Die meisten Sicherheitsteams haben das Deepfake-Problem laut Amper bereits verstanden. Entscheidender sei jedoch, wie synthetische Medien inzwischen praktisch eingesetzt werden. Angreifer brechen die Annahme, der Eingabestrom sei authentisch, auf zwei sich ergänzende Weisen.

Zum einen ahmen sie echte Medien nach: Deepfakes und Stimmklone werden unter realen Bedingungen immer besser – bei kurzen Clips, mobiler Aufnahme, Kompression und unzureichendem Licht. Eine Prüfung, die nur auf einer schmalen visuellen Fläche beruht, ist damit zunehmend von falscher Akzeptanz bedroht. Zum anderen umgehen sie den Sensor vollständig: Bei Injection-Angriffen wird der Eingabestrom ersetzt, bevor er die Analyse erreicht. Da die Medien in diesem Fall keinen echten Aufnahmeweg durchlaufen mussten, können sie perfekt aussehen. Reine Wahrnehmungsabwehr sei daher notwendig, aber nicht ausreichend.

Ein Kernproblem der Deepfake-Erkennung ist laut Amper die Generalisierung: Detektoren, die unter kontrollierten Bedingungen gut abschneiden, verlieren unter realen Einsatzbedingungen oft an Leistung. Forscher der Purdue University bewerteten Erkennungssysteme anhand eines praxisnahen Benchmarks auf Basis der Political Deepfakes Incident Database (PDID). Diese enthält reales Vorfallmaterial von Plattformen wie X, YouTube, TikTok und Instagram – also Eingaben, die in derselben Weise komprimiert, neu codiert und nachbearbeitet sind, wie es Verteidiger im Produktivbetrieb sehen.

Die Detektoren wurden durchgängig mit Kennzahlen wie Genauigkeit, AUC und der Falschakzeptanzrate (FAR) bewertet. In Identitäts-Workflows ist die FAR laut Amper häufig die folgenreichere Größe, weil schon eine geringe Falschakzeptanzrate dauerhaften unbefugten Zugang ermöglichen kann. Die Ergebnisse zeigten zudem, dass die Leistung der einzelnen Detektoren stark auseinandergeht, sobald die Eingaben wie im Produktivbetrieb aussehen. Unter den im PDID-Benchmark untersuchten kommerziellen Systemen habe Incodes Deepsight bei rein visueller Deepfake-Erkennung die stärksten Resultate erzielt.

Amper betont jedoch, dass PDID nur die Robustheit der Medienerkennung an realem Vorfallmaterial misst – nicht aber Injection, Gerätekompromittierung oder vollständige Sitzungsangriffe. In der Praxis kombinierten Angreifer die Techniken: Ein hochwertiger Deepfake lässt sich erneut abspielen, ein solcher Replay lässt sich injizieren, und ein injizierter Strom lässt sich automatisiert skalieren. Selbst die besten Mediendetektoren könnten umgangen werden, wenn der Aufnahmeweg nicht vertrauenswürdig ist.

Auch menschliche Prüfung sei keine skalierbare Kontrolle gegen synthetische Medien, da geschulte Prüfer bei immer besseren generativen Modellen an ihre Grenzen stießen. Bei Injection-Angriffen könne eine Sitzung legitim wirken, während der Eingabestrom bereits zuvor ausgetauscht wurde – selbst ein Konsens mehrerer Experten könne dann nicht belegen, dass der Aufnahmeweg echt war.

Als Antwort beschreibt Amper das Modell hinter Incode Deepsight, das die gesamte Sitzung über drei Ebenen validiere: Wahrnehmung, Integrität und Verhalten. Entgeht ein hochwertiger Deepfake der Wahrnehmungsebene, könnten Integritäts- und Verhaltenssignale einen erfolgreichen Bypass dennoch verhindern; werden Medien injiziert, könne die Integritätsprüfung die Sitzung unabhängig vom Realismus der Pixel abweisen. Ziel sei festzustellen, ob ein echter Mensch auf einem vertrauenswürdigen Gerät in einer unverfälschten Echtzeit-Interaktion anwesend ist. Der Beitrag ist von Incode verfasst und gesponsert.