Mit 3D-Gesichtserkennung die Cyberkriminalität bekämpfen
Heute ist das Risiko grösser, Opfer von Computerbetrug zu werden als eines Einbruchs oder Diebstahls auf der Strasse. Um einen besseren Datenschutz zu garantieren, hat das waadtländische Unternehmen "OneVisage" ein dreidimensionales Gesichtserkennungs-System entwickelt, das mit einem Smartphone funktioniert.
«Die Zahlen sprechen für sich: 2018 verursachten Computerbetrüge weltweit Verluste von mehr als 800 Milliarden Franken. In acht von zehn Fällen wurde dafür Identitätsdiebstahl betrieben, indem das User-Passwort geknackt wurde», sagt Christophe Remillet, Geschäftsführer und Gründer von «OneVisage»Externer Link in Lausanne.
«Leider hielten die IT-Sicherheitslösungen, besonders Identitätsauthentifizierungs-Lösungen, nicht mit der Entwicklung der digitalen Welt Schritt», so der Experte. «Die Kriminalität hat sich deshalb in die Cyberkriminalität verlagert, wo Betrüger und kriminelle Organisationen weniger wahrscheinlich in den Fängen des Rechtssystems landen.»
Diese Tendenz bestätigt auch die Melde- und Analysestelle InformationssicherungExterner Link (MELANI). Die Schweizer Regierung hatte diese Agentur 2004 ins Leben gerufen, um die Cyberkriminalität zu bekämpfen.
Ihre Halbjahresberichte werden mit jedem Erscheinen immer umfangreicher, ebenso wie die Liste der von Hackern entwickelten Angriffs-Tools. Es sind Hacker, die Internetbetrug als «Sport» betreiben, bösartige Akteure, die öffentliche Dienste und Infrastrukturen angreifen wollen, wie auch kriminelle Organisationen, die wie echte Unternehmen organisiert sind.
Weltpremiere
Nach einem Ingenieurstudium in Paris beginnt Remillet seine berufliche Laufbahn 1990 in der Schweiz. Er arbeitet bei verschiedenen internationalen Unternehmen. 2002 begibt er sich in die Welt der Start-ups, die in der Region Lausanne, die zum innovativen Wirtschaftsstandort des Genferseebogens gehört, auf besonders fruchtbaren Boden stossen.
In den Bereich der IT-Sicherheit gerät er ein wenig durch Zufall. «2013, als ich mich beruflich in den USA aufhielt, wurden innerhalb weniger Tage meine Kreditkarte und meine E-Mail gehackt. Mit meinem Hintergrund als Ingenieur entschied ich mich, nach Lösungen zu suchen, um meine digitale Identität besser zu schützen», erzählt er.
«Doch je mehr ich nachforschte, desto frustrierter wurde ich. Ich habe alles überprüft: Passwort, PIN-Code, biometrische Erkennungslösungen, dann basierend auf Fingerabdrücken oder dem Scannen der Iris, usw. Schliesslich kam ich zum Schluss, dass die Zukunft in der dreidimensionalen Gesichtserkennung liegt.»
Doch zu jenem Zeitpunkt gibt es kein einziges System dieser Art. Mit der Hilfe von Freunden registriert Remillet deshalb die Firma «OneVisage». Und 2014 beginnt er mit der Entwicklung der 3D-Gesichtserkennungs-Technologie in Zusammenarbeit mit der Eidgenössischen Technischen Hochschule Zürich und der Universität Basel – den beiden führenden Schweizer Hochschulen auf diesem Gebiet.
Der Poker ging auf, denn im Februar 2015 präsentierte das waadtländische Startup-Unternehmen auf dem Mobile World CongressExterner Link in Barcelona als erstes ein 3D-Gesichtserkennungs-System. Es basiert auf einer einfachen App und einer normalen RGB-Kamera auf einem Android-Smartphone. Die Technologie ist nicht auf spezifische Hardware angewiesen und kann auf Windows- und Linux-Plattformen eingesetzt werden.
Verbesserte Identifizierung
Die Gesichtserkennung hat den unbestreitbaren Vorteil, dass sie für alle zugänglich ist, weil dazu keine Sensoren oder spezielle Ausrüstung nötig sind. Dies im Gegensatz zu Fingerabdrücken oder irisbasierten Technologien. Und sie gilt auch als viel sicherer als die bisher verwendeten Systeme wie etwa Passwörter oder PIN-Codes.
«Es ist mehr als ein technisches Problem: Wir sind mit einem menschlichen Problem konfrontiert», sagt Remillet. «Momentan verwenden wir Dutzende von Passwörtern, um auf die verschiedenen Dienste zuzugreifen, die wir abonniert haben. Angesichts der Schwierigkeit, sich all diese Passwörter zu merken, wählen wir den einfachen Weg, oft mit Schlüsselwörtern, die leicht zu merken, kurz und simpel sind. Das vereinfacht die Arbeit der Hacker.»
Sogar die Authentifizierung per SMS hat sich noch bei weitem nicht als zuverlässig erwiesen. Es wird erwartet, dass diese mit dem Inkrafttreten der von der Europäischen Kommission genehmigten Zahlungsdienste-RichtlinieExterner Link (PSD2) in der Europäischen Union (EU) verschwinden dürfte. Diese Richtlinie verpflichtet Banken und Dienstleister, ab September die neuen Sicherheitsstandards SCA (Strong Customer AuthenticationExterner Link) anzuwenden.
In der Praxis müssen Online-Transaktionen mit dieser «starken Kundenauthentifizierung» durch mindestens zwei der folgenden drei Mittel authentifiziert werden: Wissen (Informationen, die nur der Benutzer kennt, z.B. ein Passwort), Besitz (Daten, über die nur der Benutzer verfügt, z.B. ein Smartphone oder ein PC) und eine persönliche Eigenschaft (ein Element, das diesen Benutzer charakterisiert, im Wesentlichen biometrisch).
Diese Gesetzgebung sollte also den Weg für die Identifizierung durch biometrische Daten ebnen. Doch die bisher eingesetzten biometrischen Lösungen, z.B. an Flughäfen, seien bereits an ihre Grenzen gestossen, sagt Remillet.
Die zweidimensionale Gesichtserkennung lasse sich leicht durch Fotobearbeitung, Video- oder Silikonmasken manipulieren. Und Fingerabdrücke liessen sich leicht von einem Smartphone oder einem anderen Objekt abnehmen, dann könne man sie kopieren, scannen und im Handumdrehen reproduzieren.
Mehr
Die besten Schweizer Startups 2018
Es geht um die digitale Identität
Im Gegensatz dazu könne die 3D-Gesichtserkennung nicht so einfach widerrechtlich angeeignet werden. «Angriffe mit Hilfe von Fotos oder Videos funktionieren nicht, weil die Sensoren nur eine ebene Oberfläche identifizieren. Sogar mit Silikonmasken, wie etwa im Film ‹Mission Impossible› benutzt, gelingt es nicht, das Authentifizierungssystem zu überlisten.» Nicht von ungefähr hat Apple die 3D-Gesichtserkennung als Zugangsmittel für seine neueste Generation von Handys eingeführt.
Laut Remillet aber wäre es extrem gefährlich – für Online-Zahlungen wie etwa Bankdienstleistungen –, die Authentifizierungssysteme der Firma aus Cupertino und anderer Informatik-, Telefonie- oder Social-Media-Riesen zu benutzen.
«Bereits heute verfügen sie über alle unsere Daten, kennen unsere Adressen, unsere Bewegungen, Konsumgewohnheiten und Dienste, zu denen wir Zugang haben», sagt Remillet. «Wir müssen wachsam sein. Diese grossen Unternehmen haben die Nutzerinnen und Nutzer an eine Logik der Einfachheit gewöhnt, aber Einfachheit bedeutet nicht Sicherheit.»
Das Ziel von «OneVisage» ist laut dem IT-Sicherheits-Spezialisten, «den Nutzern und ihren Zugangsanbietern durch eine saubere Lösung die Kontrolle über ihre digitale Identität zurückzugeben. Für eine Bank etwa wäre es brandgefährlich, ein Erkennungssystem der Mobiltelefon-Hersteller zu nutzen. Es wäre möglich, dass diese Unternehmen die Kontrolle über die Datenbank der Bank und die digitale Identität ihrer Kunden übernehmen könnten».
Es geht alle an
Das Waadtländer Unternehmen hat bereits mehrere Pilotprojekte und Partnerschaften mit einer Reihe von Firmen gestartet. Darunter mit dem in China ansässigen US-3D-Kamerahersteller Orbbec, dem Schweizer Digital-Identity-Provider Global ID und der französischen Bank Crédit Agricole.
«Wir sind noch ein junges Unternehmen in voller Entwicklung, das seine Produkte in Umlauf bringt. Ich glaube aber, dass sich viele Unternehmen angesichts der in letzter Zeit aufgetretenen Missbräuche der enormen Risiken in Bezug auf Datenschutz und Cybersicherheit bewusst werden», sagt Geschäftsführer Remillet.
«Ich bin überzeugt, dass die 3D-Gesichtserkennung fast alle Bereiche betreffen wird: von Finanz-, Regierungs- und Gesundheitsdienstleistungen über Unternehmen bis zum Verkehr, von Autos bis Flughäfen.»
Zwar entwickelt «OneVisage» neue Authentifizierungssysteme für verschiedene Branchen, doch der Weg für die Lausanner Firma und ihre jungen Mitarbeitenden ist nach wie vor schwierig, angesichts der Konkurrenz von Giganten mit riesigen Budgets wie Amazon, Facebook oder Alibaba.
«Ich glaube, man ist zum Unternehmensgründer geboren oder nicht. Um diesen Job zu machen, muss man auf seine Familie zählen können und ein paar schlaflose Nächte verbringen. Es gibt zahlreiche Schwierigkeiten, aber die Motivation ist gross. Wir sind hochmotiviert, einen bescheidenen Beitrag zu einer sichereren digitalen Welt zu leisten», betont Remillet.
«Wir lehnen eine digitale Zukunft ab, die von chinesischen oder amerikanischen Modellen diktiert wird, welche die personenbezogenen Daten der Userinnen und User monetarisieren und ohne Rücksicht auf deren Privatsphäre verwenden. Die Computersicherheit ist ein Thema, das alle betrifft und unserer Meinung nach Teil der Menschenrechte ist.»
(Übertragung aus dem Französischen: Christian Raaflaub)
In Übereinstimmung mit den JTI-Standards
Einen Überblick über die laufenden Debatten mit unseren Journalisten finden Sie hier. Machen Sie mit!
Wenn Sie eine Debatte über ein in diesem Artikel angesprochenes Thema beginnen oder sachliche Fehler melden möchten, senden Sie uns bitte eine E-Mail an german@swissinfo.ch