phonlamaiphoto - stock.adobe.com
ChatGPT: Die Sicherheitsrisiken für Unternehmen
Ob nun als Werkzeug von Cyberkriminellen oder durch die Nutzung von den eigenen Mitarbeitern im Unternehmen. Tools wie ChatGPT bergen neue Sicherheitsrisiken für Firmen.
Während ChatGPT in den Unternehmen einen beispiellosen Hype ausgelöst hat, haben nicht alle IT-Führungskräfte den KI-Chatbot mit offenen Armen empfangen. In den USA haben bereits einige Unternehmen entsprechend reagiert. Verizon hat seinen Mitarbeitern den Zugriff auf das Programm bei der Arbeit untersagt, da die Führungskräfte Bedenken wegen der Sicherheitsrisiken von ChatGPT hegten. Und laut Wall Street Journal hat auch JPMorgan Chase & Co. seinen Mitarbeitern die Nutzung des umfangreichen Sprachmodells aus Compliance-Gründen untersagt. Forbes berichtet, dass viele andere Unternehmen - darunter Amazon, Bank of America, Citigroup, Deutsche Bank, Goldman Sachs und Wells Fargo - dem Beispiel gefolgt sind und die Nutzung von ChatGPT durch ihre Mitarbeiter eingeschränkt haben.
Cyberkriminelle nutzen ChatGPT bereits, um bösartige Tools zu entwickeln, wie eine Analyse von Check Point Research über die Aktivitäten von Untergrund-Hacking-Communities zeigt. Es liegt auf der Hand, dass generative KI die Bedrohungslandschaft in den kommenden Monaten und Jahren zum Schlechteren verändern könnte.
IT-Teams sollte die folgenden fünf ChatGPT-Sicherheitsrisiken im Unternehmen beachten.
1. Malware
Generative KI, die ethischen einwandfreien Code schreibt, kann auch Malware schreiben. Und obwohl ChatGPT Aufforderungen, die es als explizit illegal oder bösartig erkennt, zurückweist, haben Benutzer festgestellt, dass sie die Vorgaben des Programms relativ leicht umgehen können. Böswillige Hacker könnten ChatGPT beispielsweise bitten, Code für Penetrationstests zu generieren, um ihn dann zu optimieren und für Cyberangriffe zu verwenden.
Auch wenn die Macher von ChatGPT ständig daran arbeiten, Jailbreaking-Aufforderungen zur Umgehung der App-Steuerung zu unterbinden, werden die Nutzer unweigerlich immer wieder die Grenzen der App überschreiten und neue Umgehungsmöglichkeiten finden. Man denke nur an die Reddit-Gruppe, die ChatGPT wiederholt dazu gebracht hat, eine fiktive KI-Persönlichkeit namens DAN - kurz für „Do Anything Now“ - zu spielen, die ohne ethische Einschränkungen auf Anfragen antwortet.
2. Phishing und andere Social-Engineering-Angriffe
Laut des „2022 Data Breach Investigations Report“ von Verizon ist eine von fünf Datenschutzverletzungen auf Social Engineering zurückzuführen. Generative KI wird dieses hartnäckige Problem wahrscheinlich noch verschlimmern. Viele Security-Verantwortliche rechnen mit mehr - und ausgefeilteren - Phishing-Angriffen in der Zukunft.
Dank des umfangreichen Datensatzes, auf den ChatGPT zurückgreift, haben Täter, die es benutzen, eine viel höhere Wahrscheinlichkeit, erfolgreiche Social-Engineering-Kampagnen zu starten. Unsaubere Texte, Rechtschreib- und Grammatikfehler warnen die Nutzer bislang mitunter vor versuchten Phishing-Angriffen.
Mit generativer KI können Cyberkriminelle jedoch in kürzester Zeit äußerst überzeugende Texte generieren, diese auf bestimmte Opfer zuschneiden – das heißt Spear Phishing betreiben - und sie auf verschiedene Medien wie E-Mail, Direktnachrichten, Telefonanrufe, Chatbots, Social-Media-Kommentare und gefälschte Websites abstimmen. Angreifer könnten sogar die Ergebnisse von ChatGPT in Verbindung mit KI-basierter Software zum Stimmen-Spoofing und zur Bilderzeugung nutzen, um ausgeklügelte Deepfake-Phishing-Kampagnen zu erstellen.
3. Offenlegung von sensiblen Daten
Ohne eine angemessene Sicherheitsschulung und -ausbildung könnten ChatGPT-Benutzer versehentlich vertrauliche Informationen in Gefahr bringen. Laut einer Studie des Datensicherheitsanbieters Cyberhaven gaben Mitarbeiter eines durchschnittlichen 100.000-Personen-Unternehmens im Laufe einer einzigen Woche Anfang 2023 199 mal vertrauliche Geschäftsdaten in ChatGPT ein.
Die Benutzer wissen vielleicht nicht, dass die öffentlich zugängliche Version von ChatGPT ihre Eingaben nicht für sich behält, sondern sie verwendet, um zu lernen und auf zukünftige Anfragen zu reagieren. Hinweis: ChatGPT-API-Integrationen auf Unternehmensebene können den Datenschutz aufrechterhalten.
Die Cyberhaven-Forscher nennen zum Beispiel folgendes Szenario: Eine Führungskraft bittet ChatGPT, PowerPoint-Folien für eine interne Präsentation zu erstellen und kopiert dazu ein Dokument zur Unternehmensstrategie in die App. Künftige ChatGPT-Anfragen zu den strategischen Prioritäten des Unternehmens - möglicherweise sogar von Nutzern konkurrierender Firmen - könnten Details direkt aus dem privaten Dokument zur Unternehmensstrategie, das die Führungskraft geteilt hat, entlocken.
4. Werkzeug für Cyberkriminelle
Generative KI wird wahrscheinlich viele positive Auswirkungen auf die Bildung haben, wie zum Beispiel die Verbesserung der Ausbildung von Sicherheitsanalysten auf Einstiegsebene. Auf der anderen Seite könnte ChatGPT aber auch angehenden Hackern eine Möglichkeit bieten, ihre Fähigkeiten effizient und effektiv auszubauen.
Ein unerfahrener Bedrohungsakteur könnte ChatGPT zum Beispiel fragen, wie er eine Website hacken oder Ransomware einsetzen kann. Wie bereits erwähnt, zielen die Richtlinien von OpenAI darauf ab, den Chatbot daran zu hindern, solche offensichtlich illegalen Aktivitäten zu unterstützen. Indem er sich als Pentester ausgibt, kann der böswillige Hacker die Frage jedoch so umformulieren, dass ChatGPT mit detaillierten Schritt-für-Schritt-Anweisungen antwortet.
Generative KI-Tools wie ChatGPT könnten Millionen neuer Cyberkrimineller dabei helfen, technische Kenntnisse zu erlangen, was insgesamt zu einem erhöhten Sicherheitsrisiko führt.
5. API-Angriffe
Da die Zahl der APIs in Unternehmen exponentiell zunimmt, steigt auch die Zahl der API-Angriffe. Laut den Forschern des API-Sicherheitsunternehmens Salt Security stieg die Zahl der einzelnen Angreifer, die es auf die APIs von Kunden abgesehen haben, allein in den letzten sechs Monaten des Jahres 2022 um 874 Prozent.
Die Analysten von Forrester haben vorausgesagt, dass Cyberkriminelle irgendwann generative KI nutzen könnten, um die einzigartigen Schwachstellen von APIs zu finden - ein Prozess, der ansonsten viel Zeit und Energie erfordert. Theoretisch könnten Angreifer ChatGPT auffordern, die API-Dokumentation zu prüfen, Informationen zu sammeln und API-Abfragen zu erstellen, um Schwachstellen effizienter und effektiver aufzudecken und auszunutzen.
