DSA und die Bedrohung durch Deepfakes analysieren

Lovro Persen, Director Document Management & Fraud bei IDnow, sitzt an einem Tisch in einem modernen Büro. Der Digital Services Act (DSA) wird als unzureichend erachtet, um Verbraucher effektiv vor Finanzbetrug zu schützen. — Lovro Persen, Director Document Management & Fraud, IDNOW IDnow

Der Digital Services Act (DSA) greift zu kurz, wenn es darum geht, Verbraucher im Netz vor Finanzbetrug zu schützen. Nur wenn Unternehmen in Europa die Überprüfung digitaler Identitäten mithilfe von KI endlich zur Priorität machen, lässt sich das wachsende Risiko wirksam eindämmen.

von Lovro Persen, Director Document Management & Fraud, IDNOW

Die Bedrohung durch Deepfakes hat in den vergangenen Monaten rasant zugenommen. Mit neuen Tools wie der Video-App Sora von OpenAI ist es möglich, täuschend echte KI-Videos zu erzeugen, die selbst etablierte Authentifizierungsmethoden wie die Gesichtserkennung infrage stellen. Schon ein einzelnes Foto aus sozialen Netzwerken genügt, um mithilfe von Deepfake-Software ein realistisch wirkendes Video zu generieren. Beim sogenannten „Face Swap“ werden die biometrischen Merkmale einer echten Person außerdem auf das Gesicht des Betrügers übertragen, wodurch Mimik und Bewegungen besonders glaubwürdig erscheinen. Störgeräusche oder schlechte Lichtverhältnisse dienen dazu, die Manipulation zusätzlich zu verschleiern. Selbst erfahrene KI-Experten fallen inzwischen immer häufiger auf solche Fälschungen herein.

Ohne Liveness-Erkennung wird es schwer, Deepfakes zu enttarnen

Autor: Lovro Persen, Director Document Management & Fraud

Lovro Persen ist Director Document Management & Fraud bei IDnow (Website) und verfügt über drei Dekaden Erfahrung in der Strafverfolgung auf nationaler und internationaler Ebene – sowohl im öffentlichen Dienst als auch in der Privatwirtschaft (u. a. Thales, Gemalto). Seit 17 Jahren spezialisiert er sich auf Fälschungs-, Diebstahls- und Verlustprävention von Sicherheitsdokumenten. Mit seiner einzigartigen Expertise in Identitäts- und Dokumentenbetrug hat er bei INTERPOL Projekte wie das Screening-System I-Checkit initiiert und weltweite Grenzmanagementlösungen mitgestaltet.

Diese Präsentationsangriffe können nicht nur mobile Geräte entsperren, sondern auch professionelle „Know Your Customer“-Systeme (KYC) täuschen, die eigentlich die Identität von Kunden automatisch prüfen und deren Risiko einstufen sollen. Das Risiko ist riesig – insbesondere für Banken und Versicherungen, die strengen Auflagen zur Geldwäsche- und Betrugsprävention unterliegen. Dabei schleusen Angreifer oft eine „virtuelle Kamera“ in den Verifizierungsprozess ein und geben sie als echtes Selfie aus. So kann ein gestohlenes Smartphone nicht nur ärgerlich sein, sondern auch zum Einfallstor auf Passwörter, Accounts und Online-Banking werden. Um Nutzer wirksam zu schützen, reichen herkömmliche Verifizierungs- und KYC-Maßnahmen also längst nicht mehr aus. Stattdessen müssen Plattformen und Finanzdienstleister moderne Schutzmechanismen kombinieren: Dazu gehören Liveness-Erkennung, Presentation Attack und Injection Detection sowie Deepfake-Erkennung.

Während ausgeklügelte Deepfake-Angriffe für das menschliche Auge kaum erkennbar sind, nutzen moderne Systeme zur Liveness-Erkennung biometrische Merkmale wie Gesichtsstrukturen. So lässt sich feststellen, ob tatsächlich eine lebende Person vor der Kamera sitzt – oder ob es sich um einen Deepfake handelt. Ein Beispiel dafür ist der sogenannte Moiré-Effekt: Dabei überlagern sich feine Muster, die Deepfake-Systeme bis heute nur schwer realistisch nachbilden können. Hier wird KI mit ihren eigenen Waffen geschlagen: Denn während die Methoden der Angreifer immer ausgefeilter werden, lernen auch die Erkennungssysteme stetig dazu. Forschern ist es inzwischen sogar gelungen, winzige Farbabweichungen in Gesichtern zu identifizieren, die durch Blutpulsationen entstehen. Solche minimalen biologischen Signale gelten als eindeutige Hinweise auf echte, lebende Personen und können Deepfakes sicher identifizieren.

Unternehmen müssen ihre Nutzer wirksam vor Finanzbetrug schützen

Der DSA verfolgt unter anderem das Ziel, Betrug im Internet effektiv zu bekämpfen und will gleichzeitig mehr Transparenz für Verbraucher schaffen. Zuletzt hat die Europäische Kommission auch Apple, Google, Microsoft und Booking.com ins Visier genommen, um offenzulegen, wie die Unternehmen ihre Nutzer vor finanziellen Schäden schützen. Sollten die betroffenen Konzerne unvollständige Angaben machen oder die geforderte Auskunft verweigern, drohen Geldbußen. Gegen die chinesischen Online-Marktplätze Temu und AliExpress wurden bereits entsprechende Verfahren eingeleitet – hier könnte die Strafe bis zu sechs Prozent des weltweiten Gesamtumsatzes betragen.

Der DSA ist somit ein wichtiges Instrument, um Druck auf Plattformen auszuüben.”

Um Nutzer vollumfänglich vor Finanzbetrug zu schützen, reicht die EU-Verordnung allerdings nicht aus. Stattdessen sind die Unternehmen selbst gefragt, das Vertrauen ihrer Kunden durch den Einsatz modernster Technologien zu wahren. Dies gilt vor allem für Banken und Versicherungen, die in besonderem Maße dafür verantwortlich sind, ihre Kunden vor finanziellen Schäden zu schützen. Im schlimmsten Fall ermöglichen Deepfakes Betrügern nämlich den Zugriff auf komplette Bankkonten – mit potenziell existenzbedrohenden Folgen. Nur wenn Unternehmen die Überprüfung digitaler Identitäten selbst priorisieren, lässt sich die nächste Welle digitaler Betrugsmaschen wirksam eindämmen. Lovro Persen, IDnow