Künstliche Intelligenz (KI) : Der richtige Umgang mit KI-generierten Inhalten

Wir erleben derzeit einen schnellen Zuwachs von digitalen Inhalten, die mittels Künstlicher Intelligenz (KI) erzeugt werden. Entweder werden sie neu erstellt, Textdateien etwa durch Large Language Models wie ChatGPT, Tonspuren über Voice Cloning in Kombination mit Speech-to-Text oder KI-generierte Bilder im Text-to-Image Verfahren mit Dall-E, Stable Diffusion oder Midjourney. Oder vorhandene Dateien werden KI-gestützt modifiziert, wie beim Inpainting, wo Bildinhalte per Textkommando verändert werden. Weitere Beispiele sind Deepfakes, wo Personen in Videos ausgetauscht werden, oder auch schlicht Übersetzungen sowie grammatikalischen Korrigieren von Texten.

Dabei sind die KI-Anwendungen weder vollständig positiv noch negativ zu bewerten. Eine zuverlässige Übersetzung von Texten ist hilfreich – sowohl für die Betreibenden einer Webseite, die internationale Besucherinnen und Besucher ansprechen wollen, als auch für einen Betrüger, eine Betrügerin, der Phishing-E-Mails glaubhaft gestalten möchte. Deepfakes helfen in der Filmproduktion, sind aber auch ein Werkzeug für Desinformationen. Text-to-Image-Verfahren helfen, schnelle Illustrationen für Texte zu schaffen, führen aber auch zu neuen Darstellungen von Kindesmissbrauch.

In den meisten Fällen kann davon ausgegangen werden, dass eine Kennzeichnung oder ein nachträgliches Erkennen von KI-generierten Inhalten im Fall gutartiger Anwendungen unproblematisch und bei missbräuchlichen Anwendungen wünschenswert ist. Eine Übersetzung kann mit „Automatisch übersetzt mittels KI“, eine Illustration mit „Erzeugt mit [Name des Werkzeugs]“ annotiert werden. Bei einem Desinformationsvideo auf YouTube werden die Zuschauenden in den meisten Fällen dankbar sein, einen Hinweis auf einen potenziellen Einsatz von Deepfakes zu erhalten, wenn dies erkannt wurde.

Ausnahmen sind allerdings zumindest denkbar: So soll beim Einsatz von KI zum Erzeugen von Inhalten, die der Polizei das Bestehen der sogenannten „Keuschheitsprobe“ (der Nachweis des Besitzes vorher unbekannten Materials mit der Darstellung von Kindesmissbrauch) ermöglicht, natürlich der Täterkreis nicht gewarnt werden.

Ansätze zur Kennzeichnung von KI-Inhalten

Grundsätzlich kann zwischen aktiven und passiven Strategien unterschieden werden, um KI-generierte Inhalte zu erkennen: Bei aktiven Verfahren wird vor oder während des Erstellens eine Kennzeichnung in die Inhalte eingefügt; passive Verfahren sollen die Inhalte anhand ihrer Eigenschaften als künstlich erzeugt erkennen, wenn diese verbreitet werden.

Aktive Verfahren erfordern, dass eine vertrauenswürdige Instanz die Kontrolle über das KI-System zum Erstellen von Inhalten hat. Dies ist allerdings unwahrscheinlich. Zum einen wird nicht jeder Anbieter weltweit eine Kennzeichnung unterstützen, zum anderen existieren auch Open-Source-Lösungen, bei denen Mechanismen zur Kennzeichnung entfernt werden können.

Daher kann ein aktives Verfahren nur als teilweise erfolgversprechend gesehen werden. Zumindest die Inhalte, die von der entsprechenden Instanz gekennzeichnet werden, können einfach als künstlich erkannt werden. Der Umkehrschluss ist nicht ratsam: Nicht markierte Inhalte sind nicht automatisch vertrauenswürdig.

Aktive Kennzeichnung durch Wasserzeichen oder Listen

Es gibt eine ganze Reihe von Strategien, mit denen die aktive Kennzeichnung erfolgen kann. Grundsätzlich können Inhalte entweder so verändert werden, dass sie einen Hinweis auf ihren Ursprung enthalten. Oder die erzeugten Inhalte werden in einer Liste vermerkt, die zwecks einer Überprüfung eingesehen werden kann. Der erste Fall wird häufig als digitales Wasserzeichen bezeichnet.

Dabei sind Verfahren für Texte, Bilder oder Audiodaten bekannt: Die generierten Daten werden mit einer Markierung versehen, die wahrnehmbar (wie bei einem Senderlogo), schwach wahrnehmbar (wie bei einem Papierwasserzeichen in einem Geldschein) oder nicht wahrnehmbar (wie bei einem digitalen Wasserzeichen für Hörbücher) ist. Ebenso sind Verfahren vorgeschlagen worden, die die Netze selbst verändern, mit denen die Inhalte erstellt werden.

Durch die Veränderung werden alle damit erstellten Inhalte modifiziert, was später überprüft werden kann. Generell erfordern diese Methoden immer eine Lösung, wie die eingebetteten Kennzeichen erkannt werden können. Dies kann zu einem hohen Aufwand für den Anbieter führen. Allerdings sind auch die Anwendenden gefordert: Solange keine einheitliche Lösung von allen Anbietern generativer Systeme existiert, müssten sie ein Bild bei allen Anbietern prüfen.

Die Alternative ist es, Inhalte beim Erzeuger in eine Liste einzutragen. Dies kann beispielsweise mittels eines robusten Hash-Verfahrens geschehen, das Text, Video, Audio und Bilder auch nach Veränderungen wiedererkennen kann. Statt des Inhalts wird eine deutlich kompaktere, oft wenige Bytes große Repräsentation gespeichert, die die groben Merkmale des Inhalts beschreibt. Soll nun ein Inhalt untersucht werden, so wird von diesem erneut der robuste Hash erstellt und mit der Liste verglichen. Bei einer ausreichenden Übereinstimmung wird der Inhalt als erkannt betrachtet. Auch hier gilt: Ohne eine einheitliche und übergreifende Lösung ist eine Prüfung aufwendig.

IT-forensische Untersuchung von KI-Inhalten

Eine passive Strategie zum Erkennen von KI-generierten Inhalten wird aus den oben bereits genannten Gründen immer notwendig sein. Die Möglichkeit einer forensischen Untersuchung von Inhalten kann beispielsweise im Rahmen eines Uploadfilters erfolgen, der Inhalte auf Spuren einer Generierung untersucht. Hier muss ein hoher Grad von Automatisierung erreicht werden, da eine große Menge von Inhalten untersucht wird, beispielsweise vor der Verbreitung über ein soziales Medium. Eine Reaktion kann hier eine Ablehnung oder eine nachträgliche Kennzeichnung im Sinne von „Dieser Inhalt ist mit einer Wahrscheinlichkeit von X Prozent durch eine KI erstellt“ sein.

Eine echte IT-forensische Untersuchung, die aus dem Zusammenspiel von Werkzeugen und der Expertise von Gutachtern oder Gutachterinnen besteht, ist heute noch deutlich zuverlässiger als eine rein automatisierte Lösung. Die Werkzeuge erstellen hierbei zahlreiche Analysen des Materials und arbeiten auffällige Eigenschaften heraus, wie beispielsweise eine untypische Statistik von Textelementen. Anhand dieser Eigenschaften entscheidet dann der Experte, die Expertin, ob die Hinweise ausreichen, um hier von einem synthetisch erstellten Inhalt auszugehen.

Da entsprechende Verfahren auch für Betrug oder Desinformation eingesetzt werden, muss in Zukunft aber auch davon ausgegangen werden, dass die Inhalte-Erstellenden diesen Umstand zu verschleiern versuchen werden. Damit zeichnet sich ein Wettstreit zwischen Sicherheitsmechanismen und Angreifenden ab.

Martin Steinebach leitet die Abteilung Media Security und IT Forensics am Fraunhofer-Institut für Sichere Informationstechnologie SIT.