Während Unternehmen und Content-Ersteller in Scharen auf das kürzlich eingeführte ChatGPT – ein Tool mit künstlicher Intelligenz (KI) zum Schreiben – zurückgreifen, hat die Bundesregierung eine Warnung herausgegeben, die Benutzer vor den Cybersicherheitsbedrohungen warnt, die das OpenAI-Tool für ahnungslose Benutzer darstellen könnte.
Das von Microsoft unterstützte KI-Tool birgt kritische Risiken im Bereich führender Cyber-Bedrohungen wie Phishing und Malware-Entwicklung, warnte die Kabinettsabteilung in ihrer Stellungnahme.
Darin heißt es: „Um die Gefahr einer solchen KI-gestützten Ausbeutung zu verhindern, müssen proaktiv äußerste Vorsicht, gebotene Sorgfalt und Sorgfalt walten.“
Das Dokument enthielt außerdem Richtlinien für die Sicherheit der Benutzer.
ChatGPT-schädliche Funktionen
Im Folgenden finden Sie eine nicht erschöpfende Liste der Möglichkeiten, wie böswillige Akteure ChatGPT nutzen können:
A. Malware-Generierung: Die Generierung von Malware durch ChatGPT ist keine bloße theoretische Möglichkeit mehr. Sein Einsatz gewinnt bereits an Bedeutung und wird in verschiedenen Dark-Web-Foren diskutiert.
B. Phishing-E-Mails: ChatGPT hat bewiesen, dass es in der Lage ist, äußerst überzeugende Phishing- und Spear-Phishing-E-Mails zu generieren, bei denen die Möglichkeit und Wahrscheinlichkeit besteht, dass sie durch die Spam-Filter des E-Mail-Anbieters schlüpfen.
C. Betrugswebsite: Durch die niedrigere Hürde für die Codegenerierung kann ChatGPT weniger erfahrenen Bedrohungsakteuren dabei helfen, mühelos bösartige Websites wie getarnte und Phishing-Landingpages zu erstellen. Beispielsweise können böswillige Akteure ohne oder mit geringen Kenntnissen eine bestehende Website mit ChatGPT klonen und sie dann ändern, gefälschte E-Commerce-Websites erstellen oder eine Website mit Scareware-Betrügereien usw. betreiben.
D. Desinformationskampagnen: Mit ChatGPT haben Benutzer Zugriff auf eine Software, die in der Lage ist, äußerst überzeugende Prosa zu schreiben und in einem Bruchteil der Zeit Tausende von gefälschten Nachrichten und Social-Media-Beiträgen zu generieren.
Richtlinien/Vorbeugungsmaßnahmen
A. Vorbeugung gegen Phishing-E-Mails:
- Öffnen Sie niemals unbekannte, unerwartete und/oder verdächtige E-Mails, Links und Anhänge.
- Bevor Sie Anhänge herunterladen, einschließlich vertrauenswürdiger Anhänge, scannen Sie diese mit dem vom E-Mail-Dienstanbieter bereitgestellten Antivirenprogramm. Wenn der E-Mail-Dienst keine Virenscandienste bereitstellt, können alle heruntergeladenen Dateien vor dem Öffnen mit einem lokalen Antivirenprogramm gescannt werden.
- Wenden Sie Aktualisierungen des Betriebssystems und der Softwareanwendungen auf allen Computergeräten wie PCs, Laptops, Mobiltelefonen, Wearables usw. an.
- Verwenden Sie auf allen Computergeräten renommierte und vertrauenswürdige Antiviren-/Antimalwareprogramme.
- Verwenden Sie niemals persönliche Konten auf offiziellen Geräten.
- Verwenden Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA).
- Geben Sie niemals persönliche Daten und Anmeldeinformationen an nicht autorisierte/verdächtige Benutzer, Websites, Anwendungen usw. weiter.
- Geben Sie immer URLs in den Browser ein, anstatt auf Links zu klicken.
- Öffnen Sie Websites immer mit HTTPS und vermeiden Sie den Besuch von HTTP-Websites.
B. Anti-Masquerading-Richtlinien
(1) Administratoren
- Beschränken Sie eingehenden Datenverkehr und Benutzerberechtigungen auf das größtmögliche Maß, indem Sie eine Systemhärtung auf Betriebssystem-, BIOS- und Anwendungsebene implementieren.
- Unautorisierte Speichermedien (z. B. USBs) werden über die Systemhärtung blockiert.
- Formatieren Sie Wechselmedien häufig, um die seitliche Verbreitung von Malware so weit wie möglich zu verhindern.
- Überwachen Sie die Netzwerkaktivität, indem Sie (mindestens) Überprüfungen anhand von Datei-Hashes, Dateispeicherorten, Anmeldungen sowie erfolglosen Anmeldeversuchen durchführen.
- Nutzen Sie renommierte und vertrauenswürdige Anti-Malware-, Antiviren-, Firewall-, IPS-, IDS- und SIEM-Lösungen.
- Verwenden Sie separate Server/Routing für Offline-LAN und Online-Netzwerke.
- Erlauben Sie bestimmten Benutzern bei Bedarf den Internetzugang und schränken Sie die Datennutzungs-/Anwendungsrechte ein.
- Überprüfen Sie Software und Dokumente vor dem Herunterladen mithilfe der digitalen Codesignaturtechnik.
- Implementieren Sie MFA in den Administratorkontrollen von Mailingsystemen und anderen kritischen Systemen.
- Führen Sie stets regelmäßig Backups wichtiger Daten durch.
- Ändern Sie regelmäßig Passwörter auf Administratorebene.
- Patchen und aktualisieren Sie regelmäßig alle Betriebssysteme, Anwendungen und andere technische Geräte.
- Um die Angriffsfläche für die Ausführung von Schadcode zu verringern; Es wird empfohlen, dass sich der Benutzer immer mit dem Konto anmeldet, das über Standardbenutzerrechte verfügt.
(2) Endbenutzer
- Überprüfen Sie vor dem Herunterladen immer erneut vertrauenswürdige Benutzer, die E-Mails/Anhänge auf sekundärem Wege (Anruf, SMS, mündlich) gesendet haben.
- Melden Sie verdächtige Aktivitäten sofort dem Administrator.
- Speichern Sie kritische Daten niemals auf Online-Systemen, sondern lieber auf eigenständigen Systemen.
(3) Richtlinien für ChatGPT-Benutzer
- Achten Sie bei der Verwendung von ChatGPT auf die weitergegebenen Informationen. Vermeiden Sie die Weitergabe sensibler oder vertraulicher Informationen wie Passwörter, Finanzinformationen oder persönliche Daten.
- Seien Sie vorsichtig mit Links und Anhängen. ChatGPT stellt als Teil seiner Antworten möglicherweise Links oder Anhänge bereit, es ist jedoch wichtig, Vorsicht walten zu lassen, bevor Sie darauf klicken. Überprüfen Sie immer die Quelle des Links oder Anhangs und nehmen Sie sich vor verdächtigen/unbekannten Quellen in Acht.
Offizielle Telefone DÜRFEN NICHT für ChatGPT verwendet werden.
(4) Sollten Sie bei der Nutzung von ChatGPT auf ein Sicherheitsproblem stoßen, melden Sie es bitte umgehend an Open AI.
Prävention gegen Desinformationskampagnen aller Regierungen
Die Abteilungen ergreifen als vorbeugende Maßnahmen folgende Maßnahmen:
- Es werden regelmäßig Aufklärungskampagnen und Schulungen durchgeführt.
- Versuchen Sie immer, Informationen aus mehreren Quellen zu überprüfen.