KI & Deep Fakes vs. Sicherheit: War‘s das dann mit der digitalen Identität?

Kaum ein Tag vergeht, ohne dass es beim Machine Learning oder der generativen KI keinen erheblichen Fortschritt gibt. Neben den neuen Möglichkeiten lauern reihenweise Gefahren – nicht nur bei der KI-Anwendung, sondern auch in betroffenen Bereichen wie der Identitätsfeststellung und der digitalen Identität. Ist digitale Identität noch sicher – oder schon jetzt Geschichte? Wir haben uns darüber mit Benny Bennet Jürgens, CEO und Gründer von Nect, unterhalten.

Herr Jürgens, worauf müssen sich Banken und Versicherungen im Hinblick auf Cyber-Sicherheit und digitale Identitäten einstellen?

Mittlerweile müssen sich Banken und Versicherungen auf die gleichen Gefahren einstellen, die uns auch im digitalen Alltag begegnen: Deep Fakes, Identitätsdiebstahl und die Ungewissheit, ob die Person am anderen Ende der Leitung auch die ist, die sie zu sein vorgibt. Gerade Geldwäsche spielt in diesem Sektor eine übergeordnete Rolle.

Das Risiko krimineller Aktivitäten steigt außerdem noch mit dem Digitalisierungsgrad der jeweiligen Bank.”

Die Lösung kann aber nicht sein, bei jeder wichtigen Interaktion vor Ort sein zu müssen – wir brauchen sichere, digitale Identifizierungslösungen.

Meinen Sie, Banken und Versicherer können dabei die Gefahren der KI umgehen?

Ja, das ist in jedem Fall möglich. Erstens ist es immer noch eine Herausforderung, Ausweisdokumente zu fälschen. Zweitens haben wir Methoden zum Verifizieren der Authentizität von Gesichtern und Dokumenten entwickelt, z.B. durch die Live-Nutzung der Smartphone-Kamera.

Die aktive Beteiligung des Nutzers in zufälligen Aufgaben erhöht dabei die Sicherheit und erschwert Live-Manipulationen.”

Maßnahmen wie die Überprüfung von Hologrammen und die Erkennung von Fotokopien steigern die Effektivität. Letztlich ist das Ziel dieser Verfahren der Sicherheitsstandard einer Vor-Ort-Kontrolle. Für die verschiedenen Methoden haben wir mittlerweile drei Patente angemeldet.

Sind dann klassische Verifizierungsverfahren nicht viel sicherer als innovative?

Klassische Verfahren sind wie ein alter Schlüssel; obwohl sie in der Vergangenheit gut funktioniert haben und ein gewisses Maß an Sicherheit geben, sind sie heutzutage zu umständlich. Sie passen nicht in das Schloss der Zukunft, wo alles schnell, effizient und auf Knopfdruck verfügbar ist. Dagegen sind digitale Identifizierungen wie eine smarte Türsperre: leichter zu bedienen und mindestens genauso sicher. Sie sind das Werkzeug, das wir brauchen, um die Türen für eine digitale Zukunft zu öffnen. Und dabei sicherzustellen, dass immer mehr Menschen hindurchgehen können.

Audio-Fakes kann man mittlerweile im Web in Echtzeit in erschreckend guter Qualität erzeugen. Video-Deep-Fakes haben auch schon eine beeindruckende Qualität erreicht. Kommt da Video-Ident jetzt nicht an seine Grenzen? Macht Video-Ident künftig überhaupt noch Sinn?

Statt die optische Prüfung zu begraben, müssen wir sie weiterentwickeln: Dank der niedrigen Einstiegshürde wird sie auch in Zukunft eine wichtige Rolle für den Erfolg von Online-Diensten spielen.”

Vor allem aber müssen wir uns bewusst machen, dass Callcenter-Mitarbeiter der Aufgabe mittlerweile nicht mehr gewachsen sind. KI arbeitet nachweislich genauer bei der Altersverifikation und kann einen biometrischen Abgleich des Gesichts mit dem des Ausweisdokuments vornehmen. Gleichzeitig entwickelt sich auch die Hardware weiter. Sogar bei der Face-ID-Funktion unserer iPhones haben durch Tiefensensoren aufgenommene Videos keine Chance.

Angriffe durch Maschinen bekämpft man eben am besten durch maschinelle Abwehrsysteme.”

Die Vorzüge von echtem menschlichen Service kann man dafür sinnvoller einsetzen, z. B. in der Kundenberatung.

Nun sind innovative Identverfahren, soweit ich weiß, nicht GwG-konform – und deshalb bei vielen Vorgängen von Banken nicht einsetzbar. Was macht die Umsetzung von fortschrittlichen Verfahren so schwierig?

Ja, in Deutschland sind innovative Identverfahren noch nicht GwG-konform, obwohl sie unserer Meinung nach sicherer sind als herkömmliche Verfahren.

Die Identifizierung beim Eröffnen eines Tagesgeldkontos in Spanien per Self-Service App hat mich kürzlich etwa zwei Minuten gekostet. In Deutschland würde ich vermutlich heute noch auf einen freien Service-Agenten warten.”

Das Eiltempo der Technologieentwicklung überfordert Gesetzgeber und Regulierungsbehörden oft, was dazu führen kann, dass neue, potenziell sicherere Methoden nicht sofort anerkannt werden. Dazu kommt, dass sie aufgrund ihrer Komplexität schwieriger zu überwachen sind, was ihre Anerkennung bei den Regulierungsbehörden beeinträchtigen kann. Cyberkriminalität schläft dagegen nicht. Wir müssen enger zusammenarbeiten, um für alle Bürger passende Lösungen anzubieten und die Sicherheit ihrer Daten weiterhin zu wahren. Wichtig dafür ist, dass Regulierungen in Zukunft technologieoffener sind.

Was haben Sie gegen die eID?

Die Idee der eID ist gut und ich begrüße auch die aktuellen Entwicklungen, an einer europaweiten Wallet zu arbeiten. Auch wir haben die eID in unsere Lösungen eingebunden und so den Online-Ausweis massiv in der Welt der Krankenkassen und Versicherungen verbreitet. Mir ist aber wichtig, dass erkannt wird, dass der Online-Ausweis nicht den ganzen Markt abdecken kann. Das ist ein systemisches Problem der eID. Zunächst schließt der Online-Ausweis pauschal Menschen aus, weil er nicht mit allen Endgeräten kompatibel ist. Eine weitere Herausforderung ist die PIN. Außerdem gibt es Personen, die weder einen deutschen Personalausweis noch einen elektronischen Aufenthaltstitel haben.

Interne Nutzungszahlen zeigen auch, dass Leute sich einfach lieber für andere Methoden entscheiden, wenn sie die Wahl haben, weil die Einstiegshürden niedriger sind.”

Zudem schützt auch die eID nicht zu 100 Prozent. Für die Welle an Verifizierungen, die uns in der Zukunft erwartet, brauchen wir komplementäre Lösungen.

Müssen wir künftig bei allen “digitalen Treffen” die Personen auf der anderen Seite zur Sicherheit verifizieren? Im geschäftlichen Bereich kann ich mir das vorstellen – aber auch im privaten?

In sicherheitsrelevanten Bereichen – insbesondere dem Banken- und Versicherungssektor – wird die Identifizierung vor jedem Videocall vermutlich Alltag werden.”

Da wäre es schade, wenn ich davor erst meinen Aktivierungsbrief suchen muss. Gleichzeitig entwickelt sich der Trend zu mehr Sicherheit auch im privaten Sektor: Viele Apps, die auf reale zwischenmenschliche Interaktionen abzielen, bieten bereits eine Verifizierungsfunktion an. Jedoch kann man diese noch leicht mit modernen Tricks überlisten. Andererseits finde ich auch „Überverifizierung“, wie es teilweise durch die EU-ID Wallet vorgesehen wird, falsch. Social-Media-Plattformen sollten aus vielen Gründen z. B. nicht gezwungen werden, die EU-ID Wallet anbieten zu müssen.

Wie werden Ihrer Meinung nach in Deutschland in fünf Jahren die Identitäten verifiziert? Welche Innovationen kommen?

Ich bleibe dabei: Es gibt gute Verteidigungsmethoden gegen digitale Angriffe und die optische Prüfung bietet eine hohe Nutzerakzeptanz und -zufriedenheit.

Der nächste sinnvolle und notwendige Schritt wird die Wiederverwendung von einmalig digital verifizierten Dokumenten sein.”

Wir sehen bei der Wiederverwendungsfunktion der Nect Wallet durch viele Millionen Menschen bereits große Erfolge in der Nutzerfreundlichkeit und Sicherheit.

Nur Offenheit für Innovation kann solche Lösungen in unserem Alltag etablieren. Gleichzeitig können wir so Cyberkriminalität mit ihren eigenen Waffen schlagen, statt einen Schritt zurückzugehen. Konkret bedeutet das die Einbindung von klugen Algorithmen in den Identifikationsprozess, die eine schnelle und sichere Online-Verifizierung ermöglichen.

Wenn klassische Video-Identifizierung um Tiefensensoren, fortgeschrittene Biometrie und elektronische Chips erweitert wird, werden viele erstmal skeptisch. Allerdings entwickeln sich KI-Technologien so rasant, dass wir die Forschung für eine sichere Biometrie bald schätzen werden.”

Herr Jürgens, vielen Dank für das Interview!aj