Eine Pixel-Tarnkappe kann Fotos für Gesichtserkennungssysteme unbrauchbar machen

Wer Bilder von sich ins Internet stellt, der riskiert, in einer Datenbank für Gesichtserkennungssysteme zu landen. Forscher der University of Chicago haben jedoch eine Technik entwickelt, die solche Bilder ungeeignet machen könnte, um Menschen zu identifizieren.

Von Michael Förtsch

Das von der New York Times , Buzzfeed News und anderen US-Medien aufgedeckte Treiben des Start-ups ClearView AI hat gezeigt, wie unbedacht ins Internet geladene Fotos missbraucht werden können. Denn ClearView AI legte aus Bildern, die in sozialen Medien wie Facebook, YouTube, Twitter oder auch Linked In hochgeladen worden waren, eine gigantische Datenbank an, in der die Bilder mit den Informationen aus den Social-Media-Accounts verknüpft wurden. So wurden Menschen durch die App des Unternehmens identifizierbar, ohne dass sie dem jemals zugestimmt hatten oder davon wussten. Genutzt wird dieser Dienst nicht nur durch Strafverfolgungsbehörden, sondern auch von Privatunternehmen und sogar Privatpersonen. Forscher der University of Chicago haben jedoch eine Möglichkeit entwickelt, sich gegen eine solche ungewollte Nutzung und den „potentiellen Missbrauch“ der Gesichtserkennungstechnologie zur Wehr zu setzen – zumindest teilweise.

In einer Studie beschreiben die Entwickler der US-Universität ein experimentelles Programm namens Fawkes – benannt nach Guy Fawkes, dessen Konterfei für die Masken der Anonymous-Bewegung Pate stand. Was es tut, ist einen der Grundmechanismen moderner Gesichtserkennungstechnologien zu korrumpieren. Bei diesen fahnden Künstliche Intelligenzen nach den Korrelationen und Beziehungen zwischen einzelnen Pixeln auf einem Bild, um ein Gesicht zu identifizieren. Dabei handelt es sich einerseits um einfach erkennbare Merkmale wie die Grundgeometrie des Gesichtes – also den festen Abstand zwischen Augen, Mund, Nase und Kinn –, die Form der Augen, erkennbare Narben oder Muttermale.

Wie die Forscher festhalten, achten Algorithmen jedoch auch auf zahlreiche zumindest für menschliche Augen praktisch „unsichtbare Indikatoren“, die sie erlernen . Das können scheinbar willkürliche Punkte im Gesicht oder das relative Abstandsverhältnis zwischen diesen sein. Mit Fawkes sollen sich derartige Anhaltspunkte stören lassen – und zwar, indem der Tarnkappen-Algorithmus des Programms, wie es in der Studie heißt, „minimale Irritationen“ berechnet und in die Bilder einbaut. Das können wenige Pixel sein, die einem menschlichen Betrachter absolut nicht auffallen. Jedoch verschieben sie die Orientierungspunkte für Gesichtserkennungstechnologien soweit, dass sie zwischen dem manipulierten Foto, einem unmanipulierten Foto oder einem Live-Bild der echten Person nicht genügend Übereinstimmungen vorfinden, um ein eindeutiges Ergebnis zu liefern.

Kein vollständiger Schutz – aber ein erster Schritt

Laut den Wissenschaftlern der University of Chicago würde das Prinzip von Fawkes schon jetzt funktionieren. In einem Test haben sie Gesichtserkennungsalgorithmen von Microsoft, Amazon und Google mit manipulierten Fotos trainiert. Die Personen auf den nicht manipulierten Bildern waren für diese tatsächlich nicht identifizierbar – und das in 95 bis zu 100 Prozent der Fälle. Das Problem: Wurden die Gesichtserkennungssysteme sowohl mit modifizierten als auch nicht modifizierten Fotos bestückt, wurde die Tarnkappe weniger effektiv. Waren nämlich von 100 Trainingsbildern auch nur 15 Bilder nicht mit Fawkes bearbeitet, war die echte Person in knapp über 60 Prozent der Fälle für den Algorithmus wieder erkennbar.

Das bedeutet: Wer von sich selbst schon jetzt Hunderte Fotos im Internet hat, der würde es schwerer haben, sich mit Fawkes gegen Apps wie von ClearViw AI zu wappnen – hat aber dennoch eine gute Chance, nicht erkannt zu werden. Ebenso könne es, meinen die Wissenschaftler, bei hochentwickelten Systemen sein, dass eine Künstliche Intelligenz „die Ausweichversuche der Nutzer“ erkennt und zusätzliche Identifikationsmerkmale herausarbeitet. Dazu könnten zukünftige Technologien die Tarnkappe aushebeln, indem Irritationen automatisch erkannt und kompensiert werden.

Auch sonst geben die Entwickler zu bedenken, dass Fawkes – das bisher nicht öffentlich zur Verfügung steht – alles andere als ein perfekter Schutz gegen die missbräuchliche Nutzung von Gesichtserkennungstechnologien darstellt. Aber: Es sei ein „erster Vorschlag“ und „wir glauben, dass es ein wichtiger und notwendiger Schritt in der Entwicklung von Nutzer-zentrierten Werkzeugen für den Schutz der Privatsphäre ist“. Denn die Chancen auf eine treffsichere Identifikation könnten so gestört werden – und damit eventuell auch das große Vertrauen in die Technologie von Seiten der Behörden und Gesetzgeber. Und nicht zuletzt könnten andere Entwickler vielleicht auf ihrer Arbeit aufbauen und „Folgearbeiten in diesem Bereich schließlich zu langfristigen Schutzmechanismen führen“.

Teaser-Bild: Unsplash

3 Like