Authentifizierung per Stimme
Nur Spielerei?
Fortsetzung des Artikels von Teil 1
Lässt sich ein Stimmabdruck hacken?
Mitarbeiter der schweizerischen Fernsehsendung „Einstein“ haben Anfang 2020 versucht, einen biometrischen Stimmabdruck zu hacken. Ihr „Opfer“ war der Kundenservice einer großen Schweizer Bank, welche auf ihrer Website kommuniziert, dass sie biometrische Live-Stimmerkennung im Service einsetzt. Der Moderator erzeugte mit der Stimme einer Kollegin – mit ihrer Zustimmung – maschinell typische Gesprächsfetzen. Damit rief er die Bank an. Er bat mit der künstlich erzeugten Stimme seiner Kollegin um eine Auskunft zum Kontostand. Die Authentifizierungssoftware erkannte den Betrugsversuch und informierte den Call-Center-Mitarbeiter. Dieser stellte jedes Mal eine neue Sicherheitsfrage – zum Beispiel nach dem letzten Kontostand und nach dem vollständigen Namen. Diese Informationen fehlten jedoch dem vermeintlichem Betrüger. Nach mehreren erfolglosen Versuchen gab das Fernsehteam schließlich auf. Es war ihnen nicht gelungen, die Stimmidentifizierung zu hacken. Das Beispiel zeigt: Bei der Authentifizierung während des Gesprächs ist ein Hack nach heutiger Technik unmöglich. Die stimmbiometrische Authentifizierung ist ein Prozess, der von einem Zusammenspiel von Faktoren abhängt, nicht von festen Informationen, die sich ein Betrüger beschaffen kann. Somit kann eine Stimme auch nicht „geklaut werden“, etwa indem jemand eine unerlaubte Aufzeichnung anfertigt.
Künstliche Intelligenz als Gefahr für den biometrischen Stimmabdruck?
Beispiele sind Google Duplex oder Lyrebird: Google digitalisierte bereits Anfang 2018 die Stimme des Musikers John Legend. Mit Lyrebird kann jeder seine eigene Stimme synthetisieren und beliebige Sätze damit erzeugen. Für das menschliche Gehör klingen diese künstlichen Stimmen wie das Original. Die Software erkennt jedoch weitere Merkmale wie die Atmung, Besonderheiten des Kiefers, die Form des Rachens und seine Größe und die Form des Nasengangs. Diese typisch menschlichen Geräusche kann keine Maschine synthetisieren. Die Stimmidentifizierung erkennt, wenn sie fehlen.
Ist Stimmerkennung datenschutzkonform?
Bei biometrischen Daten handelt es sich nach Art. 9 der DSGVO um „besondere Kategorien personenbezogener Daten“, die eine ausdrückliche Einwilligung erfordern. Daher müssen Unternehmen vor dem Aufzeichnen eines Stimmabdrucks die Zustimmung des Anrufers einholen. Am einfachsten ist es, das Verfahren während eines Telefonats zu erläutern und dann zu fragen, ob der Kunde teilnehmen möchte. Wenn das Unternehmen zusätzlich das Verfahren, Dauer und Ort der Speicherung veröffentlicht, ist der Einsatz datenschutzkonform.
Im Vergleich zu anderen biometrischen Verfahren wie dem Fingerabdruck hat die Stimmbiometrie einen großen Pluspunkt für die Sicherheit: Datenverlust spielt beim Stimmabdruck keine Rolle. Würde ein Betrüger die Datenbank mit den Stimmprofilen veröffentlichen, hätte die Welt nur einzelne Zahlen- und Datenpakete, ähnlich den bereits erwähnten Hash-Werten. Diese sind nutzlos für Betrugsversuche oder um die Stimme der jeweiligen Person künstlich zu generieren. Im schlimmsten Fall könnte die Software den Anrufer nicht mehr eindeutig authentifizieren. Der jeweilige Kundenservice-Mitarbeiter müsste auf herkömmliche Methoden wie Passwörter oder Sicherheitsfragen zurückgreifen.
Christiane Liebe ist Projekteiterin bei Paulus Result
- Nur Spielerei?
- Lässt sich ein Stimmabdruck hacken?
- Stand der Technik: Von aktiver zu passiver Stimmauthentifikation
Lesen Sie mehr zum Thema
