So entschlüsselt die Strafverfolgung eure Fotos

Solange wir Menschen Fotos machen, wurden sie von uns auch manipuliert. Um Bilder zu verändern, musste man früher mit in der Dunkelkammer komplizierte Operationen ausführen können, wohingegen heute jeder mit einem Smartphone in der Lage ist, hunderte von mit frei verfügbaren Tools vornehmen kann. Während dieser Umstand für den eigenen Instagram-Feed praktisch sein kann, stellt es eine besondere Herausforderung für die Strafverfolgung dar. Bildern kann man nicht immer vertrauen, denn sie stellen nicht immer exakt dar, was tatsächlich geschehen ist.

So habe ich beispielsweise vor kurzem mehrere Fotos für die RSPCA (Royal Society for the Prevention of Cruelty to Animals, dt.: königliche Gesellschaft zur Verhütung von Grausamkeiten an Tieren, eine Tierschutzorganisation in England und Wales) analysiert, auf denen eine Ente zu sehen war, der ein Messer im Kopf steckte. Wir sollten feststellen, ob das Bild mit Photoshop manipuliert wurde. Auch die Behörden verlangen immer öfter, Bilder von Kriminaltechnikern verifizierren zu lassen – wie aber wird das gemacht und wo führt es hin?

Die Bildverarbeitungskette

Analysten verlassen sich derzeit auf Kenntnisse der „Bildverarbeitungskette“, um Bilder zu untersuchen und zu validieren. Diese Kette ist oft in sechs Hauptbereiche unterteilt:

  1. Physik: Schatten, Beleuchtung und Reflexionen
  2. Geometrie: Fluchtpunkte, Entfernungen im Bild und 3D-Modelle
  3. Optisch: Linsenverzerrung oder Abweichungen
  4. Bildsensor: Grundrauschen und Farbfilterfehler
  5. Dateiformat: Metadaten, Dateikomprimierung, Miniaturansicht und Marker
  6. Pixel: Skalieren, Zuschneiden, Klonen oder Zurücksetzen
Bildkette (Image by Richard Matthews)
Das Flussdiagramm wie Eigenschaften von Bildern, numerisch aufgelistet von Strafverfolgern untersucht werden. Image by Richard Matthews.

Anstelle des Sichtbaren ist es oft das Unsichtbare, mit dem unsere Untersuchungen beginnen. Hier konzentrieren wir uns auf die in den Bildern aufgenommenen Metadaten (Ebene 5 im Schema oben).

Dateiformat-Spurensuche: Metadaten

Wenn ein Bild gespeichert wird, enthält die Datei typischerweise Daten über das Bild, die als Metadaten bekannt sind. Es gibt mehr als 460 Metadaten-Tags innerhalb des austauschbaren Bilddateiformats für digitale Standbildkameras (EXIF 2.3). Diese Angaben unterstützten Kameras dabei, Formate zu verwenden, die zwischen Geräten ausgetauscht werden können – zum Beispiel, dass ein iPhone-Foto korrekt auf einem Samsung-Gerät angezeigt wird. Tags können Bildgröße, Standortdaten, eine kleinere Vorschau des Bildes und sogar die Marke und das Kameramodell enthalten.

Herausfinden, welche Kamera welche Fotos aufgenommen hat

In einer kürzlich durchgeführten Untersuchung konnten wir eine Bildersammlung überprüfen, die als die „Byethorne-Ente“ bekannt ist. Die Bilder, die von der RSPCA an „The Advertiser” geliefert wurden, zeigen eine Ente, in deren Kopf ein Messer steckte. Es kam rasch die Vermutung auf, dass die Bilderreihe mittels Photoshop verfälscht worden sei.

Die Byethorne-Ente (Images provided by RSPCA)
Bilder der Ente aus dem Byethorne Park. Images by RSPCA.

Wir untersuchten die Bilder mit dem ExifTool von Phil Harvey und konnten feststellen, dass vier der Bilder (links oben) von einer Kamera aufgenommen wurden, wobei der Rest von einer anderen aufgenommen wurde.

Dieses wurde anhand von Sensormustergeräuschen und statistischen Methoden bestätigt. Wir haben mit Signalverarbeitungsfiltern einen einzigartigen Fingerabdruck aus jedem Bild extrahiert und verglichen, wie sehr sie sich ähneln. Ein hoher Wert zeigt an, dass sie sich sehr ähnlich sind und wahrscheinlich miteinander korrelieren, während ein niedriger Wert darauf hindeutet, dass sie verschieden sind und es unwahrscheinlich ist, dass sie in Verbindung miteinander stehen.

Als wir vier der fünf Dateninformationspakete der Bilder verglichen, erhielten wir weit über 2000 Merkmale. Vorausgesetzt, sie korrelieren miteinander, können wir sagen, dass die Bilder vermutlich von der gleichen Kamera stammen. Als wir das fünfte Bild testeten, war der Ähnlichkeitswert, den wir erhielten, nahezu bei Null angekommen.

Metadaten Entenbilder (Image by Richard Matthews
Die Metadaten verschiedener Bilder der Byethorne Ente im Vergleich. Sie zeigen zwei verschiedene einzigartige Bildidentifikatoren, die mit einer Smarphone Firmware verknüpft werden konnten. Image by Richard Matthews.

Das spezifische Bild-ID-Feld enthielt auch die Kamera-Firmware-Nummer. Durch Querverweise zur Bild- und Sensorgröße, die ebenfalls in den Metadaten enthalten sind, nahmen wir an, dass entweder ein Samsung Galaxy S7 oder S7 Edge verwendet wurde, um die ersten vier Bilder aufzunehmen und ein Samsung Galaxy S5 für das fünfte Bild genutzt wurde.

In den Metadaten wird außerdem der Zeitpunkt angezeigt, an dem die Bilder aufgenommen wurden. So kann eine Zeitleiste erstellt werden, die besagt, wann die Bilder aufgenommen wurden und von wem sie stammen.

Frequency of PhotosTaken (Image by Richard Matthews)
Die Zeiten, an denen die Bilder gemacht wurden, der jeweiligen Smartphone-Kamera zugeordnet. Image by Richard Matthews

Da die Fotos von zwei verschiedenen Kameras über einen Zeitraum von etwa einer Stunde aufgenommen wurden, ist es höchst unwahrscheinlich, dass die Bilder hätten gefälscht sein könnnen. Ein RSPCA-Sprecher bestätigte, dass er Bilder von der Ente von zwei unterchiedlichen Leuten erhalten hat. Das passt ins Bild. Bisher gab es jedoch nicht genügend Beweise, um die Identität eines Täters zu bestimmen.

Aus einem Bild den Standort einer Person feststellen

Das Kameramodell ist nicht das einzige, was aus den Metadaten bestimmt werden kann. Wir können sehen, wo sich mein Büro befindet, indem ich dieses Bild analysiere, das jemand von einem Stapel Bücher gemacht hat, die sich an meinem Arbeitsplatz befinden.

Bücherregal (Image by Richard Matthews)
Bücherregal (Image by Richard Matthews)
Metadaten Buecherregal (Image by Richard Matthews)
Die Metadaten des Fotos im ExifTool. Image by Richard Matthews.

Die GPS-Koordinaten sind direkt in die Bildmetadaten eingebettet. Durch das Platzieren dieser Koordinaten in Google Maps wird der genaue Standort meines Büros angezeigt. Diese offensichtliche Datenschutz-Angelegenheit erklärt, warum beispielsweise Facebook üblicherweise Metadaten aus hochgeladenen Bildern entfernt.

GPS Daten (Screenshot by Richard Matthews)
Die genaue Standort des Büros von Richard Matthews an der Universität von Adelaide kann durch die Analyse der Metadaten, die das Bild des Bücherregals enthält, herausgefunden werden. Screenshot by Richard Matthews.

Laut einem Facebook-Sprecher werden Informationen, einschließlich der GPS-Daten, automatisch aus den hochgeladenen Fotos entfernt, um Menschen davor zu schützen, „versehentlich private Informationen wie ihren Standort zu teilen“.

Die Zukunft der Bildforensik

Metadaten werden niemals isoliert verwendet. Um sicherzustellen, dass das Bild nicht modifiziert wurde und um die Beweismittelkette aufrechtzuerhalten, ist die Dokumentation oder die Herkunftsangaben, die mit einem Beweisstück zusammenhängen, für die Beglaubigung des Bildes essentiell. Dies wird immer wichtiger für die Polizei.

Zukünftig könnten Werkzeuge, die der Unterstützung der Polizei dienen, beispielsweise Audioaufnahmen (die direkt in die Kamera eingebaut sind), oder eine Wasserzeichen enthalten. Ich baue derzeit die Forschungserkenntnisse aus, die darauf hindeuten, dass jeder Bildsensor (die elektronische Einheit, die das eigentliche Bild aufnimmt) aufgrund der Art, wie er auf Licht reagiert, einen einzigartigen Fingerabdruck hat. Wer das nächste Mal ein Foto macht, sollte dies im Hinterkopf haben.

Und was war nun mit der Ente passiert? Ein Sprecher der RSPCA sagte: „Wir nehmen an, dass das Messer kurz nach Aufnahme der Fotos entfernt wurde. Ein anderes Tier, von dem man dachte, dass sie der Vogel von dem Foto sein könnte, wurde wenige Tage später quicklebendig aufgefunden. Dieser Umstand ließ uns in dem Glauben, dass das Messer nicht tief genug eingedrungen war, um erhebliche Verletzungen zu verursachen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „St. Johns, Canada“ by Zach Meaney (CC0 Public Domain)

Images by Richard Matthews


The Conversation

Schlagwörter: , , , , , , , , , , , , , ,
Richard Matthews

Richard Matthews

ist Anwärter auf einen Doktortitel im Bereich Elektroingenieurwesen mit dem Schwerpunkt Nutzung von Sensormustergeräuschen für Datenforensik an der University von Adelaide. Weitere Forschungsgebiete beinhalten digitale Bildforensik und Cybersicherheit.

More Posts - Twitter