Deepfakes als Katalysator für die digitale Identität: Herausforderungen und Chancen
Bereits 2021 gab es prominente Beispiele für Deepfakes. Da wäre zum Beispiel das Video von Comedian Jordan Peele, in dem er echtes Filmmaterial von Barack Obama verwendete, aber seine Mimik und Stimme darüberlegte, um öffentlich vor Deepfake-Videos zu warnen. Im Februar 2022 sorgte ein Deepfake-Video von Tom Cruise für Aufsehen.
Das ist mittlerweile schon einige Jahre her und die künstliche Intelligenz entwickelt sich seitdem in atemberaubendem Tempo. Diese rasante Entwicklung beschleunigt auch Deepfake-Technologien, was in der Praxis der digitalen Fernidentifizierung die Herausforderungen verschärft. Damit steht die Welt der digitalen Identifikation vor einem Wendepunkt. Etablierte Verfahren setzen vor allem auf eine Kombination aus biometrischer Erkennung von Personen und optischer Validierung von Ausweisdokumenten – beide Aspekte sind u.a. durch Deepfake Angriffe stark bedroht.
Die wachsende Bedrohung durch Deepfakes
Biometrische Veränderungen, wie z.B. mittels professioneller Schminke oder Gesichtsmasken sind lange bekannt. Masken, wie sie in Filmen wie ‚Mission Impossible‘ gezeigt wurden sind heute tatsächlich in sehr guter Qualität für jedermann verfügbar. Hinzu kommen jetzt die Deepfakes, also täuschend echte digitale Manipulationen an Bild-, Video- und Sprachmaterial, und diese sind immer schwerer als solche zu erkennen – von Menschen ebenso wie von Systemen. Noch ist ein erheblicher Aufwand erforderlich, um mittels relevanter Manipulationen an Dokumenten, Gesichtern, Fotos oder Videos nutzbare digitale Fälschungen zu erzeugen – und es bedarf natürlich der entsprechenden kriminellen Energie. Und nach-wie-vor bieten die optisch-basierten Ident-Verfahren eine sehr hohe Verlässlichkeit in der Erkennung von solchen Missbrauchsversuchen. Eine 100%ige Sicherheit war und ist dabei nicht garantiert.
Auto- oder Foto-Ident-Verfahren, die vollautomatisiert auf der digitalen Übermittlung von Fotos, sehr kurzen Videosequenzen der Ausweisaufnahme und des Selfies sowie vereinzelt auch auf Sprachproben basieren sind permanent herausgefordert, stets die modernsten Arten von Missbrauchsversuchen systematisch abzuwehren. Die Algorithmen werden laufend darauf angepasst und optimiert, es gleicht einem Wettlauf. Während Vor–Ort–Systeme z.B. bei der Grenzkontrolle hochentwickelte Kameras und Sensoren einsetzen können, sind die Fernidentifizierungen durch die Hardware des Nutzers beschränkt. Mit der Hinzunahme einer Überprüfung der digital erfassten Materialien durch einen geschulten Agenten können zusätzlich Zweifelsfälle geklärt und weitere Sicherungsebenen etabliert werden – Fälschungen, die im automatisierten System aber keine Zweifel wecken oder die vom Menschen auch nicht spontan erkannt werden können, sind damit nicht auszuschließen.
Video-Ident-Verfahren setzen auf ein längeres Video-Telefonat zwischen dem Agenten und dem Kunden, was Angriffe zwar aufwändiger macht, aber nicht ausschließt. Deepfake-Technologien ermöglichen es Angreifern mittlerweile, neben den eigentlichen Ausweisdokumenten inkl. der Sicherheitsmerkmale auch Aussehen, Gestik, Mimik und Stimme der Person in Echtzeit zu manipulieren, was die Erkennung im Live-Video-Telefonat erheblich erschwert. Erkennbar sind heute häufig noch z.B. grafische Unstimmigkeiten bei Übergangen von der Person zur Umgebung sowie unnatürliche Bewegungen, Hautfarben oder Augen. Ein geschulter Agent im Videotelefonat kann alle Faktoren einbeziehen und häufig auch entsprechende Technologie zur Betrugserkennung live einbinden. Dennoch, ein Live-Video über eine künstliche Intelligenz so täuschend echt zu erzeugen, dass es in einem Video-Telefonat überzeugen kann – das ist eine Frage der Zeit, nicht eine Frage der Machbarkeit.
Auswirkungen für Ident und Onboarding
Digitale Verfahren zur Fernidentifizierung sind heute das Rückgrat der digitalen Wirtschaft, in regulierten Sektoren wie z.B. bei Finanzdienstleistungen ebenso, wie in alltagsrelevanten Bereichen. Zahllose Anwendungsfälle nutzen Identifizierungen über das Internet, von der Eröffnung von Konten/Depots, Bestellung einer PrePaid-SIM-Karte, Zugang zu Service-Portalen bis zur digitalen Unterschrift – in der Regel wird in diesen Anwendungen verlangt, dass der Kunde seine Identität mittels eines der angebotenen Verfahren verifiziert.
Im Herbst 2022 wurde offenbar, wie schnell ein etabliertes digitales Ident-Verfahren für wichtige Anwendungsfälle nicht mehr zur Verfügung stehen kann: Die dem Bundesgesundheitsministerium unterstellte nationale Agentur für digitale Medizin, gematik untersagte die Anwendung von Foto- / Video-Ident im deutschen Gesundheitssystem, da akute Sicherheitsbedenken entstanden – und bis heute wurde das Verfahren nicht mehr zugelassen.
Es ist nicht auszuschließen, dass in naher Zukunft auch andere Regulierungsbehörden für andere Wirtschaftssektoren ihre jeweiligen Sicherheitseinschätzungen zu etablierten Verfahren aufgrund der voranschreitenden KI & Deepfakes neu bewerten und neu bewerten müssen. Wenn es daraufhin kurzfristig zu Veränderungen im Portfolio der jeweils zugelassenen Verfahren kommt, dann sollten die Unternehmen vorbereitet sein. Auch in nicht-regulierten Anwendungsfällen liegt die Verantwortung für den Einsatz von Ident-Verfahren bei den jeweiligen Unternehmen, so dass jedes Unternehmen aufgerufen ist, die Situation und die einhergehenden Risiken der eingesetzten digitalen Identifizierungsmethoden regelmäßig zu bewerten, um die Aufrechterhaltung der digitalen Angebote zu gewährleisten.
Wichtig ist, dass die reine Erkennung von Personen und Dokumenten im Zuge von Ident-Verfahren in der Risiko-Bewertung nicht isoliert betrachtet wird. Je nach verlangtem Vertrauensniveau können bei den optisch-basierten Verfahren weitere Sicherheitsmerkmale, wie z.B. die Überprüfung des Ortes, die Prüfung der Integrität des verwendeten Endgerätes, die Validierung einer Rufnummer oder der Versand eines zweiten Faktors integriert werden. Hier bieten Smartphones in der Regel mehr Optionen als reine Web-Anwendungen. Im gesamten Onboarding Prozess kommen neben dem Ident-Verfahren in der Regel weitere Aspekte hinzu, weshalb auch ein Überlisten eines Ident-Verfahrens allein nicht zum sofortigen Missbrauch eines Kundenkontos oder der Eröffnung einer ungewünschten Kundenbeziehung führen muss. Unabhängig erhobene und abgefragte Attribute, wie Adresse, E-Mail, Rufnummer oder auch Kundenreferenz / Kundenzugang / Login bilden zusätzliche Elemente auf einer ersten Ebene, um in der Kombinatorik die Authentizität des Onboardings zu validieren.
In vielen Sektoren spielt die Kosten-Nutzen-Relation in der Risikobewertung zudem eine wichtige Rolle, weshalb einzelne erfolgreiche Missbräuche nicht immer zum sofortigen Stopp eines kompletten Identifizierungsverfahrens führen müssen. Der Schaden aus dem Missbrauch wird im Verhältnis zu den Kosten weiterer Sicherheitsstufen für das gesamte Onboarding abgewogen. Im Vergleich bergen auch physische Identifizierungsprozesse vor Ort, z.B. in der eigenen Filiale oder über entsprechende Dienstleister stets Missbrauchs- und Fehlerpotenziale, so dass eine absolute Sicherheit auf keinem Kanal gewährleistet werden kann.
Ausblick auf die weiteren Entwicklungen
Optisch-basierte Ident-Verfahren wie Auto-/Foto-Ident und Video-Ident sind heute weit verbreitet und besonders in der Ausprägung als weitgehend automatisierte Verfahren bei Kunden und Unternehmen sehr beliebt. Sie haben angesichts fortschreitender KI & Deepfakes natürliche Grenzen im Sicherheitsniveau – diese werden früher oder später erreicht, was für viele Anwendungen alternative Lösungen erfordert.
Ohne optische Prüfung kommen vor allem das eID-Ident Verfahren und das Bank-Ident Verfahren aus, welche somit nachhaltig einen deutlich höheren Schutz bieten können:
- eID-Ident basiert auf dem Chip des Personalausweises und bietet als kryptografisch abgesichertes Verfahren technisch die höchste Sicherheit. Inwieweit die Kryptografie oder der Chip selbst Gegenstand von Missbrauchsangriffen werden könnten, soll dabei an dieser Stelle nicht beleuchtet werden.
- Bank-Ident funktioniert über den gewohnten sicheren Login ins Onlinebanking – und greift damit auf Identitätsdaten zu, die bereits mittels vielfacher Maßnahmen der Banken in einem Vertrauens-Ökosystem -nicht allein nur über die reine Identifizierung- validiert wurden. Es ist ein sehr einfaches und gleichzeitig sehr sicheres Verfahren, welches durch die Basis des Onlinebankings sehr vielen Kunden in der Handhabung vertraut ist.
Beide Ident-Verfahren können um optische Erfassungen z.B. des Ausweisdokumentes ergänzt werden, um spezifische Anforderungen eines Geschäftsvorfalls zu adressieren (z.B. Bild des Kunden, Unterschriftsprobe des Kunden) ohne die Integrität der Identitätsfeststellung zu berühren. Beide Verfahren sind für die Identifikation gegenüber KI & Deepfake Attacken resistent. Risiken im Matching von zusätzlich optisch erfassten Merkmalen und grundsätzliche Aspekte, wie z.B. Social Engineering oder Phishing Angriffe auf persönliche Zugangsdaten bleiben unbenommen.
Zusammenhang mit der EUDI-Wallet
Die zukünftige EUDI-Wallet wird in Deutschland die eID, also z.B. die Online-Ausweisfunktion des Personalausweises, als Zugangs- und Nutzungsvoraussetzung haben. Diese Voraussetzung bildet gleichzeitig eine Einstiegsbarriere, da aktuell in 2024 nur ca. 22% der Bürgerinnen und Bürger die eID schon mindestens einmal genutzt haben.
Somit macht es sowohl aus Sicherheitsgründen als auch zur Vorbereitung auf die EUDI-Wallet sehr viel Sinn, die Verbreitung und Akzeptanz des eID-Ident in Deutschland schnell auszubauen. Der Referentenentwurf des Bundesministeriums der Finanzen „Verordnung zur geldwäscherechtlichen Identifizierung durch Videoidentifizierung“ aus dem Frühjahr 2024 geht in diesem Aspekt in die richtige Richtung, da er BaFin-regulierte Unternehmen der Finanzwirtschaft verpflichten soll, bereits vor dem Start der EUDI-Wallet die eID neben der Video-Identifizierung zu akzeptieren – was bedeutet, dass auch die Geschäftsprozesse der jeweiligen Unternehmen auf die Akzeptanz einer eID-Identität angepasst werden.
Der Einsatz der eID erfordert beim Nutzer also den physischen Personalausweis mit Chip sowie die PIN. In der EUDI-Wallet-App werden die übermittelten Identitätsdaten aus der eID dann sicher auf dem Smartphone gespeichert – für den anschließenden Abruf benötigt der Nutzer sein Smartphone und eine Authentifizierung – der Zugriff z.B. mittels Face-ID oder Fingerabdruck eröffnet dabei wiederum biometrische Angriffsvektoren. Daher ist zu erwarten, dass mindestens bei ID-Abrufen für sicherheitsrelevante Anwendungen zusätzliche Absicherungen, z.B. über die Eingabe einer PIN integriert werden. Ein Beispiel für eine solche differenzierte Absicherung von Abrufen, je nach Sicherheitsniveau des adressierten Anwendungsfalles bildet die GesundheitsID in Deutschland.
Herausforderungen & Vorbereitung
KI und Deepfakes entwickeln sich rasant und werden optisch basierte Ident-Verfahren immer schneller an ihre Grenzen bringen. Zusätzliche Absicherungen sind wie oben beschrieben möglich, erfordern dabei weitere Investitionen und Abfragen im Nutzererlebnis. Im Zeitverlauf werden die Verfahren gegenüber relevanten Alternativen wie z.B. eID-Ident, EUDI-Ident und Bank-Ident daher eher unattraktiver für Unternehmen und Nutzer.
Eine sehr große Herausforderung kann für die Wirtschaftsakteure dann entstehen, wenn der Kipp-Punkt der Verfahren früher erreicht ist, als dass alternative Verfahren wie eID-Ident und Bank-Ident für die eigenen Anwendungsfälle eingebunden sind. In regulierten Sektoren wächst die Herausforderung, wenn sich -nach der gematik- weitere Regulierungsbehörden kurzfristig gezwungen sehen sollten, die Verwendung der heute sehr beliebten Verfahren aufgrund von akuten KI- & Deepfake Missbräuchen zu untersagen.
Daher ist es für alle Unternehmen, die Ident-Prozesse in ihren Anwendungsfällen integriert haben sehr wichtig, sich frühzeitig auf die anstehende Transformation vorzubereiten. Einzig auf die ggf. verpflichtende Akzeptanz der EUDI-Wallets zu warten, ist dabei nicht zu empfehlen.
Digitale Identitätsprüfungen leicht gemacht!
Wir haben alle wichtigen Informationen zu den Ident-Methoden für Sie zusammengefasst.