filtering-categories; Microsoft Learn, "Learn about Microsoft Entra Internet Access" (Abruf: 25. Mai 2026), learn.microsoft.com/entra/global-secure-access/concept-internet-access.
Aktualisiert am 25. Mai 2026. Nächste Überprüfung: 25. November 2026.
