Vor wenigen Tagen hat der US-amerikanische KI-Gigant OpenAI sein ChatGPT Gesundheit vorgestellt. „Eine speziell entwickelte Erfahrung, die deine Gesundheitsinformationen auf sichere Weise mit der Intelligenz von ChatGPT zusammenbringt […]“, heißt es auf der Website. Doch auch ohne den neuen Service teilen Millionen Nutzer weltweit die geheimsten Informationen mit ChatGPT. Psychische Probleme? Liebeskummer? Der Chef nervt? Das Finanzamt drängt? ChatGPT weiß immer Rat. Nun sind die Tipps des KI-Tools oftmals falsch, kontraproduktiv und sogar gefährlich – geschenkt. Und ebenso geschenkt, ist, dass die Daten bei OpenAI landen und von dem Unternehmen analysiert werden können. Doch es gibt auch einen dritten Risikofaktor, an den aktuell kaum jemand denkt. Dabei ist er unter Umständen mit Abstand am problematischsten.
Verhängnisvoller ChatGPT-Fehler
Wer sich bei ChatGPT anmelden möchte, wird zuerst nach seiner E-Mail und unmittelbar darauf nach einem Passwort gefragt. Beides ist schnell eingetippt, denn vorausgesetzt sind lediglich 12 Zeichen. Groß- und Kleinschreibung, Zahlen und Buchstaben, Sonderzeichen – alles irrelevant. Und genau das kann zu seinem großen Problem werden. Denn für Hacker ist dies ein großer Vorteil. Zumal sie Zugriff auf Listen mit den am meisten verwendeten Passwörtern haben. Als da wären für das Jahr 2023:
- 123456789
- 12345678
- hallo
- 1234567890
- 1234567
- password
- password1
- target123
- iloveyou
- gwerty123
Übrigens: Kennwörter mit einer Länge von 12 Zeichen und ausschließlich Zahlen ließen sich bereits im Jahr 2023 innerhalb von nur 25 Sekunden knacken. Ganz ohne vorgefertigte Passwort-Listen. Die dazugehörigen E-Mail-Adressen können Hacker derweil einer von zahlreichen Darknet-Datenbanken entnehmen. Und haben sie das Konto erst einmal geknackt, liegen unter Umständen die persönlichsten Informationen des Opfers offen. Perfekt für Phishing, Identitätsdiebstahl oder Erpressung.
Diesen Ausgang begünstigt auch der Umstand, dass sich leicht erkennen lässt, welche der E-Mail-Adressen bereits registriert sind. Denn nutzt man eine registrierte E-Mail, öffnet sich ein Anmeldefenster. Und falls nicht, dann ein Registrierungsfenster. In seltenen Fällen fragt das Tool bei gleicher Eingabe auch direkt nach dem Passwort und bietet zeitgleich an, sich zu registrieren. Warum das Vorgehen teilweise variiert, ist nicht klar.
Wir haben bei OpenAI nachgehakt, erhielten jedoch lediglich Datenschutzinformationen allgemeiner Natur als Rückmeldung. Auf unsere Fragen ging der Entwickler nicht ein. Dafür versicherte man uns, man würde fortlaufend an den Sicherheitsmaßnahmen arbeiten.
Starkes Passwort und Multi-Faktor-Authentifizierung (MFA)
Was können ChatGPT-Nutzer also tun, um das Risiko von gestohlenen Daten zu verringern? Zunächst einmal gilt es, ein starkes Passwort zu setzen. Bedeutet: möglichst lang, mit kleinen und großen Buchstaben, Zahlen und Sonderzeichen. Außerdem ist das Kennwort umso besser, je wirrer es ist. Also etwa nicht „Passwort123$“, sondern „Bz3hd?m5)d-F9dÖ“. Ferner empfiehlt es sich, die „ab Werk“ deaktivierte Multi-Faktor-Authentifizierung (MFA) einzuschalten (Opt-in-Verfahren). Diese bietet eine weitere Sicherheitsebene mittels eines Codes, der bei der Anmeldung per SMS oder Authenticator-App zugestellt wird.
Die MFA-Option findet sich in den ChatGPT-Einstellungen unter dem Punkt „Sicherheit“. An dieser Stelle empfehlen wir ferner, einen Abstecher zu dem Menüpunkt „Datenkontrollen“ zu machen. Obwohl dieser mit dem in diesem Artikel thematisierten Sachverhalt nur eingeschränkt in Verbindung steht.
Ein Wermutstropfen bleibt: Abseits von schwachen Passwörtern gibt es für Cyberkriminelle auch weitere Möglichkeiten, sich Zugang zum Konto zu verschaffen. Etwa durch Phishing oder Infostealer-Schadsoftware. Daher sollten Nutzer auch das Smartphone als solches schützen. Wie das geht, verrät unser Ratgeber zur Handy-Sicherheit.
