Face-Swapping-Deepfakes greifen nicht das Bild an – sie greifen die Identität an, dort wo sie maschinell kodiert ist: im hochdimensionalen Einbettungsraum neuronaler Erkenner. Solange Schutzverfahren nur auf Pixelebene operieren, kämpfen sie an der falschen Front. ID-Eraser wechselt die Ebene – und zeigt, was strukturell wirksame Gegenwehr bedeutet. Für die Governance digitaler Identität stellen sich damit Fragen, die über die Technologie weit hinausgehen.

Wer über den Schutz digitaler Identität nachdenkt, denkt in der Regel über Zugangskontrollen, Authentifizierungsverfahren und kryptographische Protokolle nach. Die biometrische Dimension des Problems – das Gesicht als persistentes, unwiderrufliches Identitätsmerkmal – tritt dabei oft hinter den institutionellen Architekturen zurück, die man zu schützen sucht. Das ist eine gefährliche Asymmetrie. Face-Swapping-Deepfakes haben in den vergangenen Jahren gezeigt, dass das eigentliche Angriffsziel nicht das Passwort und nicht das Token ist, sondern das Identitätssignal selbst, das jedes Gesichtsbild unweigerlich aussendet.

Die technische Analyse, die der Methode namens ID-Eraser zugrunde liegt, beginnt mit einer präzisen Beschreibung dieses Angriffsvektors. Moderne Face-Swapping-Systeme – SimSwap, InfoSwap, E4S, BlendFace, UniFace – arbeiten nicht mit naiver Pixelmanipulation. Sie extrahieren aus einem Quellbild ein hochdimensionales Identitäts-Embedding, also eine kompakte numerische Repräsentation derjenigen Merkmale, die ein Gesichtserkenner als identitätsdefinierend betrachtet, und injizieren dieses Embedding in das Zielbild. Das Ergebnis ist ein synthetisches Gesicht, das die Attribute des Ziels – Pose, Beleuchtung, Mimik – mit der Identität der Quelle kombiniert. Was das Swap-Modell überträgt, ist nicht das Erscheinungsbild des Quellgesichts, sondern seine maschinelle Repräsentation. Pixelbasierte Störverfahren, die subtiles Rauschen in das Quellbild einbringen, scheitern an dieser Architektur: Ein robustes Embedding-Modell abstrahiert über solche Störungen hinweg und extrahiert dennoch die relevante Identitätsinformation.

Hier setzt ID-Eraser an einem konzeptuell anderen Punkt an. Statt das Bild auf der Pixelebene zu verändern, wird die Identitätsrepräsentation selbst im Merkmalsraum gestört. Ein Feature Perturbation Module berechnet, ausgehend vom extrahierten Identitäts-Embedding, einen Perturbationsvektor, der darauf ausgelegt ist, die Cosine-Ähnlichkeit zum ursprünglichen Identitätspunkt zu minimieren – das heißt: die Identität im Merkmalsraum maximal zu verschieben, ohne dass diese Verschiebung visuell sichtbar wird. Ein nachgeschalteter Generator, ein kompakter Swin-UNet-artiger Rekonstruktor, übersetzt das gestörte Embedding zurück in ein Bild, das optisch dem Original weitgehend entspricht, aber für Face-Swapping- und Face-Recognition-Modelle eine andere, inkonsistente Identität trägt.

Das ist konzeptuell keine kleine Verschiebung. Sie entspricht dem Unterschied …