Ein Mann hält ein Smartphone in der Hand: Laut Experten können die Stimmerkennungstools geknackt werden.© Getty Images

Stimme statt Eingabe-Code?

Warum Spracherkennung kein sicherer Passwortersatz ist

Finanzinstitute sind Pioniere, wenn es um die sogenannte Sprachbiometrie geht. Die US-Bank Charles Schwab etwa ist davon überzeugt, dass die Stimme so einzigartig ist wie ein Fingerabdruck – und damit der perfekte Passwortersatz. Doch ist die eigene Stimme tatsächlich so unverkennbar?

Sobald der Bankkunde zum Telefon greift, verifiziert er seine Identität anhand der Stimme und kann seine Bankgeschäfte tätigen – ganz einfach und bequem. Es stellt sich allerdings die Frage, ob die Spracherkennung – genauso wie letztlich auch eine Buchstaben- oder Nummernkombination – geknackt werden kann? Die Salesforce-Mitarbeiter John Seymour und Azeem Aqil bejahen dies.

Ihnen gelang es, professionellen Stimmerkennungstools wie Apples Siri und Microsofts Cloud-Lösung Azure-Speaker-Recognition auszutricksen. Ganz einfach, indem sie ihre Stimmen mittels „Machine Learning“ synthetisch rekonstruierten. Beide Systeme fielen auf ihre Stimm-Täuschung rein und identifizierten die synthetisch erzeugten Stimmen als ihre eigenen.

Bist Du es wirklich? Wie synthetische Stimm-Nachbauten Sprach-Systeme überlisten

Wie Seymour und Aqil die Stimmerkennungssoftware mit ihren Stimm-Fälschungen überlisten konnten, demonstrierten die Sicherheitsforscher kürzlich bei der Hackerkonferenz Defcon. Um ein neuronales Netz aufzubauen, nutzten sie ein Text-to-Speech-Tool und fütterten das Programm mit Daten aus Open-Source-Sprachdatenbanken.

Anschließend ersetzten die Forscher den Datensatz durch nachbearbeitete Sprechproben des potenziellen Opfers – dessen Sprachfetzen sie verlangsamten und beschleunigten. So reichten ihnen vergleichsweise wenige und kurze Sprachproben, um die Stimmerkennungstools zu täuschen.

Deutsche Banken setzen auf Sicherheit

Auch in Deutschland sind Bankgeschäfte per Sprachassistent möglich – zumindest bis zu einem gewissen Grad. Beispielsweise die Deutsche Bank, Comdirekt und die Smartphonebank N26 bieten bereits seit längerem an, Überweisungen via Google-Sprachassistenten oder Siri vorzubereiten. Den letzten Schritt müssen Bankkunden hierzulande aber immer noch online tätigen – aus Sicherheitsbedenken.

Mehr zum Thema

Phishing & Co.

Warum Passwort-Manager die sicherere Alternative sind

Datencheck

Was weiß das Internet über mich?

Technische Lösungen

So surfen Kinder sicher im Internet

„Technisch wäre es auch möglich, eine Überweisung ausschließlich per Sprache anzustoßen“, erklärt Matthias Hach, Vorstandsmitglied von Comdirect, gegenüber dem Handelsblatt. Die Freigabe über die Comdirect-App sei aber ein zusätzlicher Sicherheitsmechanismus, die Bank habe schließlich einen hohen Anspruch an die Sicherheit.

Vor diesem Hintergrund ist davon auszugehen, dass die komplette Abwicklung der persönlichen Bankgeschäfte mittels eigener Stimme zumindest in Deutschland noch Zukunftsmusik bleiben wird.

Autorin:

Anette Bierbaum

Anette Bierbaum ist freie Redakteurin. Die gelernte PR-Fachfrau unterstützt seit über zehn Jahren Medienhäuser, PR-Agenturen und redaktionell geprägte Content-Plattformen.