Warum Spracherkennung kein sicherer Passwortersatz ist

Sobald der Bankkunde zum Telefon greift, verifiziert er seine Identität anhand der Stimme und kann seine Bankgeschäfte tätigen – ganz einfach und bequem. Es stellt sich allerdings die Frage, ob die Spracherkennung – genauso wie letztlich auch eine Buchstaben- oder Nummernkombination – geknackt werden kann? Die Salesforce-Mitarbeiter John Seymour und Azeem Aqil bejahen dies.

Ihnen gelang es, professionellen Stimmerkennungstools wie Apples Siri und Microsofts Cloud-Lösung Azure-Speaker-Recognition auszutricksen. Ganz einfach, indem sie ihre Stimmen mittels „Machine Learning“ synthetisch rekonstruierten. Beide Systeme fielen auf ihre Stimm-Täuschung rein und identifizierten die synthetisch erzeugten Stimmen als ihre eigenen.

Bist Du es wirklich? Wie synthetische Stimm-Nachbauten Sprach-Systeme überlisten

Wie Seymour und Aqil die Stimmerkennungssoftware mit ihren Stimm-Fälschungen überlisten konnten, demonstrierten die Sicherheitsforscher kürzlich bei der Hackerkonferenz Defcon. Um ein neuronales Netz aufzubauen, nutzten sie ein Text-to-Speech-Tool und fütterten das Programm mit Daten aus Open-Source-Sprachdatenbanken.

Anschließend ersetzten die Forscher den Datensatz durch nachbearbeitete Sprechproben des potenziellen Opfers – dessen Sprachfetzen sie verlangsamten und beschleunigten. So reichten ihnen vergleichsweise wenige und kurze Sprachproben, um die Stimmerkennungstools zu täuschen.

Deutsche Banken setzen auf Sicherheit

Auch in Deutschland sind Bankgeschäfte per Sprachassistent möglich – zumindest bis zu einem gewissen Grad. Beispielsweise die Deutsche Bank, Comdirekt und die Smartphonebank N26 bieten bereits seit längerem an, Überweisungen via Google-Sprachassistenten oder Siri vorzubereiten. Den letzten Schritt müssen Bankkunden hierzulande aber immer noch online tätigen – aus Sicherheitsbedenken.

„Technisch wäre es auch möglich, eine Überweisung ausschließlich per Sprache anzustoßen“, erklärt Matthias Hach, Vorstandsmitglied von Comdirect, gegenüber dem Handelsblatt. Die Freigabe über die Comdirect-App sei aber ein zusätzlicher Sicherheitsmechanismus, die Bank habe schließlich einen hohen Anspruch an die Sicherheit.

Vor diesem Hintergrund ist davon auszugehen, dass die komplette Abwicklung der persönlichen Bankgeschäfte mittels eigener Stimme zumindest in Deutschland noch Zukunftsmusik bleiben wird.