Digitale Forensik oder auch IT-Forensik bezieht sich auf die Anwendung von wissenschaftlichen Techniken und Methoden, um digitale Beweise gerichtsverwertbar zu erheben. Es umfasst die Untersuchung von Daten, die auf digitalen Geräten wie Computern, Mobiltelefonen, Servern, Speicherkarten und anderen digitalen Speichermedien gespeichert sind.

IT-Forensik hat in der heutigen Strafverfolgung einen hohen Stellenwert. Mit der zunehmenden Digitalisierung werden immer mehr Beweismittel in digitaler Form gespeichert. Die IT-Forensik bietet die Möglichkeit, diese digitalen Beweismittel so zu sammeln, zu analysieren und zu bewerten, dass sie vor Gericht verwertbar sind. Die Bedeutung der IT-Forensik geht jedoch weit über die Strafverfolgung hinaus. Unternehmen und Organisationen nutzen IT-Forensik, um Datenverluste, Betrug, Verletzung von Datenschutzrichtlinien und andere Vorfälle zu untersuchen. Die Bild- und Dokumenten-Analyse ist ein wichtiger Aspekt der IT-Forensik, da Bilder beziehungsweise digitale Dokumente oft wichtige Beweise in Fällen von Straftaten, Urheberrechtsverletzungen und anderen Rechtsstreitigkeiten darstellen können. Bei der Analyse von Bildern und Dokumenten werden verschiedene Techniken und Methoden eingesetzt, um die Integrität und Authentizität zu überprüfen und Informationen zu gewinnen.

Wahrung der Integrität von digitalen Beweismitteln

Bevor die Analyse von digitalen Beweismitteln beginnen kann, muss eine sichere Konservierung durchgeführt werden. Eine sichere Konservierung ist notwendig, damit vor Gericht die Unversehrtheit (Integrität) und Echtheit (Authentizität) von digitalen Bildern und Dokumenten bewiesen werden kann. Dabei wird das gesamte Speichermedium physisch ausgelesen und entweder in Form eines Images oder ein Teilbereich in Form von logischen Dateien wie Dokumente, Emails von einem Email-Server, Auszüge aus spezifischen Programmen, Datenbanken oder Netzwerklaufwerken (Liste nicht abschliessend) geklont. Nach dem Klonen wird ein Hashwert der gesicherten Datenbestände errechnet und gespeichert. Dabei werden meistens Hash-Algorithmen wie MD5, SHA1 oder SHA256 eingesetzt. Wobei MD5 und SHA1 nicht mehr eingesetzt werden sollten, da diese Hash-Funktionen nicht mehr als kollisionsresistent gelten. Um die Integrität und Unveränderlichkeit des ursprünglich sichergestellten Beweismittels zu gewährleisten, finden die forensischen Analysen der Daten ausschliesslich auf dem Klon statt. Durch die Arbeit auf einem Klon werden potenzielle Veränderungen oder Manipulationen vermieden, die bei direkter Analyse des Originals auftreten könnten. Der Klon dient als Arbeitskopie, auf der verschiedene Techniken und Tools angewendet werden können, ohne das Original zu beeinträchtigen. Dadurch wird sichergestellt, dass die Ergebnisse der forensischen Analyse verlässlich und vor Gericht verwertbar sind, während das originale Beweismittel unverändert bleibt.

Bildanalyse

Die Analyse von Bildern ist ein wichtiger Bestandteil der IT-Forensik und erfordert spezielle Kenntnisse und Fähigkeiten. Der Einsatz von verschiedenen Technologien wie die Metadatenanalyse, die forensische Bildanalyse, die Gesichtserkennung, die teilweise mit Deep-Learning verbessert wird, unterstützen dabei die Beweismittelsicherung. Wichtig zu beachten ist, dass die Verwendung von Bildern als Beweismittel in der IT-Forensik bestimmte Richtlinien und Protokollen folgen muss, um sicherzustellen, dass die Integrität des Beweismittels nicht beeinträchtigt wird. Dies beinhaltet nebst der oben erwähnten sicheren Konservierung auch die Gewährleistung der Kette der Beweismittelführung und die Einhaltung von Best Practices für die Beweismittelaufbewahrung. Üblicherweise stellen die Behörden zuerst die elektronischen Beweismittel in geeigneter Form sicher. Dies kann durch Beschlagnahme von Geräten, Festplatten, USB-Sticks oder anderen Speichermedien erfolgen. Es wird ein Protokoll erstellt, das detaillierte Informationen über den Fund, den Zustand des Beweismittels, den Ort und die beteiligten Personen enthält. Dieses Protokoll dient als Nachweis für die ordnungsgemässe Sicherstellung. Die elektronischen Beweismittel werden anschliessend sicher und kontrolliert transportiert, um Verlust oder Beschädigung zu vermeiden. Dies kann durch den Einsatz spezialisierter Transportmittel oder verschlüsselter Speichermedien erfolgen. Nach der Sicherstellung werden die Beweismittel versiegelt, um sicherzustellen, dass sie während der Aufbewahrung nicht manipuliert werden. Dies kann durch den Einsatz von Siegeln, Sicherheitsetiketten oder digitaler Versiegelungstechnologie erfolgen. Bei der sicheren Aufbewahrung der Beweismittel werden Massnahmen ergriffen, um unbefugten Zugriff, Beschädigung oder Verlust zu verhindern.

Metadatenanalyse

Metadaten sind Informationen über eine Datei, die in der Datei selbst gespeichert sind. Durch die Analyse von Metadaten können Informationen wie der Erstellungszeitpunkt, je nach Datei der Standort und das verwendete Gerät abgerufen werden. Wenn zum Beispiel ein Bild nach dessen Aufnahme bearbeitet wurde, kann dies ebenfalls in den Metadaten der Datei ersichtlich sein, sofern diese Informationen nicht gezielt entfernt wurden. Eine Einführung in EXIF-Tags ist im Artikel Technische Bild-Forensik zu finden. Die gesetzten EXIF-Tags werden vom Kamera- beziehungsweise Gerätehersteller bestimmt. Dies hängt von den Möglichkeiten der Kamera und der Konfiguration des Benutzers ab. Bei der Analyse eines mit dem iPhone geschossenen Bildes kamen folgende interessante EXIF-Tags zum Vorschein:

Camera Model Name : iPhone 11 Pro 
Software : 16.3.1 
Lens Model : iPhone 11 Pro back triple camera 4.25mm f/1.8

Es kam auch ein etwas skurriler EXIF-Tag hervor, mit welchem nicht gerechnet wurde:

Run Time Since Power Up : 13 days 17:06:35

Hier wurde die Laufzeit des Geräts seit dem letzten Neustart, die sogenannte Uptime, zum Zeitpunkt der Fotoaufnahme in die EXIF-Informationen des Fotos hineingeschrieben. Mit dieser Information haben wir während der Recherche zu EXIF-Tags nicht gerechnet, da sie sich sehr unterscheidet zwischen Fotoapparaten und Smartphones. Wir konnten bis auf zusätzliche Information für eine möglichen Reparatur an keine weiteren Use-Cases denken. Ein gängiges Tool für die Extraktion von EXIF-Informationen ist das exiftool.

Forensische Bild-/Dokumentenanalyse

Bei der forensischen Bild- oder Dokumentenanalyse werden verschiedene Techniken verwendet, um die Echtheit eines Bildes oder Dokumentes zu überprüfen und um Manipulationen oder Verfälschungen des Inhaltes aufzudecken. Beispiele hierfür sind die Analyse von Pixeln, die Erkennung von Bildkompression, die Analyse von Wasserzeichen und die Überprüfung der Farbbalance des Bildes. Zur Darstellung von unterschiedlicher Farbbalance in einem Bild oder Dokument hilft der Einsatz eines Histogramms oder anderen Farbdarstellungen, um zum Beispiel die Verwendung von zwei unterschiedlichen Stiften bei einer handschriftlichen Unterschrift aufzuzeigen.

Die linke Farbdarstellung zeigt die Stiftfarbe des Buchstaben “T”, welche sich deutlich von der Stiftfarbe des Buchstaben “e” unterscheidet, dargestellt auf der rechten Farbdarstellung.

Gesichtserkennung

Gesichtserkennungstechnologien werden immer häufiger bei der Untersuchung von Straftaten eingesetzt. Diese Technologie ermöglicht es, Gesichter auf Bildern mit anderen Aufnahmen zu vergleichen, um die Identität von Personen zu bestimmen. Dabei können bestehende Bilder inklusiv ein Profilfoto der gesuchten Person in ein Gesichtserkennungstool übermittelt werden. Sind keine Bilder vorhanden, sondern beispielsweise eine Videoaufnahme, ist diese zuerst in Bildausschnitte (zum Beispiel alle drei Sekunden ein Bild) zu unterteilen. Die aus dem Video extrahierten Bilder können anschliessend in ein Gesichtserkennungstool übermittelt werden, wo die Bilder nach den darauf erkennbaren Gesichtern gruppiert werden. Eine mögliche Fotoplattform, auf welcher eine starke Gesichtserkennung freigeschaltet ist, ist Google Photos. Die Gesichtserkennung von Google Photos läuft grössten Teils vollautomatisch ab. Die genauen Details zur Funktionsweise sind jedoch nicht öffentlich bekannt, da Google keine ausführlichen Informationen zu den internen Algorithmen und Technologien preisgibt. Um die Gesichtserkennung von Google Photos nutzen zu können, ist zuerst ein Google-Konto notwendig. Nach der Installation der Google Photos Applikation und der erfolgreichen Anmeldung mit dem Google-Konto, kann der Zugriff auf die auf dem Gerät vorhandenen Fotos gewährt werden. Nach der Aktivierung der Gesichtserkennung in den Einstellungen, läuft die Gesichtserkennung automatisch. Je nach Anzahl der Fotos und der Geschwindigkeit der Internetverbindung kann dieser Vorgang einige Zeit dauern. Indem erkannten Gesichtern ein Name oder eine Identität hinzugefügt wird, kann die Genauigkeit der Gesichtserkennung verbessert werden.

Deep-Learning-Technologie

Die Verwendung von Deep-Learning-Technologien in Form von trainierten künstlichen neuronalen Netzen oder Ansätze basierend auf Convolutional Neural Networks (CNNs) ermöglichen es, grosse Mengen an Daten effektiver zu analysieren und Muster oder Gesichter in Bildern zu erkennen. Durch den Einsatz von grossen Datensätzen mit Gesichtern aus verschiedenen Perspektiven und mit unterschiedlichen Lichtverhältnissen ist es möglich, Gesichter schneller und akkurater zu identifizieren. Durch eine Verlängerung der Trainingsphase, dem Erweitern des Trainingsdatensets oder durch Änderungen der Architektur des neuronalen Netzwerks kann das eingesetzte Deep-Learning-Modell kontinuierlich verbessert werden.

Fazit

IT-Forensik entwickelt sich stetig weiter, um den Bedürfnissen der sich immerwährenden ändernden digitalen Landschaft gerecht zu werden. IT-Forensiker werden sich anpassen und neue Technologien, Tools und Methoden entwickeln müssen, um effektiv Beweismittel zu sammeln und zu analysieren. So ermöglicht beispielsweise maschinelles Lernen die schnellere Verarbeitung und Analyse grosser Datenmengen. Durch den Einsatz von Algorithmen des maschinellen Lernens können zudem Muster, Anomalien und Zusammenhänge in den Daten erkannt werden, die auf verdächtige Aktivitäten hinweisen können. Dies hilft Forensikern, potenziell relevante Beweise effizienter zu identifizieren und zu analysieren.

Über die Autoren

Michèle Trebo hat einen Bachelor in Informatik an der ZHAW abgeschlossen und war sechs Jahre lang als Polizistin, unter anderem zur Aufklärung und Auswertung von Cybercrime, tätig. Sie zeichnet sich im Bereich Forschung für kriminalistische Themen wie Darknet, Cyber Threat Intelligence, Ermittlungen und Forensik verantwortlich. (ORCID 0000-0002-6968-8785)

Ralph Meier hat eine Lehre als Applikationsentwickler, Fokus Webentwicklung mit Java, bei einer Schweizer Grossbank absolviert und danach einen Bachelor of Science ZFH in Informatik an der ZHAW School of Engineering abgeschlossen. Er fokussiert sich auf die sicherheitstechnische Untersuchung von Webapplikationen. (ORCID 0000-0002-3997-8482)

Links

• https://exiftool.org/
• https://www.itsec.techfak.fau.de/files/2019/07/Einfuehrung_Digitale_Forensik_Leseprobe.pdf