TikTok, WhatsApp, Metaverse: Pfui. ChatGPT: Hui.

Wie bei vielen neuen Technologien stellt sich auch bei Generative AI und Large Language Model (LLM) wie ChatGPT die Frage: Sind sich Unternehmen ihrer potenziellen Risiken bewusst und wie gehen sie damit um? Gigamon wollte es genau wissen und hat im Rahmen einer weltweiten Studie auch die CIO/CISOs aus 150 deutschen Unternehmen gefragt, wie sie die Sicherheit moderner Technologien einschätzen. Das Ergebnis: Drei Viertel der befragten Unternehmen haben keinerlei Sicherheitsbedenken, wenn ihre Mitarbeitenden ChatGPT nutzen. Lediglich fünf Prozent haben den KI-Chatbot aus ihrem Unternehmen verbannt und weitere 20 Prozent beschäftigen sich derzeit mit den Risiken.

WhatsApp oft im Unternehmensumfeld verboten

Interessanterweise sind Unternehmen bei anderen Technologien weniger nachsichtig. Wenn es um das Metaverse und WhatsApp geht, sind sich CIO/CISOs jeweils zu 100 Prozent einig, dass (potenzielle) Sicherheitsrisiken vorliegen. So haben 67 Prozent von ihnen den Instant Messenger im Unternehmensumfeld verboten; das Metaverse stößt bei zwei Prozent auf Ablehnung. In beiden Fällen befasst sich der Rest zumindest mit möglichen Cyber-Risiken, um baldmöglichst eine Entscheidung hinsichtlich der Nutzung zu treffen. Das gleiche Schicksal ereilt auch TikTok: In zehn Prozent der Unternehmen ist die Kurzvideo-App tabu; 89 Prozent untersuchen das Risiko-Potenzial. Nur ein Prozent hat keine Bedenken und erlaubt TikTok im Unternehmen.

Das lässt darauf schließen, dass die Sicherheitsrisiken der genannten Plattformen weithin bekannt sind und die Mehrheit der Unternehmen sie auch ernstnimmt. Anders verhält es sich bei ChatGPT – und das, obwohl auch der KI-Chatbot keine unwesentliche Gefahr für Unternehmen darstellt. Betriebsinterna oder andere sensiblen Informationen, die Mitarbeitende mit ChatGPT teilen, können im Trainingsdatenpool landen und im Zuge eines Angriffes auf OpenAI gestohlen werden. Während des ChatGPT-Ausfalls im März 2023 sorgte sogar ein Bug dafür, dass Chat-Eingaben öffentlich einsehbar waren. Außerdem bestehen auch indirekte Risiken: Cyber-Kriminelle können das KI-Tool zum Beispiel dafür nutzen, um vertrauenswürdig wirkende Phishing-Mails zu verfassen, falsche Identitäten zu konstruieren oder Malware zu entwickeln.

Falsches Gefühl von Sicherheit

„Die Tatsache, dass sie für ChatGPT nichts herunterladen müssen, sorgt bei Nutzern für ein falsches Gefühl von Sicherheit. In der Regel soll die Belegschaft Ausschau nach verdächtigen E-Mails halten und keine unbekannten Dateien herunterladen oder seltsame Links anklicken. Doch mit dem KI-Chatbot lassen sich mittlerweile authentische Anwendungen, Webseiten und E-Mails schreiben, die betrügerische Machenschaften verbergen. Dadurch steigt das Risiko, dass Mitarbeitende einem Angriff aufsitzen. Deshalb müssen sich Unternehmen auf den Ernstfall vorbereiten, wenn sie nicht auf ChatGPT verzichten möchten. Der Schlüssel für mehr Sicherheit – zum Beispiel im Rahmen eines Zero-Trust-Modells – ist umfassende Visibility bis hinunter zur Netzwerkebene. Dadurch werden potenzielle Blind Spots, in denen sich Cyber-Kriminelle einnisten, für Sicherheitsteams sichtbar und Angriffe lassen sich schneller erkennen und bekämpfen“, rät Andreas Junck, Senior Sales Director DACH bei Gigamon.

Angesichts der aktuellen Bedrohungslage sind Blind Spots innerhalb des IT-Stacks für 52 Prozent der deutschen CIO/CISOs eine große Herausforderung. Trotzdem fehlt es vielen von ihnen weiterhin an Sichtbarkeit. Nur 29 Prozent von ihnen verfügen über eine umfassende Visibility-Grundlage über Netzwerke, Systeme und Anwendungen hinweg, um ihre Zero-Trust-Architektur zu unterstützen. Gerade einmal 21 Prozent haben Einsicht in verschlüsselte Daten.