Brett Raybould, EMEA Solutions Architect bei Menlo Security, skizziert die drei Risiken von chatgpt, die Unternehmen beachten sollten.
ChatGPT wurde im Januar 2023 zur am schnellsten wachsenden Anwendung aller Zeiten gekürt und erreichte innerhalb weniger Monate die Marke von 100 Millionen aktiven Nutzern. Im Juni verzeichnete die Website etwa 1,6 Milliarden monatliche Besuche.
Abgesehen vom Hype ist es für Unternehmen und Sicherheitsteams jedoch auch wichtig, die Sicherheitsauswirkungen und potenziellen Risiken von ChatGPT zu erkennen. Von der Weitergabe vertraulicher Informationen bis hin zu urheberrechtlichen und ethischen Bedenken bestehen Risiken im Zusammenhang mit der Nutzung der Plattform. Hier sind drei, die Unternehmen beachten sollten.
In der Nähe: Datenschutzverletzung bei ChatGPT
Aus Sicherheitssicht ist ein großes Warnsignal, dass ChatGPT selbst dieses Jahr aufgrund eines Fehlers in einer Open-Source-Bibliothek bereits Opfer einer Datenschutzverletzung wurde.
Bei näherer Untersuchung stellte OpenAI fest, dass dies möglicherweise der Fall war unbeabsichtigte Sichtbarkeit zahlungsbezogener Informationen von 1,2 % der ChatGPT-Abonnenten die während eines bestimmten Neun-Stunden-Fensters aktiv waren.
Die enorme Verbreitung der Plattform im letzten Jahr bedeutet, dass sie der ideale Ort für einen „Watering-Hole“-Angriff durch Bedrohungsakteure ist.
Wenn Cyberkriminelle es erfolgreich über andere potenziell versteckte Schwachstellen infizieren und über es Schadcode verbreiten, könnten sie möglicherweise Millionen von Benutzern beeinträchtigen.
Cyberkriminelle nutzen ChatGPT
Obwohl ChatGPT bisher nicht direkt infiltriert wurde, wird angenommen, dass es von Kriminellen für ihre eigenen Zwecke ausgenutzt wird. Check Point-Forschung hat Beispiele hervorgehoben, bei denen Cyberkriminelle begonnen haben, die Plattform zu nutzen, um Malware-Code zu entwickeln und überzeugende Spear-Phishing-E-Mails zu erstellen. Letzteres dürfte auch in Zukunft die Hauptanwendung von ChatGPT unter Bedrohungsakteuren bleiben.
In der Regel konzentrieren sich Schulungen zur Sensibilisierung für Cybersicherheit auf das Erkennen von Unstimmigkeiten, wie z. B. Rechtschreibfehlern und ungewöhnlichen Betreffzeilen. Viele dieser Indikatoren verschwinden jedoch, wenn eine schlecht geschriebene E-Mail über ChatGPT gesendet wird, mit der Bitte, den Eindruck zu erwecken, dass sie von einer Regierungsbehörde, einer Marke oder einer anderen scheinbar authentischen Quelle stammt.
Dies bedeutet auch, dass sich Kriminelle nicht auf ihre Muttersprache verlassen müssen und generative KI-Tools nutzen können, um Phishing-E-Mails genauer zu übersetzen.
Das Potenzial für Mitarbeitermissbrauch
Ein weiteres Risiko von ChatGPT besteht darin, dass es von Mitarbeitern missbraucht werden kann. ChatGPT funktioniert ähnlich wie soziale Medien – sobald etwas gepostet wurde, ist es da draußen. Dies ist nicht unbedingt so zu verstehen, wie ein Vorfall bei Samsung zeigt, bei dem einer seiner Entwickler versehentlich vertraulichen Quellcode für ein neues Programm in ChatGPT einfügte, um zu sehen, ob es dabei helfen könnte, Quellcode zu reparieren.
ChatGPT speichert die Benutzereingaben, um sich selbst zu schulen, sodass, wenn ein anderes Unternehmen nach etwas Ähnlichem sucht, ihm die vertraulichen Samsung-Daten zur Verfügung gestellt werden können.
OpenAI wurde kürzlich eingeführt ChatGPT Enterprise, ein kostenpflichtiger Abonnementdienst, der garantiert, dass Kundenanfragen und Unternehmensdaten nicht für das Training von OpenAI-Modellen verwendet werden. Dies ist jedoch nur mit dem kostenpflichtigen Abonnement verfügbar, ohne Garantie, dass Organisationen es erwerben oder dass Mitarbeiter sich daran halten.
Sicherer Einsatz von KI-Tools
Einige Organisationen haben die Nutzung von ChatGPT inzwischen vollständig blockiert, um auf die potenziellen Risiken zu reagieren. Aber richtig eingesetzt kann ChatGPT viele Vorteile bieten. KI ist effektiv, wenn Aufgaben erledigt werden, die Zeit in Anspruch nehmen oder sich wiederholen. Wenn Sie eine große Datenmenge erfassen, kann die KI schnell die Zusammenhänge und Themen identifizieren, die interessant zu betrachten sind.
Der Schlüssel liegt darin, damit die Produktivität zu steigern und den Mitarbeitern die Möglichkeit zu geben, sich auf hochwertige Aufgaben zu konzentrieren, die Kreativität oder Input zu subjektiven Themen erfordern, wofür die KI einfach nicht geeignet ist.
Anstatt sie zu blockieren, müssen Unternehmen Wege finden, die Technologie auf sichere Weise zu nutzen. Der Abonnementdienst von OpenAI ist eine Möglichkeit. Für maximalen Schutz sollten Unternehmen jedoch eine mehrschichtige Sicherheitsstrategie einführen, die eine Vielzahl von Tools, einschließlich Isolationstechnologie, umfasst.
Dies kann als DLP-Tool verwendet werden, mit dem Unternehmen steuern können, was Benutzer kopieren oder einfügen können, einschließlich Dateien, Bilder, Videos und Text, und zwar auf einer externen Website, wo sie dann missbraucht werden können.
Es kann auch zum Aufzeichnen von Sitzungsdaten verwendet werden, um es Unternehmen zu ermöglichen, Verstöße gegen Endbenutzerrichtlinien in Webprotokollen auf Plattformen wie ChatGPT zu verfolgen, beispielsweise die Übermittlung vertraulicher Informationen und Daten. Durch die Isolierung kann sichergestellt werden, dass alle aktiven Inhalte in einem cloudbasierten Browser und nicht auf dem Endgerät eines Benutzers ausgeführt werden. Dadurch wird sichergestellt, dass bösartige Payloads niemals den Zielendpunkt erreichen können.
Vieles davon ist gesunder Menschenverstand, kommt aber mit zusätzlicher Prüfung. Unternehmen müssen verstehen, dass ChatGPT und KI potenzielle Risiken bergen.
Es bedarf jedoch auch eines Bewusstseins für die bahnbrechenden Fähigkeiten der KI, da eine völlig neue Generation von KI-Tools zu Verbesserungen im Geschäftsleben führt.