ChatGPT und Cybersicherheit

Wo Licht ist, da ist auch Schatten

Die Bekanntheit von ChatGPT und anderen generativen KI-Modellen hat in den letzten Jahren stark zugenommen. Mit mehr als 100 Millionen monatlichen Nutzern hält ChatGPT offiziell den Rekord für die am schnellsten wachsende Webplattform der Geschichte und übertrifft damit Giganten wie Instagram und TikTok. ChatGPT erstellt mithilfe von Künstlicher Intelligenz (KI) Texte. Nutzer können hierbei Befehle vorgeben, welche durch das System eigenständig ergänzt werden können. Menschen auf der ganzen Welt nutzen die KI, um Gedichte zu schreiben, Codes zu optimieren, Bücher zu verfassen oder Prüfungen zu bestehen. Und auch im Arbeitsumfeld nutzen Unternehmen und Mitarbeitende das Programm zur Generierung neuer Inhalte. ChatGPT kann beispielsweise für QA und Softwaretests ein wertvolles Werkzeug sein. Es kann Ihnen helfen, Testfälle zu erstellen, Daten zu testen, Bugs zu melden, explorative Tests durchzuführen und Tests zu automatisieren. 
Doch trotz der vielen Vorteile und Möglichkeiten seinen Arbeitsalltag zu erleichtern, wirft die Nutzung von ChatGPT eine Reihe ethischer und rechtlicher Bedenken auf, vor allem in Bezug auf den Datenschutz. 


Welche Auswirkungen hat ChatGPT auf unsere Privatsphäre und auf unsere Cybersicherheit? Chat GPT

In einer nicht-repräsentativen Umfrage des MDR unter rund 21.000 Menschen ergab sich das Bild, dass 82% der Befragten sich Sorgen vor Missbrauch im Bereich KI in Bezug auf Texte machen. Bei Bildern und Videos waren es sogar 90%. 
Als Folge haben zum Beispiel bereits einige große Firmen ihren Beschäftigten die Nutzung von ChatGPT untersagt. Der ehemalige Google-Mitarbeiter Geoffrey Hinton, welcher führender Entwickler für KI im Konzern war, warnte in der New York Times vor ernsten Risiken durch KI, insbesondere durch die Verbreitung von Falschinformationen und dem Wegfall von Arbeitsplätzen. 
Die italienischen Datenschutzbehörde konzentrierte sich auf bestimmte Punkte wie die Rechtsgrundlagen, Informationspflichten, Betroffenenrechte und den Schutz von Kindern und stellte fest, dass Antworten fehlen, die sie aus Datenschutzsicht erwartet hätten. Als Konsequenz wurde in Italien ChatGPT verboten
Eine wichtige Frage ist, ob OpenAI, der Hersteller von ChatGPT, Artikel 17 der Datenschutz-Grundverordnung einhalten und personenbezogene Daten vollständig löschen kann. 
Nach der Datenschutz-Grundverordnung haben Menschen das Recht, dass ihre personenbezogenen Daten aus den Aufzeichnungen einer Organisation entfernt und gelöscht werden. Das „Recht auf Löschung“ gibt uns als Individuum mehr Kontrolle über unsere personenbezogenen Daten.
Es ist jedoch schwierig, die Einhaltung der DSGVO durch ChatGPT in einem so frühen Stadium zu beurteilen, zumal die Einzelheiten seiner Funktionsweise noch nicht vollständig offengelegt wurden. Während das Ausmaß, in dem die Quelldaten von ChatGPT personenbezogene Daten enthalten, unbekannt ist, ist anzunehmen, dass die riesigen Textmengen, die zum Trainieren des Chatbots verwendet werden, Informationen über tatsächlich existierende Personen enthalten und dass diese immer noch in dem Datensatz enthalten sind, mit dem das Programm arbeitet. Auf Nachfrage behauptet der Chatbot selbst, dass alle seine Trainingsdaten anonymisiert und bereinigt wurden, um alle Identifikatoren zu entfernen. Dies ist jedoch selbst für erfahrene Nutzer praktisch unmöglich zu überprüfen.

Außerdem sind KIs nicht sonderlich gut darin, die Informationen zu vergessen, mit denen sie trainiert wurden. ChatGPT basiert auf dem sog. Large Language Model (LLM) GPT-3, bzw. GPT-4. Dies ein neuronales Netzwerk, das mit großen Datenmengen an Texten trainiert wurde. In mehreren Schichten werden die Eingaben mit Hilfe von unterschiedlichen Gewichtungen so verarbeitet, dass der gewünschte Output erzeugt wird. Dabei beeinflusst eine Schicht die nächste, sodass die ursprünglichen Informationen sich bereits auf die tieferlegenden Schichten des Netzwerks ausgewirkt haben. Daher wird sich das System an das Gelernte immer „erinnern“. Dies stellt ein Problem für die Ausübung des Rechts auf Löschung dar, wie es durch Artikel 17 der Datenschutz-Grundverordnung geschützt ist, und es ist unklar, wie es aus technischer Sicht gelöst werden kann, ohne dass das Programm komplett neu trainiert werden muss. 

ChatGPT wird täglich mit neuen Daten gefüttert

Ein Training wäre theoretisch auch ohne Personenbezug möglich. Doch wird das Programm täglich von Million Nutzern mit neuen Daten – auch mit personenbezogenen oder sensiblen Daten neu „gefüttert“. 
Wir möchten hier einige Beispiele aufzeigen, wo ein Missbrauch von personenbezogenen und/oder sensiblen internen Daten konkret am Arbeitsplatz stattfinden kann: 
1. Mitarbeiter*in lädt sensible Daten in ChatGPT hoch und fragt: Wie antworte ich auf folgende E-Mail?
2. Mitarbeiter*in lädt Lebenslauf von Bewerber und das zugehörige Firmenstellenprofil hoch und fragt ChatGPT: Passt der Lebenslauf zu unserem Stellenprofil? 
3. Mitarbeiter*in kopiert Kontaktdaten aus Excel und fragt ChatGPT: Wie lautet die Formel in Excel, damit die Kontaktdaten nach Firma sortiert werden? 
4. Mitarbeiter*in lädt Stichpunkte aus Meeting und einem alten Protokoll hoch und bittet ChatGPT: Schreibe mir aus diesen Stichpunkten ein Protokoll, das so ähnlich ist, wie unsere üblichen Protokolle. 
5. Mitarbeiter*in lädt Angebot für Kunden A hoch und bittet ChatGPT: Verfasse ein ähnliches Angebot für Kunden B mit folgenden Konditionen.
6. Mitarbeiter*in lädt Vertrag mit Kunden A hoch und bittet ChatGPT: Übersetze diesen Vertrag auf Russisch. 
Ein weiterer Angriffspunkt ist das sogenannte „Phishing“. Somit könnte der Chatbot Sprachstile imitieren, so dass höhere Wirksamkeiten beim Verwenden von gefälschten Links in E-Mails erreicht werden können. 

Was ist also das Fazit?

Die KI und somit auch ChatGPT bergen enorme Chancen und Wachstumsmöglichkeiten. Sie bieten aber auch Risiken und Gefahren in unserem täglichen Leben und in unserem Umgang mit (personenbezogenen) Informationen. 

In diesem Zusammenhang ist es wichtig für Unternehmen, die eigenen Mitarbeiter*innen im Umgang mit künstlicher Intelligenz zu schulen und ein Bewusstsein für Risiken und Gefahren zu schaffen. Hierbei kann Ihnen die compliance-net GmbH in Form von Schulungsseminaren helfen. 

Informationen zu den Autoren:     
Sebastian Faßbinder    
Manager 
compliance-net GmbH    
Mobil: +49 (0) 151 65 68 47 46    
E-Mail: sebastian.fassbinder@compliance-net.com

Veronika Heinzel
Event- und Seminarmanager