Netzkolumne: Gefahren der Gesichtserkennung: Wie man Algorithmen verwirrt

Neue Software versieht die eigenen Bilder im Netz mit einem Schutz gegen sammelwütige Gesichtserkennungssoftware.

Die Fotos, die uns tagtäglich im Internet begegnen, bilden die Realität immer weniger ab. Filter- und Retusche-Apps sind enorm populär, und bevor ein Selfie hochgeladen wird, wird wild weichgezeichnet, die Augenpartie automatisch vergrößert und Wangenknochen so lange korrigiert, bis das Resultat nur noch wenig Ähnlichkeit mit dem Porträtierten hat.

Ganz abgesehen davon, wie ästhetisch das alles ist, dürften die meisten verdrängen, dass das Hochladen jedes Bildes auch ein Kontrollverlust ist. Wer bekommt die Fotos zu sehen? Was wird mit ihnen passieren? So gut wie jeder kann sie speichern - und immer öfter werden sie auch von automatisierten Algorithmen dazu benutzt, um Gesichtserkennungssoftware zu trainieren.

Im vergangenen Jahr wurde etwa bekannt, dass das Unternehmen Clearview AI mehrere Milliarden Selfies aus öffentlich zugänglichen Quellen wie Facebook, Instagram oder Twitter dazu benutzt hat, um eine Gesichtsdatenbank zu erstellen, die dann an Polizeibehörden vermarktet wurde. Natürlich ohne die Nutzer zu informieren. Die Datenschutzbehörden waren hilflos, und das Unternehmen ignorierte Beschwerden. Mit der Website exposing.ai kann immerhin jeder Nutzer checken, ob seine Fotos verwendet wurden - allerdings gilt das nur für die Plattform Flickr.

Tatsächlich können Filter auch gegen Überwachung helfen. Die Universitäten von Chicago und Maryland haben nun zwei Software-Tools namens Fawkes und Lowkey entwickelt, mit deren Hilfe die Nutzer wieder ein bisschen Kontrolle zurückerhalten können. Die Programme versehen die Fotos mit Hintergrund-Artefakten, die KI-Modelle zur Bilderkennung in die Irre führen. Entweder können sie die Bilder nach Wiedervorlage nicht zuordnen, oder sie missachten sie ganz.

Für das menschliche Auge sind die wenige Pixel großen Störungen nicht zu erkennen. Mit der gleichen Technologie, Adversarial Attack genannt, kann man auch dem Autopiloten eines modernen PKWs weismachen, dass ein Stoppschild in Wahrheit besagt: "Tempolimit aufgehoben". "Ich habe einfach etwas dagegen, wenn Leute sich etwas nehmen, das ihnen nicht zusteht", sagt Emily Wenger, eine der Entwicklerinnen.

Data Poisoning, also Vergiftung, wird das Verfahren genannt

Die Idee ist nicht ganz neu. Mithilfe von Browsererweiterungen kann man schon seit Jahren Datenmüll erzeugen, um die Tracking-Netzwerke im Internet zu verwirren. Im Hintergrund klicken die kleinen Programme dann hundertfach auf Banneranzeigen oder besuchen zufällige Webseiten, um so eine Klassifizierung und Einordnung der Nutzer zu erschweren. Typischerweise braucht es für diese Art des Datenschutzes aber Tausende Nutzer, damit die Nonsens-Informationen wirken.

Data Poisoning, Vergiftung der Daten, nennen es die Forscher. Die vergifteten Selfies aber sind für jeden Einzelnen ein Mittel, wieder ein bisschen mehr Herr über seine Daten zu werden. Unter lowkey.umiacs.umd.edu und dev.scrb.ai können Nutzer die Störfeuer-Software selbst ausprobieren. Laut Angaben der Forscher sind sie gegen alle gängigen großen Bilderkennungsmodelle wirksam, etwa Amazons Rekognition oder Microsofts Azure-Plattform.

Auf lange Sicht werden vielleicht behördliche Regulierungen greifen, bis dahin nutzen Unternehmen wie Clearview die Schlupflöcher aus. "Es wird immer eine Lücke geben zwischen dem, was rechtlich zulässig ist, und dem, was die Leute tatsächlich wollen", sagt Emily Wenger. "Tools wie Fawkes füllen diese Lücke." Bis Ende April haben bereits mehr als eine halbe Million Nutzer ihre Software heruntergeladen.