ChatGPT − die Balance zwischen Freund und Feind
ChatGPT erobert die Welt derzeit im Sturm. Der KI-gestützte Chatbot scheint in vielen Bereichen Vorteile bringen zu können. Das gilt aber wohl auch für Cybercrime. Sicherheitsexperten erklären, wie und wo ChatGPT zum Problem werden könnte.
Es klingt so harmlos: "Künstliche Intelligenz schreibt ein deutschsprachiges Kinderbuch". So kündigte der Schweizer Kaleidoskop-Verlag sein jüngstes Werk an. Das Buch mit dem Titel "Mia, Finn und der kleine Roboter Ki" soll zeigen, dass KI immer nur gemeinsam mit dem Menschen existieren und uns nicht ersetzen wird.
Verfasst wurde das Buch von GPT-3. Der auf dieser KI basierende Chatbot ChatGPT ist aktuell in aller Munde. Hinter beiden steckt die US-amerikanische Firma OpenAI. Der Chatbot soll die Möglichkeiten maschinellen Lernens in Form eines einfachen Dialogsystems zugänglich machen. Das Tool ist nur über einen Webbrowser zugänglich, nachdem man sich angemeldet hat. Der Zugang ist kostenlos - allerdings kann man das Tool nur nutzen, wenn die Nachfrage gerade tief ist. Für 20 US-Dollar im Monat hat man stets Zugriff auf den Chatbot und erhält auch schnellere Antworte von diesem.
Inmitten des aktuellen Hypes um ChatGPT scheint es keinen Bereich zu geben, den der Chatbot nicht bereichern könne - zumindest wenn man den aktuellen Medienberichten, Pressemitteilungen und Expertenmeinungen glaubt. "Für eine Vielzahl von Berufen wird das Werkzeug zu einem wertvollen Assistenten bei ihren täglichen Aufgaben werden − das schliesst auch den Bereich Cybersicherheit im Allgemeinen und Bug Bounty im Besonderen ein", erklärt Phil Leatham, Senior Account Executive bei Yeswehack Deutschland. Mithilfe des KI-Tools könne etwa Code analysiert, Sicherheitsberichte automatisch verfasst oder Sicherheitslücken in verständlicher Sprache erklärt werden.
Mehr dazu, wie ChatGPT Bug-Jägern hilft, lesen Sie hier.
Die dunkle Seite
ChatGPT klingt zwar sehr nützlich. Das Tool rief jedoch auch einige Kritiker auf den Plan. Denn die möglichen Cyberrisiken, die diese leistungsstarke KI mit sich bringt, sind nicht von der Hand zu weisen. Dies sind einerseits indirekte Gefahren, wie die Phishing-Kampagnen, vor denen etwa Kaspersky und Cyble derzeit warnen. Auf Facebook und eigens kreierten Websites locken Betrüger an ChatGPT interessierte Personen an und versuchen diese zu überzeugen, eine vermeintlich kostenlose Desktop-Version herunterzuladen. Klicken die Opfer auf den Link, laden sie aber stattdessen einen Trojaner herunter, der gespeicherte Kontoangaben stiehlt. "Diese Kampagne ist ein hervorragendes Beispiel dafür, wie Angreifer Social-Engineering-Techniken nutzen, um das Vertrauen auszunutzen, das Nutzer und Nutzerinnen beliebten Marken und Diensten entgegenbringen", kommentiert Darya Ivanova, Sicherheitsexpertin bei Kaspersky. "Nutzerinnen und Nutzer müssen sich bewusst darüber sein, dass ein legitim aussehender Dienst nicht immer bedeutet, dass er es auch ist."
Andererseits gibt es jedoch auch Gefahren, die direkt von ChatGPT ausgehen. Cyberkriminelle könnten etwa die Automatisierungs- und Sprachfähigkeiten des Tools nutzen, um Phishing-Nachrichten in einer neuen Qualität zu erstellen, wie Bitdefender warnt. Das Tool könne aber auch eine aktivere Rolle einnehmen und Opfern eine gefälschte Identität vorgaukeln. So könnten Betrüger lauten Bitdefender etwa einen gefälschten Support oder Kundendienst für eine Bank erstellen, um Kundendaten zu ergaunern oder eine prominente Persönlichkeit auf Social Media täuschend echt imitieren. Auch für Nutzer und Nutzerinnen von Dating-Apps wird es immer wichtiger, skeptisch zu bleiben, warnt Tenable. Insbesondere wenn man gebeten werde, sich an Kryptoinvestitionen zu beteiligen oder Geld an jemanden zu überweisen.
ChatGPT ist zudem vertraut mit den meistverbreiteten Coding-Sprachen. Fehlerfreien Code könne das Tool wohl noch nicht schreiben, erklärt Bitdefender. Aufgrund interner Einschränkungen kann ChatGPT keine gewalttätigen, diskriminierenden oder sexuell expliziten Texte verfassen. Auch eine Anfrage, Code zu schreiben, um eine Log4j-Schwachstelle auszunutzen, lehne der Chatbot noch ab. Das Tool könne jedoch die Entwicklung von Malware beschleunigen, geschriebenen Code verbessern und so Attacken besser an ausgewählte Ziele anpassen. Die Sicherheitsmechanismen sind zudem nicht unumgänglich für sachkundige Nutzerinnen und Nutzer, wie Sie hier lesen können. Eine Analyse mehrerer grosser Untergrund-Hacking-Communitys durch Check Point hat gezeigt, dass es bereits erste Fälle gibt, in denen Cyberkriminelle OpenAI zur Entwicklung bösartiger Tools nutzen.
Keine Cyberkriminellen nötig
Ein weiteres Problem liegt in der Nutzung selbst - Cyberkriminelle braucht es dafür gar nicht. Der Schweizer Rechtsanwalt Martin Steiger nennt es das "Spaghetti alla Carbonara-Problem". Es beginnt mit dem Missverständnis vieler, dass ChatGPT Fragen beantworten kann. Das kann das Tool nämlich nicht, betont Steiger. Es vervollständige nur Texte. Auf seine Frage, was er mit den Zutaten Spaghetti, Tomaten und Parmesan zubereiten könne, erhielt er als Antwort Spaghetti alla Carbonara sowie ein Rezept dafür. "Spaghetti alla Carbonara mit Tomaten? Auf solche ‚Fake-Carbonara’ steht mindestens eine Nacht Freiheitsentzug!", schreibt Steiger. Das Rezept klingt durchaus plausibel, aber es ist kein Rezept für Carbonara. Um das zu merken, muss man jedoch zunächst einmal wissen, was so eine Sauce überhaupt ausmacht. Das Beispiel zeigt, das man den Antworten von ChatGPT nicht einfach blind vertrauen darf. Im Zweifelsfalle müsse man die Ergebnisse mit unabhängigen Quellen verifizieren - ausser es spiele keine Rolle, ob die Antworten korrekt sind oder nicht.
OpenAI selbst warnt davor auf der ChatGPT-Website: Das Tool könne "gelegentlich inkorrekte Informationen", "schädliche Anweisungen" oder "voreingenommene Inhalte" liefern. OpenAI trainierte die KI zudem mit Informationen, die vor 2021 generiert wurden. Das heisst, der Chatbot kann auch nur beschränkt Auskunft geben zum Weltgeschehen seitdem.
Macht all dies ChatGPT zu einer Bedrohung für die Cyberabwehr? Diese Frage lässt sich ganz klar mit einem "Jein" beantworten. Wie das eingangs erwähnte Kinderbuch sagt: Die KI ist nicht da, um uns zu ersetzen - auch nicht die Cyberkriminellen unter uns. ChatGPT und Co. sind Werkzeuge und bekunden die Absichten derjenigen, die sie nutzen. "Auch wenn Bedenken hinsichtlich der Cybersicherheit aufgekommen sind, darf nicht vergessen werden, dass dieses Tool ein noch grösseres Potenzial hat, zum Guten genutzt zu werden", kommentiert auch Povolny, Principal Engineer und Director bei Trellix, die Lage. Ja, ChatGPT kann bei der Entwicklung von Schadprogrammen oder der Täuschung von Opfern helfen. Aber ChatGPT kann auch dazu beitragen, Programmierfehler zu erkennen und Code widerstandsfähiger zu machen. Und solange beide Seiten dieselben Werkzeuge nutzen, bleibt das Cyberwettrüsten in der Balance.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Partner
Cyberangriffe auf Unternehmen: Die Checklist für den Ernstfall
Cyberangriffe gehen im DACH-Raum zurück
Facebook-Betrüger schicken Marketplace-Kunden an die falsche Adresse
Kunst und Passwörter mit Biochemie schützen
Das Cybersecurity Special 2024 ist da
"Protect" - Entwicklung und Umsetzung passender Sicherheitsmassnahmen
Kriminelle locken Twint-User mit falschem Treuegutschein
Schutz für wertvolle Fracht in einer vernetzten Welt
Alte Gesetze sind der Polizei schnuppe
