ZDFheute

Wie Deepfakes Gesichtserkennung täuschen

Sie sind hier:

Künstliche Intelligenz - Wie Deepfakes Gesichtserkennung täuschen

Datum:

Der Einsatz von Videoüberwachung zur Identifizierung von Personen ist umstritten. Vielleicht ist er auch schon bald überholt. Denn Gesichtserkennung lässt sich leicht manipulieren.

Gesichtserkennungstechnologie kann leicht manipuliert werden.
Gesichtserkennungstechnologie kann leicht manipuliert werden.
Quelle: Imago

Angefangen hat alles damit, dass zwei Informatiker des IT-Sicherheitsunternehmens McAfee die Künstliche Intelligenz in einem Auto austricksten. Dem Fahrassistenzsystem gaukelten sie vor, dass eine zusätzliche Fahrspur an einer Kreuzung eingerichtet sei.

Tatsächlich stand dort aber ein Stopp-Schild. Auf einer Strecke mit einer Geschwindigkeitsbeschränkung von 35 Meilen pro Stunde täuschten sie dem Assistenzsystem außerdem eine erlaubte Geschwindigkeit von 85 Meilen vor.

Methoden, um Künstliche Intelligenz zu manipulieren

Um das Fahrassistenzsystem über die Mustererkennungssoftware auszutricksen, nahmen die Informatiker nur kleine Manipulationen an den aufgestellten Verkehrsschildern vor. "Dafür experimentierten wir mit einer Webcam, um die Bilderkennung dazu zu bringen, das Verkehrszeichen falsch zu klassifizieren", berichtet Raj Samani, Chefwissenschaftler bei McAfee.

Wie Videoüberwachung funktioniert, sehen Sie hier:

Wie funktioniert Videoüberwachung? Wie können auf Grundlage von Filmmaterial Verdächtige ermittelt werden?

Beitragslänge:
2 min
Datum:

So entwickelten sie Angriffsmethoden, um die Künstliche Intelligenz der Bilderkennungssysteme zu manipulieren. Die Folge: Aufgrund der falschen Bilderkennung beschleunigte ein Testauto auf einer Strecke mit 35 Meilen Höchstgeschwindigkeit auf 85 Meilen.

Dabei übertrugen wir die Angriffsmethoden auf die Künstliche Intelligenz in Fahrzeugen auf andere Bereiche.
Raj Samani

"So etwas kann bei etwas engeren Kurven schon ziemlich gefährlich werden", meint Samani. Deshalb untersuchte sein Team auch, wie solche Manipulationen genau zustande kommen.

Lernen durch Deepfake

Einer dieser Bereiche waren sogenannte Deepfakes. Dabei manipuliert eine KI-Software zum Beispiel Videos mit Prominenten und lässt sie Sachen sagen, die sie so nie geäußert haben.

Die Lippenbewegungen sind dabei synchron zu den untergeschobenen Wörtern und Sätzen. Mimik und Gestik werden ebenfalls gezielt manipuliert. Und plötzlich gibt es dann ein Video, in dem Ex-US-Präsident Barack Obama Dinge sagt, die nie jemand von ihm erwartet hätte.

Er hat sie auch nie gesagt. Es wurde ihm untergeschoben, ein Deepfake eben. Solche Fälschungen im Video lassen sich dank der Arbeit von Samani und seiner Kollegen inzwischen besser erkennen und nachweisen.

Neuronale Netze für die Manipulation

Sie verwenden dafür Methoden maschinellen Lernens. Die Systeme lernen also selbstständig. Dafür haben die Forscher ein vier Schichten tiefes neuronales Netz entwickelt, das nach ähnlichen Prinzipien arbeitet wie das menschliche Gehirn.

Es analysiert die Pixel der einzelnen Bilder in einem Video und berechnet die Wahrscheinlichkeit mit der einzelne Pixel manipuliert worden sind. Damit lässt sich auch insgesamt die Wahrscheinlichkeit berechnen, ob es sich bei einem Video um einen Deepfake handelt oder nicht.

Die Sicherheitsforscher wollen aus diesem methodischen Ansatz ein Analysewerkzeug für den Einsatz in der Forensik entwickeln. Diese Arbeiten stehen allerdings noch am Anfang.

Mit wenigen Pixeln ist das Gesichtserkennungssystem überlistet

Aber sie haben bereits ein Ergebnis erbracht: Die Algorithmen für die Klassifikation eines Bildes oder eines Musters in einem Bild können mit Methoden maschinellen Lernens sehr leicht angegriffen werden.

So reichten nur wenige Pixeländerungen am Foto eines Pinguins aus, und das neuronale Netzwerk machte aus dem Pinguin eine Bratpfanne. Manipulieren Angreifer nun ein Gesichtserkennungssystem mit veränderten Eingabebildern, kann das Gesichtserkennungssystem Personen auf einem Überwachungsvideo nicht mehr identifizieren.

Welche Gefahren bestehen bei der biometrischen Sperre?

Beitragslänge:
5 min
Datum:

Es wird entweder blind oder stellt eine falsche Identität der gefilmten Personen fest. Für eine flächendeckende Videoüberwachung ist es dann nicht mehr einsetzbar. Denn bei solchen Überwachungsmaßnahmen kommt es ja darauf an, aus einer Vielzahl von Passanten einzelne Personen per Gesichtserkennung herauszufischen.

Manipulierte Fotos als Problem für Fahndungen

So werden etwa die Bilder einer Überwachungskamera mit den Fotos aus der Fahndungs-Datenbank abgeglichen. Erkennt die Gesichtserkennung auf diese Weise eine zur Fahndung ausgeschriebene Person, schlägt sie Alarm und eine Polizeistreife wird losgeschickt.

London hat mehr Überwachungskameras als andere europäische Hauptstädte. Nun soll die Polizei diese auch einsetzen dürfen, um Gesichter scannen und mit Fotos gesuchter Verbrecher abgleichen zu können. Gegen diese Praxis wurde bereits geklagt.

Beitragslänge:
2 min
Datum:

Doch wenn die Gesichtserkennung durch manipulierte Fotos gezielt getäuscht wird, kann die Wahrscheinlichkeit, ob das von der Kamera gefilmte Gesicht mit dem in der Fahndungsdatenbank hinterlegten Gesicht, nicht mehr korrekt berechnet werden.

Wettlauf zwischen Cybersicherheit und Cyberkriminalität

Entweder kommt es zu Fehlalarmen, oder die Gesichtserkennung wird insgesamt blind. Es gibt zwar Methoden maschinellen Lernens, die gegen Angriffe mit manipulierten Eingaben regelrecht "gehärtet" sind. Aber diese Härtungsmethoden müssen auf die jeweiligen Einsatzarten der Mustererkennung übertragen und an sie angepasst werden.

"Da haben wir es mit einem Wettlauf zwischen der Cybersicherheit und der Cyberkriminalität zu tun", urteilt Raj Samani. Wer da im Falle der Gesichtserkennung den Kürzeren ziehen wird, ist im Augenblick noch nicht ausgemacht.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um dir ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier kannst du mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.