Herr Dr. Damer, Face Morphing ist nicht nur einfach eine kleine Spielerei, sondern wird verstärkt von Kriminellen genutzt. Warum? Was genau kann passieren, wenn zwei Gesichter auf einem Foto gemorphed werden?

Beim Face Morphing wird ein Bild geschaffen, das im Prinzip mehrere Identitäten enthält. In vielen Fällen ist der Betrug weder für das menschliche Auge noch für die Maschine erkennbar. Befindet sich ein solches Foto auf einem Pass oder Ausweisdokument, können Kriminelle, die beispielsweise ein Einreiseverbot in ein bestimmtes Land haben, mit so einem Foto trotzdem die Grenzen passieren. Sie verwenden einen Pass mit einem falschen Namen, falschen Angaben und einem gemorphten Foto. Dieses Foto dient der Polizei und der Grenzkontrolle als Verifizierungswerkzeug. Ein Pass beweist, dass die Identität tatsächlich zu einer Person gehört, die behauptet, dass sie der Eigentümer der Identität ist. Und mithilfe von Face Morphing können Personen mit kriminellem Hintergrund sich einfach eine alternative Identität generieren und sich ausweisen.

Gerade bei Passkontrollen erfolgt eine Identitätsprüfung nicht nur durch das menschliche Auge. Der Pass wird auch von einer Maschine gelesen, so sollte die Echtheit des Dokuments, vor allem des Bildes, überprüft werden können. Wie kommt es, dass das System so fehleranfällig ist und ein gemorphtes Bild nicht erkennt?

Das liegt an dem maschinellen Lernen. Diese biometrischen Systeme wurden so trainiert, dass sie mehr oder weniger wie wir Menschen denken. Sie als Mensch müssen täglich Veränderungen im Gesicht ihres Gegenübers hinnehmen. Sie erkennen beispielsweise ein Familienmitglied auch, wenn der- oder diejenige die Mimik verändert, also lächelt oder weint. Sie erkennen ihn/sie auch wenn die Haare geschnitten oder gefärbt wurden. Selbst auf einem Foto, dass fünf Jahre alt ist, würden Sie die Menschen erkennen. Und genau das macht die Maschine auch. Sie wurde darauf trainiert einige Veränderungen im Gesicht zu akzeptieren. Würde sie das nicht, gäbe es Probleme. Ihr Pass ist zum Beispiel 10 Jahre gültig und sie erwarten, dass sie mit diesem Pass und dem entsprechenden Bild auch in dieser Zeit von den Grenzbeamten und der Maschine identifiziert werden können.

Die Maschine muss also eine nicht ganz einfache Aufgabe meistern. Sie muss bestimmte Abweichungen von einer Person akzeptieren und gleichzeitig auch zwischen verschiedenen Personen unterscheiden können. Und wie Sie schon sagten, erfolgt eigentlich eine doppelte Überprüfung. Es ist also nicht nur das automatische System, welches hier überlistet werden kann. Auch ein Polizeibeamter, der das Dokument manuell überprüft, würde eine Person mit einem gemorphten Foto passieren lassen.

An dieser Stelle kommt die Forschung des Fraunhofer-Instituts für Graphische Datenverarbeitung IGD ins Spiel. Das Institut befasst sich intensiv mit dem Thema Biometrie und arbeitet hier in verschiedenen Forschungsbereichen. So gibt es unter anderem ein Projekt, dass sich mit der qualitativen Bilderkennung beschäftigt. Passbilder mit zu geringer Qualität werden von vornherein erkannt und nicht genehmigt. Ist das richtig?

Das stimmt, wir arbeiten auch an der Qualitätsüberprüfung von Bildern des Gesichts. Ein Teil dieser Arbeit beschäftigt sich auch mit der Frage, welche Bilder auf einem Pass akzeptiert sein sollten.
Aktuell folgen die Bilder auf einem Pass bestimmten ICAO-Standards, die festlegen, was auf dem Bild zu erfassen ist. Zu diesen Standards gehört, dass das Bild vor einem einfarbigen, neutralen Hintergrund entstehen muss, dass das Gesicht nach vorne gerichtet sein muss, keine Haare im Gesicht hängen dürfen und noch vieles mehr. Aber das sind letztendlich nur beschreibende Regeln. Ein Beamter prüft das Bild auf diese Qualitätsmetriken hin, aber das reicht natürlich nicht aus. Ein Bild, dass mit einem Smartphone aufgenommen wird, kann diesen Regeln durchaus entsprechen, aber die Qualität des Bildes an sich ist schlecht – oder schlechter als sie sein sollte.
Die Bildqualität kann dann natürlich auch mit dem Thema Face Morphing-Attacken zusammenhängen. Nicht immer ist ein gemorphtes Bild aber auch eines mit schlechter Qualität. Man kann also sagen: Es gibt eine Korrelation zwischen diesen Forschungsthemen, aber es ist nicht dasselbe.

Können Sie mir mehr über das Face Morphing-Projekt erzählen?

Unsere Hauptaktivitäten im Bereich Face Morphing finden im Rahmen des ATHENE-Projekts statt. Bei ATHENE handelt es sich um eine Forschungseinrichtung der Fraunhofer-Gesellschaft, genauer gesagt, um das »Nationale Forschungszentrum für angewandte Cybersicherheit« in Darmstadt und das Fraunhofer IGD ist ebenso wie das Fraunhofer-Institut für Sichere Informationstechnologie SIT ein Teil davon. Innerhalb von ATHENE beschäftigen wir uns auf verschiedenen Ebenen mit dem Thema Biometrie. Unter anderem gibt es ein Forschungsprojekt zum Thema Identitätsmanagement und hier forschen wir an Face Morphing. Vor allem das Erkennen, Aufdecken und Identifizieren von Face Morphing-Attacken sehen wir als eine unserer Hauptaufgaben.

Wie alle anderen Arten der (Cyber-)Angriffen nehmen auch Face Morphing-Attacken immer mehr zu. Kriminelle finden immer wieder einen neuen Weg, um einen solchen Angriff aufzubauen – und es ist entsprechend schwierig einen Angriff zu entdecken ohne ihn zu erkennen. Wir haben also zwei Möglichkeiten, um diesem Problem zu begegnen – und beide nutzen wir auch. Zum einen arbeiten wir an Erkennungsalgorithmen, die so konzipiert sind, dass sie unbekannte Angriffe erwarten. So können wir gegen einen Angriff, der durch uns bisher unbekannte Methoden erzeugt wird, gewappnet sein. Wir schaffen im Zuge dessen sozusagen eine verallgemeinerte Face Morphing-Erkennung. Zum anderen versuchen wir aber auch einfach schneller als die Kriminellen selbst zu sein und entwickeln mögliche Angriffsszenarien und -strategien. So können wir dafür sorgen, dass unser Erkennungsalgorithmus bereits neue, nicht genutzte Möglichkeiten von Face Morphing-Attacken kennt und sie im Ernstfall entsprechend aufdecken kann. Man könnte sagen: Wir schaffen den Angriff selbst.

Wie genau funktioniert das?

Im menschlichen Gesicht gibt es bestimmte Merkmalspunkte, »interest points«. Das sind zum Beispiel die Mundwinkel, die Augenwinkel und so weiter, diese Punkte können variabel sein. Man spricht im Allgemeinen von 68 gut definierten Merkmalspunkten. Bei der traditionellen Art und Weise Gesichter zu morphen werden zwei Gesichter verwendet, die sich in vielen dieser Merkmalspunkte mehr oder weniger ähneln. Die Positionen dieser Merkmalspunkte können entweder manuell oder automatisch identifiziert und dann beispielsweise durch eine Bildbearbeitungssoftware gemittelt werden, um ein neues Gesicht zu erzeugen. Die Mittelwertbildung der Gesichtspunkte ist ein zentraler Faktor beim Face Morphing. Etwas Nachbearbeitung ist dann noch nötig, um bestimmte Merkmale und den Bearbeitungsprozess zu verstecken. Diese Art des Face Morphings ist manchmal schwer, manchmal auch leicht zu erkennen. Doch man muss bedenken, dass Hacker und Angreifer oft technisch deutlich versierter sind und andere Verfahren entwickeln. Deshalb haben auch wir uns mit einer neuen Methode beschäftigt, die Hacker verwenden könnten.

Wir generieren basierend auf generativen adversarischen Netzwerken tatsächlich neue Gesichter. Deep Learning und Künstliche Intelligenz spielen hierbei eine wesentliche Rolle. Wir bilden nun also keine Mittelwerte mehr, um ein neues Gesicht zu erschaffen. Das System lernt von den Bildern, nutzt die Faktoren und Eigenschaften und erzeugt, basierend auf diesen Merkmalsstrukturen, vollständig maschinell ein neues Gesicht – das natürlich Eigenschaften von beiden ursprünglichen Gesichtern besitzt, die als Grundlage dienten. Mit einem so erzeugten Gesicht können nun beide Originalidentitäten identifiziert und verifiziert werden.
Das heißt, Sie morphen Bilder am Institut selbst, um die Fehleranfälligkeit von biometrischen Systemen zu offenbaren?
Das ist korrekt. Wir haben eine Methode entwickelt, die zeigt, wie anfällig unser System noch ist.

Dies dient vermutlich als Grundlage für weitere Forschungen. Gibt es bereits ein Projekt, dass sich mit der Lösung beschäftigt?

Wir arbeiten derzeit an Lösungen für das Problem. Wir können aber nicht behaupten, dass diese Lösungen vollkommen sind. Der Grund hierfür ist einfach: Es wird auch zukünftig neue Arten von Angriffen geben und aus diesem Grund kann unsere Lösung nicht perfekt sein. Wir müssen aber daran arbeiten eine nahezu perfekte Lösung zu schaffen. Wir müssen Kriminellen im Prinzip einen Schritt voraus sein und ebenfalls neue Möglichkeiten erforschen, damit wir unsere Systeme darauf trainieren und vorbereiten können.

Mit einem gemorphten Bild können zwei Personen mit ein und demselben Pass durch eine Kontrolle gelangen. Bild: Fraunhofer IGD

Können Sie ein Beispiel geben, wie Fälschungssicherheit in Bezug auf Ausweisdokumente mit Fotos ganz allgemein erhöht werden könnte?

Das ist schwer zu sagen. Denn das hängt z.B. nicht nur an Deutschland, also an deutscher Forschung und deutschen Richtlinien. Wir könnten sagen, der Prozess der Passausstellung muss verändert werden. Bereits hier müssen die Fotos darauf geprüft werden, ob sie echt oder gemorpht sind. Dann könnten wir deutschen Pässen mehr vertrauen, aber was ist mit denen aus anderen Ländern? Face Morphing-Attacken werden dann auch weiterhin ein großes Problem sein. Es reicht nicht den deutschen Pass – oder auch einen Pass allgemein – vorerst sicher zu machen, wir müssen die Kriminellen und ihre Methoden ausfindig machen. Aus diesem Grund denke ich, dass die einzige realistische Lösung wirklich die ist, Methoden zu entwickeln, die eine solche Art der Angriffe aufdecken. Und genau daran arbeiten wir innerhalb des Forschungszentrums ATHENE.

Ist das Fraunhofer IGD noch in weitere Projekte zum Thema Biometrie oder Face Morphing innerhalb von ATHENE involviert?

Innerhalb von ATHENE gibt es drei Biometrie-Projekte, an denen das Fraunhofer IGD auch arbeitet. Diese Projekte sind selbst allerdings ziemlich groß, weshalb auch sie noch einmal in verschiedene Projektaktivitäten unterteilt werden.
Über zwei der drei Projekte haben wir jetzt schon gesprochen. Das erste befasst sich mit der Qualitätskontrolle von Bildern mit Gesichtern. Wir messen die Nutzbarkeit eines Gesichtsbildes innerhalb von Gesichtserkennungssystemen. Das ist aber nicht nur für Passkontrollen bedeutsam, auch für z. B. forensische Zwecke ist die Bilderkennung sehr relevant. Wir müssen schließlich wissen, wie sehr wir uns auf ein Gesichtsbild verlassen können, um zu entscheiden, ob es sich um eine bestimmte Person handelt oder nicht.

In dem Projektbereich zum Identitätsmanagement fokussieren wir uns auf die Schwachstellen von biometrischen Systemen. Dazu gehören die erläuterten Morphingattacken, aber das Feld an sich ist noch viel größer. Auch sogenannte »Presentation Attacks« fallen in diesen Bereich. Ganz grob gesagt, beschäftigen wir uns hier mit Fotos oder Videos von einem Gesicht oder Fingerabdruck einer Person, die an ein System übergeben werden, um das System zu täuschen. Auch beschäftigten wir uns mit Angriffen auf die Privatsphäre über solche Systeme. Wenn Sie sich beispielsweise via Gesichtserkennung bei Ihrer Bank einloggen, möchten Sie, dass Ihre Bank die Informationen Ihres Gesichts auch nur für den Identitätsnachweis verwendet. Tatsache ist aber, dass die Informationen aus der Gesichtserkennung dazu verwendet werden können Ihr Geschlecht, Ihre Rasse, Ihre Gesundheitsprobleme und weiteres zu ermitteln. Und wir möchten dafür sorgen, dass Daten aus der Gesichtserkennung geschützt und nicht zweckentfremdet werden.

Das dritte Projekt beschäftigt sich mit Biometrie in eingebetteten Systemen, also mit Systemen, die nicht so viel Variationskraft, sondern ihre eigenen Erfassungseigenschaften haben. In diesem Bereich arbeiten wir viel an Lösungen für das maschinelle Lernen. Ziel ist es, Biometrie z. B. auf Mobiltelefonen oder Augmented-Reality-Kameras so anzuwenden, dass sie wirklich dafür eingesetzt werden, höhere Sicherheit zu schaffen. Wir arbeiten hier unter anderem an Augmented-Reality-Kameras, die auch für Grenzkontrollen eingesetzt werden können. Um das zu erreichen müssen wir maschinelle Lernlösungen mit geringer Kombinationsleistung entwickeln.

Können Sie abschließend noch einen kleinen Forschungsausblick geben? Wie wird Ihre zukünftige Forschungsarbeit in dem Bereich Biometrie und Face Morphing aussehen?

Im Rahmen des Projekts Identitätsmanagement arbeiten wir natürlich weiterhin an neuen Lösungen. Wir haben das Hauptproblem identifiziert und definiert. Nun müssen wir neue Methoden des maschinellen Lernens einsetzen und entwickeln, um hochgradig verallgemeinerbare Lösungen zu schaffen und unbekannte Angriffe rechtzeitig erkennen zu können.
Das Fraunhofer IGD ist ein Institut für angewandte Forschung, deshalb zielen wir nicht darauf ab eine Theorie zu entwickeln, die auf einem wissenschaftlichen Paper interessant wirkt. Uns geht es darum Lösungen zu schaffen, die verallgemeinerbar sind und parktisch zur Bekämpfung des Problems eingesetzt werden können.

(cst)