Tel: 70 26 48 50
Opret din support sag       Remote support 

Shadow AI sikkerhed: Styr Claude og ChatGPT med Microsoft Purview

IT-chef overvåger Shadow AI-brug på dashboard med Microsoft Purview

Shadow AI sikkerhed: Styr Claude og ChatGPT med Microsoft Purview

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres medarbejdere bruger allerede Claude og ChatGPT. Spørgsmålet er, om I ved det. Ifølge JumpCloud (2026) bruger 8 ud af 10 kontormedarbejdere offentlige AI-værktøjer uden IT-afdelingens godkendelse. Det skaber en Shadow AI-risiko, der kan koste jer dyrt — men den kan styres med de værktøjer, I allerede har i Microsoft 365.

Det vigtigste fra denne artikel

  • Kortlæg jeres AI-eksponering: Shadow AI rammer SMV’er hårdest — op mod 27 % af ansatte i virksomheder med 11–50 medarbejdere bruger uautoriseret AI (Reco AI, 2025).
  • Forbud virker ikke: Ansatte omgår blokering via private telefoner. Brug i stedet session-politikker i Defender for Cloud Apps til at tillade læsning, men blokere dataindsættelse.
  • Brug Purview til at opdage AI-trafik: Microsoft Purview kan automatisk identificere 600+ tredjeparts GenAI-apps, inkl. Claude og ChatGPT.
  • NIS2 kræver dokumenteret kontrol: Uautoriseret AI-brug er et brud på kravene til adgangskontrol og forsyningskædesikkerhed.
  • Databrud koster ekstra: Shadow AI-relaterede hændelser koster i gennemsnit $670.000 mere pr. brud (IBM, 2025).

Medarbejder bruger ChatGPT på laptop uden IT-afdelingens viden

Hvorfor Shadow AI er en større trussel end Shadow IT

Shadow IT handlede om uautoriserede apps og cloud-tjenester. Shadow AI er værre. Når en medarbejder kopierer et kundetilbud ind i ChatGPT eller beder Claude om at gennemgå en kontrakt, forlader data jeres kontrol på sekunder. Ifølge Netwrix (2025) involverer 92,6 % af følsomme dataeksponeringer i AI-apps kildekode og juridiske dokumenter.

Problemet vokser hurtigt. EPAM (2026) rapporterer, at Shadow AI nu spænder over alle afdelinger — fra marketing og HR til finans og drift. Og kun 30 % af virksomheder under 250 ansatte føler sig rustet til at vurdere AI-risici (Keypoint Law, 2025).

Før: Medarbejdere kopierer kundedata ind i gratis ChatGPT. IT-afdelingen har ingen synlighed. Data bruges potentielt til modeltræning.
Efter: Defender for Cloud Apps registrerer AI-trafikken, og en session-politik blokerer paste-handlinger. Medarbejderen kan stadig bruge værktøjet til research — men virksomhedsdata forbliver internt.

Sådan opdager I Shadow AI med Microsoft Purview

Har I Microsoft 365 Business Premium eller E5, har I allerede adgang til de nødvendige værktøjer. Microsoft Purview kan identificere tredjeparts GenAI-apps, og Defender for Cloud Apps giver jer mulighed for at sætte granulære politikker.

Tre konkrete trin til synlighed

  1. Aktivér Purview Data Security Posture Management (DSPM): Giver jer et overblik over, hvilke AI-tjenester der tilgås fra jeres netværk, og hvilke datatyper der deles.
  2. Opret en Cloud App Discovery-rapport: Defender for Cloud Apps analyserer jeres firewall- og proxy-logs og viser præcis, hvilke AI-apps medarbejderne bruger — inkl. Claude, ChatGPT og open-source-værktøjer.
  3. Sæt Endpoint DLP-politikker: Bloker upload af filer med følsomme datatyper (CPR-numre, kundedata, kildekode) til ikke-godkendte AI-domæner.

Microsoft Purview dashboard der viser opdagede tredjeparts AI-apps

Tjekliste: Shadow AI-sikkerhed for danske SMV’er

Område Handling Hvad I kigger efter
Synlighed Kør Cloud App Discovery i Defender Antal unikke AI-apps, brugere pr. app, datamængde uploadet
Klassificering Aktivér Purview-følsomhedslabels Dokumenter med CPR, CVR, kundedata, kildekode
Politikker Opret session-politikker i Defender for Cloud Apps Tillad læsning fra Claude/ChatGPT, bloker paste/upload af klassificerede data
Endpoint Udrul Endpoint DLP via Intune Blokering af filupload til ai.anthropic.com, chat.openai.com fra administrerede enheder
Governance Dokumentér AI-politik og del med alle medarbejdere Godkendte vs. ikke-godkendte AI-værktøjer, konsekvenser ved brud
NIS2 Inkludér AI-tjenester i jeres leverandør-risikovurdering Databehandleraftale, SOC2-status, træningsdata-politik hos AI-udbyderen
Audit Planlæg kvartalsvis gennemgang af AI-app-trafik Nye apps, ændringer i brugsmønstre, hændelser

Vil I vide, hvilke AI-værktøjer jeres medarbejdere bruger i dag? Book en AI-sikkerhedsscreening hos A-one Solutions. Vi kortlægger jeres eksponering og opsætter de rette politikker i Microsoft 365 — typisk på under én arbejdsdag. Kontakt os her.

Hvorfor forbud mod AI fejler — og hvad der virker i stedet

Mange virksomheder reagerer med et totalforbud mod ChatGPT og Claude. Det lyder logisk, men det virker sjældent. Ifølge BayTech Consulting (2026) vokser Shadow AI hurtigere end IT-afdelingen kan spore det — 83 % af organisationer rapporterer netop dette.

Ansatte finder veje udenom. Private telefoner, personlige konti, VPN. Forbud skubber blot brugen under radaren.

Før: IT blokerer ChatGPT på firmanetværket. Medarbejdere bruger det på private telefoner i stedet. Nul synlighed, fuld risiko.
Efter: IT tillader ChatGPT og Claude via Defender-session-politikker. Medarbejdere kan læse og prompte — men kan ikke indsætte virksomhedsdata. IT logger al aktivitet.

Den pragmatiske tilgang handler om kontrol, ikke forbud. Og den kræver tre ting: synlighed (Purview), politikker (Defender) og uddannelse (AI-politik).

Sammenligning af forbud vs kontrolleret AI-adgang i virksomheder

NIS2 og AI: Hvad kræver lovgivningen?

NIS2-direktivet nævner ikke ChatGPT eller Claude ved navn. Men det stiller krav til risikostyring af leverandører, adgangskontrol og forsyningskædesikkerhed. Når en medarbejder sender data til en tredjeparts AI-tjeneste, er det reelt en uautoriseret databehandler i jeres forsyningskæde.

Dokumentér derfor hvilke AI-tjenester I tillader, hvilke datatyper der må deles, og hvordan I håndhæver det teknisk. Microsoft Compliance Manager kan hjælpe jer med at mappe disse kontroller til NIS2-kravene.

Ofte stillede spørgsmål om Shadow AI

Hvad er Shadow AI?

Shadow AI er medarbejderes brug af AI-værktøjer (som ChatGPT, Claude eller open-source-alternativer) uden IT-afdelingens godkendelse eller kontrol. Det svarer til Shadow IT, men risikoen er større, fordi data aktivt sendes til eksterne modeller.

Er Claude sikkert for virksomheder?

Claude tilbyder SOC2-compliance på Pro- og Enterprise-licenser, og data bruges ikke til modeltræning på disse planer. Men bruger medarbejderne den gratis version, gælder ingen af disse garantier. Vurder altid licens- og databehandlingsvilkår, før I godkender brugen.

Hvordan opdager man Shadow AI i sin organisation?

Brug Cloud App Discovery i Microsoft Defender for Cloud Apps. Værktøjet analyserer netværkstrafik og identificerer AI-apps automatisk. Kombinér det med Purview DSPM for at se, hvilke datatyper der deles.

Kan man blokere upload af data til ChatGPT?

Ja. Med Endpoint DLP i Microsoft Purview kan I blokere upload af filer med følsomme datatyper til specifikke domæner. Med session-politikker i Defender for Cloud Apps kan I tillade læsning, men blokere paste- og upload-handlinger.

Hvad koster et Shadow AI-databrud?

Ifølge IBM’s Cost of a Data Breach Report (2025) koster Shadow AI-relaterede brud i gennemsnit $670.000 ekstra pr. hændelse — oven i de normale brudomkostninger.

Kræver NIS2, at vi styrer medarbejdernes AI-brug?

NIS2 kræver risikostyring af leverandører og adgangskontrol. AI-tjenester, der behandler virksomhedsdata, falder ind under disse krav. Dokumentér jeres AI-politik og håndhæv den teknisk for at overholde direktivet.

Hvilken Microsoft-licens kræves for at styre Shadow AI?

Microsoft 365 Business Premium inkluderer Defender for Cloud Apps og grundlæggende Purview-funktioner. For fuld Endpoint DLP og avanceret DSPM kræves typisk E5 eller E5 Compliance-tilføjelsen. Kontakt jeres MSP-partner for en licensgennemgang.

Næste skridt: Implementér Shadow AI-kontrol denne uge

  1. Dag 1: Aktivér Cloud App Discovery i Defender for Cloud Apps og lad den indsamle data i 48 timer.
  2. Dag 3: Gennemgå rapporten. Identificér de mest brugte AI-apps og de brugere, der uploader mest data.
  3. Dag 4: Opret følsomhedslabels i Purview for jeres mest kritiske datatyper (kundedata, kildekode, kontrakter).
  4. Dag 5: Konfigurér session-politikker i Defender, der tillader læsning fra godkendte AI-apps, men blokerer paste/upload af labelerede data.
  5. Dag 5: Udrul en kort AI-politik til alle medarbejdere — maks én A4-side med godkendte værktøjer, forbudte handlinger og kontaktperson ved tvivl.
  6. Uge 2: Planlæg kvartalsvis audit af AI-app-trafik og justér politikker efter behov.
Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde