Neuer Stern am KI-Himmel ChatGPT: Mehr Fluch als Segen? Das sagt die Security-Branche
Anbieter zum Thema
Eine Verbreitung von ChatGPT über die Cloud: Das kündigte der Software-Riese Microsoft in einem Blog-Beitrag an. Doch das KI-Chatmodell sorgt nicht nur für einen Hype, sondern auch für Bedenken. Wie steht eigentlich die IT-Security-Branche dazu?

Spätestens seit Jahresende 2022 ist der durch Künstliche Intelligenz betriebene Chatbot ChatGPT, created by OpenAI, in aller Munde. Im November ging die Plattform live und zählte binnen weniger Tage Millionen Aufrufe. Der Bot beantwortet Wissensfragen umfangreich und in Sekundenschnelle und übernimmt lästige Büroarbeiten. Was zunächst attraktiv klingt, birgt auch Risiken. Auch im IT-Security-Umfeld ist der intelligente Neuling umstritten.
:quality(80)/p7i.vogel.de/wcms/ed/3d/ed3de35384f80e0afbd41c7ccc160669/0100127717.jpeg)
Security-Insider Podcast – Folge 66
Features und Fehler der Blackbox ChatGPT
Ziemlich beste Freunde: ChatGPT und Microsoft
Die Google-KI hinter der Suchmaschine war Jahre lang unangetastet die Nummer Eins und bekommt nun gewaltig Konkurrenz. Und nicht nur das. ChatGPT soll zudem vermehrt Teil von Microsoft werden. Das Unternehmen möchte die OpenAI-Software den Kunden via Cloud zur Verfügung stellen und in Word, Powerpoint sowie in Outlook einbinden. Bereits 2019 investierte Microsoft eine Milliarde Dollar in OpenAI. Es folgten laut „New York Times“ nochmals zwei Milliarden und weitere Investitionen von zehn Milliarden Dollar seien angeblich im Gespräch. Microsoft könnte sich laut Expertenstimmen somit ein Drittel von OpenAI sichern. Die nächste Sprachversion GPT4 soll wohl im Frühjahr 2023 erscheinen.
Erleichterung im Alltag
ChatGPT bietet sicherlich Vorteile. „Generell kann das Aufkommen von nutzbarer Künstlicher Intelligenz an sich als eine gute Sache angesehen werden. Es gibt viele positive Aspekte. Leider sind viele Innovationen aus der Vergangenheit, die mit den besten Absichten entwickelt wurden, auch missbraucht worden – und dazu könnte auch KI gehören“, äußert sich Markus Grau, Principal Technologist bei Pure Storage.
„Insgesamt hat OpenAI den Vorteil, dass es von der gemeinnützigen OpenAI Inc. beaufsichtigt wird. Sie wird von Hunderten von Menschen beobachtet und analysiert, die nicht mit einem Unternehmen verbunden sind und daher voreingenommen sein könnten“, führt Grau weiter aus.
Ein wesentlicher Vorteil bei Nutzung der OpenAI-Integration sei sicherlich die Unterstützung und Zeitersparnis bei alltäglichen Aufgaben wie Dokumente zu verfassen oder Ansätze zu validieren. Daneben besteht allerdings die Herausforderung in der Frage nach dem Eigentümer des Ergebnisses. Wie können Nutzer künftig Texte von Menschen oder Maschinen unterscheiden und versuchten Betrug erkennen?
Das größte Fragezeichen wird sein, wie wir als Menschen in Zukunft unterscheiden können, ob eine Information von einem Menschen oder von einer KI erstellt wurde. Welchen Informationen sollten wir vertrauen? Bis jetzt haben wir als Gesellschaft noch kein Modell entwickelt, um Missbrauch zu verhindern, aber das müssen wir vielleicht eher früher als später tun.
OpenAI ist ein Unternehmen aus Kalifornien, geführt von Sam Altman. Der Fokus liegt auf der Erforschung Künstlicher Intelligenz. Es gehört zur Tochtergesellschaft OpenAI LP und wird durch das Non-Profit-Mutterunternehmen OpenAI Inc. kontrolliert.
Ende November 2022 ging mit ChatGPT eine neue Plattform live, die mittels KI Fragen aller Art beantwortet und Lösungen anbietet. Was ChatGPT von der Nutzerzahl in paar Tagen erreichte, schafft Google in einem Jahr.
Zu den Geldgebern, die die Gründung 2015 finanzierten, gehören die Tech-Prominenten Elon Musk, Peter Thiel und Reid Hoffman. Elon Musk zog sich 2018 aufgrund möglicher Interessenskonflikte mit Tesla aus dem Unternehmen zurück. Seitdem äußert er immer wieder Kritik an OpenAI.
Vielseitiger Nutzen, vielseitiger Missbrauch
Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen. Wir benötigen zunehmend intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen.
ChatGPT wäre also so schön praktisch, wenn Cyberkriminelle nicht auch hier nach Wegen suchen würden, Unwesen zu treiben. Im Rahmen des Check Point Research (CPR) deckte das Forschungsteam erste Fälle auf, in welchen Kriminelle OpenAI zur Entwicklung bösartiger Tools nutzten. Zwar sei der Entwicklungsstand noch nicht so hoch, raffinierte Bedrohungsakteure würden aber schnell darauf kommen, wie sie KI-basierte Tools zum Schaden anderer einsetzen.
Betrug mit allen Sinnen
„Natürlich lässt sich eine solche Technologie auch missbrauchen – etwa durch Cyberkriminelle, die mit Hilfe eines Chatbots Betrugsverbrechen begehen. Wo heute ganze Callcenter mit menschlichen Angestellten dazu eingesetzt werden, steht vielleicht eines Tages ein Computer oder ein Rechenzentrum“, erklärt Tim Berghoff, Security Evangelist bei G Data.
Und nicht nur das. „In Verbindung mit einer anderen Technologie aus dem Hause OpenAI mit dem Namen Vall-E ergeben sich hier geradezu erschreckende Möglichkeiten. Vall-E ist in der Lage, Stimmen täuschend echt zu imitieren, und das mit relativ wenig Ausgangsmaterial“, führt er weiter beispielhaft aus. „Im schlimmsten Fall könnte man nicht einmal mehr der Mail oder dem Anruf von Kollegen oder der Chefin trauen, weil die Stimme so täuschen echt gefälscht ist, dass es über das Telefon nicht auffällt.“
ChatGPT ist auch in der Lage, Programmcode zu schreiben. Eine einfache Anfrage genügt, und schon spuckt der Bot die gewünschten Codezeilen aus. Der generierte Code ist zwar funktional, aber die Sicherheit darf bezweifelt werden. Von Secure Coding hat ChatGPT nämlich keine Ahnung. Quellcode, der von einer KI generiert wurde, kann also Sicherheitslücken enthalten. Es hat sogar schon Versuche gegeben, ChatGPT zur Programmierung von Ransomware zu benutzen.
ChatGPT könnte sich in jegliche Tools drängen
Es steht fest, dass die Nutzung von ChatGPT trotz aller Sicherheitsbemühungen neue Herausforderungen mit sich bringt – das bestätigt auch Sophos. Folglich brauche es immer noch intelligente Maschinen, um zu erkennen, wenn andere Maschinen versuchen, die Nutzer zu täuschen.
Chester Wisniewski, Cybersecurity-Experte bei Sophos, sieht die Gefahr noch an anderer Stelle: „Eines der größten Risiken besteht darin, dass Angreifer diese Plattformen nutzen, um die Qualität ihrer Phishing-Köder erheblich zu verbessern. Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren.“
ChatGPT sei Berichten zufolge bereits von gering qualifizierten Cyberkriminellen verwendet worden, um grundlegende Malware zu entwickeln. „Darüber hinaus kann es genutzt werden, um Phishing-Skripte zu entwickeln“, erklärt auch Satnam Narang, Senior Research Engineer bei Tenable.
:quality(80)/p7i.vogel.de/wcms/98/b4/98b417fd154c327be148c2adf2d66697/0109120526.jpeg)
Künstliche Intelligenz in Cyber-Angriffen
Phishing mit KI-Unterstützung durch ChatGPT
Letztendlich würden die immer intelligenteren Chatbots, den Experten nach, unter Umständen ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen liefern. Programme wie ChatGPT könnten dazu genutzt werden, kriminell orientierte, sehr realistische und interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten. „Heute besteht die größte Gefahr für die englischsprachige Zielgruppe. Es ist aber wahrscheinlich nur eine Frage der Zeit, bis neue Versionen verfügbar sind, um glaubwürdige Texte in allen häufig gesprochenen Sprachen der Welt zu erstellen“, ergänzt Wisniewski.
Diese Entwicklung bilde eine Zäsur für bislang bestehende Standards im Bereich Mitarbeiterschulung und IT-Sicherheit. Die Zeiten, in denen sich Unternehmen darauf verlassen konnten, dass die Mitarbeiter eine aktive Rolle bei der Verteidigung gegen Cyberattacken spielen, seien den Experten nach vorbei. Rein auf Grammatik und Rechtschreibung oder merkwürdige Formulierungen zu achten, reiche nicht mehr aus.
(ID:49055053)