In der Öffentlichkeit wird viel über generative KI-Tools wie etwa ChatGPT diskutiert und Tausende von privaten Nutzern surfen inzwischen täglich zu den einschlägigen Adressen, um dem Chat-Bot ihre Fragen zu stellen. Aber auch immer mehr Unternehmen nutzen das neue Angebot, das diese Technologien machen, und setzen KI-Tools für die unterschiedlichsten Projekte und Prozesse ein, vor allem, wenn es um die Beschaffung von Informationen und das Verfassen von Texten oder Übersetzungen geht. Doch viele Anwender scheinen wenig risikobewusst vorzugehen, wenn sie die KI für sich arbeiten lassen und geben dabei viele, teils sensible Daten preis.
Gedankenlos Daten in solche Tools hineinzufüttern, kann gravierende Folgen haben, da die entsprechenden Daten ohne Kontrolle von jedem anderen Nutzer abgerufen und extrahiert werden können – interessierte Dritte brauchen nur die richtigen Fragen stellen. Die Antworten, sprich die Daten, können dann an andere Firmen, Konkurrenzunternehmen oder sogar an Cyber-Kriminelle verkauft werden. Bei Cyber-Angriffen mit Hilfe von Social Engineering nutzen Angreifer dann die mit den Tools geteilten Informationen für ihre Recherchen, um Schwachstellen in IT-Systemen ausfindig zu machen oder aber, um mit Spear-Phishing gezielt Mitarbeiter dazu zu bringen, auf infizierte Links zu klicken, die sie in Phishing-E-Mails hinterlegt haben.
Unternehmen müssen dafür Sorge tragen, sofern ihre Mitarbeiter KI-Tools nutzen dürfen, dass keine personenbezogenen Daten und keine Firmeninterna eingeben werden. In Fortbildungen zur Security Awareness lassen sich solche risikobewussten Umgehensweisen trainieren. Unternehmen sollten sich dabei klar machen, dass ihre Mitarbeiter auch mit den Antworten sensibel umgehen müssen. Wenn Mitarbeiter eines Unternehmens generierte Informationen weiterverarbeiten, müssen sie das in einer Art und Weise tun, die sicherstellt, dass die verwendeten Daten nur frei von personenbezogenen Daten und Firmeninterna anderer genutzt werden. Haben sie Zusammenstellungen von generierten Informationen bei ihren Mitarbeitern in Auftrag gegeben, sollten Unternehmen diese unbedingt überprüfen, um sich gegen Rechtsansprüche anderer abzusichern und Missbrauch vorzubeugen. Geldstrafen im Rahmen der DSGVO oder auch Strafermittlungsverfahren können sonst die Folge sein.
