Die digitale Forensik, auch bekannt als IT-Forensik, bedient sich wissenschaftlicher Verfahren und Methoden, um digitale Beweise zuverlässig zu erfassen, damit sie vor Gericht verwendet werden können. Sie beinhaltet die Untersuchung von Daten, die auf verschiedenen digitalen Geräten wie Computern, Mobiltelefonen, Servern, Speicherkarten und anderen Speichermedien gespeichert sind.

Die Bedeutung der IT-Forensik erstreckt sich über die Strafverfolgung hinaus und nimmt aufgrund der wachsenden Digitalisierung in anderen Bereichen ebenfalls zu. Unternehmen und Organisationen nutzen IT-Forensik, um Vorfälle wie Datenverluste, Betrug und Verstösse gegen Datenschutzrichtlinien zu untersuchen und aufzudecken. Durch die Anwendung von IT-Forensik können digitale Beweismittel gesammelt, analysiert und bewertet werden, um vor Gericht verwendet werden zu können. Die forensische Analyse von Bildern und Dokumenten ist ein Hauptbestandteil von IT-Forensik. Eine Einführung und dazugehörige Techniken können im vorherigen Artikel gelesen werden: IT-Forensik Analyse von Bildern und Dokumenten Ein weiterer wesentlicher Aspekt der IT-Forensik ist die Videoanalyse, die dazu beiträgt, die Authentizität von Videoaufnahmen zu überprüfen und wertvolle Informationen aus den Videos zu extrahieren. Dabei werden verschiedene Techniken und Methoden angewendet.

Videoanalyse

Die Analyse von Videos ist ein wichtiger Bestandteil der IT-Forensik und erfordert spezielle Kenntnisse und Fähigkeiten. Wichtig zu beachten ist, dass die Verwendung von Videos als Beweismittel in der IT-Forensik bestimmte Richtlinien und Protokollen folgen muss, um sicherzustellen, dass die Integrität des Beweismittels nicht beeinträchtigt wird. Dies beinhaltet die Gewährleistung der Kette der Beweismittelführung und die Einhaltung von Best Practices für die Beweismittelsicherung und -aufbewahrung. In der Regel werden elektronische Beweismittel von den Behörden zunächst in angemessener Form sichergestellt. Dies erfolgt durch die Beschlagnahme von Geräten wie Festplatten, USB-Sticks oder anderen Speichermedien. Dabei wird ein Protokoll erstellt, das detaillierte Informationen über den Fund, den Zustand des Beweismittels, den Ort und die beteiligten Personen enthält. Dieses Protokoll dient als Nachweis für die ordnungsgemässe Sicherstellung. Die elektronischen Beweismittel werden daraufhin sicher und kontrolliert transportiert, um Verlust oder Beschädigung zu vermeiden. Hierfür können spezialisierte Transportmittel oder verschlüsselte Speichermedien eingesetzt werden. Nach der Sicherstellung werden die Beweismittel versiegelt, um sicherzustellen, dass sie während der Aufbewahrung nicht manipuliert werden. Dies kann durch den Einsatz von Siegeln, Sicherheitsetiketten oder digitaler Versiegelungstechnologie erfolgen. Bei der sicheren Aufbewahrung der Beweismittel werden Massnahmen ergriffen, um unbefugten Zugriff, Beschädigung oder Verlust zu verhindern.

Authentizitätsanalyse

Die Authentizitätsanalyse von digitalen Inhalten spielt eine immer wichtigere Rolle in einer Zeit, in der Manipulationen und Fälschungen von Informationen und Medien weit verbreitet sind. Besonders im Bereich der forensischen Untersuchungen und der Medienanalyse ist die Überprüfung der Echtheit von grosser Bedeutung, um die Integrität von Beweismitteln und die Vertrauenswürdigkeit von Informationen sicherzustellen. Die Authentizitätsanalyse befasst sich mit der Überprüfung von Merkmalen und Eigenschaften eines digitalen Objekts, um festzustellen, ob es tatsächlich das ist, was es vorgibt zu sein, und ob es während des gesamten Erstellungs-, Übertragungs- und Speicherungsprozesses unverändert geblieben ist. Dieser Prozess beinhaltet die Untersuchung verschiedener Faktoren wie Metadaten, Datenstrukturen, Dateiformate, digitale Signaturen und andere charakteristische Merkmale des digitalen Objekts.

Metadaten

Metadaten spielen eine zentrale Rolle bei der Authentizitätsanalyse, da sie Informationen über den Ursprung, die Erstellung und die Bearbeitung des digitalen Objekts liefern können. Beispielsweise enthalten Bilddateien Metadaten wie Aufnahmedatum, Kameramodell, GPS-Koordinaten und möglicherweise den Namen des Fotografen. Durch die Analyse und Überprüfung dieser Metadaten können Unregelmässigkeiten, Widersprüche oder Manipulationen festgestellt werden. Eine mögliche Manipulation könnte beispielsweise darin bestehen, dass ein Foto mit einem späteren Datum versehen wurde, um eine bestimmte Geschichte zu unterstützen.

Technische Analysen

Technische Analysen von digitalen Inhalten können vielversprechende Hinweise auf Manipulationen liefern. Bei Bildern können beispielsweise Artefakte auftreten, die auf das Entfernen oder Hinzufügen von Objekten oder auf die Veränderung von Pixeln hinweisen. Bei Videos kann die Analyse der Bildrate, der Bewegungsmuster und der Audiowiedergabe Hinweise auf Bearbeitungen oder Synchronisierungsprobleme geben. Diese technischen Analysen erfordern oft spezialisierte Softwaretools und Fachkenntnisse.

Digitale Signaturen oder Zertifikate

Ein weiterer wichtiger Aspekt der Authentizitätsanalyse ist die Überprüfung von digitalen Signaturen oder Zertifikaten. Digitale Signaturen dienen dazu, die Echtheit und Integrität eines digitalen Objekts zu gewährleisten. Sie werden häufig verwendet, um digitale Dokumente oder Transaktionen zu verifizieren. Durch die Überprüfung der digitalen Signatur kann festgestellt werden, ob das Objekt seit der Unterzeichnung unverändert geblieben ist und ob der Unterzeichner vertrauenswürdig ist.

Automatisierte Methoden

Die Entwicklung von künstlicher Intelligenz und Deep-Learning-Algorithmen hat auch Auswirkungen auf die Authentizitätsanalyse. Es werden zunehmend automatisierte Methoden und maschinelle Lernalgorithmen eingesetzt, um Manipulationen in Bildern und Videos zu erkennen. Diese Techniken ermöglichen es, Veränderungen in Pixeln, Artefakte von Bildbearbeitungssoftware und unübliche Muster zu identifizieren. Maschinelle Lernalgorithmen können trainiert werden, um anhand von Beispielen zu lernen, welche Merkmale auf eine Manipulation hindeuten. Dies kann dazu beitragen, den Prozess der Authentizitätsanalyse effizienter zu gestalten und potenzielle Fälschungen schnell zu identifizieren.

Anwendungsbereiche

Die Authentizitätsanalyse findet in verschiedenen Bereichen Anwendung. In der forensischen Untersuchung von Straftaten können digitale Beweismittel wie Bilder, Videos oder Dokumente überprüft werden, um sicherzustellen, dass sie nicht manipuliert wurden und vor Gericht verwendet werden können. Im Journalismus und in den Medien ist die Überprüfung der Authentizität von entscheidender Bedeutung, um vertrauenswürdige Informationen bereitzustellen und Fehlinformationen oder gefälschte Inhalte zu vermeiden. In der Sicherheitsbranche werden Authentizitätsanalysen verwendet, um Manipulationen von Überwachungsvideos oder anderen sicherheitsrelevanten Aufnahmen aufzudecken. Es ist jedoch wichtig anzumerken, dass die Authentizitätsanalyse nicht immer eindeutige Ergebnisse liefert. Manchmal können Manipulationen so geschickt durchgeführt werden, dass sie schwer zu erkennen sind. Darüber hinaus können einige Techniken zur Fälschung von digitalen Inhalten dazu führen, dass sie als authentisch eingestuft werden, selbst bei sorgfältiger Analyse. Es ist daher ratsam, verschiedene Analysemethoden zu kombinieren und eine umfassende Bewertung vorzunehmen, um die Wahrscheinlichkeit einer erfolgreichen Authentizitätsanalyse zu erhöhen.

Frame-by-Frame-Analyse

Die Frame-by-Frame-Analyse ist eine Methode, die in verschiedenen Bereichen wie der IT-Forensik, der Videoüberwachung und der Filmindustrie eingesetzt wird, um detaillierte Informationen aus Einzelbildern eines Videos zu extrahieren, Beweise zu sammeln oder wertvolle Erkenntnisse zu gewinnen. Bei dieser Art der Analyse wird jedes Einzelbild sequenziell betrachtet und auf mögliche Merkmale, Ereignisse oder Muster untersucht. Der Prozess der Frame-by-Frame-Analyse beginnt damit, dass das Video in seine Einzelbilder aufgeteilt wird. Dies kann mithilfe spezialisierter Software oder Tools erfolgen. Jedes Bild wird dann einzeln analysiert und detailliert untersucht. Diese Analyse kann manuell oder mithilfe automatisierter Techniken wie maschinelles Lernen und Bildverarbeitungsalgorithmen durchgeführt werden, um bestimmte Merkmale oder Ereignisse automatisch zu erkennen. Diese Algorithmen werden mit grossen Mengen an Trainingsdaten trainiert, um bestimmte Muster oder Objekte im Video zu identifizieren. Während der Frame-by-Frame-Analyse können verschiedene Aspekte des Videos untersucht werden. Dies umfasst die Identifizierung von Personen, Fahrzeugen oder Objekten, die Bewegungsmuster, die Identifizierung von Gesichtern, Gesten oder Aktionen, die Analyse von Texten oder Symbolen im Video, die Erkennung von Veränderungen im Hintergrund oder das Auffinden von Beweisen für kriminelle Handlungen oder Unfälle. Jedes einzelne Frame wird sorgfältig betrachtet, um mögliche Hinweise oder Beweise zu finden, die für den jeweiligen Kontext relevant sein können. Die Dokumentation der Analyseergebnisse ist entscheidend, um die Integrität der gefundenen Beweise zu gewährleisten und die Ergebnisse später nachvollziehen zu können.

IT-Forensik

In der IT-Forensik kann die Frame-by-Frame-Analyse verwendet werden, um Beweise zu sammeln. Dies kann die Identifizierung von Verdächtigen anhand ihres Aussehens oder Verhaltens, die Verfolgung von Bewegungen vor, während und nach einem Verbrechen oder die Rekonstruktion eines Unfallszenarios umfassen. Die detaillierte Untersuchung jedes einzelnen Frames kann dazu beitragen, wichtige Informationen zu gewinnen, die bei der Identifizierung von Tätern oder der Rekonstruktion von Ereignissen von entscheidender Bedeutung sind.

Videoüberwachung

In der Videoüberwachung wird die Frame-by-Frame-Analyse eingesetzt, um verdächtige Aktivitäten zu erkennen, Sicherheitsverletzungen zu identifizieren oder ungewöhnliche Ereignisse zu überwachen. Durch die genaue Betrachtung jedes Frames können Abweichungen von normalen Mustern oder Verhaltensweisen erkannt werden. Dies kann die Erkennung von Einbrüchen, Vandalismus, Diebstahl oder anderen unerwünschten Ereignissen erleichtern.

Filmindustrie

In der Filmindustrie wird die Frame-by-Frame-Analyse verwendet, um visuelle Effekte zu erstellen, spezielle Aufnahmen zu bearbeiten oder Szenen zu verbessern. Durch die Untersuchung jedes Frames können visuelle Elemente wie Hintergrunddetails, Farbkorrekturen, Bildstabilisierung oder die Integration von CGI-Effekten (Computer Generated Imagery Effekte werden oft verwendet, um realistische visuelle Darstellungen von Fantasiewelten, ausserirdischen Kreaturen, Spezialeffekten, Explosionen, virtuellen Umgebungen und anderen Dingen zu erzeugen) angepasst werden. Dies ermöglicht eine präzise Kontrolle über das visuelle Erscheinungsbild eines Films und sorgt für eine nahtlose Integration von Effekten oder Änderungen in einer bestimmten Szene.

Herausforderungen

Es gibt jedoch auch einige Herausforderungen bei der Frame-by-Frame-Analyse. Die genaue Betrachtung und Auswertung grosser Mengen an Videomaterial erfordert viel Zeit und Ressourcen. Zudem kann die Qualität des Videos, wie beispielsweise Auflösung, Bildrauschen oder Komprimierung, die Genauigkeit der Analyse beeinflussen. Darüber hinaus können Bewegungsunschärfe, schnelle Bewegungen oder unklare Aufnahmen die Erkennung und Analyse von Details erschweren.

Zeitliche Analyse

Die zeitliche Analyse ist ebenfalls ein wichtiger Teil der forensischen Untersuchung von Videos. Sie befasst sich mit der Überprüfung der Bildrate, der Bewegungsmuster, der Synchronisierung von Audio und Video sowie der Zeitstempel, um Manipulationen und Unregelmässigkeiten aufzudecken. Die Analyse hilft, die Authentizität von Videos zu bestätigen und den genauen zeitlichen Ablauf von Ereignissen zu rekonstruieren. Maschinelles Lernen und künstliche Intelligenz unterstützen auch hier zunehmend automatisierte Analysen. Die zeitliche Analyse kann jedoch herausfordernd sein. Um genaue Ergebnisse zu erzielen und die Integrität von Videos sicherzustellen, braucht es Fachwissen und spezialisierte Ausrüstung.

Stimmforensik

Die Stimmforensik ist ein Fachgebiet, das sich mit der wissenschaftlichen Analyse stimmlicher Eigenschaften befasst. Sie wird verwendet, um die Identität einer Person anhand ihrer Stimme zu bestätigen oder stimmliche Manipulationen zu erkennen. Die Stimmforensik spielt eine wichtige Rolle in der Strafjustiz, der Abhörabwehr und der Medienanalyse. Durch die Analyse von Tonhöhe, Timbre und anderen stimmlichen Merkmalen können forensische Experten Rückschlüsse ziehen und genaue Ergebnisse erzielen. Es ist jedoch wichtig zu beachten, dass die Stimmforensik gewisse Grenzen hat und Manipulationen immer auch hier nicht auszuschliessen sind.

Erkennung von Deepfakes

Deepfakes sind trainierte Deep-Learning-Modelle, mit welchen es ein Leichtes ist ein Gesicht einer Drittperson mit einem Gesicht in einem beliebigen Video auszutauschen. Im Artikel Deepfakes eine Einführung gibt Andrea eine Einführung in das Thema. Bereits darin erwähnt sie das erste forensische Tool der US Defense Advanced Research Projekt Agency (DARPA) um Deepfakes identifizieren zu können. Im Jahr 2021 wurde das Paper Exposing Manipulated Photos and Videos in Digital Forensics Analysis zusammen mit einem vielversprechenden Autopsy Plugin veröffentlicht: Photo and video manipulations detector . Wie der Name des Plugins bereits verrät, soll das Plugin Manipulationen unter anderem auch Deepfakes in Fotos und Videos erkennen können. Bei Autopsy handelt es sich um eine Open Source Plattform für forensische Arbeiten mit digitalen Geräten und Dateien.

Beispiel – Steht Selenski hier wirklich mitten in Kiew?

Einen Monat nach der russischen Invasion vom 24. Februar 2022 forderte der ukrainische Präsident Selenski in einem Video alle freien Menschen dieser Erde dazu auf, sich für die Freiheit, den Frieden und damit – so seine Schlussfolgerung – auch für die Ukraine zu positionieren, steht Selenski hier wirklich mitten in Kiew?

Doch bei der genauen Betrachtung des Videos kommen Zweifel auf, ob Selenski tatsächlich auf offener Strasse von dem Kiewer Regierungsgebäude steht.

Aufgrund der Lichteinstrahlung in Selenskis Gesicht dürfte links von ihm eine helle warm-weisse Lampe (~3300 Kelvin) stehen. Diese müsste Einfluss auf den Schattenwurf des Soldaten im Hintergrund haben. Ein solcher bleibt jedoch aus. Zudem fehlt der Schattenwurf der beiden Lampen, die direkt vor Selenski stehen und anhand der Reflexion in seinen Augen erkennbar sind.

Das im Hintergrund erkennbare Licht, das seine linke Wange streift, hat nicht den erwarteten Einfluss auf seine Barthaare. Das sogenannte volumetrische Schimmern ist nicht ersichtlich. Weiter ist zu sehen, dass bei Minute 03:27 des Videos der Schatten des Soldaten sich bewegt, da er seine Position verändert. Nach dem Cut steht er aber noch immer still an der alten Position. Bei Minute 06:24 fällt ausserdem auf, dass der Soldat im Hintergrund in der gleichen Position verharrt, was bedeutet, dass dieser sogenannte Jump Cut kein echter, sondern lediglich ein nachträglich im Schnitt angefertigter Zoom ist. Zudem hat der Jump Cut den sonderbaren Effekt, dass sich der Hals des Soldaten sofort nach links verschiebt. Das ist nur möglich, wenn der Schnitt aus zwei unterschiedlichen Aufnahmen stammt. Sowohl der Soldat als auch das pulsierende Licht bleiben jedoch ihrer Kadenz treu. Somit handelt es sich beim Hintergrund um dieselbe weitergeführte Aufnahme. Auch interessant sind die fehlenden Umgebungsgeräusche. Dies ist nur möglich, wenn ein Richtmikrofon eingesetzt sowie Noise-Cancelling (Lärmunterdrückung) oder starke Kompression genutzt wurde. Des Weiteren entspricht der Klangeffekt von Selenskis Stimme, wie etwa der Hall, nicht der weitläufigen Strasse. Möglich ist das nur, wenn ein zielgenaues Richtmikrofon oder ein Ansteckmikrofon verwendet wurde. Beides ist auf dem Video nicht zu sehen. All diese Merkmale weisen auf ein fabriziertes Video und die Verwendung eines Greenscreens hin.

Zusammenfassung

Die Analyse von Videos in der IT-Forensik spielt eine wichtige Rolle bei der Untersuchung digitaler Videodaten. Ziel ist es, relevante Informationen zu extrahieren, Manipulationen zu identifizieren und die Integrität der Beweismittel sicherzustellen. Diese Analyse findet Anwendung in Bereichen wie Strafverfolgung, Gerichtsverfahren, digitaler Forensik und Sicherheitsüberprüfungen. Verschiedene Techniken und Methoden werden eingesetzt, um eine umfassende Videoanalyse durchzuführen. Zunächst erfolgt eine Authentizitätsanalyse, bei der die Echtheit des Videos und das Vorhandensein möglicher Manipulationen überprüft werden. Hierbei werden Metadaten wie Zeitstempel, Kameraeinstellungen und Dateiinformationen untersucht, um eventuelle Unstimmigkeiten oder Abweichungen festzustellen. Des Weiteren spielt die Frame-by-Frame-Analyse eine wichtige Rolle. Dabei werden einzelne Frames des Videos analysiert, um Merkmale wie Kompressionsartefakte, Farbunterschiede, Unregelmässigkeiten in den Kantenstrukturen und Anzeichen von Bearbeitungen aufzudecken. Diese Untersuchungen helfen dabei, Manipulationen zu identifizieren. Die zeitliche Analyse betrachtet die zeitlichen Aspekte des Videos. Hierbei wird die Bildrate überprüft, die Synchronisierung von Audio und Video analysiert sowie Bewegungsmuster untersucht. Abweichungen in diesen Bereichen können ebenfalls Hinweise auf Manipulationen liefern. Ein weiterer wichtiger Aspekt ist die Stimmforensik, die sich auf die Überprüfung der Echtheit von Audioaufnahmen im Video konzentriert. Merkmale der menschlichen Stimme werden analysiert, um Manipulationen oder synthetisch erzeugte Stimmen zu erkennen. Fortgeschrittene Techniken umfassen auch die Erstellung von 3D-Modellen, um Perspektiven, Schatten und Beleuchtung im Video zu analysieren. Dadurch können Anomalien oder Unregelmässigkeiten aufgedeckt werden. Durch den Einsatz spezialisierter Techniken und Werkzeuge können Forensikexperten Manipulationen identifizieren, die Echtheit von Videos überprüfen und somit zur Gewährleistung der Integrität des Beweismaterials beitragen. Eine besondere Herausforderung besteht darin, dass Manipulationstechniken immer fortschrittlicher werden. Es gibt eine Vielzahl von Werkzeugen und Softwareprogrammen, die es auch unerfahrenen Benutzern ermöglichen, digitale Inhalte zu manipulieren und Fälschungen zu erstellen. Daher ist es wichtig, dass die Methoden der Authentizitätsanalyse ständig weiterentwickelt werden, um mit den neuesten Manipulationstechniken Schritt zu halten.

Über die Autoren

Michèle Trebo hat einen Bachelor in Informatik an der ZHAW abgeschlossen und war sechs Jahre lang als Polizistin, unter anderem zur Aufklärung und Auswertung von Cybercrime, tätig. Sie zeichnet sich im Bereich Forschung für kriminalistische Themen wie Darknet, Cyber Threat Intelligence, Ermittlungen und Forensik verantwortlich. (ORCID 0000-0002-6968-8785)

Ralph Meier hat eine Lehre als Applikationsentwickler, Fokus Webentwicklung mit Java, bei einer Schweizer Grossbank absolviert und danach einen Bachelor of Science ZFH in Informatik an der ZHAW School of Engineering abgeschlossen. Er fokussiert sich auf die sicherheitstechnische Untersuchung von Webapplikationen. (ORCID 0000-0002-3997-8482)

Links

• https://github.com/saraferreirascf/Photo-and-video-manipulations-detector
• https://www.autopsy.com/
• https://www.itsec.techfak.fau.de/files/2019/07/Einfuehrung_Digitale_Forensik_Leseprobe.pdf
• https://www.mdpi.com/2313-433X/7/7/102
• https://www.tagesanzeiger.ch/was-steckt-hinter-diesem-panzerwrack-totenkopf-439914937537/2#event-list
• https://www.technologyreview.com/2018/08/07/66640/the-defense-department-has-produced-the-first-tools-for-catching-deepfakes/