Fast 30 verschiedene Nationen stehen auf der Kundenliste von Clearview AI, unter anderem die Vereinigten Arabischen Emirate. Das hat jüngst der Techblog Buzzfeed berichtet. Das New Yorker Start-up-Unternehmen, das anfangs im Verborgenen agierte, war der breiten Öffentlichkeit im Januar durch einen Bericht der New York Times bekannt geworden. Clearviews Geschäftsmodell besteht darin, massenhaft Porträtfotos aus dem Internet abzugreifen ("scrapen" genannt) – ohne Erlaubnis oder auch nur Kenntnis der Nutzer – und damit eine gigantische Datenbank zur Identifikation per Gesichtserkennung zu füttern. Rund drei Milliarden Bilder soll das Unternehmen bereits aus dem Internet gefischt haben. Auf diese können die Kunden dann per App zugreifen. Die Software liefert dem Bericht der New York Times zufolge bei Übereinstimmung weitere Fotos und persönliche Daten. Experten warnen vor umfangreichen Missbrauchsmöglichkeiten.
Reporter des Magazins Gizmodo haben sich die Software genauer angesehen und dabei festgestellt, dass einige Informationen von der Clearview-App offenbar an Google Analytics, Crashlytics, AppMeasurement und andere Statistik-Tools gesendet werden. Die App ermöglicht demnach außerdem den Zugriff auf Standortdaten mit dem Android-Programm Fine Location, das durch die Nutzung von Global Positioning System (GPS) sowie Daten von Wi-Fi und Mobilfunkzellen präziseste Standortinformationen liefert. Der Code, den die Reporter sich ansahen, verwies außerdem auf in der Planung befindliche Fähigkeiten wie eine Sprachsuchoption, eine In-App-Funktion, die es der Polizei ermöglichen würde, Fotos von Personen zu machen, um sie durch die Datenbank von Clearview laufen zu lassen, sowie einen "privaten Suchmodus".
Auch das stete Wachstum und Marketing hat die Firma im Blick. So scheinen Nutzer angeregt zu werden, Clearview "Erfolgsgeschichten" über die App mitzuteilen, außerdem werden Nutzer offenbar aufgefordert, ihre "Mitarbeiter oder andere Ermittler kostenlos zu Clearview" einzuladen. Mit einem Klick erhalten diese einen Link zu einem kostenlosen Clearview-Demokonto.
Große Internetplattformen wie Facebook, Google und Twitter forderten die Firma auf, das Abgreifen von Fotos bei ihnen zu unterlassen, und drohten an, rechtlich gegen Clearview vorzugehen. Auch Forderungen nach Regulierung und Kontrolle in den USA wurden laut. Das Start-up reagierte auf die Kritik mit der Behauptung, dass der Dienst lediglich Strafverfolgungsbehörden Unterstützung zur Aufklärung von Verbrechen anbiete. Gründer und Chef Hoan Ton-That erklärte in einem Interview mit CNN, er wolle ein "großes amerikanisches Unternehmen" mit "den besten Absichten" aufbauen. Sein Produkt würde ja nicht an den Iran, Russland oder China verkauft; die Technologie helfe, Verbrechen aufzuklären oder gar Kinder zu retten.
Doch laut der jetzt aufgetauchten Liste nutzen bereits 2.200 Kunden das umstrittene Gesichtserkennungssystem von Clearview AI, darunter Strafverfolgungsbehörden und Behörden in verschiedenen Ländern, aber auch private Unternehmen wie Banken und Einzelpersonen. Um Kunden zu gewinnen, hatte das Start-up nicht nur Zugang zu Organisationen genutzt, sondern auch zu Einzelpersonen in Unternehmen, sodass das jeweilige Management teilweise gar nicht eingebunden war.
Wie Buzzfeed News beschreibt, liefert die Liste "das bisher vollständigste Bild darüber, wer die umstrittene Technologie eingesetzt hat, und zeigt, was einige Beobachter bisher befürchtet haben: Die Gesichtserkennung von Clearview AI wurde auf allen Ebenen der amerikanischen Gesellschaft eingesetzt und macht seinen Weg in die ganze Welt".
Datenverstöße sind nun mal Teil des Lebens
In einer Nachricht an seine Kunden, über die die US-Plattform Daily Beast am Mittwoch berichtete, teilte Clearview AI mit, dass Eindringlinge "sich unbefugten Zugang" zu seiner Kundenliste verschafft haben. Demnach konnten die Angreifer auch Angaben zur Anzahl der durchgeführten Suchanfragen und der angelegten Nutzer-Accounts erbeuten. Der Anwalt des Unternehmens, Tor Ekeland, erklärte daraufhin, Sicherheit habe für das Unternehmen zwar höchste Priorität, aber leider seien "Datenverstöße sind ein Teil des Lebens im 21. Jahrhundert. Wir haben den Fehler behoben und arbeiten weiter daran, unsere Sicherheit zu erhöhen".
Doch David Forscey, Geschäftsführer des Cyber & Technology Program am Aspen Institute, sieht das kritischer:
Wenn Sie eine Strafverfolgungsbehörde sind, ist das eine große Sache, denn Sie sind auf Clearview als Dienstleister angewiesen, um eine gute Sicherheit zu haben, und es scheint, als hätten sie keine.
Außerdem würde das Wissen, welche Kunden Zugang zu dieser Datenfundgrube haben, es Hackern theoretisch ermöglichen, ein Ziel mit laxer Sicherheit zu wählen und dessen Systeme zu knacken, um Zugang zu den Daten zu erhalten.
In Berlin hat Bundesinnenminister Horst Seehofer (CSU) im Januar nach den Berichten über Clearview AI einen umstrittenen Entwurf zur Videoüberwachung mit automatischer Gesichtserkennung in letzter Minute gestoppt.
In Deutschland nutzt das Bundeskriminalamt seit 2008 ein Gesichtserkennungssystem (GES) zur "Identifizierung unbekannter Täter". Allerdings wird dabei anders als bei Clearview ein Foto eines unbekannten Täters mit zuvor erkennungsdienstlich behandelten Personen verglichen, die im bundesweiten Informationssystem der Polizei gespeichert sind. Eine erkennungsdienstliche Behandlung wird in der Regel nach einer Festnahme wegen einer Straftat an einer Person vorgenommen, aber auch vorbeugend, zum Beispiel auch durch die Ausländerbehörden im Rahmen von Asylverfahren.
Mehr zum Thema - Debatte um Gesichtserkennung: "Wunderbares Fahndungsinstrument" versus "totalitäre Technologie"