Wie kann man mit künstlicher Intelligenz erzeugte Bilder erkennen?
Ob gefälschte Fotos oder manipulierte Videos: Dank künstlicher Intelligenz wird es immer einfacher, solche Deepfakes zu erzeugen. Für uns Menschen sind die KI-generierten Fälschungen jedoch kaum identifizierbar. Deswegen arbeiten Forschende an einer automatisierten Erkennung. Doch wie kommt man den Deepfakes auf die Schliche?
Mit den rasanten Fortschritten der künstlichen Intelligenz wird auch der Missbrauch dieser Technologien immer leichter. Längst sind täuschend echte Porträts nicht existierender Personen oder überzeugende Fotomontagen im Netz keine Seltenheit mehr, auch Videos mit manipulierten oder komplett künstlich generierten Inhalten kursieren in den Social Media. Diese Deepfakes haben Folgen für die betroffenen Personen, aber auch für Gesellschaft und Politik. Wie Deepfakes entstehen, was sie auszeichnet und wie man sie erkennen kann, daran forschen Wissenschaftler der Ruhr-Universität Bochum (RUB).
Täuschend echt
Wie Deepfakes unsere Wahrnehmung überlisten
Jeden Tag schauen wir unzähligen Menschen ins Gesicht. Die Fähigkeit, das Antlitz unserer Mitmenschen wiederzuerkennen und zu unterscheiden ist für unser Sozialverhalten entscheidend. Es ist sogar so wichtig, dass unser Gehirn spezielle Zentren für die Gesichtserkennung entwickelt hat und in ihm das Aussehen bestimmt, bekannter Menschen in jeweils eigenen Neuronen abspeichert: Ein Blick genügt und wir wissen, wen wir vor uns haben.
Gefälschte Fotos und Videos zuhauf
Doch diese Gewissheit schwindet im Zeitalter der digitalen Medien zunehmend. Denn Fotos und Videos auf dem Bildschirm zeigen heute längst nicht immer reale Abbilder der Wirklichkeit. Stattdessen werden Köpfe ausgetauscht oder ganze Personen in Szenen hineinmontiert. Dadurch lassen sich vermeintliche Beweisfotos von Situationen erzeugen, die es so nie gegeben hat. In Videos werden die Mundbewegungen der hineinmontierten Person dann digital so angepasst, dass man ihnen mithilfe einer Stimm-Imitations-Software nahezu beliebige Aussagen in den Mund legen kann.,
Trotz unserer hochentwickelten Gesichtserkennungs-Fähigkeiten wird es für uns immer schwieriger, solche Fälschungen zu erkennen. So gaukelte ein Deepfake im Sommer 2022 beispielsweise den Bürgermeistern der Städte Berlin, Madrid und Wien vor, dass sie in einer Videokonferenz mit Vitali Klitschko, dem Bürgermeister von Kiew, sprachen – was nicht der Fall war. Kurz nach Beginn des Ukrainekrieges kursierte zudem ein Video in den sozialen Medien, in denen in dem der ukrainische Präsident Wolodymyr Selenskyj die Niederlage im Krieg gegen Russland und die Kapitulation zu erklären schien. Auch das natürlich ein Deepfake.
Oft täuschend echt
YouTube ist voll von solchen Videos, die mal besser, mal schlechter gemacht sind. „Es ist schon noch viel Arbeit, aber wer will, der schafft es, zum Beispiel das Gesicht einer berühmten Persönlichkeit so gekonnt auf einen anderen Körper zu montieren, dass man es auf den ersten Blick nicht bemerkt“, sagt Jonas Ricker von der Ruhr-Universität Bochum (RUB). Er hat sich für seine Doktorarbeit an der Fakultät für Informatik auf gefakte Bilder spezialisiert. Im Mittelpunkt seiner Arbeit stehen allerdings nicht Videos, sondern Fotos.
„Bei älteren Verfahren kann man manchmal sehen, dass es Auffälligkeiten bei der Symmetrie gibt“, erklärt der Forscher. „Zum Beispiel sind verschieden aussehende Ohrringe verräterisch oder asymmetrische Brillengläser. Aber die Methoden werden immer besser, und Studien haben belegt, dass Menschen bei der Unterscheidung echter und gefälschter Bilder eher schlecht sind.“
Können Sie Deepfakes erkennen?
Wie perfekt die gefälschten, künstlich erzeugten Gesichter heute teilweise schon sind, demonstrieren gleich mehrere Projekte und Seiten im Netz. Ricker kann auf Anhieb mehrere Links aus dem Ärmel schütteln, unter denen man zum Beispiel Bilder von Personen anschauen kann, die nicht existieren, oder raten kann, ob das Bild einer gezeigten Person echt ist oder nicht.
Wer es selbst einmal ausprobieren möchte, kann seine Fähigkeiten zum Erkennen von Deepfakes beispielsweise auf der Website „Which Face is real“ der University of Washington auf die Probe stellen. Eine Abfolge fotorealistischer, aber komplett künstlich generierter Porträtbilder zeigt zudem die Seite „This Person does not exist“ – bei jedem Neuladen erscheint ein weiteres Fake-Gesicht.
Duellierende Netzwerke und verräterische Gitter
Wie entlarvt man Deepfakes?
Fortschritte der künstlichen Intelligenz machen es heute immer einfacher, Bilder und Videos zu fälschen und Deepfakes zu erzeugen. Die Bezeichnung für solche gefälschten, synthetisch erzeugten oder zusammenmontierten Aufnahmen zeigt an, dass sie mithilfe von „Deep Learning“ erstellt wurden, einer Variante des maschinellen Lernens.
Duo neuronaler Netzwerke perfektioniert die Fälschung
Ein Verfahren hinter der Erzeugung solcher Bilder nennt sich GAN für Generative Adversarial Networks. „Im Grunde sind solche Netzwerke immer zweigeteilt: Ein Teil generiert das Bild, ein anderer, der sogenannte Diskriminator, entscheidet, ob das generierte Bild echt aussieht oder nicht“, erklärt Jonas Ricker von der RUB. „Man kann sich das so vorstellen, als wäre der eine Teil ein Geldfälscher, der andere Teil die Polizei, die gefälschte von echten Banknoten unterscheiden muss.“
Diese Entscheidung trifft die künstliche Intelligenz auf der Basis vieler echter Bilder, die als Lerndatensatz in ihr Training einfließen. Am Anfang erzeugt der Generator dabei einfach zufällig irgendwelche Pixel. Im Verlauf lernt er durch die Rückmeldung des Diskriminators immer mehr, worauf es ankommt. Auch der Diskriminator wird immer besser darin, die Bilder des Generators von echten zu unterscheiden. Generator und Diskriminator trainieren sich quasi gegenseitig, was schlussendlich zu täuschend echten Bildern führt.
Wie kann man Deepfakes erkennen?
Entsprechend schwierig ist es, den Deepfakes auf die Spur zu kommen. Bei Videos prominenter Personen können charakteristische Bewegungsmuster bei der Erkennung von Fälschungen helfen, wie Forschende Anfang 2023 berichteten. Voraussetzung dafür ist allerdings, dass es von der fraglichen Person genügend Videomaterial gibt, um ein als Deepfake-Fahnder eingesetztes KI-System vorab entsprechend zu trainieren.
Bei Videos lässt sich auch der Puls des Menschen nutzen, um künstlich erstellte Personen zu identifizieren. So entwickelten Forschende 2020 ein KI-basiertes System, das anhand subtiler Veränderungen im Gesicht und der Haut das Pulsieren des Blutes erkennen kann. Hat ein im Video gezeigtes Gesicht dieses Signal, handelt es sich wahrscheinlich um einen echten Menschen, fehlt s hingegen, ist das Bild KI-generiert.
Verräterische Gittermuster
Eine weitere Möglichkeit, mittels GAN gefälschten Fotos auf die Spur zu kommen, stellte 2020 Rickers ehemaliger Kollege Joel Frank vor. Der Schlüssel liegt demnach in den sogenannten Frequenzen. Dabei werden Hell-Dunkel-Unterschiede und Bilddetails als Summe vieler verschiedener Kosinus-Funktionen ausgedrückt. Natürliche Bilder bestehen nach dieser Umwandlung größtenteils aus niederfrequenten Funktionen. Hohe Frequenzen können aber zum Beispiel bei Haaren vorkommen.
Wenn wir solche Bilder betrachten, nehmen wir die hohen Frequenzen meist nicht bewusst wahr. Ein Bild, bei dem hohe Frequenzen verändert wurden, sieht für uns daher fast genauso aus wie das originale Bild. Die Technik lässt sich aber nicht so leicht blenden: „Bei hohen Frequenzen gibt es bei GAN-erzeugten Bildern charakteristische Abweichungen von echten Fotos“, erklärt Jonas Ricker. Die hohen Frequenzen kommen bei künstlich erzeugten Bildern übermäßig häufig vor.
Dadurch wird in der Frequenzdarstellung von gefälschten Bildern beispielsweise eine typische Gitterstruktur sichtbar. „Unsere Experimente haben ergeben, dass diese Artefakte nicht nur bei GANs auftreten, sondern dass es sich um ein strukturelles Problem aller Deep-Learning-Algorithmen handelt“, erklärt Frank. „Die Frequenzanalyse ist somit ein effektiver Weg, computergenerierte Bilder automatisiert zu erkennen.“
Wie kommt man Diffusionsmodellen auf die Schliche?
Deepfakes aus dem Rauschen
Der Bochumer KI-Forscher Jonas Ricker beschäftigt sich in seiner Deepfake-Forschung mit einer speziellen Klasse von KI-Systemen zur Bilderzeugung, den sogenannten Diffusion Models. Während Generative Adversarial Networks (GAN) schon 2014 vorgestellt wurden, werden die Diffusionsmodelle erst seit etwa drei Jahren entwickelt und erforscht, mit herausragenden Ergebnissen.
Echt aussehende Bilder aus zufälligem Rauschen
„Das grundlegende Prinzip von Diffusion Models klingt zunächst verwunderlich“, sagt Ricker: „Ein echtes Bild wird Schritt für Schritt zerstört, indem zufälliges Rauschen hinzugefügt wird – daher der Name. Nach einigen hundert Schritten sind keine Bildinformationen mehr vorhanden, das Bild ist vollständig verrauscht. Das Ziel des Modells ist nun, diesen Prozess umzukehren, um das ursprüngliche Bild zu rekonstruieren – was ein schwieriges Problem darstellt.“
Der Schlüssel für die Generierung von Bilder nach diesem Verfahren liegt darin, das Bild nicht direkt vorherzusagen, sondern wie beim Verrauschen Schritt für Schritt vorzugehen. Mit einer ausreichend großen Anzahl an Trainingsdaten kann das Modell lernen, ein verrauschtes Bild ein kleines bisschen weniger verrauscht zu machen. Durch die wiederholte Anwendung lassen sich dann aus zufälligem Rauschen komplett neue Bilder erzeugen. „Ein Schwachpunkt dieser Methode ist die lange Laufzeit aufgrund der mehreren hundert Schritte“, schränkt Jonas Ricker ein. „Allerdings wurden schon Techniken zur Optimierung vorgestellt, und die Forschung macht ständig Fortschritte.“
Text-Bild-Generatoren für alle
Aufmerksamkeit haben die Diffusion Models vor allem durch die Text-zu-Bild-Generatoren erregt. Mit diesen lassen sich Bilder auf Basis einer Texteingabe erzeugen, mit erstaunlichem Detailgrad. Trainiert werden diese Modelle mithilfe unzähliger Bild-Text-Paare aus dem Internet. Sowohl diese Datensammlung als auch das eigentliche Training ist extrem rechen- und damit kostenintensiv. Bis vor kurzem waren daher nur große Unternehmen wie Google (Imagen) und OpenAI (DALL-E 2) imstande, diese Modelle in hoher Qualität zu trainieren – und die halten die Modelle weitestgehend unter Verschluss.
Mit „Stable Diffusion“ gibt es jedoch nun ein frei zugängliches Modell, das auf einer Open-Source-Software beruht und das auf dem eigenen Rechner laufen kann, vorausgesetzt der Computer verfügt über genug Leistung. Die Anforderungen sind jedoch mit einem Minimum von acht Gigabyte Grafikspeicher moderat. Noch einfacher geht es über Webseiten, auf denen man sich mithilfe von Stable Diffusion Bilder online erstellen lassen kann.
Stable Diffusion wird von einem Zusammenschluss mehrerer Forschungsgruppen und dem Unternehmen Stability AI vorangetrieben, beteiligt sind auch die Ludwigs-Maximilians-Universität München und der gemeinnützigen Forschungsverbund LAION. Er hat die bisher größte frei zugängliche Text-Bild-Datenbank für das Training von Text-zu-Bild-Generatoren erstellt, auf ihr beruht auch Stable Diffusion.
Hilfreich auch für die Deepfake-Erkennung
„Diese Modelle stehen nun Forschenden frei zur Verfügung, um ihre Stärken und Schwächen zu untersuchen, was eine weitere gemeinsame Entwicklung ermöglicht“, erklärt Jenia Jitsev vom ebenfalls an LAION beteiligten Jülich Supercomputing Centre. Gleichzeitig bietet der Open-Source-Bildgenerator Stable Diffusion Wissenschaftler auch die Chance, Software für die Deepfake-Erkennung gezielter auf diese Modelle und ihre Produkte abzustimmen.
Erschwerte Erkennung
Können kryptografische Wasserzeichen eine Lösung sein?
DALL-E, Impogen, Stable Diffusion und Co ermöglichen es, fotorealistische Bilder durch bloße Texteingaben zu erstellen – und auch Deepfakes können diese KI-Systeme erzeugen. „Es ist schon jetzt sehr gut in der Erzeugung täuschend echter Bilder und wird sich künftig noch verbessern“, erklärt Jonas Ricker von der Ruhr-Universität Bochum.
Universeller Detektor gesucht
Das macht es jedoch noch schwieriger, echte Bilder von den mit solchen KI-Systemen erzeugten zu unterscheiden. So klappt die Erkennung mithilfe der sogenannten Frequenzen bei den Erzeugnissen der Diffusionsmodelle weniger gut als bei Bildern der Generative Adversarial Networks (GAN). „Es gibt den Ansatz, die Reflexionen von Licht in den Augen für die Unterscheidung heranzuziehen – das klappt immerhin bei Bildern von Personen“, sagt Ricker. Der RUB-Forscher testet aktuell verschiedene Ansätze, die es erlauben, durch das Modell erzeugte Bilder von echten Fotos zu unterscheiden.
Doch ein universeller Detektor, der für alle möglichen GAN-Bilder funktioniert, funktioniert für diese Art von Bildern zum Beispiel eigentlich nicht – es sei denn, man stellt ihn durch ein gewisses Finetuning besser ein. Damit ist gemeint, dass man dem Detektor zusätzliche Trainingsdaten gibt, um die Detektion für die neuen Daten zu optimieren. So kann er lernen, die mittels Diffusion Model erzeugten Bilder korrekt zu unterscheiden. Wie zuverlässig das ist und wie die KI das genau macht, ist allerdings – wie bei vielen KI-basierten Prozessen – unklar.
Warum die Detektion von Deepfakes wichtig ist
Wichtig ist die Unterscheidung echter und gefälschter Bilder nicht nur, um Fake News zu enttarnen, die zum Beispiel als Video daherkommen, sondern auch, um Fake-Profile in Social Media dingfest zu machen. Sie werden in großem Stil eingesetzt, um zum Beispiel die öffentliche Meinung politisch zu beeinflussen. „Im Exzellenzcluster CASA geht es genau darum: Großskalige Angreifer wie Staaten oder Geheimdienste zu enttarnen, die über die Mittel verfügen, mittels Deepfakes Propaganda zu machen“, sagt RUB-Forscher Jonas Ricker.
Die Erkennung gefälschter Fotos hat auch strafrechtliche Relevanz, etwa wenn es um unfreiwillige Pornografie geht, bei der Gesichter von Personen auf die Körper von anderen montiert werden. „Ganz allgemein führt die Masse künstlich erzeugter Bilder zu einem Schwund an Vertrauen, auch in seriöse Medien“, so Jonas Ricker. „Letztlich wird jedes Bild dadurch verdächtig und auch verneinbar, sogar Bilder als Beweise vor Gericht.“
Kryptografisches „Wasserzeichen“ als Lösung?
Auch wenn Ricker daran arbeitet, dass gefälschte Bilder automatisch erkennbar werden, schätzt er, dass es letztlich auf etwas anderes hinauslaufen wird: „Ich glaube, am Ende wird es darum gehen, echte Bilder zu zertifizieren“, mutmaßt er. „Das könnte man sich zum Beispiel mit kryptografischen Methoden vorstellen, die schon in der Kamera des Fotografen eingebaut sein müssten und jedes echte Bild unzweifelhaft überprüfbar macht.“