Illustration: Absmeier freepik toon35
Der Hype um Schnelligkeit, produktives Arbeiten und Automatisierung wird auch von Cyberkriminellen aufgegriffen.
Wer kennt ihn mittlerweile nicht, den kleinen KI-Helfer im Berufsalltag: ChatGPT. Das innovative System mit einer Kombination aus fortschrittlicher künstlicher Intelligenz (KI) und menschenähnlicher Chat-Kommunikation ist eine Revolution im Business-Alltag.
»Mit den neuen Möglichkeiten und Chancen, die ChatGPT bietet, dürfte es die Art, wie wir arbeiten, verändern. Gleichzeitig stellt das Tool auch neue Herausforderungen dar«, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP (www.psw-group.de), und verdeutlicht: »Denn wo das KI-Tool einerseits ein großes Potenzial für verschiedene und vielseitige Einsatzmöglichkeiten birgt und beispielsweise Routinearbeiten automatisiert, regelmäßige Analysen großer Datenmengen erleichtert und bei der schnellen Erkennung möglicher Cyberangriffe hilft, dürfen die mit dieser Technologie verbundenen Risiken nicht außer Acht gelassen werden. Denn auch Cyberkriminelle können das Werkzeug ChatGPT für sich und ihre Ziele nutzen und großen Schaden anrichten.«
Die Funktionsweise von ChatGPT basiert auf maschinellem Lernen, das auf einer riesigen Menge an Textdaten trainiert wurde. Es nutzt Transformer-Architekturen, um natürliche Sprache zu generieren und auf menschliche Interaktionen auf Textbasis zu reagieren. Seine Fähigkeit, kontextbezogene Antworten zu produzieren, macht es deshalb zu einem leistungsstarken Werkzeug für die Kommunikation. Und tatsächlich kann ChatGPT bei vielen Aufgaben Hilfestellung leisten: Beim Verfassen von Texten, Aufsätzen und Reden, bei allgemeinen Recherchen oder als virtueller Assistent, um Kunden bei technischen Supportanfragen zu helfen. Auch Entwicklern hilft die KI, indem sie ihnen Codebeispiele für die Umsetzung von Projekten liefert, die Fehlerbeseitigung im Code übernimmt, wie logische Fehler oder auch Syntaxfehler, oder dabei hilft, Code effizienter zu gestalten. ChatGPT kann auch darin unterstützen, zurückliegende Cyberangriffe zu analysieren und zu prognostizieren sowie Sicherheitsvorfälle zu untersuchen und deren Ursache zu bestimmen.
Risiken von ChatGPT
»ChatGPT ist eine Hilfe bei der Automatisierung und Konfiguration von IT-Sicherheitstools und -Systemen. Denn es kann bei der Einrichtung von automatisierten Systemupdates sowie Regelerstellung der Firewall, Intrusion-Prevention-Systemen und der Serverkonfigurationen helfen«, ergänzt Schrenk gibt aber zu bedenken: »Die Verwendung von KI-Tools wie ChatGPT in der IT-Sicherheit erfordert den Zugriff auf große Mengen von Daten, darunter meist auch sensible Kundendaten. Das stellt aus Sicht des Datenschutzes eine grundsätzliche potenzielle Gefahr dar, falls diese Informationen abgegriffen, in falsche Hände geraten oder unsachgemäß genutzt werden.«
Und damit nicht genug: Viele Nutzende wissen gar nicht, dass die öffentlich zugängliche Version von ChatGPT die eingegebenen Daten nicht für sich behält, sondern diese für zukünftige Anfragen nutzt. Doch die von ChatGPT gesammelten Daten können sensible Informationen, wie persönliche oder finanzielle Daten, enthalten. »Und wie bei jeder Technologie, die persönliche Daten speichert, besteht das Risiko von Datenschutzverletzungen oder anderen Sicherheitsproblemen. Solange keine personenbezogenen Daten in ChatGPT eingegeben werden, gilt die Datenschutzgrundverordnung (DSGVO) nicht. Allerdings sollten Nutzende die von ChatGPT generierten Texte daraufhin überprüfen, ob sie personenbezogene Daten Dritter enthalten«, warnt Schrenk und rät: »Wenn dies der Fall ist, rate ich unbedingt von der Verwendung der generierten Texte ab.«
Hinzu kommt: Die KI ist darauf trainiert, wie ein Mensch zu antworten. Wenn ChatGPT aber eine Antwort nicht kennt, beginnt das Tool mitunter, Fakten zu erfinden, ungenaue oder falsche Informationen zu liefern. Zudem fehlt es der Maschine an menschlichen Emotionen, Intuition, Erfahrung und Kreativität, was dazu führt, dass Aspekte übersehen oder unterschätzt werden.
Bedrohungen durch ChatGPT
»ChatGPT kann auch von Kriminellen dafür genutzt werden, ihre Angriffe zu optimieren und Sicherheitsmaßnahmen zu umgehen. So kann Technologie dazu missbraucht werden, gefälschte Nachrichten oder Phishing-Angriffe zu generieren, die für den Menschen schwer von den realen Kommunikationen zu unterscheiden sind«, warnt Schrenk. Tatsächlich sind mehrere Szenarien möglich, wenn Cyberkriminelle das Tool für ihre Zwecke nutzen.
Erstellung von Malware
ChatGPT kann Code für Malware reproduzieren. Die Daten dafür bekommt es aus den Datenbanken des World Wide Webs. »Obwohl die OpenAI-Entwickler von ChatGPT diese Aufforderung als illegal festgelegt habe, umgehen Kriminelle dieses Problem einfach durch Formulierung. Sie bitten ChatGPT um die Generierung eines Penetrationstest, um diesen entsprechend zu optimieren und umzuwandeln. Und indem sie verschiedene Mutationen derselben Malware mithilfe der KI entwickeln, können Angreifende die Sicherheitsmaßnahmen von Unternehmens relativ problemlos umgehen«, verdeutlicht Schrenk.
Phishing und Social-Engineering Angriffe auf neuem Level
Um ein Unternehmensnetz zu infiltrieren, nutzen Angreifende als ersten Schritt häufig Phishing-Mails. Die derzeitige Technik ist – auch in Kombination mit der menschlichen Intuition – in der Lage, viele dieser Attacken abzufangen. »Mithilfe der künstlichen Intelligenz ist es in kürzester Zeit möglich, überzeugende und auf die Opfer zugeschnittene KI-Texte zu generieren, die obendrein auf E-Mails, Direktnachrichten, Telefonanrufe, Chatbots, Social-Media-Kommentare und gefälschte Websites abgestimmt sind. Darauf nicht hereinzufallen, dürfte sehr schwer werden«, warnt die Expertin.
API-Schwachstellen finden und ausnutzen
Cyberkriminelle könnten die KI-Technologie dafür nutzen, API-Schwachstellen in IT-Systemen von Unternehmen zu finden. »Normalerweise ist dies ein Prozess, der viel Zeit und Energie erfordert, aber durch ChatGPT radikal verkürzt wird. Die Angreifenden fordern ChatGPT einfach dazu auf, die API-Dokumentation zu prüfen, Informationen zu sammeln und API-Abfragen zu erstellen, um Schwachstellen effizienter und effektiver aufzudecken. Diese können sie dann ausnutzen«, macht Schrenk klar.
Vorurteile und Verbreitung von Fehlinformationen
ChatGPT kann nur die Antworten ausgeben, auf die das System Zugriff hat und mit denen es »gefüttert« wird. Beruhen diese Daten auf Vorurteilen oder Halbwahrheiten, kann das potenziell gefährliche Konsequenzen haben. Denn Cyberkriminelle können das Tool mit Falschinformationen versorgen und die Ausgaben des Bots manipulieren. Somit können Hacktivisten, terroristische Organisationen, Hate Groups und sogar staatlich finanzierte Angreifende ChatGPT dafür nutzen, demokratischen Werte zu untergraben, Zwietracht zu säen sowie Verschwörungstheorien und computergestützte Propaganda, zum Beispiel in Form von »Deepfakes« zu verbreiten.
»Ich mir sicher, dass uns noch eine spannende und interessante Entwicklung in Sachen künstlicher Intelligenz bevorsteht. KI-Tools, wie ChatGPT, sind nicht grundlegend schwarz oder weiß, gut oder böse. Sie haben, wie ein Medaille, zwei Seiten und eine sorgfältige Abwägung der Chancen und Risiken ist von großer Bedeutung, um den Einsatz dieser Tools verantwortungsvoll und effektiv zu gestalten«, so Patrycja Schrenk.
Weitere Informationen unter: https://www.psw-group.de/blog/was-ist-chatgpt-chancen-und-risiken/9926