Die Corona-Pandemie ist keine gute Zeit für die Spione bei Polizei, Geheimdiensten und Privatfirmen, die sich auf Gesichtserkennungsalgorithmen verlassen. Menschen, die sich maskiert in der Öffentlichkeit bewegen, sind von solchen Algorithmen praktisch nicht zu identifizieren. Nicht einmal Smartphones erkennen ihre Besitzer. Die müssen wie früher ihren PIN-Code eingeben, um das Handy zu entsperren.

Der Mund-Nasen-Schutz wurde in diesem Jahr somit zufällig zu einem ebenso einfachen wie effektiven Mittel gegen Gesichtserkennung. Doch die Pandemie wird irgendwann zu Ende sein, Gesichtserkennung wird bleiben. Die umstrittenen Algorithmen finden immer weitere Verbreitung, wir sind ständig von neugierigen Kameras umgeben. Nicht nur staatliche Behörden sammeln Fotos von Bürgern in großen Datenbanken, auch private Unternehmen saugen Nutzerbilder aus den sozialen Medien ab, etwa die US-Firma Clearview, die drei Milliarden mit Namen versehene Fotos gesammelt hat und damit ihre Algorithmen trainiert. Ihre Dienste bietet sie unter anderem den US-amerikanischen Polizeibehörden an.

Aktivisten und Aktivistinnen haben sich schon einiges einfallen lassen, um die Gesichtserkennungssysteme zu foppen: Sie tragen in der Öffentlichkeit Masken mit Fotos anderer Personen, tragen hässliche Pullover mit flimmernden Mustern, auf denen die Algorithmen dann fälschlich Gesichter erkennen, oder kleben sich Ornamente aus Schmucksteinen ins Gesicht, die ebenfalls die Algorithmen verwirren. Oder sie setzen gleich eine Maske des legendären englischen Widerständlers Guy Fawkes auf.

"Datenvergiftung" gegen Gesichtserkennung

"Diese Verkleidungen schützen dich nur dann, wenn du sie tatsächlich trägst", sagt der Informatikprofessor Ben Zhao von der University of Chicago. "Wir wollen dagegen die Computermodelle korrumpieren, die Gesichter erkennen. Und wenn man das richtig anstellt, dann muss man das nur einmal tun und ist für alle Zukunft sicher."

Zhao hat mit seinen Mitarbeitern und Mitarbeiterinnen einen Algorithmus namens Fawkes entwickelt, der Gesichtserkennungssoftware in die Irre führen soll. Das Verfahren ist eine Form von "Datenvergiftung": Um sich zu schützen, muss man alle Bilder, die man von sich online stellt, vorher mit dem Programm auf dem PC durch den Algorithmus schicken. Der Algorithmus von Fawkes verändert die Fotos auf subtile Weise. Das menschliche Auge erkennt kaum einen Unterschied, aber für den Computer sieht das Gesicht völlig anders aus.

Um zu verstehen, wie das funktioniert, muss man ein wenig über sogenanntes Deep Learning und die neuronalen Netze wissen, die hinter allen Gesichtserkennungsalgorithmen stecken. Diese Netze lernen aus sehr vielen Beispielen, Menschen oder andere Objekte auf Fotos zu erkennen. Sie bestehen aus mehreren Schichten künstlicher Neuronen, die zunächst nur zufällig miteinander verknüpft sind. Im Verlauf des Lernprozesses spezialisieren sich manche dieser Neuronen darauf, gewisse Merkmale in den Bildern zu identifizieren.

Das tun auch Menschen: Wir sind sehr gut darin, Gesichter zu erkennen, und auch wir suchen auf Fotos nach Merkmalen wie den Augen, der Nase, dem Mund, den Augenbrauen. Der Unterschied, den Fawkes ausnutzt: Die Merkmale, die das neuronale Netz herausbildet, sind andere als unsere. Es sind Strukturen in den Pixeln eines Bildes, die für uns keine Bedeutung haben. Und das kann man ausnutzen, um Fotos auf eine Weise zu verändern, die für den Computer dramatisch ist, aber für den Menschen kaum wahrnehmbar.

Ein bisschen Gwyneth Paltrow steckt in jedem Foto

Die Algorithmen zur Gesichtserkennung lokalisieren die entsprechenden Merkmale in einem Foto, verordnen sie als Koordinaten in einem hochdimensionalen Raum und fassen ähnliche Bilder zu einem Cluster zusammen. Kommt nun ein neues Foto eines Menschen dazu, dessen Gesichtsmerkmale zu den Koordinaten dieses Clusters passen, dann wird es als ein Foto dieser Person identifiziert – die Gesichtserkennung war erfolgreich.

Fawkes "vermischt" das Originalfoto mit einem Bild aus seiner Datenbank, zum Beispiel einem Porträt von Brad Pitt oder auch einem künstlich erzeugten Gesicht. Das menschliche Auge sieht immer noch die Person, aber der Computer sieht Brad Pitt (oder eine Mischung aus beiden) – die automatisierte Gesichtserkennung funktioniert nicht mehr.

So stellen sich die Entwickler die Anwendung ihres Tools vor:  "Sagen wir, eine Firma wie Clearview hat schon 100 Bilder von dir aus dem Internet geladen und die mit dem Label Christoph versehen", erklärt Ben Zhao. Nun muss man das System mit immer neuen Bildern überfluten, die mithilfe von Fawkes getarnt sind. Die landen alle an einem anderen Ort im Koordinatensystem. Irgendwann sei das Modell total verwirrt, sagt Zhao: "Es hat 100 Fotos von Christoph an einem Ort und 200 an einem anderen, und irgendwann verschiebt es die Definition von Christoph hin zu der neuen Mehrheit." Die Folge: Taucht nun ein neues, nicht getarntes Foto von Christoph auf, etwa von einer Überwachungskamera, dann kann das System ihn nicht mehr identifizieren.

Funktioniert das wirklich? Die New York Times fragte direkt bei Clearview nach. Der Chef der Firma, Hoan Ton-That, behauptet, sein System sei gegen die subtilen Veränderungen durch Fawkes immun. Im Gegenteil, man könne die Tarnsoftware dazu nutzen, das eigene System robuster zu machen. Und außerdem sei die Gesichtserkennung längst zu weit verbreitet: "In der Praxis ist es mit ziemlicher Sicherheit zu spät, eine Technik wie Fawkes zu perfektionieren und massenhaft zu installieren."

Gesichtserkenner sehen keine Bedrohung

Auf dieses Zitat angesprochen, zuckt Ben Zhao die Schultern. Zhao hält sein System, dessen Code im Internet frei verfügbar ist, für wasserdicht, weil es eine grundlegende Schwäche der neuronalen Netze ausnutze. "Wenn sie Fawkes wirklich knacken, haben sie ein unüberwindbar erscheinendes Problem beim Deep Learning gelöst", sagt Zhao.

Doch selbst wenn Fawkes wirklich so effektiv schützt, wie die Erfinder behaupten, könnten die Gesichtserkenner vermutlich weiterhin gut schlafen. Die Erfahrung mit anderen Datenschutzanwendungen, etwa E-Mail-Verschlüsselung oder Zwei-Faktor-Authentifizierung, zeigt: Selbst datenschutzbewusste Menschen setzen die Methoden nicht ein, wenn ihre Anwendung umständlich ist und sie sich jedes Mal aufs Neue dafür entscheiden müssen.

Zhao sieht letztlich zwei Möglichkeiten, wie man Fawkes massenwirksam einsetzen kann: Entweder ein soziales Netzwerk wie Facebook bietet das Tarnverfahren als Option beim Hochladen von Bildern an. Oder die Nutzer verwenden ein Browser-Plug-in, das bei jedem Fotoupload nachfragt, ob man Fawkes verwenden will. Persönlich bevorzugt er die zweite Variante, weil er den großen Firmen nicht vertraut.

Derzeit kämpft das System noch mit einigen Kinderkrankheiten. So hat es in der Anfangsphase dazu tendiert, Frauen plötzlich einen Schnurrbart zu verpassen und generell eine Art Geschlechtsumwandlung bei den Nutzern vorzunehmen. Das will man nun abgestellt haben. Aber bei manchen Bildern sehen die Gesichter selbst auf der niedrigsten Tarnstufe immer noch aus, als würde die Person unter einer Hautkrankheit leiden oder wäre gerade in eine Schlägerei verwickelt worden – auch eine Art der Tarnung, die so aber sicherlich nicht gewollt ist.