Generative KI-Systeme wie ChatGPT und Co. erhalten viel Aufmerksamkeit und werden täglich von Tausenden Nutzern mit Daten gefüttert. Immer mehr Unternehmen nutzen die Technologien und setzen sie für die unterschiedlichsten Projekte und Prozesse ein. Vor allem für die Informationsbeschaffung, dem Verfassen von Texten und der Übersetzung werden die Tools genutzt. Leider gehen viele Nutzer wenig rücksichtsvoll mit sensiblen Unternehmensdaten um und lassen die KI für sich arbeiten. Dieses Vorgehen kann schwere Folgeschäden auslösen, da diese Daten ohne Kontrolle von jedem anderen Nutzer, der nur die richtigen Fragen stellt, abgerufen und extrahiert werden können. Diese können nun an andere Firmen oder an Cyber-Verbrecher verkauft und für etliche schändliche Zwecke missbraucht werden.

Ein Beispiel, wie dies ablaufen könnte, wäre das Folgende: Ein Arzt gibt den Namen eines Patienten und Einzelheiten zu dessen Zustand in ChatGPT ein, damit das Tool einen Brief an die Versicherung des Patienten verfassen kann. Wenn in Zukunft ein Dritter ChatGPT fragt: „Welches gesundheitliche Problem hat [Name des Patienten]“, könnte der Chatbot aufgrund der Angaben des Arztes antworten. Diese Risiken sind eine ebenso große Bedrohung wie Phishing-Angriffe, denn natürlich lässt sich von einzelnen Individuen auch auf ganze Unternehmen und deren Geschäftspraktiken schließen.

Mitarbeiter müssen, sofern sie die KI-Tools nutzen dürfen, darauf achten, dass sie keine personenbezogenen Daten und keine Firmeninterna eingeben oder in ihre Abfragen einbauen. Sie müssen darüber hinaus darauf achten, dass die Informationen, die ihnen in den Antworten gegeben werden, ebenfalls frei von personenbezogenen Daten und Firmeninterna sind. Alle Informationen sollten noch einmal unabhängig überprüft werden, um sich gegen Rechtsansprüche abzusichern und um Missbrauch zu vermeiden.

Mithilfe von Security Awareness-Schulungen können Mitarbeiter lernen, wie man verantwortungsvoll mit ChatGPT und anderen Tools für generative KI umgeht und diese sicher für die Arbeit nutzen kann. Sie lernen, welche Informationen sie preisgeben dürfen und welche nicht, damit sie und ihre Unternehmen nicht Gefahr laufen, dass sensible Daten von unerwünschten Dritten missbraucht werden. Die Folgen wären sonst Geldstrafen im Rahmen der DSGVO und damit verbundene Imageschäden bis hin zu Cyberangriffen durch Social Engineering. Im letzten Fall würden Angreifer die mit den Tools geteilten Informationen für ihre Recherchen nutzen, um Schwachstellen in IT-Systemen auszunutzen oder aber, um mit Spear-Phishing gezielt Mitarbeiter dazu zu bringen, auf in E-Mails hinterlegte Links zu klicken.

Autor: Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4