Die Digitalisierung hat die Erfassung und den Austausch von Informationen grundlegend verändert. Smartphones, digitale Kameras und soziale Medien hinterlassen digitale Spuren, die für IT-Forensiker/innen von großer Wichtigkeit in ihren Untersuchungen sind. Dieser Beitrag untersucht die forensische Relevanz von Metadaten, auch in Bezug auf Geolokation und die Analyse von Bildern in der Foto-Forensik.
Der Inhalt im Überblick
Anwendung von IT-Forensik auf Bilder
Die Authentizität eines Bildes, ob es echt ist oder ob es möglicherweise manipuliert wurde, lässt sich auf verschiedene Weisen mittels IT-Forensik ermitteln. In einem Gerichtsverfahren, in dem Bilddateien als entscheidende Beweismittel dienen sollen, spielt die gründliche Überprüfung der Bildauthentizität eine zentrale Rolle.
Bilddateien zu manipulieren ist in der heutigen Zeit lange nicht mehr so kompliziert, wie noch vor einigen Jahren. Heute helfen der anwendenden Person teilweise KI unterstützte Tools ein Bild so zu verändern, dass ein normales Auge dieses kaum bis gar nicht mehr von einem „echten“ Bild unterscheiden kann.
Ein Ansatzpunkt bei Ermitteln von Änderungen einer Bilddatei ist der Hashwert. Dieses eindeutig zuordnungsbare Merkmal kann bei einer IT-forensischen Analyse erste Hinweise auf eine Manipulation zeigen. Wenn eine Bilddatei in ihrem Inhalt verändert wurde, wird beim Erzeugen eines Hashwertes nach der Veränderung nicht der gleiche Hashwert ausgegeben wie vor der Änderung. In den meisten Fällen wird der Hashwert eines Bildes auch verändert, wenn sich Metadaten ändern. In der Praxis der digitalen Forensik von Bildern kommen oft „blinde“ Verfahren zum Einsatz, bei denen in der Regel ausschließlich die vorliegenden Bilddaten genutzt werden. Dies bedeutet, dass lediglich festgestellt werden kann, ob das Bild auf irgendeine Weise bearbeitet wurde.
Mit der digitalen Bildforensik dürften einige Leute das erste Mal in dem medienwirksamen Gerichtsprozess zwischen den Schauspielern Amber Heard und Johnny Depp in Berührung gekommen sein. Im Verlauf des Prozesses wurden zahlreiche Bilddateien von den beiden Parteien als maßgebliche Beweismittel angeboten, die dann von forensischen Experten der Gegenseite einer Analyse unterzogen wurden. Und auch im aktuell laufenden Ofarim-Prozess wurde ein IT-Forensiker als Zeuge geladen, um u.a. die Echtheit der Aufnahmen der Überwachungskameras aus der Hotellobby zu verifizieren. Doch wie genau funktioniert das?
Beispiele für Metadaten in Multimedia-Dateien
Es existieren mehrere Arten von Metadaten für Multimedia-Dateien, in Bildern jedoch werden insbesondere EXIF- und XMP-Metadaten genutzt. Diese bieten eine Menge an Informationen, mit denen Authentizität, Integrität und andere Eigenschaften sichergestellt werden können. Über ein Aufnahmedatum könnte beispielsweise in einem Gerichtsverfahren sichergestellt werden, wann das Bild tatsächlich erstellt worden ist.
EXIF-Daten (Exchangeable Image File Format):
EXIF-Metadaten sind äußerst nützlich, da sie Fotograf/innen und IT-Forensiker/innen wertvolle Informationen über die Aufnahmebedingungen eines Bildes geben. Sie ermöglichen die nachträgliche Analyse und Identifikation von Bildern und sind besonders wichtig in der Foto-Forensik, um Aufnahmen zu verifizieren, Manipulationen zu erkennen und Details über den Ursprung eines Bildes zu ermitteln.
Unter anderem sind in EXIF-Daten folgende wichtige Informationen enthalten:
- Aufnahmedatum und -zeit
- Kameramarke und -modell
- Belichtungseinstellungen
- Brennweite
- Blitzinformationen
- GPS-Koordinaten
XMP-Metadaten (Extensible Metadata Platform):
XMP-Metadaten sind in verschiedenen Arten von Dateien, einschließlich Bildern, zu finden und können Informationen über den Autor, die Bearbeitungshistorie und benutzerdefinierte Tags enthalten. Zu den wichtigsten Informationen, die XMP Metadaten enthalten zählen unter anderem:
- Strukturierte Metadaten: XMP verwendet XML-Tags, um Metadaten in einer strukturierten Form zu speichern.
- Flexibilität: XMP-Metadaten sind äußerst flexibel. es können benutzerdefinierte Metadatenfelder erstellt werden, um spezifische Informationen zu speichern, die für ihre Anwendung relevant sind.
- Integration mit Adobe-Produkten: Da XMP von Adobe entwickelt wurde, ist es eng in Adobe-Softwareprodukte wie Photoshop, InDesign und Illustrator integriert.
- Metadaten im Bildbereich: XMP ermöglicht die Speicherung von Informationen über Fotograf/in, die verwendete Kamera und das Objektiv, den Aufnahmeort und mehr.
- Digitale Rechteverwaltung (DRM): XMP wird auch in DRM-Systemen verwendet, um Informationen zur Berechtigungsverwaltung und zum Urheberrechtsschutz in digitalen Medien einzubetten.
Die forensische Bedeutung von Metadaten
IT-Forensiker/innen sehen sich wiederholt bei der Handhabung von Metadaten mit Herausforderungen konfrontiert. Es ist notwendig, diese Hürden zu überwinden, um die Unversehrtheit von Beweismitteln zu gewährleisten. Eine dieser Herausforderungen besteht in der Möglichkeit, Metadaten zu manipulieren oder zu fälschen, was wiederum zu potenzieller Verfälschung oder Verbergen von Beweismitteln führen kann.
In dem Depp vs. Heard Verfahren zeigte eine Analyse der EXIF-Daten der Bilder von Amber Heard, dass die Softwareinformation in den Metadaten nicht auf ihr iPhone 6 hinwies, wie es zu erwarten gewesen wäre, sondern stattdessen die Software Photos 3.0 anzeigte. Das bedeutet nicht, dass der Bluterguss nicht stattgefunden hat, sondern nur, dass das Foto nicht als ursprünglich mit dem iPhone aufgenommen authentifiziert werden kann. Vielmehr ist die Aufnahme durch einen Computer gegangen, eventuell mit der Software bearbeitet und sicher durch die Software gerendert worden. Denn diese Information fand man in den EXIF-Daten.
Aufgrund der Art und Weise, wie die Dateien erstellt wurden, und ohne die ordnungsgemäße Aufbewahrung des Smartphones, mit dem die Fotos erstellt wurden, gab es in diesem Fall keine Möglichkeit, das Bild zu authentifizieren und somit den Sachverhalt zu beweisen. Ein allzu häufiges Problem bei selbst gesammelten digitalen Beweisen. Daher hat für IT-Forensiker die sichere Aufbewahrung der Originalmetadaten und Quelle oberste Priorität. Dies ermöglicht spätere Vergleiche und Analysen, die für die Ermittlung von Beweisen von großer Bedeutung sind. Zudem werden Beweisketten verwendet, um die Integrität von Metadaten nachzuweisen. Diese Maßnahmen tragen dazu bei, die Unversehrtheit der Beweise zu wahren und Manipulationen zu erkennen.
Kinderleichte Bildbearbeitung durch KI macht Metadaten-Analyse wichtiger
Metadaten in Bildern werden zweifellos eine zunehmend wichtige Rolle spielen und sich weiterentwickeln, da sie in vielen Bereichen der Technologie, aber auch vor Gericht und bei Ermittlungen, bedeutend sind. Es ist von entscheidender Bedeutung, stets auf dem neuesten Stand zu bleiben, was neue Entwicklungen und bewährte Verfahren in diesem Bereich angeht.
Metadaten von Bildern besitzen oft auch sehr spezifische Details über die jeweiligen Personen wie z.B. Geolokation oder auch Aufnahmedatum und Uhrzeit eines Bildes. Eine ausgewogene Nutzung von Metadaten ist entscheidend, um sowohl den Wert dieser Informationen optimal ausnutzen zu können, als auch sicherzustellen, dass personenbezogene Daten und vertrauliche Informationen angemessen geschützt werden.
Auch in Hinblick auf durch KI veränderte oder auch durch KI generierte Bilddateien, werden IT-Forensiker/innen in zukünftig auf neue Herausforderungen in diesem Bereich stoßen, da die Herangehensweisen hierbei möglicherweise angepasst werden müssen. Jedoch werden Änderungen immer wieder in den Metadaten der Bilder nachvollzogen werden können, wenn diese ordnungsgemäß analysiert werden.
Große Anbieter wie Google, verpflichten sich bereits jetzt eine Kennzeichnung in den Metadaten eines Bildes zu speichern, dass durch eine ihrer KI Tools verändert wurde. Dies soll dabei helfen, gefälschte Bilder schneller erkennen zu können.
