Verlässliche Personenidentifizierung mittels Techniken der Künstlichen Intelligenz - Springer Link

 
WEITER LESEN
SCHWERPUNKT

Christian Thiel, Christoph Thiel, Arno Fiedler

Verlässliche Personenidentifizierung
mittels Techniken der
Künstlichen Intelligenz
Künstliche Intelligenz hält zunehmend Einzug in unseren Alltag, auch die
automatisierte Identifizierung natürlicher Personen wird davon erfasst. In diesem
Artikel werden die dabei entstehenden Risiken erläutert und erste Vorschläge
für die Zertifizierung geeigneter Sicherheitsmaßnahmen aufgezeigt.

                                               1 Einleitung        sie nicht mit dem Nawalny-Mitarbeiter, sondern mit einem Be-
                                                                   trüger, der sich für ihn ausgab. Im April 2021 haben unter ande-
Leonid Wolkow ist kein Unbekannter. Als Stabschef des zurzeit      rem die niederländischen Zeitungen »de Volkskrant«, der »Guar-
in einem Straflager inhaftierten Kremlgegners Alexej Nawalny       dian« und die »NL Times« berichtet, dass sich Politiker aus meh-
hat er häufig Kontakt mit Medien und Politik, auch in sozialen     reren Ländern von einem falschen Wolkow haben täuschen las-
Netzwerken ist er sehr aktiv. Dennoch sind mehrere Politiker auf   sen. Abgeordnete aus dem außenpolitischen Ausschuss der Nie-
einen Betrug hereingefallen: In einer Videokonferenz sprachen      derlande sowie Politiker aus Großbritannien und verschiedenen
                                                                   baltischen Staaten hatten demnach mit dem vermeintlichen Wol-
                      Dipl. Wirtsch.-Ing. Arno Fiedler             kow gesprochen und erst später gemerkt oder die Information er-
                                                                   halten, dass sie einem Betrüger aufgesessen waren.
                      Der Geschäftsführer der Nimbus                  Weitere Aufmerksamkeit erhielten diese Medienberichte durch
                      Technologieberatung GmbH ist seit            die zunächst aufgestellte Behauptung, der falsche Wolkow sei ein
                      20 Jahren als Berater im Bereich des         »Deep Fake« gewesen, ein durch Techniken der künstlichen Intel-
                      Identitätsmanagement und der Ver-            ligenz (KI) erzeugtes Gesicht mit der Mimik und Stimme des Na-
                      trauensdienste aktiv und engagiert           walny-Vertrauten, überzeugend genug, um in einer Videokonfe-
                      sich ehrenamtlich als ETSI ESI Vice-         renz von allen Teilnehmern als echt akzeptiert zu werden.
                      Chair und als Vorstandsmitglied des
                                                                      Allgemeiner formuliert steht hinter Deep Fake, abgeleitet von
 Verbandes Sichere Digitale Identitäten e. V..
                                                                   den Begriffen »Deep Learning« und »Fake«, die Möglichkeit,
 E-Mail: arno.fiedler@nimbus-berlin.com
                                                                   Bild-, Video- oder Audiodaten so zu manipulieren, dass biome-
                                                                   trische Merkmale wie Aussehen, Stimme oder auch charakteris-
                      Prof. Dr. Christoph Thiel                    tische Gestik und Mimik von Personen täuschend echt imitiert
                                                                   werden. Auch wenn bisher kein Beweis veröffentlicht worden ist,
                      Professor für sichere und zuverlässige       dass der falsche Wolkow computergeneriert wurde – möglicher-
                      Softwaresysteme an der Fachhoch-             weise handelte es sich einfach nur um einen Doppelgänger, der
                      schule Bielefeld, Standort Minden            von Maskenbildnern „klassisch“ hergerichtet wurde – zeigen die-
                                                                   se Berichte, welche Qualität bereits heute Deep Fakes zugestan-
                                                                   den wird. Tatsächlich wird die rasante Entwicklung der KI ins-
                                                                   besondere im Bereich des Deep Learning dazu führen, dass Deep
                      E-Mail: ct@thiel168.com
                                                                   Fakes immer realistischer und einfacher zu generieren sein wer-
                                                                   den. In Zukunft werden automatisiert hergestellte hochwertige
                      Prof. Dr. Christian Thiel                    Fälschungen möglich und für jedermann zugänglich sein. Da-
                                                                   mit wird klar, welches destruktive Potential hinter Deep Fakes
                      Dozent für Wirt­schaftsinformatik,           stecken kann: Prinzipiell können alle Attacken, die darauf basie-
                      Institut für Infor­mations­und Prozess-      ren, dass sich ein Angreifer virtuell als eine andere Person aus-
                      management                                   gibt – zum Beispiel am Telefon, in einem Videochat oder einer
                      FHS St. Gallen, Hochschule für An-           Videokonferenz – durch die Deep Fake-Technologie vereinfacht
                      gewandte Wissenschaften.
                                                                   und verstärkt werden. Dies gilt insbesondere auch für Angriffe
                                                                   gegen Verfahren der Remote-Identifizierung, die ohne die phy-
                      E-Mail: christian.thiel@bluewin.ch

462                                                                                 DuD • Datenschutz und Datensicherheit   7 | 2021
SCHWERPUNKT

sische Präsenz der zu prüfenden Person auskommen und statt-            ten, die verschiedenen Implementierungen abzustimmen und zu
dessen remote mittels Videoübertragung durchgeführt werden.            vergleichbaren Ergebnissen zu kommen. Zudem sollte eine regel-
   In den folgenden Abschnitten betrachten wir zunächst die            mäßige Überprüfung der Risiken und ein Austausch von Sicher-
grundlegenden Probleme und Risiken, die sich im Zusammen-              heitsvorfällen zwischen den verschiedenen Akteuren die Kon-
hang mit solchen Verfahren der Remote-Identifizierung ergeben.         vergenz für Prozesse mit vergleichbaren Vertrauensstufen (s. Le-
Wir diskutieren die aktuellen Rahmenbedingungen und Ent-               vels of Assurance (LoAs), Artikel 8 aus [5]) weiter stärken. Eine
wicklungen insbesondere hin zur automatisierten visuellen Iden-        solche Risikoanalyse kann sich beispielsweise auf die ISO/IEC
titätsprüfung bzw. des Identitätsnachweises. Die aktuellen Vorga-      27005 abstützen. Hinsichtlich konkreter Einzelrisiken müssen
ben klären allerdings nicht, wie die Verlässlichkeit der automati-     dabei spezifische Risikoszenarien für Verfahren der Remote-
sierten Lösung bewertet werden kann. Implizit ist zumindest klar,      Identifizierung betrachtet werden. In einem Button-Up-Ansatz
dass es sich um KI-basierte Lösungen handeln wird. Wir betrach-        bewegt man sich entlang der Phasen des Identitätsnachweisver-
ten daher die Möglichkeiten und Herausforderungen hinsicht-            fahren und identifiziert dort Bedrohungen gegen primäre und se-
lich der Standardisierung und Zertifizierung solcher Lösungen.         kundäre Assets (Vorgehen nach ISO/IEC 27005) sowie mögliche
                                                                       Schwachstellen / Verletzlichkeiten.
                                                                          Der wichtigste identifizierte Asset im Kontext der Identitäts-
                                                      2 Risiken        prüfung ist der Identitätsprüfungsprozess selbst und alle im Rah-
                                                                       men dieses Prozesses verarbeiteten Nachweise. Verarbeitete und
Die Zunahme des digitalen Marktes hat die Idee der Remote-             gespeicherte Daten und Nachweise werden ebenfalls als primä-
Identifizierung einer Person attraktiv gemacht, da die Remote-         re Assets anerkannt. Beispiele für diese Assets sind private Daten
Identifizierung auch jenen Kunden, die physisch weit entfernt          des Antragstellers, Fotos (Scans), Videoaufzeichnungen, Daten,
sind, den Zugang zu Identifizierungsdienstleistungen ermög-            die der Antragsteller im Rahmen des Einleitungsprozesses über-
licht. Während der COVID-19-Pandemiekrise wurde die Mög-               mittelt hat, Daten, die der Antragsteller als Ergebnis erhält sowie
lichkeit, eine Person ohne physische Anwesenheit zu identifizie-       Identitätsnachweise.
ren, sogar noch wichtiger, da die physische Anwesenheit nicht nur         Der Identitätsnachweisprozess basiert zudem auf vielen unter-
umständlich ist, sondern sogar gefährlich sein kann, oder ein-         stützenden sekundären Assets, die ebenfalls berücksichtigt wer-
fach nicht möglich ist, weil die Sicherheitsmaßnahmen zur Re-          den sollten, insbesondere die für die Durchführung des Prozes-
duzierung der Auswirkungen der Pandemie eingehalten werden             ses verwendeten Computersysteme einschließlich Netzwerk und
müssen. Die Möglichkeit des Remote-Identitätsnachweises för-           Software, der Bedienerarbeitsplatz, ausgestattet mit Kamera und
dert und erhöht die Möglichkeit elektronischer Transaktionen           Sprachgeräten, der PC oder das mobile Gerät der zu prüfenden
bei gleichzeitiger Sicherstellung der Gültigkeit der Identitäten der   Person, Kommunikationskanäle, interne Datenbanken (z. B. Pro-
beteiligten Transaktionspartner.                                       tokolle, Archive), externe Register (z. B. Register gestohlener Aus-
   Die Verfahren der Remote-Identifizierung lassen sich unter-         weisdokumente) und unterstützende Dienste von externen An-
teilen in Verfahren, bei denen ein Live-Agent in Echtzeit mit der      bietern (z. B. Zertifikatsvalidierungsdienst).
zu prüfenden Person in einem Videochat verbunden ist und in               Die für ein Identitätsnachweisverfahren spezifischen Risiken
automatisierte Verfahren, bei denen in bzw. nach einer Video-          fallen in zwei Hauptkategorien von Bedrohungen (vgl. [1]) näm-
sitzung die Identität ohne Personaleinsatz, also unbeaufsichtigt       lich:
und automatisiert, überprüft und validiert wird. Entsprechend          ƒ Gefälschte Nachweise: Ein Antragsteller behauptet eine falsche
des Identitätsnachweisprozesses, wie er in [1] und in ähnlicher           Identität unter Verwendung gefälschter Nachweise.
Form in {2] skizziert wird, werden in beiden Fällen zusätzlich         ƒ Identitätsdiebstahl: Ein Antragsteller verwendet gültige Nach-
physische und / oder digitale Identitätsdokumente als Nachweis            weise, die einer anderen Person zugeordnet sind.
(Evidence) vorgezeigt.                                                    Der ersten Bedrohungskategorie wird durch Attribut- und
   Der Ansatz mit Live-Agenten kann zu einer schlechten Benut-         Nachweisvalidierung begegnet, während der zweiten durch Bin-
zererfahrung führen, wenn z.B. ein Kunde im Web-/Online-Ka-            dung an den Antragsteller begegnet wird.
nal warten muss, bevor er mit dem Agenten verbunden werden                Die entlang des Identitätsnachweisprozesses identifizierten Ge-
kann. Außerdem führt der Personaleinsatz zu erheblichen Kos-           fährdungen (Bedrohungen und Schwachstellen) können dem-
ten für den Anbieter. Automatisierte Verfahren erfordern aber          nach folgenden Risikodimensionen zugeordnet werden.
eventuell weitergehende Maßnahmen, um zusätzliche Risiken zu           1. Der Identitätsnachweisprozess kann durch gefälschte und/oder
kompensieren. Gerade im digitalen Umfeld ist aufgrund des feh-            manipulierte Nachweise (Evidenz) kompromittiert werden.
lenden direkten persönlichen Kontakts und dem Wegfall der An-          2. Der Identitätsnachweisprozess kann durch die Verwendung
reise die Hemmschwelle für Missbrauchsversuche herabgesetzt.              von Nachweisen kompromittiert werden, die gekündigt, wi-
   Entsprechend wichtig ist es für Hersteller bzw. Betreiber ent-         derrufen oder verloren/gestohlen wurden
sprechender Services eine Risikobewertung durchführen, um si-          3. Der Identitätsnachweisprozess kann durch einen Betrüger
cherzustellen, dass das Sicherheitsniveau dem Grad des Risikos            kompromittiert werden, der die legitime Identität einer ande-
angemessen ist, und um die Auswirkungen von Sicherheitsvor-               ren Person vorgibt
fällen zu minimieren. Derzeit gibt es in der aktuellen Literatur       4. Der Identitätsnachweisprozess kann durch Manipulation von
nur wenige Quellen zu Bedrohungen und Schwachstellen bzw.                 Bilderfassungssystemen oder Übertragungskanälen (bei Re-
Verletzlichkeiten und weitergehend zu Risiken hinsichtlich von            mote-Identitätsnachweis) beeinträchtigt werden
Verfahren der Remote-Identifizierung (s. [1], [2]). So empfiehlt [1]   Um einzelne Risiken besser behandeln zu können empfiehlt es
einheitliche Risikoanalysen, die systematisch durchgeführt wer-        sich konkrete Gefährdungsszenarien zu beschreiben. Viele Sze-
den sollten, um einen sicheren Nachweisprozess zu gewährleis-          narien sind für jedes Identifikationsnachweisverfahren (sei es

DuD • Datenschutz und Datensicherheit     7 | 2021                                                                                     463
SCHWERPUNKT

         Vor-Ort beim Dienstleister, Online in Echtzeit mit einem Live-                              Das Modell selbst wird hierbei nicht verändert. Bereits gering-
         Agenten oder vollständig automatisiert) relevant.                                           fügige Änderungen der Eingabedaten, die schwierig zu detek-
            Wir konzentrieren uns hier zunächst auf die spezifischen An-                             tieren und selbst für Menschen nicht unmittelbar erkennbar
         griffe auf automatisierte Identitätsnachweisverfahren. Diese las-                           sind oder von ihnen als irrelevant interpretiert werden, kön-
         sen sich in technische Angriffe und prozedurale / prozessorien-                             nen bedeutsame Auswirkungen haben.
         tierte Angriffe unterteilen (vgl. [1]).                                                  ƒ Data Poisoning Attacks: Ein Angreifer könnte versuchen Trai-
            Technische Angriffe richten sich auf die Backend-Systeme oder                            ningsdaten für die benutzen KI-Systeme vorab zu manipulie-
         einzelne ihrer Komponenten, auf die Datenübertragung (Man-                                  ren oder eigene einzuschleusen und das Verhalten der Systeme
         in-the-Middle-Angriffe und Angriffe gegen die Verschlüsselung),                             in seinem Sinne zu beeinflussen. Aufgrund der vielen Daten
         oder auf das Benutzergerät des realen Benutzers. Dabei sind die                             und der mangelnden Transparenz sind diese Angriffe meist
         Angriffe nicht auf den Einsatz dieser Assets beschränkt, sondern                            schwer detektierbar.
         auf den gesamten Life Cycle. Z.B. kann ein Angreifer versuchen,                          ƒ Model Stealing Attacks: Angreifer extrahieren die Funktiona-
         bereits den Software-Entwicklungsprozess anzugreifen und so                                 lität des Modells. Dabei werden Informationen über die Struk-
         eine Backdoor in eine Komponente vor deren Nutzung einzu-                                   tur des Modells, z. B. relevante Entscheidungsparameter, extra-
         schleusen. Zunehmend werden für die Backendsysteme moderne                                  hiert oder die Funktionalität des angegriffenen Modells (nähe-
         KI-Systeme genutzt, die anfällig gegenüber qualitativ neuartigen                            rungsweise) kopiert. Ziel ist die Vorbereitung anderer Angrif-
         Angriffen, die wir analog zu [6] KI-spezifische Angriffe nennen.                            fe, die die Kenntnis dieses Modells erfordern.
            Diese Angriffe sind z. T. bereits durch legitime Anfragen an das                      Bei prozeduralen / prozessorientierten Angriffe versucht der An-
         KI-Modell, d.h. durch die “normale” Nutzeraktion mit dem Ba-                             greifer / Betrüger den Identitätsnachweisprozess an sich zu kom-
         ckend, möglich. Die für Remote-Identifizierungsverfahren rele-                           promittieren, indem er die legitime Identität einer anderen Person
         vantesten Angriffe dieser Art sind:                                                      (z. B. durch Deep Fakes) vorgibt, durch Social Engineering An-
         ƒ Evasion/Adversarial Attacks: Durch eine Manipulation von                               griffe, durch das Ausnutzen konkreter Prozessfehler bis hin durch
            Eingabedaten verleiten Angreifer das KI-Modell im Betrieb zu                          das Zwingen einer anderen Person, eine Identifizierung durch-
            vom Entwickler nicht vorgesehenen Ausgaben bzw. Aktionen.                             zuführen. Dies kann in Form von körperlicher Gewalt, physische

                                                                                                                                       springer.com/informatik

          Strategien in der Informationstechnik
                              T. Hertfelder, P. Futterknecht                                                         V. Johanning
          Jetzt     bestellen Der
                              aufERP-Irrglaube
                              Wie  Sie
                                                    im Mittelstand
                                     springer.com/shop             oder
                                       als Entscheider das Thema ERP                           in Ihrer              IT-Strategie
                                                                                                              Buchhandlung
                                                                                                                     Die IT für die digitale Transformation in der
                              zum Erfolg führen                                                                      Industrie fit machen
                                       2019, XI, 188 S. 100 Abb. Book + eBook. Brosch.                                           2., Akt. u. erw. Aufl. 2019, XV, 312 S. 149 Abb.,
                                       € (D) 39,99 | € (A) 41,86 | *CHF 44.50                                                    36 Abb. in Farbe. Book + eBook. Geb.
                                       ISBN 978-3-662-59142-0                                                                    € (D) 39,99 | € (A) 41,86 | *CHF 44.50
                                       € 29,99 | *CHF 35.50                                                                      ISBN 978-3-658-26489-5
                                       ISBN 978-3-662-59143-7 (eBook)                                                            € 29,99 | *CHF 35.50
                                                                                                                                 ISBN 978-3-658-26490-1 (eBook)

          Ihre Vorteile in unserem Online Shop:
          Über 280.000 Titel aus allen Fachgebieten | eBooks sind auf allen Endgeräten nutzbar |
          Kostenloser Versand für Printbücher weltweit
          € (D): gebundener Ladenpreis in Deutschland, € (A): in Österreich. * : unverbindliche Preisempfehlung. Alle Preise inkl. MwSt.

          Jetzt bestellen auf springer.com/informatik oder in der Buchhandlung
A85544

         464                                                                                                             DuD • Datenschutz und Datensicherheit              7 | 2021
SCHWERPUNKT

Gewalt gegen Angehörige, Erpressung, etc. erfolgen. Die Szena-        ler Ebene anerkannt und bieten eine der Anwesenheit vergleich-
rien unterscheiden sich hinsichtlich der Schwierigkeit, den An-       bare Sicherheit.
griff durchzuführen und den dazu benötigten Ressourcen, was              Hierzu fehlten in Deutschland bisher an automatische Remote-
bei der Risikobewertung im Einzelfall zu berücksichtigen ist.         Identifizierungsverfahren angepasste Prüfkriterien.
   Neben vorsätzlichen Angriffen sind weitere Gefährdungen zu            Die Bundesnetzagentur hat Anfang April 2021 im Einverneh-
betrachten.                                                           men mit dem Bundesamt für Sicherheit in der Informationstech-
ƒ Moderne KI-Systeme sind in der Lage, aus riesigen Datenmen-         nik (BSI) und nach Anhörung des Bundesbeauftragten für den
   gen zu lernen und auf diesen «Erfahrungen» basierend Ent-          Datenschutz und der Informationsfreiheit offizielle Kriterien für
   scheidungen «intuitiv» zu treffen. Das bedeutet, dass ein KI-      die automatisierte optische Identitätsprüfung (Identifizierung
   System nicht wie klassische Systeme nur detaillierte, vorab ge-    einer natürlichen Person unter Nutzung einer Videoidentifizie-
   schriebene Anweisungen ausführen, sondern in der Lage ist,         rung mit einem automatisierten Verfahren, [3]) vorgelegt. Bislang
   dynamische Lösungen für Probleme zu finden, die auf Korre-         gab es solche Kriterien lediglich für Video-Ident-Verfahren, bei
   lationen in den Daten basieren. Insbesondere weiterlernende        denen die Verifizierung durch einen menschlichen Prüfer, also
   Systeme entwickeln sich im laufenden Betrieb (eventuell auch       einen Live-Agenten, stattfindet. Grundlage für den neuen Krite-
   unvorhersehbar) kontinuierlich und selbstständig weiter. Selbst    rienkatalog ist das deutsche Vertrauensdienstegesetz, das die na-
   wenn ein KI-System nach Abschluss einer vorgegebenen Lern-         tionale Umsetzung der EU-weiten eIDAS-Verordnung in deut-
   und Testphase nicht mehr angepasst wird (also nicht mehr wei-      sches Recht darstellt [4]. Der nun von der Bundesnetzagentur und
   terlernt), kann sich die Betriebsumgebung (concept drift) und      dem BSI veröffentlichte Kriterienkatalog schreibt für die automa-
   damit sein Verhalten ggf. zum Schlechteren hin ändern.             tisierte Identitätsprüfung u.a. folgende Anforderungen vor.
ƒ Bei einigen KI-Methoden ist im Gegensatz zu klassischen Al-         ƒ Durchführung der Videoidentifizierung in Echtzeit und oh-
   gorithmen nicht mehr nachvollziehbar, wieso ein KI-System             ne Unterbrechung
   bei einer konkreten Fragestellung zu einer bestimmten Ant-         ƒ Ende-zu-Ende-Verschlüsselung der audiovisuellen Kommu-
   wort gelangt ist (Black-Box-Problem). Die Ansätze der künst-          nikation zwischen der zur Videoidentifizierung mit automa-
   lichen Intelligenz sind zudem mit bekannten Problemen der             tisiertem Verfahren genutzten IT-Technik und der zu identi-
   Statistik konfrontiert, so dass die von einem KI-System aus-          fizierenden Person
   gegebenen Resultate unter Umständen fehlerhaft sein können,        ƒ ausreichende Bild- und Tonqualität
   Scheinkausalitäten erzeugt werden oder es gar zu systemati-        ƒ geeignete Maßnahmen zur Überprüfung der Aktualität des
   schen Fehler kommt.                                                   Vorganges
ƒ Überdies sind die Systeme von der Qualität der Daten und Al-        ƒ ausschließliche Zulässigkeit von fälschungssicheren Identitäts-
   gorithmen abhängig. So können systematische Fehler in Daten           dokumenten mit prüfbaren Sicherheitsmerkmalen als Nach-
   oder Algorithmen (z.B. versteckte Einseitigkeiten [Bias], etwa,       weis
   wenn in Daten eine Bevölkerungsgruppe über- oder unterre-          ƒ geeignete Maßnahmen zur Verhinderung von Manipulation
   präsentiert ist) angesichts der Größe und Komplexität der ver-        bei Videobild, des ID-Dokumentes und der Person, insbeson-
   wendeten Daten oft nicht erkannt werden.                              dere durch technische Maßnahmen, die eine Interaktion der
                                                                         zu prüfenden Person mit dem IT-System bzw. eine dabei statt-
                                                                         findende Manipulation erkennbar machen
                                3 Rahmenbedingungen                   ƒ technische Maßnahmen zur Erkennung der Manipulation des
                                                                         Videobildes
Entsprechend ihrer großen Bedeutung hat die EU-Kommission             ƒ ausdrückliche Einwilligung der zu prüfenden Person zur Auf-
die elektronische Identifizierung als Voraussetzung der Nutzung          zeichnung des Identifizierungsprozess, ausführliche Daten-
von Vertrauensdiensten zu einem zentralen Element der “Verord-           schutzbelehrung
nung über elektronische Identifizierung und elektronische Ver-        ƒ Einhaltung der Speicherfristen nach eIDAS
trauensdienste (eIDAS)” (s. [5]) gemacht. Bevor Vertrauensdiens-      ƒ Schwärzung von für die Identifikation nicht erforderlichen
te genutzt werden können, muss der potenzielle Nutzer (der An-           Daten
tragsteller) eindeutig identifiziert werden. Nur somit kann sicher-   ƒ Mindestdauer von 15 Sekunden der (aufgenommenen) Video-
gestellt werden, dass Vertrauensdienste nur diejenigen Anwen-            sequenz
der erhalten, die dazu auch tatsächlich berechtigt sind. eIDAS de-    ƒ Möglichkeit der IT gestützten Auswertung der Anforderungen
finiert u.a. die Identifizierungs-Anforderungen, die Vertrauens-         an Aufzeichnung und Aufbewahrung sowie Freigabe
diensteanbieter mit dem höchsten Sicherheitsniveau – sogenann-        ƒ Meldung von Betrugsversuchen an die BNetzA
te qualifizierte Vertrauensdiensteanbieter – erfüllen müssen.         ƒ Bestätigung der Umsetzung dieser Anforderungen durch eine
   eIDAS sieht in Art. 24 vor, dass eine Identitätsprüfung vor           Konformitätsbewertungsstelle.
Ort durchgeführt werden muss oder eine der Vor-Ort-Prüfung            Die Identifizierung gilt nicht für das Ausstellen qualifizierter Zer-
gleichwertige Prüfung der Identität erforderlich ist. Ob eine Tech-   tifikate für die Website Authentifizierung und ist auf das Ausstel-
nologie diese Anforderungen erfüllt, wird von einer akkreditier-      len so genannte Ad-hoc Zertifikate beschränkt.
ten Konformitätsbewertungsstelle festgestellt. Auf diese Weise
kann die Identifizierung grundsätzlich durch persönliche Anwe-
senheit oder aus der Ferne (remote) mittels elektronischer Identi-
fizierungsmittel durchgeführt werden. Möglich sind auch ande-
re Identifizierungsmethoden, vorausgesetzt, sie sind auf nationa-

DuD • Datenschutz und Datensicherheit    7 | 2021                                                                                      465
SCHWERPUNKT

                 4 Herausforderungen hinsichtlich                        die Standards und Kriterien für die Zertifizierung vereinheit-
              Standardisierung und Zertifizierung                        lich werden, ein erstes Beispiel bilden hierfür die Bemühungen
                                                                         von ETSI ESI in der TR 119461. [9]
Tatsächlich lassen diese notwendigen und sinnvollen Anforde-
rungen aus [3] einen deutlichen Interpretations- und Gestal-
tungsraum, so dass im konkreten Fall einer Identifizierungslö-                                                                      5 Ausblick
sung weitere Detaillierungen notwendig sind. Insbesondere soll-
ten spezifischere Parameter für die Eignung und Angemessenheit         Im Vergleich zu bisherigen Standards im Umfeld der Identitäts-
von Maßnahmen vorgegeben werden. Damit stößt man zwangs-               prüfung und -nachweise ([7], [8]) erscheint das grundlegende
läufig auf das Problem der Verlässlichkeit der zur Automatisie-        Problem im Zusammenhang mit der automatisierten Identifizie-
rung genutzten Verfahren. Hier sind die Aspekte der automa-            rung zu sein, dass die dabei genutzten Techniken der künstlichen
tischen Erkennung von Manipulationsversuchen (z.B. Manipu-             Intelligenz bei weitem noch nicht so gut verstanden werden wie
lation des Videobildes und -tones) und der zeitlichen Aktuali-         klassische Techniken wie z.B. kryptographische Verfahren, Chip-
tät des Identifizierungsvorganges zu beachten. Diese setzen zu-        karten etc. Das Black-Box-Problem beeinflusst die IT-Sicherheit
nehmend auf moderne KI-Systeme, und für diese ist nach unse-           und das Vertrauen in das Identifizierungsverfahren maßgeblich.
ren obigen Betrachtungen (Abschnitt 2 und 3) im Kern offen, wie           Beispielsweise ist es bei komplexeren KI-Systemen häufig
eine entsprechende Sicherheit nachvollziehbar nachgewiesen wer-        schwierig Auswirkungen von möglichen Angriffen vom statis-
den kann. Es ist kaum vorstellbar, dass dieses ohne eine Zertifizie-   tisch bedingten Fehlverhalten der KI-Systeme zu unterscheiden,
rung entsprechend eines noch festzulegenden Standards denkbar          so dass ggf. Angriffe unerkannt bleiben oder es umgekehrt zu un-
ist. Auch aus Sicht des BSI (s. [6]) besteht ein Handlungsbedarf       berechtigten Alarmen kommt.
zur Entwicklung von Standards, technischen Richtlinien, Prüf-             Das Vertrauen in ein System, dessen Funktionsweise und ein-
kriterien und Prüfmethoden, um die Sicherheit für KI-Systeme           zelne Ausgaben bzw. Aktionen nicht vollständig verstanden oder
für kritische Anwendungskontexte (insbesondere den Kontext             erklärt werden kann, bleibt oft hinter dem Vertrauen gegenüber
der automatisierten Identifizierung) verlässlich zu bewerten und       einem menschlichen Kontakt zurück. Somit besteht Anlass zu der
technisch zu prüfen. Auch für weniger kritische Anwendungen            Sorge, dass KI-gestützte Verfahren, welche für »Deep Fakes« ver-
fehlen (mit wenigen Ausnahmen) Maßstäbe für die Sicherheit.            wendet werden, erfolgreicher zum Einsatz kommen als die Ver-
   Unabhängig von ggf. noch zu definierenden Einzelmaßnah-             fahren, welche für eine remote-Identifizierung verwendet werden.
men lassen sich für den übergreifenden Zertifizierungsprozess
bereits jetzt folgende Ansatzpunkte finden:
ƒ Eine Zertifizierung sollte durchgeführt werden, bevor das KI-                                                                       Literatur
   System in der Praxis zum Einsatz kommt.
                                                                       [1] Draft ETSI TS 119 461 V0.0.6d (2021-04), Electronic Signatures and
ƒ Das KI-System wird unter Umständen einige Zeit nach seiner
                                                                           Infrastructures (ESI); Policy and security requirements for trust service
   Inbetriebnahme den Kriterien der Zertifizierung nicht mehr              components providing identity proofing of trust service subjects, 2021.
   gerecht. Deshalb sollen KI-Systeme in regelmäßigen Abstän-          [2] REMOTE ID PROOFING Analysis of methods to carry out identity proofing
   den rezertifiziert werden.                                              remotely, ENISA, März 2021.
ƒ Andererseits sollte vermieden werden, das System nach jedem          [3] Vorläufige Anerkennung einer innovativen Identifizierungsmethode ge-
   Update oder jeder Weiterentwicklung rezertifizieren zu müs-             mäß § 11 Absatz 3 VDG, 01.04.2021.
   sen.                                                                [4] Vertrauensdienstegesetz (VDG), 18.07.2017.
ƒ Systemgrenzen, Detailgrad und Prüftiefe bei der Zertifizie-          [5] REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND
                                                                           OF THE COUNCIL of 23 July 2014 on electronic identification and trust
   rung und Rezertifizierung sollten sich an einer Risikoabschät-
                                                                           services for electronic transactions in the internal market and repealing
   zung des KI-Systems in seinem Anwendungsgebiet orientieren              Directive 1999/93/EC[6] Mandate M460: “Standardisation Mandate to
   – je höher die Kritikalität im Anwendungskontext eingeschätzt           the European Standardisation Organisations CEN, CENELEC and ETSI in
   wird, desto umfangreicher sollten der Detailgrad und die Prüf-          the Field of Information and Communication Technologies Applied to
   tiefe der Zertifizierung ausfallen.                                     Electronic Signatures”.
ƒ Um zudem auf technologische Weiterentwicklungen reagie-              [6] Sicherer, robuster und nachvollziehbarer Einsatz von KI, Bundesamt für
   ren zu können sollten die Zertifizierung ein dauerhaft offener          Sicherheit in der Informationstechnik, 2021.
                                                                       [7] Technische Richtlinie TR-03147 Vertrauensniveaubewertung von Ver-
   Prozess sein und beim Einsatz, Betrieb und Weiterentwicklung
                                                                           fahren zur Identitätsprüfung natürlicher Personen, Bundesamt für Sicher-
   des KI-Systems insbesondere die Aspekte der kontinuierlichen            heit in der Informationstechnik, 2021.
   Verbesserung berücksichtigt werden.                                 [8] ETSI TR 119 460 Electronic Signatures and Infrastructures (ESI); Survey of
ƒ Zudem ist es hilfreich, die Prüfverfahren zu dokumentieren,              technologies and regulatory requirements for identity proofing for trust
   sodass Erfahrungswerte gesammelt und neue Tendenzen und                 service subjects.
   Entwicklungen frühzeitig identifiziert werden können.               [9] ETSI TR 119 461 Electronic Signatures and Infrastructures (ESI); Policy and
ƒ Da die eIDAS Verordnung die europaweite Freizügigkeit von                security requirements for trust service components providing identity
   Identifizierungsdiensten ermöglicht, ist es geboten, dass auch          proofing of trust service subjects

466                                                                                        DuD • Datenschutz und Datensicherheit             7 | 2021
Sie können auch lesen