Mit der zunehmenden allgemeinen Verfügbarkeit von Deep Learning-Algorithmen müssen auch bisher als gut funktionierend geltende Sicherheits-Merkmale auf den Prüfstand. Das zeigt ein Angriffs-Szenario auf die klassischen PIN-Eingaben am Geldautomaten.

Kontrollgruppe sehr viel schlechter

Die modernen KI-Systeme funktionieren sehr gut, wenn es darum geht, nach einem Training mit ausreichend umfangreichen Datenmaterial Muster wiederzuerkennen. Sicherheitsforscher haben nun getestet, wie gut sich dies ausnutzen lässt, um PIN-Eingaben zu erraten, wenn man nur vage etwas von der Handbewegung erkennen kann. Die Ergebnisse dürften zumindest als beunruhigend angesehen werden.Ihr KI-System konnte die PIN-Eingaben immerhin in 41 Prozent der Fälle korrekt erraten, wenn der Nutzer den Blick auf seine Eingaben mit der zweiten Hand abschirmte. Dies dürfte in der Praxis ausreichen, um so manches Konto leerzuräumen. Kriminelle müssten hier nur noch einen Karten-Skimmer installieren und bräuchten sich nicht mehr darum zu kümmern, möglichst unauffällig auch Sensoren auf dem PIN-Pad unterzubringen - stattdessen würde eine unauffällige Knopf-Kamera über dem Geldautomaten ausreichen.Um ihre KI zu trainieren, richteten die Forscher eine Testumgebung ein, in der das Eingabefeld eines Geldautomaten nachgeahmt war. An diesem ließen sie 58 Personen aus allen Altersgruppen rund 5800 PIN-Eingaben tätigen, die von einer darüber angebrachten Kamera aufgezeichnet wurden. Für die Analyse der Bilddaten kam dann ein Rechner mit einem Intel Xeon E5-2670-Prozessor , 128 Gigabyte RAM und drei Tesla K20m-Karten zum Einsatz. Ein solcher ist angesichts der zu erwartenden Gewinne recht problemlos finanzierbar.Anhand der Haltung der Hände konnte die KI letztlich recht treffend bestimmen, welche Zahlen die Nutzer jeweils in dem Moment eintippten. Bei vierstelligen PINs kam das System am Ende auf eine Treffergenauigkeit der genannten 41 Prozent, bei fünfstelligen Kennungen blieben immerhin auch noch 30 Prozent. Um die Leistung der KI besser bewerten zu können, ließ man auch eine menschliche Kontrollgruppe aus 78 Teilnehmern die PINs erraten. Diese kamen lediglich auf eine Treffergenauigkeit von 7,92 Prozent.