Bedrohungsszenarien bei Gesichtserkennungssystemen
Beim Thema Gesichtserkennung gibt es in der Regel zwei Lager: Das eine lobt vor allem ihr Potenzial und den Nutzerkomfort, das andere fürchtet die „Brave New World“. Im dritten und letzten Teil unserer Miniserie zur Gesichtserkennung gehen wir auf die Bedrohungsszenarien ein.
Maske, Foto oder echter Mensch?
Wer ein modernes Gesichtserkennungssystem überwinden will, muss ihm ein sogenanntes Artefakt präsentieren. Das kann etwa eine Maske sein oder ein ausgedrucktes Foto. Entscheidend ist, dass das Charakteristikum akzeptiert wird und die verwendeten Merkmale erfasst werden können. Alternativ wäre natürlich denkbar, den echten Merkmalsträger – unter Ausnutzung von Zwang oder Hilflosigkeit – zur Präsentation seines Gesichts zu zwingen. Doch diese Szenarien funktionieren eher in Hollywood-Blockbustern als in der Realität. Denn beide können heute ziemlich schnell und gut abgewehrt werden. Immerhin sind Gesichtserkennungsalgorithmen sogar schon in der Lage, Stimmungen zu erkennen. Je mehr Authentifikation per Gesichtserkennung eingesetzt wird, desto schneller werden Verfahren entwickelt, die Zwang, Schlaf oder Ohnmacht ausreichend gut erkennen. Schlaf ist übrigens schon heute nicht so kompliziert festzustellen, denn die meisten Algorithmen berücksichtigen die Augen.
Die Eigenschaften von Artefakten
Gerade für den Schutz von Artefakten bei der Gesichtserkennung gibt es bereits recht gute Lösungen, mit denen viele Arten von Angriffen abgewehrt werden können. Welches Niveau implementiert sein sollte, hängt letztlich vom Bedrohungspotenzial und von der Bedrohungsanalyse ab. Präsentiert ein Angreifer ein zweidimensionales Objekt, lässt sich dies mit einfacher 3D-Technologie erkennen. Dafür muss man nicht tief in die Trickkiste greifen: Zwei Kameras für stereoskopisches Sehen, ein Projektor für strukturiertes Licht oder eine sogenannte „Time of Flight“-Kamera zur Distanzmessung liefern brauchbare Ergebnisse. Hält ein Angreifer dagegen ein Tablet mit einem Foto oder ein Farbfoto vor den Sensor des Biometriesystems, kann die integrierte Nah-Infrarot-Kamera kein Ergebnis liefern. Viele Pigmente in Drucken und Fotos sind außerhalb des sichtbaren Spektrums schlicht „unsichtbar“ und somit nicht erkennbar.
Wie sieht es bei dreidimensionalen Masken als Artefakt aus? Wenn man darauf achtet, die richtigen Pigmente auszuwählen, ist die Hautfarbe in der Regel nicht nur im Weißlicht, sondern auch im Nah-Infrarot (NIR) recht realistisch. Bei Augenbrauen und Lippen kommt es aber zu Abweichungen. Denn Masken müssen, damit sie dem Original ähnlich sehen, ziemlich dünn sein. Um das Erkennungssystem täuschen zu können, müsste der Angreifer eine ähnliche Gesichtsstruktur wie der Angegriffene aufweisen. Es kann also nicht jeder Angreifer jede Zielperson imitieren. Aber auch dreidimensionale Masken werden gemeinhin erkannt. Eine „professionelle“ Maske ist mit Löchern für Augen, Nase und Mund ausgestattet, was per Bildverarbeitung detektiert werden kann. Denn um die Löcher herum entsteht bei Masken ein kleiner Absatz, der im Vergleich zur restlichen Maske Veränderungen bei Material, Textur und Temperatur aufweist. Mit einer Wärmebildkamera kann man erkennen, dass beim Ein- und Ausatmen sehr starke Veränderungen um die Nasenlöcher herum auftreten – es sei denn, der Angreifer befindet sich in einer Umgebung, die der Körpertemperatur entspricht.
Es gibt also viele Möglichkeiten, Angriffe zu entdecken. Welcher Aufwand dafür sinnvoll ist, ergibt die Bedrohungsanalyse. Wie bei jeder Technologie, die in einem Sicherheitskontext verwendet werden soll, ist eine Bedrohungsanalyse ratsam. Mit ihr kann man die Risiken benennen und bewerten und eine Aufwands- und Kostenrechnung zur Beseitigung der Risiken anstellen. Diese Überlegungen führen zum sogenannten Merkmalssatz.
Merkmalssätze sind Basis für Erkennung
Wann immer ein Gesichtserkennungssystem professionell eingesetzt wird, ist in der Regel die Authentifikation einer Person durchzuführen. Dabei muss die Frage beantwortet werden, ob der zu einer behaupteten Identität hinterlegte Merkmalssatz „gut genug“ zu den Daten passt, die die gerade vor dem Sensor befindliche Person liefert. Die jeweils aktuell abgelieferten Daten werden immer nur ungefähr mit den hinterlegten Referenzdaten übereinstimmen. Denn Menschen verändern ihr Aussehen nicht nur im Laufe ihres Lebens, sondern selbst im Laufe des Tags. Wer übermüdet in den Spiegel schaut, kennt das. Der verwendete Algorithmus muss entscheiden, ob die zwei Datensätze ähnlich genug sind, um sie derselben Person zurechnen zu können.
Bei dieser Authentifikation gibt es vier mögliche Ergebnisse:
- Der Algorithmus entscheidet korrekt, dass beide Datensätze übereinstimmen.
- Der Algorithmus entscheidet richtig, dass die Datensätze nicht übereinstimmen.
- Eine Person wird fälschlicherweise als nicht ähnlich genug in Hinsicht auf ihren hinterlegten Datensatz bewertet. Dies nennt man eine „falsche Nichtübereinstimmung“. Oft kann man diesen Fehler durch einen weiteren Erkennungsversuch korrigieren.
- Eine falsche Person wird vom System als ähnlich genug in Hinsicht auf die hinterlegten Daten eingestuft. Dann liegt eine „falsche Übereinstimmung“ vor. Das ist häufig ein sicherheitskritischer Fehler.
Die beiden letztgenannten Fehler hängen übrigens zusammen: Leider nimmt der Anteil der Falschübereinstimmungen nur dann ab, wenn gleichzeitig der Anteil der Falschnichtübereinstimmungen zunimmt. Fehlerfreiheit gibt es nicht, zumindest nicht mit der heutigen Gesichtserkennungs-Technologie.
Die Dreißiger-Regel
Biometrieexperten sind sich weitgehend einig, dass Fehlerraten mit der sogenannten Dreißiger-Regel berechnet werden können. Entsprechend dieser Regel ist es möglich, nach 30 beobachteten Fehlern mit 90-prozentiger Sicherheit sagen zu können, dass die reale Fehlerrate im Bereich von plus/minus 30 Prozent um den beobachteten Fehler liegt. Dafür müssen die Versuche unabhängig voneinander stattfinden.
Ein Beispiel: Ein Hersteller wirbt damit, dass sein System einen Anteil von einem Prozent Falschnichtübereinstimmungen und von 0,1 Prozent Falschübereinstimmungen realisiert. Um das nachzuweisen, muss man folglich 3.000 Versuche durchführen, bei denen man Paare von Datensätzen vergleicht, von denen man jeweils weiß, dass sie zu den gleichen Personen gehören. Zudem müssen 30.000 Merkmalssatzpaare verschiedener Personen verglichen werden. Dabei dürfen jeweils höchstens 30 Fehler auftreten. Damit diese Versuche wirklich unabhängig sind, benötigt man also 60.000 Testpersonen. Wenn man – unter Wahrung der Unabhängigkeit der Versuche – jede Person mehrfach mit jeder anderen vergleichen würde, bräuchte man für 30.000 Vergleiche immer noch mindestens 246 Tester. Ein gehöriger Aufwand. Dieser steigt weiter an, weil die Daten in einer anwendungsnahen Umgebung erhoben werden sollten, insbesondere also nicht im Labor. So kommt es wohl, dass seriöse Einschätzungen von Fehlerraten biometrischer Systeme eher rar sind.
Fazit zur modernen Gesichtserkennung
Moderne Gesichtserkennungssysteme sind leistungsfähig. Potenzielle Nutzer müssen genau definieren, welche Anforderungen sie an die Systeme inklusive Datenschutz und IT-Sicherheit haben, und dafür eine Bedrohungsanalyse durchführen. Dann werden sie das richtige System für ihre Bedürfnisse finden können.