Verlässliche Personenidentifizierung mittels Techniken der Künstlichen Intelligenz - Springer Link
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SCHWERPUNKT Christian Thiel, Christoph Thiel, Arno Fiedler Verlässliche Personenidentifizierung mittels Techniken der Künstlichen Intelligenz Künstliche Intelligenz hält zunehmend Einzug in unseren Alltag, auch die automatisierte Identifizierung natürlicher Personen wird davon erfasst. In diesem Artikel werden die dabei entstehenden Risiken erläutert und erste Vorschläge für die Zertifizierung geeigneter Sicherheitsmaßnahmen aufgezeigt. 1 Einleitung sie nicht mit dem Nawalny-Mitarbeiter, sondern mit einem Be- trüger, der sich für ihn ausgab. Im April 2021 haben unter ande- Leonid Wolkow ist kein Unbekannter. Als Stabschef des zurzeit rem die niederländischen Zeitungen »de Volkskrant«, der »Guar- in einem Straflager inhaftierten Kremlgegners Alexej Nawalny dian« und die »NL Times« berichtet, dass sich Politiker aus meh- hat er häufig Kontakt mit Medien und Politik, auch in sozialen reren Ländern von einem falschen Wolkow haben täuschen las- Netzwerken ist er sehr aktiv. Dennoch sind mehrere Politiker auf sen. Abgeordnete aus dem außenpolitischen Ausschuss der Nie- einen Betrug hereingefallen: In einer Videokonferenz sprachen derlande sowie Politiker aus Großbritannien und verschiedenen baltischen Staaten hatten demnach mit dem vermeintlichen Wol- Dipl. Wirtsch.-Ing. Arno Fiedler kow gesprochen und erst später gemerkt oder die Information er- halten, dass sie einem Betrüger aufgesessen waren. Der Geschäftsführer der Nimbus Weitere Aufmerksamkeit erhielten diese Medienberichte durch Technologieberatung GmbH ist seit die zunächst aufgestellte Behauptung, der falsche Wolkow sei ein 20 Jahren als Berater im Bereich des »Deep Fake« gewesen, ein durch Techniken der künstlichen Intel- Identitätsmanagement und der Ver- ligenz (KI) erzeugtes Gesicht mit der Mimik und Stimme des Na- trauensdienste aktiv und engagiert walny-Vertrauten, überzeugend genug, um in einer Videokonfe- sich ehrenamtlich als ETSI ESI Vice- renz von allen Teilnehmern als echt akzeptiert zu werden. Chair und als Vorstandsmitglied des Allgemeiner formuliert steht hinter Deep Fake, abgeleitet von Verbandes Sichere Digitale Identitäten e. V.. den Begriffen »Deep Learning« und »Fake«, die Möglichkeit, E-Mail: arno.fiedler@nimbus-berlin.com Bild-, Video- oder Audiodaten so zu manipulieren, dass biome- trische Merkmale wie Aussehen, Stimme oder auch charakteris- Prof. Dr. Christoph Thiel tische Gestik und Mimik von Personen täuschend echt imitiert werden. Auch wenn bisher kein Beweis veröffentlicht worden ist, Professor für sichere und zuverlässige dass der falsche Wolkow computergeneriert wurde – möglicher- Softwaresysteme an der Fachhoch- weise handelte es sich einfach nur um einen Doppelgänger, der schule Bielefeld, Standort Minden von Maskenbildnern „klassisch“ hergerichtet wurde – zeigen die- se Berichte, welche Qualität bereits heute Deep Fakes zugestan- den wird. Tatsächlich wird die rasante Entwicklung der KI ins- besondere im Bereich des Deep Learning dazu führen, dass Deep E-Mail: ct@thiel168.com Fakes immer realistischer und einfacher zu generieren sein wer- den. In Zukunft werden automatisiert hergestellte hochwertige Prof. Dr. Christian Thiel Fälschungen möglich und für jedermann zugänglich sein. Da- mit wird klar, welches destruktive Potential hinter Deep Fakes Dozent für Wirtschaftsinformatik, stecken kann: Prinzipiell können alle Attacken, die darauf basie- Institut für Informationsund Prozess- ren, dass sich ein Angreifer virtuell als eine andere Person aus- management gibt – zum Beispiel am Telefon, in einem Videochat oder einer FHS St. Gallen, Hochschule für An- Videokonferenz – durch die Deep Fake-Technologie vereinfacht gewandte Wissenschaften. und verstärkt werden. Dies gilt insbesondere auch für Angriffe gegen Verfahren der Remote-Identifizierung, die ohne die phy- E-Mail: christian.thiel@bluewin.ch 462 DuD • Datenschutz und Datensicherheit 7 | 2021
SCHWERPUNKT sische Präsenz der zu prüfenden Person auskommen und statt- ten, die verschiedenen Implementierungen abzustimmen und zu dessen remote mittels Videoübertragung durchgeführt werden. vergleichbaren Ergebnissen zu kommen. Zudem sollte eine regel- In den folgenden Abschnitten betrachten wir zunächst die mäßige Überprüfung der Risiken und ein Austausch von Sicher- grundlegenden Probleme und Risiken, die sich im Zusammen- heitsvorfällen zwischen den verschiedenen Akteuren die Kon- hang mit solchen Verfahren der Remote-Identifizierung ergeben. vergenz für Prozesse mit vergleichbaren Vertrauensstufen (s. Le- Wir diskutieren die aktuellen Rahmenbedingungen und Ent- vels of Assurance (LoAs), Artikel 8 aus [5]) weiter stärken. Eine wicklungen insbesondere hin zur automatisierten visuellen Iden- solche Risikoanalyse kann sich beispielsweise auf die ISO/IEC titätsprüfung bzw. des Identitätsnachweises. Die aktuellen Vorga- 27005 abstützen. Hinsichtlich konkreter Einzelrisiken müssen ben klären allerdings nicht, wie die Verlässlichkeit der automati- dabei spezifische Risikoszenarien für Verfahren der Remote- sierten Lösung bewertet werden kann. Implizit ist zumindest klar, Identifizierung betrachtet werden. In einem Button-Up-Ansatz dass es sich um KI-basierte Lösungen handeln wird. Wir betrach- bewegt man sich entlang der Phasen des Identitätsnachweisver- ten daher die Möglichkeiten und Herausforderungen hinsicht- fahren und identifiziert dort Bedrohungen gegen primäre und se- lich der Standardisierung und Zertifizierung solcher Lösungen. kundäre Assets (Vorgehen nach ISO/IEC 27005) sowie mögliche Schwachstellen / Verletzlichkeiten. Der wichtigste identifizierte Asset im Kontext der Identitäts- 2 Risiken prüfung ist der Identitätsprüfungsprozess selbst und alle im Rah- men dieses Prozesses verarbeiteten Nachweise. Verarbeitete und Die Zunahme des digitalen Marktes hat die Idee der Remote- gespeicherte Daten und Nachweise werden ebenfalls als primä- Identifizierung einer Person attraktiv gemacht, da die Remote- re Assets anerkannt. Beispiele für diese Assets sind private Daten Identifizierung auch jenen Kunden, die physisch weit entfernt des Antragstellers, Fotos (Scans), Videoaufzeichnungen, Daten, sind, den Zugang zu Identifizierungsdienstleistungen ermög- die der Antragsteller im Rahmen des Einleitungsprozesses über- licht. Während der COVID-19-Pandemiekrise wurde die Mög- mittelt hat, Daten, die der Antragsteller als Ergebnis erhält sowie lichkeit, eine Person ohne physische Anwesenheit zu identifizie- Identitätsnachweise. ren, sogar noch wichtiger, da die physische Anwesenheit nicht nur Der Identitätsnachweisprozess basiert zudem auf vielen unter- umständlich ist, sondern sogar gefährlich sein kann, oder ein- stützenden sekundären Assets, die ebenfalls berücksichtigt wer- fach nicht möglich ist, weil die Sicherheitsmaßnahmen zur Re- den sollten, insbesondere die für die Durchführung des Prozes- duzierung der Auswirkungen der Pandemie eingehalten werden ses verwendeten Computersysteme einschließlich Netzwerk und müssen. Die Möglichkeit des Remote-Identitätsnachweises för- Software, der Bedienerarbeitsplatz, ausgestattet mit Kamera und dert und erhöht die Möglichkeit elektronischer Transaktionen Sprachgeräten, der PC oder das mobile Gerät der zu prüfenden bei gleichzeitiger Sicherstellung der Gültigkeit der Identitäten der Person, Kommunikationskanäle, interne Datenbanken (z. B. Pro- beteiligten Transaktionspartner. tokolle, Archive), externe Register (z. B. Register gestohlener Aus- Die Verfahren der Remote-Identifizierung lassen sich unter- weisdokumente) und unterstützende Dienste von externen An- teilen in Verfahren, bei denen ein Live-Agent in Echtzeit mit der bietern (z. B. Zertifikatsvalidierungsdienst). zu prüfenden Person in einem Videochat verbunden ist und in Die für ein Identitätsnachweisverfahren spezifischen Risiken automatisierte Verfahren, bei denen in bzw. nach einer Video- fallen in zwei Hauptkategorien von Bedrohungen (vgl. [1]) näm- sitzung die Identität ohne Personaleinsatz, also unbeaufsichtigt lich: und automatisiert, überprüft und validiert wird. Entsprechend Gefälschte Nachweise: Ein Antragsteller behauptet eine falsche des Identitätsnachweisprozesses, wie er in [1] und in ähnlicher Identität unter Verwendung gefälschter Nachweise. Form in {2] skizziert wird, werden in beiden Fällen zusätzlich Identitätsdiebstahl: Ein Antragsteller verwendet gültige Nach- physische und / oder digitale Identitätsdokumente als Nachweis weise, die einer anderen Person zugeordnet sind. (Evidence) vorgezeigt. Der ersten Bedrohungskategorie wird durch Attribut- und Der Ansatz mit Live-Agenten kann zu einer schlechten Benut- Nachweisvalidierung begegnet, während der zweiten durch Bin- zererfahrung führen, wenn z.B. ein Kunde im Web-/Online-Ka- dung an den Antragsteller begegnet wird. nal warten muss, bevor er mit dem Agenten verbunden werden Die entlang des Identitätsnachweisprozesses identifizierten Ge- kann. Außerdem führt der Personaleinsatz zu erheblichen Kos- fährdungen (Bedrohungen und Schwachstellen) können dem- ten für den Anbieter. Automatisierte Verfahren erfordern aber nach folgenden Risikodimensionen zugeordnet werden. eventuell weitergehende Maßnahmen, um zusätzliche Risiken zu 1. Der Identitätsnachweisprozess kann durch gefälschte und/oder kompensieren. Gerade im digitalen Umfeld ist aufgrund des feh- manipulierte Nachweise (Evidenz) kompromittiert werden. lenden direkten persönlichen Kontakts und dem Wegfall der An- 2. Der Identitätsnachweisprozess kann durch die Verwendung reise die Hemmschwelle für Missbrauchsversuche herabgesetzt. von Nachweisen kompromittiert werden, die gekündigt, wi- Entsprechend wichtig ist es für Hersteller bzw. Betreiber ent- derrufen oder verloren/gestohlen wurden sprechender Services eine Risikobewertung durchführen, um si- 3. Der Identitätsnachweisprozess kann durch einen Betrüger cherzustellen, dass das Sicherheitsniveau dem Grad des Risikos kompromittiert werden, der die legitime Identität einer ande- angemessen ist, und um die Auswirkungen von Sicherheitsvor- ren Person vorgibt fällen zu minimieren. Derzeit gibt es in der aktuellen Literatur 4. Der Identitätsnachweisprozess kann durch Manipulation von nur wenige Quellen zu Bedrohungen und Schwachstellen bzw. Bilderfassungssystemen oder Übertragungskanälen (bei Re- Verletzlichkeiten und weitergehend zu Risiken hinsichtlich von mote-Identitätsnachweis) beeinträchtigt werden Verfahren der Remote-Identifizierung (s. [1], [2]). So empfiehlt [1] Um einzelne Risiken besser behandeln zu können empfiehlt es einheitliche Risikoanalysen, die systematisch durchgeführt wer- sich konkrete Gefährdungsszenarien zu beschreiben. Viele Sze- den sollten, um einen sicheren Nachweisprozess zu gewährleis- narien sind für jedes Identifikationsnachweisverfahren (sei es DuD • Datenschutz und Datensicherheit 7 | 2021 463
SCHWERPUNKT Vor-Ort beim Dienstleister, Online in Echtzeit mit einem Live- Das Modell selbst wird hierbei nicht verändert. Bereits gering- Agenten oder vollständig automatisiert) relevant. fügige Änderungen der Eingabedaten, die schwierig zu detek- Wir konzentrieren uns hier zunächst auf die spezifischen An- tieren und selbst für Menschen nicht unmittelbar erkennbar griffe auf automatisierte Identitätsnachweisverfahren. Diese las- sind oder von ihnen als irrelevant interpretiert werden, kön- sen sich in technische Angriffe und prozedurale / prozessorien- nen bedeutsame Auswirkungen haben. tierte Angriffe unterteilen (vgl. [1]). Data Poisoning Attacks: Ein Angreifer könnte versuchen Trai- Technische Angriffe richten sich auf die Backend-Systeme oder ningsdaten für die benutzen KI-Systeme vorab zu manipulie- einzelne ihrer Komponenten, auf die Datenübertragung (Man- ren oder eigene einzuschleusen und das Verhalten der Systeme in-the-Middle-Angriffe und Angriffe gegen die Verschlüsselung), in seinem Sinne zu beeinflussen. Aufgrund der vielen Daten oder auf das Benutzergerät des realen Benutzers. Dabei sind die und der mangelnden Transparenz sind diese Angriffe meist Angriffe nicht auf den Einsatz dieser Assets beschränkt, sondern schwer detektierbar. auf den gesamten Life Cycle. Z.B. kann ein Angreifer versuchen, Model Stealing Attacks: Angreifer extrahieren die Funktiona- bereits den Software-Entwicklungsprozess anzugreifen und so lität des Modells. Dabei werden Informationen über die Struk- eine Backdoor in eine Komponente vor deren Nutzung einzu- tur des Modells, z. B. relevante Entscheidungsparameter, extra- schleusen. Zunehmend werden für die Backendsysteme moderne hiert oder die Funktionalität des angegriffenen Modells (nähe- KI-Systeme genutzt, die anfällig gegenüber qualitativ neuartigen rungsweise) kopiert. Ziel ist die Vorbereitung anderer Angrif- Angriffen, die wir analog zu [6] KI-spezifische Angriffe nennen. fe, die die Kenntnis dieses Modells erfordern. Diese Angriffe sind z. T. bereits durch legitime Anfragen an das Bei prozeduralen / prozessorientierten Angriffe versucht der An- KI-Modell, d.h. durch die “normale” Nutzeraktion mit dem Ba- greifer / Betrüger den Identitätsnachweisprozess an sich zu kom- ckend, möglich. Die für Remote-Identifizierungsverfahren rele- promittieren, indem er die legitime Identität einer anderen Person vantesten Angriffe dieser Art sind: (z. B. durch Deep Fakes) vorgibt, durch Social Engineering An- Evasion/Adversarial Attacks: Durch eine Manipulation von griffe, durch das Ausnutzen konkreter Prozessfehler bis hin durch Eingabedaten verleiten Angreifer das KI-Modell im Betrieb zu das Zwingen einer anderen Person, eine Identifizierung durch- vom Entwickler nicht vorgesehenen Ausgaben bzw. Aktionen. zuführen. Dies kann in Form von körperlicher Gewalt, physische springer.com/informatik Strategien in der Informationstechnik T. Hertfelder, P. Futterknecht V. Johanning Jetzt bestellen Der aufERP-Irrglaube Wie Sie im Mittelstand springer.com/shop oder als Entscheider das Thema ERP in Ihrer IT-Strategie Buchhandlung Die IT für die digitale Transformation in der zum Erfolg führen Industrie fit machen 2019, XI, 188 S. 100 Abb. Book + eBook. Brosch. 2., Akt. u. erw. Aufl. 2019, XV, 312 S. 149 Abb., € (D) 39,99 | € (A) 41,86 | *CHF 44.50 36 Abb. in Farbe. Book + eBook. Geb. ISBN 978-3-662-59142-0 € (D) 39,99 | € (A) 41,86 | *CHF 44.50 € 29,99 | *CHF 35.50 ISBN 978-3-658-26489-5 ISBN 978-3-662-59143-7 (eBook) € 29,99 | *CHF 35.50 ISBN 978-3-658-26490-1 (eBook) Ihre Vorteile in unserem Online Shop: Über 280.000 Titel aus allen Fachgebieten | eBooks sind auf allen Endgeräten nutzbar | Kostenloser Versand für Printbücher weltweit € (D): gebundener Ladenpreis in Deutschland, € (A): in Österreich. * : unverbindliche Preisempfehlung. Alle Preise inkl. MwSt. Jetzt bestellen auf springer.com/informatik oder in der Buchhandlung A85544 464 DuD • Datenschutz und Datensicherheit 7 | 2021
SCHWERPUNKT Gewalt gegen Angehörige, Erpressung, etc. erfolgen. Die Szena- ler Ebene anerkannt und bieten eine der Anwesenheit vergleich- rien unterscheiden sich hinsichtlich der Schwierigkeit, den An- bare Sicherheit. griff durchzuführen und den dazu benötigten Ressourcen, was Hierzu fehlten in Deutschland bisher an automatische Remote- bei der Risikobewertung im Einzelfall zu berücksichtigen ist. Identifizierungsverfahren angepasste Prüfkriterien. Neben vorsätzlichen Angriffen sind weitere Gefährdungen zu Die Bundesnetzagentur hat Anfang April 2021 im Einverneh- betrachten. men mit dem Bundesamt für Sicherheit in der Informationstech- Moderne KI-Systeme sind in der Lage, aus riesigen Datenmen- nik (BSI) und nach Anhörung des Bundesbeauftragten für den gen zu lernen und auf diesen «Erfahrungen» basierend Ent- Datenschutz und der Informationsfreiheit offizielle Kriterien für scheidungen «intuitiv» zu treffen. Das bedeutet, dass ein KI- die automatisierte optische Identitätsprüfung (Identifizierung System nicht wie klassische Systeme nur detaillierte, vorab ge- einer natürlichen Person unter Nutzung einer Videoidentifizie- schriebene Anweisungen ausführen, sondern in der Lage ist, rung mit einem automatisierten Verfahren, [3]) vorgelegt. Bislang dynamische Lösungen für Probleme zu finden, die auf Korre- gab es solche Kriterien lediglich für Video-Ident-Verfahren, bei lationen in den Daten basieren. Insbesondere weiterlernende denen die Verifizierung durch einen menschlichen Prüfer, also Systeme entwickeln sich im laufenden Betrieb (eventuell auch einen Live-Agenten, stattfindet. Grundlage für den neuen Krite- unvorhersehbar) kontinuierlich und selbstständig weiter. Selbst rienkatalog ist das deutsche Vertrauensdienstegesetz, das die na- wenn ein KI-System nach Abschluss einer vorgegebenen Lern- tionale Umsetzung der EU-weiten eIDAS-Verordnung in deut- und Testphase nicht mehr angepasst wird (also nicht mehr wei- sches Recht darstellt [4]. Der nun von der Bundesnetzagentur und terlernt), kann sich die Betriebsumgebung (concept drift) und dem BSI veröffentlichte Kriterienkatalog schreibt für die automa- damit sein Verhalten ggf. zum Schlechteren hin ändern. tisierte Identitätsprüfung u.a. folgende Anforderungen vor. Bei einigen KI-Methoden ist im Gegensatz zu klassischen Al- Durchführung der Videoidentifizierung in Echtzeit und oh- gorithmen nicht mehr nachvollziehbar, wieso ein KI-System ne Unterbrechung bei einer konkreten Fragestellung zu einer bestimmten Ant- Ende-zu-Ende-Verschlüsselung der audiovisuellen Kommu- wort gelangt ist (Black-Box-Problem). Die Ansätze der künst- nikation zwischen der zur Videoidentifizierung mit automa- lichen Intelligenz sind zudem mit bekannten Problemen der tisiertem Verfahren genutzten IT-Technik und der zu identi- Statistik konfrontiert, so dass die von einem KI-System aus- fizierenden Person gegebenen Resultate unter Umständen fehlerhaft sein können, ausreichende Bild- und Tonqualität Scheinkausalitäten erzeugt werden oder es gar zu systemati- geeignete Maßnahmen zur Überprüfung der Aktualität des schen Fehler kommt. Vorganges Überdies sind die Systeme von der Qualität der Daten und Al- ausschließliche Zulässigkeit von fälschungssicheren Identitäts- gorithmen abhängig. So können systematische Fehler in Daten dokumenten mit prüfbaren Sicherheitsmerkmalen als Nach- oder Algorithmen (z.B. versteckte Einseitigkeiten [Bias], etwa, weis wenn in Daten eine Bevölkerungsgruppe über- oder unterre- geeignete Maßnahmen zur Verhinderung von Manipulation präsentiert ist) angesichts der Größe und Komplexität der ver- bei Videobild, des ID-Dokumentes und der Person, insbeson- wendeten Daten oft nicht erkannt werden. dere durch technische Maßnahmen, die eine Interaktion der zu prüfenden Person mit dem IT-System bzw. eine dabei statt- findende Manipulation erkennbar machen 3 Rahmenbedingungen technische Maßnahmen zur Erkennung der Manipulation des Videobildes Entsprechend ihrer großen Bedeutung hat die EU-Kommission ausdrückliche Einwilligung der zu prüfenden Person zur Auf- die elektronische Identifizierung als Voraussetzung der Nutzung zeichnung des Identifizierungsprozess, ausführliche Daten- von Vertrauensdiensten zu einem zentralen Element der “Verord- schutzbelehrung nung über elektronische Identifizierung und elektronische Ver- Einhaltung der Speicherfristen nach eIDAS trauensdienste (eIDAS)” (s. [5]) gemacht. Bevor Vertrauensdiens- Schwärzung von für die Identifikation nicht erforderlichen te genutzt werden können, muss der potenzielle Nutzer (der An- Daten tragsteller) eindeutig identifiziert werden. Nur somit kann sicher- Mindestdauer von 15 Sekunden der (aufgenommenen) Video- gestellt werden, dass Vertrauensdienste nur diejenigen Anwen- sequenz der erhalten, die dazu auch tatsächlich berechtigt sind. eIDAS de- Möglichkeit der IT gestützten Auswertung der Anforderungen finiert u.a. die Identifizierungs-Anforderungen, die Vertrauens- an Aufzeichnung und Aufbewahrung sowie Freigabe diensteanbieter mit dem höchsten Sicherheitsniveau – sogenann- Meldung von Betrugsversuchen an die BNetzA te qualifizierte Vertrauensdiensteanbieter – erfüllen müssen. Bestätigung der Umsetzung dieser Anforderungen durch eine eIDAS sieht in Art. 24 vor, dass eine Identitätsprüfung vor Konformitätsbewertungsstelle. Ort durchgeführt werden muss oder eine der Vor-Ort-Prüfung Die Identifizierung gilt nicht für das Ausstellen qualifizierter Zer- gleichwertige Prüfung der Identität erforderlich ist. Ob eine Tech- tifikate für die Website Authentifizierung und ist auf das Ausstel- nologie diese Anforderungen erfüllt, wird von einer akkreditier- len so genannte Ad-hoc Zertifikate beschränkt. ten Konformitätsbewertungsstelle festgestellt. Auf diese Weise kann die Identifizierung grundsätzlich durch persönliche Anwe- senheit oder aus der Ferne (remote) mittels elektronischer Identi- fizierungsmittel durchgeführt werden. Möglich sind auch ande- re Identifizierungsmethoden, vorausgesetzt, sie sind auf nationa- DuD • Datenschutz und Datensicherheit 7 | 2021 465
SCHWERPUNKT 4 Herausforderungen hinsichtlich die Standards und Kriterien für die Zertifizierung vereinheit- Standardisierung und Zertifizierung lich werden, ein erstes Beispiel bilden hierfür die Bemühungen von ETSI ESI in der TR 119461. [9] Tatsächlich lassen diese notwendigen und sinnvollen Anforde- rungen aus [3] einen deutlichen Interpretations- und Gestal- tungsraum, so dass im konkreten Fall einer Identifizierungslö- 5 Ausblick sung weitere Detaillierungen notwendig sind. Insbesondere soll- ten spezifischere Parameter für die Eignung und Angemessenheit Im Vergleich zu bisherigen Standards im Umfeld der Identitäts- von Maßnahmen vorgegeben werden. Damit stößt man zwangs- prüfung und -nachweise ([7], [8]) erscheint das grundlegende läufig auf das Problem der Verlässlichkeit der zur Automatisie- Problem im Zusammenhang mit der automatisierten Identifizie- rung genutzten Verfahren. Hier sind die Aspekte der automa- rung zu sein, dass die dabei genutzten Techniken der künstlichen tischen Erkennung von Manipulationsversuchen (z.B. Manipu- Intelligenz bei weitem noch nicht so gut verstanden werden wie lation des Videobildes und -tones) und der zeitlichen Aktuali- klassische Techniken wie z.B. kryptographische Verfahren, Chip- tät des Identifizierungsvorganges zu beachten. Diese setzen zu- karten etc. Das Black-Box-Problem beeinflusst die IT-Sicherheit nehmend auf moderne KI-Systeme, und für diese ist nach unse- und das Vertrauen in das Identifizierungsverfahren maßgeblich. ren obigen Betrachtungen (Abschnitt 2 und 3) im Kern offen, wie Beispielsweise ist es bei komplexeren KI-Systemen häufig eine entsprechende Sicherheit nachvollziehbar nachgewiesen wer- schwierig Auswirkungen von möglichen Angriffen vom statis- den kann. Es ist kaum vorstellbar, dass dieses ohne eine Zertifizie- tisch bedingten Fehlverhalten der KI-Systeme zu unterscheiden, rung entsprechend eines noch festzulegenden Standards denkbar so dass ggf. Angriffe unerkannt bleiben oder es umgekehrt zu un- ist. Auch aus Sicht des BSI (s. [6]) besteht ein Handlungsbedarf berechtigten Alarmen kommt. zur Entwicklung von Standards, technischen Richtlinien, Prüf- Das Vertrauen in ein System, dessen Funktionsweise und ein- kriterien und Prüfmethoden, um die Sicherheit für KI-Systeme zelne Ausgaben bzw. Aktionen nicht vollständig verstanden oder für kritische Anwendungskontexte (insbesondere den Kontext erklärt werden kann, bleibt oft hinter dem Vertrauen gegenüber der automatisierten Identifizierung) verlässlich zu bewerten und einem menschlichen Kontakt zurück. Somit besteht Anlass zu der technisch zu prüfen. Auch für weniger kritische Anwendungen Sorge, dass KI-gestützte Verfahren, welche für »Deep Fakes« ver- fehlen (mit wenigen Ausnahmen) Maßstäbe für die Sicherheit. wendet werden, erfolgreicher zum Einsatz kommen als die Ver- Unabhängig von ggf. noch zu definierenden Einzelmaßnah- fahren, welche für eine remote-Identifizierung verwendet werden. men lassen sich für den übergreifenden Zertifizierungsprozess bereits jetzt folgende Ansatzpunkte finden: Eine Zertifizierung sollte durchgeführt werden, bevor das KI- Literatur System in der Praxis zum Einsatz kommt. [1] Draft ETSI TS 119 461 V0.0.6d (2021-04), Electronic Signatures and Das KI-System wird unter Umständen einige Zeit nach seiner Infrastructures (ESI); Policy and security requirements for trust service Inbetriebnahme den Kriterien der Zertifizierung nicht mehr components providing identity proofing of trust service subjects, 2021. gerecht. Deshalb sollen KI-Systeme in regelmäßigen Abstän- [2] REMOTE ID PROOFING Analysis of methods to carry out identity proofing den rezertifiziert werden. remotely, ENISA, März 2021. Andererseits sollte vermieden werden, das System nach jedem [3] Vorläufige Anerkennung einer innovativen Identifizierungsmethode ge- Update oder jeder Weiterentwicklung rezertifizieren zu müs- mäß § 11 Absatz 3 VDG, 01.04.2021. sen. [4] Vertrauensdienstegesetz (VDG), 18.07.2017. Systemgrenzen, Detailgrad und Prüftiefe bei der Zertifizie- [5] REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust rung und Rezertifizierung sollten sich an einer Risikoabschät- services for electronic transactions in the internal market and repealing zung des KI-Systems in seinem Anwendungsgebiet orientieren Directive 1999/93/EC[6] Mandate M460: “Standardisation Mandate to – je höher die Kritikalität im Anwendungskontext eingeschätzt the European Standardisation Organisations CEN, CENELEC and ETSI in wird, desto umfangreicher sollten der Detailgrad und die Prüf- the Field of Information and Communication Technologies Applied to tiefe der Zertifizierung ausfallen. Electronic Signatures”. Um zudem auf technologische Weiterentwicklungen reagie- [6] Sicherer, robuster und nachvollziehbarer Einsatz von KI, Bundesamt für ren zu können sollten die Zertifizierung ein dauerhaft offener Sicherheit in der Informationstechnik, 2021. [7] Technische Richtlinie TR-03147 Vertrauensniveaubewertung von Ver- Prozess sein und beim Einsatz, Betrieb und Weiterentwicklung fahren zur Identitätsprüfung natürlicher Personen, Bundesamt für Sicher- des KI-Systems insbesondere die Aspekte der kontinuierlichen heit in der Informationstechnik, 2021. Verbesserung berücksichtigt werden. [8] ETSI TR 119 460 Electronic Signatures and Infrastructures (ESI); Survey of Zudem ist es hilfreich, die Prüfverfahren zu dokumentieren, technologies and regulatory requirements for identity proofing for trust sodass Erfahrungswerte gesammelt und neue Tendenzen und service subjects. Entwicklungen frühzeitig identifiziert werden können. [9] ETSI TR 119 461 Electronic Signatures and Infrastructures (ESI); Policy and Da die eIDAS Verordnung die europaweite Freizügigkeit von security requirements for trust service components providing identity Identifizierungsdiensten ermöglicht, ist es geboten, dass auch proofing of trust service subjects 466 DuD • Datenschutz und Datensicherheit 7 | 2021
Sie können auch lesen