Meeting Bots: Hilfreicher Assistent oder Sicherheitsalbtraum?

Bots und KI-Meeting-Assistenten sind großartig für die Produktivität, aber ein potenzieller Sicherheitsalbtraum, wenn sie unbeaufsichtigt bleiben. Selbst wenn sie nicht böswillig sind, können sie alle möglichen Probleme verursachen, von Bedenken bezüglich der Datenresidenz bis hin zum Verlust der rechtlichen Vertraulichkeit. Bots können eine größere Gefahr darstellen, als Ihnen vielleicht bewusst ist. Gewinnen Sie die Kontrolle zurück, indem Sie die Einstellungen Ihrer Teams Lobby abhärten, Ihre „menschliche Firewall“ trainieren und eine erweiterte Überwachung einsetzen, um genau zu sehen, welche Bots sich an den Anrufen Ihres Unternehmens beteiligen.

Übernehmen Bots unsere Meetings? Und wenn ja, was machen sie?

Es werden immer mehr Bots eingeführt, die einen Mehrwert für Meetings und Anrufe bieten. Von nativen Microsoft Bots, die Aufgaben wie Übersetzung, Aufzeichnung oder die Verwaltung von Anrufwarteschlangen übernehmen, über externe Tools wie Otter.ai und Fireflies.ai, die Notizen machen und Aufgaben eines virtuellen Assistenten übernehmen, bis hin zu selbst erstellten Bots, die Ihr Unternehmen einsetzt, um alles von der Überwachung der Compliance und der Sicherheit bis hin zur einfachen Anrufbearbeitung zu erledigen.

Endbenutzer sehen diese Bots in der Regel als Teilnehmer. Oft mit Namen, die sich auf die Aufgabe beziehen, die sie ausführen (z.B. „[Name des Benutzers] Mitschreiber“) oder auf das Produkt, das sie vertreten. Selten genug, dass die Benutzer vollständig verstehen, warum sie da sind und was das bedeutet.

Dann gibt es noch die Situation, dass Bots nicht angezeigt werden oder versuchen, ihre Identität zu verbergen. Die meisten nativen Bots von Microsoft tauchen beispielsweise nicht in der Teilnehmerliste auf, was wahrscheinlich nicht sehr besorgniserregend ist, da sie schließlich Teil des Standard-Toolkits von Teams sind, aber es gibt andere Bots, die unbemerkt sind oder versuchen könnten, unbemerkt zu bleiben. Nicht unbedingt zu bösartigen Zwecken, aber dennoch können sie Risiken darstellen, derer Sie sich vielleicht nicht bewusst sind.

Theoretisch hat jeder Bot, der einer Besprechung beitritt, eine Teilnehmer-ID und wird in der Teilnehmerliste angezeigt und verfügt über eine Videokachel. Bots können jedoch versuchen, ihre Anwesenheit zu verbergen oder zu unterdrücken. Manchmal absichtlich, zu böswilligen Zwecken, oder um nicht aufzufallen, wie im Fall von Compliance-Bots. Und manchmal ist es tatsächlich nur unbeabsichtigt, wie dieser Forenbeitrag zeigt. Das bedeutet jedoch, dass es Möglichkeiten gibt, wie ein Bot unentdeckt bleiben kann und nicht in der Teilnehmerliste oder den Videokacheln auftaucht.

Eine weitere Methode, mit der Bots versuchen, ihre Identität zu verbergen, besteht darin, einfach einen Namen anzunehmen, den man für eine normale Person halten könnte. Besonders in größeren Besprechungen kann das unentdeckt bleiben. Der virtuelle Assistent von Fireflies.ai heißt zum Beispiel ‚Fred‘. Wenn Sie ein größeres Meeting mit Externen veranstalten und einer von ihnen Fireflies.ai benutzt, könnte es sein, dass Sie nicht wissen, dass der ‚Fred‘ in der Lobby keine echte Person ist. Vor allem, wenn Ihre eigene Organisation Fireflies.ai nicht verwendet.

Ein weiteres Element dieser virtuellen Meeting-Assistenten ist, dass sie oft Zugriff auf den Kalender des Nutzers verlangen, so dass sie Zugriff auf alle Meeting-Einladungen haben, die der Nutzer in seinem Kalender hat und an denen sie dann versuchen, automatisch teilzunehmen. Auch bei solchen, bei denen Sie das eigentlich nicht wollen. Zum Beispiel bei einer Besprechung der Personalabteilung oder einer finanziellen oder vertraulichen Besprechung. Zumal solche Dienste in der Regel im Nachhinein Zusammenfassungen der Besprechung an alle Teilnehmer senden, auch an diejenigen, die nicht teilgenommen haben.

Ein Beispiel dafür, wie schädlich dies für ein Unternehmen sein kann, wird in diesem Blog von MLT Aikins sehr schön erklärt.

Was sind also die Risiken von Bots in Meetings im Allgemeinen? Es gibt mehrere Risiken im Zusammenhang mit Bots, und nicht alle beinhalten böswillige Absichten.

Datenaufbewahrung und Sicherheit: Bots, die Informationen sammeln, speichern diese Daten auf einem Server. Im Falle von Drittanbietern könnte dies bedeuten, dass sensible Informationen außerhalb der Kontrolle der IT-Abteilung gespeichert werden. Dies könnte die Sicherheit sowie die Einhaltung von Vorschriften, Branchen und Unternehmen gefährden. Noch schlimmer ist es, wenn es sich bei der Anwendung um eine „kostenlose“ App handelt und es keinen formellen Vertrag gibt, der das Eigentum an den Daten, die Sicherheit und den Aufenthaltsort regelt.

Datenqualität und Eigentum: Bots interpretieren und verarbeiten Daten. Das bedeutet, dass einige der Daten möglicherweise nicht einmal korrekt sind. Das bringt uns zum nächsten Risiko, nämlich dass Anbieter die gesammelten Daten zum Trainieren ihrer Bots verwenden könnten. Das könnte bedeuten, dass das aus Ihren Meetings gewonnene und von einem Bot (richtig oder falsch) interpretierte Wissen zur Unterstützung anderer Kunden verwendet wird.

Rechtliche Konsequenzen: Abgesehen von den offensichtlichen Rechtsprechungs-, Compliance- und Sicherheitsrisiken könnte der Einsatz von Bots in Meetings auch einige andere, vielleicht nicht erwartete, rechtliche Konsequenzen nach sich ziehen. Es gibt einige interessante Artikel darüber, welche Auswirkungen die von Drittanbieter-Bots während der Sitzungen gesammelten Daten haben könnten. Einschließlich des Verlusts des Anwaltsgeheimnisses und des geänderten Offenlegungsstatus.

Natürlich ist es wichtig, sich der Risiken des Einsatzes von Bots in Meetings bewusst zu sein und Maßnahmen zu ergreifen, um den Einsatz von Bots zu überwachen und zu schützen.

Der effektivste Weg, unerwünschte Bots zu blockieren, besteht darin, sicherzustellen, dass sie nicht ohne menschliches Eingreifen an einem Meeting teilnehmen können.

Microsoft ist sich des Risikos bewusst, dass Bots unerwünscht in Meetings eindringen, und hat kürzlich Optionen hinzugefügt, mit denen Sie automatisch überprüfen können, ob es sich um einen Bot oder einen Menschen handelt, bevor Sie ihn überhaupt in die Lobby lassen.

Viele Bots treten bei, weil ein Benutzer eine Anwendung eines Drittanbieters „installiert“ hat (z. B. ein Notizprogramm). Admins können dies an der Quelle kontrollieren.

Dieser Punkt kann schwierig sein. Die meisten seriösen Bots haben einen Namen und ein Symbol, das deutlich macht, was sie sind und was sie tun. Einige haben dies jedoch nicht. Microsofts 2026 UI macht es jetzt etwas einfacher, diese Entitäten zu identifizieren. In der Besprechungsliste:

All das macht eines deutlich. Nichts davon wird wasserdicht sein. Selbst wenn Sie den externen Zugriff beschränken, den anonymen Zugriff blockieren oder die Lobbybeschränkungen verschärfen, wird es immer Situationen oder Benutzer geben, die Ausnahmen erfordern. Je nach ihrer spezifischen Rolle oder dem Kontext der Besprechung. Außerdem können Benutzer an Besprechungen teilnehmen, die von externen Benutzern initiiert wurden und bei denen andere Konfigurationen im Spiel sind. Sie haben keine Kontrolle über diese Besprechungen und darüber, welche Bots an diesen Gesprächen teilnehmen. Absichtlich oder unabsichtlich.

Deshalb ist es wichtig, dieses Problem nicht nur als „technisches“ Problem zu betrachten, das mit Einstellungen und Einschränkungen zu lösen ist, sondern als eines, das eine aktive Schulung und Sensibilisierung Ihrer Benutzer erfordert. Die Benutzer sollten wissen, wie sie einen Bot erkennen können, sich der Risiken bewusst sein und Anweisungen erhalten, wie sie sich verhalten sollen, wenn sie der Situation nicht trauen. Am wichtigsten ist, dass sie sich befähigt fühlen, ihre Meinung zu äußern, damit die Organisatoren von Besprechungen Maßnahmen ergreifen können. Sie sollten mit Informationen vorsichtig sein, bis die Situation geklärt ist, und einem Administrator berichten, was ihnen aufgefallen ist, wenn sie sich unwohl fühlen.

Und schließlich: Reicht es aus, sich nur auf die Einstellungen und das Bewusstsein der Benutzer zu verlassen? Nein. Wie gesagt, es gibt fast immer Ausnahmen, die eine aktive Überwachung erfordern. Selbst bei legitimen Bots, bei denen Sie wissen möchten, ob sich z.B. der Host geändert hat oder ob er auf der richtigen Version läuft.

Die Überwachung, welche Bots den Meetings der Benutzer beitreten, kann für Administratoren eine Herausforderung sein. Das Team Admin Center von Microsoft teilt Ihnen mit, dass ein nicht einheimischer Bot der Besprechung beigetreten ist, nennt ihn aber oft nur „Bot“. Damit ist nicht klar, ob es sich um einen genehmigten oder nicht genehmigten Bot handelt. Auch andere Details, die wichtig sind, um sicherzustellen, dass es sich um einen vertrauenswürdigen Bot handelt, werden nicht genannt. Mit TrueDEM sind detaillierte Bot-Informationen verfügbar, vom Namen und der Version bis hin zum Backend-Host, auf dem sie laufen. So können Administratoren direkt sehen, welche Bots an welchem Meeting teilgenommen haben und welchen Backend-Host sie verwenden. Weitere Informationen über die Überwachung von nativen und nicht-nativen Meeting-Bots und ihre Bedeutung finden Sie in dem Artikel von Stefan Fried.