Ungebetene KI auf Unternehmensgeräten deaktivieren

Wie erkennt und blockiert man integrierte KI-Funktionen in gängigen Softwareprodukten? Hier erfährst du mehr.

So deaktivierst du Copilot, Gemini und Apple Intelligence

Immer mehr Softwareentwickler integrieren KI-Funktionen direkt in alltägliche Arbeitstools, Betriebssysteme und Browser. In manchen Fällen sind diese Features sehr praktisch. Sie bergen jedoch auch spezifische Risiken. Deshalb zögern viele Unternehmen, ihren Mitarbeitern Zugriff auf diese Tools zu gewähren. In einem früheren Artikel haben wir diese unerwünschten KI-Systeme kategorisiert, erklärt, wie man sie auf Netzwerk- und Endpunktebene erkennt und wie man einen ultimativen universellen Notausschalter einrichtet: die Verwaltung des OAuth-Zugriffs über die wichtigsten Unternehmensplattformen hinweg. Heute geht es um konkrete Maßnahmen: Wie kann KI, die in gängige Plattformen integriert ist, deaktiviert oder eingeschränkt werden?

Vorab ein kurzer Hinweis: Die großen Softwarehersteller ändern gelegentlich die Namen ihrer KI-Einstellungen und optimieren deren Funktionsweise. Wenn eine der unten genannten Optionen nicht auffindbar ist oder nicht wie beschrieben funktioniert, hilft meist das Internet. Suche nach dem Namen der Einstellung, um den neuen Ort oder die aktuelle Bezeichnung zu finden.

Microsoft 365 Copilot deaktivieren

Ist diese KI-Funktion aktiviert? Ob Copilot tatsächlich genutzt wird, kannst du in den Protokollen überprüfen. Dazu gehst du zu Microsoft 365 AdminCopilot-Nutzungsbericht (Copilot usage report).

Deaktivierung über Richtlinien: Gehe im Microsoft 365 Admin Center zu Einstellungen (Settings)Integrierte Apps (Integrated Apps), suche in der Liste Verfügbare Apps (Available Apps) nach Copilot und wähle Blockieren (Block) aus. Präzisere Konfigurationsrichtlinien sind unter Anpassungen (Customization)Richtlinienverwaltung (Policy Management) verfügbar. Die Seite Richtlinien (Policies) enthält mehr als zweitausend Einträge. Filtere sie nach dem Stichwort „Copilot“ (ausführliche Anleitung). Copilot ist ein kostenpflichtiges Office-Add-on, darum gibt es noch eine Möglichkeit ihn zu blockieren und dabei sogar Geld sparen: Weise den Nutzern einfach keine SKUs zu, die Copilot enthalten.

Unsere Empfehlung: Blockiere Copilot Chat separat (in Teams, Edge, Outlook und einigen anderen Diensten verfügbar). Ja, Copilot Chat ist etwas anderes als Copilot. Und darum muss er extra blockiert werden. Hier findest du eine Anleitung.

Zusätzliche Schutzebene: Du kannst die Domänen copilot.cloud.microsoft und m365.cloud.microsoft/chat auf Webfilter- oder NGFW-Ebene blockieren. Microsoft rät allerdings ausdrücklich davon ab und warnt, dass dadurch andere Microsoft 365-Funktionen beeinträchtigt werden könnten.

Windows Copilot deaktivieren

Neben der Office-Version von Copilot musst du dich auch um die Variante für Endbenutzer kümmern.

Ist diese KI-Funktion aktiviert? Suche in deinen NGFW- oder anderen Netzwerkprotokollen nach Datenverkehr mit copilot.microsoft.com, bing.com/chat oder edgeservices.bing.com.
Deaktivierung über Richtlinien: Gehe in der Windows-Gruppenrichtlinie zu Computerkonfiguration (Computer Config)Administrative Vorlagen (Admin Templates)Windows-Komponenten (Windows Components)Windows Copilot. Wechsle in der Microsoft 365-Gruppenrichtlinie zu Admin CenterCopilot-Einzelnutzung für Unternehmenskonten blockieren (Block consumer Copilot for organizational accounts).

Zusätzliche Schutzebene: Blockiere die ausführbare Datei Copilot.exe vollständig.

Copilot in der Edge-Seitenleiste deaktivieren

Ist diese KI-Funktion aktiviert? Suche in deinen NGFW- oder anderen Netzwerkprotokollen nach Datenverkehr mit copilot.microsoft.com, bing.com/chat oder edgeservices.bing.com.

Blockieren: Konfiguriere die folgenden MS Edge-Gruppenrichtlinien: HubsSidebarEnabled = false, EdgeShoppingAssistantEnabled = false, CopilotPageContext = Disabled (false), CopilotNewTabPageEnabled = false, Microsoft365CopilotChatIconEnabled = false, GenAILocalFoundationalModelSettings = 1 (Hinweis: Für die Deaktivierung steht jetzt eine 1 steht, keine 0).

Zweite Schutzebene: Blockiere die Domänen copilot.cloud.microsoft und m365.cloud.microsoft/chat auf Webfilter- oder NGFW-Ebene. Microsoft rät jedoch ausdrücklich davon ab und warnt davor, dass andere Funktionen beeinträchtigt werden können.

Gemini Assistant in Google Workspace deaktivieren

Ist diese KI-Funktion aktiviert? Überprüfe in der Workspace-Admin-Konsole (admin.google.com) den Berichtsabschnitt Gemini-Nutzung (Gemini usage).

Deaktivierung über Richtlinien: Gehe in der Admin-Konsole zu AppsZusätzliche Google-Dienste (Additional Google services) → > Gemini-App (Gemini app) und setze die Option auf AUS (OFF). Gehe dann zu Einstellungen der smarten Funktionen in Workspace verwalten (Manage Workspace smart feature settings)Smarte Funktionen in Google Workspace (Smart features in Google Workspace) und wähle die Variante AUS (OFF).

Zweite Schutzebene: Blockiere den Netzwerkverkehr zu den Domänen gemini.google.com, bard.google.com und aistudio.google.com.

Gemini in Google Chrome deaktivieren

Ist diese KI-Funktion aktiviert? Überprüfe die Chrome Enterprise-Berichte (Chrome-Verwaltung (Chrome management)Berichte (Reports)) oder suche in den Protokollen des Netzwerkverkehrs nach Verbindungen mit den oben genannten Domänen.

Deaktivierung über Richtlinien: Passe in den Chrome Enterprise-Richtlinien die folgenden Einstellungen an: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (deaktiviert), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.

Zusätzliche Schutzebene: Blockiere den Netzwerkverkehr zu den Domänen gemini.google.com, bard.google.com und aistudio.google.com. Blockiere auch nicht autorisierte Chrome/Chromium-Installationen (die nicht zu deiner Richtlinienverwaltung gehören) mithilfe hostbasierter Tools zur Anwendungskontrolle (z. B. EPP/EDR oder AppLocker).

Apple Intelligence deaktivieren

Ist diese KI-Funktion aktiviert? Wenn deine NGFW und die Webfilter Datenverkehr mit apple-relay.apple.com und *.apple-cloudkit.com protokolliert haben, ist Apple Intelligence aktiv.

Deaktivierung über Richtlinien: Du kannst auf jedem verwalteten Apple-Gerät einzelne KI-Funktionen deaktivieren. Es gibt jedoch keinen Hauptschalter für alle KI-Features. In deinem MDM-Profil musst du die folgenden Schlüssel auf false (deaktiviert) setzen: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription und allowNotesTranscriptionSummary. Hier ein kurzer Ausschnitt aus der Konfiguration:

<dict>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>allowWritingTools</key>
<false/>
<key>allowMailSummary</key>
<false/>
</dict>

Obwohl Apple jetzt die deklarative Geräteverwaltung verwendet, müssen diese KI-Funktionen immer noch über die herkömmlichen MDM-Einstellungen gemanagt werden.

Zweite Schutzebene: Blockiere den Netzwerkverkehr zu den oben genannten Hosts. Der offensichtliche Nachteil für Mobilgeräte besteht darin, dass dies nicht mehr funktioniert, sobald Geräte das Unternehmensnetzwerk verlassen.

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?

  • Für alle anderen Länder