Mit einem schnellen Blick das Handy entsperren? Vor allem bei besseren Smartphones ist das heute Standard. Allerdings: Besonders sicher ist das in vielen Fällen nicht, wie zahlreiche Tests bewiesen. Oft reicht ein gutes Gesichtsfoto des Besitzers, um das Handy zu entsperren. Es sind aber nicht nur Handys – überlisten wollen Angreifer auch andere biometrische Systeme, die eine Person über Körpermerkmale wie Iris-Bild, Gesichtserkennung, Fingerabdruck oder Sprache identifizieren sollen.

Entsprechend treiben Entwickler solcher Systeme hohen Aufwand, den Angreifern voraus zu sein. Wie Benny Bennet Jürgerns, Gründer und Chef der Firma Nect. Er hat ein maschinelles Identifikationsverfahren mitentwickelt, dass die Authentifizierung von Kunden beispielsweise beim Abschluss von Versicherungen oder Telefonverträgen komfortabel und sicher ermöglichen soll. Dazu wird der Neukunde in einer App durch einen Dialog geführt, muss zufällig ausgewählte Worte vom Display laut ablesen, seine Ausweisdokumente zeigen und so bestätigen, dass er ist, wer er vorgibt zu sein.

"Wir können dann anhand der Lippenbewegungen und der Gesichtsbewegungen feststellen, ob erstens die richtigen Worte gesagt werden, aber zweitens eben auch, ob hier nicht eine Maske benutzt wird, ob nur ein Foto hochgehalten wird oder sonstige Manipulationsversuche durchgeführt werden."

Foto oder Maske? Diese Angriffe seien vergleichsweise trivial zu erkennen. Schwieriger werde es, wenn ganze Identitäten inklusive täuschend echtem dreidimensionalem Avatar erzeugt werden, dem sogenannten deep-fake.

"Das Thema deep-fake ist natürlich eines der modernsten Angriffszenarien, die man auf so ein Verfahren ausführen kann. […] Mit allen deep-fakes, die in der Welt da draußen rumlaufen, überprüfen wir unser Verfahren. Und auf der anderen Seite haben wir auch proprietäre Systeme entwickelt, um die Echtzeit der Aufnahmen nachzuweisen."

So soll sichergestellt werden, dass nicht ein synthetisch erzeugtes beziehungsweise manipuliertes Video eingespielt wird.

Neben der Täuschungsabwehr forschen Biometrie-System-Entwickler auch intensiv daran, wie die immer größer werdenden Datenmengen verarbeitet werden können. Früher, erklärt Prof. Christoph Busch, Informatiker an der Hochschule Darmstadt, seien ein paar hundert oder gar 4.000 Datensätze ein großes System gewesen.

"Heute lächelt man über 4.000 Subjekte in einer Datenbank und das größte derzeitig im Betrieb befindliche biometrische System hat 1,2 Milliarden Bürger. Das ist die Datenbank in Indien."

Mit der Masse der Daten kommen zwei Herausforderungen: zum einen benötigen die Systeme immer mehr Rechenleistung zur Verarbeitung der Daten. Zum anderen steigt die Zahl von falschen Treffern in der Datenbank mit der Zahl der Einträge.

"Diesen 'False Positive'-Fehler, den wollen wir vermeiden und dazu reduzieren wir beispielsweise den Suchraum. Im einfachsten Fall illustriert. Wenn ich eine männliche Person habe, dann suche ich nur unter allen Männern und nicht unter allen Frauen. Und da gibt es verschiedene andere Suchstrategien, die diesen Suchraum einschränken. Damit reduziere ich die Gefahr eines Fehlers und ich reduziere natürlich auch die Transaktionszahl, ich bin schneller mit dem Ergebnis dann zurück und ich bin Ressourcensparender."

Neben der Masse stellt die Güte der biometrischen Datensätze ein Herausforderung dar. So können korrekte Identifikation und Angriffsabwehr über verschiedene Systeme hinweg nur gewährleistet werden, wenn die Auswertecomputer einschätzen können, wie verlässlich die Referenzdaten sind. Unter anderem dafür arbeiten Christoph Busch und Kollegen derzeit an einem Standard, der die Qualität von zwei- und dreidimensionalen Gesichtserkennungsdatensätzen sicherstellen soll.