E-mail senden E-Mail Adresse kopieren

2021-08-20
Annabelle Theobald

Der Kampf um die Glaubwürdigkeit unserer Daten

CISPA-Forscher Prof. Dr. Mario Fritz forscht an Möglichkeiten, Deepfakes erkennbar zu machen.
Forschung

Wie können sich Menschen künftig noch eine Meinung bilden, wenn sie ihren Augen und Ohren nicht trauen können? Diese Frage wird in den nächsten Jahren an Brisanz gewinnen. Schon heute sind Computer in der Lage, menschliche Sprache zu imitieren und in großem Umfang Texte zu generieren, die wirken, als seien sie von einem Menschen verfasst. Künstliche Intelligenz (KI) kann Fotos und Videos so geschickt manipulieren, dass sie mit bloßem Auge nicht mehr als Fälschung erkennbar sind. „Wir müssen davon ausgehen, dass schon in naher Zukunft die Technologie hinter diesen sogenannten Deepfakes soweit entwickelt sein wird, dass diese auch die KI täuschen", sagt CISPA-Forscher Mario Fritz. Es liege in der Verantwortung von Forscher:innen und der Industrie, Methoden zu entwickeln, die reale und gefälschte Inhalte unterscheidbar machen. Fritz arbeitet mit seinem Team zurzeit unter anderem an digitalen Wasserzeichen und Fingerprints, die in die DNA von Fotos und Texten eingebaut werden und so ihre Entstehungsgeschichte deutlich machen.

Vor fast 200 Jahren wurde das erste beständige Foto der Welt entwickelt – und rund dreißig Jahre später gab es schon erste Techniken, um Aufnahmen zu manipulieren. Die Retusche ist also kein Phänomen der Gegenwart. Mit der elektronischen Bildbearbeitung hat sich seit den 1980er-Jahren der Aufwand für Bildmanipulationen bereits enorm verringert. Der eigentliche Gamechanger sind aber sogenannte GANs, die es seit 2014 gibt und die seitdem stetig weiterentwickelt werden. Die Abkürzung GAN steht für generative adversarial networks und beschreibt Machine-Learning-Modelle, die aus zwei miteinander konkurrierenden, künstlichen neuronalen Netzwerken bestehen. Während die Aufgabe des einen ist, Bilder oder Videosequenzen künstlich zu erzeugen, soll das andere die echten von gefälschten Daten unterscheiden können. Die beiden neuronalen Netzwerke wiederholen den Vorgang von Synthese und Klassifizierung der Daten immer wieder und lernen dabei voneinander. „Durch die Kopplung der beiden Algorithmen entstehen ganz neue Möglichkeiten“, sagt Fritz.

Mithilfe der GANs können die Fälschungen ihre manipulative Kraft auf großer Skala entfalten. Zudem lasse sich die Methode auch leicht auf andere Domänen übertragen, erklärt Fritz. Denn Fake-Bilder und -Videos erfahren zwar medial die größte Aufmerksamkeit, sind aber nicht der einzige Anwendungsbereich für die Technologie. Computergenerierte Texte könnten zum Beispiel schon bald Fake News im großen Stil erzeugen, die nicht von redaktionellen und von Menschen produzierten Inhalten zu unterscheiden sind. Damit ließen sich unsere gesellschaftlichen und politischen Diskurse beeinflussen und in eine bestimmte Richtung lenken. „Wenn in Zukunft die Authentizität von Daten generell in Frage steht, ergibt sich daraus ein substantielles Risiko für die Gesellschaft“, sagt Mario Fritz.

Die Technik birgt aber auch großes Potential. So können laut Fritz neben grafischen Spielereien mit den GANs zum Beispiel riesige Datensets produziert werden, die für das Training anderer KI eingesetzt werden können. So ließen sich künstlich zum Beispiel große Mengen von Bildern und Videosequenzen herstellen, die auch eher selten vorkommende Szenarien abbilden. Autonome Fahrzeuge könnten damit auch auf Unerwartetes vorbereitet und ihre Fehleranfälligkeit verringert werden.

Noch haben die Modelle aber einige Probleme. Eines davon ist: Füttert man sie mit bereits vorhandenen Daten, haben sie die Eigenschaft, aufgrund ihres Trainingsverfahrens selten vorkommende Daten weniger zu beachten oder sogar vollständig zu ignorieren. Unterrepräsentierte Minderheiten werden deshalb oft gar nicht mehr abgebildet und eine bereits bestehende Verzerrung durch die Modelle noch verstärkt. Mit Partnern unter anderem der University of Maryland hat der CISPA-Forscher deshalb eine Methode entwickelt, mit der das verhindert werden kann. 

Fritz rechnet damit, dass sich die Modelle in den kommenden Jahren stetig weiterentwickeln und immer häufiger zum Einsatz kommen werden. „Heute ist der Aufwand für das Training der komplexesten und effektivsten Modelle noch recht groß.“ Die Verfügbarkeit von Rechenleistung stellt also eine Hürde dar. Zudem sei einiges an Know-how nötig. Noch verhindert das, dass nicht mehr als solche zu erkennende Deepfakes von jedermann hergestellt werden können.  Und noch ist es zumindest in vielen Fällen möglich, mithilfe von KI die Deepfakes als solche zu erkennen. „Es ist aber wichtig, dass wir den Wechsel von passiven zu aktiven Verteidigungsmechanismen schaffen“, sagt Fritz.

Ein Ansatz seines Teams ist es daher, geheime Botschaften in Texte und Bilder einzuschleusen – eine Art digitales Wasserzeichen oder Fingerprint. Diese könnten bei der Synthese künstlicher Daten gleich mitproduziert werden oder später hinzugefügt werden. Sie verschwinden so in der tiefen Struktur von Bildern und Texten, dass sie nicht zu sehen sind. Mit einem Dekodierer lässt sich aber die geheime Botschaft ansehen und gibt nicht nur Aufschluss darüber, dass das Foto ein Deepfake ist. Sie könnte auch Informationen zum Urheber enthalten. „Wir testen noch, inwieweit sich die Zeichen verändern oder entfernen lassen. Bisher erreichen wir noch keine Sicherheitsgarantien, aber aktuellen Angriffen konnten die Methoden standhalten.“ Die erste Schlacht ist damit gewonnen. Der Kampf um die Authentizität der Daten ist aber noch in vollem Gange.