Aus der Sicht von Datenschutz und Datensicherheit sehen viele ChatGPT ausgesprochen kritisch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzt andere Akzente. Es sieht in ChatGPT eine Chance zur Verbesserung der Datensicherheit – vorausgesetzt, man setzt es dafür sinnvoll ein. Denn das menschliche Denken wird durch ein solches System nicht überflüssig.

Oft stehen die Risiken im Vordergrund

Kann man mithilfe von ChatGPT täuschend echte Spam-Mails erzeugen? Ja, das ist natürlich möglich. Und funktioniert die Programmierung von Schadsoftware mit diesem System? Ja, oft sogar sehr gut. Diese Risiken sieht selbst-verständlich auch das BSI. Es fasst die Situation so zusammen: Der Einsatz eines Sprachmodells wie ChatGPT „verstärkt das Bedrohungspotenzial einiger bekannter IT-Sicherheitsbedrohungen.“

Was schadet, kann aber auch Nutzen stiften

Doch auch für ChatGPT gilt das, was der heute vergessene Dichter Hölderlin vor über 200 Jahren so formuliert hat: „Wo aber Gefahr ist, wächst das Rettende auch.“ Zwar zitiert ihn das BSI nicht. In einem Arbeitspapier geht es aber ausführlich darauf ein, welche Chancen für eine Verbesserung der IT-Sicherheit ChatGPT bietet. Dabei spricht es eine große Palette von Möglichkeiten an.

Unerwünschte Inhalte lassen sich herausfiltern

Die erste Möglichkeit ist die „Detektion unerwünschter Inhalte“. Diese Formulierung wirkt zunächst sehr abstrakt. Sie spricht die Kehrseite der Produktion unerwünschter Inhalte an. Ein System, das „gut gemachte“ Spam-Mails erzeugen kann, erkennt derartige Spam-Mails in der Regel auch sehr gut. Das bietet für Opfer von Spam-Mails die Möglichkeit, sich auf Augenhöhe gegen die Täter zu wehren.

Datenverkehr lässt sich analysieren

Eine weitere Möglichkeit bildet die Unterstützung bei der Analyse von Datenverkehr. Eine solche Analyse ermöglicht es beispielsweise, ungewöhnliche Vorgänge im Netzwerkverkehr zu erkennen. Sie können auf Schadsoftware hinweisen, die im Netzwerk unterwegs ist. Auch verdächtige Einlog-Vorgänge lassen sich mithilfe gut gemachter Analysen herausfiltern.

Eine Untersuchung auf Sicherheitslücken ist möglich

Überraschend dürfte für viele sein, dass sich ein System wie ChatGPT auch dazu einsetzen lässt, vorhandene Programmcodes auf bekannte Sicherheitslücken zu untersuchen. Oft konzentriert sich die Aufmerksamkeit auf neue Sicherheitslücken, die bisher niemand im Fokus hatte. Zwar sind solche neuen Sicherheitslücken gewiss wichtig. Oft genug entstehen jedoch Schäden durch längst bekannte Sicherheitslücken, die man nur hätte berücksichtigen müssen.

Große Datenmengen sind rasch auszuwerten

Generell hilfreich kann ein System wie ChatGPT sein, wenn es um die Analyse großer Textmengen geht. Die Notwendigkeit dazu tritt im Bereich der IT-Sicherheit vor allem auf, wenn es zu Sicherheitsvorfällen gekommen ist. Dann gilt es oft, große Mengen von Texten rasch zu analysieren, um das Ausmaß des Vorfalls abschätzen zu können.

Die äußere Qualität von Texten täuscht oft

Chancen ohne Risiken gibt es generell so gut wie nie. Das gilt auch bei den eben geschilderten Möglichkeiten. Hier gilt ebenfalls: Systeme wie ChatGPT erzeugen Texte, die meist sprachlich fehlerfrei sind und zumindest auf den ersten Blick inhaltlich sehr überzeugend wirken, oft sogar auf den zweiten Blick. Deshalb ist immer darauf zu achten, welche Daten für das Training des Systems verwendet wurden. Wer mit seiner Hilfe beispielsweise nach Schadsoftware sucht, muss vorher überlegen, welche Typen von Schadsoftware das System überhaupt „kennen“ kann.

Geben und Nehmen sind zwei Seiten der Medaille

Daten bekommt bei Systemen wie ChatGPT nur der, der auch Daten gibt. Eine scheinbar harmlose Eingabe von Daten enthält oft sensible oder vertrauliche Informationen. Was mit ihnen geschieht, ist nicht nachvollziehbar. In jedem Fall fließen sie in die vorhandene Datenbasis ein. Das kann dazu führen, dass sie sich in nicht vorhersehbaren Zusammenhängen irgendwo wiederfinden. Theoretisch lässt sich dieses Risiko vermeiden, indem man eine eigene Datenbasis aufbaut und ein System wie ChatGPT nur mithilfe dieser Basis nutzt. Praktisch realisieren lässt sich das allerdings nur für wenige Unternehmen und mit erheblichen Ressourcen.

Hier gibt es vertiefte Informationen

Wer sich detailliert informieren will, sollte auf das 21-seitige Papier „Große KI-Sprachmodelle – Chancen und Risiken für Industrie und Behörden“ des BSI zurückgreifen. Es ist am 3. Mai 2023 erschienen und hier abrufbar:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KI/Grosse_KI_Sprachmodelle.html