Warum ist ausgerechnet ChatGPT unter den zahlreich existierenden KI-Modellen so interessant? Das liegt vor allem daran, dass es sich bei diesem Chatbot um ein Sprachmodell beziehungsweise um ein Large Language Modell (LLM) handelt, das genau wie Menschen in natürlicher Sprache kommuniziert.
Darüber hinaus hat ChatGPT bereits mehrere Zulassungstests an US-amerikanischen Universitäten sehr gut bestanden und in Deutschland die Abiturprüfung erfolgreich abgelegt. Daher wurde häufig auch darüber diskutiert, ob die KI zukünftig Kompetenzen gefährden würde. Gilt das auch für die IT-Sicherheitsberatung? Das betrachten wir in unserer Serie.
Ist der Chatbot in der IT-Sicherheitsberatung sinnvoll einsetzbar oder kann diese ggf. ersetzen? Die Anwendbarkeit haben wir anhand von einigen Beispielen getestet.
ChatGPT und die Rolle des IT-Sicherheitsberatenden
Direkt zu Beginn wurde ChatGPT (in Version 3.5) gefragt, ob es die Rolle eines IT-Sicherheitsberaters oder einer IT-Sicherheitsberaterin ersetzen kann:
Es wird also schon von ChatGPT selbst ausdrücklich darauf hingewiesen, dass er keine persönliche und tiefgreifende Beratung ersetzen kann, die eine qualifizierte IT-Sicherheitsberaterin oder ein IT-Sicherheitsberater bieten kann. Außerdem wird die Antwort direkt mit einigen Vorteilen ergänzt, die dafür sprechen Experten einzubeziehen.
ChatGPT und die Anforderungen von Informationssicherheitsstandards wie ISO 27001 oder BSI IT-Grundschutz
Die vorherige Antwort verweist zugleich aber auch darauf, dass ChatGPT bekannte Richtlinien erklären kann. Greift man diese Antwort und fragt daraufhin direkt nach einer Richtlinie mit Bezug zur Informationssicherheit, im Beispiel wurde die Richtlinie zu Datensicherungen gewählt, erhält man folgendes Ergebnis:
Die Antwort zeigt einen möglichen Aufbau und potentielle Inhalte einer Richtlinie zur Datensicherung auf. Jedoch sind die Inhalte sehr generisch, wodurch die Richtlinie ohne Berücksichtigung der individuellen Rahmenbedingungen kaum Mehrwert für die Umsetzung bzw. die konkrete Behandlung der Thematik „Datensicherung“ bietet.
Versetzt man sich in die Lage eines Kunden, der gern von ChatGPT erklärt haben möchte wieso es seine Aufgabe ist, sich um bestimmte Anforderungen zu kümmern obwohl ein Dienstleister damit beauftragt wurde sieht die Antwort folgendermaßen aus:
In diesem Beispiel greift ChatGPT in der Antwort die Schnittstellen und zugehörigen Anforderungen gezielt auf und kann einem Kunden relativ konkret Auskunft geben, jedoch könnten auch hier noch weitere Schnittstellen einbezogen werden.
Noch konkreter fällt die Antwort bei der direkten Frage nach Anforderungen und Bausteinen des BSI IT-Grundschutzes aus, hier am Beispiel des „SYS.1.2.3.A1 Planung von Windows Server“.
ChatGPT gibt hier direkt zu Beginn selbst den Hinweis, dass die Antwort einige Schritte aufzeigt, die bei der Umsetzung helfen können. Es handelt sich dabei also erneut um generische Themen, konkretere Umsetzungshinweise für die Anforderungen des Bausteins können nicht aufgegriffen werden.
ChatGPT und Auditbefunde
Nachdem getestet wurde, inwiefern ChatGPT in der IT-Sicherheitsberatung unterstützen kann, sollte auch getestet werden, ob ChatGPT auf Seiten eines Auditierenden unterstützen könnte. Dafür wurde ChatGPT aufgefordert einen typischen Befund für einen Auditbericht zu verfassen, der auf fehlende Netztrennung hinweist:
Die Antwort umfasst den vorgegeben Aufbau des Auditbefunds und trifft grundsätzlich typische Probleme der vorgegeben Thematik, jedoch erneut recht allgemein. Ein Auditbefund sollte jedoch immer konkret die individuelle Situation aufgreifen, dies ist mit ChatGPT nicht ohne weiteres möglich.
ChatGPT vs. IT-Sicherheitsberatung
Zusammenfassend zeigt sich, das ChatGPT in verschiedenen Bereichen der IT-Sicherheitsberatung unterstützend eingesetzt werden kann, um ein allgemeines Verständnis für die Thematik zu erhalten.
Die Grenzen zeigen sich jedoch schnell, wenn es um die Berücksichtigung von konkreten Rahmenbedingungen und Umsetzungsmöglichkeiten geht. Dies kann nur durch einen qualifizierten IT-Sicherheitsberatenden ermöglicht werden, was ChatGPT auch direkt zu Beginn selbst bestätigt. Dies ist natürlich auch darauf zurückzuführen, dass ChatGPT über keine zusätzlichen Informationen über die individuellen und spezifischen Gegebenheiten verfügt. Das sollte auch unter allen Umständen vermieden werden. Es sollten weder vertraulichen Informationen oder Firmeninterna noch personenbezogene Daten mit Hilfe von ChatGPT bearbeitet werden, da die Ergebnisse direkt wieder in das Gesamttraining der KI einfließen.
Somit kann ChatGPT die individuelle IT-Sicherheitsberatung, unter Berücksichtigung der Gegebenheiten und Angemessenheit einer Organisation nicht umfassend und zielgerichtet sicherstellen. Allgemeine Informationen aus ChatGPT können jedoch unterstützend hinzugezogen werden, dabei sollten diese unbedingt vorab überprüft werden. Sollte zudem angestrebt werden, die Informationen zur weiteren internen Verarbeitung zu nutzen, so ist eine individuelle Anpassung (ohne die Verarbeitung durch ChatGPT) unerlässlich.
Dabei muss auch beachtet werden, dass der Chatbot nur Premiumnutzern, die bereit sind dafür knapp 20€ monatlich zu zahlen, sofort zu Verfügung steht. Bei einer kostenlosen Nutzung muss auch immer mit Wartezeiten oder Nichtverfügbarkeit des Dienstes gerechnet werden.
Wir werden uns weiter ansehen, ob und an welchen Stellen ChatGPT – z. B. durch mehr Informationen oder Nutzung von Version 4 mit Plugins wie Bing – spezifischer unterstützen kann.