Von wegen „Altersverifikation“: In Wirklichkeit erfolgt eine vielschichtige Durchleuchtung

SAN FRANZISCO – Nachdem das Software-Unternehmen Discord eine unverdächtig erscheinende Altersverifikation eingeführt hat, begann es damit diese durch eine vielschichtige, mit dem Palantir-Gründer Peter Thiel in Verbindung stehende Überprüfung zu ersetzen, ohne dass den Nutzern dies kommuniziert wurde.

.

.

Die Enthüllungen sind ein eindringlicher Weckruf: Hinter wohlklingenden Sicherheitsversprechen etablieren sich neue Infrastrukturen, die intransparent, schwer kontrollierbar und riskant sind. Biometrische Altersverifizierung wird nämlich leider viel zu oft als als Einfallstor für eine viel umfassendere Überwachung missbraucht.

Experten warnen daher vor einer Zukunft, in der individuelle Freiheiten, Datenschutz und Verlässlichkeit sozialer Plattformen weiter ausgehöhlt werden ohne dass die Nutzer es bemerken. Durch Biometrische Altersverifizierungen findet dann, ohne dass die Bürger es bemerken, eine Machtverschiebungen zwischen Plattformbetreibern, Staat und Nutzern statt.

Das Gemeine ist: Diese Nutzung wurde hinter einer unbedenklich erscheinenden Nutzung versteckt:

Wenige Tage nachdem Discords weltweite Ankündigung der Altersverifizierung bei den Nutzern für Empörung,  einen Anstieg von Löschanträgen und  eine übereilte Klarstellung gesorgt hatte , ist eine weitere Entwicklung aufgetaucht, die die Datenschutzproblematik der Plattform noch komplizierter macht: Discord testete einen zweiten Anbieter für die Altersverifizierung: Persona.

Persona verfolgt einen völlig anderen Ansatz im Umgang mit Daten als den, den das Unternehmen öffentlich propagiert hat (k-ID), und birgt möglicherweise ein erhöhtes Risiko für die Privatsphäre und die Datenautonomie der Nutzer.

Es  bleibt aktuell die Hoffnung, dass öffentliche Aufmerksamkeit, kritische Forschung und gesellschaftlicher Diskurs hierzu gegensteuern können.

.

Hacker decken Überwachungsstrukturen hinter Altersverifizierungssoftware auf

Hacker-Aktivisten sei es gelungen das Chat-Programm Discord anzugreifen. Hierbei entdeckten sie wohl gravierende Datenschutzprobleme bei Discords Altersverifizierung. Die dazu verwendete Software „Persona“ verknüpft nämlich die Altersüberprüfung mit Gesichtserkennung, Überwachung und Finanzprüfungen. Diese Offenlegung zeigt wie weit so  bezeichnete „Altersverifizierungen“ leider gehen können und welche Risiken zentralisierte Identitätsdatenbanken aufweisen.

Discords neue Altersverifizierungsmaßnahme

Am 1. Februar kündigte Discord an, standardmäßig verschärfte „Teenager-Einstellungen“ für alle seine Nutzer weltweit einzuführen. Im Rahmen eines Updates wird allen neuen und bestehenden Nutzer weltweit ein Update aufgezwungen, um mit

• aktualisierten Kommunikationseinstellungen,
• eingeschränktem Zugang zu Bereichen mit Altersbeschränkung und
• Inhaltsfiltern

angeblich die Privatsphäre und sinnvolle Beziehungen zu schützen. Das hat zur Folge, dass man, um Discord wie gewohnt nutzen zu können, sein Gesicht scannen lassen muss.

Die Reaktionen aus der Community fielen kritisch aus: Viele Nutzer kündigten den Wechsel zu anderen Plattformen an. Gleichzeitig entstand bei Security- und Datenschutzexperten die Frage nach Umgehungsmöglichkeiten sowie der genauen Funktionsweise der Altersverifizierung.

Die Entdeckung des Persona-Frontends im offenen Internet

Drei Hacktivisten, darunter die Forscherin „Celeste“, begannen mit einer Analyse der von Discord eingesetzten Lösung zur Altersverifizierung. Dabei stießen sie auf das Startup Persona Identity, Inc., das Discord zur biometrischen Identitätsprüfung verwendet. Überraschend fanden sie ein umfangreiches, öffentlich zugängliches Persona-Frontend auf einem von der US-Regierung genehmigten Server. In über 2.400 Dateien offenbarte sich die Funktionsweise einer Benutzeroberfläche, die weit über einfache Altersverifizierung hinausging und tiefgreifende Überwachungsmechanismen einsetzt:

• Wenige Tage nach der Kritik an der weltweiten Einführung der Altersverifizierung testete Discord stillschweigend einen zweiten Anbieter, Persona, für einige Nutzer in Großbritannien.
• Die Supportdokumentation von Discord (die inzwischen aktualisiert und archiviert wurde) enthüllte, dass Persona Benutzerdaten serverseitig verarbeitete und diese bis zu 7 Tage lang aufbewahrte, bevor sie gelöscht wurden.
• Dies unterscheidet sich von k-ID, dem Hauptpartner von Discord, der die Schätzung des Gesichtsalters direkt auf dem Gerät in den Vordergrund stellt und angibt, dass keine Gesichtsbilder oder Ausweisdokumente gespeichert werden.
• Personas breiteres Produktportfolio umfasst Risikoberichte (E-Mail, Telefon, Negative Medien und Social-Media-Profiling), allerdings gibt es keine Hinweise darauf, dass Discord über die Altersverifizierung hinaus etwas anderes verwendet hat.
• Persona wird vom Founders Fund (mitbegründet von Peter Thiel) unterstützt, es gibt jedoch keine Hinweise auf operative Überschneidungen mit Palantir oder Zugriff auf Discord-Nutzerdaten.
• Die Episode beleuchtet Transparenzlücken bei Anbietern, unbeantwortete Fragen zu manuellen Verifizierungsprozessen und die laufende Erstellung von Verhaltensprofilen zur „Altersbestimmung“ auf Discord.

Der Funktionsumfang von Persona

Persona ist ein Unternemen, das biometrische Identitätsprüfungen für viele große Unternehmen (u.a. OpenAI, Roblox, Banken und Fahrdienste) anbietet. Die Software führt sogenannte

• „Lebendigkeitschecks“ (zur Erkennung realer, nicht KI-generierter Personen) durch,
• durchsucht Datenbanken nach Ähnlichkeiten mit Überwachungslisten,
• wertet Medienberichte über die Nutzer aus und
• ordnet die Nutzer ggf. Risikoprofilen zu.

Es werden extrem viele Informationen gesammelt: u.a. Selfies, Hintergründe, Geräte-Fingerabdrücke, IDs, Telefonnummern. Die Daten werden bis zu drei Jahre gespeichert. Die

• Erkennung von „verdächtigen Objekten“ oder Posen,
• Hintergrundvergleich mit anderen Nutzern und der
• Abgleich mit politisch exponierten Personen

belegen das umfassende Überwachungspotenzial der Plattform.

Risiken und Fehltritte biometrischer Überwachung

Die von Persona eingesetzten Identitätsprüfungen bergen gravierende Risiken. So ist dokumentiert, dass die Alters-Schätzung früher bereits erhebliche Fehler machte. Da die Software z.B. direkten Kontakt zu Verdachtsmeldungen im Bereich Terrorismus, Geldwäsche oder Betrug hat, können Fehleinschätzungen im schlimmsten Fall die Sperrung von Bankkonten oder falsche Beschuldigungen nach sich ziehen. Hinzu kommen die systemischen Gefahren einer massiven Datensammlung zur biometrischen Identifikation, die für Angreifer ein attraktives Ziel darstellt. Erst im Vorjahr gelangten 70.000 Ausweisfotos, die zur Discord-Verifikation genutzt worden waren, in die Hände von Kriminellen.

Verbindung von Überwachungs- und Finanzdaten

Persona verarbeitet nicht nur biometrische Daten, sondern überprüft auch Finanzaktivitäten, Sanktionslisten und Kryptowährungstransaktionen. Durch die Integration mit Unternehmen wie Chainalysis, TRM Labs und direkten Datenaustausch mit US-Behörden werden weitreichende Profile erstellt. Banken und Aufsichtsbehörden fordern zunehmend noch weitergehende Möglichkeiten – etwa die Analyse sozialer Netzwerke, IP-Adressen und Geräte-IDs – da herkömmliche Geldwäscheüberwachung als ineffektiv angesehen wird. Gleichzeitig besteht die reale Gefahr von Diskriminierung etwa aufgrund ethnischer Zugehörigkeit oder politischer Überzeugungen.

Staatliche und private Überwachungsinfrastruktur

Die öffentlich auffindbare Persona-Implementierung lief auf einer isolierten, von der US-Regierung autorisierten Infrastruktur. Diese Separierung deutet auf besonders sensible Compliance- und Datenschutzvorgaben hin. Die Forscher fanden einen öffentlichen Endpunkt, der Anfragen von OpenAI an die Persona-Datenbank leitete, sowie eine parallele, speziell für Behörden entwickelte Instanz. Das US-Compliance-Programm FedRAMP sorgt hier für standardisierte Sicherheitsmaßnahmen, ermöglicht aber auch eine vollständige Echtzeitüberwachung von Nutzeraktivitäten – inkl. biometrischer Analysen, Verdachtsmeldungen und Verfolgung von Finanzdaten.

AI-gestützte Überwachungsdienste und Watchlists

Die forensischen Untersuchungen ergaben ein Zusammenspiel aus Chatbots, OpenAI, Watchlists und biometrischer Datenverarbeitung. Es besteht deswegen der Verdacht, dass Unternehmen wie OpenAI ihre eigenen Watchlists anlegen und überwachen – wobei die ursprünglich nur für Behörden gedachten Infrastrukturen für privatwirtschaftliche Nutzerdaten geöffnet werden. Die Forscher deuten zudem an, dass mit Fivecast ONYX eine weitere KI-Überwachungsplattform im Zusammenhang stehen könnte. Diese Plattform wurde von US-Behörden zur automatisierten Erfassung und Risikoanalyse „digitaler Fußabdrücke“ aus Social Media und Darknet beschafft und steht im Verdacht, ähnliche Mechanismen zu betreiben wie Persona.

Überwachungskapitalismus und gesellschaftliche Auswirkungen

Das Fazit der Forscher fällt ernüchternd aus: Was mit Versprechen wie Kinderschutz und Sicherheit beginnt, entwickelt sich zu einer systematischen, quasi unsichtbaren Überwachungsinfrastruktur.

Große Unternehmen und staatliche Institutionen profitieren gemeinsam von gesammelten, zentralisierten Daten.

Die Nutzer – ursprünglich Subjekte, die geschützt werden sollten – werden so zu überwachten Objekten. Gleichzeitig bleibt echten Angreifern meist ein Weg zur Umgehung, während die breite Masse dem System ausgeliefert ist.

Einordnung: Paradigmenwechsel durch biometrische Massenüberwachung

Die beschriebenen Entwicklungen zeigen, dass Datenschutz, Privatsphäre und Transparenz dramatisch untergraben werden. Die

• technische Verflechtung von biometrischer Identitätsprüfung,
• Echtzeitüberwachung,
• Finanzanalyse und
• KI-gestützten Profiling-Systemen

markiert einen Paradigmenwechsel im Internet und weit über einzelne Plattformen hinaus. Die von den Hacktivisten aufgezeigten Schwachstellen sind deshalb exemplarisch für einen grundlegenden Wandel im Feld digitaler Identitäten.