top of page

SharePoint und Teams vor Microsoft Copilot aufräumen

  • Autorenbild: Marcus Machon
    Marcus Machon
  • 9. Juni
  • 7 Min. Lesezeit
Laptop mit SharePoint-Berechtigungen-Screenshot auf dem Display, Headline: SharePoint und Teams vor Copilot aufräumen

Öffnen Sie mal das SharePoint Admin Center und filtern Sie nach Sites, die seit mehr als 90 Tagen keinen aktiven Owner mehr haben. In vielen Mittelstands-Tenants, die ich analysiert habe, sind das keine 5 oder 10 Sites. Sondern 80, 150, manchmal über 300.

Eine Analyse über mehr als 500 Terabyte Produktivdaten aus echten Unternehmensumgebungen zeigt: Durchschnittlich 802.000 Dateien pro Organisation sind durch Oversharing gefährdet. 83 Prozent davon durch intern überbreit geteilte Inhalte, 17 Prozent extern. (Concentric AI Data Risk Report 2023)

Solange nur Menschen in diesem Tenant suchen, bleibt das kein sichtbares Problem. Copilot sucht anders.

SharePoint und Teams vor Microsoft Copilot aufräumen bedeutet konkret: vier Prüfpunkte klären, bevor der KI-Assistent live geht. Sharing-Defaults, Sites ohne Owner, Sensitivity-Label-Status und aktive Gastzugriffe. Selbst gemacht dauert das vier bis acht Wochen, mit externer Unterstützung zwei bis drei.

Warum Copilot Berechtigungsprobleme sichtbar macht, die vorher verborgen blieben

Microsoft 365 Copilot durchsucht alles, worauf ein Nutzender Berechtigung hat. Und "Berechtigung" bedeutet in gewachsenen Tenants oft: deutlich mehr als gedacht.

Der HR-Ordner in einer Projekt-Site von 2021. Die Gehaltstabelle, die damals kurz zur Abstimmung geteilt wurde. Die Vertragsentwürfe in der Team-Site, die niemand mehr aktiv nutzt. Solange nur Menschen suchen, bleibt das im Verborgenen, weil niemand gezielt danach sucht. Copilot sucht quer, kontextübergreifend, auf Basis semantischer Ähnlichkeit.

Laut einer Gartner-Befragung unter 132 IT-Entscheidenden haben 57 Prozent der Organisationen ihren Copilot-Rollout bewusst auf risikoarme Nutzergruppen beschränkt, 40 Prozent verzögerten ihn um mehr als drei Monate. Häufigster Grund: unkontrollierter Datenzugriff durch fehlende Governance. 64 Prozent nannten Informations-Governance als erheblichen Zeit- und Ressourcenaufwand. (Gartner Survey 2024, n=132, via Computerworld) Bereits 28 Prozent der KI-nutzenden deutschen Unternehmen ab 20 Mitarbeitenden setzen Microsoft Copilot ein, und kaum eines hat vorher die Berechtigungen systematisch geprüft. (Bitkom 2025, n=604)

Bezeichnend ist, was Microsoft selbst in seinem offiziellen Copilot-Deployment-Blueprint schreibt: Oversharing-Remediation ist Schritt 1 von 3 beim Aufbau einer sicheren Datenbasis. Schritt 1 kommt vor "Guardrails einrichten" und vor "Regulatorik erfüllen". (Microsoft Learn, Secure & Governed Data Foundation for M365 Copilot, Stand Mai 2026)

Die eigentliche Kostenstelle ist nicht der Rollout, sondern der Rollout-Stop danach.

SharePoint und Teams vor Microsoft Copilot aufräumen: vier Prüfpunkte

Was muss der Mittelstand vor Copilot Agents in SharePoint prüfen? Vier Bereiche sind entscheidend, bevor Copilot produktiv geht.

1. Sharing-Defaults: Was passiert, wenn jemand einen Link teilt?

Im SharePoint Admin Center unter "Richtlinien → Teilen" sehen Sie den tenant-weiten Standard für neue Links. Dabei lohnt sich ein genauer Blick, denn die drei Link-Typen tragen sehr unterschiedliche Risiken. "Jeder mit dem Link" erlaubt das Öffnen ganz ohne Login, das Risiko ist hier unkontrollierter Abfluss nach außen: niemand kann nachvollziehen, wer die Datei geöffnet hat. "Personen in Ihrer Organisation mit dem Link" klingt harmloser, ist aber der relevantere Copilot-Hebel: Der Link funktioniert für jede Person im Unternehmen, auch weitergeleitet, und die Inhalte können dadurch organisationsweit auffindbar werden. Nur "Bestimmte Personen" begrenzt den Zugriff wirklich auf die namentlich Eingeladenen.

Laut Concentric AI sind 17 Prozent der gefährdeten Dateien extern geteilt. Viele dieser Freigaben entstanden mit einem Klick auf "Kopieren", oft vor Jahren, oft ohne Ablaufdatum.

Neben Sharing-Links ist "Everyone except external users" (EEEU) der zweite kritische Oversharing-Hebel: ein SharePoint-interner Platzhalter, der automatisch alle internen Konten des Tenants einschließt, vom Geschäftsführer bis zum Auszubildenden. In gewachsenen Tenants steckt EEEU häufig unsichtbar in SharePoint-Gruppen und manuell durchbrochenen Berechtigungsvererbungen (ACLs, Access Control Lists), ohne dass jemand das noch aktiv gesetzt hat. Für Copilot sind solche Inhalte für jeden Mitarbeitenden sichtbar, ohne dass je ein Link verschickt wurde.

SharePoint Admin Center, Richtlinien, Teilen: Standard-Link auf Jeder mit dem Link, 14-Tage-Ablauf aktiv.
Richtlinien, Teilen: Standard-Linktyp auf Jeder mit dem Link. Vor dem Copilot-Rollout auf Vorhandene Gäste oder Nur Personen in Ihrer Organisation umstellen.

Empfehlung: Sharing-Standard auf "Bestimmte Personen" oder "Nur bestehende Gäste" umstellen. Die Bestandsaufnahme dazu liefern die Data-Access-Governance-Berichte (DAG) in SharePoint Advanced Management: fertige Reports für Sharing-Links nach Typ, EEEU-Freigaben und Berechtigungsstatus pro Site. Der EEEU-Bericht zeigt konkret die 100 Sites, auf denen zuletzt Inhalte für die gesamte Organisation freigegeben wurden. Mit einem PowerShell-Skript lässt sich der Ist-Stand alternativ in wenigen Stunden exportieren. Erst Daten sichten, dann entscheiden. Viele dieser Links sind längst inaktiv und lassen sich ohne Rücksprache entfernen.

2. Sites ohne Owner: Das Governance-Fundament

Jede SharePoint-Site braucht eine verantwortliche Person, die entscheidet, wer Zugriff bekommt und ob die Site noch benötigt wird. Projekte enden. Mitarbeitende wechseln. Sites bleiben.

Wie häufig das vorkommt, zeigt eine Beobachtung aus einem realen Mittelstands-Tenant vom April 2026: 800 von 1.200 Sites ohne Owner, das sind 67 Prozent. Zusätzlich zeigten 34 Prozent aller Sites sogenannte Broken Inheritance: Berechtigungsvererbung, die irgendwann manuell durchbrochen wurde und heute niemandem mehr bekannt ist. 60 Prozent hatten keine Retention Policy. (Quelle: Microsoft MVP, LinkedIn, April 2026)

Über das SharePoint Admin Center unter "Erweiterte Verwaltung" sehen Sie auf einen Blick, wie viele Sites Aufmerksamkeit brauchen: fehlende Websitebesitzer, inaktive Sites und Berechtigungsprobleme sind dort in einem Copilot-Bereitschafts-Dashboard zusammengefasst. Seit 2025 ist SharePoint Advanced Management bei aktiver Microsoft 365 Copilot-Lizenz ohne separaten SAM-Kauf nutzbar, einschließlich Site-Ownership-Policy, Data Access Governance Reports und Restricted Content Discovery. Vor dem Copilot-Rollout sollte jede Site entweder einem neuen Owner zugewiesen oder archiviert werden. Für Tenants mit vielen verwaisten Sites ist das realistisch ein Projekt von vier bis sechs Wochen.

SharePoint Admin Center, Erweiterte Verwaltung, Übersicht: Copilot-Bereitschafts-Dashboard mit Sites ohne Websitebesitzer und Freigabeproblemen.
Erweiterte Verwaltung im SharePoint Admin Center: Das SAM-Copilot-Dashboard zeigt auf einen Blick, wie viele Sites fehlende Owner oder ungeregeltes Sharing haben.

3. Sensitivity Labels: Haben Sie überhaupt welche im Einsatz?

Sensitivity Labels sind Vertraulichkeitskennzeichnungen wie "Intern", "Vertraulich" oder "Streng vertraulich". Sie sind die primäre Steuerungsebene für Copilot: Sie bestimmen, was die KI sehen darf, was sie ausgeben darf, und was aus der KI-Suche ausgeschlossen werden soll.

Eine Analyse von Varonis über 1.000 Organisationen aus dem Jahr 2025 zeigt: 90 Prozent hatten sensible Dateien, die über Microsoft 365 Copilot für alle Mitarbeitenden zugänglich waren, und nur eines von zehn Unternehmen hatte seine Dateien überhaupt mit Sensitivity Labels klassifiziert. (Varonis State of Data Security Report 2025, Telemetrie aus Kundenumgebungen, daher als Größenordnung zu lesen)

Viele Mittelständler haben Labels in ihrer Microsoft-Lizenz, nutzen sie aber nicht. Ein schneller Check: Microsoft Purview unter "Azure Information Protection → Vertraulichkeitsbezeichnungen". Gibt es aktive Label-Policies? Wie viele Dokumente sind klassifiziert? Wenn beides mit "keine" zu beantworten ist, fehlt die zentrale Steuerungsebene, nicht nur für Copilot, sondern für jeden KI-Einsatz im Tenant.

Microsoft Purview, Azure Information Protection, Vertraulichkeitsbezeichnungen: Vier aktive Labels - Öffentlich, Intern, Vertraulich-Projekt, Streng Vertraulich.
Vertraulichkeitsbezeichnungen in Microsoft Purview: Label-Hierarchie mit Öffentlich, Intern, Vertraulich-Projekt und Streng Vertraulich. Dieser Tenant hat bereits ein funktionierendes Label-Schema.

Für Organisationen mit aktiver Copilot-Lizenz empfiehlt sich ergänzend Restricted Content Discovery (RCD): Einzelne hochriskante Sites, etwa aus HR oder Finanzen, lassen sich damit gezielt aus der Copilot- und Organisationssuche herausnehmen, ohne Berechtigungen anzufassen. Einstellbar im SharePoint Admin Center unter "Aktive Sites", Site auswaehlen, Einstellungen, Schalter "Restrict content from Microsoft 365 Copilot", seit Maerz 2026 auch ohne PowerShell. (Microsoft Learn: Restricted Content Discovery) Das schafft eine schnelle Containment-Schicht für besonders sensible Bereiche und liefert der Geschäftsführung eine auditierbare Grundlage.

4. Gastzugriffe und externe Freigaben

Copilot respektiert Berechtigungen, auch die von externen Gästen. Wenn ein ehemaliger Projektpartner noch in drei Teams-Gruppen aktiv ist, sieht Copilot für diesen Nutzenden dieselben Inhalte wie der Gast selbst.

Relevant für die Gast-Governance: Microsoft verwendet Email One-Time Passcode (OTP) als Standard-Authentifizierungsweg für externe Personen ohne Microsoft- oder Google-Konto. (Microsoft Learn: E-Mail-Einmalkennung) Wenn jemand extern auf einen Freigabe-Link klickt und sich per E-Mail-Code einloggt, legt Microsoft automatisch ein B2B-Gastkonto im Entra-Directory des einladenden Unternehmens an. Für Tenants, die informelles Gastlink-Sharing betreiben, koennen auf diesem Weg zahlreiche ungepflegte Gastkonten entstanden sein: jeder externe Berater, jeder Steuerpruefer, jede Projektpartnerin, die je einen Link angeklickt hat, ist im Directory sichtbar und braucht aktives Management.

Im Microsoft Entra Admin Center unter "Entra ID -> Benutzer" finden Sie eine Übersicht aller Konten. Microsoft Entra ID ist die zentrale Identitätsplattform, über die Gastkonten verwaltet werden. Mit Filter auf "Gastbenutzer" sehen Sie alle aktiven externen Zugänge. Empfehlung: Gästeliste einmalig reviewen und inaktive Gäste entfernen, bevor Copilot ausgerollt wird. Danach als vierteljährlichen Prozess einplanen. Tenants mit mehr als 50 aktiven Gästen sollten den Microsoft Entra Access Review aktivieren, der diesen Prozess automatisiert.

Microsoft Entra Admin Center, Entra ID, Benutzer: 12 Benutzer, davon 4 Gäste. Namen und E-Mails anonymisiert.
Entra ID, Benutzer: Die Spalte Benutzertyp zeigt sofort, welche Konten Gäste sind. 4 von 12 Nutzern sind externe Gastkonten, die regelmäßig reviewt werden sollten.

Wann externe Unterstützung sinnvoll ist

Bevor wir dazu kommen: Es gibt eine Überreaktion auf Copilot-Governance-Druck, die ich regelmäßig beobachte. IT zieht alle Selbstverwaltungsrechte zurück. Neue Microsoft Teams-Gruppen nur noch auf Antrag, neue SharePoint-Seiten per Ticket, Berechtigungsmanagement wieder zentralisiert. Das verlagert das Problem, löst es nicht. Gerade in größeren Unternehmen entsteht damit der nächste Engpass.

Meine Einschätzung: Teams als Arbeitsraum sollte für alle Mitarbeitenden frei nutzbar bleiben. Mitarbeitende entscheiden selbst, wann ein Team sinnvoll ist, und tragen Verantwortung dafür, dass keine doppelten Schattenablagen entstehen. Der eigentliche Hebel liegt woanders: kritische, finale Ablagen gehören auf dedizierte SharePoint-Seiten mit Dokumentbibliothek und ohne Ordner-Hierarchien. Klare Orte, klare Verantwortung, ausgewählte sensible Dokumente. Diese Unterscheidung zwischen freiem Arbeitsraum und kontrollierter Ablage ist oft wertvoller als jede Zugriffsrichtlinie. Das Grundprinzip dahinter steht im Beitrag zur SharePoint-Struktur im Mittelstand.

Diese vier Prüfpunkte lassen sich technisch mit Bordmitteln starten. Die Reports und Admin-Center-Checks kann IT selbst durchführen.

Was erfahrungsgemäß länger dauert als geplant: die Entscheidungen dahinter. Was machen wir mit 200 verwaisten Sites? Wer übernimmt Owner-Verantwortung für Bereiche, deren Projektteam längst aufgelöst ist? Welche Label-Taxonomie passt zu unserem Datenschutz-Setup, und wie verankern wir das im Alltag der Mitarbeitenden?

Das sind keine technischen Fragen. Das sind Governance-Fragen, die Geschäftsführung und IT-Leitung gemeinsam beantworten müssen, am besten bevor der erste Copilot-Vorfall passiert.

Zusätzliche Dringlichkeit ergibt sich aus dem EU AI Act: Die Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025 für jedes Unternehmen, das Copilot als KI-System im Betrieb einsetzt. Wer heute Copilot ausrollt, ohne die Datenbasis zu klären, trägt eine regulatorische Mitverantwortung.

Wer zunächst verstehen will, was ein automatisiertes Readiness-Tool überhaupt erkennt und was es übersieht, findet im Beitrag zum Microsoft Copilot ARA-Readiness-Tool einen guten Einstieg.

Wer diesen Prozess strukturiert angehen will: Das Vorgehen bei SharePoint und Teams aufräumen verbindet Wildwuchs-Analyse, Governance-Workshop mit Führungsebene und IT sowie einen umgesetzten Pilot-Bereich als Vorlage. SharePoint und Teams vor Microsoft Copilot aufräumen kostet typisch drei bis vier Wochen. Interner Aufwand: jeweils ein halber Tag Führungsebene und IT.

Über den Autor: Marcus Machon berät mittelständische Unternehmen bei Microsoft 365 Governance, SharePoint-/Teams-Struktur, Power-Platform-Automatisierung und Copilot-/KI-Readiness.

Quellen

  1. Concentric AI (2023): Data Risk Report. Datenbasis: 500+ TB Produktivdaten, 802.000 gefährdete Dateien/Organisation. Pressemitteilung

  2. Gartner (2024): Gartner Survey, n=132 IT-Entscheidende, Juni 2024. Max Goss, Avivah Litan, Dan Wilson. Berichtet in: Computerworld, Sep 2024

  3. Bitkom (2025): Künstliche Intelligenz in der deutschen Wirtschaft. n=604, Unternehmen ab 20 Mitarbeitenden. Studienbericht PDF

  4. Microsoft Learn (2026): Secure and governed data foundation for Microsoft 365 Copilot. Stand Mai 2026. Artikel

  5. Varonis (2025): State of Data Security Report. Telemetrie-Analyse, 1.000 Organisationen, ~10 Mrd. Cloud-Objekte. Vendor-Report, Selbstselektion möglich. Report PDF

  6. Microsoft MVP (April 2026): LinkedIn-Beobachtung, Tenant 450 MA. 1.200 Sites, 800 ohne Owner (67%), 34% Broken Inheritance.

bottom of page