EPIsch gut oder EPIc Fail? Die European Payments Initiative
Künstliche Intelligenz (KI) wird derzeit in verschiedenen Bereichen und Industrien intensiv diskutiert. Viele Experten warnen vor einem unreflektierten Einsatz und sehen vor allem Nachteile wie Bias und Diskriminierung, Sicherheitsrisiken und Datenschutzverletzungen, mögliche Arbeitsplatzverluste und Haftungsfragen. Auf der anderen Seite ist die Liste der Vorteile mindestens ebenso lang. Neben Möglichkeiten zur Automatisierung von Arbeitsabläufen, verbesserter Datenanalyse, Fortschritten in Forschung und Gesundheitswesen und vielem mehr bietet KI auch bei der Authentifizierung eine Reihe von Vorteilen. Insbesondere im Bereich der biometrischen Identifikation schreitet die Entwicklung rasant voran. In Kombination mit anderen Sicherheitsmechanismen wie der Zwei-Faktor-Authentifizierung (2FA) wird die Sicherheit erhöht. Darüber hinaus ermöglicht der Einsatz von KI auch eine personalisierte Nutzererfahrung. Kundenpräferenzen und Verhaltensmuster werden analysiert, um personalisierte Nutzererlebnisse zu ermöglichen. Die wohl bekannteste Anwendung von Biometrie in Verbindung mit KI ist die Gesichtserkennung. Wie sie funktioniert und welche Tricks Cyberkriminelle versuchen, um sie zu überlisten, erfahren Sie hier:
Funktionsweise der Gesichtserkennung
Die Funktionsweise der Gesichtserkennung gliedert sich in mehrere Schritte. Zunächst wird ein Bild aufgenommen. Dabei ist es wichtig, dass das Bild von guter Qualität ist. Oft werden dafür auch mehrere Blickwinkel benötigt. Anschliessend werden wichtige Gesichtsmerkmale, zum Beispiel die Augen, lokalisiert und extrahiert. Danach werden die charakteristischen Merkmale mit Hilfe von mathematischen Vektoren oder durch sogenanntes „Face Embedding“ in Templates umgewandelt.
Um eine sichere Authentifizierung zu gewährleisten, können verschiedene Verfahren kombiniert werden. Nachfolgend sind drei Beispiele für mögliche Verfahren aufgeführt:
- Template Matching
Bei diesem Verfahren werden Gesichtsregionen wie Augen- oder Nasenpartie vorgegeben, die dann im Gesicht der Person, die sich authentifizieren möchte, lokalisiert werden. Diese Merkmale werden dann mathematisch mit dem Referenzbild kombiniert und die Ähnlichkeiten der Bereiche berechnet.
- Elastic-Graph-Matching
Bei dieser Methode wird ein Gitternetz über das Gesicht gelegt. Das Netz enthält die charakteristischen Merkmale und passt sich dem Gesicht an. Mit Hilfe der Knotenpunkte können Merkmale identifiziert werden, die sich nicht kontinuierlich durch Gesichtsausdrücke verändern.
- 3D-Geschichtserkennung
Hier werden spezielle 3D-Kameras oder Infrarotsensoren eingesetzt, um die dreidimensionalen Gesichtszüge zu erkennen. Diese Methode ist besonders robust gegenüber Deepfake-Angriffen.
Welche Verfahren letztendlich zum Einsatz kommen, hängt von verschiedenen Faktoren ab. Von der Leistungsfähigkeit des Endgerätes oder auch von den Sicherheitsanforderungen an die Authentifizierung. Häufig wird eine Kombination verschiedener Verfahren eingesetzt, um die Gesichtserkennung zuverlässiger und sicherer zu machen.
Face off: Die vielen Gesichter von Cyberkriminellen
Obwohl biometrische Verfahren als sehr sicher gelten, haben Kriminelle Methoden entwickelt, um Authentifizierungssysteme zu überlisten und zu täuschen.
Denn biometrische Daten sind nur so sicher wie die Systeme, in denen sie gespeichert sind. Auch die Sicherheit der Datenübertragung spielt eine wichtige Rolle. Denn wie bei jeder Übertragung von sensiblen Datensätzen gilt, dass diese über verschlüsselte Kanäle erfolgen sollte. Es ist ein Irrglaube, dass biometrische Daten nicht dupliziert werden können.
Im Dark Web werden täglich viele biometrische Daten veröffentlicht. Aber nicht nur das: Auch Bilder, die auf Social-Media-Plattformen veröffentlicht werden, können von Cyberkriminellen genutzt werden, um zum Beispiel Deepfakes zu erstellen. Werden diese zum Beispiel bei einer Kontoeröffnung eingesetzt, können Fernidentifizierungsverfahren getäuscht werden.
Zur Manipulation von Gesichtern in Videos wurden in den letzten Jahren verschiedene KI-basierte Verfahren entwickelt, um beispielsweise Gesichter auszutauschen (Face Swapping), Mimik und Bewegungen zu steuern (Face Reenactment) oder synthetische Identitäten zu erzeugen. Nach Einschätzung von Behörden wie dem BSI sind solche Angriffe durchaus erfolgversprechend. Auch Europol weist in einem Bericht darauf hin, dass gerade Deepfakes und Fälschungen von Gesichtsbildern Anlass zur Sorge geben, da die Entwicklungen in diesem Bereich rasant voranschreiten.
Mehrstufige Authentifizierungsverfahren bieten höchste Sicherheit
Grundlegende Sicherheitspraktiken können helfen, Fälschungen über Deepfake zu verhindern. Dazu gehört, dass die meisten Videos dieser Art derzeit noch nicht ausgereift sind. So zeigen Gesichter vor allem ruckartige Bewegungen, die Person blinzelt unregelmässig oder gar nicht oder die Hautfarbe verändert sich. Zum anderen weisen die Videos sichtbare Übergänge auf, scharfe Konturen verschwimmen oder die Mimik ist eingeschränkt und die Beleuchtung nicht stimmig.
Um sich vor Deepfake-Angriffen zu schützen, sollte neben der Schulung und Sensibilisierung der Mitarbeiter auch auf einen ausreichenden Schutz der Accounts geachtet werden. Bei gross angelegten Angriffen sollten die Cyberkriminellen nur Zugriff auf ein Konto haben und nicht auf alle anderen.
Für ein hohes Mass an Sicherheit eignet sich die Multi-Faktor-Authentifizierung, bei der mehr als ein Faktor erforderlich ist, um sich in ein Konto einzuloggen. Auch nachgelagerte Authentifizierungsmethoden wie die adaptive oder auch risikobasierte Authentifizierung tragen zu einem höheren Schutz bei.
