Gefangen im Netz
Michèle Trebo
Aufdecken digitaler Beweise durch Dokumentenanalyse
IT-Forensik hat in der heutigen Strafverfolgung einen hohen Stellenwert. Mit der zunehmenden Digitalisierung werden immer mehr Beweismittel in digitaler Form gespeichert. Die IT-Forensik bietet die Möglichkeit, diese digitalen Beweismittel so zu sammeln, zu analysieren und zu bewerten, dass sie vor Gericht verwertbar sind. Die Bedeutung der IT-Forensik geht jedoch weit über die Strafverfolgung hinaus. Unternehmen und Organisationen nutzen IT-Forensik, um Datenverluste, Betrug, Verletzung von Datenschutzrichtlinien und andere Vorfälle zu untersuchen. Die Bild- und Dokumenten-Analyse ist ein wichtiger Aspekt der IT-Forensik, da Bilder beziehungsweise digitale Dokumente oft wichtige Beweise in Fällen von Straftaten, Urheberrechtsverletzungen und anderen Rechtsstreitigkeiten darstellen können. Bei der Analyse von Bildern und Dokumenten werden verschiedene Techniken und Methoden eingesetzt, um die Integrität und Authentizität zu überprüfen und Informationen zu gewinnen.
Bevor die Analyse von digitalen Beweismitteln beginnen kann, muss eine sichere Konservierung durchgeführt werden. Eine sichere Konservierung ist notwendig, damit vor Gericht die Unversehrtheit (Integrität) und Echtheit (Authentizität) von digitalen Bildern und Dokumenten bewiesen werden kann. Dabei wird das gesamte Speichermedium physisch ausgelesen und entweder in Form eines Images oder ein Teilbereich in Form von logischen Dateien wie Dokumente, Emails von einem Email-Server, Auszüge aus spezifischen Programmen, Datenbanken oder Netzwerklaufwerken (Liste nicht abschliessend) geklont. Nach dem Klonen wird ein Hashwert der gesicherten Datenbestände errechnet und gespeichert. Dabei werden meistens Hash-Algorithmen wie MD5, SHA1 oder SHA256 eingesetzt. Wobei MD5 und SHA1 nicht mehr eingesetzt werden sollten, da diese Hash-Funktionen nicht mehr als kollisionsresistent gelten. Um die Integrität und Unveränderlichkeit des ursprünglich sichergestellten Beweismittels zu gewährleisten, finden die forensischen Analysen der Daten ausschliesslich auf dem Klon statt. Durch die Arbeit auf einem Klon werden potenzielle Veränderungen oder Manipulationen vermieden, die bei direkter Analyse des Originals auftreten könnten. Der Klon dient als Arbeitskopie, auf der verschiedene Techniken und Tools angewendet werden können, ohne das Original zu beeinträchtigen. Dadurch wird sichergestellt, dass die Ergebnisse der forensischen Analyse verlässlich und vor Gericht verwertbar sind, während das originale Beweismittel unverändert bleibt.
Die Analyse von Bildern ist ein wichtiger Bestandteil der IT-Forensik und erfordert spezielle Kenntnisse und Fähigkeiten. Der Einsatz von verschiedenen Technologien wie die Metadatenanalyse, die forensische Bildanalyse, die Gesichtserkennung, die teilweise mit Deep-Learning verbessert wird, unterstützen dabei die Beweismittelsicherung. Wichtig zu beachten ist, dass die Verwendung von Bildern als Beweismittel in der IT-Forensik bestimmte Richtlinien und Protokollen folgen muss, um sicherzustellen, dass die Integrität des Beweismittels nicht beeinträchtigt wird. Dies beinhaltet nebst der oben erwähnten sicheren Konservierung auch die Gewährleistung der Kette der Beweismittelführung und die Einhaltung von Best Practices für die Beweismittelaufbewahrung. Üblicherweise stellen die Behörden zuerst die elektronischen Beweismittel in geeigneter Form sicher. Dies kann durch Beschlagnahme von Geräten, Festplatten, USB-Sticks oder anderen Speichermedien erfolgen. Es wird ein Protokoll erstellt, das detaillierte Informationen über den Fund, den Zustand des Beweismittels, den Ort und die beteiligten Personen enthält. Dieses Protokoll dient als Nachweis für die ordnungsgemässe Sicherstellung. Die elektronischen Beweismittel werden anschliessend sicher und kontrolliert transportiert, um Verlust oder Beschädigung zu vermeiden. Dies kann durch den Einsatz spezialisierter Transportmittel oder verschlüsselter Speichermedien erfolgen. Nach der Sicherstellung werden die Beweismittel versiegelt, um sicherzustellen, dass sie während der Aufbewahrung nicht manipuliert werden. Dies kann durch den Einsatz von Siegeln, Sicherheitsetiketten oder digitaler Versiegelungstechnologie erfolgen. Bei der sicheren Aufbewahrung der Beweismittel werden Massnahmen ergriffen, um unbefugten Zugriff, Beschädigung oder Verlust zu verhindern.
Metadaten sind Informationen über eine Datei, die in der Datei selbst gespeichert sind. Durch die Analyse von Metadaten können Informationen wie der Erstellungszeitpunkt, je nach Datei der Standort und das verwendete Gerät abgerufen werden. Wenn zum Beispiel ein Bild nach dessen Aufnahme bearbeitet wurde, kann dies ebenfalls in den Metadaten der Datei ersichtlich sein, sofern diese Informationen nicht gezielt entfernt wurden. Eine Einführung in EXIF-Tags ist im Artikel Technische Bild-Forensik zu finden. Die gesetzten EXIF-Tags werden vom Kamera- beziehungsweise Gerätehersteller bestimmt. Dies hängt von den Möglichkeiten der Kamera und der Konfiguration des Benutzers ab. Bei der Analyse eines mit dem iPhone geschossenen Bildes kamen folgende interessante EXIF-Tags zum Vorschein:
Camera Model Name : iPhone 11 Pro Software : 16.3.1 Lens Model : iPhone 11 Pro back triple camera 4.25mm f/1.8
Es kam auch ein etwas skurriler EXIF-Tag hervor, mit welchem nicht gerechnet wurde:
Run Time Since Power Up : 13 days 17:06:35
Hier wurde die Laufzeit des Geräts seit dem letzten Neustart, die sogenannte Uptime, zum Zeitpunkt der Fotoaufnahme in die EXIF-Informationen des Fotos hineingeschrieben. Mit dieser Information haben wir während der Recherche zu EXIF-Tags nicht gerechnet, da sie sich sehr unterscheidet zwischen Fotoapparaten und Smartphones. Wir konnten bis auf zusätzliche Information für eine möglichen Reparatur an keine weiteren Use-Cases denken. Ein gängiges Tool für die Extraktion von EXIF-Informationen ist das exiftool.
Bei der forensischen Bild- oder Dokumentenanalyse werden verschiedene Techniken verwendet, um die Echtheit eines Bildes oder Dokumentes zu überprüfen und um Manipulationen oder Verfälschungen des Inhaltes aufzudecken. Beispiele hierfür sind die Analyse von Pixeln, die Erkennung von Bildkompression, die Analyse von Wasserzeichen und die Überprüfung der Farbbalance des Bildes. Zur Darstellung von unterschiedlicher Farbbalance in einem Bild oder Dokument hilft der Einsatz eines Histogramms oder anderen Farbdarstellungen, um zum Beispiel die Verwendung von zwei unterschiedlichen Stiften bei einer handschriftlichen Unterschrift aufzuzeigen.
Die linke Farbdarstellung zeigt die Stiftfarbe des Buchstaben “T”, welche sich deutlich von der Stiftfarbe des Buchstaben “e” unterscheidet, dargestellt auf der rechten Farbdarstellung.
Gesichtserkennungstechnologien werden immer häufiger bei der Untersuchung von Straftaten eingesetzt. Diese Technologie ermöglicht es, Gesichter auf Bildern mit anderen Aufnahmen zu vergleichen, um die Identität von Personen zu bestimmen. Dabei können bestehende Bilder inklusiv ein Profilfoto der gesuchten Person in ein Gesichtserkennungstool übermittelt werden. Sind keine Bilder vorhanden, sondern beispielsweise eine Videoaufnahme, ist diese zuerst in Bildausschnitte (zum Beispiel alle drei Sekunden ein Bild) zu unterteilen. Die aus dem Video extrahierten Bilder können anschliessend in ein Gesichtserkennungstool übermittelt werden, wo die Bilder nach den darauf erkennbaren Gesichtern gruppiert werden. Eine mögliche Fotoplattform, auf welcher eine starke Gesichtserkennung freigeschaltet ist, ist Google Photos. Die Gesichtserkennung von Google Photos läuft grössten Teils vollautomatisch ab. Die genauen Details zur Funktionsweise sind jedoch nicht öffentlich bekannt, da Google keine ausführlichen Informationen zu den internen Algorithmen und Technologien preisgibt. Um die Gesichtserkennung von Google Photos nutzen zu können, ist zuerst ein Google-Konto notwendig. Nach der Installation der Google Photos Applikation und der erfolgreichen Anmeldung mit dem Google-Konto, kann der Zugriff auf die auf dem Gerät vorhandenen Fotos gewährt werden. Nach der Aktivierung der Gesichtserkennung in den Einstellungen, läuft die Gesichtserkennung automatisch. Je nach Anzahl der Fotos und der Geschwindigkeit der Internetverbindung kann dieser Vorgang einige Zeit dauern. Indem erkannten Gesichtern ein Name oder eine Identität hinzugefügt wird, kann die Genauigkeit der Gesichtserkennung verbessert werden.
Die Verwendung von Deep-Learning-Technologien in Form von trainierten künstlichen neuronalen Netzen oder Ansätze basierend auf Convolutional Neural Networks (CNNs) ermöglichen es, grosse Mengen an Daten effektiver zu analysieren und Muster oder Gesichter in Bildern zu erkennen. Durch den Einsatz von grossen Datensätzen mit Gesichtern aus verschiedenen Perspektiven und mit unterschiedlichen Lichtverhältnissen ist es möglich, Gesichter schneller und akkurater zu identifizieren. Durch eine Verlängerung der Trainingsphase, dem Erweitern des Trainingsdatensets oder durch Änderungen der Architektur des neuronalen Netzwerks kann das eingesetzte Deep-Learning-Modell kontinuierlich verbessert werden.
IT-Forensik entwickelt sich stetig weiter, um den Bedürfnissen der sich immerwährenden ändernden digitalen Landschaft gerecht zu werden. IT-Forensiker werden sich anpassen und neue Technologien, Tools und Methoden entwickeln müssen, um effektiv Beweismittel zu sammeln und zu analysieren. So ermöglicht beispielsweise maschinelles Lernen die schnellere Verarbeitung und Analyse grosser Datenmengen. Durch den Einsatz von Algorithmen des maschinellen Lernens können zudem Muster, Anomalien und Zusammenhänge in den Daten erkannt werden, die auf verdächtige Aktivitäten hinweisen können. Dies hilft Forensikern, potenziell relevante Beweise effizienter zu identifizieren und zu analysieren.
Unsere Spezialisten kontaktieren Sie gern!
Michèle Trebo
Michèle Trebo
Ralph Meier
Michèle Trebo
Unsere Spezialisten kontaktieren Sie gern!