In einem kurzen YouTube-Video demonstriert der Journalist Joseph Cox, wie er mit einer computergenerierten Stimme die Sicherheitsmechanismen seiner Bank aushebelt. In dem IT-Blog Motherboard (Teil des US-Magazins Vice) beschreibt Cox ausführlich, wie er das Experiment vorbereitete und wie es verlief.

Cox ist Kunde bei der britischen Lloyds Bank. Diese Bank bietet Kontoinhabern an, sich am Telefon mit ihrer Stimme zu legitimieren, um auf ihre Konten zuzugreifen. Für das "Voice ID" genannte Verfahren verwendet die Bank Stimmerkennungssoftware. Auf ihrer Website bezeichnet sie das Verfahren als "schnell, einfach und sicher". Die eigene Stimme sei einzigartig wie ein Fingerabdruck, heißt es dort weiter.

Cox klonte seine Stimme mithilfe der Software "Prime Voice AI" des US-amerikanischen Start-ups ElevenLabs. Sie erzeugt aus Audioaufnahmen einer Person eine sogenannte synthetische Stimme, die Stimmlage, Sprechweise und auch Eigenheiten wie Akzente nachahmen kann. Er berichtet, dass fünf Minuten von ihm eingesprochenes Audiomaterial genügt hätten, um ein synthetisches Pendant seiner Stimme zu erstellen. In Text-to-Speech-Programmen (TTS) kann man solche synthetischen Stimmen verwenden, um beliebige Texte vorzulesen.

Die Stimmerkennung der Lloyds Bank funktioniert "schnell, einfach und sicher" – leider auch mit einer künstlichen Stimme. (Bild: Lloyds Bank)

Mehrere Versuche nötig

Das Einloggen in seinen Account funktionierte anschließend nicht im ersten Anlauf. Zudem gehört zum Login-Prozedere auch die Eingabe des Geburtsdatums per Sprache – tatsächliche Angreifer müssten sich also auch diese Information vorab besorgen. Allerdings, so Cox, sei das aufgrund der vielen Datenschutzverletzungen, und weil Personen persönliche Daten oft leichtfertig weitergeben, sicher kein großes Problem.

Um "Voice ID" zu nutzen, nennt der Anrufer zunächst auf Aufforderung der automatischen Hotline sein Anliegen, dann das Geburtsdatum und spricht schließlich noch den Satz "My voice is my password." Nach einigen Versuchen akzeptierte die Bank die von der synthetischen Stimme gesprochenen Eingaben und Cox konnte auf seine Konten zugreifen, Kontostände abfragen und kürzlich getätigte Transaktionen einsehen.

Hohes Missbrauchspotenzial

Viele Banken in Europa und den USA bieten ihren Kunden die Identifikation per Stimme als eine Möglichkeit des Logins an. Auch das Klonen von Stimmen wird immer gebräuchlicher. 2022 entstand auch bei heise online ein Stimmklon – eine digitale Kollegin für Isabel Grünewald, die Sprecherin des Nachrichtenüberblicks "Kurz informiert".

Die Technik ist inzwischen so weit fortgeschritten, dass insbesondere die Stimmen öffentlicher Personen, die im Internet verfügbar sind, leicht zum Gegenstand von Deepfakes und Betrügereien werden können.

Empfohlener redaktioneller Inhalt Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen. YouTube-Video immer laden YouTube-Video jetzt laden Lloyds Bank logged into using AI voice

(dwi)