Frage stellen

Was ist ein Inference Attack?

Inhaltsverzeichnis

Inference Attack - Definition

Ein Inference Attack (auch: Inferenzangriff) bezeichnet eine Klasse von Angriffen, bei denen aus indirekten Signalen Rückschlüsse auf die Identität, Attribute oder die bloße Teilnahme einer Person an einem Datensatz gezogen werden - selbst dann, wenn die Daten anonymisiert oder maskiert wurden. In normativer Hinsicht entspricht dieses Konzept den Risiken der Inferenz und der Datenverknüpfung, wie sie in ISO/IEC 20889:2018 und NISTIR 8053:2015 beschrieben sind, sowie dem sogenannten Risiko der „Inferability“, das von der Artikel‑29‑Datenschutzgruppe (WP29) in ihrer Stellungnahme zu Anonymisierungstechniken aus dem Jahr 2014 (WP216) hervorgehoben wurde. Im Kontext von Bild- und Videodaten betrifft ein Inference Attack unter anderem den Versuch, eine Person trotz verpixeltem oder unkenntlich gemachtem Gesicht zu identifizieren oder sensible Informationen aus dem Bildkontext, aus Metadaten oder aus dem Verhalten eines Systems abzuleiten.

Die Rolle von Inference Attacks bei der Anonymisierung von Bildern und Videos

In der Computer Vision liegt ein Inference Attack vor, wenn trotz Unschärfe von Gesichtern oder Kfz‑Kennzeichen eine Identifikation oder Attributzuordnung über andere Merkmale möglich ist, etwa über Kleidung, Gangbild, Körperform, räumliche Beziehungen, Spiegelungen, Tonspuren, eingeblendete Texte oder sogar über das KI‑Modell selbst (z. B. dessen Antworten oder Parameter). Deep‑Learning‑Verfahren sind essenziell für den Aufbau von Modellen zur Gesichts‑ und Kennzeichenerkennung, die den Verpixelungs‑ oder Maskierungsprozess steuern. Dieselben Modellklassen können jedoch auch offensiv eingesetzt werden (z. B. zur Rekonstruktion oder Attributklassifikation), wodurch ein Inferenzangriffsvektor gegen bereits anonymisiertes Material entsteht.

Das Risiko eines Inference Attack hängt stark vom Angreifermodell ab: vom Zugang zu Originaldaten, vom Grad der Bearbeitung (Stärke der Unschärfe, Größe der Maske), von der zeitlichen Konsistenz der Maskierung sowie vom möglichen Zugriff auf Parameter des zur Anonymisierung eingesetzten Modells. Eine deutliche Reduktion der Angriffsfläche wird durch On‑Premise‑Verarbeitung und den Verzicht auf Protokolle erreicht, die Detektionen oder andere identifizierende Signale enthalten.

Technologien und Angriffsvektoren (Inference Attack)

Inference Attacks in Bild‑ und Videodaten umfassen verschiedene Bedrohungsklassen. Die folgende Tabelle ordnet die wichtigsten Typen und ihren Bezug zur Anonymisierung von Gesichtern und Kennzeichen.

Angriffstyp

Kurzbeschreibung

Beispiel in Bild/Video

Datenquelle des Angreifers

 

Datenverknüpfung (Linkage)

Zusammenführung mit externen Daten zur Identifikation

Abgleich von Körperbau, Kleidung und Ort mit Social‑Media‑Aufnahmen

Öffentliche Fotos, Veranstaltungsregister, Geolokationsdaten

Attribut‑Inference

Ableitung persönlicher Merkmale aus Kontextinformationen

Bestimmung des Arbeitgebers über ein Logo auf der Kleidung, Rollenbestimmung über Uniformen

Visuelle Merkmale außerhalb der maskierten Bereiche

Model Inversion

Rekonstruktion von Eingabedaten aus Modellparametern

Annähernde Rekonstruktion eines Gesichts aus einem Erkennungsmodell

Modellgewichte, Vorhersage‑API

Membership Inference

Feststellung, ob ein Bild Teil des Trainingsdatensatzes war

Nachweis, dass ein konkretes Gesicht zum Training genutzt wurde

Antwortstatistiken, Wahrscheinlichkeitswerte des Modells

De‑Obfuskation

Versuch der Wiederherstellung unkenntlich gemachter Inhalte

Einsatz von Super‑Resolution oder GANs zur Annäherung an Gesichtszüge

Bearbeitetes Bildmaterial, SR‑/GAN‑Modelle

Das Risiko von Membership‑Inference‑Angriffen wurde in der wissenschaftlichen Literatur für ML‑Modelle nachgewiesen, unter anderem von Shokri et al. 2017 (IEEE S&P) sowie Nasr et al. 2019 (IEEE S&P). Videospezifische Risiken der De‑Obfuskation und des Attributlecks in bearbeitetem Material wurden unter anderem von Raval, Machanavajjhala und Pan (NDSS 2017) sowie in regulatorischen Analysen zur Wirksamkeit von Anonymisierung diskutiert.

Zentrale Parameter und Metriken zur Risikobewertung

Die Bewertung der Anfälligkeit für einen Inference Attack sollte Datenschutz‑ und Nutzbarkeitsmetriken kombinieren. In der Praxis haben sich folgende Kennzahlen bewährt:

  • Attack Success Rate (ASR) - Anteil erfolgreicher Inferenzversuche: ASR = Anzahl korrekter Schlussfolgerungen / Anzahl der Versuche; einsetzbar für Identifikation, Attribut‑Inference und Membership Inference.
  • AUC bzw. TPR/FPR bei Membership‑Inference‑Angriffen - Maß für die Trennschärfe der Modellantworten zwischen Trainings‑ und Nicht‑Trainingsdaten (Shokri et al., 2017).
  • Ähnlichkeit von Gesichts‑Embeddings vor und nach der Bearbeitung - z. B. kosinische Distanz von Vektoren aus ArcFace‑Modellen; sinkende Ähnlichkeit deutet auf geringeres Re‑Identifikationsrisiko hin.
  • Maskenabdeckung und Unschärfebudget - prozentuale Abdeckung von Gesicht oder Kennzeichen sowie Filterparameter (z. B. Kernelgröße, Gauß‑Sigma). Größere Abdeckung und stärkere Unschärfe reduzieren in der Regel die De‑Obfuskation.
  • Recall der Objekterkennung für zu anonymisierende Elemente - Anteil korrekt erkannter Gesichter/Kennzeichen über alle Frames hinweg. Nicht‑Erkennungen (hohe FNR) stellen die kritischsten Identifikationsvektoren dar.
  • Zeitliche Stabilität der Maskierung - konsistente Position und Größe der Maske über aufeinanderfolgende Frames, um kurzzeitige Offenlegungen bei Bewegung zu vermeiden.
  • Nutzbarkeitsmetriken - z. B. mAP für nicht‑personenbezogene Objekterkennungsaufgaben nach der Bearbeitung, um den Trade‑off zwischen Datenschutz und Verwertbarkeit zu kontrollieren.

Herausforderungen und Grenzen bei Bild‑ und Videodaten

Besonders kritisch sind Fälle, in denen sich die Identität aus anderen Elementen als Gesicht oder Kennzeichen ableiten lässt. Personenerkennung ohne Gesicht, Ganganalyse sowie zeitlich‑räumliche Korrelationen zwischen verschiedenen Datenquellen erhöhen das Inferenzrisiko erheblich. Unzureichende Maskierung (zu klein, instabil oder mit geringer Unschärfe) oder das Belassen identifizierbarer Metadaten verstärken dieses Risiko zusätzlich. Umgekehrt kann eine zu aggressive Bearbeitung den Zweck des Materials beeinträchtigen, etwa bei Sicherheits‑ oder Compliance‑Audits.

Aus Sicht der DSGVO besteht das Ziel darin, einen Zustand zu erreichen, in dem eine Identifizierung nicht mehr mit vernünftigerweise wahrscheinlichen Mitteln möglich ist (DSGVO, Erwägungsgrund 26). Die Leitlinien der WP29/EDPB (2014, WP216) betonen ausdrücklich die Risiken von Inferenz und Datenverknüpfung für die Wirksamkeit der Anonymisierung. In der Praxis erfordert die Veröffentlichung von Bildmaterial grundsätzlich eine Einwilligung, mit gesetzlich vorgesehenen Ausnahmen im Zivil‑ und Urheberrecht (z. B. Personen der Zeitgeschichte, Beiwerk, Vergütung für das Posieren).

Anwendungsbeispiele und Best Practices zur Risikominimierung

Bei Systemen zur Unkenntlichmachung von Gesichtern und Kennzeichen sollten technische und organisatorische Maßnahmen kombiniert werden. Die folgenden Best Practices sind besonders relevant zur Abwehr von Inference Attacks:

  • Starke und vollständige Maskierung sensibler Bereiche - Masken, die das gesamte Gesicht bzw. das gesamte Kennzeichen abdecken, zeitlich stabil sind und einen ausreichenden Rand besitzen. Schwarze Balken oder starke Pixelisierung reduzieren das Rekonstruktionsrisiko deutlich stärker als leichte Unschärfe (WP29, 2014).
  • Entfernung oder Normalisierung von Metadaten - EXIF‑Daten, Geolokation und Zeitstempel, die eine Datenverknüpfung ermöglichen.
  • Reduktion des Bildkontexts - bei der Veröffentlichung gezieltes Zuschneiden, um erkennbare Kleidung, Ausweise oder Spiegelungen zu vermeiden.
  • Modell‑Härtung - Regularisierung und Privacy‑Techniken (z. B. Differential Privacy Training), um Membership‑Inference‑ und Model‑Inversion‑Risiken zu senken.
  • On‑Premise‑Verarbeitung und minimale Protokollierung - reduzierte Schnittstellenexposition und der Verzicht auf Logs mit Detektionsergebnissen verkleinern die Angriffsfläche.
  • Manueller Modus für nicht automatisch erkennbare Elemente - Logos, Tätowierungen, Namensschilder oder Bildschirminhalte sollten manuell maskiert werden, wenn sie Rückschlüsse ermöglichen.

Bei Tools der Klasse Gallio PRO ist die Automatisierung auf Gesichter und Kfz‑Kennzeichen fokussiert, was den dominierenden Identifikationsvektoren in visuellen Daten entspricht. Die fehlende Echtzeitverarbeitung beeinflusst das Inference‑Attack‑Risikomodell für fertige Dateien nicht, vereinfacht jedoch die Zugriffskontrolle und die Nachvollziehbarkeit der Verarbeitungskette.

Normative Referenzen und Quellen

  • DSGVO - Verordnung (EU) 2016/679, Erwägungsgrund 26 und Art. 4: Definition personenbezogener Daten und Identifizierbarkeit. Quelle: EUR‑Lex.
  • WP29 (heute: EDPB), Opinion 05/2014 on Anonymisation Techniques (WP216), 10.04.2014 - Risiken von Singling‑out, Linkability und Inferability. Quelle: Archive der Europäischen Kommission.
  • ISO/IEC 20889:2018, Privacy Enhancing Data De‑Identification - Terminologie und Klassifikation von Techniken. Herausgeber: ISO/IEC JTC 1/SC 27.
  • ISO/IEC 27559:2022, Privacy Enhancing Data De‑Identification Framework - Rahmenwerk zur Risiko‑ und Wirksamkeitsbewertung. Herausgeber: ISO/IEC JTC 1/SC 27.
  • NISTIR 8053:2015, De‑Identification of Personal Information - Re‑Identifikations‑ und Inferenzrisiken sowie Minderungspraktiken. Herausgeber: NIST.
  • Shokri et al., Membership Inference Attacks Against Machine Learning Models, IEEE S&P 2017.
  • Nasr, Shokri, Houmansadr, Comprehensive Privacy Analysis of Deep Learning, IEEE S&P 2019.
  • Raval, Machanavajjhala, Pan, What You Mark Is What You Get, NDSS 2017.
  • Polnisches Urheberrechtsgesetz vom 4. Februar 1994, Art. 81 - Voraussetzungen für die Verbreitung von Bildnissen. Quelle: isap.sejm.gov.pl.
  • Zivilgesetzbuch, Art. 23-24 - Schutz der Persönlichkeitsrechte, einschließlich des Bildnisses. Quelle: isap.sejm.gov.pl.

Siehe auch

Zurück zum Glossar