05.12.2017 Nur noch bekannte Gesichter

Risiken der Gesichtserkennung

Von: Guido Piech

Spätestens mit der Integration in Apples neueste 
iOS-Version ist Gesichtserkennung 
im Massenmarkt angekommen. 
Den Nutzern wird sie als bequeme und sichere Art der Authentifizierung verkauft, doch sollte man Vorsicht walten lassen. Denn sowohl der Werbeindustrie als auch den Behörden und natürlich gewöhnlichen Cyberkriminellen eröffnen sich ganz neue Möglichkeiten der Profilerstellung und des Identitätsdiebstahls.

  • Risiken der Gesichtserkennung

    Was wird in Zukunft überwiegen – die Vorteile oder die Risiken der Gesichtserkennung?

  • Thomas Uhlemann, Eset

    „Neben dem gesunden Menschenverstand ist Verschlüsselung mit Abstand am effektivsten“, sagt Eset-Experte Thomas Uhlemann.

  • Sebastian Wolters, Media Test Digital

    „Werden nach einem Daten-Leak Account-Informationen veröffentlicht, kann man bei einem Online-Dienst mit Gesichtserkennung nicht einfach ein neues Gesicht hochladen“, sagt Sebastian Wolters von Media Test Digital.

  • Wolfgang Straßer, @-yet

    Wolfgang Straßer, Geschäftsführer von @-yet: „Unter der Prämisse, dass ein Gesicht nicht jeden Tag gleich aussieht, was an Schminke, Licht, Frisur oder Verletzungen liegen kann, muss eine gewisse Fehler-toleranz in Kauf genommen werden. Doch je höher die Fehlertoleranz, desto größer die Gefahr einer fehlerhaften Erkennung.“

Ob beim Einloggen am Arbeitsplatzrechner, zur Entsperrung des Smartphones oder zum Bezahlen im Online-Shop: Die Authentifizierung über Gesichtserkennungssoftware ist auf dem Vormarsch. Genau diese „neue Bequemlichkeit“ kann laut Dr. Sebastian Tausch jedoch dazu führen, dass sich Technologien verbreiten, deren Gefahrenpotential nicht hinterfragt wird. „Immerhin“, so der Jurist von der Datenschutz Nord GmbH, „handelt es sich bei den mithilfe der Gesichtserkennungssoftware erfassten Merkmalen um einmalige Datentemplates bestehend aus sogenannten Hashwerten, die als biometrisches Datum einen individuellen Code bilden und daher besonders schützenswert sind.“ Gerieten diese Templates in den Zugriff unbefugter Dritter, könnten diese damit künftig sogar Haustüren öffnen. Die Gefahren des ungewollten Ausspähens von Personen sowie die Möglichkeit des Identitätsdiebstahls seien offensichtlich.

Interessant ist, dass Experten wie Sebastian Wolters die Verfahren der Gesichtserkennung nach derzeitigem Stand der Technik als nicht eindeutig bezeichnen, weil Gesichtserkennung, die ausschließlich auf klassische Kameratechnik setze, bislang noch eine relativ hohe Fehlerquote besäße. Auch wenn weitere Sensoren wie der 3D-Sensor des iPhone X verwendet würden, sei eine Gesichtserkennung nicht zu einhundert Prozent eindeutig.

Nachverfolgbar im Web

„Wenn jedoch von einer eindeutigen Erkennung ausgegangen wird“, fährt der Geschäftsführer von Media Test Digital fort, „bietet das biometrische Verfahren große Gefahren für die Privatsphäre der Nutzer. Firmen, Behörden oder auch Privatpersonen, die im Besitz eindeutiger Gesichtsdaten sind, könnten die Personen in den meisten öffentlichen und vereinzelt auch in privaten Räumen tracken. Ein Abgleich mit bestehenden Fotos wäre ebenfalls möglich.“ Welche Folgen dies für Menschen haben kann, die bislang davon ausgingen, dass ihre digitalen Abbilder im Web untergehen und dass eine persönliche Zuordnung nie erfolgen würde, zeigen die Vorgänge rund um den russischen Dienst „FindFace“. In dem konkreten Fall machten Nutzer des Dienstes Personen ausfindig, die als Darsteller auf pornografischem Fotomaterial zu sehen sind, um deren Angehörige mit dieser Tätigkeit zu konfrontieren. Die Motivation mag in diesem Falle moralische Überhöhung sein, es könnte aber auch der zukünftige Arbeitgeber sein, der die sogenannten sozialen Medien nach den Aktivitäten potentieller Mitarbeiter durchforstet.

Als problematisch bei der Verwendung biometrischer Daten zur Authentifizierung erachtet Wolters zudem, dass Biometrik niemals ein Sicherheitsmerkmal sein könne. Denn weder Gesicht noch Iris noch Fingerabdruck seien privat. Vielmehr könnten die Merkmale beispielsweise mit hochauflösender Kameratechnik kopiert und in Umlauf gebracht werden. Das Problem: Ein klassisches Passwort kann man sich merken und ändern, ohne dass es ein Dritter mitbekommt. Anders bei der Gesichtserkennung: „Werden nach einem Daten-Leak Account-Informationen veröffentlicht, kann man bei einem Online-Dienst mit Gesichtserkennung nicht einfach ein neues Gesicht hochladen. Biometrische Verfahren sind zwar benutzerfreundlich, aber definitiv nicht vollständig sicher“, schließt Wolters.

Ähnlich argumentiert der Chef der IT-Sicherheitsberatung @-yet, Wolfgang Straßer. Die Beantwortung der Frage nach den möglichen  Gefahren ist für ihn davon abhängig, für welche Anwendung die Gesichtserkennung genutzt werden soll: bei digitalen Assistenten zur Identifikation von Gemütszuständen, zur Suche nach Personen im Internet inklusive Bildbeschriftung, zur Entsperrung von Geräten/Eintrittskontrolle oder zur Fahndung nach bekannten Personen mit kriminellem Hintergrund.

Faktor Eindeutigkeit

Die Bewertung des Gefahrenpotentials hänge sowohl von den unterschiedlichen Einsatzszenarien als auch von der speziellen Umsetzung ab. Dies erläutert er am Beispiel der Entsperrung von Geräten oder auch Einlasskontrollen, wo zwischen Praktikabilität und Sicherheit abgewägt werden müsse. Dabei spielt der Faktor Eindeutigkeit eine entscheidende Rolle. Unter der Prämisse, dass ein Gesicht nicht jeden Tag gleich aussieht, was an Schminke, Licht, Frisur, Jahreszeit oder Verletzungen liegen kann, muss in Bezug auf Eindeutigkeit eine gewisse Fehlertoleranz toleriert werden. „Doch je höher die Fehlertoleranz, desto größer die Gefahr einer fehlerhaften Erkennung. Die Gefahr potenziert sich theoretisch, je einfacher das Verfahren ist, welches für die Entsperrung eines Gerätes eingesetzt wird: So kann etwa bei einem zweidimensionalen Verfahren die Entsperrung mittels eines Fotos erfolgen oder bei einem zweidimensionalen Verfahren mit Lebenderkennung ist es möglich, die notwendige Bewegung mit einem Lineal, das einmal schnell vor dem Bild hin und her geschoben wird, zu imitieren“, so Straßer.

„Datenströme lassen sich leicht abfangen. Wenn diese jedoch verschlüsselt sind, stellen sie für den Angreifer keinen Wert dar.“

Die Implementierungen der am Markt befindlichen Systeme, wie etwa Microsoft Hello, die Funktionen bei Samsung-Smartphones oder dem neu erschienenen iPhone X von Apple, unterscheiden sich dabei dem Vernehmen nach zum Teil drastisch. Allen gemeinsam ist jedoch das Problem, nicht fälschungssicher zu sein, wie Thomas Uhlemann vom Sicherheitsanbieter Eset konstatiert. Dass sich manche Systeme bereits mit Fotos überlisten ließen, liege auch daran, dass viele noch an keinen zweiten Faktor wie einen PIN-Code, ein Passwort oder ein Token gekoppelt seien. „Zudem muss man sich anschauen, wo die Informationen gespeichert werden und wie sie vor unbefugtem Zugriff geschützt werden. Fast alle gängigen Maßnahmen übertragen die Informationen zumindest teilweise in die Cloud des jeweiligen Anbieters.“ Nur: Geschieht dies ende-zu-ende-verschlüsselt und werden die lokal gespeicherten Daten ebenfalls verschlüsselt?

Hoffentlich gut verschlüsselt

Im Grunde müssen die Nutzer darauf vertrauen, dass die Anbieter die biometrischen Daten nach den Vorgaben des Bundesdatenschutzgesetzes behandeln und dass sie verschlüsselt werden. „Neben dem gesunden Menschenverstand ist Verschlüsselung mit Abstand am effektivsten“, sagt Thomas Uhlemann. „Daten(ströme) lassen sich leicht abfangen. Wenn diese jedoch verschlüsselt sind, stellen sie für Angreifer keinen Wert dar.“ Einerseits könne man die verwendeten Geräte verschlüsseln, andererseits die Daten. Laptops, Workstations und Server lassen sich mit Drittanbietersoftware absichern, moderne Versionen von Android oder iOS haben die Verschlüsselung direkt mit „an Bord“. Moderne Endpoint-Security-Lösungen seien zudem in der Lage, Schnüffelsoftware zu erkennen und zu beseitigen. Alexander Burris von G-Data ergänzt, dass die Hersteller hier auf unterschiedliche Mechanismen setzen, und ist zuversichtlich, dass sie an neuen, sichereren Verfahren arbeiten. „Einige nutzen speziell gesicherte Systeme, sogenannte Trusted-Platform-Module (TPM). Hier werden die Daten gespeichert und verarbeitet, um den Zugriff durch Dritte auszuschließen. Diese Systeme werden auch bei der sicheren Übertragung und Verschlüsselung genutzt.“

Aber auch hier gibt es eine Einschränkung. Udo Kalinna vom Dortmunder Security-Anbieter Ifasec bestätigt zwar, dass mobile Verschlüsselungen enorm lange Keys besäßen, deren Entschlüsselung sehr komplex sei. Aber: „Die sensiblen Daten werden verschlüsselt auf einem Chip im Handy gespeichert. Und anhand der Leiterbahn des Chips lässt sich der Schlüssel ablesen. Mit dem entsprechenden technischen Hintergrundwissen kann ein Chip bis auf die Leiterbahn mechanisch ‚abgeschliffen‘ werden, sodass die geschützten Daten auf einmal zugänglich sind.“

Dies ist ein Artikel aus unserer Print-Ausgabe 11-12/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Unternehmen wie @-yet oder Datenschutz Nord liefern fundierte Beratung zum sinnvollen Einsatz der Technologie sowie im Weiteren zum Datenschutz und zur Forensik. „Wenn ein Kunde plant, Gesichtserkennungssoftware einzusetzen, erarbeiten wir mit ihm zusammen eine datenschutzkonforme Lösung. Regelmäßig wird der Schwerpunkt hier darauf liegen, dem Einwilligungserfordernis gerecht zu werden und eine praktikable systemseitige Einbindung zu erreichen“, berichtet denn auch Sebastian Tausch.

Einwilligung der Nutzer erforderlich

Das heißt: Nutzer sollten sich darüber bewusst sein, dass sowohl das nationale Bundesdatenschutzgesetz (BDSG) als auch die EU-Datenschutz-Grundverordnung (EU-DSGVO) für jede Erhebung und Verarbeitung derartiger personenbezogener Daten eine Rechtsgrundlage oder eine ausdrückliche Einwilligung des Betroffenen einfordern, andernfalls ist die Datenverarbeitung unzulässig. Das Vorliegen einer Rechtsgrundlage unterliegt dabei strengen Voraussetzungen, so dass insbesondere die im kommerziellen Bereich zur Erleichterung der Authentifizierung eingesetzten Gesichtserkennungstechnologien dem Einwilligungsvorbehalt unterliegen.

„Sollten Nutzer Zweifel an dem gesetzeskonformen Umgang mit ihren Daten hegen, haben sie verschiedene Rechte, angefangen beim Auskunftsrecht bis hin zum Recht auf Berichtigung.“

Den Entwicklern von Gesichtserkennungstechnologien ist daher zu raten, sich rechtskonform zu verhalten und bereits bei der Architektur neuer Verfahren systemseitig Mechanismen zu etablieren, die dem Einwilligungserfordernis gerecht werden. Dies kann etwa dadurch erreicht werden, dass die Funktion „Gesichtserkennung“ zunächst systemseitig deaktiviert ist und aktiv in Form einer eindeutigen Handlung durch den Nutzer aktiviert werden muss (Opt-in). Dieser muss dabei umfassend über die Art und das Ausmaß der Datenverarbeitung informiert werden, etwa durch die Einbindung eines entsprechenden Banners. Eine Vorabaktivierung mit Widerspruchsmöglichkeit (Opt-out) wäre unzulässig.

Sollten Nutzer Zweifel an dem gesetzeskonformen Umgang mit ihren (biometrischen) Daten hegen oder Zuwiderhandlungen befürchten, haben sie laut aktuellem Bundesdatenschutzgesetz verschiedene Rechte, angefangen beim Auskunftsrecht über das Recht auf Löschung bis hin zum Recht auf Berichtigung. Mit der ab Mai 2018 anwendungspflichtigen EU-Datenschutz-Grundverordnung kommen neue Betroffenenrechte hinzu bzw. werden alte Vorschriften erweitert. Die Informationspflichten seitens des Anbieters sind damit deutlich gestiegen, erläutert der Eset-Experte Thomas Uhlemann. Hier muss der Verbraucher über alle bestehenden Betroffenenrechte informiert werden. Doch viel entscheidender für einen Nutzer von modernen Technologien wie biometrischen Verfahren ist, dass der Dienstleister/Hersteller auch auf technischer Ebene in der Bringschuld ist. Er ist verpflichtet, die vom Nutzer erfassten Daten angemessen zu schützen und dies auch nachzuweisen. Kommt der Dienstleister/Hersteller weder seiner Aufklärungspflicht noch IT-Absicherung nach, drohen empfindliche Strafen in Millionenhöhe.

Grundsätzlich gilt im Kontext der Gesichtserkennung, dass ...

  • die Merkmale einfach zu erfassen sein müssen.
  • sich die Merkmale mathematisch in messbare bzw. vergleichbare Formen (in der Regel Vektoren) bringen lassen müssen.
  • die Merkmale auch bei unterschiedlicher Umweltbedingungen (z.B. Beleuchtung) zuverlässig erfasst werden können müssen.
  • kleine Veränderungen in Perspektive oder Aussehen den Vektor nur minimal
  • verändern dürfen.
  • der Vektor ein Gesicht möglichst eindeutig beschreiben muss.

Dabei kann es je nach Algorithmus sein, dass sich mehrere Änderungen gegenseitig aufheben oder verstärken.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH