Die Gesichtserkennungstechnologie macht viele Lebensbereiche komfortabler. Die Menschen können ihre Identität jetzt auch ohne Passwort oder Fingerabdruck überprüfen. Diese Technologien ermöglichen es Massen von Menschen, Gebäude ohne Schlüssel zu betreten oder leicht durch die Flughafensicherheit zu kommen. Aber wie bei jeder anderen Technologie zum Schutz der Privatsphäre gibt es auch hier betrügerische Versuche, die auf den Mißbrauch der Gesichtserkennung mittels Spoofing abzielen.
Die Folgen eines erfolgreichen Gesichtserkennungs-Spoofing-Angriffs sind oft recht schwerwiegend. Hacker können sich unbefugten Zugang zu sicheren Gebäuden, Wohnungen oder Einrichtungen verschaffen. DieTäter können einfach ein- und ausgehen, ohne auch nur ein Schloss zu knacken. Die Folgen reichen von Diebstahl vertraulicher Daten bis zur Sabotage kritischer Systeme und Infrastruktur.
Erfahren Sie mehr über die häufigsten Gesichtserkennungs-Spoofing-Methoden und finden Sie heraus, was Sie tun können, um sie zu erkennen und zu verhindern.
Die zwei häufigsten Spoofing-Methoden der Gesichtserkennung
Wenn Gesichts-Spoofing stattfindet, geschieht dies gewöhnlich unter dem Deckmantel eines sogenannten Präsentationsangriffs. Das „Biometrics Institute“ beschreibt es als Gesichtserkennungs-Spoofing, das durch illegal erlangte biometrische Daten erfolgt: entweder direkt oder verdeckt durch einzelne Personen oder durch gehackte Systeme. Angriffe können auf zwei Arten erfolgen: Statische 2D- oder statische 3D-Angriffe.
Statische 2D-Präsentationsangriffe verwenden zweidimensionale Objekte wie Fotos, Papier oder Masken. Gesichtserkennungssysteme mit minimalen Sicherheitsvorkehrungen sind überraschend anfällig für gut produzierte 2D-Medien. Raffiniertere 2D-Angriffe verwenden Smartphone- oder Tablet-Bildschirme, um Bilder nacheinander aufblitzen zu lassen und so Live-Bewegungen nachzuahmen.
Statische 3D-Angriffe gehen noch einen Schritt weiter und verwenden gedruckte 3D-Masken, Skulpturen oder Gesichtsreproduktionen. Dies hilft, leistungsfähigere Erkennungssysteme zu überlisten, die auf vielen Gesichtsdatenpunkten oder sogar Bewegungen beruhen. Einige statische 3D-Angriffe stützen sich sogar auf Roboter, die einzigartige Gesichtsausdrücke erzeugen.
Statische 2D-Angriffe sind aufgrund der für 3D-Angriffe erforderlichen Technologie derzeit die gängigere Methode des Gesichtserkennungs-Spoofings.
Doch mit der Weiterentwicklung von Technologien wie 3D-Druck und Robotik müssen Organisationen Schutzmaßnahmen gegen beide Taktiken entwickeln.
Schutz vor Spoofing-Angriffen auf die Gesichtserkennung
Die meisten Anti-Spoofing-Methoden fallen unter den Begriff „Lebendigkeitserkennung“. Das Ziel der Lebendigkeitserkennung ist es, festzustellen, ob ein Gesicht „lebendig“ und echt oder eine falsche Reproduktion ist. Dies ist auf verschiedene Arten möglich.
Die Lidschlag-Erkennung ist eine der einfachsten – und doch effektivsten – Methoden zur Erkennung von Lebhaftigkeit. Die Reproduktion der einzigartigen Blinzelmuster eines authentifizierten Benutzers ist selbst mit fortgeschrittenen 3D-Präsentationsangriffen nahezu unmöglich. Bei der Lidschlag-Erkennung werden Muster beobachtet, die die Lidschlagintervalle und die durchschnittliche Zeit, in der die Augen des Benutzers geschlossen bleiben, miteinander verbinden. Wenn ein betrügerischer Benutzer nicht dieselben Merkmale aufweist, wird ihm der Zugriff verweigert.
Die interaktive Live-Gesichtserkennung geht noch einen Schritt weiter und bietet noch mehr Sicherheit. Anstatt sich auf unwillkürliche Bewegungen wie einen Wimpernschlag zu verlassen, veranlasst die interaktive Erkennung die Benutzer, bestimmte Gesichtsaktionen durchzuführen. Auch als Challenge-Response-Verfahren bezeichnet, müssen die Benutzer Dinge wie Nicken, Lächeln oder Kopfbewegungen ausführen. Kriminelle, die diese Aktionen nicht genau wie der authentifizierte Benutzer ausführen, werden kurzerhand zurückgewiesen.
3D-Kameras sind ein zuverlässiges und effektives Mittel, um Angriffe auf 2D-Präsentationen zu verhindern. 3D-Kameras erkennen Bilder mit präziser Pixeltiefe und erkennen so falsche 2D-Objekte mit Leichtigkeit. Dadurch werden selbst die raffiniertesten Smartphone-Gesichtsnachbildungen sowie Fotos und flache Masken wirkungslos.
Schließlich ist der aktive Blitz eine fortschrittliche und vielversprechende Technologie, die sowohl 2D- als auch 3D-Angriffe verhindert. Eine Kamera blitzt mit Licht auf das Gesicht und verwendet die Reflexion, um festzustellen, ob es sich um ein echtes Gesicht oder eine Reproduktion handelt. Smartphone-Bildschirme und Fotos reflektieren das Licht anders als echte Gesichter, was den aktiven Blitz zu einer wirksamen Technik macht. Ein Nachteil ist, dass die Umgebungsbeleuchtung einen Einfluss auf die Erkennungsgenauigkeit haben kann.
Mit Technologie die schlechten Absichten überlisten
Welche Technologie am besten geeignet ist, hängt vom jeweiligen Anwendungsfall ab. Benutzer von Banking-Apps wünschen sich in der Regel einen schnellen Zugriff, was z.B. eine Challenge-Response unpraktisch macht. Daher könnte ein aktiver Blitz geeigneter sein. Wenn sich die Gesichtserkennungskamera außerhalb eines Gebäudes oder einer Wohnung befindet, ist eine 3D-Kamera mit Blinzelerkennung eine gute Lösung.
Parallel zu den sich entwickelnden Technologien versuchen die Kriminellen jedoch auch immer neuere, fortschrittlichere Methoden der Gesichtserkennung, um Spoofing zu betreiben. Daher müssen Unternehmen verstehen, wie Angriffe auf 2D- und 3D-Präsentationen funktionieren, und die richtige Technologie für ihren Anwendungsfall wählen, um diejenigen mit bösen Absichten fernzuhalten.
