IT-Expertin sieht dramatischen Anstieg bei Cyberangriffen
Mit ChatGPT lassen sich bereits Bücher und Artikel schreiben und das KI-Tool beantwortet unsere Alltagsfragen. So weit, so gut, doch wie steht es um die Cybersicherheit? Wir haben Prof. Dr. Haya Shulman von der Goethe-Universität Frankfurt am Main befragt. Sie warnt explizit davor, ChatGPT als einen Ersatz für Suchmaschinen zu nutzen.
Welche potenziellen Risiken und Gefahren für die Cybersecurity ergeben sich durch den Einsatz von Chat GPT?
Shulman: ChatGPT, Google Bard und Co. bergen Chancen und Risken – wie jede neue Technologie – und man muss beide Seiten betrachten. Bei den Risiken dürften aus Sicht der Cybersicherheit in der nahen Zukunft zwei Effekte dominieren: Die Vertrauenswürdigkeit und Authentizität von Information wird man in Zukunft nur noch technisch sicherstellen können, wenn überhaupt. „Draufschauen“ wird nicht mehr genügen. Gesetzliche Kennzeichnungspflichten KI-generierter Inhalte sind nützlich, um Missbrauch z.B. durch Unternehmen einzudämmen, werden am Missbrauch durch Kriminelle aber nichts ändern. Der andere Effekt ist das enorme Potenzial zur Automatisierung von Cyberangriffen. Wir sollten deshalb davon ausgehen, dass die Anzahl und die Qualität der Cyberangriffe in den nächsten Jahren noch einmal dramatisch ansteigen wird.
Wie können Unternehmen sicherstellen, dass die von Chat GPT generierten Texte nicht versehentlich sensible Informationen preisgeben oder gegen Datenschutzgesetze verstoßen?
Shulman: Wer vertrauliche Daten an ChatGPT weitergibt, hat keinerlei Kontrolle darüber, was mit diesen Daten passiert. Das einzige, was man Unternehmen deshalb raten kann, ist den Mitarbeitenden diese Risiken klar und deutlich vor Augen zu führen und den Einsatz von ChatGPT für alles, was vertrauliche oder datenschutzrelevante Themen berührt, zu untersagen. Damit dieses Verbot nicht zum Innovationskiller wird oder die Mitarbeiter es schlicht ignorieren, sollten Unternehmen aber gleichzeitig Alternativen anbieten, die mehr Kontrollmöglichkeiten bieten und vielleicht auch besser auf die Bedürfnisse des Unternehmens zugeschnitten sind.
Kann ich als Mensch, wenn ich einen Fehler bzw. eine Fehleinschätzung feststelle (bspw. Benachteiligung einer Gruppe o.ä.) die Fehlerquelle erkennen? Bzw. kann das System mir bei so großen Datenmengen noch plausibel erklären, warum und wo der Fehler auftritt?
Shulman: ChatGPT und ähnliche Modelle geben tatsächlich oft sehr gut und selbstsicher formulierte, aber trotzdem falsche Antworten. Der Grund dafür liegt teilweise in Fehlern und Vorurteilen in den Trainingsdaten, teilweise aber auch daran, dass sich eine Antwort aus den Trainingsdaten überhaupt nicht gesichert ableiten lässt und das Modell dies nicht rechtzeitig feststellt. Man sollte sich deshalb auf keinen Fall ungeprüft auf Antworten solcher Modelle verlassen. Wirklich nützlich sind diese Werkzeuge zumindest Stand heute nur dann, wenn der menschliche Benutzer die Antworten selbst aufgrund des eigenen Wissens einschätzen kann. Auf keinen Fall sollte man ChatGPT als Ersatz für eine Suchmaschine verwenden oder es als eine Art Universalgelehrten betrachten. Dieses Problem ist natürlich gut bekannt und es gibt auch Ansätze, wie man die Nachvollziehbarkeit von Antworten verbessert. Noch sind wir aber nicht so weit.
Wie können KI-Tools helfen, Cyberkriminelle abzuwehren?
Shulman: Schon seit Jahren wird KI in der Cybersicherheit verwendet, z.B. zum automatisierten Filtern von Spam-Mails oder zum Erkennen von Cyberangriffen und Betrugsversuchen. In der Cybersicherheit neigen viele dazu, nur die Risiken zu sehen. Aber diesen Risiken stehen auch große Chancen gegenüber. Wie bei den Cyberangriffen, so steht auch bei der Cyberverteidigung das Automatisierungspotenzial im Vordergrund. Wir haben zu wenige Cybersicherheitsexperten, KI kann die fehlenden zwar nicht ersetzen – siehe die vorherige Frage, aber die vorhandenen stark entlasten. Ein großes Einfallstor für Cyberangriffe sind Konfigurations- und Bedienungsfehler, und viele davon können mittels KI vermieden werden.
Welche kriminellen Texte sind durch ChatGPT schon erstellt worden?
Shulman: Für Kriminelle bietet die Erzeugung gut und korrekt formulierter, natürlichsprachlicher Texte sehr viele Möglichkeiten. Bisher konnte man viele Spam- und Phishing-Nachrichten schon an der schlechten Sprache und geringen Personalisierung erkennen, das ist bald vorbei. Ein anderes Anwendungsgebiet für Kriminelle ist die automatisierte Erstellung von Fake News und Kommentaren. Es geht hier allerdings nicht nur um Texte, auch Video und Audio können automatisiert erstellt und gefälscht werden – und natürlich kann auch Schadsoftware automatisiert variiert und angepasst werden.
Webinar zum Thema „Von ELIZA bis ChatGPT"
Das Webinar von Miguel Alvarez zum Thema „Von ELIZA bis ChatGPT" können Sie im Mitgliederbereich Mein-VDI ansehen. Dort finden Sie viele weitere Webinare zu interessanten Technik- und Karrierethemen im Webinar-Archiv.
Noch kein Mitglied und Interesse an einer Webinar-Teilnahme?
Gerne laden wir Sie im Rahmen unseres Webinar-Angebots dazu ein, die VDI-Mitgliedschaft und alle damit verbundenen Angebote und Leistungen für 3 Monate kostenfrei zu testen. Werden Sie Mitglieder der großen VDI-Community und erhalten Sie uneingeschränkten Zugriff zu allen Live-Webinaren und dem Webinar-Archiv.
Malware, Fakes und Co.: Wie erkenne ich diese und handel entsprechend?
Shulman: Im Augenblick kann der Einzelne nicht mehr tun als noch vorsichtiger und skeptischer zu sein und die üblichen Empfehlungen zur Verbesserung der Cybersicherheit zu beachten. Es wird aber immer schwerer, gefälschte Medien oder Dialoge als solche zu erkennen. In der Medienforensik kann man derzeit manipulierte Audios, Videos und Bilder noch einigermaßen gut erkennen, weil sie meist unnatürliche Unregelmäßigkeiten aufweisen, aber die Generierungsmethoden werden immer besser. Auf Dauer können digitale Signaturen helfen, die Authentizität von Daten sicherzustellen.
Wie schätzen Sie die weitere Entwicklung von ChatGPT ein?
Shulman: Es gibt große Chancen und große Risiken, und es ist schwer zu sagen, was in der Cybersicherheit überwiegt. Letztlich ist das aber auch irrelevant. Wichtig ist, dass wir uns auf die Risiken vorbereiten und die Chancen wahrnehmen. KI kann die Cybersicherheit verbessern, wir müssen uns nur darum kümmern. Wir brauchen mehr Forschung in diesem Bereich, zur Sicherheit von KI ebenso wie zur Sicherheit durch KI, und wir müssen Bedingungen schaffen, dass KI-basierte Innovationen in der Cybersicherheit auch möglichst rasch den Markt erreichen.
Für dieses Interview haben wir zum Teil auch ChatGPT über seine eigene Cybersicherheit Fragen erstellen lassen.
Das Interview führte Sarah Janczura.
Über Prof. Dr. Haya Shulman:
Haya Shulman ist Expertin für Netzwerk- und Computersicherheit. Sie ist Professorin am Lehrstuhl für Informatik der Johann Wolfgang Goethe-Universität Frankfurt am Main und hält eine LOEWE-Spitzen-Professur. Zudem leitet sie die Abteilung Cybersecurity Analytics and Defences (CAD) am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt.