Das bedeutet ChatGPT für die IT-Sicherheit Ihres Unternehmens.

Künstliche Intelligenz (KI) hält immer stärker Einzug in die Abläufe und den Arbeitsalltag von Unternehmen. Dank ChatGPT sind die Möglichkeiten, die künstliche Intelligenz bietet, leicht zugänglich und können von jedermann kostenlos genutzt werden: Ideen für eine Produktbeschreibung sammeln, Textvorschläge für Marketing-Mails sammeln oder einen Programmiercode überpüfen lassen - das alles ist ohne großen Aufwand möglich und sorgt für einen enormen Produktivitätsschub.

Doch künstliche Intelligenz hat auch ihre Schattenseiten, die Unternehmen im Blick haben müssen. Vor allem die IT-Sicherheit wird vor neue Herausforderungen gestellt. In unserem Beitrag sagen wir Ihnen, was Sie in Ihrem Unternehmen beachten müssen und wie Sie den Gefahren begegnen können. 

Sie kennen solche Situationen: Ein neues Produkt steht kurz vor dem Launch und es wird noch eine zielgruppengenaue Produktbeschreibung benötigt. Der Vertrag mit dem neuen Kooperationspartner muss lektoriert und auf Rechtschreibfehler geprüft werden. Adressdaten sollen in maschinenlesbarer Tabellenform formatiert werden. Bei diesen Aufgaben und ähnlichen kann ChatGPT wertvolle Hilfe leisten und viel Zeit einsparen.

Viele Anwender glauben, dass ChatGPT die eingegebenen Daten nur für den Output verarbeitet. Doch das stimmt nicht. ChatGPT behält sich in den Nutzungsbedingungen das Recht vor, alle Ein- und Ausgaben zum eigenen Nutzen zu verwenden, um seine Dienste zu verbessern. Unternehmen müssen also damit rechnen, dass sensible Informationen wie Umsätze, Produkteigenschaften, Strategien oder andere vertrauliche Daten bei Dritten landen - wenn auch ungewollt. Im schlimmsten Fall könnten Konkurrenten oder böswillige Akteure die Daten nutzen, um Innovationen zu stehlen, den Wettbewerb zu manipulieren oder das Unternehmen zu erpressen. Wegen dieser Gefahren hat etwa die Firma Apple im Mai 2023 seinen Mitarbeitern die Nutzung von KI-Chatbots wie ChatGPT vorsorglich verboten.

So weit müssen verantwortungsvolle Unternehmer aber nicht gehen. In Deutschland stehen personenbezogene Daten und Geschäftsgeheimnisse unter einem besonderen Schutz. Die Datenschutz-Grundverordnung (DSGVO) und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) geben den rechtlichen Rahmen vor, der beim Umgang mit diesen Daten zu beachten ist. 

Als Unternehmer können Sie mit einer Reihe von Maßnahmen ihre eigenen Geschäftsdaten und die Daten ihrer Kunden schützen. Dazu zählen beispielsweise eine Klassifizierung und Zugriffskontrolle auf sensible Informationen. Gewähren Sie nur autorisierten Mitarbeitern den Zugriff auf diese Daten und stellen Sie sicher, dass angemessene Sicherheitsmaßnahmen getroffen werden, um den Zugruiff von unbefugten Personen zu verhindern. Außerdem sollten Sie Ihre Mitarbeiter für die Risiken im Umgangs mit diesen Informationen sensiblisieren. Regelmäßige Schulungen sind ein praktischer und effektiver Schutz.

Stellen Sie auch unbedingt Richtlinien für die Verwendung von ChatGPT auf. Definieren Sie klare Regeln und Zuständigkeiten für den Umgang mit sensiblen Unternehmensinformationen und Kundendaten und sorgen Sie dafür, dass alle Mitarbeiter diese Richtlinien verstehen und befolgen.

Falls Sie externe Dienstleister für die Nutzung von ChatGPT einsetzen, stellen Sie sicher, dass ihre Partner angemessene Sicherheitsmaßnahmen implementieren und den Datenschutz respektieren. Überprüfen Sie die Sicherheitsprotokolle und Datenschutzrichtlinien Ihrer Anbieter regelmäßig.

Wer kennt sie nicht? Dubiose Mails von der Bank, dass das Konto gesperrt wurde. Oder ein Link zur Paketverfolgung von einem Produkt, das nie bestellt wurde. Beim so genannten Phishing versuchen Angreifer über betrügerische E-Mails, Nachrichten und Anrufe an sensible Informationen zu gelangen. In der Vergangenheit waren Phishing-Mails oft aufgrund schlechter Rechtschreibung und Grammatik schnell zu erkennen. Das ändert sich mit ChatGPT nun grundlegend.

Der Einsatz von künstlicher Intelligenz ermöglicht es Betrügern, Angriffe auf ein neues Level zu heben. Angriffe werden zunehmend schwerer zu erkennen sein. Das betrifft gerade das Social Engineering, bei dem sich Betrüger als Kollege, Lieferant oder Partner ausgeben. Die Gefahr entsteht dabei durch die Fähigkeiten von ChatGPT, menschliches Verhalten und Sprache nahezu perfekt zu imitieren. Angreifer können KI nutzen, um Chatbots zu erstellen, die authentisch wirkende Konversationen führen und gezielt auf individuelle Interessen und Positionen der Opfer eingehen können. Diese personalisierten Botschaften erscheinen auf den ersten Blick vertrauenswürdig und sind somit täuschend echt.

Unternehmen können sich vor solchen Angriffen durch eine umfassende Sicherheitsstrategie schützen. Zu den bewährten Maßnahmen zählt vor allem Schulung der Mitarbeiter. Klären Sie regelmäßig über die Risiken von Phishing und Social Engineering auf und überprüfen Sie durch regelmäßige Security-Audits, ob Ihre Mitarbeiter die nötige Aufmerksamkeit besitzen.

Auch der Einsatz eines starken Authentifizierungsverfahrens (z.B. Zwei-Faktor-Authentifizierung und Biometrie) erschwert den unberechtigten Zugriff auf vertrauchliche Daten. Nicht zuletzt sorgt der Einsatz eigener KI-Technik, die verdächtige Muster und Verhaltensweisen eines Angriffs identifiziert, für mehr IT-Sicherheit.

Eine weitere Gefahr für die Cybersicherheit von Unternehmen geht von Malware aus. Hierunter versteht man Software, die entwickelt wurde, um unautorisierte, bösartige und schädliche Aktivitäten auf Rechnern oder anderen elektronischen Geräten auszuführen. Die Software wird dabei ohne das Wissen oder der Zustimmung des Nutzers installiert wird und zielt darauf ab, Schaden anzurichten, Daten zu stehlen, die Kontrolle über Systeme zu übernehmen oder andere bösartige Aktivitäten durchzuführen. Malware kann in verschiedenen Formen auftreten - darunter Viren, Würmer, Trojanische Pferde, Ransomware, Spyware oder Adware. Sie kann sich über E-Mail-Anhänge, manipulierte Webseiten, USB-Geräte oder infizierte Dateien verbreiten.

Die Gefahr, Opfer eines Malware-Angriffs zu werden, wird durch ChatGPT in zweierlei Hinsicht verstärkt. Zum einen können Angreifer mit Hilfe von KI schädlichen Code erstellen, der Tarnmechanismen enthält, welcher herkömmliche Sicherheitslösungen umgehen können. Auch können technisch weniger versierte Programmierer ChatGPT für die Erstellung von Schadsoftware verwenden. Zum anderen nutzen Betrüger den Hype um die künstliche Intelligenz selbst aus, um Nutzer mit fingierten Mails oder gefälschten Facebook-Seiten auf Fake-Webseiten von ChatGPT zu ziehen, die dem Original täuschend ähnlich sehen. Dort wird dann beispielsweise zum Download Programmen aufgefordert, die angeblich einen Desktop-Client von ChatGPT bieten.Tatsächlich installieren Nutzer aber einen Trojaner, der sich weiter verbreitet.

Schutz vor Angriffen bietet auch hier eine Sensibilisierung von Mitarbeitern für die Gefahren von Malware und die aktuellen Angriffstaktiken. Daneben sollten Unternehmen in robuste Sicherheitslösungen investieren, die kontinuierlich aktualisiert werden und fortgeschrittene KI-Techniken nutzen, um Malware zu erkennen und abzuwehren (so genanntes Incident Response Management). Eine schnelle Reaktion ist besonders wichtig, um die Auswirkungen eines Malware-Angriffs so gering wie möglich zu halten. Denn die Folgen können für Unternehmen gravierend sein: Sie reichen von Datenlecks, über Reputationsschäden bis hin zu längeren Produktionsausfällen.