Gefälschte Bewertungen: „Die guten Fakes erkennt man nicht“

Künstliche Intelligenz macht es Betrügern leicht, massenhaft gefälschte Online-Bewertungen zu erstellen. Digital-Experte Sebastian Hallensleben erklärt, wie sich das Problem lösen lässt.

Beitrag

7. Mai 2024

Sebastian Hallensleben leitet beim Technik-Verband VDE den Bereich Neue Technologien und Services. Er beschäftigt sich ausführlich mit der Herausforderung durch automatisch generierte Fake-Reviews. Die gute Nachricht: Deutschland hat bereits eine mögliche Lösung für das Problem entwickelt – nun wird sie in einem Pilotprojekt getestet.

Wer schon einmal mit ChatGPT und ähnlichen KI-Systemen experimentiert hat, weiß: Künstliche Intelligenz erlaubt es, mit wenigen Klicks Texte zu verfassen, die so überzeugend wirken, als habe sie ein Mensch geschrieben. Kann man Bewertungen im Internet damit noch trauen? Droht eine Schwemme an Fake-Reviews? Woran lassen sich automatisch erstellte Fälschungen erkennen? Und wie sollten Online-Anbieter reagieren, um ihre Nutzerinnen und Nutzer zu schützen? VDE-Experte Sebastian Hallensleben gibt Antwort.

Was ist das Besondere an KI-Systemen wie ChatGPT?

Künstliche Intelligenz kann das Herstellen von gefälschten Bewertungen automatisieren. Früher musste man einem Studenten, einem Clickworker, Geld in die Hand drücken, um überzeugende Fake-Reviews zu schreiben. Jetzt kann ich das Gleiche mit generativer KI, mit ChatGPT und ähnlichen Sprachmodellen, für Beträge von wenigen Cent machen. Damit fällt eine praktische Hürde weg, die bisher das Erstellen von betrügerischen Inhalten ein Stück weit eingegrenzt hat.

Dazu kommt, dass automatisch generierte Fakes nicht zu 100 Prozent erfolgreich  sein müssen. Wenn von 100 falschen Bewertungen auch nur fünf durchkommen, dann weiß ich: Diese fünf Fakes haben es geschafft. Jetzt kann ich leicht weitere 100 gefälschte Bewertungen nach demselben Muster erstellen und darf annehmen, dass die allermeisten tatsächlich durchschlüpfen werden. 

Porträtfoto von Dr. Sebastian Hallensleben, Experte für KI und Digitalisierung beim Verband VDE, vor einer Wand, die das VDE-Logo zeigt (Weiß auf Blau). Foto: Uwe Nölke.

Dr. Sebastian Hallensleben, 49, leitet den Bereich Digitalisierung und Künstliche Intelligenz (KI) bei der Technologieorganisation VDE. Sein besonderer Fokus liegt auf dem Umgang mit den Auswirkungen generativer KI, ethischen Fragen und dem Aufbau datenschutzfreundlicher Vertrauensinfrastrukturen. (Foto: Copyright VDE/Uwe Nölke)

Wie können sich Anbieter davor schützen?

Bisher nur schwer. Als Angreifer kann ich meine KI, die Fakes generiert, lernen lassen, sodass sie die Abwehrmechanismen überwindet – selbst wenn die Plattformen reagieren und diese Mechanismen immer wieder ändern.

Gleichzeitig verschiebt sich auch die Ökonomie der Plattformen zum Negativen. Moderation verlangt immer noch zu einem guten Teil manuelle Arbeit. Wenn ich jetzt zehn Mal so viele Bewertungen bekomme, die möglicherweise gefälscht sind, kann ich schwer zehn Mal so viele Moderatoren einstellen.

Ist bereits ein Anstieg an KI-generierten Fake-Bewertungen zu sehen?

Die Frage ist fast unmöglich zu beantworten. Denn man kann nur die schlechten Fakes erkennen. Die guten Fakes erkennt man nicht. Genau das macht sie aus. Andererseits kennen wir genügend Beispiele von schlechten Fakes, die aufgeflogen sind – egal, ob es um gefälschte Bewertungen geht oder Fake News in den sozialen Medien.

Deshalb würde ich umgekehrt argumentieren: Es gibt die technischen Möglichkeiten, um gute, kaum erkennbare Fakes herzustellen. Es gibt die kommerzielle Motivation, es zu tun, und auch die kriminelle Energie dazu. Es wäre sehr seltsam, wenn die technischen Möglichkeiten und die kommerzielle Motivation nicht zueinander finden würden.

Sobald ich ein Erkennungstool habe, das einigermaßen funktioniert, kann das ein Fälscher nutzen, um seine Fälschungstools weiter zu trainieren. Bestenfalls kommen wir damit in ein Wettrüsten hinein.

Mit Zahlen belegen lässt sich das aber nicht?

Es ist wahnsinnig schwer. Wenn jemand sagen würde, 30 oder 50 Prozent der Bewertungen sind gefälscht, dann hieße das, dass die Fakes zuverlässig erkannt wurden. Wenn ich es aber zuverlässig erkennen kann, dann kann ich es auch ausfiltern. Das Perfide ist ja gerade, dass ich die Fälschungen eben nicht zuverlässig erkennen kann. Deshalb argumentiere ich lieber: Es gibt die technischen Möglichkeiten, es gibt die kommerzielle, kriminelle Motivation. Beides findet zueinander. Das ist einfach unvermeidbar.

Könnte man KI gegen KI einsetzen, also automatisch erkennen, ob eine Bewertung maschinell verfasst wurde?

Das geht ein Stück weit. Aber sobald ich ein Erkennungstool habe, das einigermaßen funktioniert, kann das ein Fälscher natürlich nutzen, um seine Fälschungstools weiter zu trainieren, bis sie die Erkennungstools überwinden. Das heißt, bestenfalls kommen wir damit in ein Wettrüsten hinein. Für Text funktioniert dieser Ansatz bisher auch nur sehr unzuverlässig. OpenAI – der Entwickler von ChatGPT – hatte ursprünglich auch ein Erkennungstool veröffentlicht, hat das dann aber sehr schnell wieder vom Markt genommen.

Wir können nicht von Einzelnen erwarten, dass sie Fälschungen erkennen – besonders, wenn die Fälschungen zu gut werden.

Welche anderen Lösungen sehen Sie?

Ein weiterer Abwehrmechanismus, der immer genannt wird, ist Fact-Checking, also das Überprüfen der Inhalte auf mögliche Widersprüche. Fact-Checking ist immer gut, aber es ist immer auch ein zumindest teilweise manueller Prozess. Und wenn ich als Plattform mit einer Flut von potenziellen Fälschungen konfrontiert werde, komme ich – pragmatisch gesagt – einfach nicht hinterher.

Was ist mit Medienbildung? Sollten Menschen angeregt werden, Informationen stärker zu hinterfragen?

Medienbildung ist wichtig, aber wir können nicht von Einzelnen erwarten, dass sie Fälschungen erkennen – besonders, wenn die Fälschungen zu gut werden. Es würde auch heißen, die Verantwortung für ein systemisches Problem auf den Einzelnen abzuwälzen. Nach dem Motto: „Du bist ja selber schuld, dass du dich hast täuschen lassen.“ Das reicht nicht. Das wäre, als ob meine Bank sagen würde: „Oh, das Online-Banking ist gehackt worden? Lieber Kunde, daran bist du selber schuld. Es hat nichts mit uns zu tun.“

Welcher Weg bleibt dann noch, um das Problem zu lösen?

Wir müssen das Vervielfachen von Nutzerkonten ausschließen. Wir müssen eine Möglichkeit finden, dass jeder Mensch auf einer bestimmten Plattform nur einen Account haben kann – oder vielleicht zwei oder drei, aber nicht 100 oder 500 Accounts. Damit wäre schon viel gewonnen, und dafür gibt es technische Lösungen. In Deutschland haben wir sogar, denke ich, weltweit die eleganteste Lösung.

Der Personalausweis bietet eine Funktion, die genau das leistet, was wir brauchen. Sie wird ein sehr wichtiger Baustein sein in der nachhaltigen Abwehr von massenhaft generierten Fakes.

Wie sieht die aus?

Der Personalausweis bietet eine Funktion, die genau das leistet, was wir brauchen. Sie können sich damit gegenüber Online-Anbietern identifizieren, ohne Ihren Namen preiszugeben. Stark vereinfacht, fragt die Plattform den Ausweis: „Errechne mir bitte eine Zahlenfolge – ein Pseudonym-Token –, das spezifisch für den Ausweisinhaber ist und nur auf dieser Plattform gilt.“

Wenn ich in Fälschungsabsicht ein zweites Konto bei der gleichen Plattform anlegen möchte, errechnet der Ausweis genau das gleiche Token. Und dann merkt die Plattform: „Wir wissen zwar nicht, wer das ist, aber dieser Mensch hat gerade versucht, ein zweites, drittes oder zehntes Konto anzulegen.“

Auf diese Weise kann die Plattform verhindern, dass Menschen diverse Accounts eröffnen – ohne dass sie dazu Klarnamen braucht. Das ist eine ganz, ganz elegante Lösung, die man gar nicht oft genug loben kann. Und sie wird ein sehr wichtiger Baustein sein in der nachhaltigen Abwehr von massenhaft generierten Fakes.

Die meisten Menschen dürften diese Funktion gar nicht kennen. 

Der Personalausweis mit Chip, der 2010 eingeführt wurde, war seiner Zeit deutlich voraus. Der damalige Entwicklungsleiter im Bundesinnenministerium, Marian Margraf,  ist heute Informatik-Professor an der Freien Universität Berlin. Der Ausweis bietet eine ganze Reihe von Funktionen, mit denen man sich online identifizieren kann. Das Pseudonym ist eine davon, wird aber bisher so gut wie gar nicht eingesetzt.

Warum nicht? Was müssen Online-Anbieter tun, um diese Funktion zu nutzen?

Zum einen muss eine Plattform diesen Verifizierungsmechanismus in ihre Systeme integrieren. Wir arbeiten gerade an einem Pilot-Projekt mit HolidayCheck und Jameda. Da übernehmen wir als VDE die technische Umsetzung. Das ist eigentlich gar nicht so schwierig, bedeutet aber viel Verwaltungsarbeit, weil man bei D-Trust – einer Tochter der Bundesdruckerei – die Erlaubnis bekommen muss, auf den Ausweis zuzugreifen.

Zum anderen muss ich mir als Anbieter überlegen: Was mache ich mit der Verifizierung? Im einfachsten Fall nutze ich sie nur, um die Konto-Vervielfachung auszuschließen. Man kann aber auch einen Schritt weitergehen und die verifizierten Konten klar kennzeichnen. Das halte ich für sehr sinnvoll, denn es wird immer so sein, dass sich viele Nutzer nicht verifizieren und dass Plattformen es auch nicht verpflichtend machen möchten – andernfalls müssten sie ja viele Nutzer ausschließen.

Ein Paar sitzt vor dem Laptop und erledigt seine Steuererklärung online, daneben ein Bild der Online-ID-Funktion des deutschen Personalausweises.

Multitalent Personalausweis: Für die Steuererklärung, Online-Banking und diverse andere Anwendungen bietet die unscheinbare Plastikkarte die Möglichkeit einer sicheren Identifizierung im Internet. Wer mag, kann den Ausweis auch für eine rechtsverbindliche elektronische Unterschrift einsetzen oder sich mit einem Pseudonym registrieren. Dabei wird eine Zahlenfolge errechnet, die sich dem Besitzer eindeutig zuordnen lässt, ohne dass dabei der Name oder andere persönliche Informationen übermittelt werden. Wie sich die Funktionen im Einzelnen nutzen lassen, erklärt das Bundes-Innenministerium in einer Broschüre, die gratis als PDF heruntergeladen werden kann.

Wie bekommt man Nutzer dazu, sich an dem System zu beteiligen?

Die Verifizierung dauert nicht lange. Sie brauchen ein Handy und die offizielle Ausweis-App, mit der Sie sich auch gegenüber Verwaltungen oder Unternehmen online identifizieren können. Die App zeigt Ihnen, welche Daten ausgelesen werden; so können Sie prüfen, dass nur die von Ihnen gewollten Informationen übermittelt werden. Zur Bestätigung geben Sie Ihre sechsstellige Ausweis-PIN ein, und damit hat es sich auch schon.

Dennoch: Es ist ein zusätzlicher Aufwand. Deshalb sollten sich Plattformen überlegen, welche Anreize sie ihren Nutzern für die Identifizierung geben. Das könnten Gutscheine sein oder Extras, die andere Nutzer nicht bekommen – zum Beispiel die Möglichkeit, nur die Verifizierungs-Häckchen anderer zu sehen, wenn sie sich selbst verifizieren lassen. Das wäre ähnlich wie bei Messenger-Apps: Wenn ich sehen möchte, ob meine Nachricht gelesen wurde, dann muss ich das selbst ebenfalls zulassen. Also ein Geben und Nehmen.

Was planen Sie für das Pilotprojekt mit HolidayCheck und Jameda?

Es wird – wie bei solchen Tests üblich – im relativ kleinen Kreis beginnen. HolidayCheck und Jameda werden einen Teil ihrer Nutzer einladen, die neue Funktion  auszuprobieren. Das soll im Mai 2024 beginnen, und wie es weitergeht, wird stark vom Feedback abhängen, das wir von den Menschen erhalten. Ist der Prozess einfach genug? Sind die Erklärungen verständlich? Brauchen wir bessere Anreize? All das muss das Pilotprojekt zeigen.

Welche Rolle spielt der VDE dabei? Sie sind ja eigentlich eine ingenieursgetriebene Organisation.

Es liegt nicht unbedingt auf der Hand, das stimmt. Der VDE ist jetzt über 130 Jahre alt. Da kann man sich schon fragen: Was spielt solch eine Organisation für eine Rolle bei künstlicher Intelligenz und Fake-Bewertungen?

Die Antwort wird schnell klar, wenn wir zurückschauen, warum es den VDE gibt: Er wurde gegründet in einer Zeit, als Elektrizität die neue, spannende, aber auch gefährliche Technologie war. Es war Wilder Westen. Nichts hat zueinander gepasst, kein Stecker, keine Steckdose. Es gab sehr viele Unfälle.

Deshalb haben sich Elektroingenieure unter Bernhard von Siemens zusammengeschlossen und angefangen, Standards und Sicherheitsanforderungen zu entwickeln, die Ausbildung für Elektriker zu vereinheitlichen. Das war eine wichtige Voraussetzung dafür, dass die neue Technologie sich durchsetzen und wirtschaftlich wachsen konnte – weil die Märkte nun funktionierten, Elektrizität aber auch gesellschaftlich akzeptiert wurde.

Es ist wieder Wilder Westen. Jeder versucht, seine eigenen Entwicklungen durchzusetzen. Wir haben wahnsinnig viel Potenzial, wir haben aber auch große Risiken bei der gesellschaftlichen Akzeptanz.

KI sehen Sie an einem ähnlichen Punkt wie damals die Elektrizität?

Ja, im Grunde haben wir heute den Luxus, dass wir diese Gründerzeit noch einmal durchleben können. Nur, dass es diesmal um digitale Technologien wie künstliche Intelligenz geht. Es ist die gleiche Situation, es ist wieder Wilder Westen, wenn wir uns ansehen, was OpenAI und andere Firmen machen. 

Nichts passt zueinander. Jeder versucht, seine eigenen Entwicklungen durchzusetzen. Wir haben wahnsinnig viel Potenzial, wir haben aber auch große Risiken bei der gesellschaftlichen Akzeptanz. Es gibt zu viele Unfälle, zu viel Missbrauch – und die Aussicht, dass die Stimmung ins Negative kippt. 

Aus dieser Perspektive heraus bin ich 2018 zum VDE  gekommen und habe die Aufgabe übernommen, den Bereich Digitales aufzubauen. Die Herausforderung passt zum Gesamtversprechen des VDE, Schutz, Sicherheit und Überprüfbarkeit zu garantieren. Das ist das, wofür der VDE steht – auch mit Blick auf KI und gefälschte Bewertungen.

Mal angenommen, ein Großteil der Nutzer würde sich über den Personalausweis verifzieren lassen: Wer sagt, dass diese Menschen dann die Wahrheit schreiben?

Zu prüfen, wie ehrlich die Menschen sind, wird eine Herausforderung bleiben – aber dafür gibt es ja bewährte Mechanismen, die jetzt schon greifen. Der große Unterschied ist: Mit der Verifizierung können wir unterbinden, dass Betrüger etliche Konten anlegen, um KI-generierte Fake-Reviews zu veröffentlichen. 

Wenn jemand, der verifiziert ist, durch offensichtlich gefälschte Bewertungen auffällt, kann die Plattform diesen Nutzer sperren. Und dieser Mensch kann dann zwar versuchen, ein neues Konto anzulegen – aber sobald er versucht, dieses Konto zu verifizieren, sieht die Plattform: „Oh, den kenne ich schon. Ich weiß immer noch nicht, wer es ist – aber ich weiß: Den haben wir schon mal gesperrt, also darf er kein neues Konto anlegen.“ Diese Möglichkeit, unehrliche Nutzer nachhaltig zu sperren, ist ein großes Plus bei diesem Ansatz.