Wir verlieren unser Gesicht

Fingerabdrucksensoren, Irisscanner und Gesichtserkennung erleichtern den digitalen Alltag. Gleichzeitig sammeln sie hochsensible biometrische Daten.

Fans des Karlsruher SC demonstrieren 2011 gegen einen Versuch zur Gesichtserkennung im Fussballstadion. Foto: Imago

Fans des Karlsruher SC demonstrieren 2011 gegen einen Versuch zur Gesichtserkennung im Fussballstadion. Foto: Imago

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Es gehört inzwischen zum Alltag, dass man digitale Geräte mit dem eigenen Fingerabdruck entriegelt. Oder mithilfe eines Irisscans. Auch die Gesichtserkennung hat in den letzten Jahren grosse Fortschritte ­gemacht. Sie kommt in vielen Bildverwaltungsprogrammen und Kameras zum Einsatz, wenn Google Fotos die Bilder im Handy beispielsweise automatisch nach Personen ordnet. Und mit der gestiegenen Angst vor Terror­anschlägen gerät sie auch als Kontrollsystem an Flughäfen oder Bahnhöfen wieder in die Diskussion, wie kürzlich in Deutschland oder vor Jahren am Flughafen Zürich.

Doch wie sicher sind diese Systeme, denen man biometrische Details des eigenen Körpers anvertraut, eigentlich? Das wollte ein amerikanisches Forscherteam genauer wissen. Und staunte nach getaner Arbeit darüber, wie leicht sich gängige Gesichtserkennungssysteme austricksen lassen.

Dem Team von der Universität North Carolina gelang es, vier von fünf gängigen Systemen eine andere Identität vorzugaukeln. Sie testeten KeyLemon, Mobius, TrueKey, BioID und ID. KeyLemon beispielsweise wirbt auf seiner Website damit, dass sich das eigene Gesicht für die Identifizierung beim Onlinebanking eigne. Um die Programme zu überlisten, brauchten die Informatiker keinerlei Interaktion mit der Person, als die sie sich ausgaben. Vielmehr verliessen sie sich auf Google, das Internet und den Fundus an Bildern, den man online zur Verfügung hat.

Rekonstruierte Gesichter

Von 20 Freiwilligen suchten die Wissenschaftler im Netz alle verfügbaren Bilder zusammen, auf Social-Media-Plattformen und anderen Websites. Bei einzelnen Probanden kamen so nur wenige Aufnahmen zusammen, zwischen 3 und immerhin 27 Bilder fanden die Forscher pro Kopf, selbst von Testpersonen, die schon länger darauf geachtet hatten, online möglichst wenig Spuren zu hinterlassen.

Die Bilder liessen sie dann von einer Gesichtserkennungs-Software analysieren, welche die typischen Merkmale aufzeichnet: beispielsweise die Position der Augen, die Länge der Nase oder die Breite des Mundes. Diese Daten fütterten die Forscher in ein Programm, das 3-D-Modelle herstellt, anschliessend überzogen sie dieses Modell mit dem Bild des Probanden. Sie korrigierten den Blick, damit die Person direkt in die Kamera guckt, und animierten das Ganze in einem nächsten Schritt. Zuletzt stülpten sie noch eine Virtual-Reality-Anwendung darüber, damit sich das gestohlene Gesicht auch lebensecht gab. Denn heutige Gesichtserkennungssysteme sind so schlau, dass sie darauf achten, ob jemand zum Beispiel blinzelt.

Es handle sich um eine neue Art des Identitätsdiebstahls, schreiben die Forscher. Und sie raten dringend davon ab, die Sicherheit von Identifikationssystemen alleine auf Gesichtserkennung zu basieren.

Dieser Meinung ist auch Olaf Stern, Leiter des Studiengangs Informatik an der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW): «Es wird immer möglich sein, derartige Systeme auszutricksen», sagt er. Wie in anderen Bereichen gebe es ein Wettrüsten zwischen jenen, die Technik entwickeln, und jenen, die sie missbrauchen wollen.

Gefährliche Bequemlichkeit

Der Trend zum vermehrten Einsatz von biometrischen Erkennungsmerkmalen im Alltag bringt noch grundlegendere Probleme mit sich. Zwar ist es bequemer, den Daumen aufs Smartphone zu drücken oder in die Kamera zu gucken, als sich komplizierte Passwörter auszudenken und zu merken. Doch ein geklautes Passwort kann man ändern, biometrische Daten nicht. Geraten sie in die falschen Hände, gibt es keinen Reset-Knopf, und sie fallen ein Leben lang als sichere Identifikationsquelle weg.

In den USA wurde 2015 in diesem Zusammenhang ein besorgniserregender Fall bekannt. Unbekannte Hacker drangen in das Office of Personnel Management ein, das die Daten aller Bundesangestellten verwaltet, und stahlen unter anderem die Fingerabdrücke von 5,6 Millionen Angestellten, darunter Agenten der Sicherheitsdienste.

Auch Rasmus Rothe, der an der ETH Zürich zum Thema Gesichtserkennung geforscht hat, glaubt nicht an eine absolute Sicherheit der Systeme. Rothe bekam Anfang des Jahres viel Aufmerksamkeit, als er die Website Howhot.io aufschaltete, ein Nebenprodukt seiner Forschungen. Auf der Website konnten User testen, wie hoch der Computer mithilfe von Gesichtserkennung ihre Attraktivität einschätzt. Schon im ersten Monat luden 50 Millionen Teilnehmer ihre Bilder hoch.

Als Privatperson solle man sich genau überlegen, wo man welche biometrischen Daten preisgeben wolle, sagt Olaf Stern, vor allem dann, wenn es in erster Linie um die Bequemlichkeit gehe. Die technische Entwicklung macht einem dies allerdings zunehmend schwerer. Immer mehr Geräte bieten die Erkennung mit biometrischen Eigenschaften an.

«Es ist wichtig, dass die Hersteller immer auch alternative Verfahren anbieten», sagt Rasmus Rothe, der eigentlich ein «Fan der Gesichtserkennung» sei. Der Entscheid für den jeweiligen Weg solle beim Nutzer liegen.

Das Ende der Anonymität

Für Aufregung hatte im Frühjahr auch die russische App FindFace gesorgt. Sie soll es mit zufällig geschossenen Schnappschüssen und einem Online­-Abgleich ermöglichen, x-beliebige Menschen auf der Strasse zu identifizieren.

Bisher funktioniert das Verfahren erst mit den Bildern auf einer russischen Social-Media-Plattform. Kommentatoren warnten jedoch davor, dass dies auch offline schon bald das endgültige Ende jeglicher Anonymität bedeuten könne.

Die App lernt von jedem Bild, wie sie Personen besser identifizieren kann. Ähnlich ging auch Rothe bei seiner Howhot-Software vor. Er fütterte das Programm mit rund einer halben Million Bilder von Menschen inklusive dazugehöriger Altersangabe. So lernte die Software, das Alter von Menschen einzuschätzen, und war darin laut ihrem Hersteller bald besser als jeder Mensch.

Am Flughafen Zürich hatten sich die Verantwortlichen vor einigen Jahren schliesslich gegen eine Software zur ­Gesichtserkennung entschieden. Die Kantonspolizei setzt dort im Moment keine derartigen Systeme ein. Man werde den Markt aber weiter beobachten, heisst es auf Anfrage.

Erstellt: 30.08.2016, 23:17 Uhr

Artikel zum Thema

De Maizière will Gesichtserkennung an Flughäfen

Der deutsche Bundesminister Thomas de Maizière will den Terrorismus mit technischer Überwachung an Bahnhöfen und Flughäfen bekämpfen. Grüne, SPD und FDP sind skeptisch. Mehr...

Eine App für Stalker und Diktatoren

Eine russische App zur Gesichtserkennung lässt Datenschützer erschaudern. Wie sie funktioniert und welche Gefahren sie birgt. Mehr...

Bitcoin-Outing mit bizarrem Ende

Digital kompakt +++ EU will Gesichtserkennung für die Polizei +++ Youtube will TV-Sender streamen +++ Windows Phone ohne Berührung bedienen +++ Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Kommentare

Die Welt in Bildern

Harter Einsatz: Ein Demonstrant wird in Santiago de Chile vom Strahl eines Wasserwerfers getroffen. Die Protestbewegung fordert unter anderem höhere Untergrenzen für Löhne und Renten, günstigere Medikamente und eine neue Verfassung, die das Grundgesetz aus den Zeiten des Diktators Augusto Pinochet ersetzen soll. (9. Dezember 2019)
(Bild: Fernando Llano) Mehr...