Deepfakes und Identitätsdiebstahl

Deepfake-Technologien machen es Kriminellen so leicht wie nie, fremde Identitäten zu stehlen und sich Zugriff auf Konten und andere finanzielle Vermögenswerte zu verschaffen. Für Organisationen und ihre Kunden, die sich auf die Sicherheit digitaler Identifikations- und KYC-Prozesse verlassen, sind Deepfakes deswegen ein reales Problem. Zugleich ist die öffentliche Diskussion um die Gefahren der Technologie oft von Ungewissheiten geprägt.

Was sind Deepfakes?

Eine allgemeingültige Definition für Deepfakes, welche Art der Manipulation als Deepfake gilt und welche nicht, gibt es nicht. Beispiele für Deepfakes sind etwa Fake Videos – online erwecken besonders Deepfakes von Influencern oder anderen prominenten Personen viel Aufsehen. Neben Videos sind auch Deepfake-Fotos und Deepfake-Stimmen (also sogenannte “Voice Deepfakes”) ein Problem. 

Laut Gabler Wirtschaftslexikon ist ein Deepfake ein „[…] mit Hilfe künstlicher Intelligenz erstelltes Bild oder Video, das authentisch wirkt, es aber nicht ist.“ Dabei kommen Methoden des Machine Learnings, speziell des Deep Learnings, zum Einsatz. Der Kern des Problems ist, dass KI-generierte Deepfakes oft schwer zu erkennen sind.

Durch die Verwendung von Techniken aus dem Bereich künstlicher Intelligenz (KI) ergeben sich die Besonderheiten, die Deepfakes von bisherigen Methoden unterscheiden: Zum einen erlaubt die Deepfake-Technologie, bei der eine KI mit grossen Datenmengen – etwa Hunderten von Fotos und Videos einer Person – gefüttert wird, Fälschungen in sehr hoher Qualität zu erzeugen. Zum anderen vereinfachen Deepfake-Programme, Deepfake-Bots und Deepfake-Websites das Erstellen solcher Fälschungen deutlich. So erlauben es Apps wie beispielsweise Faceswap auch Menschen ohne umfassende Programmierkenntnisse, in kurzer Zeit Deepfakes zu produzieren.

Dass Menschen Bild-, Ton- oder Videoaufnahmen manipulieren, ist nicht neu. Es ist vermutlich so alt wie die jeweiligen Technologien selbst. Dennoch lohnt sich ein genauer Blick auf Deepfakes als eigenständiges Phänomen.

Wie Deepfakes für Identitätsdiebstahl und -betrug verwendet werden

In der Öffentlichkeit werden Deepfakes bislang vor allem mit der politisch motivierten Verbreitung von Falschinformationen und der Produktion unethischer Formen von Pornografie, wie ‚Revenge‘- und Kinderpornografie, in Verbindung gebracht. Daneben können Kriminelle Deepfakes aber auch nutzen, um sich unmittelbar finanziell zu bereichern.

Wie verbreitet Identitätsdiebstahl mithilfe von Deepfakes bereits ist, zeigt der Identity Fraud Report 2023 des Verifizierungsplattform-Anbieters sumsub. In diesem hat das Unternehmen weltweit zwei Millionen Betrugsversuche verschiedener Industrien untersucht. Demnach gehörten Deepfakes bzw. KI-gestützte Betrugsversuche 2023 zu den fünf häufigsten Betrugsformen neben Ausweisfälschung, Kontobetrug, geldwäschebezogenen Taten wie Money Muling oder Forced Verification. Nach internen Statistiken von sumsub hat sich die Zahl der weltweit identifizierten Deepfakes im Vergleich zu 2022 bereits verzehnfacht. Das am häufigsten von Fälschungsversuchen betroffene Dokument ist der Personalausweis. Er war in fast 73 Prozent der Betrugsfälle in Zusammenhang mit Identitätsdokumenten das Ziel der Täter. Betroffen sind zunehmend nicht nur Länder, deren Ausweisdokumente historisch eine geringe Fälschungssicherheit aufweisen. Auch solche führender Industrienationen geraten immer häufiger ins Visier der Täter. So entfielen 2023 in Europa etwa 43 Prozent aller von sumsub identifizierten Deepfake-Fälle auf nur drei Länder: Deutschland, das Vereinigte Königreich und Spanien.

 

202211_BG_JPG_Age-Verification_Any_Hacker-ID-Computer

Deepfakes als Gefahr für KYC- und Identifikationsverfahren

Die Möglichkeiten, wie Kriminelle mithilfe von Deepfakes falsche Identitäten vortäuschen und so Menschen und Organisationen schaden können, sind vielfältig:

So können Privatpersonen existenzgefährdende finanzielle Schäden entstehen, wenn Kriminelle ihre Identität stehlen, um sich unberechtigt Zugang zu ihrem Vermögen, etwa ihrem Bankkonto, verschaffen. Und auch die finanziellen Ressourcen von Unternehmen sind in Gefahr, wenn die Identitäten der Mitarbeitenden, die sie verwalten, nicht mehr sicher sind. Darüber hinaus können Täter mithilfe falscher Identitäten beispielsweise Kredite beantragen, überziehen und Banken hohe Kosten verursachen.

Langfristig können Deepfakes so dazu beitragen, das Vertrauen in elektronische Identifikations- und KYC-Prozesse nachhaltig zu schädigen. Gelten derartige Verfahren nicht mehr als sicher und werden zunehmend durch Bürgerinnen und Bürger, Unternehmen und Politik abgelehnt, verlieren wir mit ihnen auch die Möglichkeit, die für eine funktionierende Gesellschaft notwendigen Identifikationsprozesse effizienter und vor allem inklusiver zu gestalten: Eine Abkehr von ihnen würde nicht nur Unternehmen unliebsame Kosten verursachen. Auch Verbraucherinnen und Verbraucher müssten wieder aufwändige analoge Verfahren über sich ergehen lassen.

Die Eindämmung von Betrugsdelikten in Zusammenhang mit Deepfakes sind deshalb sowohl gesellschaftlich als auch wirtschaftlich von großer Wichtigkeit. 

Die Regulierung von Deepfakes in EU und Schweiz

Die Regulierung von Deepfake-Technologien befindet sich erst in ihren Anfängen. Aktuell wird sie von Land zu Land noch sehr unterschiedlich gehandhabt. Das liegt zunächst einmal an ihrer relativen Neuheit. Darüber hinaus erscheint ein generelles Verbot für viele Gesetzgeber nicht opportun. Zwar sind konkrete Betrugsdelikte unter Verwendung von Deepfakes bereits heute nach geltendem Recht in vielen Jurisdiktionen illegal. Gegen ein Verbot der Technologie an sich spricht aber ihr Dual-Use-Charakter. Denn neben ihren problematischen Einsatzgebieten können Deepfakes auch für positive Zwecke, etwa durch Filmemacher, Künstler und andere Kreative, eingesetzt werden. 

In der EU etwa wird die Unterbindung betrügerischer Anwendungen von Deepfakes aktuell primär als Teil des geplanten AI Act diskutiert. Dabei setzt der Entwurf auf besondere Transparenzanforderungen und eine Kennzeichnungspflicht für mithilfe von KI manipulierte Inhalte. So besagt Artikel 52 (3) des Entwurfes konkret:

„Users of an AI system that generates or manipulates image, audio or video content that appreciably resembles existing persons, objects, places or other entities or events and would falsely appear to a person to be authentic or truthful (‘deep fake’), shall disclose that the content has been artificially generated or manipulated.”

Die Verabschiedung des EU AI Acts ist aktuell noch für das Jahr 2024 geplant, sodass dieser voraussichtlich im Jahr 2026 in Kraft treten könnte.

Eine ähnliche, wenn vermutlich auch nicht identische Lösung ist in der Schweiz zu erwarten. So hat der Schweizerische Bundesrat im November 2023 offiziell bei dem Eidgenössischen Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) eine Übersicht möglicher Regulierungsansätze von Künstlicher Intelligenz in Auftrag gegeben. Diese wird auf bestehendem Schweizer Recht aufbauen und mögliche Regulierungsansätze aufzeigen, die mit dem EU AI Act sowie der KI-Konvention des Europarats kompatibel sind. Es ist also möglich, dass die Schweiz in ihrer Regulierung von Deepfakes einen ähnlichen Weg gehen wird.

Deepfakes automatisiert erkennen – der Status Quo

Bereits heute arbeiten Unternehmen und Forschende daran, Lösungen zu entwickeln, die Deepfakes automatisiert und verlässlich erkennen sollen. Ebenso wie die Regulierung von Deepfakes befinden sich die Möglichkeiten zu ihrer Entlarvung noch in den Anfängen. Ein Großteil der hierfür diskutierten Methoden ist noch in einem experimentellen Stadium. Am vielversprechendsten scheinen solche Ansätze, die wie Deepfake-Software selbst auf den Einsatz von Deep Learning setzen.

Zwar haben Anbieter wie Intel bereits erste kommerzielle Softwarelösungen wie FakeCatcher auf den Markt gebracht, die Deepfakes mit nahezu hundertprozentiger Genauigkeit erkennen sollen. Die hohen Aufdeckungsquoten beziehen sich allerdings fast ausschließlich auf kontrollierte experimentelle Szenarien. Wie gut diese erste Generation von Detektoren in der Praxis tatsächlich funktioniert, steht also bislang weiter oft zur Debatte.

Handlungsempfehlungen: Das sollten Unternehmen mit digitalen Identifikations- und KYC-Prozessen tun

Für Unternehmen, die durch ihr Geschäftsmodell auf digitale Identifikations- und KYC-Prozesse angewiesen sind, ergeben sich rund um Deepfakes eine Reihe von Handlungsempfehlungen. Sie sollten:

  • Die Regulierung rund um die Themen KI und Deepfakes im Blick behalten;
  • gängige Methoden von Identitätsbetrug in Zusammenhang mit Deepfakes studieren und in die nötigen Kompetenzen investieren, um mit diesen angemessen umzugehen; sowie
  • die Entwicklung von Detektor-Lösungen verfolgen und aktiv mit den Forschenden und Unternehmen kooperieren, die an ihnen arbeiten. So helfen sie, ihre Marktreife zu beschleunigen.

Wie PXL Vision mit Deepfakes umgeht

Als Anbieter von Lösungen zur Identitätsprüfung befasst sich PXL Vision  intensiv mit dem Thema Deepfakes und arbeitet kontinuierlich daran, ihre Lösungen noch robuster zu gestalten. So erkennt die Screen Detection von PXL Ident bereits viele Fälle von Deepfakes, indem sie nicht physisch vorliegende ID-Dokumente als solche erkennt. Darüber hinaus engagiert sich PXL Vision in Zusammenarbeit mit dem Forschungsinstitut Idiap seit Februar 2024 intensiv in der Entwicklung einer innovativen Lösung zur Erkennung von Deepfakes, die von der Schweizerischen Agentur für Innovationsförderung Innosuisse unterstützt wird. Ziel des Projekts ist es, bis Ende 2025 die weltweit erste robuste KI-gestützte Lösung zur Erkennung von Gesichtsbildern und Reisedokumenten auf den Markt zu bringen und damit die Sicherheit von Lösungen zur digitalen Identitätsprüfung deutlich zu verbessern.

Sie wünschen sich mehr Infos zum Thema Deepfakes im Kontext der Identitätsprüfung?Dann kontaktieren Sie uns gerne.

Sie möchten über unsere Forschungsarbeit zusammen mit Ideap auf dem Laufenden bleiben? Dann melden Sie sich gerne für unseren Newsletter an.

 

Möchten Sie mehr über unsere Lösungen zur digitalen Identitätsprüfung erfahren?

image