"Prüfe meinen Kontostand", verlangte der Anrufer von der automatischen Serviceline der Lloyds Bank. Zur Authentifizierung wurde die Eingabe des Geburtsdatums verlangt sowie der Stimmbefehl "Meine Stimme ist mein Passwort". Nachdem dies erfolgt war, war der Anrufer im Konto drin und konnte Kontostand, Transaktionen und Überweisungen einsehen.
"Ich konnte es nicht glauben – es hatte funktioniert", schreibt ein britischer Journalist von '
Vice'. Er hatte eine von einer KI erstellte Imitation seiner Stimme benutzt, um in ein Bankkonto einzubrechen. Zum Einsatz kam ein kostenloses KI-Tool von Elevenlabs. Dieses benötigt bloss wenige Minuten an Tonaufnahmen um eine Stimme zu klonen.
Der Journalist benutzte für den Test Aufnahmen seiner eigenen Stimme, die er durch das Tool nachahmen liess. Und er drang damit in sein eigenes Konto bei Lloyds ein. Trotzdem, so der 'Vice'-Journalist, sei es bedenklich, wie einfach der Hack mit Kenntnis des Geburtsdatums und einem geklonten Stimmprofil gelungen sei.
Voice ID auch bei Schweizer Banken
Stimmerkennung wird seit längerem bei Banken als eine von verschiedenen Möglichkeiten zur Authentifizierung eingesetzt. Zum Beispiel ist in der Schweiz im Contact Center von Postfinance seit Ende 2018 eine Lösung für Real-Time Authentication der israelischen Firma Nice im Einsatz. Diese sei nicht nur schneller, sondern auch sicherer als die Authentifizierung über Sicherheitsfragen, hatte ein Postfinance-Sprecher damals
gegenüber inside-it.ch erklärt.Die Migros Bank oder Bank Cler setzen ebenso Stimmerkennung zur Kundenidentifikation ein. Allerdings handelt es sich bei diesen Schweizer Beispielen um Kontakte mit einem Contact Center und keiner automatisierten Servicehotline. Kundinnen und Kunden müssen nach der Authentifikation ihr Anliegen nach wie vor im Gespräch mit Mitarbeitenden schildern. Sie können auch selbst entscheiden, ob sie die Stimmerkennung nutzen wollen.
"Ihr Stimmabdruck ist einzigartig"
Die Lloyds Bank wirbt für ihre Voice ID mit der Aussage "Ihr Stimmabdruck ist wie Ihr Fingerabdruck einzigartig". Auf Anfrage von 'Vice' erklärte die Bank: "Voice ID ist eine optionale Sicherheitsmassnahme, wir sind jedoch zuversichtlich, dass sie ein höheres Mass an Sicherheit bietet als herkömmliche wissensbasierte Authentifizierungsmethoden." Man verfolge "einen mehrschichtigen Ansatz für Sicherheit und Betrugsprävention". Bis jetzt sei noch kein Fall bekannt, bei dem eine KI-generierte Stimme für einen Betrugsversuch eingesetzt wurde.
Kritischer sieht diese Entwicklungen die Security-Spezialistin Rachel Tobac, CEO von Socialproof Security. Sie sagte dem Online-Magazin: "Ich empfehle allen Organisationen, die die Sprachauthentifizierung nutzen, so schnell wie möglich auf eine sichere Methode zur Identitätsprüfung umzusteigen, wie zum Beispiel die Multi-Faktor-Authentifizierung."