Als Mark Zuckerberg sich im Herbst 2017 mit einer Videobotschaft auf Instagram an die Öffentlichkeit wandte, stockte der Netzgemeinde für einen Moment der Atem. „Stellt euch vor“, sagte der Facebook-Chef, „ich habe die Kontrolle über gestohlene Daten von Milliarden Menschen. Das verdanke ich Spectre. Er zeigte mir, dass derjenige die Zukunft der Welt bestimmt, der die Daten kontrolliert.“ In Windeseile verbreiteten Nutzer den Clip millionenfach in den sozialen Medien. Was sie nicht wussten: Das vermeintliche Geständnis war eine Fälschung. Dahinter steckten zwei Künstler und eine Softwareschmiede.
Seither reiben sich Populisten, Extremisten und Geheimdienstler die Hände. Denn mit Deepfakes, wie die täuschend echten Clips genannt werden, können sie die Massen bequemer und nachhaltiger belügen als jemals zuvor. Die mit künstlicher Intelligenz (KI) fabrizierten Videos und Tonaufnahmen sind kaum zu enttarnen und laufen im Netz wie geschnitten Brot. Datenfahnder verzweifeln.
Begonnen hatte der Spuk mit eher harmlosen manipulierten Filmszenen, in denen die Originaldarsteller ersetzt wurden. So tauchte Jim Carrey anstelle von Jack Nicholson in „Shining“ auf, und Bruce Lee vertrat in einer „Matrix“-Szene Keanu Reeves. Dann nutzten Kriminelle die Methode und erpressten Prominente mit gefälschten Pornovideos – teils mit Erfolg. Am gängigsten sind inzwischen jene Filmchen, bei denen bekannten Personen Worte in den Mund gelegt werden, die sie nie gesagt haben.
Was passiert, wenn uns ein ausländischer Staatschef in einem Deepfake den Krieg erklärt?
Star der Szene ist der Videohacker Crtl Shift Face. Seine Clips wurden bei Youtube rund 20 Millionen Mal angeschaut. „Im Schnitt brauche ich drei bis fünf Tage für ein Deepfake“, sagt der Slowake, der seinen realen Namen lieber geheimhält. Dabei gehe es ihm aber nicht um den Ruhm. Er wolle nur möglichst viele Menschen für die Fälschungen sensibilisieren und zeigen, wie gefährlich die Technik sei. „Fast jeder Smartphone-Besitzer kann heute mit Fakeapp und ähnlichen Programmen Deepfakes produzieren“, sagt Professor Martin Steinebach, Datenforensiker am Fraunhofer-Institut für Sichere Informationstechnologie (SIT), im Gespräch mit dem ARTE Magazin. Auch die Zutaten sind schnell besorgt: Je eine Videosequenz mit dem Original und dem Double reichen. Die App analysiert darin die Gesichter und gleicht deren Mimik online mit Fotos und Videos der zu ersetzenden Person ab. Dafür nutzt sie KI, die auf einem öffentlichen Server von Google gratis bereitsteht. Dieser sogenannte Deep-Learning-Vorgang (daher: Deepfakes) erkennt physische Merkmale umso besser, je mehr Daten vorhanden sind. Daran herrscht freilich kein Mangel: Allein auf der Videoplattform Youtube werden pro Minute rund 400 Stunden Material hochgeladen. Am Ende ersetzt die App die Originalperson durch die errechnete Figur – fertig ist die Fälschung.
Kriegserklärung per Deepfake
Mittlerweile gibt es Deepfakes sogar in Echtzeit. Die brasilianische Softwareschmiede Huia zeigte kürzlich einen Skype-Videochat, bei dem ein Teilnehmer aussah wie der populäre TV-Moderator John Oliver. „Nur bei der Imitation der Stimme gab es noch Probleme“, räumte Huia-Entwickler Alessandro Cauduro im Magazin Medium ein. Doch diese Hürde ist jetzt überwunden: Der chinesische Technologiekonzern Baidu hat eine KI-Software entwickelt, die laut Unternehmensangaben „jegliche menschliche Stimme reproduzieren kann, sobald sie eine Minute lang das Original gehört hat“.
So faszinierend die Möglichkeiten klingen – die damit verbundenen Gefahren schüren berechtigte Ängste. „Was passiert, wenn in den Social-Media-Kanälen ein täuschend echtes Deepfake auftaucht, in dem uns ein ausländischer Staatschef den Krieg erklärt?“, fragte die Abgeordnete Yvette Clarke unlängst im US-Repräsentantenhaus, als sie einen Gesetzesentwurf zur Kennzeichnungspflicht manipulierter Videos vorstellte. Niemand hatte eine Antwort parat. Das Kriegsszenario erscheint zwar abwegig, aber Clarke ist überzeugt, dass Deepfakes eine reale Bedrohung für die Demokratie sind. „Auch im Wahlkampf 2020 werden sie wohl zum Einsatz kommen“, fürchtet die New Yorkerin.
Nicholas Diakopoulos und Deborah Johnson vom Nieman Lab der Harvard University warnen ebenfalls davor, dass Deepfakes als Propagandawerkzeug bei den US-Wahlen 2020 genutzt werden. In einer Präsentation entwarfen sie diverse Szenarien: vom Anschwärzen eines politischen Gegners über das Veröffentlichen eines gefälschten Videointerviews bis zur E-Mail mit manipulierten Ton- und Videoaufnahmen, die Kandidaten in Misskredit bringen sollen.
Adam Schiff, Vorsitzender des Geheimdienstausschusses im US-Kongress, nahm die Präsentation zum Anlass, um bei Social-Media-Konzernen anzufragen, wie sie gedenken, mit Deepfakes umzugehen. Ein Facebook-Sprecher quittierte den Erhalt des Schreibens und bat um Bedenkzeit; Google teilte mit, man wolle sich dazu gerade nicht äußern; Twitter ließ lediglich wissen, dass Deepfakes gegen die Nutzungsbedingungen verstießen.
Enorme Reichweiten
Wie real die Gefahr ist, zeigt ein Beispiel aus Kanada: Im Juni 2019 tauchten bei Youtube Deepfakes auf, in denen der Chef der Konservativen Partei und der Ministerpräsident der Provinz Ontario verunglimpft wurden – wenige Monate vor den Parlamentswahlen im Oktober. Obwohl viele Zuschauer die Clips für echt gehalten hatten, wurden sie nicht gelöscht, da der Urheber bei einer Befragung angab, es handele sich um Satire. Yves Cote, der ein Gremium der kanadischen Wahlkommission leitet, das illegale Online-Propaganda aufspüren und unterbinden soll, sieht sein Land derweil gut aufgestellt: „Wir haben den rechtlichen Rahmen geschaffen, um Urheber politisch motivierter Fälschungen juristisch zu belangen“, sagte er dem kanadischen TV-Sender CTV News. Doch das dürfte nur wenige Akteure abschrecken: Wer Deepfakes verbreitet, findet meist Mittel und Wege, um die Identität des Absenders zu verschleiern.
Auch in Europa beschäftigt das Thema die Sicherheitsexperten: Im deutsch-französischen IT-Sicherheitslagebild vom Mai 2019 warnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Agence nationale de la sécurité des systèmes d’information (ANSSI)davor, dass Deepfakes „große Auswirkungen auf demokratische Prozesse wie Wahlen haben und zur Diskreditierung öffentlicher Personen dienen können“. Mögliche Gegenmaßnahmen nennen weder BSI noch ANSSI.
Lisa-Maria Neudert, die im Rahmen der Studie „Computational Propaganda“ am Oxford Internet Institute die Bedrohungslage in Deutschland untersucht hat, schätzt die Situation harmloser ein. „Momentan droht eher Gefahr durch Cheapfakes: leicht veränderte Videos wie jenes, das die US-Politikerin Nancy Pelosi in angeblich betrunkenem Zustand zeigt.“ Der virale Erfolg solcher Clips zeige aber, so Neudert gegenüber dem ARTE Magazin, „dass schon simple Manipulationen enorme Reichweiten erzielen.“
Erbitterter Rüstungswettlauf
Unklar ist, ob und wann wirksame Mittel gegen Deepfakes verfügbar sein werden. DARPA, die IT-Forschungsabteilung des Pentagon, entwickelt derzeit zwar Algorithmen, die gefälschte Videos erkennen und markieren sollen. Das Budget sei aber mit 70 Millionen Dollar „viel zu gering“, lässt ein mit der Sache vertrauter Mitarbeiter, der anonym bleiben will, durchblicken. Es herrsche ein erbitterter Rüstungswettlauf, vergleichbar mit dem Kampf zwischen Virenprogrammierern und -jägern: „Die Fälschungen werden technisch immer raffinierter.“
Für die Mitarbeiter der AI Foundation in San Francisco ist das ein Ansporn: Deren Chef, der aus Bottrop stammende IT-Experte Lars Buttler, stellte 2018 die Software Reality Defender vor. Sie klinkt sich in Internetbrowser wie Chrome oder Firefox ein, untersucht Bild- und Videoinhalte und gleicht sie mit einer Datenbank ab. Sobald ein Deepfake entdeckt wird, schlägt sie Alarm. Einen Haken gibt es jedoch: Inhalte bei Facebook, Instagram oder Twitter bleiben außen vor, da die Daten dort stark komprimiert sind. Reality Defender erkennt sie daher nicht.
Eine Arbeitsgruppe des IT-Wissenschaftlers Amit Roy-Chowdhury an der kalifornischen Riverside University schlug einen anderen Weg ein. Anfang 2019 präsentierte sie ein Verfahren, das Bilder im Internet analysiert und Fälschungen mit hoher Treffsicherheit erkennt. Zudem liefert es Hinweise, an welchem Ort sie manipuliert wurden. Für Strafverfolger ein Indiz, um Fälschern auf die Schliche zu kommen. Zurzeit funktioniert die Technik nur mit Standbildern, kann aber für Videos adaptiert werden. Die Zuversicht einiger Kollegen, das Problem werde bald gelöst, hält der IT-Experte indes für unangebracht: „Eine automatische Erkennung von Deepfakes“, so Roy-Chowdhury, „wird es wohl auf absehbare Zeit nicht geben.“