Seit der öffentlichen Einführung von ChatGPT haben mindestens 30 Prozent der Wissensarbeiter das Tool am Arbeitsplatz getestet und fünf Prozent haben Daten in das Tool eingegeben. Um die Befürchtungen hinsichtlich des Datenschutzes und der Datensicherheit zu zerstreuen, haben mehrere namhafte Unternehmen entschiedene Maßnahmen ergriffen und den ChatGPT-Zugang ihrer Mitarbeiter gänzlich blockiert.

Viele Unternehmen haben bislang jedoch nur vage Warnungen vor den Sicherheitsgefahren ausgesprochen. Andere tappen noch im Dunkeln und haben noch keine Botschaften rund um dialogorientierte KI-Tools veröffentlicht.

Datenlecks auf Krisenniveau

Wie bereits erwähnt, besteht das größte Datenschutzproblem für die meisten Unternehmen im Zusammenhang mit generativer KI in der versehentlichen Offenlegung sensibler Informationen. Ein wohlmeinender Mitarbeiter könnte ChatGPT nutzen, um Besprechungsnotizen zusammenzufassen, aber dabei versehentlich zukünftige Geschäftspläne mit ChatGPT und damit mit Fremden teilen. Unabhängige Forscher schätzen, dass 11 Prozent der von Mitarbeitern in ChatGPT eingegebenen Daten vertraulich sind und dass ein durchschnittliches Unternehmen Hunderte von Mal pro Woche Daten in ChatGPT einspeist.

Da ChatGPT in eine Vielzahl von Plugins von Drittanbietern integriert ist, sind die Risiken im Zusammenhang mit Datenlecks sogar noch höher, als manche annehmen könnten. Darüber hinaus gibt OpenAI an, dass es die persönlichen Daten der Benutzer an nicht näher bezeichnete Dritte weitergeben kann, ohne die Benutzer zu informieren, um Geschäftsziele zu erreichen.

Ende März gab OpenAI bekannt, dass es ChatGPT vorübergehend aus dem Internet entfernen musste, um einen Fehler zu beheben, der es einigen Benutzern ermöglichte, die Betreffzeilen der Chatverläufe anderer Benutzer zu sehen. Theoretisch könnte ein weiterer Fehler es Nutzern ermöglichen, die privaten Nachrichten anderer Nutzer einzusehen – und die Auswirkungen könnten schädlicher sein, als wir uns überhaupt vorstellen können.

Das Öffnen der Büchse der Pandora

Anstatt zu versuchen, die Zeit zurückzudrehen, müssen Unternehmen die Chancen erkennen, die sich durch „Conversational KI“ bieten. Der erste Schritt zur Verringerung von Datenlecks bei Conversational KI und zum Schutz vertraulicher Informationen besteht in der Zusammenarbeit mit den Stakeholdern, um realistische Erwartungen an die Nutzung generativer KI zu wecken.

Die Stakeholder müssen die Risikotoleranz ihrer Organisation in Bezug auf die weit verbreitete Nutzung von Tools wie ChatGPT einschätzen. Die Stakeholder sollten dann überlegen, wo sie den Einsatz generativer KI nicht wünschen, wo sie ihn wünschen würden und wo die Stärken und Grenzen von KI in den entsprechenden Kontexten liegen.

Anschließend müssen die IT-Sicherheitsteams Schulungen, Richtlinien und Sicherheitsvorkehrungen für die Benutzer entwickeln. Es empfiehlt sich IT-Sicherheitsmitarbeiter mit der Überwachung von KI-fokussierten Datenschutzinitiativen zu beauftragen.

Datenverluste vermeiden

Das IT-Sicherheitsteam kann ein paar konkrete Maßnahmen umsetzen, um Datenlecks im Zusammenhang mit Chatbots zu verhindern. Die folgenden vier Punkte dienen als erste Empfehlungen, sollten aber nur der Anfang sein:

1. Bewusstsein für Cybersicherheit schaffen. Aufklärung kann einen enormen Einfluss auf die Sicherheit von Unternehmensdaten haben. Untersuchungen zur Cybersicherheit zeigen, dass weniger als ein Prozent der Mitarbeiter für 80 Prozent der Datenverluste im Zusammenhang mit ChatGPT verantwortlich sind. Die Mitarbeiter müssen verstehen, dass, so wie ein Unternehmen nicht darauf vertraut, dass Google Translate seine Marketingmaterialien in andere Sprachen korrekt übersetzt, sie auch ChatGPT in Bezug auf seine Datenschutzpraktiken oder seine Ergebnisse nicht vollständig vertrauen können. Es steht zu viel auf dem Spiel. Die Marktanalysten von Gartner schlagen vor, dass Mitarbeiter, die ChatGPT verwenden, die in das Tool eingegebenen Daten als Daten betrachten sollten, die sie auf einer öffentlichen Website veröffentlichen, z. B. in einem sozialen Netzwerk oder einem öffentlichen Blog. Die Mitarbeiter sollten sich selbst fragen, ob die Daten, die sie in ChatGPT eingeben, für externe Augen geeignet sind.

2. DLP-Prävention. IT-Sicherheitsteams müssen ihre Unternehmen präventiv vor dem ungewollten Verlust wertvoller und sensibler Informationen schützen. Eine DLP-Lösung ermöglicht nicht nur einen Überblick darüber, wie Benutzer mit Daten umgehen, sondern kann Endbenutzer auch auf den richtigen Umgang mit Daten aufmerksam machen, ohne dass die Teams eingeschaltet werden müssen. DLP-Lösungen können sensible Nachrichten erkennen und Konversationen, die sensible Nachrichten enthalten, blockieren. Administratoren können auch die Ergebnisse innerhalb definierter Nachrichten überprüfen.

3. Anpassung der BYOD-Richtlinien. Wenn ein Unternehmen seinen Mitarbeitern nicht erlaubt, ChatGPT auf Firmengeräten zu nutzen, verwenden sie es möglicherweise auf privaten Geräten. Es ist theoretisch möglich und gar nicht so unwahrscheinlich, dass Mitarbeiter Daten in die Teams-App auf ihren Telefonen laden und sie per Copy & Paste in die ChatGPT-App einfügen. Unter dem Gesichtspunkt eines verantwortungsvollen Datenmanagements müssen Unternehmen die bestehenden Richtlinien für BYOD und ChatGPT überprüfen.

4. Unternehmenslizenz für OpenAI anschaffen. Wenn das Unternehmen seinen Mitarbeitern die Nutzung von ChatGPT erlaubt, sollte eine Unternehmenslizenz erworben werden. Der Grund dafür ist folgender: Für den Fall, dass die Sicherheit von OpenAI versagt, begrenzt OpenAI die Haftung auf 100 US-Dollar. Eine Unternehmenslizenz bietet dagegen eine robuste IT-Sicherheit und höhere Haftungsgrenzen.

Zusammenfassung

Wichtig ist, dass IT-Sicherheitsteams einen proaktiven Ansatz verfolgen. Sie müssen Datenverluste durch generative KI-Tools wie ChatGPT, Bard und andere neue Technologien vermeiden. Die oben genannten Maßnahmen unterstützen sie dabei, die Kompromittierung von Daten im Zusammenhang mit generativer KI zu verhindern. Diese neuartige Technologie erfordert neuartige Strategien und Taktiken. Mit fachkundiger Anleitung, dem Teamgedanken und der Unterstützung des IT-Sicherheitsteams sollte die Nutzung generativer KI-Tools durch die Mitarbeiter zu den besten Geschäftsergebnissen führen.