Herr Houdeau, wann spricht man von Missbrauch eines KI-Systems?
Detlef Houdeau: Ein KI-Algorithmus wird üblicherweise für ein bestimmtes Anwendungsfeld entwickelt und vor dem Einsatz bzw. der Anwendung dafür trainiert und qualifiziert. Wird der KI-Algorithmus in einem anderen Kontext angewendet, handelt es sich um eine Zweckentfremdung. Werden dabei zudem fundamentale Werte von Personen oder auch materielle Werte verletzt, liegt ein Missbrauch des KI-Systems vor. Dieser betrifft dann sowohl das mathematische Modell, das dem KI-Algorithmus zugrunde liegt, als auch die Trainingsdaten. Letztere sind im Kern Teil des „Erlernten“ und damit des „Wissens“ – wodurch ein KI-System erst wertvoll wird. Klassische IT-Systeme kommen üblicherweise ohne Trainingsdaten aus, so dass die Bedrohung bei einem Missbrauch als geringer eingestuft werden kann.
Wie gehen mögliche Angreifer vor?
Detlef Houdeau: Lassen Sie mich das anhand eines Beispiels skizzieren. Professionelle Fotostudios benutzen seit einigen Jahren digitale Bildbearbeitungs-Software, um gute digitale Fotos zu hervorragenden Fotos aufzuwerten. Zahlreiche digitale Korrekturen lassen sich damit gezielt durchführen, etwa die Verbesserung von Helligkeit, Schärfe, Farbe, Winkel sowie des gewählten Bildausschnitts. Dazu werden auch KI-Algorithmen (teil-)automatisiert eingesetzt. Mittlerweile ist Bildbearbeitungs-Software breit verfügbar – in Form von kommerziellen Software-Paketen, Open-Source-Software sowie Online-Diensten. Bei letzterem wird das digitale Foto in einer Web-Anwendung bearbeitet und das Ergebnis dem Kunden sofort digital zugestellt. Fotostudios nutzen Bildbearbeitungs-Software auch für Gesichtsaufnahmen, etwa bei Hochzeiten oder Porträtfotos für Lebensläufe. Einige Smartphones besitzen ebenfalls bereits Bildbearbeitungs-Software.
Ein Missbrauch von Bildbearbeitungs-Software liegt dann vor, wenn die Gesichtsbilder mehrerer Personen zu illegalen Zwecken „digital gemischt“ werden. Dies kann zum Zweck der Identitätstäuschung erfolgen. Das Verfahren wird in der Fachwelt als Morphing bezeichnet und ist bereits sehr leistungsfähig. So konnte wissenschaftlich gezeigt werden, dass Gesichtsfotos von bis zu sieben Personen erfolgreich digital morphbar sind. Ein Reisender, ausgestattet mit einem Reisepass mit Computer-manipuliertem Porträtfoto, könnte bei einer automatisierten Grenzkontrolle, etwa an einem Flughafen, die Kontrollstation ungestört passieren. Die digitalen Abweichungen zwischen dem von der Kamera aufgenommenen Gesichtsfoto des Reisenden und dem gespeicherten digitalen Bild im Mikro-Chip im Reisepass sind zu gering, um die Manipulation festzustellen. Morphing ist im Fall von Reisedokumenten wie biometrischen Reisepässen oder elektronischen Aufenthaltstiteln für Drittstaatenangehörige im EU-Raum daher strafbar.
Inwieweit Morphing-Technologien in Ländern im Einsatz sind, aus denen überwiegend illegal Einreisende in den Schengen-Raum kommen, scheint wenig bekannt zu sein. Zudem ist oft fraglich, ob diese Technologien und Anwendungen in bestimmten Ländern strafbar sind.
Wie lässt sich der Missbrauch von KI-Systemen verhindern?
Detlef Houdeau: Bleiben wir beim Beispiel der missbräuchlich genutzten Bildbearbeitungs-Software zum Zwecke der Identitätstäuschung: Mit dem Wissen, wie Morphing-Technologien digitale Gesichtsfotos manipulieren können, lässt sich auch eine entsprechende Detektions-Software entwickeln. Um Bild-Manipulationen zu detektieren, können Bildpunkt-Analysen, sogenannte Pixel, vorzugsweise sowohl im Gesicht (z.B. an den Pupillen), aber auch am Hintergrund mit einem Computer mit hinreichend hoher Auflösung analysiert und ausgewertet werden. Forschungseinrichtungen sowie auf Biometrie spezialisierte Firmen arbeiten seit einigen Jahren daran, KI-basierte Software zu entwickeln, die Morphing-Attacken nachweisen sollen. Ziel der so genannten Morphing Attack Detection (MAD) ist es, hohe Trefferquoten zu erreichen.
Da die KI-Algorithmen für die professionelle Bildbearbeitung ständig weiterentwickelt werden, ist jedoch zu vermuten, dass sich auch mögliche Morphing-Attacken qualitativ ständig verbessern. Folglich muss auch die KI-basierte Detektions-Software ständig mit dem Stand der Technik mithalten – oder bestenfalls sogar überholen. Diese Bedrohung der Identitätstäuschung hat das Potential, für Strafverfolgungsbehörden zu einem Dauerthema zu werden. Ein Verbot von kommerzieller Bildbearbeitungs-Software scheint wenig realistisch, zumal es weltweit zur Anwendung kommen müsste, um wirksam zu werden.
Erschwert wird die Identitätstäuschung in Deutschland durch Maßnahmen wie die Aufnahme von Gesichtsfotos in den Meldeämtern oder die elektronische Übertragung von digital signierten Lichtbildern von autorisierten Fotografen an die Meldeämter. Eine ganzheitliche Antwort kann dies jedoch nicht darstellen.
Weitere Informationen zum Thema bieten das Whitepaper KI-Systeme schützen, Missbrauch verhindern – Maßnahmen und Szenarien in fünf Anwendungsgebieten der Plattform Lernende Systeme sowie eine interaktive Darstellung möglicher Angriffsszenarien.
Das Interview ist für eine redaktionelle Verwendung freigegeben (bei Nennung der Quelle © Plattform Lernende Systeme).