Wird ChatGPT den größten Datenskandal der Welt verursachen?

Die Verbreitung von KI-Sprachmodellen hat unsere Interaktionen mit Texten und Inhalten grundlegend verändert. Doch hinter der Vielzahl von Anwendungsfällen schlummert ein Datenschutzproblem, das zu einem der größten Skandale in der IT-Geschichte werden könnte. [...]

Daniel Gal, Gründer der Digitalberatung GAL und nele.ai. (c) GAL Digital GmbH
Daniel Gal, Gründer der Digitalberatung GAL und nele.ai. (c) GAL Digital GmbH

Das KI-Sprachmodell ChatGPT und seine Varianten haben dauerhaft die Art und Weise verändert, wie wir Inhalte recherchieren, Texte, Artikel oder ganze Bücher schreiben, E-Mail-Kampagnen erstellen oder weitere Content-Formen generieren. Doch jenseits der weltweiten Euphorie schlummert unter der Convenience-Fassade das Potential für einen der größten Datenschutz-Skandale der IT-Geschichte. Ursache hierfür ist vor allem die Methodik, wie der Erfinder OpenAI sein Angebot gestaltet. Denn sowohl bei ChatGPT in der kostenlosen, als auch in der kostenpflichtigen Version Premium, wird zumindest ohne weitere Einstellungen, laut OpenAI alle Eingaben gespeichert und möglicherweise zum Optimieren des zukünftiger KI-Modelle benutzt.

Als das amerikanische Tech-Unternehmen OpenAI im November 2022 das generative, KI-basierte Sprachmodell GPT-3 mit der intuitiven Benutzerschnittstelle ChatGPT veröffentlichte, wurde ein regelrechter Hype ausgelöst. Bereits nach nur 5 Tagen hatten sich weltweit mehr als eine Million NutzerInnen registriert. Entsprechend herrschte in den folgenden Wochen und Monaten eine echte Goldgräberstimmung, bezüglich der datenschutzrechtlichen Rahmenbedingungen machten sich nur die allerwenigsten BenutzerInnen weitergehende Gedanken. Im Fokus stand vor allem das Ausloten der vermeintlich unbegrenzten Möglichkeiten. Ob die in der Oberfläche eingegebenen Informationen möglicherweise die EU-DSGVO und/oder unternehmensspezifische Compliance-Richtlinien kompromittierten, blieb außen vor, Neugierde und Experimentierfreudigkeit überwogen deutlich. 

Der KI-„Welpenschutz“ war schnell vorbei

Seitdem führten etliche Datenleaks und Präzedenzfälle dazu, dass sich nicht nur ausgewiesene DSGVO-InsiderInnen mit den Compliance-Problemen von ChatGPT beschäftigen, sondern sich ganze EU-Staaten in der Pflicht sehen, rigorose Konsequenzen anzukündigen – und auch umzusetzen. Die italienische Datenschutzbehörde hatte Ende März diesen Jahres landesweit den Einsatz von ChatGPT verboten, im Laufe des Aprils aber die Nutzung wieder erlaubt, nachdem OpenAI zumindest einige der Nachbesserungs-Forderungen umgesetzt hat. Offen blieb zum Beispiel die Aufforderung, ein Altersschutzsystem zu etablieren. Mitte September 2023 hatte Großbritannien ein aus sieben Prinzipien bestehendes Grundsatzwerk verabschiedet, um der Notwendigkeit von Transparenz und Rechenschaftspflicht Nachdruck zu verleihen. Konkret war es zeitweise möglich, über einen Drittanbieter die Kontodaten von Abonnenten der kostenpflichtigen Plus-Variante von ChatGPT einzusehen, auch waren unternehmens- und personenbezogene Informationen in einigen Prompts für unbefugte NutzerInnen einsehbar.

Die dahinterstehende Grundsatzproblematik scheint aber noch nicht ansatzweise entschärft worden zu sein. Sie setzt sich aus zwei Komponenten zusammen:

Intransparenz der Datennutzung

Einer der größten Stärken von Künstlicher Intelligenz ist gleichzeitig auch die gefährlichste Achillesferse: Lernfähigkeit und die resultierende Unberechenbarkeit. Wenn ein KI-Modell täglich, stündlich und minütlich viele tausende Daten erhält wie das aktuelle GPT-4-Sprachmodell, entstehen entsprechend viele Fehler, Sackgassen und Irrtümer. Abgesehen von den fehlerhaften Ergebnissen bezieht sich die Anfälligkeit aber ebenfalls auf den Umgang mit sensiblen Daten und deren Schutzbedürfnisse. Nicht nur, wenn ungefiltert konkrete Unternehmens- und/oder Personendaten eingegeben, sondern auch, wenn aus scheinbar unkritischen Daten im Kontext und durch Anreicherung Schlussfolgerungen gezogen werden können, die dann Compliance-Vorgaben und Gesetze verletzen. Denn aktuell ist nicht absehbar, auf welche enorme Datenbestände der Algorithmus tatsächlich Zugriff hat/haben wird – und ob sich jemals eine Art „Gewissen“ implementieren lässt. Gewissen und „Awareness“ kann aber sehr wohl von den NutzerInnen eingefordert werden, dieser Aspekt führt direkt zur zweiten Komponente:

Unbekümmertheit und fehlendes Risikobewusstsein der Nutzer 

Der kontinuierliche Anstieg von Schadensfällen im Bereich Cybercrime zeigt anschaulich:  Der menschliche Faktor ist jederzeit in der Lage, selbst ausgefeilteste Sicherheitsvorkehrungen außer Kraft zu setzen, auch ohne böse Absicht. Dementsprechend muss bei den BenutzerInnen von KI-Lösungen ein entsprechend robustes Risikobewusstsein geschaffen und ausgebaut werden. Da professionelle Schulungen und Auffrischungen regelmäßig erhebliche Zeit- und Geldressourcen binden, sollten wir uns nicht der Illusion hingeben, dass sich in absehbarer Zeit dieser Gefahrenfaktor komplett in Wohlgefallen auflöst. 

Der große „KI-Knall“ steht uns wohl noch bevor 

Wir können von Glück sagen, dass sich bisher noch kein „Super-GAU“ im Bereich der KI ereignet hat, der sämtliche Befürchtungen übertrifft, menschliche Existenzen vernichtet und Unternehmen unterschiedlichster Größe in den Untergang führt. Das Potential dazu ist bei generativer KI nicht vorhanden jedoch zumindest das Potenzial für einen großen Datenskandal, denn die Technologie ist bisher am besten mit einem Taschenrechner zu vergleichen. Ein Tachschenrechner berechnet nur was wir eingeben und ein guter Nutzer prüft das Ergebnis zumindest kurz.  Nur durch entschlossenes, gemeinsames Handeln eingedämmt werden. Ob der Point-of-No-Return bereits überschritten ist, kann aktuell niemand sicher beurteilen.

Daher sollte keine Zeit mehr verloren und mindestens folgende Maßnahmen umgesetzt werden:

Verpflichtung der Anbieter zum datenschutzkonformen Umgang mit KI-Tools

Schon bei der Entwicklung von KI-Tools muss von Anfang an auf Datenschutz und Compliance größtmöglicher Wert gelegt werden. Datenschutz ist kein „Nice-to-Have“, sondern ein absolutes „Must“. 

Sorgfältige Schulung der Nutzer

Insbesondere Unternehmen, die auf die Benefits der KI-Tools nicht verzichten können und wollen, haben ihre Mitarbeitenden idealerweise bereits vor dem ersten Klick auf das Prompt-Textfeld so zu schulen, dass keine sensiblen Daten eingegeben werden oder durch technische Maßnahmen und Verträge die konforme Nutzung sichergestellt wird.

Ein pauschales Verbot von ChatGPT wird Benutzer nicht davon abhalten, es zu nutzen. Bereits heute verwendet jeder vierte Mitarbeiter generative KI – denken Sie nur an die sogenannte Schatten-IT. Wer einmal den Taschenrechner genutzt hat, wird in der Zukunft ungern im Kopf rechnen. Gleichzeitig muss ein Grundverständnis für die Funktionsweise von KI-Sprachmodellen und anderer Tools gefördert werden, um Risiken selbstständig zu begegnen, die jetzt vielleicht noch nicht absehbar sind. 

Maßgeschneiderte KI-Lösungen für Unternehmen

Zugegebenermaßen sind die beiden vorherigen Maßnahmen nicht unfehlbar und bieten dementsprechend auch keine hundertprozentige Sicherheitsgarantie. Um dennoch einen höchstmöglichen Schutz zu etablieren, sollte zusätzlich eine robuste Brandmauer zwischen KI-Anbietern und den UserInnen eingezogen werden.

Diese maßgeschneiderte Lösung stellt das nötige Vertragswerk sicher so das keine Daten angelernt werden dürfen und bietet zusätzlich ein Filter für einen großen Teil der persönlichen Daten. Dadurch gelangen eingegebene personenbezogenen Daten nicht bis zum KI-Anbieter. Lösungen wie nele.ai setzen die konkreten Daten automatisiert wieder in die Antwort ein, ohne dass die UserInnen selbst tätig werden müssen. Dies bietet eine zusätzliche Schutzschicht. Denn ein Großteil der Daten bereits automatisch zu filtern ist besser als alles ungefiltert zu versenden. 

Noch besser ist eine autarke KI selbst zu betreiben die auf dem eignen Server läuft. Dies wird jedoch zunächst nicht für alle Unternehmen abbildbar sein.

Fazit: Keine KI ist auch keine Lösung

Die Nutzung von ChatGPT oder ähnlichen KI-Tools aufgrund der oben aufgeführten Problematik aus dem geschäftlichen Kontext komplett zu verbannen, birgt die Gefahr, auf wesentliche Wettbewerbsvorteile bezüglich Produktivität, Kreativität und Geschwindigkeit zu verzichten und von der nationalen und internationalen Konkurrenz früher oder später abgehängt zu werden. Zudem werden UserInnen Wege suchen den Taschenrechner dennoch zu benutzen. Wer sich als UnternehmerIn nicht spätestens jetzt mit dem richtigen Einsatz von KI auseinandersetzt wird also unter Druck geraten – oder die Folgen dieser Nachlässigkeit zu spüren bekommen oder sogar selbst Skandale zu verursachen. Folglich muss der Umgang mit Tools wie ChatGPT & Co. auf einer DSGVO-konformen Basis erfolgen. 

*Der Autor Daniel Gal ist Gründer der Digitalberatung GAL und nele.ai.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*