134 71 11MB
German Pages [341] Year 2017
Dirk Labudde Michael Spranger Hrsg.
Forensik in der digitalen Welt Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten realen Welt
Forensik in der digitalen Welt
Dirk Labudde Michael Spranger (Hrsg.)
Forensik in der digitalen Welt Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten realen Welt
Herausgeber Dirk Labudde University of Applied Sciences Mittweida Mittweida, Deutschland
ISBN 978-3-662-53800-5 DOI 10.1007/978-3-662-53801-2
Michael Spranger University of Applied Sciences Mittweida Mittweida, Deutschland
ISBN 978-3-662-53801-2 (eBook)
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Spektrum © Springer-Verlag GmbH Deutschland 2017 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichenund Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Planung: Sarah Koch Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier. Springer Spektrum ist Teil von Springer Nature Die eingetragene Gesellschaft ist Springer-Verlag GmbH Germany Die Anschrift der Gesellschaft ist: Heidelberger Platz 3, 14197 Berlin, Germany
Im allgemeinen halte man aber an dem Satze fest, daß Egoismus, Faulheit und Eitelkeit die einzigen Triebfedern im Menschen sind, auf die man sich stets und unbedingt verlassen kann. Dr. jur. Hanns Gross (1847–1915)
Geleitwort
Die Erfahrungen der vergangenen Jahre bei der Bekämpfung des Kriminalitätsphänomens Cybercrime haben gezeigt, dass der zeitgemäßen Forschung und Entwicklung, der Lehre und praxisbezogenen Anwendung sowie der Aus- und Fortbildung im Bereich der polizeilichen Informationssicherheit auf hohem Niveau auch in Zukunft eine herausragende Bedeutung zukommt. Moderne Technologien stellen Ermittlungsbehörden und Gesetzgeber vor immer neue Herausforderungen. Dieselben Technologien, die Straftäter bei der Begehung von Straftaten nutzen, müssen Behörden zur Verfügung stehen und von diesen beherrscht werden können, um auf Augenhöhe Kriminalität zu bekämpfen. Die Cyberkriminalität dabei als singuläres Problem neben anderen Kriminalitätsformen zu betrachten, ist nicht zielführend. Es bedarf vielmehr einer ganzheitlichen Betrachtung, welche die Cyberkriminalität als eingebettetes Phänomen der realen Welt begreift. Die richtungsweisende Entwicklung neuer Methoden zur Kriminalitätsbekämpfung kann deshalb nur in enger Zusammenarbeit von Forschungsinstitutionen und Ermittlungsbehörden erfolgreich sein. Dresden, Juli 2016
Klaus Fleischmann Generalstaatsanwalt Freistaat Sachsen
VII
Geleitwort
Viele der klassischen Kriminalitätsfelder verlagern sich teilweise oder auch ganz ins Internet, viele Straftaten werden mit dem „Tatmittel Internet“ begangen. Straftäter aller Couleur nutzen zur Begehung ihrer Taten die neuesten technischen Möglichkeiten, die weltweite elektronische Vernetzung sowie verschiedenste Mittel und Methoden der AntiForensik – das alles länderübergreifend und arbeitsteilig. In diesen Deliktfeldern ist eine kontinuierlich steigende Kriminalitätsentwicklung zu bilanzieren, ganz zu schweigen von der sehr hohen Dunkelziffer. Dem gegenüber stehen die Mitarbeiterinnen und Mitarbeiter der Strafverfolgungsbehörden, die u. a. mit den Mitteln und Methoden der Computerforensik Beweise sichern und bewerten, kausale Zusammenhänge zwischen Tätern und Straftat erkennen und schlussendlich solche Straftaten aufklären müssen. Eine der großen Herausforderungen ist bereits die reine Quantität der zu bearbeitenden Fälle und somit der beschlagnahmten Asservate, ganz abgesehen von der zunehmenden Heterogenität der im Zusammenhang stehenden Datenformate. Cloud-Forensik, Netzwerk-Forensik und Forensik der sozialen Netzwerke sind weitere große, bis dato in ihrem Umfang noch gar nicht absehbare und zusätzliche Baustellen. Mit den bisherigen Mitteln, aber insbesondere auch den bisher genutzten Methoden der klassischen Datenträgerforensik, ist dem nicht zu begegnen, neue Mittel und Methoden – manchmal auch außerhalb der klassischen Denkweise – sind gefragt. Und hier setzt dieses Buch an: Die Autoren, alle aus der Wissenschaft stammend, haben durch ihre tägliche Zusammenarbeit mit verschiedensten Strafverfolgungsbehörden eine „kriminalpolizeiliche Denkweise“ entwickeln können, die sie in ihre originäre Forschungsarbeit auf dem Gebiet der Forensik einfließen lassen. „Bücher über Datenträgerforensik gibt es genügend.“ – könnte man meinen. Dass dies nicht stimmt, beweist dieses Buch und macht neugierig auf eine wissenschaftlich untersetzte kriminalpolizeiliche Denkweise im Bereich der modernen Forensik. Berlin, September 2016
Ronald Schulze Geschäftsführer IT-Expertenkreis Bund Deutscher Kriminalbeamter (BDK)
IX
Vorwort
Wir leben in einer Welt, deren Technologien geprägt sind vom schnellen Wandel und kurzen Lebenszyklen. Eine Innovation jagt die nächste und heute gelerntes ist morgen bereits veraltet. Genau dieser Umstand spielt Straftätern in die Hände. Sie nutzen kurzfristig neue Technologien zum Planen, Verabreden und Begehen von Straftaten. Dabei sind sie den Strafverfolgungsbehörden immer einen Schritt voraus. Auf der anderen Seite bieten eben diese Technologien dem Forensiker neue Quellen und Methoden der Informationsgewinnung sowie neue Möglichkeiten Hintergründe aufzuklären und Zusammenhänge aufzudecken. Der steigende Grad der Digitalisierung zwingt Ermittlungsbehörden umzudenken, Wege zu finden, in der virtuellen und realen Welt zu ermitteln. Da die virtuelle Welt, der Cyberspace, nicht losgelöst von der realen Welt existiert, ist es notwendig, die Informationen aus den Daten beider Welten zu verbinden, um ein vollständiges Bild einer Straftat zu erhalten. Die einschlägige Fachliteratur beschäftigt sich aber zumeist mit Fragen der Auswertung klassischer oder digitaler Spuren. Diese Lücke soll mit dem vorliegenden Buch geschlossen werden. Für wen ist dieses Buch Es soll Ermittlungspersonen zeigen, welche Möglichkeiten der digitalen und digitalisierten Untersuchung von Straftaten aktuell existieren, welche Tendenzen sich in der Forschung abzeichnen und welchen rechtlichen Fragestellungen mit den aktuellen Entwicklungen einhergehen. Es ist ein Buch für forensische Praktiker, die ihren Blick nach vorn richten müssen, um vor allem Fälle mit hoher gesellschaftlicher Brisanz schnell und mit allen technologisch zur Verfügung stehenden Mitteln untersuchen zu können. Auf der anderen Seite bietet es einen breiten Einstieg in Themenkomplexe der digitalen und computergestützten Forensik für Wissenschaftler, die bei der Weiterentwicklung dieser hochkomplexen Thematiken mitwirken wollen. Über die Herausgeber Die Herausgeber und ein Teil der Autoren beschäftigen sich als Leiter bzw. forschende Mitglieder der Arbeitsgruppe FoSIL (Forensic Sciences Investigation Lab) an der Hochschule Mittweida, aus der Sicht der Informationstechnologien und der digitalen Forensik, mit aktuellen Themen aus der sicherheitsrelevanten Forschung. Der Schwerpunkt liegt XI
XII
Vorwort
dabei auf der Identifikation von, aus forensischer- bzw. Sicherheitssicht relevanten, innovativen Technologien und deren Verbindung mit agilem Wissensmanagement zu Werkzeugen für die forensische Praxis bzw. den Einsatz beim interdisziplinären Management im Krisen- und Katastropheneinsatz. Einzellösungen werden darüber hinaus und im Sinne eines Resilienz-Engineering-Ansatzes zu einer Basis für eine grundlegende, technische Infrastruktur für prozessbasiertes-und IKT-gestütztes Wissensmanagement zur Krisenprävention und -bewältigung weiterentwickelt. Getrieben von aktuellen Forschungsergebnissen werden im Studiengang „Allgemeine und digitale Forensik“ Methodenkompetenzen in der forensischen Fallarbeit vermittelt. Das Studium ist angelehnt und in seinen Ausprägungen orientiert am Locard’schen Prinzip. Absolventen sind in der Lage in der Wirtschaft und in Strafverfolgungsbehörden als Experten die Entwicklung innovativer Technologien zur Kriminalitätsbekämpfung voranzutreiben. Aufbau des Buches Nach einer Einführung in die Welt der modernen Forensik und der daraus resultierenden Verbindung zwischen virtueller und realer Welt in Kap. 1 richten wir in den Kap. 2–4 unseren Blick in Richtung der Anwendbarkeit moderner Technologien zur Untersuchung klassischer Spuren und der Rekonstruktion von Tatorten und Tatabläufen. Anschließend betrachten wir in den Kap. 5–8 das weite Feld der digitalen Spuren von ihrer Sicherung bis hin zur inhaltlichen Analyse ausgewählter Spurenarten. Das Zusammenführen von digitalen und digitalisierten Spuren steigert die Heterogenität des Untersuchungsmaterials und damit die Komplexität der Auswertung enorm. Kap. 9 zeigt aktuelle mathematische Ansätze zum Umgang mit dieser Problematik. Den Abschluss bildet Kap. 10, eine Darstellung der Herausforderungen und aktuellen rechtlichen Lage im Spannungsfeld der Forensik im digitalen Zeitalter. Mittweida, Juli 2016
Dirk Labudde Michael Spranger
Danksagung
An dieser Stelle möchten wir uns ganz herzlich bei allen Autoren und Autorinnen bedanken, die durch ihre unermüdliche Forschungsarbeit die Forensik vorangetrieben und mit ihrem Engagement die inhaltliche Ausgestaltung dieses Buches unterstützt haben. Weiterhin gilt unser besonderer Dank der Staatsanwaltschaft Chemnitz für die Bereitstellung von forensischem Untersuchungsmaterial zum Zweck der forensischen Forschung sowie dem Bund Deutscher Kriminalbeamter (BDK) für die Unterstützung beim Aufbau eines deutschen forensischen Kooperationsnetzwerkes.
XIII
Abkürzungsverzeichnis
m. w. N. StPO StGB BVerfG BVerfGE TK TKG TKÜ TKÜV GG BGH EMRK BKAG
ATDG
UrhG GVG IMEI IMSI IPBPR IRG CSI FAR FRR AFIS CMOS CCD
mit weiteren Nachweisen Strafprozessordnung Strafgesetzbuch Bundesverfassungsgericht Entscheidungen des Bundesverfassungsgerichts Telekommunikation Telekommunikationsgesetz Telekommunikationsüberwachung Telekommunikationsüberwachungsverordnung Grundgesetz Bundesgerichtshof Europäische Menschenrechtskonvention Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz) Gesetz zur Errichtung einer standardisierten zentralen Antiterrordatei von Polizeibehörden und Nachrichtendiensten von Bund und Ländern (Antiterrordateigesetz) Urheberrechtsgesetz Gerichtsverfassungsgesetz International Mobile Station Equipment Identity International Mobile Subscriber Identity Internationaler Pakt über bürgerliche und politische Rechte Gesetz über internationale Rechtshilfe Crime Scene Investigation False Acceptance Rate False Rejection Rate Automatisches Fingerabdruck-Identifizierungssystem complementary metal-oxide-semiconductor charge-coupled device XV
XVI
FMR FNMR OBIE
Abkürzungsverzeichnis
false matching rate false non-matching rate ontology-based information extraction
Inhaltsverzeichnis
1
2
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dirk Labudde, Frank Czerner und Michael Spranger 1.1 Forensik – ein aktueller Ein- und Rückblick und der CSI-Effekt . . . . 1.2 Forensik im System der Wissenschaften . . . . . . . . . . . . . . . . . . . 1.3 Tatort in der modernen Forensik . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 Der moderne Tatortbegriff . . . . . . . . . . . . . . . . . . . . . . 1.3.2 Moderne Formen der Spurensicherung . . . . . . . . . . . . . . 1.3.3 Zusammenwachsen von virtueller und realer Welt . . . . . . . 1.4 Aufgaben und Ziele der forensischen Wissenschaft . . . . . . . . . . . . 1.5 Spuren als Beweismittel und deren Beweiswürdigung im Strafprozess Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Biometrie und die Analyse digitalisierter Spuren . . . . . . . . . . . . . . Dirk Labudde 2.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Die Identifikation – Wer bin ich? . . . . . . . . . . . . . . . . 2.1.2 Die Verifikation – Bin ich der, für den ich mich ausgebe? . 2.2 Biometrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Historischer Streifzug durch die Biometrie in der Forensik 2.2.2 Biometrie und das Locard’sche Prinzip . . . . . . . . . . . . 2.3 Biometrische Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Ausgewählte Analyseverfahren . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Der Fuß als biometrisches Merkmal im Prozess der Digitalisierung . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Iriserkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Fingerabdruckanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5.1 Der Fingerabdruck als biometrisches Merkmal . . . . . . . 2.5.2 Technologien zur Aufnahme des Fingerabdrucks . . . . . . 2.5.3 Matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.6 Ausgewählte Forensische Datenbanken . . . . . . . . . . . . . . . . . 2.6.1 DNA-Analysedatei (DAD) . . . . . . . . . . . . . . . . . . . .
.
1
. . . . . . . . .
1 5 7 7 12 14 16 20 22
...
25
. . . . . . . .
. . . . . . . .
. . . . . . . .
25 26 26 26 27 28 30 33
. . . . . . . .
. . . . . . . .
. . . . . . . .
33 36 39 39 40 49 52 52 XVII
XVIII
Inhaltsverzeichnis
2.6.2 2.6.3 2.6.4 2.6.5 2.6.6 2.6.7 2.6.8 Literatur . . 3
4
Violent Crime Linkage Analysis System (ViCLAS) . . . . . Integrated Ballistic Identification System (IBIS) . . . . . . . . Paint Data Query (PDQ) . . . . . . . . . . . . . . . . . . . . . . SoleMate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . TreadMate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Automatisches Fingerabdruckidentifizierungssystem (AFIS) Eurodac-System . . . . . . . . . . . . . . . . . . . . . . . . . . . .......................................
. . . . . . . .
. . . . . . . .
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion . . . . . . Sven Becker und Dirk Labudde 3.1 Computergestützte forensische 3D-Gesichtsweichteilrekonstruktion . . . 3.1.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.2 Historische Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . 3.1.3 Voraussetzungen, Faktensammlung und Recherchen . . . . . . . 3.1.4 Klassische Methoden der Gesichtsweichteilrekonstruktion . . . 3.1.5 Computergestützte Methode der Gesichtsweichteilrekonstruktion mittels Open-Source-Software . . . . . . . . . . . . . . . . . . . 3.2 Studie am Beispiel eines Schädelfundes . . . . . . . . . . . . . . . . . . . . 3.2.1 Hintergründe zum ausgewählten Fall . . . . . . . . . . . . . . . . . 3.2.2 Prozessüberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Digitalisierung des Schädels . . . . . . . . . . . . . . . . . . . . . . 3.2.4 Punktwolkenerzeugung und Oberflächenrekonstruktion mittels VisualSfM und CMPMVS . . . . . . . . . . . . . . . . . . 3.2.5 Modellnachbearbeitung und Editierung mittels MeshLab . . . . 3.2.6 Positionierung anatomischer Weichteilmarker und Rekonstruktion ausgewählter Gesichtsmerkmale . . . . . . . 3.3 Schlussfolgerung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Computergestützte Rekonstruktion von Tatorten und Großschadensereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.2 Studie einer Tatortrekonstruktion an einem historischen Mordfall 3.4.3 Unterstützung der Rekonstruktion durch Einsatz moderner unbemannter Flugobjekte . . . . . . . . . . . . . . . . . . . . . . . . Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNA-Phänotypisierung . . . . . . . . . . . . . . . . . . . . . . . . . . Anne-Marie Pflugbeil, Karlheinz Thiele und Dirk Labudde 4.1 DNA-Analytik im forensischen Alltag . . . . . . . . . . . . . . 4.2 Von der Spur zum DNA-Profil . . . . . . . . . . . . . . . . . . . 4.2.1 Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2 DNA-Marker in der Forensischen Molekulargenetik
52 53 53 54 54 54 55 55 59 59 59 62 62 65 66 69 69 70 71 71 74 74 78 79 79 80 81 86
.......
89
. . . .
89 90 90 92
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Inhaltsverzeichnis
4.3
Phänotypisierung – DNA als biometrisches Merkmal 4.3.1 Phänotyp . . . . . . . . . . . . . . . . . . . . . . 4.3.2 Phänotypisierungssysteme . . . . . . . . . . . 4.4 Relevante Datenbanken . . . . . . . . . . . . . . . . . . 4.5 Rechtliche Aspekte . . . . . . . . . . . . . . . . . . . . . 4.6 Anwendung in der Gesichtsweichteilrekonstruktion . 4.7 Zusammenfassung und Ausblick . . . . . . . . . . . . Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
6
XIX
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren . . . Dirk Pawlaszczyk 5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Tatort, Digitale Spuren und Datenquellen . . . . . . . . . . . . . 5.3 Sicherung digitaler Spuren . . . . . . . . . . . . . . . . . . . . . . 5.3.1 Live-Response-Akquise . . . . . . . . . . . . . . . . . . . 5.3.2 Post-mortem-Akquise . . . . . . . . . . . . . . . . . . . . 5.3.3 Datenrekonstruktion mittels Carving . . . . . . . . . . . 5.3.4 Kategorisierung und Filterung der Datenartefakte . . . 5.4 Verfolgung digitaler Spuren im Netz . . . . . . . . . . . . . . . . 5.4.1 Analyse und Rekonstruktion des Browsercaches . . . 5.4.2 Tatort Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.3 Der Messengerdienst WhatsApp . . . . . . . . . . . . . 5.4.4 Open Source Intelligence: Tatort soziale Netzwerke . 5.4.5 Verfolgung von Zahlungsströmen im Bitcoinnetzwerk 5.5 Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
95 95 96 101 102 103 104 106
. . . . . . 113 . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
Textforensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Michael Spranger und Dirk Labudde 6.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Analyse unstrukturierter digitaler Daten . . . . . . . . . . . . . . . . 6.3 Charakteristik forensischer Texte . . . . . . . . . . . . . . . . . . . . 6.4 Entwicklung einer Kriminalitätsontologie . . . . . . . . . . . . . . . 6.4.1 Ontologie-basierte Informationsextraktion . . . . . . . . . 6.4.2 Repräsentation von Wissensmodellen . . . . . . . . . . . . 6.4.3 Forensisches Ontologiemodell . . . . . . . . . . . . . . . . . 6.5 Ansätze der forensischen Textanalyse . . . . . . . . . . . . . . . . . 6.5.1 Pipeline zur ausführlichen Analyse . . . . . . . . . . . . . . 6.5.2 Identifikation forensischer Rollen . . . . . . . . . . . . . . . 6.5.3 Lösungsansatz für das Problem der versteckten Semantik 6.6 Kategorisierung forensischer Texte . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
. . . . . . . . . . . . . . .
113 114 118 119 125 137 140 142 143 147 150 153 156 164 165
. . . . 167 . . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
167 170 172 172 172 174 175 177 177 179 179 182
XX
Inhaltsverzeichnis
6.7
7
8
Forensische Kurznachrichtenanalyse . . . . . . . . . . . 6.7.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . 6.7.2 Charakteristik inkriminierter Kurznachrichten 6.7.3 Eine neue Methode zur Klassifikation forensischer Kurznachrichten . . . . . . . . . . 6.7.4 Detektion zusammenhängender Konversation 6.7.5 Bewertung von Konversationen . . . . . . . . . 6.7.6 Erzeugung eines Wörterbuches . . . . . . . . . Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . 186 . . . . . . . . . . . 186 . . . . . . . . . . . 187 . . . . .
Malware Forensics . . . . . . . . . . . . . . . . . Christian Hummert 7.1 Einleitung . . . . . . . . . . . . . . . . . . . 7.2 Charakteristik – Einteilung von Malware 7.2.1 Verbreitung und Wirkung . . . . . 7.2.2 Innere Systematik . . . . . . . . . 7.3 Forensische Untersuchung von Malware . 7.3.1 Belauschen von Malware . . . . . 7.3.2 Inhaltliche Analyse . . . . . . . . 7.4 Malware Antiforensics . . . . . . . . . . . . 7.4.1 Kompression von Executables . . 7.4.2 Verschlüsselung von Executables 7.4.3 Obfuskation . . . . . . . . . . . . . 7.4.4 Anti-Debugging Techniken . . . . 7.5 Malware Anatomie . . . . . . . . . . . . . . Literatur . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
188 190 193 195 196
. . . . . . . . . . . . . . . . . . . 199 . . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
. . . . . . . . . . . . . .
199 201 201 203 203 203 205 206 207 207 208 209 210 212
Audioforensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hartmut Luge 8.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Überblick zu den Teilgebieten der akustischen Forensik . . . . . . . . . . 8.2.1 Phonetische Stimmerkennung und Stimmenvergleich (Voice Identification) . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.2 Nebengeräusche und Geräuscherkennung (Sound Identification) 8.2.3 Geräuschsynthese und Beurteilung (Audibility Analysis) . . . . 8.2.4 Hör- und Sprachverständlichkeitsverbesserung und phonetische Textanalyse (Intelligibility Enhancement) . . . . . . . . . . . . . . 8.2.5 Manipulations- und Echtheitsanalyse (Authenticity Analysis) . 8.2.6 Zeit-Ereignis-Analyse (Event Sequence Analysis) . . . . . . . . 8.3 Formate und Verfahren der technischen Audioforensik . . . . . . . . . . . 8.3.1 Audioformate und Übertragungskanal . . . . . . . . . . . . . . . . 8.3.2 Manipulation und Echtheit von Audioaufzeichnungen . . . . . .
215 215 216 216 217 217 217 218 218 219 219 222
Inhaltsverzeichnis
XXI
8.3.3 Formantanalyse und Spracherkennung . . . . . . . . . . . . . . . . 225 8.3.4 Sprachverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . 231 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 9
Methoden des maschinellen Lernens und der Computational Intelligence zur Auswertung heterogener Daten in der digitalen Forensik . . . . . . . . . 239 Tina Geweniger, Marika Kaden und Thomas Villmann 9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 9.2 Datenstrukturen und Datenähnlichkeit . . . . . . . . . . . . . . . . . . . . . 240 9.2.1 Daten und Datenstrukturen in der Forensik . . . . . . . . . . . . . 240 9.2.2 Datenähnlichkeit – mathematische Beschreibung . . . . . . . . . 241 9.3 Aufgabenstellungen in der Datenanalyse . . . . . . . . . . . . . . . . . . . . 243 9.4 Prototypbasierte Methoden der CI zum Clustern und Klassifizieren . . . 244 9.4.1 Prototypbasierte Clusteralgorithmen . . . . . . . . . . . . . . . . . 245 9.4.2 Prototypbasierte Klassifikation – Lernende Vektorquantisierer . 255 9.4.3 Andere Verfahren zum Clustern und Klassifizieren – Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Frank Czerner 10.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Daten und Dateien als Gegenstände einer Durchsuchung und Beschlagnahme? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3 Beschlagnahme und Durchsuchung bei E-Mails, SMS etc. . . . . . . . . . 10.4 Kopieren von Daten (Image) als eingriffsschwächeres Äquivalent zur Beschlagnahme eines Rechners? . . . . . . . . . . . . . . . . . . . . . . 10.5 Problem der Begrenzung von Durchsuchung und Beschlagnahme auf verfahrensrelevante Datenbestände versus Amtsermittlungsgrundsatz im Strafprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.6 Durchsuchung und Beschlagnahme von Daten und der „Kernbereich privater Lebensgestaltung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.7 Durchsuchung und Beschlagnahme auch bei Nichtbeschuldigten? . . . . 10.8 Formalia bei der Anordnung und Durchführung von Durchsuchung und Beschlagnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.9 Telekommunikationsüberwachung gemäß § 100a StPO . . . . . . . . . . . 10.9.1 Rechtliche Qualifizierung einzelner Phasen im E-Mail-Verkehr 10.9.2 Voraussetzungen und Möglichkeiten der Telekommunikationsüberwachung gemäß § 100a StPO . . . . . . . . . . . . . . . . . . 10.9.3 Anordnung und Durchführung der Telekommunikationsüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265 265 266 268 270
271 273 276 276 276 277 281 284
XXII
Inhaltsverzeichnis
10.10 Quellen-Telekommunikationsüberwachung . . . . . . . . . . . . . . . . . . 10.11 Speicherung von Verkehrsdaten für eine spätere Strafverfolgung . . . . . 10.12 Online-Durchsuchungen zugunsten effektiver Strafverfolgung? . . . . . 10.12.1 Online-Durchsuchung im geltenden Strafprozess . . . . . . . . . 10.12.2 Notwendigkeit einer Legitimierung von Online-Durchsuchungen im Strafverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . 10.13 Online-Durchsuchung zur terroristischen Gefahrenabwehr: Ermittlungsbefugnisse nach dem BKAG und dem ATDG . . . . . . . . . 10.14 Die rechnerexterne Datenspeicherung im World Wide Web: Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.15 Daten auf Servern außerhalb des Hoheitsgebietes der Bundesrepublik Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
286 287 288 288 291 293 295 297 298
Ausgewählte Rechtsnormen (Auszug) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Herausgeber und Mitarbeiter
Herausgeber Prof. Dr. rer. nat. Dirk Labudde Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] M. Sc. Inf. Michael Spranger Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected]
Mitarbeiter M. Sc. Molekularbiologie Sven Becker Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] Prof. Dr. jur. Frank Czerner Lehrstuhl Recht in der Sozialen Arbeit, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected]
XXIII
XXIV
Herausgeber und Mitarbeiter
Dr. Tina Geweniger Mitglied der Computational Intelligence Group, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] Prof. Dr. rer. nat. Christian Hummert Inhaber des Lehrstuhls für IT-Sicherheit/Digitale Forensik, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] Dr. rer. nat. Marika Kaden Mitglied der Computational Intelligence Group, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] Prof. Dr. Dr.-Ing. Hartmut Luge Lehrstuhl für Kommunikationstechnik, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] Prof. Dr. rer. pol. Pawlaszczyk Lehrstuhl Informatik/Objektorientierte Softwareentwicklung, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] M. Sc. Molekularbiologie Anne-Marie Pflugbeil Wissenschaftliche Mitarbeiterin im Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected] OA Dr. med. Karlheinz Thiele Gesundheitsamt – Landkreis Zwickau, Werdauer Straße 62, 08056 Zwickau, Deutschland, E-Mail: [email protected] Prof. Dr. rer. nat. habil. Thomas Villmann Lehrstuhl für Computational Intelligence, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland, E-Mail: [email protected]
1
Einführung
Dirk Labudde, Frank Czerner und Michael Spranger
1.1 Forensik – ein aktueller Ein- und Rückblick und der CSI-Effekt Ein Blick in die menschliche Natur zeigt, dass eine große Anziehungskraft in Bezug auf Verbrechen und deren Aufklärung existiert. Diese Phänomene haben sich auch die Medien zu eigen gemacht und benutzen diese Eigenschaft oder auch Schwäche. Das Fernsehprogramm ist fest in der Hand von ausgefuchsten Polizeibeamten oder Privatdetektiven. Sie bewegen sich oft als Einzelkämpfer über den Bildschirm und lösen ihre Fälle durch Intuition und logischen Spürsinn. Doch Persönlichkeiten, wie „Der Alte“, „Derrick“, „Kommissar Schimanski“ und viele andere gehören der Vergangenheit an. Analysiert man die neuen Serien, unter dem Akronym CSI1 , so rücken immer mehr clevere Wissenschaftler in den Mittelpunkt. Dieser Trend steht für den Begriff forensische Wissenschaft. Das forensische Labor steht zunehmend im Mittelpunkt der Ermittlungen. Wissenschaftler arbeiten in Teams und akribisch an den anfallenden Spuren. Sie sind die 1
Crime Scene Investigation.
D. Labudde () Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida Technikumplatz 17, 09648 Mittweida, Deutschland E-Mail: [email protected] F. Czerner Lehrstuhl Recht in der Sozialen Arbeit, University of Applied Sciences Mittweida Technikumplatz 17, 09648 Mittweida, Deutschland E-Mail: [email protected] M. Spranger Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida Technikumplatz 17, 09648 Mittweida, Deutschland E-Mail: [email protected] © Springer-Verlag GmbH Deutschland 2017 D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt, DOI 10.1007/978-3-662-53801-2_1
1
2
D. Labudde et al.
Beherrscher von forensischen Methoden und Instrumenten, seien es Massenspektrometer, Bedampfungsanlagen oder Mikroskope. An dieser Stelle sei darauf hingewiesen, dass oft tief in die Trickkisten der Filmemacher gegriffen wird. Die Abfolge und zeitliche Aufteilung der Analysen sind stark überzeichnet und oft wird das gesamte Expertenwissen in einer Person vereint. Nicht zuletzt tauchen Begriffe wie Cybercrime, Profiling oder Predictive Policing in Serien auf. Jedoch bleiben diese Serien nicht ohne Folge. In der Literatur wird über den „CSIEffekt“ diskutiert, welcher verschiedene Auswirkungen auf das Erscheinungsbild von Ermittlungen in der Gesellschaft hat. So wird beispielsweise jeder Zuschauer zu einem Experten und erwirbt so ein scheinbares Recht, an der allgemeinen Diskussion und Beurteilung von realen Verbrechen teilzunehmen. Die Veranschaulichung der Unfehlbarkeit der forensischen Wissenschaft durch den „CSI-Effekt“ setzt die Ermittlungsbehörden stark unter Druck. Die Faszination, die von diesen Serien ausgeht, führt zu einer hohen Nachfrage an Büchern und Materialien, die sich ernsthaft mit den forensischen Wissenschaften auseinandersetzen. In Deutschland ist dieses Interesse auch bei Jugendlichen angekommen, und der Ruf nach einer Ausbildung in der Forensik steigt. Universitäten und Hochschulen nehmen diesen Trend auf und schaffen Module mit forensischen Inhalten. Sicher tun sie dies auch aus ganz persönlichen Gründen. Nichts ist für einen Hochschullehrer angenehmer, als ein Hörsaal voller Interessierter. Daneben lässt sich Motivation für die naturwissenschaftlichen Fächer wecken. Doch wo kommt eigentlich diese Faszination her? Ein kurzer Blick in die Geschichte der klassischen Forensik gibt Aufschluss darüber. Geringe Mengen an Blut, ein latenter Fingerabdruck oder Audiofiles stehen heute am Anfang der Spurenanalyse und können so helfen, Täter zu überführen bzw. Beschuldigte zu entlasten. Man sollte den Fakt berücksichtigen, dass noch im 18. Jahrhundert ein Geständnis durch Folter erzwungen wurde. Ein Pionier, der Beweise in den Mittelpunkt rückte, war der Österreicher Hans Gross2 . In seinem von 1899 stammenden Handbuch für den Untersuchungsrichter, forderte er objektive Befunde und Spuren neben den Aussagen von Beschuldigten und Zeugen als die wichtigsten Beweismittel im Strafverfahren. Dies konnte als Übergang der Subjektivität in eine begründbare Objektivität angesehen werden. „Mit jedem Fortschritt in der Kriminalistik fällt der Wert der Zeugenaussagen, und es steigt die Bedeutung der realen Beweise“[6]. Der französische Mediziner Dr. Edmond Locard3 formulierte und bewies das bis heute gültige Austauschprinzip. Jeder und alles an einem Tatort nimmt etwas mit und lässt etwas dort zurück [10]. Allgemein definiert man den Tatort als Ort, an dem sich kriminalistisch relevante oder gerichtlich strafbare Handlungen ereignet haben. Der Tatort beschränkt sich nicht auf den Ort des Geschehens oder der Ereignisse, sondern auch auf jene Bereiche, in welchen vor oder nach der Tat relevante Handlungen stattgefunden haben.
2 3
* 26. Dezember 1847 in Graz; † 9. Dezember 1915 ebenda. * 13. Dezember 1877 in Saint-Chamond (Loire); † 4. April 1966 in Lyon.
1
Einführung
3
Der Berliner Polizist Ernst August Ferdinand Gennat4 gilt als Urvater der Strukturierung von Ermittlungsmethoden. Bis in die 1920er Jahre gab es in der Polizeiarbeit kein Morddezernat, keine Verhörprotokolle und keine Obduktionsberichte. Erst Ernst Gennat konzipierte und strukturierte die Ermittlungsmethoden und konnte so eine überdurchschnittliche Aufklärungsquote erreichen. Diese und viele andere Persönlichkeiten reformierten die Ermittlungsarbeit und ebneten den Weg für die heutige Spurenanalyse und deren Einbindung in die Gerichtsbarkeit. Die moderne forensische Wissenschaft lebt von den Methoden aus den Geistes- und Naturwissenschaften. Mit modernsten Methoden, Techniken und Technologien, wie biologischen, geologischen, geotopologischen, ballistischen und digitalen Aufzeichnungen versuchen heute forensische Experten, Verbrechen aufzuklären, Tatorte und Spuren zu analysieren und den gesamten Tathergang zu rekonstruieren. Im Prozess der Rekonstruktion sollte man auf erkenntnistheoretische Ansätze zurückgreifen und mit der Falsifizierung von Hypothesen arbeiten. Gerade die Forensik profitiert von den Entwicklungen in den angrenzenden Wissenschaften. Der Siegeszug der Computertechnik hat auch Spuren in der Forensik hinterlassen. Dabei ist nicht nur das neue Tatwerkzeug Computer gemeint. Vielmehr ist auch in der Analyse digitaler und digitalisierter Spuren moderne Rechentechnik nicht mehr wegzudenken. Beispiele sind Audio-, Video-, Fotoanalyse und die Möglichkeit der 3D-Rekonstruktion von Tatwerkzeugen und ganzer Tatorte. Auf der anderen Seite können Vergleiche von Spuren durch den Einsatz von Datenbanken sicher und erfolgreich gestaltet werden. Jedoch gehört auch hier eine gesunde Skepsis dazu. Wie in anderen Wissenschaften auch, müssen Ergebnisse nachvollziehbar und verständlich sein. Ob aus der Presse oder durch eigenes Erleben ist heute jeder mit den Begriffen Hacking, Cybercrime, Cyberspace, Cybermobbing oder digitaler Identitätsklau in Berührung gekommen. Auch der Begriff Hackerattacke ist in unsere Alltagssprache eingezogen. Der Begriff Hacker hat eine Metamorphose in seiner Begrifflichkeit durchlebt. Waren am Anfang damit besondere Tüftler gemeint, so wird er heute im Zusammenhang mit Cyberverbrechen benutzt. In den 1960er Jahren tauchte der Begriff Hacker zum ersten Mal in den USA am MIT (Massachusetts Institute of Technology) auf. Hier wurde ein Team von Studenten als Hacker betitelt, die Maschinen auseinanderbauten, um sie im Anschluss umzubauen. Ziel war neben dem haptischen Gefühl, eine deutliche Leistungssteigerung. Es wurden keine umtriebigen Absichten mit diesen Arbeiten verfolgt. Das Jahr 1969 kann als Geburtsstunde des Hackens gesehen werden. Wie so oft in der technischen Entwicklung wurde auch dieses Ereignis durch einen Zufall gefördert. Der Amateurfunker John Thomas Draper5 , später als „Captain Crunch“ bezeichnet, entdeckte, dass eine Spielzeugpfeife, welche in Frühstücksflocken der Marke Captain Crunch als Werbegeschenk enthalten war, benutzt werden kann um einen Ton (2600 H z) zu erzeugen, der Ferngespräche freischaltete. Dieser Tipp machte die Runde und schon konnten Freunde und Bekannte kostenlos telefonieren. Von diesem zufälligen Ereignis beflügelt gründete sich 4 5
* 1. Januar 1880 in Plötzensee; † 21. August 1939 in Berlin. * 1944.
4
D. Labudde et al.
einer der ersten Computer Clubs. In den 1980er Jahren sind die Hacker dann aus dem Schatten getreten und wurden auch bald von der breiten Öffentlichkeit wahrgenommen. Der damals erst 17-jährige Kevin Poulsen6 alias Dark Dante drang in das ARPANET (Vorläufer des heutigen Internets)7 ein. Jedoch war dies nur dem Militär und den führenden Universitäten vorbehalten. 1983 lief in den Kinos der Streifen „Wargames – Kriegsspiele“ von John Badham, hier wurde die Geschichte eines jungen Hackers erzählt. Durch diesen filmischen Katalysator tauchten 1988 die ersten Computerviren auf. Von nun an war der Begriff „Hacker“ eindeutig negative belegt. In den 1990er Jahren wurden das gesamte Ausmaß und die dunklen Seiten des Hackens deutlich. Durch das Internet wurden die ersten Straftaten in Bezug auf Cyberkriminalität begangen. Die Gemeinde spaltete sich nun in eine schwarze und weiße Community. Diese Aufspaltung gilt bis zum heutigen Tage. Auf der einen Seite stehen die „Black-Hats“, die aus kriminellen Gründen hacken, und auf der anderen die „White-Hats“, die vor allem auf Lücken in Sicherheitssystemen hinweisen wollen. Der Umfang und die Schwere der Taten der Black-Hats nahmen bald gewaltige Dimensionen an. Die ersten Fälle von Online-Banking-Missbräuchen gingen durch die Presse. Dies setzte sich in das 21. Jahrhundert fort. Der Begriff „Cracking“, das Überwinden von Sicherheitshindernissen, machte die Runde und ergänzte die Cyberkriminalität. Das Kopieren von DVDs und passende Plattformen zum Austausch wurden erschaffen. Aber auch Webseiten wie „WikiLeaks“8 wurden geschaffen, um sensible und geheime Dokumente der allgemeinen Bevölkerung zugänglich zu machen. Die heutigen Ausprägungen der Hacker und deren Schwerpunktziele sind vielschichtiger geworden. Nachfolgend der Versuch einer Systematisierung der „Hats“. Der „Black-Hat“ hackt Datensysteme mit der Absicht, Schaden anzurichten oder nimmt diesen zumindest billigend in Kauf. Das Hauptziel eines „White-Hat“ ist es, Sicherheitslücken in Systemen aufzudecken mit der Absicht, diese den Verantwortlichen zu melden. Dabei wird mitunter ein entstehenden Schaden in Kauf genommen. Zwischen beiden agiert der „Grey-Hat“, der sowohl zur Verbesserung der Systemsicherheit beiträgt als auch Schäden anrichtet. Die Gruppe der Wettstreiter (aus sportlicher Absicht oder zum Zeitvertreib) bekommt den Namen „Script Kiddies“. Sie haben kaum technische Kompetenzen und bedienen sich der Tools anderer. Nach dem Motto: Wer will mal ein Hacker sein. Neu ist die Gruppe der „Hacktivisten“. Diese setzen ihr technisches Wissen für einen politischen Zweck ein und verändern zum Beispiel eine Homepage, um politische Botschaften zu verbreiten oder um auf Missstände aufmerksam zu machen. Zum Abschluss noch ein Rat für alle diejenigen, die jetzt überlegen, in welcher Gruppe sie sich selbst wiederfinden: Hacking bringt nicht nur viele neue Freunde, sondern auch genauso viele neue Feinde.
6
* 1965 in Pasadena, Kalifornien. Advanced Research Projects Agency Network. 8 https://wikileaks.org/ 7
1
Einführung
5
1.2 Forensik im System der Wissenschaften Der Begriff Forensik stammt vom lateinischen Wort for¯ensis ab und bedeutet so viel wie „im oder vor dem Forum (Marktplatz)“. Historisch gesehen war der Marktplatz oder Mittelpunkt einer urbanen Gemeinschaft oft der Schauplatz der Gerichtsbarkeit. Alle Wissenschaften oder Teildisziplinen einer Wissenschaft können das Adjektiv „forensisch“ tragen. Dies signalisiert den Bezug zum jeweiligen Rechtssystem.
Die Forensik umfasst alle Arbeitsgebiete, die strafrechtlich und zivilrechtlich relevante Handlungen identifizieren, ausschließen, analysieren und rekonstruieren.
In Deutschland wird dies vor allem durch die Zusammenarbeit von verschiedenen Fachgruppen und Spezialisten erreicht. In den USA hingegen schließt der Begriff Forensic Science (Forensics) eine spezielle Ausbildung ein, welche kriminalistisches und rechtsmedizinisches Wissen vereint. Beide Betrachtungsweisen deuten auf den Charakter einer Querschnittswissenschaft innerhalb der Naturwissenschaften hin, welche ihren Rahmen von den Rechtswissenschaften vorgegeben bekommt und sich in der Umsetzung auch Methodiken der Ingenieurswissenschaften bedient. Im deutschsprachigen Raum spricht man auch vom System der Kriminalwissenschaften. In diesem ist die Forensik, neben weiteren Wissenschaftszweigen wie Kriminalistik oder Kriminologie, als Teil der nichtjuristischen Kriminalwissenschaften den Naturwissenschaften zugeordnet (Abb. 1.1).
Als empirische, nicht-juristische Kriminalwissenschaft, umfasst die Lehre der Kriminalistik sämtliche präventiven und repressiven Maßnahmen sowie damit verknüpfte Techniken, die zur Bekämpfung von Straftaten und des Verbrechertums notwendig sind [5].
Abzugrenzen ist die kriminalistische Lehre von dem Fach der Kriminologie. Letzteres beschäftigt sich mit den Erscheinungsformen und Ursachen von Kriminalität. Ziel der Kriminalistik ist die Ermittlung und Zusammenführung von straftatrelevanten Beweisen. Darüber hinaus sollen Gefahren abgewehrt bzw. Straftaten abgewendet werden. Es können verschiedene Teildisziplinen unterschieden werden [5]: 1. Maßnahmen, welche die Vorgehensplanung bei der Verbrechensbekämpfung implizieren, werden innerhalb von Kriminalstrategien erarbeitet. Dazu werden ebenfalls Vorbeugungsmaßnahmen gezählt. 2. Innerhalb der Kriminaltaktik, als weitere Teildisziplin, werden zweckgebundene Vorgehensplanungen im Rahmen der Verbrechensbekämpfung erarbeitet (z. B. Vernehmungstaktik).
6
D. Labudde et al.
Abb. 1.1 System der Kriminalwissenschaften nach Berthel [1]
3. Die Kriminaltechnik umfasst sämtliche Erkenntnisse und Maßnahmen zur Anwendung wissenschaftlicher und empirischer Resultate in Bezug auf Spurensicherung und -analyse. 4. Die Regelung des Dienstbetriebes sowie die innerhalb spezifischer Richtlinien und Anordnungen geregelte Handhabung kriminalpolizeilicher Mittel fallen in den Bereich der Kriminaldienstkunde. 5. Der Bereich der Kriminalprävention beschäftigt sich mit der Vorbeugung und Früherkennung von Risiken für kriminelles Verhalten.
Eng verknüpft mit der Kriminalistik, stellt die Kriminologie als ebenfalls nichtjuristische, empirische Kriminalwissenschaft das geordnete oder systematische Wissen über Verbrechen, Verbrecher, die strafrechtliche Sozialkontrolle sowie das Verbrechensopfer dar. Im Allgemeinen ist darin eine Summierung vielfältiger wissenschaftlicher Beiträge bezüglich Kriminalität und ein in Verbindung damit stehendes Verhalten zu sehen. Im speziellen bestehen Bezüge zum Opfer und zur Kriminalitätsprävention [8].
1
Einführung
7
Die Kriminologie ist eng verzahnt mit diversen Bezugswissenschaften, wie u. a. Psychiatrie, Psychologie, Soziologie, Rechtswissenschaft und Ökonomie.
1.3 Tatort in der modernen Forensik 1.3.1 Der moderne Tatortbegriff Schauen wir uns das Wort „Tatort“ an, so ist dieser in unserer Gesellschaft mit einer negativen Assoziation verknüpft, obwohl beide Begriffe „Tat“ und „Ort“ mit einer positiven Auffassung verbunden sind. Seit Bestehen von Gesellschaften ist das Handeln eines jeden Einzelnen an ein definiertes Regelwerk der Gemeinschaft, die Gesetze, Verordnungen und Konventionen, gekoppelt. Dem Staat, als Inhaber des Gewaltmonopols, obliegt es, diese Regelwerke durchzusetzen, Verstöße zu verfolgen und ggf. zu ahnden. Dafür bedarf es jedoch eines Beweises, im Sinne einer eindeutigen Zuordnung eines Tatverdächtigen oder Opfers zu einer konkreten Tat. Dem Auffinden derartiger Beweise bzw. dem Nachweis einer Tat dient, neben der Vernehmung von Beteiligten und Zeugen, vor allem die Untersuchung von Spuren (Daten). Unter einer Straftat wird gemeinhin ein schwerwiegender Verstoß gegen die Rechtsordnung einer Gesellschaft oder die Grundregeln menschlichen Zusammenlebens verstanden. Allgemein gesprochen handelt es sich um eine von der Gemeinschaft als Unrecht angesehene und von ihrem Gesetzgeber als kriminell qualifizierte und mit Strafe bedrohte Verletzung eines Rechtsgutes durch den von einem oder mehreren Tätern schuldhaft gesetzten, verbrecherischen Akt. Die Rechtswissenschaft versteht unter einem Vergehen/ Verbrechen in erster Linie eine strafbare Handlung (Straftat) an sich und als solche. Das Strafgesetzbuch (§ 12 StGB) unterscheidet in Abhängigkeit der Schwere der Tat und der damit verbundenen Strafandrohung Straftaten in Vergehen (Strafandrohung im Mindestmaß unter einem Jahr Freiheitsstrafe oder Geldstrafe) und Verbrechen (Strafandrohung im Mindestmaß von einem Jahr Freiheitsstrafe oder darüber). Gesellschaftswissenschaftlich befasst sich die Kriminologie mit dem Phänomen des Verbrechens und seinen Erscheinungsformen und Ursachen. Mit den Mitteln und Methoden der Verbrechensbekämpfung und -aufklärung beschäftigt sich die Kriminalistik. In diesem Kontext wird der Ort der Tat, also der Ort an dem eine Straftat verübt wurde, als Tatort bezeichnet. Was auf den ersten Blick relativ trivial klingt, ist jedoch bei genauerer Betrachtung oft schwer zu beschreiben. Allgemein definiert man den Tatort als Ort, an dem sich kriminalistisch relevante oder juristisch strafbare Handlungen ereignet haben. Der Tatort beschränkt sich nicht nur auf den Ort des Ereignisses, sondern auch auf jene Bereiche, in welchen vor oder nach der Tat relevante Handlungen stattgefunden haben. Man unterscheidet den unmittelbaren Tatort, an dem die Tat ausgeführt wurde und an dem auch die meisten Spuren (Daten) erwartet werden können sowie den Tatort im weiteren Sinne. Dieser bezieht sich auch auf die nähe-
8
D. Labudde et al.
re Umgebung. Es lassen sich in der klassischen Forensik folgende Abschnitte dem Tatort zuordnen: Vorbereitungsort, Annährungsort, Ereignisort. Der Begriff Tatort im weiteren Sinn schließt auch den Fundort des Opfers, den Fluchtweg des Täters, das Fluchtfahrzeug, Aufbewahrungsorte von Beute oder Tatwerkzeugen sowie den Wohnort des Tatverdächtigen mit ein. An einem Tatort ist die Wahrscheinlichkeit sehr hoch, fallrelevante Spuren zu finden und diese als grundlegende Beweise aufzubereiten. Spuren im kriminaltechnischen Sinne sind sichtbare oder latente materielle Veränderungen, die im Zusammenhang mit einem kriminalistisch relevanten Ereignis entstanden sind und zu dessen Aufklärung beitragen können. In der Literatur spricht man oft vom Spurenlesen. Eine Annäherung an den Begriff „Lesen“ lässt einen Vorgang oder Prozess erkennen. Dieser Vorgang beschreibt den Transfer von der Ebene der Zeichen (Spur) auf die Ebene der Bedeutung (Beweis). Das abschließende Wissen unterliegt der Kausalität (Ursache-Wirkung) [7]. Diese Ebenen spiegeln sich in der Wissenspyramide wider. Objektive Befunde und Spuren sind neben den Aussagen von Beschuldigten und Zeugen die wichtigsten Beweismittel im Strafverfahren. Im Zusammenhang mit dem Tatort im klassischen Sinne sind drei Anmerkungen zu Spuren von Bedeutung: am Tatort sind Spuren oft noch nicht differenzierbar, der Tatbezug kann noch nicht in allen Fällen abgeschätzt werden, nicht unmittelbar gesicherte Spuren sind oft unwiderruflich verloren. Eine koordinierte und gründliche Tatort- und Spurensicherung ist entscheidend für die erfolgreiche und fachgerechte Aufklärung einer Straftat. Es ist dafür zu sorgen, dass der Tatort so wenig wie möglich an Informationen verliert bzw. neue hinzukommen. Informationen ergeben sich aus der Analyse der Spuren (Daten), die in der Phase der Rekonstruktion des Tatortes und des Tatherganges abgeleitet werden. Veränderungen des Tatortes vor dem Eintreffen der Forensikexperten (bewusst oder unbewusst) verursachen Rekonstruktionen, welche im Detail von der Realität abweichen. Die virtuelle Welt, der Cyberspace, in dem wir uns täglich mehrere Stunden bewegen, führt zwangsläufig zu einer notwendigen Erweiterung bzw. Neudefinition des Begriffs Tatort. Um dies verständlich zu machen, werden nun physische und virtuelle (digitale) Spuren verglichen.
Digitale Spuren (digital evidence) sind Spuren, die auf Daten basieren, welche in Computersystemen gespeichert oder übertragen worden sind [2].
1
Einführung
9
Abb. 1.2 Die Eigenschaft der Manipulierbarkeit ist bei digitalen Spuren (Daten) im Vergleich zu physischen Spuren aus der klassischen Forensik wesentlich größer. Die Eigenschaft Freiheitsgrade verhält sich jedoch umgekehrt
Zunächst sind dies analog zur klassischen Forensik physische Spuren, wie Magnetisierung auf der Oberfläche einer Festplatte, elektromagnetische Wellen auf einem Datenkabel, Ladezustand von Speicherzellen im Hauptspeicher. An dieser Stelle kann davon ausgegangen werden, dass die Prinzipien der klassischen Forensik anwendbar sind. Die Form der diskreten Repräsentation („Null“ und „Eins“) wird durch verschiedene Anwendungen in eine für den Menschen lesbare Form überführt. Unterschiede zwischen digitalen und analogen (physischen) Spuren existieren gerade in Bezug auf die Eigenschaften Manipulierbarkeit und Freiheitsgrade. Abb. 1.2 demonstriert das Verhältnis dieser Eigenschaften in Bezug auf physische und digitale Spuren. Die Manipulierbarkeit und der Anzahl der Freiheitsgrade sind sich gegenseitig bedingende Eigenschaften. Digitale Spuren unterliegen einer hohen Manipulierbarkeit, was den Raum der Analyse, also das Betrachten der Spuren, einschränkt (Anzahl der Freiheitsgrade in der Analyse). Digitale Spuren besitzen die folgenden elementaren Eigenschaften: Flüchtigkeit – persistente, gespeicherte Daten, – semipersistente Daten im Arbeitsspeicher, – flüchtige Spuren, nur temporär vorhanden, technische Vermeidbarkeit (Systemdaten), Manipulierbarkeit, Kopierbarkeit. Detaillierte Ausführungen zum Vergleich von digitalen und realen Spuren finden Sie im Buch Forensische Informatik [4]. Digitale Spuren haben im Gegensatz zu physischen Spuren einen komplexeren geografischen Aufbau und Entstehungsmechanismus. Dieser setzt sich aus drei ineinandergreifenden Ebenen zusammen: Internet, LAN bzw. WLAN und dem Kerngerät (PC, Smartphone, Tablet). Ein virtueller Tatort oder digitaler Tatort kann somit nur schwer bzw. gar nicht definiert werden. Möglichkeiten einer Definition ergeben sich durch Einbeziehung der geografischen Ebenen. Wenn „Von einem unbekannten
10
D. Labudde et al.
Tatort aus begangenen Cybercrimedelikt“ [3] gesprochen wird, muss sich der unbekannte Tatort auf auf IP-Adressen bzw. MAC-Adressen von verwendeten Geräten einschließlich Servern beziehen. Somit erfolgt eine Zuordnung zu Geräten in einem gesonderten Schritt. Digitale Ermittlungen unterscheiden sich von herkömmlichen Ermittlungen in der Wahl der verwendeten Werkzeuge. Die allgemeine Vorgehensweise, welche aus drei Phasen besteht und durchgängig von Experten akzeptiert ist, kann direkt auf Ermittlungen in der virtuellen Welt (Cyberspace) übertragen werden. Diese Phasen sind: Sicherung, Analyse und Präsentation (SAP). Securephase: Analysephase:
beinhaltet die sorgfältige Erfassung aller Daten, sorgfältige Überprüfung und objektive Bewertung der gesicherten Spuren und Beweise, Präsentationsphase: nachvollziehbare Darlegung des Ermittlungsprozesses.
In der Literatur existiert eine Reihe von weiteren Vorgehensmodellen, die sinnvolle Präzisierungen vornehmen. Abb. 1.3 zeigt verschiedene Vorgehensmodelle in ihren unterschiedlichen Präzisierungen. An dieser Stelle sei nocheinmal auf eine Abgrenzung der Begriffe Modell, Prozess und Methode im Zusammenhang mit Vorgehensweisen hingewiesen.
Modell: Ablauf einer Untersuchung (vereinfachte Weise), einzelne Arbeitsschritte, gibt keinen Aufschluss über die Schritte innerhalb eines Abschnitts.
Prozess: Ablauf in detaillierter Form, Abschnitte aus dem Modell in kleine Phasen, Reihenfolge des Ablaufs einer Untersuchung.
Methode: im Arbeitsschritt eingesetzten Werkzeuge und Verfahren. Die spezifische, auf eine konkrete Ermittlung ausgerichtete Umsetzung eines Vorgehensmodells muss im Einklang mit den aufgestellten forensischen Hypothesen stehen. In Ermittlungsverfahren, sowohl in der virtuellen als auch in der physischen Welt, sind an den Prozess der Hypothesenentwicklung analoge Bedingungen geknüpft. Aus der Menge der Spuren (Daten, Fakten, Zahlen) werden durch wissenschaftliche Methoden Informationen generiert. Als wissenschaftliche Methoden gelten Verfahren, Algorithmen und
1
Einführung
11
Abb. 1.3 Vorgehensmodelle SAP, Kent et al. [9], BSI (Bundesamt für Sicherheit in der Informationstechnik) und Casey [2] im Vergleich
Systeme, die evaluiert wurden und einem wohldefinierten Standard entsprechen. Informationen werden zu fallspezifischen Thesen und Erläuterungen zusammengefasst und führen zur eigentlichen Hypothese, welche im Laufe eines iterativen Prozesses überprüft wird. In Abb. 1.4 wird ein Hypothesenzyklus für die Rekonstruktion eines Tatherganges aufgezeigt. Dieser Zyklus ist auf beide Ermittlungsbereiche anwendbar. Informationen und daraus entstandenes Wissen liefern die Grundlage für den Verifizierungs- bzw. Falsifizierungsprozess von forensischen Hypothesen. Auf die Gewinnung
12
D. Labudde et al.
Abb. 1.4 Darstellung des Hypotheses Cycle für die klassische und digitale Forensik
von Information aus Daten, im Sinne von Spuren, wird zu einem späteren Zeitpunkt noch einmal eingegangen.
1.3.2 Moderne Formen der Spurensicherung Mit dem Voranschreiten der Entwicklung neuer Technologien müssen Werkzeuge und Vorgehensweisen ständig evaluiert und im Einzelfall angepasst werden. Das Beispiel „Fahrzeughacks“ zeigt dies sehr eindrucksvoll. Ein regelmäßiges Screening aufkommender Technologien anhand der veröffentlichten Hype-Cycles kann sehr hilfreich sein, um einerseits neue Werkzeuge abzuleiten und andererseits das Bedrohungspotential neuer Technologien abzuschätzen. Ein solches Beispiel stellen die UAV (unmanned aerial vehicle) dar. Solche Flugobjekte, auch Drohnen genannt, stellen auf der einen Seite eine Bedrohung dar, auf der anderen Seite können sie sich zu Werkzeugen in der Ermittlung und Hypothesenüberprüfung entwickeln. Ein Einsatz bei der Rekonstruktion von Tatorten und Katastrophengebieten bietet sich in diesem Kontext an. Die Spurensicherung in der klassischen bzw. virtuellen (digitalen) Welt unterscheidet sich in den verwendeten Methoden und Werkzeugen. Dies liegt nicht zuletzt am Charakter der spezifischen Spuren. Auf klassische Spurensicherungsmethoden und biometrische Verfahren wird im Kap. 2 detaillierter und gesondert eingegangen. Die Entstehung der sogenannten digitalen Spuren ist so vielfältig wie deren Eigenschaften. Die Vielfalt und Menge der digitalen Daten und Spuren stellt eine große Herausforderung in der täglichen Ermittlungsarbeit dar. Dieses Phänomen wird mit dem Begriff „Big Data“ in Zusammenhang gebracht. Die Menge an digitalen Daten stellt einen Datenpool für Methoden aus
1
Einführung
13
Abb. 1.5 Vorkommen digitaler Daten, die zur Auswertung in Bezug auf Straftaten verwendet werden können. Durch die Zusammenführung der Daten ist es möglich, einen sogenannten digitalen Fußabdruck eines Nutzers zu erzeugen
dem Gebiet der Big Data bereit und ermöglicht die Entwicklung und Anwendung von Vorhersagealgorithmen (Predictive Policing). Bei der Analyse und Aufklärung von Straftaten, die im Zusammenhang mit oder unter Nutzung des Internets bzw. mithilfe modernster Computertechnik begangen wurden, können heute verschiedenste digitale Daten herangezogen werden. Abb. 1.5 gibt einen Überblick der möglichen digitalen Daten und Spuren. In erster Linie gehen in die Analyse beispielsweise Texte, Kurznachrichten, Bilder, Videos, Browserinhalte (Surfverhalten) und persönliche Informationen aus sozialen Netzwerken ein. Durch die bereitgestellte Technik können aus diesen Daten auch die korrespondierenden Metadaten für die Analyse herangezogen werden. Die Information und das abgeleitete Wissen aus digitalen Daten und Spuren werden in komplexen Verfahren mit den Informationen aus physischen Spuren korreliert. Die Sicherung digitaler Spuren ist, aufgrund der Eigenschaften dieser, von besonderer Wichtigkeit. Durch die hohe Manipulierbarkeit müssen Analysen auf Sicherheitskopien, sogenannten Images, durchgeführt werden. Diese sind durch Hash-Verfahren so zu sichern, dass eine lückenlose Dokumentation möglich wird. Dem digitalen Forensiker stehen eine Vielzahl kommerzieller und frei zugänglicher Werkzeuge (sogenannter OpenSource-Software) zur Verfügung. Die Virtualisierung (im Sinne der Wiederherstellung)
14
D. Labudde et al.
stellt darüber hinaus auch Möglichkeiten bereit, bereits gelöschte Daten in die Analyse einzubeziehen.
1.3.3 Zusammenwachsen von virtueller und realer Welt Die bisherigen Analyse und Annahmen weisen darauf hin, dass Ermittlungen in der virtuellen Welt und der physischen Welt viele Parallelen aufzeigen, es aber im Hinblick auf die Definitionen von Spuren und Tatort Unterschiede gibt. Digitale Spuren sind in erster Linie anonym, sind also ohne einen direkten Hinweis keiner juristischen Person zuordenbar. An dieser Stelle bedarf es, auch im juristischen Sinne, eines Zusammenwachsens der digitalen und physischen Spuren sowie deren Analyse. Auf dem Gebiet der Tatort- und Tathergangsrekonstruktion ist ein Verschmelzen der virtuellen und der realen Welt zu verzeichnen. Die Zeit der Erstellung von Handzeichnungen oder Aufrissen sollte eigentlich der Vergangenheit angehören. Neben der klassischen digitalen forensischen Fotografie halten weitere Techniken Einzug in die Dokumentation und Rekonstruktion. Die Tatrekonstruktion und die Plausibilitätsprüfungen von Zeugenaussagen lassen sich durch qualitativ hochwertige computergestützte Rekonstruktionen des Tatortes und des Tatherganges nachvollziehen bzw. überprüfen. Beide Arten der Rekonstruktion sollten zwar getrennt definiert werden, jedoch in einem hypothesengetriebenen Ermittlungsansatz parallel verwendet werden. Bei einer Tatrekonstruktion wird überprüft und dokumentiert, ob das vor- oder angegebene Verhalten von Personen, die im Zusammenhang mit einer Straftat stehen, mit realen Gegebenheiten und anderen Beweismitteln in Einklang stehen oder gebracht werden können. Eine weitere wichtige Komponente in der Rekonstruktion stellt die Zeugenbefragung dar. Eine Zeugenaussage, sollte in einer Rekonstruktion als sogenannte Nullhypothese gesehen werden, diese gilt es, zu überprüfen und zu bewerten. Das Nachvollziehen des Geschehens, basierend auf einer Tatrekonstruktion, kann mit der Vernehmung eines Tatverdächtigen bzw. weiterer Personen (Zeugen) einhergehen. Einen großen Nutzen kann man für die Hauptverhandlung ableiten. Das Gericht kann so der Staatsanwaltschaft, dem Opfer, dem Beschuldigten und deren Vertretern Gelegenheit zur virtuellen Teilnahme am Tathergang und Betrachtung des Tatortes geben. Die Standardisierung für die Darstellung und Durchführung einer virtuellen Tatrekonstruktion wird in den nächsten Jahren ein wichtiges Entwicklungsfeld darstellen. Die Rekonstruktion der Tat ist im Gegensatz zum Augenschein, eine vom Gericht durchzuführendes Nachstellen des wahrscheinlichen Verlaufs der Tat am Tatort oder an einem anderen mit der Straftat im Zusammenhang stehende Orte im Zuge der Vernehmung involvierter Personen und Zeugen sowie die Ton- oder Bildaufnahme dieser Vorgänge. Weil sie praktisch im Beisein aller Prozessbeteiligten stattfindet, ist sie an besondere Vorschriften gebunden. Technisch gesehen spricht man dann von einer Simulation der Geschehnisse unter Verwendung von Informationen (basierend auf Spuren, Daten). Um den Bezug zum forensischen Umfeld einzubeziehen, schlagen wir den Begriff „Tatablaufsimulation“ vor, welche zeitliche und räumliche Sequenzen einer Tat beinhaltet.
1
Einführung
15
Abb. 1.6 Rekonstruierter Tatort
Die Tatrekonstruktion und Tatablaufsimulation dient der Analyse von forensisch relevanten Sachverhalten, wie vermeintliche Unfälle, Körperverletzungen und Mord sowie der Überprüfung von Zeugenaussagen. Durch neue moderne Methoden und Software können zusätzliche Informationen und Wissen gewonnen und komplexe Wechselwirkungen dargestellt werden. Dazu können zum einen professionelle und kostenintensive Techniken, zum anderen aber auch preisgünstigere Alternativen eingesetzt werden. Zu diesen zählen unter anderem die Open-Source-Software Blender und der Xbox-Kinect-Sensor. Im Folgenden wird der Prozess einer Tatortrekonstruktion mittels Blender sowie die Möglichkeiten einer Tatablaufsimulation vorgestellt. Die Open-Source-Software Blender ermöglicht die Rekonstruktion von Tatorten durch die Modellierung und das Rendern von 3D-Szenen und Objekten. Dabei basiert die Raumgeometrie auf Messdaten der Tatortdokumentation. Der Nutzer hat die Möglichkeit, vollständige Räume mit darin enthaltenen Personen, möglichen Tatwerkzeugen und -waffen, Möbeln, Lampen und weiteren Gegenständen zu erstellen. Zudem können Licht- und Schatteneffekte, Objekttexturen und Distanzmessungen in die jeweiligen Szenarien integriert werden. Abb. 1.6 zeigt beispielhaft einen solchen rekonstruierten Tatort, in dem Personen und Gegenstände platziert und Wechselwirkungsbeziehungen dargestellt wurden. Blender ermöglicht, Modelle mit physikalischen Eigenschaften zu versehen und somit einen möglichen Tatablauf zu simulieren. Dadurch ist es beispielsweise möglich, Stichoder Schussrichtungen zu bestimmen und die Position des Schützen zu ermitteln.
16
D. Labudde et al.
Neben der Verwendung von professionellen Laserscannern zur 3D-Aufnahme von Tatorten besteht die Möglichkeit, preiswertere Technik, wie den Xbox-Kinect-Sensor, zu nutzen. Dieser eignet sich besonders wegen des Anschaffungspreis, der Handhabung und des Detailgrades der 3D-Modelle als günstige Alternative. Aufgenommene Szenarien können direkt mit der frei verfügbaren Download-Software von Microsoft ausgewertet und in Blender importiert werden. Abb. 1.6 zeigt eine Rekonstruktion einer auf dem Boden liegenden Person, die mithilfe des Xbox-Kinect-Sensors aufgenommen wurde, und das berechnete 3D-Modell in Blender. Dieses kann in weiteren Bearbeitungsschritten mit Texturen versehen und gegebenenfalls in eine andere Szene importiert werden. Da in einigen Fällen an Tatorten stark fäulnisveränderte oder vollständig skelettierte Leichname aufgefunden werden, kann die Tatortrekonstruktion in engem Zusammenhang mit der forensischen Gesichtsweichteilrekonstruktion stehen. Für gewöhnlich kommen zur Identifizierung einer unbekannten Person etablierte und herkömmliche Identifizierungsverfahren, wie Daktyloskopie, Odontostomatologie und der genetischer Fingerabdruck zum Einsatz, welche das Vorhandensein von Vergleichsmaterial voraussetzen. Ist dieses jedoch nicht vorhanden bzw. ausreichend besteht nur noch die Möglichkeit einer forensischen Gesichtsweichteilrekonstruktion. Die Methode basiert auf dem hohen Wiedererkennungswert des Gesichtes auf Grundlage der knöchernen Strukturen des Schädels und deren Merkmale. Im Weiteren wird eine Open-Source-Software vorgestellt, mit deren Hilfe Daten aus Fotogrammetrieverfahren zur Rekonstruktion genutzt werden können. Die Tatrekonstruktion und Tatablaufsimulation mit modernen Methoden kann als TopDown-Prozess verstanden werden. Im ersten Schritt kann die globale Umgebung rekonstruiert werden, in den nächsten Schritten können Detailrekonstruktionen in die bestehende Szene gesetzt werden. Somit können Einzelheiten aus verschiedenen Aufnahmen am Ende in einem zoombaren Raum zusammengefügt und Informationen auf verschiedenen Ebenen dem Betrachter und Analysten zur Verfügungen gestellt werden. Die Grundlage der modernen Rekonstruktion stellen Verfahren der Fotogrammetrie dar. Unter Fotogrammetrie versteht man eine Gruppe von Messmethoden und Auswerteverfahren, um aus Fotografien eines beliebigen Objektes seine räumliche Lage bzw. dreidimensionale Form zu bestimmen. Photogrammetrische Verfahren haben in den letzten Jahren nicht zuletzt aufgrund neuartiger Bildaufnahmegeräte und der gestiegenen Möglichkeiten der digitalen Bildverarbeitung an Bedeutung gewonnen. Auch in der Forensik ist das Kernanwendungsgebiet der Fotogrammetrie die Wiederherstellung der räumlichen Lage von Objekten zueinander, in der sie sich zum Zeitpunkt der Aufnahme befunden haben (Tatort- und Verkehrsunfalldokumentation sowie forensisch und archäologische Anwendungen).
1.4 Aufgaben und Ziele der forensischen Wissenschaft Forensische Wissenschaft beinhaltet alle Wissenschaftsdisziplinen, die unmittelbar bzw. mittelbar mit der Aufklärung von Straftaten zu tun haben. In diesem Buch soll sich auf den
1
Einführung
17
nichtjuristischen Teil der Kriminalwissenschaften bezogen werden. Der Bezug zu den juristischen Wissenschaften ist nicht zuletzt durch das Verhältnis von Staatsanwaltschaft und Polizei im weitesten Sinne verankert. Die Staatsanwaltschaft hat ab der Übermittlung des ersten Berichts bis zur Anklageerhebung den Ermittlungsakt zu führen. Die Ziele und Aufgaben der juristischen und nichtjuristischen Kriminalwissenschaften unterscheiden sich deutlich, jedoch bedingen sie sich. Die forensische Wissenschaft wäre nicht existent ohne die juristischen Kriminalwissenschaften. Ziel der juristischen Kriminalwissenschaft ist die Beantwortung von rechtlichen Fragen auf der Grundlage des geltenden Rechtssystems. Zur Beantwortung der rechtlichen Fragen werden oft Ergebnisse (im Sinne von Gutachten) aus den nichtjuristischen Kriminalwissenschaften herangezogen. Dabei muss ein Transfer erfolgen, d. h. eine juristische Frage, i. S. eines Untersuchungsauftrages, muss in den Kontext einer wissenschaftlichen Frage bzw. Hypothese überführt werden. Während dieses Transfers geht der Bezug zu Schuld bzw. Unschuld verloren. Dabei muss der Begriff „Wissenschaft“ oder „wissenschaftlich“ von elementarer Bedeutung sein. Im allgemeinen Sprachgebrauch geht dieser Begriff mit Exaktheit, Überzeugungskraft und Beweisbarkeit einher. Als Wissenschaft bezeichnet man die Tätigkeit, bei der ein Sachverhalt mit objektiven und nachvollziehbaren Methoden systematisch beschrieben und untersucht wird. Dasselbe gilt für einen bestimmten Bereich, in dem mit wissenschaftlichen Methoden gearbeitet wird. Beispielsweise ist die Biologie die „Wissenschaft von der belebten Materie“. Zur Kennzeichnung gehören aber auch die Gesamtheit der Einrichtungen und Personen, die wissenschaftlich arbeiten. Schauen wir uns die Definition von Wissenschaft nach Aristoteles an: „Zum Unterschied von ungeordneten (Erfahrungs-)Wissen (Empirie) achtet Wissenschaft nicht bloß auf das Das, sondern auch auf das Warum, die Gründe, Ursachen der Dinge. “Der wissenschaftlichen Methode kommt dabei eine gesonderte Schlüsselstellung zu. Nach Schischkoff (1991) besteht die wissenschaftliche Methode [. . . ]„ in dem immer weiteren systematischen Vordringen in die Breite und Tiefe der Wirklichkeit, zu den Elementen des Seins und Geschehens und zur Erkenntnis des Zusammenhanges der Wirklichkeit überhaupt, die wir Welt nennen“. Mit wissenschaftlichen Methoden sind nicht die Techniken oder Technologien gemeint, sondern die wissenschaftlichen Vorgehensweisen. Eine mögliche Übertragung auf den Ermittlungsprozess kann wie folgt beschrieben werden. Ziel im wissenschaftlichen Sinne ist die komplette und optimale Rekonstruktion der Tat, um die Wahrheit herauszufinden. Der Begriff Wahrheit sollte hier mit dem Begriff Wahrscheinlichkeit assoziiert werden. In Abhängigkeit von der Menge, Qualität und Objektivität der Daten (Spuren – Beweise) sind oft nur Wahrscheinlichkeitsaussagen über einen Tathergang möglich. Ziel jeder forensischen Wissenschaft ist die Suche nach den Verbindungen zwischen den Objekten (Spur – Spurenverursacher, Spur – Spur). Hier sollte man eine eindeutige wissenschaftliche Vorgehensweise bevorzugen. Bedienen wir uns an dieser Stelle der Theorie des Wissenserwerbs nach Popper. In seinem Sinne gilt folgende Modellauffassung (Repräsentation des Wissens), welche durch drei Sachverhalte gekennzeichnet ist:
18
D. Labudde et al.
Abb. 1.7 Prozess des Wissenserwerbs. (Inhaltlich adaptiert von [11])
Repräsentation von Begriffen und Konzepten (Knoten), Beziehungen zwischen den Knoten (Kanten), Begriffskonstellationen (Schemata). Dies führt uns direkt zum Begriff Netzwerk. Ein solches Netzwerk ist auf seine Objektivität und Vollständigkeit hin zu analysieren. Das Transferprinzip von Locard ist ein solches vereinfachtes Netzwerk. Das Vorgehen für die Erstellung solcher Wissensnetzwerke und deren Analyse sollte hypothesengetrieben erfolgen. Der österreichisch-britische Philosoph Karl Popper9 empfiehlt folgenden Prozess, der auf die unterschiedlichen Mengen und Arten der zur Analyse zur Verfügung stehenden Daten eingeht. Wir unterscheiden einen sogenannten aufsteigenden Prozess und einen absteigenden Prozess [11] (Abb. 1.7). Der Prozess des Wissenserwerbes wird genutzt, um das bereits erwähnte Netzwerk, mit den nachfolgenden Zielen, zu füllen und zu überprüfen: Besetzung von Schemavariablen mit spezifischer Information, Grundlage für Modifikation bestehender Schemata, Grundlage für die Schaffung neuer Schemata. Durch diese Vorgehensweise kann eine Grundobjektivität erreicht werden und „Erfahrungsfallen“ können vermieden werden. Somit kann man das forensische Vorgehen durch die nachfolgenden grundlegenden Fragestellungen beschreiben: Wie ist die grundsätzliche Herangehensweise an forensische Fragestellungen i. S. einer Hypothese? Welche Grundregeln müssen beachtet werden? Wie funktioniert wissenschaftliche Arbeit? 9
* 28. Juli 1902 in Wien; † 17. September 1994 in London.
1
Einführung
19
Abb. 1.8 Wissenspyramide. (Inhaltlich adaptiert von [12])
Das Zitat von Sir Arthur Conan Doyle10 kann auch als organisationstheoretischer Ansatz gedeutet werden: „Es ist in der Kriminalistik von größter Wichtigkeit, dass man aus einer großen Zahl von Tatsachen diejenigen erkennt, welche zufällig sind, und diejenigen, die relevant sind.“
Sehen wir die Überführung von Spuren in einen Beweis, der Teil einer logischen Beweiskette ist, dann sollte der Beweis einen vorläufigen wahren Zustand erhalten. Das verwendete Wissensmanagement ist eine Form der Anreicherung von Wissen auf der Grundlage von Daten, in unserem Kontext Spuren. Diese Daten wurden beobachtet. Der zugrunde liegende Prozess kann als Analyse angesehen werden. Wissen ist mit einem Erfahrungskontext angereicherte Information. Die Information kann als Bestandteil der Daten angesehen werden [12]. Die Extraktion der Information aus den Daten erfolgt mit wissenschaftlichen Methoden und Analyseverfahren. Wobei diese Verfahren aus allen naturwissenschaftlichen Disziplinen stammen können. Wissen kann in einer aufsteigenden Pyramide dargestellt werden (Abb. 1.8) und führt zu Organisationssystemen. Die Daten stellen die Basis der Pyramide da. Aus den unstrukturierten Daten werden mit Analysemethoden strukturierte Daten, die Informationen enthalten. Durch die Verknüpfung der verschiedenen Informationen kann Wissen generiert werden, welches dem Nutzer zur Verfügung gestellt werden kann. Dieses System hat das Ziel eine zeitliche und örtliche Verteilung von Information zu organisieren. So kann das generierte Wissen in einem zeitlichen und örtlichen Kontext, der von Personen abhängig ist, mit der eigentlichen Nutzung verlinkt werden. Nachgestellte Handlungen, i. S. d. Tatablaufsimulation, basieren auf dem bereitgestellten Wissen. 10 Sir Arthur Ignatius Conan Doyle M.D. (* 22. Mai 1859 in Edinburgh; † 7. Juli 1930 in Crowborough, Sussex.
20
D. Labudde et al.
1.5 Spuren als Beweismittel und deren Beweiswürdigung im Strafprozess Jedes Strafverfahren hat zum Ziel, die Schuld bzw. die Unschuld eines Tatverdächtigen möglichst zweifelsfrei herauszufinden. Davon muss das Gericht, sei es der Einzelrichter an einem Amtsgericht, die drei Berufsrichter mit den beiden Schöffen als ebenfalls gesetzliche Richter beim Landgericht oder die fünf Berufsrichter am Bundesgerichtshof in Strafsachen, überzeugt sein. Über den Grad dieser richterlichen Überzeugung sagt das Gesetz in § 261 StPO allerdings nichts aus und die Überzeugung ist nicht quantifizierbar, nicht in Prozentwerten ausdrückbar. Entscheidend ist lediglich, dass das Gericht von der Schuld des Angeklagten überzeugt ist, also eindeutig mehr für als gegen seine Täterschaft spricht. Dieser subjektive Akt der Überzeugungsbildung ist rein persönlich und grundsätzlich nicht ersetzbar. Versuche, mithilfe von mathematischen Modellen die Beweiswürdigung zu objektivieren, sind durchweg erfolglos geblieben. Grundlage jeder strafgerichtlichen Entscheidung sind Beweise, welche die Täterschaft des Beschuldigten möglichst eindeutig belegen (sollen). Zwar kann eine Verurteilung auch lediglich aufgrund von Indizien, also von mehr oder weniger aussagekräftigen Anzeichen für eine denkbare Täterschaft, erfolgen. Doch je höher die Strafandrohung ist, im extremsten Fall also eine lebenslange Freiheitsstrafe, z. B. wegen Mordes, desto höher werden auch die Anforderungen an die zugrunde liegenden Beweise bzw. Indizien sein, wobei immer der Grundsatz in dubio pro reo, im Zweifel für den Angeklagten, zu gelten hat. Der verurteilende Staat, vertreten durch die Staatsanwaltschaft, die bisweilen als „objektivste Behörde der Welt“ bezeichnet wird, weil sie sowohl die belastenden als auch die entlastenden Umstände in einem Strafprozess zu ermitteln hat (vgl. § 160 II StPO), muss die Tatbegehung durch den Beschuldigten nachweisen, nicht umgekehrt der Beschuldigte seine Unschuld. Eine menschenrechtliche Absicherung findet dieses Prinzip, die sogenannte Unschuldsvermutung, in Art. 6 II EMRK, wonach jeder Beschuldigte bis zum gesetzlichen Nachweis seiner Schuld als unschuldig zu gelten hat. Die EMRK arbeitet demnach mit rechtlichen Fiktionen, indem sie, unabhängig von der realen Tatbegehung des Beschuldigten, erst in einem sehr späten Zeitpunkt die Täterschaft des Beschuldigten unwiderruflich annimmt – namentlich dann, wenn gegen die gerichtliche Verurteilung keine Rechtsmittel in Gestalt einer Berufung oder einer Revision mehr eingelegt werden können, die Entscheidung damit rechtskräftig ist und somit (erst ab diesem Zeitpunkt) vollstreckbar ist (vgl. § 449 StPO), beispielsweise durch die Vollstreckung einer Freiheitsstrafe in einer Justizvollzugsanstalt. Aufgrund dieser eindeutigen Beweislastverteilung im Strafverfahren benötigen Staatsanwaltschaft und Gericht möglichst aussagekräftige Beweise bzw. Beweismittel, auf die sie ihre Entscheidung stützen können. Beweismittel müssen das Gericht von einer bestimmten Tatsache überzeugen, wobei nicht lediglich Tatsachen als solche, sondern zumeist deren Zusammenspiel mit anderen Tatsachen oder auch Indizien ein (mehr oder minder) stimmiges Gesamtbild geben sollten, um letztlich die Überzeugung des Gerichts herbeiführen zu können. Diese Beweise bzw. Beweismittel, welche in
1
Einführung
21
einem Strafverfahren vom jeweiligen Gericht u. a. im Hinblick auf die Frage nach der Täterschaft zu würdigen sind, bestehen häufig aus Spuren, die vom Täter entweder am Tatort oder am Auffindeort einer Leiche oder eines Schwerverletzten hinterlassen worden sind. Steht hierbei primär eine kriminaltechnische Untersuchung mit rechtsmedizinischem bzw. molekulargenetischem oder auch toxikologischem Schwerpunkt (siehe hierzu die Kap. 2 und 4 sowie partiell auch 3) im Fokus des Strafverfahrens, wird sich die kriminaltechnische Untersuchung im Falle von Computerkriminalität mit der Erhebung, Auswertung und Würdigung digitaler Informationen befassen müssen. Neben diesen technischen Fragen wird insbesondere zu klären sein, in welchen rechtlichen Rahmenbedingungen sich die Nutzung inklusive Interpretation dieser Beweismittel bewegt. In einem Strafverfahren gilt es auch, eine spätere Verurteilung so „wasserdicht“ zu machen, dass die getroffene Entscheidung nicht mit den Rechtsmitteln der Berufung oder der Revision wegen tatsächlicher oder rechtlicher Fehler angegriffen und aufgehoben werden kann. Vor diesem Hintergrund drohender Rechtsmittel wird entweder schon die Staatsanwaltschaft oder später das erstinstanzliche Gericht bemüht sein, eine entsprechend fundierte und tragfähige Beweislage zu schaffen – andernfalls kann das Gericht das Verfahren in jedem Prozessstadium mangels genügendem Tatverdachts einstellen oder spätestens am Ende der Hauptverhandlung den Angeklagten freisprechen, wenn die Beweise für den erforderlichen Grad der richterlichen Überzeugung nicht ausreichen, also die Zweifel an der Täterschaft größer (bzw. jene nicht genügend nachweisbar ist) sind als die Überzeugung, dass der Angeklagte die ihm in der Anklageschrift vorgeworfene Tat auch wirklich begangen hat. Die Beweise, unabhängig davon, ob es sich dabei um einzelne Tatwerkzeuge, Fingerabdrücke, Blutspuren oder auch um digitalisierte Beweismittel handelt, welche von Polizei und Staatsanwaltschaft auf einem beschlagnahmten Rechner sichergestellt worden sind oder die im Rahmen einer Online-Durchsuchung bei einem Tatverdächtigen festgestellt wurden, stellen in einem Strafverfahren deshalb den alles entscheidenden Drehund Angelpunkt dar, an welchem die Weichenstellung für den Ausgang des Prozesses – Verurteilung oder Freispruch – erfolgt. Für das Strafverfahren gilt, anders als in einem Zivilprozess, der weitgehend von den beteiligten Parteien (Kläger/Beklagter) gesteuert wird, dass alle möglicherweise entscheidungserheblichen Tatsachen nach den Regelungen über den Umfang der Beweisaufnahme gemäß § 244 II StPO bewiesen werden müssen. So kann der Zeugenbeweis bereits dann als erbracht gelten, wenn der Zeuge den Täter bei einem Diebstahl auf frischer Tat ertappt hat. Zu den beweisbedürftigen Tatsachen gehören allerdings auch Indizien: Der Zeuge hat gesehen, wie der Tatverdächtige mit einem blutigen Messer schnell den Tatort verlassen hat und geflohen ist – diese schnelle Flucht kann (muss aber nicht zwingend) ein Indiz für die mögliche Täterschaft des Flüchtenden sein. Entscheidend ist vor diesem Hintergrund der primär kriminaltechnische Aspekt, dass die Beweismittel geeignet sein müssen, zumindest weiterführende Informationen hinsichtlich der zu untersuchenden Tat und Täterschaft zu geben. In rechtlicher Perspektive ist zur Wahrung des Rechtsstaatsprinzips zudem von fundamentaler Bedeutung, dass die Beweismittel in rechtlich zulässiger Weise erhoben wurden und dass gesetzliche Beweis-
22
D. Labudde et al.
erhebungsverbote beachtet werden, andernfalls sind die Beweise – und seien sie noch so aussagekräftig und möglicherweise die einzig tragfähigen in einem Strafprozess – nicht verwertbar. Besondere Beachtung ist daher den verbotenen Vernehmungsmethoden gemäß § 136a StPO geschuldet, nach welchem der Beschuldigte, welcher auch als Beweismittel in Betracht kommt, nicht misshandelt, gefoltert, gequält oder hypnotisiert werden darf, um von ihm (wahrheitsgemäße) Aussagen zu erhalten. Jegliche, auf solche Weise erlangten Aussagen sind prinzipiell, d. h. ausnahmslos, unzulässig und dürfen niemals in einem Strafverfahren verwertet werden – selbst wenn der Beschuldigte damit (aus welchen Gründen auch immer) einverstanden sein sollte: § 136a III StPO erklärt eine solche Zustimmung des Beschuldigten für unbeachtlich, um die vollumfängliche und keinesfalls zu durchbrechende absolute Geltung dieses Beweiserhebungs- und Beweisverwertungsverbotes zu garantieren. Ein Verstoß gegen dieses Verbot macht die gerichtliche Verurteilung mit dem Mittel der Revision (§ 337 StPO) rechtlich angreifbar und das Gericht (bzw. eine andere Strafkammer) muss aufgrund dieses Fehlers über diesen Fall erneut entscheiden. Nicht beweisbedürftig sind sogenannte offenkundige Tatsachen, z. B. wann Vollmond bzw. Neumond war/ist, wann eine Springtide an der Nordseeküste war, von wann bis wann der Dreißigjährige Krieg dauerte und wodurch er beendet wurde – zur Klärung dieser Fragen genügt regulär entweder das erworbene Allgemeinwissen oder, falls nicht oder nur rudimentär vorhanden, ein Blick in ein handelsübliches Lexikon oder in Wikipedia. Eine Beweisaufnahme zu derartigen bzw. strukturell vergleichbaren Fragen ist im Rahmen eines Strafverfahrens somit nicht erforderlich und demgemäß auch keine „Würdigung“ dieser Fakten.
Literatur 1. Berthel, R.: Grundlagen der Kriminalistik/Kriminologie. No. 1 in Lehr- und Studienbriefe Kriminalistik/Kriminologie. Verlag Deutsche Polizeiliteratur (2008) 2. Casey, E.: Digital Evidence and Computer Crime, 3. Aufl.: Forensic Science, Computers, and the Internet, 3. Aufl. Academic Press (2011) 3. Cybercrime – Bundeslagebild 2014. http://www.bka.de/nn_224082/SharedDocs/Downloads/ DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2014, templateId=raw,property=publicationFile.pdf/cybercrimeBundeslagebild2014.pdf 4. Dewald, A., Freiling, F.C.: Forensische Informatik, 3. Aufl. Books on Demand (2015) 5. Gabler Wirtschaftslexikon, Stichwort: Kriminalistik. http://wirtschaftslexikon.gabler.de/ Definition/kriminalistik.html 6. Groß, H.: Handbuch für Untersuchungsrichter, Polizeibeamte,Gendarmen u. s. w. Verlag von Leuschner und Lubensky, Graz (1893) 7. Herrmann, B., Saternus, K.S.: Biologische Spurenkunde: Band 1: Kriminalbiologie, vol. 1. Springer (2007) 8. Kaiser, G.: Kriminologie. Ein Lehrbuch. Müller, Juristischer Verlag Heidelberg (1988)
Literatur
23
9. Kent, K., Chevalier, S., Grance, T., Dang, H.: Guide to integrating forensic techniques into incident response. NIST Special Publication S. 800–86 (2006) 10. Locard, E.: Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden. Berlin (1930) 11. Popper, K.R.: Logik der Forschung. Verlag Julius Springer, Wien (1934) 12. Schmitz, C., Zucker, B.: Wissensmanagement – Schnelleres Lernen im Unternehmen. Metropolitan (2003)
2
Biometrie und die Analyse digitalisierter Spuren
Dirk Labudde
2.1
Einleitung
Die moderne Tatortarbeit hat sich in den letzten Jahren deutlich verändert. Dabei sollte man nicht die in der Presse und Bevölkerung entstandene Erwartungshaltung durch den „CSI-Effekt“ aus dem Blick verlieren. Der Begriff ist von den CSI-Serien abgeleitet und vermittelt die Technikaffinität der Forensik. Im Kontext der Technikentwicklung und der Effektivität sollte der Einsatz von neuen Technologien zur Analyse von Spuren (digitalisierten Daten) behutsam diskutiert werden. Natürlich lassen neue Technologien auch neue Analysemethoden zu, jedoch sollten Aspekte der Machbarkeit im Alltag ebenfalls berücksichtigt werden. Neue Technologien sind die Grundlage für eine moderne forensische Fallarbeit. In diesem Kontext wollen wir von digitalisierten Spuren sprechen, also physische Spuren, die durch geeignete Technologien digitalisiert, analysiert und visualisiert werden können. Seit Jahrhunderten möchten Menschen andere erkennen bzw. wiedererkennen, sei es aus Gründen der Freundschaft oder Feindschaft. Hier bedient sich der Mensch erkennbarer biologischer Merkmale. Diese können physiologische Merkmale oder Verhaltenscharakteristika sein. Heute werden durch geeignete Methoden (Scanning, Capturing) aus diesen biologischen Merkmalen biometrische Merkmale. Eine weitere Abstraktionsebene wäre die biometrische Signatur (Hashfunktion). Wir unterscheiden zwei Aufgaben, Identifizierung bzw. Authentifizierung/Verifizierung einer Person, welche durch verschiedene Methoden abgedeckt werden [42].
D. Labudde () Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida Technikumplatz 17, 09648 Mittweida, Deutschland E-Mail: [email protected] © Springer-Verlag GmbH Deutschland 2017 D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt, DOI 10.1007/978-3-662-53801-2_2
25
26
D. Labudde
2.1.1 Die Identifikation – Wer bin ich? Aus einem Referenzdatensatz, in dem Daten mehrerer Personen gespeichert sind, wird die zu identifizierende Person herausgesucht. Die aktuellen Daten müssen von dem biometrischen System mit dem gesamten Datenbestand verglichen werden bis in den Referenzdaten Übereinstimmungen gefunden sind. Die Genauigkeit des Verfahrens hängt von den zuvor festgelegten Toleranzschwellen ab. Es kann aber keine hundertprozentige Übereinstimmung erreicht werden, sondern nur eine hinreichende Deckung der Daten. Zur Identifizierung einer Person muss der Schwellwert bezüglich eines Referenzdatensatzes überschritten werden. Mithilfe eines 1 W n-Vergleichs aus dem Referenzdatensatz ist dem System die gesuchte Person bekannt und es weiß, um welche Person es sich handelt [42].
2.1.2
Die Verifikation – Bin ich der, für den ich mich ausgebe?
Damit das Verfahren herausfindet, ob eine Person die ist, für die sie sich ausgibt, müssen die Daten innerhalb von festgelegten Toleranzschranken übereinstimmen. Diese Schranken sind im Programm festgelegt. Das bedeutet, dass die gewonnenen Daten mit einem einzigen Datensatz in einem 1 W 1-Vergleich gegenübergestellt werden. Der Vorteil beim Abgleich der aktuellen Daten mit nur einem Referenztemplate ist der Faktor Zeit, da eine Identifikation mithilfe eines 1 W n-Vergleichs mit zunehmender Größe immer langsamer wird [42]. In der modernen forensischen Fallarbeit gewinnt die Biometrie (biometrische Verfahren und Systeme) immer mehr an Bedeutung. Der technologische Fortschritt erlaubt in zunehmendem Maße rasche Messungen von biologischen Charakteristika und deren Auswertung mit vertretbarem Aufwand und hoher Qualität. Der Einsatz von Biometrie ist ein vielversprechender Ansatz, das Locard’sche Prinzip auf eine neue qualitative und quantitative Ebene zu heben. Wie verbindet man die Spuren mit der Identität einer oder mehrerer Personen? Dies gilt nur, unter der Annahme, dass biometrische Systeme kreiert werden, die eine Speicherung, Analyse, Kombination und Vergleich biometrischer Daten ermöglichen. In der heutigen globalisierten Informations- und Wissensgesellschaft kommt der Lösung dieses Problems eine immense Wichtigkeit und Bedeutung zu. Analog zum menschlichen Verhalten können diese Systeme trainiert werden und so eine höhere Erkennungsrate erzielen [42].
2.2 Biometrie Der Begriff Biometrie stammt aus dem Griechischen und bildet sich aus den altgriechischen Wörtern bios (ˇKo&) für Leben und metron ("Ko) für Maß. Danach ist die Biometrie die Wissenschaft der Körpermessung an Lebewesen, speziell am Menschen. Die klassische Begriffsdefinition der Biometrie beschreibt die Anwendung statistischer
2
Biometrie und die Analyse digitalisierter Spuren
27
Methoden in Human- und Veterinärmedizin, in Land- und Forstwirtschaft, in der Biologie sowie in verwandten Wissenschaftsgebieten. Dieser Begriff schließt das Wissen um die Merkmale von Menschen mit ein. Aus einzelnen oder einer Kombination von biometrischen Daten, welche auf diesen Merkmalen basieren, wird eine Person authentifiziert oder identifiziert.
2.2.1
Historischer Streifzug durch die Biometrie in der Forensik
Die Vermessung des Menschen zu Identifikationszwecken ist eine alte wissenschaftliche Idee. Bereits mehr als zweitausend Jahre vor Christus wurden Fingerabdrücke verwendet, um auf Tontafeln, welche zu dieser Zeit als Urkunden dienten, den Aussteller der Urkunde zu markieren. Auch zu Zeiten der Han-Dynastie, ca. 100 nach Christus, verwendete man den Fingerabdruck als Unterschrift. In Strafverfolgungsprozessen wurde der Identifizierungswert des menschlichen Fingerabdruckes vermutlich schon im zwölften Jahrhundert eingesetzt. Darauf weist ein 40-bändiger Kriminalroman des chinesischen Schriftstellers Shi nai-ngan hin, welcher beschreibt, wie man zwei Mörderinnen die „Finger einschwärzen und abdrücken“ ließ. Unter dem Titel: „Über das äußere Gefühlsorgan“ wurde im Jahre 1686 durch Marcellus Malphigius erstmals eine Schrift veröffentlicht, welche sich den Furchen und Mustern der Handflächen widmete. Der tschechische Professor Johann Evangelista Purkinje legte 1823 durch seine Definition der neun Grundmuster die Basis für die heutige Klassifizierung von Fingerabdrücken. Etwa 20 Jahre später erbrachte der deutsche Anthropologe Hermann Welker den empirischen Beweis der Unveränderlichkeit des Fingerabdrucks im Laufe eines Lebens. Ende des 19. Jahrhunderts wird durch die systematische Aufnahme verschiedener Körpermaße, wie beispielsweise der Länge und Breite des Kopfes, der Begriff der „Anthropometrie“ geprägt. Alphonse Bertillon publiziert 1885 die Farbe der Iris als Erkennungsmerkmal des Menschen. 1892 postulierte Sir Francis Galton, dass der menschliche Fingerabdruck einzigartig für jedes Individuum ist und im Laufe des Lebens weitgehend unverändert bleibt. Damit wurde der wissenschaftliche Grundstein für die Verwendung der Daktyloskopie in der Personenerkennung gelegt. Bereits fünf Jahre später wurden die ersten Straftäter durch New Scotland Yard mithilfe von Fingerabdrücken überführt. Seit 1952 erkennt der deutsche Bundesgerichtshof den Beweiswert der Daktyloskopie uneingeschränkt an. Die Einzigartigkeit der Irismusterung und deren Eignung zu Identifizierungszwecken wurden erstmals 1936 erwähnt. In den 1980er Jahren wurden dann Verfahren zur Retina- und Iriserkennung entwickelt. Im Jahr 1994 wurde der erste einsatzfähige biometrische Algorithmus von John Daugman entwickelt und zum Patent angemeldet. In den Jahren 1994 bis 1996 wurde von dem US-amerikanischen Verteidigungsministerium der erste Wettbewerb von Gesichtserkennungssystemen ausgetragen [23].
28
2.2.2
D. Labudde
Biometrie und das Locard’sche Prinzip
Das Locard’sche Austauschprinzip macht die Rolle der Spur (physisch und digital) auf eine einprägsame Art deutlich. Wir werden uns hier lediglich auf die „biometrischen“ Spuren konzentrieren. Jedoch gilt das Prinzip der Ähnlichkeit auch für Werkzeugspuren oder Abdrücke von Autoreifen. Im Wesentlichen unterscheidet man vier Spurenkategorien: Materialspuren. Basieren auf den stofflichen Eigenschaften und deren Zuordnung (z. B. Spermaspuren, Blutspuren, Speichelspuren, Haare). Formspuren. Forensische Schlussfolgerungen basieren auf der Form der Spuren (z. B. Blutspritzmuster, Werkzeugabdruck auf Haut oder Knochen). Situationsspuren. Sammlung von Informationen aus der besonderen Lage von Spuren oder Gegenständen zueinander oder zur Umgebung (Stellung von Fenstern und Türen, Lage der Kleidung). Gegenstandsspuren sind beweiserhebliche Gegenstände, die vom Täter oder Opfer am Tatort (Tatortbegriff im erweiterten Sinne) zurückgelassen worden. Opfer, Täter, Tatmittel und Tatort stehen über die Veränderungen (physische Spur) in einem nachvollziehbaren Zusammenhang (Abb. 2.1). Kein Täter kann eine Tat begehen oder einen Tatort verlassen, ohne eine Vielzahl von Spuren zu hinterlassen. Locard formulierte das so: Abb. 2.1 Darstellung der Beziehungen zwischen Täter, Opfer, Tatmittel und dem Ort des Geschehens. Der Zusammenhang wird durch die physischen Spuren vermittelt
2
Biometrie und die Analyse digitalisierter Spuren
29
Tab. 2.1 Zusammenhang Spurenverursacher und Spurenträger. Dargestellt sind mögliche Übertragungen zwischen Täter, Opfer, Tatmittel und dem Ort des Geschehens [19] Spurenverursacher Spurenträger Beispiel Täter Opfer Würgemale Tatmittel Fingerabdrücke auf Hammerstiel Tatort Fußabdruckspuren im Garten Opfer Täter Blutspuren auf Hemd Tatmittel Hautzellen des Opfers Tatort Blutspuren des Opfers Tatmittel Täter Fingerabdrücke an der Waffe Opfer Schussverletzungen Tatort Reifenspuren Tatort Täter Bodenspuren an den Schuhen Opfer Botanische Spuren Tatmittel Mechanische Spuren an der Tür
„Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen, diese zu finden, zu studieren und zu verstehen, kann ihren Wert zunichtemachen.“[31]
Die Auswirkung oder auch Wirkung ist in den Veränderungen an den Objekten messbar. Ausgehend vom Locard’schen Prinzip sind Spurenübertragungen von Form- und Materialspuren zwischen Täter, Opfer, Tatmittel und Tatort möglich. Tab. 2.1 beinhaltet einen Überblick zu möglichen Übertragungen und Zusammenhängen zwischen Spurenverursachern und Spurenträgern [19]. So kann ein Täter seinen individuellen Fingerabdruck auf einem Tatwerkzeug hinterlassen. Durch biometrische Methoden und Systeme kann dieser Abdruck analysiert und zugeordnet werden. Das Verständnis und die Zuordnung der Spuren ermöglicht eine Rekonstruktion des Tatherganges und die Identifizierung bzw. Verifizierung des Täters und/oder des Opfers. Der Prozess der Zuordnung (Identifikation bzw. Verifikation) lässt über die Bestimmung der Ähnlichkeit zweier Merkmale bzw. deren Veränderungen am Tatort bestimmen. Biometrische Verfahren erlauben ebenso Gegenstände die mit einem möglichen Täter oder Opfer in Verbindung stehen zu analysieren und diese einer Person zu zuordnen. Der Raum der möglichen Spuren hat sich durch das Informationszeitalter, in dem wir leben, deutlich vergrößert. Neben den von Menschen erkennbaren Merkmalen wie dem Gesicht, der Stimme, dem Gang oder der Handschrift können speziell entwickelte Ver-
30
D. Labudde
fahren Parameter, die dem menschlichen Auge verborgen sind, erfassen und analysieren. Dazu gehört der sogenannte chemische Fingerabdruck [25], die Zusammensetzung der Atemluft und der Individualgeruch des Menschen [27] oder die komplexe Struktur der Iris [5]. So ist es heute denkbar, das Verhalten eines Menschen bei der Bedienung von mobilen Devices durch sein Tippverhalten zu charakterisieren. Analog dazu wurden Algorithmen entwickelt, die eine Identifizierung oder Verifizierung von Personen über die Benutzung eines Bio-Pens [49] ermöglicht. Dabei ist die Vorgehensweise mit dem Verfahren der Analyse der klassischen Handschrift vergleichbar. Die Authentifizierung von Personen über deren Handschrift ist in den letzten Jahren ein wichtiges Einsatz- und Forschungsgebiet des Sicherheitssektors geworden Dabei wird das individuelle Schriftbild einer Person mithilfe eines Passwortes aufgenommen und anschließend mit biometrischen Algorithmen ausgewertet, um Identität festzustellen oder auszuschließen. Jüngste Untersuchungen [2] zeigten, dass dieses Verfahren auch in der Forensik genutzt werden kann. Der BiSP (Biometric Smart Pen) zum Beispiel erkennt Bewegungen in der Luft und kann die gewonnenen Daten dank vieler Nachbearbeitungsschritte besser und schneller miteinander vergleichen. Die durchweg sehr hohen Wiedererkennungsraten der einzelnen Schriftbilder (99,9 %) sprechen ganz klar für den forensischen Einsatz dieser Technik. Die aufwendigen Bearbeitungsschritte benötigen jedoch einen enormen Rechenaufwand, wodurch einzelne Berechnungen bis zu 15 Sekunden dauern können, was im Vergleich zu anderen biometrischen Untersuchungen (Fingerabdruck, Irisscan) langsam ist. Diese Problematik sollte, neben der Verbesserung der Usability der Geräte, Inhalt weiterer Forschungen auf diesem Gebiet sein.
2.3
Biometrische Merkmale
Die Biometrie beschäftigt sich mit dem Vermessen von Lebewesen nach quantitativen Merkmalen. Es handelt sich um die automatisierte Vermessung eines individuellen – physiologischen oder verhaltenstypischen – Merkmals einer Person, um eine Identifikation bzw. Verifizierung von Personen zu ermöglichen. Das Ziel der Biometrie ist die Zuordnung einer Identität und entsprechender Rechte zu einer physischen Person. Unterschieden werden biometrische Verfahren und Systeme. Ein biometrisches Verfahren ist ein auf biometrischer Erkennung basierender Mechanismus zur Authentisierung eines Menschen aufgrund seiner persönlichen, biologischen Eigenschaften mittels entsprechender Erkennungsgeräte. Unter einem biometrischen System ist eine Hard- und SoftwareKombination zur biometrischen Identifikation oder biometrischen Verifikation zu verstehen, das unter Verwendung biometrischer Verfahren arbeitet. Die Grundlage aller biometrischer Verfahren basiert darauf, dass verschiedene Körper- oder Verhaltensmerkmale einem bestimmten Menschen zuzuordnen sind. Viele der für eine biometrische Erkennung verwendeten körperlichen Merkmale wie Gesicht und Finger sind offen erkennbar. Biometrische Merkmale können schließlich nicht auf anderen Menschen übertragen werden. Erkannt wird der Nutzer hier anhand seiner Individualität. Im Gegensatz zu lediglich auf
2
Biometrie und die Analyse digitalisierter Spuren
31
Tab. 2.2 Biometrie, Wissen und Besitz in Bezug auf Kopierbarkeit, Verlust, Diebstahl, Änderbarkeit und Weitergabe Biometrisches Merkmal Verlust Änderbarkeit Dublizierbarkeit Diebstahl Weitergabe Beispiel
Sehr schwer bis unmöglich Schwer bis unmöglich Einfach bis sehr schwierig Schwierig Einfach bis schwierig Iris, Papillarleisten, Gesicht, Ohr
Persönlichen Besitz (Prinzip des Besitzes) Einfach Einfach Einfach bis schwer Möglich Einfach Pass, Ausweise, Mitgliedskarten, Schlüssel
Geheimes Wissen (Prinzip des Wissens) Möglich Einfach Möglich Möglich Möglich PIN, Logindaten, Schließcode
die Person bezogenen Merkmalen sind diese also direkt und nicht nur abgeleitet unmittelbar an die Person gebunden. An ein körperliches Merkmal muss sich der Merkmalsträger nicht erinnern, er trägt es untrennbar stets bei sich. Es kann im Allgemeinen auch nicht geheim gehalten werden. Im Gegensatz dazu stehen Merkmale die auf persönlichen Besitz und geheimes Wissen zurückgehen. Beispiele dafür sind der Besitz eines Ausweises und die Vergabe von Passworten. Derartige Merkmale können leichter verloren gehen, ausspioniert bzw. weitergegeben und verändert werden. In naher Zukunft ist von einer Durchmischung dieser Prinzipien (Biometrie, Wissen und Besitz) bzw. Kombination auszugehen. Ein Beispiel dafür ist die Einführung des ePass in Deutschland im November 2005. In der ersten Generation ist hier das Passfoto als biometrisches Merkmal im Chip gespeichert. Seit dem 1. November 2007 werden in elektronischen Pässen der zweiten Generation zusätzlich zwei Fingerabdrücke gespeichert. Die Tab. 2.2 stellt die drei Prinzipien (Biometrie, Wissen und Besitz) in Bezug auf Kopierbarkeit, Verlust, Diebstahl, Änderbarkeit und Weitergabe. Biometrische Merkmale sind aus biologischer Sicht schwer in Kategorien einteilbar. Zum einen enthalten sie genotypische Anteile und sind somit auch vererbbar. Zum anderen entstehen viele der biometrischen Merkmale, welche in der forensischen Fallarbeit genutzt werden, durch einen zufälligen Prozess während der Embryonalentwicklung. Andere Merkmale sind verhaltensgesteuert und damit konditioniert und anerzogen bzw. können geändert werden. Nach der Entstehung biometrischer Merkmale könnten somit drei Kategorien genutzt werden: genotypisch, randotypisch, konditioniert. Oft enthält jedes einzelne biometrische Merkmal alle drei Entstehungskategorien, die mit einer unterschiedlichen Gewichtung, im Sinne einer Bewertung, eingehen. Die Stimme eines Menschen ist durch die individuelle Anatomie geprägt, jedoch unterliegt die Klangfarbe der Stimme im Prozess von Wachstum und Alterung starken Schwankungen. Dieses
32
D. Labudde
Abb. 2.2 Darstellung einer möglichen Einteilung biometrischer Merkmale auf der Grundlage ihrer Entstehung und Veränderbarkeit. Es werden die Gruppen der physiologischen bzw. verhaltensbezogene Merkmale unterteilt
Merkmal wird durch den momentanen Zustand der Person (Stress, Freude, Trauer) in einer konkreten Situation moduliert. Im Allgemeinen stellt man im Prozess der Authentifizierung und Identifizierung folgende Eigenschaften an biometrische Merkmale: Einzigartigkeit: Merkmal muss hinreichend verschiedene Ausprägungen besitzen Konstanz: Merkmal soll sich im Laufe der Lebenszeit möglichst wenig verändern Verbreitung: Merkmal soll möglichst häufig in der Population vorhanden sein. Leider sind diese Kriterien nicht immer hinreichend wissenschaftlich untersucht und dokumentiert. Biometrische Merkmale werden in der Praxis in zwei Kategorien, nach Entstehung und Veränderbarkeit, eingeteilt: physiologische (passive Merkmale) und verhaltensbezogene (aktive Merkmale). Abb. 2.2 zeigt eine Reihe biometrischer Merkmale, welche gegenwärtig in der forensischen Fallarbeit Verwendung finden. In der Literatur erfolgt oft eine andere Einteilung auf der Grundlage der angewandten Methode zur Messung der korrespondierenden Merkmale. Die Merkmale aus Abb. 2.2 erfüllen die Anforderungen an biometrische Merkmale, jedoch besteht eine Variation in einzelnen Eigenschaften in Bezug auf Konstanz und Einzigartigkeit.
2
Biometrie und die Analyse digitalisierter Spuren
33
2.4 Ausgewählte Analyseverfahren Die biometrische Erkennung basiert auf einem einheitlichen System. Trotz der hohen Individualität der verschiedenen biometrischen Systeme kann man von einem gemeinsamen Grundaufbau ausgehen. Die drei grundlegenden Phasen sind: Erfassung der biometrischen relevanten Eigenschaft, Gegenüberstellung mit einem Template-Datensatz oder Vergleichsmaterial und dem Abgleich, dem sogenannten Matching. Für den Prozess des Matchings sind sogenannte Ähnlichkeitsfunktionen erforderlich, diese ermöglichen eine genaue Abschätzung der gefundenen Ähnlichkeit bzw. Identität. Damit wird eine nummerische Bestimmung im Vergleich zwischen dem Template bzw. der Vergleichsprobe und dem Original erst möglich.
2.4.1
Der Fuß als biometrisches Merkmal im Prozess der Digitalisierung
Fußabdrücke (im Gegensatz zu Schuhabdrücken), die beispielsweise an einem Tatort hinterlassen wurde, weisen neben der Fußgröße weitere spezifische Merkmale wie z. B. Länge, Breite, Ansatzfläche oder pathologische Erscheinungen, die für eine Tätersuche genutzt werden können, auf. Exemplarisch besitzen etwa 70–80 % der Erwachsenen Fußdeformitäten, die gemeinsam mit den geometrischen Fußparametern und dem Gewicht zur Eingrenzung möglicher Tätergruppen genutzt werden können. Damit stellen die Podologie und entsprechende wissenschaftliche Ansätze zur Auswertung von Fußabdrücken an einem Geschehensort ein adäquates Hilfsmittel dar. Ähnlich wie bei der Erfassung des Fingerabdruckes sollten die messbaren Parameter eines Fußabdruckes (z. B. Clarke-Winkel, Stritzer-Guadonov-Index, Fersenwinkel) durch technische Gegebenheiten oder äußere Bedingungen so unverändert wie möglich vorliegen. Für die digitale Erfassung der Physiognomie werden Podoskope aus dem medizinischen Bereich eingesetzt. In der Medizin wird diese Form der Bildaufnahme vorwiegend zur Feststellung von Fußschwächen und Haltungsanomalien eingesetzt. Mit der Erfassung von Druckpunkten der Füße mittels polarisierten Lichts, im statischen und aktiven Zustand, stellt diese z. T. digitalisierte Aufnahmetechnik eine moderne Form, gegenüber den klassischen Tintenabdrücken in der Forensik, dar. Zur Verarbeitung der Daten können eine Reihe von Algorithmen genutzt werden [48]. Der Canny-Algorithmus wird vorzugsweise zur Kantendetektion in einem erzeugten Graustufenbild ausgehend vom Originalbild genutzt. Zur Erhaltung des Inhaltes aus dem Originalbild gliedert sich der Algorithmus in verschiedene Faltungsoperationen. An die Umwandlung in ein Schwarz-Weiß-Bild schließt die Bewertung der Pixel und deren Nachbarschaft für die Kantenfestlegung an. Problematisch bei diesem Algorithmus ist, dass durch das Bildrauschen Helligkeitsunterschiede entstehen können, wodurch die Genauigkeit des Verfahrens beeinträchtigt wird. Um diese Schwachstelle zu umgehen, wird häufig eine normalverteilte Maske angewendet. Jedoch kann es dadurch passieren, dass feinere
34
D. Labudde
Abb. 2.3 Schritte der Fußtyperkennung
Elemente bzw. Kanten nicht als solche erkannt und folglich nicht berücksichtigt werden. Dadurch kann wiederum ein Informationsverlust im Bild entstehen [9, 21]. Mit dem Spearman-Korrelationskoeffizient wird der Grad einer linearen Abhängigkeit zwischen zwei Merkmalen bestimmt. Im Falle einer nichtlinearen Abhängigkeit würde der Wert Null resultieren. Allerdings kann zwischen den Parametern ein nichtlinearer Zusammenhang bestehen, wodurch gezeigt wird, dass der Korrelationskoeffizient kein hinreichend geeignetes Maß für die Darstellung der Merkmalsabhängigkeit ist [50]. In einer kürzlich erschienen Arbeit von Pauk et al. [37] erfolgt die Darstellung eines Systems zur allgemeingültigen computergestützten Charakterisierung diverser Fußtypen [38]. Das betreffende Verfahren teilt sich in drei grundlegende Schritte, die im Folgenden zusammenfassend erläutert werden. Im ersten Schritt werden relevante Fußparameter sowohl fotografisch als auch über ein Podoskop festgehalten. Dabei sollten die Testpersonen versuchen, eine entspannte Haltung anzunehmen. Dies hat den Zweck, dass eine annähernd regelmäßige Druckverteilung über das gesamte Fußskelett erfolgt. Des Weiteren muss in diesem Schritt eine Festlegung der Parameter im Versuchsaufbau zur Nachvollziehbarkeit und Standardisierung des Verfahrens erfolgen. Darunter eine gleichbleibende Messdistanz, homogene Kameraeinstellungen, eine horizontale Ausrichtung der Kamera, eine gleichmäßige Beleuchtung, eine voreingestellte Kameralinse und die konsistente Nutzung einer Software zur Datenakquisition und Auswertung. Der Algorithmus zur Fußtypbestimmung nach Pauk et al. (2015) (in Abb. 2.3 dargestellt) umfasst die folgenden vier Schritte: 1. Bild einlesen und rotieren 2. Kantenerkennung und Bildinvertierung
2
Biometrie und die Analyse digitalisierter Spuren
35
3. Detektion relevanter Messpunkte und Tangenten 4. Detektion der Liniensegmente und Clarke-Linie. In den Schritten drei und vier werden Clarke-Winkel, Strizer-Gudonov: KY-Index, Fersenwinkel und Weysflog-Index berechnet. Die Basis hierfür bilden durch die Software erkannte signifikante parametergestützte Fußpunkte. Zur Verifikation des Verfahrens wurden 24 männliche und weibliche Studenten ohne Verletzungen der unteren Extremität ausgewählt. Zugehörige Fußabdrücke wurden jeweils manuell sowie computergestützt erfasst und miteinander verglichen. Aus der Ergebnisgegenüberstellung wurde ersichtlich, dass keine signifikanten (Signifikanzlevel: 0,05) Unterschiede zwischen beiden Verfahren (manuell und computergestützt) zu erkennen waren. Die Studie zeigt, dass die computergestützte Analyse eine im Vergleich zu klassischen Fußabdruckverfahren nichtinvasive, schnelle und kostengünstige Alternative darstellt. Darüber hinaus zeigte sich, dass die Auswahl der Parameter ausreichend für die Analyse war. Durch den Einsatz von Algorithmen im computergestützten Verfahren wird der subjektive Einfluss des Testleiters und in Zusammenhang stehende Störvariablen minimiert. Die Autoren postulierten in der Arbeit zudem dass durch den Einsatz digitaler fotografischer Aufnahmen und einer folgenden digitalen Bildbearbeitung die Genauigkeit des Verfahrens erhöht wird [37]. Ein Fallbeispiel aus dem Jahr 1985 zeigt, dass Methoden für die Analyse von Fußabdrücken im forensischen Kontext bisher ungenügend sind und auf wissenschaftlicher, objektiver Ebene verbessert werden sollten. Mit der Schlagzeile „Spurensuche – Der ungeklärte Dreifach-Mord von Volkartshain“ beschreibt der hessische Rundfunk ein grausames Verbrechen im Jahr 1985, welches bisher noch nicht aufgeklärt ist.1 Besonders auffällig in diesem Fall waren der unerwartete Ermittlungsablauf und die frühzeitige Präsentation von Beweisen. Die Ermittler bezogen sich in der Beweisführung auf einen blutigen Fußabdruck (Schuhgröße 44), der am Tatort gesichert wurde. Im Laufe der Untersuchungen wurden alle Männer mit der Schuhgröße 44 gebeten, einen Fußabdruck für den Zweck einer orthopädischen Analyse anfertigen zu lassen. Mit Eröffnung des Verfahrens, das überwiegend auf dem Fußabdruckvergleich der am Tatort gesicherten Spuren mit dem des Angeklagten beruhte, wurden schnell eklatante Ermittlungsfehler bemerkt. Unter anderem wurde verschleiert, dass z. B. beim Abgleich der Fußabdrücke vom Tatort mit denen vom Täter rechte und linke Abdrücke verwechselt wurden und sich laut Ergebnisstatistik eine 100 % Übereinstimmung ergab. Das Beispiel zeigt den Bedarf an objektivierten Analysemethoden in der kriminaltechnischen Arbeit und Spurenanalyse, die u. a. eine Nachvollziehbarkeit und Reproduzierbarkeit der Ergebnisse bedingen. Nur wenn eine regionalunabhängige Verfügbarkeit von Analysemethoden und technischer Ausstattung besteht, lässt sich eine objektivierte fallgebundene Darstellung der Ermittlungsresultate
1 Quelle: www.hr-online.de/website/fernsehen/sendungen/index.jsp?rubrik=85159&key=standard_ document_51337857
36
D. Labudde
ermöglichen. Dennoch müssen die jeweiligen computergestützten Verfahrensansätze für die Analyse des biometrischen Merkmals Fuß weiter verbessert und optimiert werden.
2.4.2
Iriserkennung
Die Iris (Regenbogenhaut) wird anatomisch der Gefäßhaut des Auges zugeordnet und ist mit dem Ziliarkörper verbunden. Sie bildet eine kreisrunde pigmentierte Schicht in deren Mitte eine Öffnung – die Pupille – zu erkennen ist. Die Augenfarbe wird durch eingelagertes Melanin in der Regenbogenhaut bestimmt. In den ersten Lebensmonaten besitzen alle Menschen die gleiche Augenfarbe. Danach ändert sich diese in den meisten Fällen. Die Ausprägung des Irismusters ist ein zufälliger Prozess und ist von Ausgangsbedingungen während der embryonalen Entwicklung abhängig. Damit ist das Irismuster, entgegen der Augenfarbe, nicht genetisch kodiert. Mit einer durchschnittlichen Anzahl von über 200 Einzelmerkmalen bildet der farbige Ring um die Pupille bei jedem Menschen ein einzigartiges Muster ab. Diese Merkmale bleiben, Erkrankungen oder invasive Eingriffe ausgeschlossen, annähernd ein Leben lang erhalten. Aus den genannten Gründen ist die Iris ein sehr verlässliches biometrisches Merkmal. Selbst bei eineiigen Zwillingen ist die Irismusterung unterschiedlich ausgeprägt [14]. Für die Iriserkennung sind nicht die Augenfarbe, sondern die äußerlich erkennbaren Merkmale der Iris relevant. Neben dem Pupillarsaum gibt es weitere wichtige Strukturen. Zum einen wird durch den Circulus arteriosus iridis minor die sogenannte „Iriskrause“ gebildet, welche die Iris in zwei Bereiche einteilt. Dem Ziliarteil, welcher aus „radial gestellten Trabekeln“ [22] besteht, und dem Pupillarteil der den Sphinctermuskel enthält. Zum anderen gibt es Buchten, auch Lakunen oder Krypten genannt, welche zwischen den Trabekeln angeordnet sind. In Abb. 2.4 sind diese Strukturen dargestellt [22].
Ablauf der Iriserkennung Der dargestellte Ablauf der Iriserkennung in Abb. 2.5 ist dem patentierten Algorithmus von John Daugman nachempfunden [15]. Die Iriserkennung gliedert sich in zwei Abschnitte. Zunächst erfolgt die Aufnahme des Irisbildes während des Enrollments und die Überführung in ein Template. Daraufhin folgt der paarweise Abgleich der Templates untereinander. Während der Aufnahme wird das Auge einer Person grundsätzlich in dessen Gesamtheit aufgenommen. Um den Hintergrund in Form der Augenfarbe auszuschließen, werden die Aufnahmen im Infrarotbereich bei nahezu unsichtbarem Licht (850 nm) angefertigt, wodurch die Melaninabsorption verhindert werden soll. Bei besonders hellen Hintergründen treten oftmals Umgebungsreflexionen durch die Hornhaut auf. Dieser Effekt sollte vermieden werden, indem das Licht mit schmalen Wellenlängenbereichen bestrahlt wird. Dadurch wird lediglich das von der Kamera ausgehende Licht berücksichtigt, und ein nichtreflektierendes Bild der Iris entsteht [13]. Nachdem das Bild der Iris störungsfrei aufgenommen wurde, folgt die Segmentierung der Iris. Häufig wird hierfür die Methode einer Kreiskantenerkennung angewendet. In
2
Biometrie und die Analyse digitalisierter Spuren
37
Abb. 2.4 Strukturen der Iris. Äußerlich sind mehrere grobe Strukturen auf der Iris zu erkennen. Der Pupillarsaum (gelber Pfeil), welcher vom Pigmentepithel gebildet wird, die Iriskrause (grüner Pfeil), welche durch den Verlauf von Blutgefäßen entsteht und verschiedene Trabekel, die von Krypten (blauer Pfeil) unterbrochen werden. Der innere Teil der Iris wird auch als Pupillarteil, der äußere als Ziliarteil beschrieben
den meisten Fällen liegt jedoch, beeinflusst durch Wimpern und Augenlider, keine exakte Kreisform vor. John Daugman verwendet zur Lösung dieses Problems sogenannte Integrodifferentialgleichungen [15] (s. Gl. 2.1). Dabei wird zunächst der Irismittelpunkt bestimmt. Dies kann bereits im Schritt der Aufnahme erfolgen. Für die eigentliche Segmentierung werden im Speziellen verschiedene Übergänge, bedingt durch Helligkeitsunterschiede im Übergang von Pupille zu Iris, berücksichtigt (Abb. 2.5). ˇ ˇ I ˇ @ max ˇˇG .r/ r;x0 ;y0 ˇ @r
r;x0 ;y0
ˇ ˇ I.x; y/ ˇˇ ds ˇ : 2 r ˇ
(2.1)
Der Irismittelpunkt wird durch die Variablen X0 und y0 bestimmt. I.x; y/ beschreibt das Augenbild in Abhängigkeit der Helligkeitsintensität und wird über die Kreisfläche ds.r/ integriert. Mithilfe der partiellen Ableitung nach dem Radius r wir die größte Helligkeitsänderung ermittelt. Ein zu bewertender Übergang wird somit durch die maximale Änderung beschrieben. Die Rauschreduktion wird durch eine Gaußkurve G beschrieben. Mit der Bestimmung eines neuen Startpunktes wird dann eine neue Iteration ausgeführt. Der Prozess einer Übergangsbestimmung endet, sobald die Änderung des Maximums unter einen definierten Schwellwert fällt. Aus der Segmentierung resultiert dann der aktuelle Irismittelpunkt und die Radien. Bei der Lid-Kanten-Erkennung werden parabolische Integrodifferentialgleichungen verwendet. Trotz der Komplexität überzeugen diese Operationen gerade durch deren Effizienz und Schnelligkeit [13]. Einflussfaktoren wie unterschiedlich scharfe Übergänge zwischen Sklera und Iris, nichtzirkuläre Iriskanten sowie unterschiedlich große Pupillen und Sehwinkel können eine Identifikation beeinträchtigen. Aus diesem Grund werden zur Repräsentation der
38
D. Labudde
Abb. 2.5 Ablauf der Iriserkennung modifiziert nach [15]
realen Konturen der Iris sogenannte „Active Contours“ genutzt. Im Algorithmus von John Daugman wird dazu eine Fourier-Reihenentwicklung, anstelle einer Transformation, verwendet. Damit wird ein schnelles Vorgehen und eine Art Flexibilität der „Active Contours“ erreicht: N 1 X 2i k r e N : (2.2) Ck D D0
Aus M diskreten Fourier-Koeffizienten (Gl. 2.2 ) ergibt sich die Fourierreihe (Gl. 2.3) als Approximation der inneren oder äußeren Iriskanten: M 1 1 X 2i k Ck e N : R D N
(2.3)
kD0
Zur Bestimmung der Iriskanten werden im Daugman-Algorithmus 16–17 Fourier Koeffizienten für die inneren Kanten und 4–5 für die äußeren Kanten angewandt. Für die Wimperndetektion wird eine Verteilung der Irispixel mithilfe eines Histogramms erstellt. Sehr helle Pixel werden hierbei der Iris und dunkle Pixel den Wimpern zugeordnet. Durch einen spezifischen Schwellwert können Wimpern-zugehörige Pixel eliminiert werden [15]. Für den anschließenden Schritt der Iris-Code-Erzeugung wird das zuvor bearbeitete Bild in eine Polarkoordinatendarstellung überführt (s. Gl. 2.4) [15]: I.x.r; /; y.r; // ! I.r; / x.r; / D .1 r/xp . / C rxs . / y.r; / D .1 r/yp . / C rys . /:
(2.4)
2
Biometrie und die Analyse digitalisierter Spuren
39
Nach der Transformation folgt eine Projektion der Irisregionen auf zweidimensionale Quadratur-Gabor-Wellenpakete für die Extraktion von Phaseninformationen: Z Z hfRe;I mg D sgn
fRe;I mg
ei !. 0 / e.r0 /
2 =˛ 2
e. 0 /
2 =ˇ 2
dd :
(2.5)
Die Bestimmung des Phasors hfRe;I mg erfolgt nach der Gl. 2.5. Die Parameter ˛ und ˇ geben die Größenparameter der 2D-Wavelets (0,15–1,2 mm) an. Die Wavelet-Frequenz wird mit ! angegeben [15, 41]. Für jeden Phasor werden mithilfe von Quadranten komplexe Bits bestimmt. Dabei wird die Lage des Phasors ermittelt und Phasenkoordinaten (real, imaginär) als Paar von Nullen und Einsen ausgegeben. Aus der Iristransformation resultiert schließlich ein Iris-Code, bestehend aus 2048 Phasor-Bits bzw. 256 Bytes [15]. Den letzten Schritt der Iriserkennung bildet der bitweise Vergleich erzeugter Templates über die Bestimmung der Hammingdistanz beider Iris-Codes (Gl. 2.6 [15]). Der XOROperator gibt bei nicht identischen Bits eine Eins und bei Übereinstimmung eine Null aus. Störungen, die z. B. durch Reflexionen, Augenbrauen oder Augenlieder entstehen werden mit einer Und-Verknüpfung zwischen zwei Bitmustern ermittelt. Große Unterschiede zwischen zwei Iris-Codes werden mit dem Wert 1 der Hamming-Distanz beschrieben. Umgekehrt kennzeichnet ein Wert 0 eine Übereinstimmung zweier Codes. Im Allgemeinen würde das biometrische System ab 70 % Identität, d. h. einer Hamming-Distanz von 0,3, ein positives Ergebnis beim Abgleich von zwei Irismustern erbringen: HD D
T T k .codeA ˝ codeB/ maskA maskB k T : k maskA maskB k
(2.6)
Die Iriserkennung bietet zusammengefasst zahlreiche Vorteile, die sie als biometrisches Merkmal auszeichnet. Ähnlich wie der Fingerabdruck besitzt das Irismuster ein ähnlich hohes Maß an Variabilität und Zufälligkeit der Textur. Ein großer Vorteil gegenüber Fingerabdrucksystemen ist die berührungsfreie Aufnahmemethode der Iriserkennungssysteme. Es ist sogar möglich, aus einigen Metern Entfernung ein Augenbild aufzunehmen und die Iris zu segmentieren. Somit kann eine Personenidentifizierung völlig unbemerkt und ohne das Zutun einer Person erfolgen. Im Vergleich zu anderen biometrischen Systemen zeigt sich, dass bei der Iriserkennung die geringsten Fehlerraten vorliegen. Mit einer FRR von 0,45 % und einer FAR von 0,0001 wird nur ein geringer Teil falsch identifiziert.
2.5 Fingerabdruckanalyse 2.5.1
Der Fingerabdruck als biometrisches Merkmal
Nach wie vor gilt ein gesicherter Fingerabdruck vor Gericht und im Ermittlungsverfahren als eines der anerkanntesten biometrischen Merkmale zur Personenidentifizierung.
40
D. Labudde
Zusammen mit der DNA-Analyse besitzt der Fingerabdruck vor Gericht ein hohen Beweiswert. Die Musterentstehung der Fingerabdruckmorphologie ist ein genetisch unabhängiger Prozess, d. h., notwendige Informationen sind genetisch nicht kodiert und werden nicht auf Nachfolgegenerationen weitervererbt. Das Hautleistenmuster ist bereits im vierten Embryonalmonat vollständig ausgebildet und bleibt bis zum Tode erhalten. Der Bereich, der sich mit der Charakterisierung von morphologischen Besonderheiten eines Fingerabdruckes beschäftigt, wird als „Daktyloskopie“ bezeichnet. Egal ob klassische Daktyloskopie oder digitale Auswertung der Spuren, die komplexe Wissenschaft trägt eine ganz eigene Entwicklungsgeschichte, ein einzigartiges Klassifizierungssystem und eine situationsungebundene Anwendung [23]. Bis zur Rechtsprechung im Jahr 1952, durch die der uneingeschränkte Beweiswert der Daktyloskopie im Strafverfahren anerkannt wurde, erfolgte die Datenverarbeitung und -sicherung eher über eine mittlerweile überholte Variante. Fingerabdrücke wurden mit Tinte abgenommen, auf ein Zehnfingerblatt aufgebracht und die Ablage der Blätter bzw. Recherche erfolgte in großen Karteischränken. In den 60er und 70er Jahren entwickelte sich das Verfahren in Richtung einer effizienten, datenbankgestützten Speicherung der Fingerabdrücke, um den stetig wachsenden Datenbeständen gerecht zu werden. Einer der wohl bedeutendsten Qualitätssprünge wurde mit der Einführung des automatisierten Fingerabdruckidentifizierungssystems (AFIS), das im Jahr 1992 in Betrieb genommen wurde, erzielt. Dadurch ergaben sich ganz neue Perspektiven der Datenspeicherung. Mit der Implementierung der Software MetaMorpho vor wenigen Jahren können mittlerweile auch Handflächenspuren digitalisiert und ausgewertet werden. Nach aktuellen Zahlen des BKA werden monatlich mehr als 40.000 neue Fingerabdruckblätter erfasst. Die AFISDatenerfassung erfolgt teilautomatisiert. Jedes Grundmuster wird auch heutzutage noch über das Expertenwissen eines Daktyloskopiespezialisten ausgewertet und über die Tastatur kodiert [12, 36]. Den höchsten Identifizierungswert bei der Fingerabdruckanalyse besitzen die auf der Leistenhaut befindlichen Papillarlinien des Menschen. Jeder Mensch trägt auf der Leistenhaut individuelle Muster (Schleife, Bogen, Wirbel) und zahlreiche Besonderheiten bzw. Linienunterbrechungen (Minutien), die sich von Finger zu Finger unterscheiden.
2.5.2
Technologien zur Aufnahme des Fingerabdrucks
In der IT-gestützten, automatisierten Form ist das digitale Fingerabdruckverfahren ein biometrisches Konzept mit hoher Erkennungsleistung. Für den Vorgang der Fingerabdruckanalyse sind vier grundlegende Schritte notwendig. 1. 2. 3. 4.
Abtastung des Fingerabdrucks, Bildgenerierung, Merkmalsextraktion, Matching.
2
Biometrie und die Analyse digitalisierter Spuren
41
Abtastung des Fingerabdrucks Bei der Erfassung des Fingerabdrucks wird zwischen Online- und Offline-Systemen unterschieden. Mittels der Abdruckvariante auf Papier wird ein Abbild durch gleichmäßiges Abrollen des Fingers mithilfe von Tinte gewonnen (Offline-System). Der Finger wird von einer Lageseite zur anderen abgerollt, um die vollständige Linienform zu erfassen. Anschließend kann der Abdruck fotografiert oder gescannt werden. Nachteile der Methode sind auftretende Verzerrungen des Bildes, die beim Auf- und Abdrücken des Fingers entstehen, und ein langsamer Verfahrensablauf. Für ein teilautomatisiertes Kontrollsystem zur Überprüfung von Zutrittsberechtigungen ist die Aufnahme auf Papier aus diesen Gründen nicht geeignet. Für die Erfassung von Lebendabdrücken wird der Finger selbst durch leichtes Auflegen auf einen Sensor abgetastet und mit dem Datenverarbeitungssystem verbunden (Online-System). Dadurch ist der Ausschnitt des Fingerabdruckes kleiner als bei der Erfassung auf Papier. Damit können die besonderen Gegebenheiten der Finger wie die verschiedenen Hauttypen, Beschädigungen, Trockenheit oder Feuchtigkeit toleriert werden. Mit der Einführung neuartiger sensorbasierter Verfahren zur Abtastung und Aufnahme von Fingerabdrücken vor über 30 Jahren entwickelte sich ein breites Feld an zugrundeliegenden Technologien für den Einsatz in der forensischen Praxis. Die zur Abtastung üblicherweise angewandten Technologien lassen sich in die Kategorien optische Sensoren, Siliziumsensoren und Ultraschallwellensensoren einordnen. Optische Sensoren Häufig kommen optische Sensoren, bei denen der Finger über einen Scanner oder eine Kamera aufgenommen wird, zum Einsatz. Ein Beispiel für einen optischen Sensor ist in Abb. 2.6 dargestellt. Zunächst wird der Finger auf eine Ebene bzw. eine Glasfläche (z. B. Glasprisma, Fiberglas) aufgebracht und das ausgehende Licht beim Auflegen des Fingers zu einem CCD-Sensor geleitet. Damit eine gute Qualität des Abbildes gewährleistet ist, sollten die Oberflächen regelmäßig von zurückgebliebenen Schweiß- oder Dreckspuren gereinigt werden. Im Allgemeinen sind hier Aufnahmen mit bis zu 500 dpi möglich. Ein gravierender Nachteil dieser Technologie ist, dass sie durch Fingerprothesen oder andere Imitate relativ einfach „auszutricksen“ ist [34]. Siliziumsensoren Die Abtastung mittels Siliziumsensoren beruht auf der Messung physikalischer Größen, wie z. B. Wärme, elektrische Feldstärke oder Kapazität. Der Finger wird nicht wie bei den optischen Sensoren auf eine Glasprismafläche aufgebracht, sondern auf eine dünne Schicht, über welche die entsprechende physikalische Größe gemessen wird. Im Aufbau des Sensors werden mehrere Sensoruntereinheiten, in Form zweidimensionaler Arrays, unterschieden. Im resultierenden Bild entspricht jede Sensoruntereinheit einem Pixel. Von Vorteil sind die geringe Sensorgröße und die niedrigen Anschaffungskosten. Allerdings ist die Schutzschicht sehr empfindlich gegenüber äußeren Einflüssen. Eine elektrostatische Entladung des Fingers reicht schon aus, um den Sensor außer Betrieb zu setzen. Mit einer
42
D. Labudde air
ridges and valleys
contact gass prism B lens A
light
optical path CCD or CMOS
Abb. 2.6 Beispiel für einen optischen Sensor. Bestandteile des FTIR-Sensors (Frustrated Total Internal Reflection) sind: eine Lichtquelle, ein Glasprisma, eine Linse und ein CMOS- oder CCDSensor. Durch das direkte Aufbringen des Fingers auf das Glasprisma haben die Grate direkten Kontakt mit dem Prisma. Zwischen den Tälern und dem Prisma ist hingegen Luft. Das auf das Prisma einseitig gesendete Licht wird an den Tälern reflektiert und an den Graten absorbiert bzw. zufällig gestreut. Reflektierte Strahlen werden auf der anderen Seite durch eine Linse auf ein CMOSoder CCD-Sensor zur Aufnahme gebündelt [34]
robusteren Schutzschicht könnte dieser Effekt umgangen werden. Jedoch würde somit die Erkennungssensitivität des Fingerabdruckes herabgesetzt werden [34]. Ultraschallwellensensoren Vergleichsweise neuartig im Feld der Fingerabdruckerkennung ist der Einsatz von Ultraschallwellsensoren. Gemessen wird hierbei die Distanz zur Fingeroberfläche mithilfe von akustischen Ultraschallwellen, die vom Finger reflektiert werden ohne einen direkten Kontakt von Finger und Sensor. Durch Reflexion bzw. Absorption kann somit eine epidermale Mustererkennung im Abdruck erfolgen. Von Vorteil gegenüber den anderen beiden vorgestellten Technologien ist, dass die ausgesendeten Wellen unbeeindruckt von anhaftenden Schmutzpartikeln am Finger sind. Damit ist der Sensor stabil gegenüber äußeren Einflüssen. Allerdings ist die Praxistauglichkeit durch die Größe der Geräte und einen hohen Kostenfaktor gegenwärtig noch nicht ausgereift [43].
Bildgenerierung Infolge einer sensorbasierten Aufnahme eines Fingerabdruckes resultiert ein Graustufenbild des individuellen Papillarlinienmusters. Dunkle Linien repräsentieren Grate und helle Täler. Wie gut das Endresultat der Aufnahme ist, hängt sowohl von technischen Details (z. B. Bildauflösung, mind. 500 dpi), von personenabhängigen Einflussfaktoren (z. B. ausgeübter Druck oder Platzierung des Fingers) als auch von hautabhängigen Gegebenheiten (z. B. sehr trockene oder sehr feucht Haut) ab (Abb. 2.7). Die Erstellung eines Graustufenbildes kann über zwei Aufnahmemodi erfolgen. Im Livescan-Modus wird, wie oben beschrieben, der Abdruck über ein sensorbasiertes Verfahren detektiert. Hingegen wird
2
Biometrie und die Analyse digitalisierter Spuren
43
Abb. 2.7 Einfluss der Hautbeschaffenheit auf die Qualität des Bildes. a Fingerabdruck guter Qualität; b trockene Haut; c sehr feuchter Hautabdruck; d i. A. schlechter Fingerabdruck [34] Abb. 2.8 Singularitäten und Kern [34]
loop whorl
delta
core
beim Offline-Modus ein latenter Fingerabdruck unabhängig von einem Sensor, z. B. über fotografische Aufnahmen, erzeugt, welche dann später über einen Scanner digitalisiert werden können [34].
Merkmalsextraktion Die Klassifikation von Eigenschaften der Gratbestandteile (engl. ridges) eines Fingerabdruckes erfolgt hierarchisch über drei Ebenen. In der ersten Ebene werden topologische Singularitäten (Delta, Schleife, Wirbel) (Abb. 2.8) extrahiert [34]. Diese Singularitäten werden wiederum zur Klassifikation des Abdruckes in das zugehörige Grundmuster (Abb. 2.9) genutzt. Die Extraktion von Singularitäten und dem Kern dient der Indexierung und Klassifizierung des Fingerbildes während der algorithmischen Verarbeitung des Bildes [34]. Auf der zweiten Ebene werden weitere Eigenschaften, sogenannte Minutien (lat. minutus = „Kleinigkeit“), im individuellen Muster zur Templategenerierung gesucht. Diese kleinen Besonderheiten im Papillarlininenverlauf entstehen durch diverse Formen von Un-
44
D. Labudde
Left loop
Right loop
Whorl
Arch
Tented Arch
Abb. 2.9 Grundmusterklassen nach Henry (1990) [34] Ridge ending
Bifurcation
Lake
Independent ridge
Point or Island
Spur
Crossover
Abb. 2.10 Häufig vorkommende Minutienarten [34] Abb. 2.11 Minutienkoordination. Eine Gratendung mit deren Koordinaten Œx0 ; y0 . ist der Winkel, der durch die Minutientangente mit der x-Achse gebildet wird [34]
terbrechungen der Grate (Abb. 2.10). Zu Ehren von Francis Galton, der 1892 erstmals eine Klassifikationsschema für Minutien präsentierte, werden die Merkmale häufig auch „Galton details“ genannt [16, 34]. Häufig werden zur Lokalisation und näheren Beschreibung der Minutie im Graustufenbild die Position sowie ein ungefährer Tangentenwinkel im Bild angegeben (Abb. 2.11) [34]. Weitere Informationen zu den Graten, wie Breite, Form und Kontur, aber auch die Anordnung der Poren können auf der dritten Ebene der Merkmalsextraktion erhalten werden [34]. Orientierungsbilderzeugung Grundlage der später durchzuführenden Minutienbestimmung ist die Generierung eines Orientierungsbildes aus dem originalen Fingerbild. Bei diesem Vorgehen wird zunächst
2
Biometrie und die Analyse digitalisierter Spuren
45
j rij i
θij
0 ≤ θij < 180°
Abb. 2.12 Koordinatenvergabe und Blockorientierung zur Erzeugung eines Orientierungsbildes. Der Block Œi; j aus einer 16 16-Matrix besitzt die lokale Orientierung qij und den Zuverlässigkeitswert rij . Jedes Element bezeichnet die lokale Ausrichtung der Papillarlininen. Die lokale Orientierung ist durch die Auslenkung der Strecke zur x-Achse dargestellt und die Größe des Zuverlässigkeitswertes durch die Länge dieser Strecke [34]
das aufgenommene Muster (Fingerabdruck) in regelmäßige Blöcke unterteilt. Dabei ist es möglich, dass ein Block aus einem einzigen Pixel besteht. Anschließend erfolgt die Beschreibung jedes Blockes der Matrix über die Orientierung eines Grates, indem eine lokale Orientierungsangabe durch den Winkel zwischen Grattangente und der horizontalen x-Achse im Muster abgebildet wird [20]. Für die Berechnung eines Orientierungsbildes aus dem Fingerabdruck können verschiedene mathematische Verfahren, wie der projektionsbasierte Ansatz nach Stock und Swonger (1969) oder die Berechnung der Gratgradienten [39, 40, 45] verwendet werden. Durch mögliche Bildungenauigkeiten, beispielsweise ein Bildrauschen, muss die jeweilig bestimmte Blockorientierung auf Zuverlässigkeit geprüft werden. Hierzu wird das Phänomen der „Glattheit“ des Fingerabdruckes bewertet, d. h., bei geringem Bildrauschen verändert sich die lokale Orientierung direkt benachbarter Blöcke kaum. Verallgemeinert beschreibt das Zuverlässigkeitsmaß die Übereinstimmung benachbarter Orientierungen (Abb. 2.12) [34]. Aus der Gesamtheit aller Orientierungen der Teilblöcke ergibt sich dann das Orientierungsbild, wie in Abb. 2.13 zu erkennen [34]. Frequenzbilderzeugung Nach der Erzeugung des Orientierungsbildes folgt die Erstellung eines Frequenzbildes, über welches die lokale Dichte der Grate bestimmt wird. Auf Grundlage der Dichteinformationen können sowohl eine Menge an Fingerabdrücken als auch Fingerabdruckregionen voneinander unterschieden werden. Für jeden bereits existierenden Block im Orientierungsbild Œxi ; yi wird ein weiteres Segment gewählt, welches orthogonal zum lokalen Orientierungsmittelpunkt des Blocks zentriert ist. Daraufhin wird die Anzahl der segment-
46
D. Labudde
Abb. 2.13 Orientierungsbild. Von dem Fingerbild (a) wurde das Orientierungsbild (b) erzeugt [34]
Abb. 2.14 Frequenzbild von zwei Fingerabdrücken. Helle Bereiche bzw. Blöcke lassen hohe Frequenzwerte erkennen. Hingegen kennzeichnen dunkle Blöcke niedrige Frequenzbereiche [33, 34]
schneidenden Grate ausgezählt. Im Bild wird ein Grat als Graustufenspitze angenommenen. Nach der Berechnung der Frequenzwerte werden die unterschiedlichen Gratdichten übergreifend in Form von Grauabstufungen dargestellt (Abb. 2.14). Segmentierung Der Schritt der Segmentierung beschreibt verallgemeinert die Trennung des Fingerabdruckmusters (Vordergrund) vom Bildhintergrund, um die Extraktion von Hintergundinformationen (z. B. Bildrauschen) zu vermeiden. Eine Variante der Segmentierung stellt die Erzeugung des Orientierungsbildes dar, wobei von einer sog. „Unorientiertheit“ des
2
Biometrie und die Analyse digitalisierter Spuren
47
Abb. 2.15 Methoden der Segmentierung nach Ratha et al. [40]. a Originalbild; b Varianzfeld; c aus b abgeleitetes qualitatives Bild: ein Wert („gut“, „mittel“, „schlecht“ oder „Hintergrund“) für die Qualität wird in Abhängigkeit der Varianz jedem Block zugeordnet; d segmentiertes Bild [34]
Hintergrundes ausgegangen wird. Der Abdruck an sich ist hierbei stark orientiert (siehe Abb. 2.15). Mit problembasierten Lernmethoden für die Segmentation z. B. nach Bazen and Gerez [3], Chen et al. [10] und Zhu et al. [51] kann eine detailliertere Segmentierung im Vergleich zu z. B. Schwellwert-basierten Methoden erfolgen [3, 10, 51]. Bestimmung von Singularitäten und dem Kern Wie bereits in der Einleitung zum Schritt der Merkmalsextraktion beschrieben, werden sowohl der Kern als auch die Singularitäten zur Indexierung und Klassifizierung des Fingerabdruckes benötigt. Ein Verfahren zur Bestimmung dieser beiden Variablen ist das Poincaré-Indexierungsverfahren nach Kawagoe und Tojo [28]. Der Poincaré Index wird wie in Gl. 2.7 dargestellt berechnet, wobei dk , k D 0; : : : ; 7, die acht umliegenden Blöcke von Œi; j sind und jeweils die Blöcke dk , d.k1/ mod 8 benachbart sind. P .i; j / D
X kD0;:::;7
angle.dk ; d.k1/ mod 8 /
(2.7)
48
D. Labudde
Abb. 2.16 Beispielhafte Berechnung des Poincaré-Index in der 8er-Nachbarschaft von Punkten die zu (v. l. n. r.) einer Wirbel-, Schleife-, und Delta-Singularität gehören [34]
Mit der Funktion angle wird der Unterschied zwischen den Winkeln beider Blockorientierungen beschrieben. Bei der Erzeugung gerichteter Orientierungen wird beim ersten Block eine der beiden möglichen Richtungen gewählt. Die direkte Nachbarschaft wird dann immer mithilfe des kleinsten Winkelunterschiedes bestimmt. Der Index wird dann gemäß Gl. 2.8 interpretiert (vgl. Abb. 2.16) [34]. 8 ˆ 0ı ˆ ˆ ˆ ˆ hashes.txt
Vielfach müssen die gefundenen Logdateien nicht komplett untersucht werden. Ist beispielsweise genau bestimmbar, in welchen Zeitraum ein Computereinbruch stattgefunden hat, ist es zumeist ausreichend, sich bei der Analyse auf diesen Zeitraum zu beschränken. Die genannten Maßnahmen arbeiten somit nach einer Art Ausschlussprinzip. In jedem Fall können sie dazu beitragen, den Ermittlungsprozess deutlich zu beschleunigen. Gesucht werden zunächst primär lokal digitale Spuren. Das können beispielsweise Inhaltsdaten einer Datei (z. B. docx-Dokument, sqlite-Datenbankdatei) sein. Vielfach werden auch Daten aus dem Dateisystem wie Zeitstempel, Journal oder Dateinamen untersucht. Daneben existieren anwendungsspezifische Fragmente wie z. B. Browser-History, Browser-Cache-Inhalte ebenso wie Einträge aus der Konfigurationsdateien und Einstellungsverwaltung (beispielsweise Einträge in der Windows-Registry) sowie Logdateien (von lokalen Diensten), die als Spuren dienen können. Die so gefundenen lokalen Spuren von Datenträgern oder Speicherdumps können wiederum Anhaltspunkte für eine sich anschließende oder gegebenenfalls parallel durchgeführte Spurensuche im Internet sein. Dabei von Interesse sind beispielsweise lokale Daten von Messagingdiensten, Daten aus sozialen Netzwerken oder von Cloudanwendungen.
5.4
Verfolgung digitaler Spuren im Netz
Der Verfolgung von Datenspuren im Internet kommt in der Ermittlungsarbeit eine große Bedeutung zu. Immer häufiger verwenden Kriminelle das Internet und seine Dienste zur Verabredung, Besprechung sowie Durchführung von Straftaten und Rechtsverstößen [3, 6]. Somit ist gerade in diesem Bereich eine Spurensuche unumgänglich. Dieser Trend gilt nicht nur für das World Wide Web. Auch Unternehmen und öffentliche Institutionen digitalisieren immer häufiger ihre Prozesse und erzeugen so eine wahre Datenflut. Nicht selten werden diese Daten dann in Cloudspeichern abgelegt. Es entstehen somit immer 11 12
http://www.nsrl.nist.gov/ http://md5deep.sourceforge.net/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
143
neue Datenquellen, die als Ursprung für mögliche digitale Spuren in die Fallarbeit einbezogen werden müssen. Die Verarbeitung unstrukturierter und strukturierter Dateninhalte, deren Integration und Analyse trotz stetig steigender Datenmenge stellt die zentrale Herausforderung für die moderne IT-Forensik dar. Aber auch aus datenschutzrechtlicher Sicht ist diese Entwicklung nicht ganz unproblematisch. So müssen die Ermittler bedingt durch die Komplexität, Menge und Heterogenität der Daten sicherstellen, selbst keine Rechtsverstöße zu begehen, indem sie beispielsweise die Daten Unbeteiligter auswerten und auf die Weise Persönlichkeitsrechte verletzten. Viele dieser Fragestellungen sind bisher wissenschaftlich nur unzureichend durchdrungen. Einige wichtige Aspekte sollen im Folgenden näher beleuchtet werden. In den nächsten Abschnitten werden exemplarisch verschiedene, höchst aktuelle und forensisch sehr spannende Themenfelder vorgestellt: Die Analyse und Rekonstruktion von Browser-Cache-Inhalten, die Spurensuche in der Cloud, die Sicherung und Auswertung von Messengerdaten sowie die forensische Analyse von Zahlungsströmen im Bitcoin-Netzwerk. Auch der Problembereich der Spurensuche in sozialen Netzwerken wird angeschnitten. Jedes Thema wird inhaltlich kurz vorgestellt und aus forensischer Sicht beleuchtet.
5.4.1
Analyse und Rekonstruktion des Browsercaches
Einer der wichtigsten Anlaufpunkte für den Ermittler ist neben den Systemdateien zunächst der Webbrowser eines Rechners. Ziel ist es dabei in erster Linie, zu rekonstruieren, welche Webseiten und Webinhalte vom Benutzer eines Computers in der Vergangenheit aufgerufen wurden. Um für den Anwender das Surfen im Netz so einfach, schnell und komfortabel wie möglich zu gestalten, legen Browser wie Firefox, Safari, Google Chrome, Internet Explorer und Co. benutzerspezifische Daten auf der lokalen Festplatte ab. Jeder Browser führt beispielsweise eine Historie über besuchte Seiten, Nutzereingaben in Formularfeldern, Passwörter, Cookies, Downloads und Lesezeichen. Eine Analyse dieser Cachedaten erlaubt es dem Ermittler sehr häufig, eine Verbindung zwischen einem bestimmten Computer und einer konkreten Webseite herzustellen. Der Internetbrowser Mozilla Firefox ist das derzeit in Deutschland meistgenutzte Programm, um auf Internet-Seiten zuzugreifen.13 An dieser Anwendung sollen im Folgenden beispielhaft die Schritte einer forensische Analyse besprochen werden.
Technischer Hintergrund Für eine Analyse des Webbrowsers ist es zunächst erforderlich, herauszufinden, wie dieser seine Daten verwaltet. Im Fall von Mozilla Firefox werden wichtige Informationen in eine Datenbank geschrieben. Das Datenbanksystem SQLite14 wird derzeit von einer Vielzahl von Anwendungsprogrammen verwendet, um Datenbestände zu verwalten. Die Internetbrowser Mozilla 13 14
Quelle: https://www.browser-statistik.de/, Stand: Oktober 2015 www.sqlite.org
144
D. Pawlaszczyk
Firefox und Google Chrome sowie die Messenger ICQ und WhatsApp, die Cloudlösung von Dropbox und der Bildtelefoniedienst Skype sind nur einige Beispiele für Programme, die auf das quelloffene SQLite zugreifen, um ihre Anwendungs- und Konfigurationsdaten zu verwalten. Aufgrund seines hohen Verbreitungsgrades stellt es damit die weltweit meistgenutzte Datenbank dar. SQLite ist eine sehr kompakt gehaltene, lokale Datenbank, die ohne Server betrieben und über die weit verbreitete Abfragesprache SQL angesteuert werden kann. Um auf die Datenbank Zugriff zu erhalten, kann man entweder mit der eingebauten Kommandoshell von SQLite arbeiten oder installiert alternativ einen speziellen Betrachter, von denen zahlreiche sehr gute und zumeist freie Lösungen im Internet bereitstehen. Ein Beispiel ist der SQLite-Browser15 , für den auf der offiziellen Projektseite Installationsdateien für alle gängigen Betriebssysteme verfügbar sind.
Forensische Analyse Alle wichtigen Daten wie Lesezeichen, Chroniken, besuchte Seiten, Passwörter etc. werden bei Mozilla- Firefox genauso wie bei anderen Browsern in einem speziellen Profilunterordner im Homebereich des jeweiligen Nutzers abgelegt. Je nach Betriebssystem ist diese Datei in einem speziellen Unterordner innerhalb des Nutzerverzeichnisses zu finden: Windows 7: C:\Documents and Settings\\ApplicationData \Mozilla\Firefox\Profiles\\
Linux/Unix: /home//.mozilla/firefox//
Mac OS X: /Users//Library/Application Support/Firefox/Profiles/ default.lov/
Das wohl wichtigste Artefakt für eine forensische Untersuchung von Firefox bildet die Datei places.sqlite. In dem angegebenen Ordner sind aber noch weitere forensisch interessante Dateien zu finden. Die wichtigsten Profildateien sind in Tab. 5.4 aufgeführt. Die aus forensischer Sicht interessantesten Daten sind, wie bereits gesagt, in der der Datei places.sqlite zu finden. Hier werden die vom Nutzer in der Vergangenheit besuchten Webseiten (places) von Firefox verwaltet. Um eine Auflistung aller vom Nutzer besuchten Seiten zu erhalten, kann das folgende SQL-Statement verwendet werden: SELECT id, url, title, last_visit_date FROM moz_places;
15
www.sqlitebrowswer.org
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
145
Tab. 5.4 Wichtige Profildateien für den Mozilla-Firefox-Browser Dateiname key3.db
Inhalt Diese Datei enthält die Schlüsseldatenbank mit den gespeicherten Passwörtern permissions.sqlite Seitenspezifische Einstellungen, Voreinstellungen für jede besuchte Webseite formhistory.sqlite Über die Firefox-Suchleiste eingegebene Suchbegriffe und Eingaben in Formularen von Webseiten cookies.sqlite Cookie-Informationen von Webseiten, z. B. für die Anmeldung auf einer Webseite, personalisierte Darstellung für Seiten, persönliche Identifikation places.sqlite In der Vergangenheit besuchte Webseiten, mit Statistiken zur Anzahl der Besuche und Datum des letzten Seitenabrufs downloads.sqlite Detailinformationen zu den vom Nutzer durchgeführten Dateidownloads
Dieses Kommando kann direkt über die Kommandoshell von SQLite oder über die bereits erwähnten Betrachter eingegeben werden. Um zusätzlich einen Blick auf die gespeicherten Cookies von Firefox zu werfen, muss die Datei cookies.sqlite in den SQLiteBrowser geladen werden. Eine Abfrage nach allen gespeicherten Cookies sieht wie folgt aus: SELECT name, host, creationTime FROM moz_cookies;
Ebenfalls sehr interessante Informationen sind in der Datei downloads.sqlite gespeichert. Hier legt Firefox Daten zu allen Downloads eines Benutzers ab. Um abzufragen, welche Dateien wann und vor allem wohin gespeichert wurden, bietet sich das folgende SQLStatement an: SELECT name, source, target, startTime FROM moz_downloads;
Wiederherstellung gelöschter Browser-Caches Mitunter hat ein Tatverdächtiger vorsorglich seinen Browser-Cache gelöscht, um mögliche Hinweise auf seine Aktivitäten im Internet zu verwischen. Selbst dann sind häufig noch Spuren zu finden. Die von Mozilla Firefox, Safari und Google Chrome eingesetzte Datenbank SQLite speichert Einträge ähnlich einem Dateisystem in Blöcken, die auch als Pages bezeichnet werden (vergleiche Abschn. 5.3.2). Jede dieser Speicherseiten hat eine variable Größe. Die Standardgröße einer Page beträgt 4096 Byte. Wird der Cachespeicher geleert, so werden, ähnlich wie beim Löschen einer Datei vom Datenträger, die betroffenen Seiten lediglich als gelöscht markiert. Erst durch das Einfügen neuer Inhalte in den Browser- Cache werden die freigegebenen Bereiche tatsächlich überschrieben. Auch in einer Datenbank lassen sich somit Slackbereiche finden, die für eine Ermittlung interessant sein können. Um zunächst einmal festzustellen, ob die zu untersuchende Datenbank gelöschte Records enthält, die für eine Wiederherstellung infrage kommen, muss zunächst nach der sogenannten Free-Page-List gesucht werden. Dabei handelt es sich technisch gesehen um eine einfach verkettete Liste, in der alle freien Speicherseiten der Datenbank abgelegt sind. Wie bereits erwähnt, können in manchen dieser Seiten alte, eigentlich ge-
146
D. Pawlaszczyk
Abb. 5.11 Offset 32: Markiert den Beginn der Free-Page-List
Abb. 5.12 Gelöschter Datenrecord aus der Tabelle moz_places
löschte Datensätze abgelegt sein. Gemessen vom Beginn des Datenbankfiles ist in Offset 32 die erste Sprungadresse der Free-Page-List hinterlegt. Hat man die Start-Adresse für die Liste wie in Abb. 5.11 dargestellt ermittelt, so kann anschließend die Sprungadresse über die folgende Formel berechnet werden: Sprungadresse = (4 Byte BE in Offset 32 - 1) * Pagesize.
Im obigen Beispiel ergibt sich somit als Beginn der Liste: Sprungadresse hex = ( 0x0709 - 1 ) * 0x1000 = 0x708000 Sprungadresse dec = ( 1801 - 1 ) * 4096 = 7372899
Der so berechnete Offsetwert führt direkt zum ersten Eintrag der Free-Page-Liste in der Datenbank. Von diesem aus kann man sich anschließend zu den Folge-Einträgen hangeln. Abb. 5.12 zeigt beispielhaft einen gelöschten Datensatz, der auf diese Weise wieder sichtbar gemacht werden konnte. In diesem Fall handelt es sich um einen Cacheeintrag aus der Tabelle moz_places. Wem der beschriebene Weg zu aufwendig ist, der kann auch in diesem Fall auf Werkzeugunterstützung vertrauen. So sind mit epilog16 und Eyewitness Forensic Software – SQLite recover deleted records17 kommerzielle Lösungen verfügbar. Wen die nicht zu unterschätzenden Lizenzkosten abschrecken, dem sei an dieser Stelle das vom Autor selbst entwickelte quelloffene MOZ Places Retrieval Tool (MOZRT) empfohlen.18 Abb. 5.13 zeigt das Programm bei der Arbeit.
16
www.ccl-forensics.com http://sandersonforensics.com/forum/content.php?190-SQLite-Recovery 18 https://github.com/pawlaszczyk/MOZRT-Sqlite 17
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
147
Abb. 5.13 Mit dem MOZ Places Retrieval Tool wiederhergestellte Cacheinhalte
5.4.2
Tatort Cloud
Die Verwendung von Cloudspeichern ist ein Technologie, die innerhalb weniger Jahre eine hohen Verbreitungsgrad gefunden hat. Clouddienste erlauben es ihren Nutzern, mit vergleichsweise geringem technischen Wissen, Daten kostengünstig zu speichern und zu verwalten und die Inhalte mit anderen zu teilen. Einer der meistgenutzten Datendienste weltweit wird derzeit von der Firma Dropbox19 angeboten. Dabei handelt es sich um eine typische Cloud-Storage-Lösung. Gerade Clouddienste wie Dropbox stellen zunehmend ein Problem für die Strafverfolgung dar. So werden beispielsweise illegale Dateninhalte, kinderpornografische Fotos und Videos sowie Raubkopien über die Cloud verbreitet. Durch ein Auskunftsersuchen an den Cloudanbieter kann sehr häufig einiges erreicht werden, wenngleich sich dies in der Praxis nicht selten ein langwieriges Unterfangen erweist. Dafür muss aber zumindest die Nutzerkennung des Verdächtigen bekannt sein. Oftmals sind die Benutzernamen oder Passwörter der Accounts von Beschuldigten nicht bekannt. Für den ermittelnden Forensiker ist es somit schwierig, an Daten zu gelangen, die in solchen Internetdiensten gespeichert werden. Entsprechende richterliche Beschlüsse für den Zugriff auf die Daten bieten den rechtlichen Rahmen, um diese be19
www.dropbox.com
148
D. Pawlaszczyk
schlagnahmen zu können.20 Bei der Suche nach beweiserheblichen Daten kann gemäß § 102 StPO auch auf Daten aus der Cloud zugegriffen werden [26]. Dies gilt im Übrigen nicht nur für Zugriffe über den Account des verdächtigen Cloudnutzers, sondern genauso beim Datenzugriff mithilfe des Cloudanbieters. Der Zugriff auf Cloudinhalte und andere Internetdienste erweist sich aber noch aus einem weiteren Grund häufig als schwierig. Mitunter befinden sich die Daten außerhalb des Zugriffs der europäischen oder deutschen Justiz, beispielsweise dann, wenn die Daten auf Servern im außereuropäischen Ausland vorgehalten werden. In diesem Fall läuft das erwähnte Auskunftsersuchen ins Leere bzw. ist je nach Standort des Cloudspeichers das Recht dieses Staates anzuwenden. Hinzu kommt ein weiteres technisches Moment. Die Nutzung von Clouddiensten stellt die IT-Forensik auch hier vor neue Herausforderungen. Die meisten klassischen Verfahren zum Aufspüren und verfolgen digitaler Spuren stellen primär auf physische Speichergeräte ab. Bei Clouddaten sind diese Werkzeuge deshalb nur zum Teil hilfreich. Denn dort sind die betroffenen Daten in Memory- oder Livesystemen abgelegt, die nicht einfach ausgebaut und in ein Labor gebracht werden können. Besonders schlechte Karten haben die Ermittler dann, wenn die Daten verschlüsselt abgelegt sind und der Cloudanbieter selbst die Daten nicht lesen kann, was im Übrigen auch für lokal verschlüsselte Daten gilt. Man spricht in diesem Zusammenhang auch von einem Zero Kowledge System.21 Ein zunehmendes Problem bildet darüber hinaus die zu sichtende Datenmenge, die immer mehr ansteigt. Im Jahr 2011 wurden bereits mehr als 329 Exabytes an Daten weltweit in der Cloud abgelegt. Bis 2016 sollen es bereits mehr als 4,1 Zettabytes22 sein. Damit würden dann circa 40 Prozent aller weltweit gespeicherten Datenbestände über die Cloud verwaltet.23 Im Folgenden werden einige grundlegende Ermittlungstechniken in diesem Bereich am Beispiel des Clouddienstes Dropbox besprochen.
Technischer Hintergrund Dropbox nutzt das Amazon S3 (Simple Storage Service) Speichersystem zur Verwaltung von Dateien. Dateitransfers und die Synchronisation von Daten erfolgen unter Verwendung einer SSL-Verbindung. Der Kommunikationsweg ist somit verschlüsselt. Durch eine AES-256-Verschlüsselung sind zusätzlich die Daten auf dem Cloudsystem geschützt. Auf diese Weise versucht man, die Privatsphäre der Nutzerdaten sicherzustellen. Dropbox verwaltet die Schlüssel allerdings selbst und hat somit im Zweifel immer noch Zugriff auf die Daten seiner Nutzer. Dropbox erlaubt es jedem Anwender, seine Dateien oder Ordner in seine persönliche Dropbox zu platzieren. Diese kann auf jedem Endgerät geöffnet und angezeigt werden, solange man einen entsprechenden Client installiert hat und über eine gültige Benutzerkennung/Passwort verfügt. Andere Dropboxbenutzer müssen eingeladen 20
Cloud-Daten sind unkörperliche Gegenstände im Sinne § 94 StPO. https://spideroak.com/features/zero-knowledge 22 1 Zettabyte entspricht 1 Trillionen Gigabyte oder 10007 Byte. 23 http://www.welt.de/wirtschaft/webwelt/Datenvolumen-verdoppelt-sich-alle-zwei-Jahre.html 21
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
149
werden, um Zugriff auf die Dateien eines Nutzers zu erhalten. Standardmäßig speichert Dropbox gelöschte und frühere Versionen von Dateien für bis zu 30 Tage. Bei dem kostenpflichtigen monatlichen Abonnement bietet Dropbox zusätzlich ein Add-On namens Packrat an, womit es möglich wird, alle Dateien (auch gelöschte und alte Versionen) auf unbestimmte Zeit vorzuhalten und bei Bedarf wiederherstellen zu können.
Forensische Analyse Im Folgenden sollen einige forensische Aspekte in Zusammenhang mit dem Clouddienst Dropbox näher beleuchtet werden. Greift ein Nutzer beispielsweise auf seine in der Dropbox abgelegten Daten unter Verwendung eines Webbrowsers zu, so hinterlässt dies Spuren in den History- und Cachedateien des Browsers. Diese können mit den in Abschn. 5.4.1 besprochenen Werkzeugen forensisch analysiert werden. Die meisten Anwender benutzen für die tägliche Arbeit aber den Dropbox-Client. Diese Software muss hierfür auf dem jeweiligen Gerät (PC, Laptop, Mobiltelefon) installiert werden. Alle aktuell in der Dropbox des Nutzers befindlichen Dateien werden bei Verwendung des Clientprogramms auf den betreffenden Rechner gespiegelt. Somit wird auf dem lokalen System immer eine Kopie des Dropboxinhalts abgelegt. Beim Start des Rechners synchronisiert sich der Client mit dem Cloudspeicher, um Veränderungen abzugleichen. Wiederherstellung gelöschter Dropbox-Daten Der Dropboxcache zum Zwischenspeichern von Informationen befindet sich unter dem Betriebssystem Windows standardmäßig im Ordner: C:\Users\username\Dropbox\.dropbox.cache
Wenn eine Datei aus der Dropbox gelöscht wurde, so wird auf allen angeschlossenen Clients ein Ordner mit dem Datum des betreffenden Tages angelegt. Weitere an diesem Tag gelöschte Dateien werden ebenfalls in diesen Ordner gespeichert. Somit sind gelöschte Dateien zeitlich begrenzt weiter zugreifbar. Der lokale Ordner wird standardmäßig alle 3 Tage gelöscht. Eine als gelöscht markierte Datei erhält automatisch eine Erweiterung. Diese besteht aus einer Folge von drei Zahlen. Bei der ersten Angabe handelt es sich um die UNIX-Zeit, die in hexadezimaler Schreibweise angehangen wird. Die zweite Zahl ist die Dateigröße in Byte, ebenfalls als Hexzahl repräsentiert. Die dritte Zahl fungiert offenbar als Hashwert, obwohl nicht bekannt ist, welcher Algorithmus zu Erstellung der Prüfsumme eingesetzt wird. Im folgenden Beispiel wurde eine Datei namens bild01.jpg zuvor aus der Dropbox entfernt. Die gelöschte Version erhält den Namen bild01 (deleted 4fe09d20-5f5e100-c6ce2398).jpg
Die erste Zahl in Dezimalschreibweise lautet 1340120352.24 Daraus ergibt sich das Datum Dienstag, 19. Juni 2012 11:39:12. Die zweite Zahl in Dezimalschreibweise ist 100.000.000. Durch 1024 geteilt erhält man schließlich die Dateigröße von 97.656 Byte. 24
Zeitangabe in Millisekunden, die seit dem 01. Januar 1970 verstrichen sind.
150
D. Pawlaszczyk
RAM-Analyse des Dropbox-Client Wenn es dem Ermittler möglich ist, den RAM-Inhalt zu sichern (Abschn. 5.3.1) bzw. er Zugriff auf die Auslagerungsdateien oder Swapbereiche des Betriebssystems hat, so kann er zusätzlich versuchen, den Accountnamen der Dropbox zu ermitteln. Für aktuelle Versionen des Dropbox-Clients befindet sich dieser in der Nähe einer bestimmten Zeichenkette, die aus dem RAM ausgelesen werden kann. Die Zeichenfolge lautet wie folgt: ’u’email’: ’
Potentielle Benutzernamen für Dropboxkonten als Voraussetzung für ein Auskunftsverfahren können unter Umständen auf diesem Wege ermittelt werden. Wenn andererseits ein Webbrowser beim Zugriff verwendet wird, findet sich der Text Login email vor dem Benutzernamen im Speicher. Mitunter lässt sich sogar das Passwort (abhängig von der Dropboxversion) für das Dropboxkonto im Klartext im Speicher in der Nähe der extrahierten Texte bestimmen. Folgende Daten konnten beispielsweise aus der Imagedatei eines Arbeitsspeichers ermittelt werden: "... $0.00 "... name free 2 GB name periods u’displayname’: ’WIN-B1EGO14DEDEF’, u’email’: ’[email protected]’, u’excserver’:u’dl-debug1.Dropbox.com’,
Das Beispiel enthält neben dem Accountnamen zusätzlich Angaben über den angesprochenen Cloud-Server sowie die Kennung des Clientrechners, die sogenannte HostID.25 Alternativ kann man auch versuchen, auf die Konfigurationsdateien des DropboxClients zuzugreifen. Hierbei sind insbesondere zwei Dateien interessant: filecache.dbx und config.dbx. Erstere enthält eine Liste der in der Dropbox abgelegten Dateien einschließlich vieler Metadaten. Noch interessanter ist allerdings die zweite Datei config.dbx. In dieser sind unter anderem die E-Mail-Adresse des Dropboxnutzers, eine Liste der zuletzt geänderten Dateien, die Host-ID sowie der lokale Pfad zum Dropboxordner des Benutzers hinterlegt. Bei beiden Dateien handelt es sich um SQLite-Datenbanken. Allerdings sind die beide Dateien verschlüsselt. Aber auch dieses Problem ist i. d. R. lösbar. Von der Firma Magnet Forensics wird beispielsweise das kostenlose Tool Dropbox Decryptor26 angeboten. Mit diesem Programm können die beiden Datenbankfiles entschlüsselt und anschließend wie gewohnt mit SQLite geöffnet und analysiert werden.
5.4.3 Der Messengerdienst WhatsApp Instant-Messagingdienste erfreuen sich zunehmender Beliebtheit. Aus forensischer Sicht sind dabei insbesondere Kontakte und Nachrichten von Interesse, die häufig wertvolle Informationen zur Lösung eines Falles liefern können. Das gilt für das Gerät eines Opfer 25 26
Jedes Gerät, mit dem auf die Dropbox zugegriffen wird, erhält eine solche eindeutige Kennung. https://www.magnetforensics.com/free-tool-dropbox-decryptor/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
151
ebenso wie für das eines Verdächtigen. In beiden Fällen kann die Analyse der Chatdaten vorteilhaft sein. Einer der wohl meistgenutzten Messengerdienste weltweit ist WhatsApp. Im Jahr 2015 haben bereits mehr als 800 Millionen Menschen diesen Dienst genutzt.27 Die Anwender können über WhatsApp einfache Nachrichten, aber auch Bild- und Videodateien untereinander tauschen. Ebenfalls interessant ist die Möglichkeit, seinen eigenen Standort anderen Chat-Partnern mitzuteilen. Zwischenzeitlich ist es sogar möglich, über die eingebaute Voice-over-IP-Funktion zu telefonieren. Der WhatsApp-Client soll im Folgenden aus forensischer Sicht näher untersucht werden.
Technischer Hintergrund Das Versenden von Textnachrichten erfolgt im Pushverfahren, sodass die Nachrichten unmittelbar beim Empfänger ankommen. Sie werden entsprechend zwischengespeichert, bis der Empfänger online ist. Damit Nachrichten übertragen werden können, müssen die Teilnehmer mit einem Client über das Internet direkt oder über einen Server miteinander verbunden sein. Der WhatsApp-Client verwendet das Extensible Messaging and Presence Protocol zum versenden von Nachrichten. Die Clientsoftware ist für alle gängigen Betriebssysteme erhältlich. WhatsApp ist speziell auf mobile Endgeräte und die Kommunikationsgewohnheiten dieser Nutzer zugeschnitten. Eine Besonderheit der App besteht darin, dass diese im Gegensatz zu anderen Messengerdiensten lediglich die Telefonnummer zur Identifizierung des Benutzers und seiner Kontakte verwendet. Forensische Analyse WhatsApp verwaltet seine Daten wie der Webbrowser Firefox über eine SQLite-Datenbank. Waren die Dateien bis vor wenigen Jahren noch direkt einsehbar, so sind diese in den aktuellen Programmversionen verschlüsselt. Man erkennt die Dateien an Dateiendungen wie .crypt5, .crypt7, .crypt8. Um nunmehr Zugriff auf die Kontaktdaten zu erhalten, muss man die Dateien zunächst entschlüsseln. Die dafür notwendige Schlüsseldatei befindet sich unter dem Betriebssystem Android standardmäßig im Verzeichnis: /data/data/com.whatsapp/files/key
Der Zugriff auf diese Datei ist normalerweise nur mit Rootberechtigung möglich. Der Rootzugriff kann programmgesteuert erfolgen. Die dafür benötigten Skripte müssen hierfür zunächst im Downloadmodus von Android installiert und anschließend ausgeführt werden. Zumeist nutzen diese Programme eine Sicherheitslücke im Betriebssystemkern um eine sogenannte Privilege Escalation zu bewirken. Alternativ ist es ab Android 4.0 möglich, das Gerät über eine Android Debug Bridge zu betreiben. Diese Funktion wurde speziell für App-Entwickler eingeführt. Man kann Sie innerhalb der Systemeinstellung des Mobiltelefons ganz leicht aktivieren. Zusätzlich muss i. d. R. das Gerät für den USBDebugging-Modus freigeben sein. Auf diese Weise ist es beispielsweise möglich, ein 27
http://www.nzz.ch/wirtschaft/newsticker/whatsapp-mit-mehr-als-800-millionen-nutzern
152
D. Pawlaszczyk
vollständiges Backup des Androidgerätes, ganz ohne Rootberechtigung zu erstellen. Hat man das Smartphone über USB mit dem PC verbunden, kann man sich über die ADBTool-Sammlung28 zunächst alle angeschlossenen Geräte auflisten lassen: $ adb devices List of devices attached sony xeperia device
Nunmehr ist es möglich, die angesprochene Keydatei sowie die eigentlichen WhatsAppDateien auf den Forensikarbeitsplatz zu sichern: $ adb pull /data/data/com.whatsapp/files/key /key
Die Kontakt-Daten befinden sich verteilt auf zwei Dateien standardmäßig in den folgenden Verzeichnissen: /Device Storage/WhatsApp/Databases/msgstore.db.crypt8 /Device Storage/WhatsApp/Databases/wa.db.crypt8
Bei der Datei msgstore.db handelt es sich um eine SQLite-Datenbank mit lediglich zwei Tabellen: Der Chatliste und den eigentlichen Nachrichten. Die Tabelle Meldungen enthält eine Liste aller Nachrichten, die ein Benutzer gesendet oder empfangen hat. Die zweite Datei wa.db enthält eine vollständige Auflistung der Kontakte eines WhatsApp-Nutzers einschließlich Telefonnummer, Anzeigenamen sowie Zeitstempel. Die in den beiden Datenbankfiles abgelegten Tabellen enthalten Artefakte die aus forensischer Sicht sehr interessant sind. Dort findet man neben den bereits erwähnten Informationen zu Nachrichten insbesondere Geo-IDs (für Entfernungsangaben) sowie Pfad und Speicherorte von Mediendateien, die zwischen zwei Kontakten ausgetauscht oder mit diesen geteilt wurden. Sie können auf die gleiche Art und Weise wie zuvor die Schlüsseldateien dupliziert werden. Die so gesicherten Kontaktdaten und Schlüsseldateien können dann beispielsweise über das von Andreas Mausch entwickelte Werkzeug WhatsApp-Viewer29 eingelesen und sichtbar gemacht werden (Abb. 5.14). Somit erhält man alle Telefonnummern, mit denen der Benutzer kommuniziert; Dies ist jedoch nicht alles. Dateianhänge, die über WhatsApp verschickt bzw. empfangen wurden, sind ebenfalls über separate Tabelleneinträge innerhalb der gleichen Tabelle zugreifbar. Zusätzlich können häufig ebenfalls die Ortskoordinaten bestimmt werden. Somit ist es möglich zu rekonstruieren, von wo aus eine Nachricht verschickt bzw. auf diese zugegriffen wurde. Durch eine Kartierung der erwähnten Geolocationdetails lassen sich wiederum mögliche Bewegungsprofile ableiten. Systemlog sichern Über die angesprochenen Entwicklerwerkzeuge ist es zudem möglich, die Logdateien des Mobiltelefons zu sichern. Hierfür kann das folgende Kommando verwendet werden: $ adb logcat > logcat.log 28 29
developer.android.com/tools/help/adb.html https://github.com/andreas-mausch/whatsapp-viewer/releases/tag/v1.8
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
153
Abb. 5.14 Analyse der WhatsApp-Kontakte mit dem Programm WhatsApp-Viewer
5.4.4
Open Source Intelligence: Tatort soziale Netzwerke
Gerade soziale Netzwerke wie Youtube, Twitter, Instagram oder Facebook befinden sich immer häufiger im Fokus von Ermittlungen. Viele Menschen geben persönliche Informationen über sich und ihr Privatleben auf diesen Plattformen preis. Die frei verfügbaren und für jedermann einsehbaren Daten liefern nicht selten wertvolle Hinweise für ein Ermittlungsverfahren. Zum Teil werden die virtuellen Treffpunkte aber auch zur Absprache von Straftaten genutzt. Ein weiteres Problem sind Anfeindungen oder Hetze in sozialen Netzwerken, die nicht selten strafrechtlichen Charakter haben. Aber auch Betrugsdelikte können mitunter aufgeklärt werden, weil die Beteiligten unverhohlen mit ihren Taten im Internet prahlen. Die vermeintlich wertvollen neuen Datenquellen haben aber auch eine Kehrseite: Bei der digitalen Spurensuche sehen sich die Ermittler mit immer mehr Daten aus immer neuen Quellen konfrontiert. Um so wichtiger ist es, die Recherchearbeit möglichst effizient zu gestalteten. Hierbei können insbesondere sogenannte Open-Source-Intelligence (OSINT)-Werkzeuge wertvolle Unterstützung leisten [13]. Diese Programme sammeln und analysieren Daten zu einem bestimmten Sachverhalt aus frei verfügbaren Quellen [25]. Ziel ist es, daraus neue Erkenntnisse abzuleiten. Der Begriff OSINT wurde maßgeblich vom Department of Defence (dem amerikanischen Verteidigungsministerium) und von amerikanischen Geheimdiensten geprägt, wobei diese vorrangig das Interesse verfolgen, den Informationsbedarf ihrer
154
D. Pawlaszczyk
Regierung mit Blick auf die nationale Sicherheit zu decken. OSINT-Anwendungen können aber allgemein zu besseren und effektiveren Untersuchung verschiedenster Straftatbestände eingesetzt werd [18].
Technischer Hintergrund Im Bereich OSINT existiert eine ganze Reihe vor allem freier Programme und Werkzeuge. Eine der wenigen kommerziellen Lösungen in diesem Bereich stammt von der südafrikanischen Firma Paterva30 und trägt den Namen Maltego. Diese Anwendung unterstützt den Ermittelnden bei der Erhebung frei zugänglicher Daten im Netz. Dazu zapft das Programm neben den bekannten öffentlichen Suchmaschinen insbesondere frei zugängliche Datenbanken von Online-Diensten wie Facebook, Twitter oder Linked an. Neben der Suche in sozialen Netzwerken kann der Anwender aber auch Informationen auf PGP-Schlüsselservern, Webseiten, DNS-Servern, Foren, GeoIP-Datenbanken und Suchmaschinen wie Google in das Suchergebnis einfließen lassen. Innerhalb der Anwendung werden alle gefundenen Beziehungen als Graph repräsentiert. Die Entitäten innerhalb dieses Graphen sind beispielsweise Personen, Domänennamen, Telefonnummern, Webseiten oder E-Mail-Adressen. Die einzelnen Objekte werden von Maltego automatisch verknüpft und dem Benutzer in Form eines Netzgraphen präsentiert. Somit wird es möglich, strukturelle Informationen über die gefundenen Daten offenzulegen sowie Beziehungen zwischen verschiedenen Arten von Informationen zu einem gemeinsamen Bild zusammenzusetzen. Auf diese Weise wird deutlich, wie unterschiedliche Informationsquellen miteinander verbunden sind. Nicht selten können dadurch auch neue bislang unbekannte Beziehung identifiziert werden. Das Programm verwendet hierfür Algorithmen der Graphensuche. Maltego stellt mehr eine Plattform dar als eine geschlossene Anwendung. Über eine einfach zu programmierende Schnittstelle können sogenannte Transforms erstellt und in die Oberfläche integriert werden. Hierbei handelt es sich im Grunde um kleine Skripte, die von Maltego aus aufgerufen werden können und deren Ergebnisse wiederum in Maltego dargestellt werden. Die eigentlichen für die Suche verwendeten Algorithmen befinden sich dabei in der Regel nicht auf dem Rechner des Ermittelnden. Vielmehr werden die Skripte remote ausgeführt. Hierfür baut der Maltego-Client zunächst eine HTTPS-Verbindung zu einem speziellen Anfrageserver (in Maltego als TAS-Server bezeichnet) auf. Hierbei handelt es sich im Grunde um eine Art Gelbeseiten-Dienst. Der TAS-Server leitet die Anfrage dann an den entsprechenden Diensterbringer weiter. Wenn dieser seine Arbeit beendet hat, werden die Ergebnisse zurück an den Client gegeben, der diese dann graphisch präsentiert. Der Vorteil dieses Vorgehens besteht darin, dass die eigentliche Sucharbeit von dedizierten Servern erbracht wird. Der Client muss nicht besonders leistungsfähig sein. Er wird lediglich zur Präsentation verwendet. Gleichzeitig wird die Privatsphäre des Ermittelnden gewahrt, da die eigentlichen Suchanfragen vom Server ausführt werden. Derzeit unterstützt Maltego zwei Arten von Servermodulen: professionell und einfach. Der Hauptunterschied zwischen den beiden Servern liegt in der Anzahl verfügbarer Module. 30
http://www.paterva.com
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
155
Abb. 5.15 Analyse von Personen in Maltego (Beispiel)
Wie bereits erwähnt, handelt es sich bei Maltego um ein kostenpflichtiges Produkt. Zusätzlich wird aber auch eine freie sogenannte Community-Edition angeboten. Letztere ist vorrangig in Bezug auf die Anzahl der gleichzeitig im Graphen darstellbaren Entitäten beschränkt. Zum Teil sind die Antwortzeiten für Anfragen länger. Die Qualität der Suchergebnisse hingegen ist davon in der Regel nicht betroffen.
Forensische Analyse Maltego macht es dem Benutzer sehr einfach, Informationen über Personen zu sammeln und zu verknüpfen. Es werden dabei viele unterschiedliche Informationsquellen aus dem Internet verbunden. So kann man beispielsweise Personen innerhalb einer Organisation oder Beziehungsnetze in Facebook mit Mail-Adressen verknüpfen (s. Abb. 5.15), um deren Aktivitäten in diesen Netzwerken sichtbar zu machen. Je bereitwilliger Menschen
156
D. Pawlaszczyk
mit ihren persönlichen Daten umgehen, umso detailliertere Profile lassen sich erstellen. Darüber hinaus können nicht selten sehr viele Informationen über Kontakte und deren Verbindungen bestimmt werden. Natürlich enthalten die Suchergebnisse nicht selten auch sogenannte False Positives. Diese fälschlicherweise im Suchergebnis erscheinenden Daten müssen vom Ermittler erkannt und aus dem Graphen entfernt werden.
5.4.5 Verfolgung von Zahlungsströmen im Bitcoinnetzwerk Im November 2008 veröffentlichte ein bis dahin vollkommen unbekannter Entwickler ein Konzept, das er als verteiltes Zeitstempelsystem für Verträge bezeichnete [21]. Dies war die Geburtsstunde des ersten digitalen, freien, nichtmanipulierbaren Zahlungssystems, genannt Bitcoin. Es ist der Versuch, elektronisches Geld ohne Bindung an eine analoge Währung bereitzustellen. Die Steuerung der Zahlungsströme erfolgt vollkommen dezentral und wird einzig durch einen Algorithmus überwacht. Wegen der Verwendung kryptografischer Algorithmen zur Absicherung des System bezeichnet man Bitcoin auch als kryptografische Währung. In der jüngeren Vergangenheit erfuhr Bitcoin eine erhöhte Aufmerksamkeit. Seit der Schließung des Online-Drogenportals Silkroad 2.031 im Sommer des Jahres 2011 wurde das Bitcoinnetz wiederholt mit Drogengeschäften in Verbindung gebracht. Der Vorwurf der Begünstigung von Geldwäsche und Steuerhinterziehung steht ebenfalls im Raum. Die vermeintlich anonymen Coins sind im Darkweb zwischenzeitlich das Standardzahlungsmittel und dadurch immer häufiger ein wichtiges Beweismittel im Rahmen von Ermittlungsverfahren.
Technischer Hintergrund Bitcoins werden ausschließlich über das Bitcoinnetzwerk transferiert, die Infrastruktur für den Handel mit der Kryptowährung. Hierbei handelt sich um ein reines Peer-to-PeerNetzwerk (P2P), d. h., es gibt anders als bei einem zentralistischen Ansatz keine Instanz oder keinen Server, über welche die angeschlossenen Clients kommunizieren. In einem P2P-Netz können alle angebundenen Rechner gleichzeitig als Client oder Server fungieren. Es ist wichtig zu verstehen, dass jeder Bitcointransfer direkt zwischen den jeweiligen Transaktionspartnern ohne Umweg über einen Vermittler abgewickelt wird. Jeder Knoten im Bitcoinnetz darf prinzipiell mit jedem anderen Knoten Coins tauschen. Um am Netzwerk teilnehmen und Geld empfangen bzw. versenden zu können, benötigt man einen Bitcoin-Client. Dabei handelt es sich um eine Software, mit der ein Nutzer seine Bitcoinguthaben verwalten und Zahlungen tätigen kann. Der Client muss für jeden Transfer zunächst am Bitcoinnetzwerk angemeldet, also online sein. Alternativ kann aber auch eine der einschlägigen Internettauschbörsen zum Handeln genutzt werden. 31
http://silkroaddrugs.org/tag/silkroad-2-0/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
157
Jeder Bitcoinnutzer verfügt über eine oder mehrere Wallets, die mithilfe des Clients verwaltet werden. Eine Wallet ist eine Art elektronische Brieftasche, in der Bitcoinadressen abgelegt sind, mit denen wiederum im Netzwerk bestimmte Bitcoinguthaben verknüpft sind. Eine Bitcoinadresse stellt somit eine Art Kontonummer dar, die zwischen 26 und 35 Zeichen lang ist. Die Adressen sind Base58 kodiert, d. h., sie bestehen aus zufälligen Zahlen sowie Groß- und Kleinbuchstaben mit der Ausnahme, dass der große Buchstabe O, das große I, das kleine l und die Ziffer 0 wegen der besseren Lesbarkeit nicht benutzt werden: Beispiel-Adresse: 1539m63tXNFUa9fKmmg7WB1BAsDFa7XnSa
Durch Weitergabe einer Adresse an Dritte können diese Coins an den Eigentümer der Adresse übertragen.32 Weitere Informationen wie dessen Name oder seine Mail-Adresse sind nicht erforderlich. Aus diesem Grund wird häufig auch von einem anonymen Zahlungssystem gesprochen. Es gibt keine Beschränkungen, wie viele Bitcoinadressen eine Person verwenden darf. Zumeist wird für jede Transaktion eine neue Adresse erzeugt. Das ist unproblematisch, da der Adressraum insgesamt 1; 46 1048 mögliche Bitcoinadressen umfasst. Jede dieser Adressen ist mit einem Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel assoziiert (Abb. 5.16). Der öffentliche Schlüssel kann an andere Transaktionspartner weitergegeben werden. Er wird für die Erzeugung neuer Bitcoinadressen genutzt. Zu diesem existiert ein korrespondierender privater Schlüssel, den nach Möglichkeit niemand außer der Besitzer der Bitcoinadresse kennen sollte. Beide Schlüssel, öffentlicher und privater, sind über eine mathematische Funktion miteinander verknüpft (1); genauer gesagt wird der öffentliche Schlüssel mithilfe des privaten Schlüssels berechnet. Umgekehrt ist dies aber nur mit unverhältnismäßig hohem Aufwand möglich. Innerhalb des Bitcoinnetzes wird ein Elliptic Curve Algorithm33 eingesetzt, um einen 512 Bit langen privaten Schlüssel zu erzeugen. Aus diesem wird wiederum ein öffentlicher Schlüssel berechnet. Um Bitcoins zwischen Sender und Empfänger zu transferieren, muss zunächst eine Transaktion erzeugt werden, die anschließend mit dem privaten Schlüssel des Senders signiert wird (2). Die Transaktion zusammen mit dem öffentlichen Schlüssel und der erzeugten Signatur werden über das Bitcoinnetzwerk an den Empfänger übertragen (3). Mit dem privaten Schlüssel kann eine Partei zweifelsfrei ihr aktuelles Besitzrecht nachweisen und Bitcoins an andere Teilnehmer des Bitcoinnetzes übertragen. Der Empfänger einer Transaktion kann mithilfe des öffentlichen Schlüssels seinerseits verifizieren (4), dass ein anderer Nutzer hinsichtlich eines bestimmten Bitcoinbetrags verfügungsberechtigt ist (5). In einer Wallet werden somit keine Bitcoins oder Guthaben, sondern lediglich Schlüsselpaare und Adressen gespeichert.
32 33
Die Beispieladresse gehört dem Autor. http://andrea.corbellini.name/2015/05/17/elliptic-curve-cryptography-a-gentle-introduction/
158
D. Pawlaszczyk
Abb. 5.16 Prinzip der Signierung und Verfizierung von Transaktionen im Bitcoinnetzwerk
Transaktionen Im Bitcoinnetzwerk besteht der verfügbare Wert einer Bitcoinadresse aus der Historie aller zugrunde liegenden Transaktionen. Eine Transaktion dokumentiert einen Zahlungsvorgang, der in den Blöcken der sogenannten Blockchain gespeichert wird. Jede Transaktion ist durch Eingänge (Inputs) und Ausgänge (Outputs) gekennzeichnet. Beispiel: Sender A möchte an Empfänger B Bitcoins übertragen. A muss hierfür nachweisen, dass er bereits Transaktionen in mindestens der gleichen Höhe bekommen hat. Dafür gibt er B gegenüber alle Transaktionen an, die er schon erhalten hat und zum Bezahlen verwenden möchte. Diese Coins bilden die für B verfügbaren Inputs. Durch die Blockchain kann B in der gesamten Transaktionshistorie von A nachsehen, welchen Wert dessen Inputs haben, woher sie stammen und ob er diese schon ausgegeben hat. Für A ist diese Transaktion ein Output und für B ein Input (vgl. Abb. 5.17). Für eine Transaktion können mehrere Ziele angegeben werden. In jedem Fall müssen immer alle Eingänge betragsmäßig auf die Ausgänge verteilt werden. Die Outputs in einer Transaktion können maximal den Betrag aller Inputs einer Transaktion betragen. Es ist nicht möglich, nur einen Teil seines Bitcoinguthabens auszugeben. Will ein Nutzer nur einen Teilbetrag transferieren und den Rest behalten, dann muss er sich den Restbetrag an einen Output senden, der ihm selbst gehört. Die Blockchain Der Bitcoin-Client kann jeden Transfer sofort auf seine Gültigkeit hin überprüfen, indem er die Transaktionshistorie bis zur Ausgabe des Bitcoins zurückverfolgt. Durch die Si-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
159
Abb. 5.17 Beispiel für eine Transaktion mit Ein- und Ausgängen
gnierung jeder Transaktion ist zudem sichergestellt, dass keine gefälschten Bitcoins in Umlauf gebracht werden können oder jemand diese mehrfach ausgibt34 [21]. Technisch wird dies dadurch möglich, da alle Clients auf die gleiche Informationsquelle die sogenannte Blockchain zugreifen. Hierbei handelt es sich um eine Datenbank, in der alle jemals im Netzwerk getätigten Zahlungen verzeichnet sind. Jede Transaktion wird in diesem ewigen Logfile erfasst und protokolliert. Da jeder Vollclient eine Kopie dieser Datenbank besitzt, kann er auch jederzeit verifizieren, wem ein bestimmter Bicoinbetrag aktuell gehört. Insbesondere kann überprüft werden, ob ein Transaktionspartner, der Bitcoins transferieren möchte, diese auch tatsächlich besitzt. Die Blockchain stellt eine Art öffentliches Buchungssystem dar, in dem jede Zahlungsbewegung vermerkt ist. Im Durchschnitt alle 10 Minuten wird ein neuer Block mit den zuletzt durchgeführten Transaktionen an die Blockchain angehangen. Diesem Umstand verdankt die Blockchain auch ihren Namen. Durch ein spezielles Kommunikationsprotokoll werden alle Kopien der Blockchain auf den angeschlossenen Rechnern des Bitcoinnetzes über die letzten Zahlungsbewegungen informiert und aktuell gehalten. Hat ein Client sich längere Zeit nicht mit dem Bitcoinnetz verbunden, so muss er sich beim Start zunächst synchronisieren, d. h., er wird die letzten Blöcke abfragen und in seine Datenbank einfügen. Eine Transaktion gilt als bestätigt, wenn sie in einem Block gespeichert wurde [20].
34
In der Literatur wird dies auch unter dem Begriff des Double-Spending-Problems diskutiert.
160
D. Pawlaszczyk
Forensische Analyse Um Zahlungsbewegungen im Bitcoinnetz nachverfolgen zu können, muss nicht erst ein Auskunftsersuchen an ein Geldinstitut gestellt werden. Durch die Weiterleitung jeder Transaktion an die übrigen Knoten des Bitcoinnetzes und deren Festschreibung innerhalb der Blockchain kann jede Zahlung direkt zurückverfolgt werden. Dies ist in anderen Zahlungssystemen nur schwer oder gar nicht möglich und eine Besonderheit. Alle zu einer Bitcoinadresse jemals durchgeführten Zahlungen sind für jeden einsehbar in der Blockchain fälschungssicher hinterlegt; für den Ermittler ein auf den ersten Blick paradiesischer Zustand. Die eigentliche Herausforderung besteht darin herauszufinden, welche Person sich hinter welcher Bitcoinadresse verbirgt. Diese Information wird nicht in der Blockchain gespeichert. Analyse der Walletdatei Der schnellste Weg, um zu bestimmen, ob und, wenn ja, welche Bitcoins mit einem Rechner gehandelt wurden besteht darin, die Walletdatei zu finden. Als Gegenstück zu einer echten Geldbörse enthält diese die privaten Schlüssel ihres Besitzers. In der Datei sind neben den aktuellen Schlüsselpaaren zusätzlich die mit ihr verwalteten Bitcoinadressen, Transaktionen, Benutzereinstellungen sowie die Versionsnummer des verwendeten Bitcoinclients gespeichert. Für den Standardclient befindet sich die Datei normalerweise in einem Unterordner des Nutzerverzeichnisses: Windows XP: Windows 7: Linux Ubuntu:
%HOMEPATH%Application Data/Bitcoin/wallet.dat %HOMEPATH%AppData/Roaming/Bitcoin/wallet.dat ~/.bitcoin/wallet.dat
Mitunter liegt die Datei aber in einem abweichenden Verzeichnis oder wurde umbenannt. Wird zudem die Existenz weiterer Kopien bzw. Backups von Walletdateien auf dem Rechner vermutet, so muss nach diesen gesucht werden. Jede Walletdatei des Standardclients besitzt eine charakteristische Anfangssignatur. Am Beginn der Datei an Offset 12 befindet sich der feste Wert 0x3162. Diese Charakteristik vereinfacht die Suche nach Bitcoinkonten auf einem Datenträger erheblich. Das folgende Beispiellisting zeigt die Ausgabe des Programms hexdump unter Linux, wobei die ersten 32 Byte einer Walletdatei ausgeben werden: $hexdump -n 32 wallet.dat 00000 0000 0000 0001 0000 0000 0000 3162 0005 | ............b1.. 00010 0009 0000 1000 0000 0900 0000 0000 0000 | ................ 00020 0020 0000 0000 0000 0000 0000 0000 0000 | ..............
In der Walletdatei sind alle mit ihr verknüpften Bitcoinadressen abgelegt. Durch eine Extraktion der Adressen lassen sich auch alle Zahlungsbewegungen rekonstruieren, die über die Wallet abgewickelt wurden. Die Adressen sind regelmäßig konstruiert, wodurch eine Suche stark vereinfacht wird. Wie schon weiter oben ausgeführt, ist jede Adresse Base58 kodiert. Die Adresse beginnt in der Regel mit den Ziffern 1 oder 3. Mithilfe dieser In-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
161
formationen kann wiederum sehr schnell ein regulärer Ausdruck für eine Suchanfrage formuliert werden: ANSI: 1[a-km-zA-HJ-NP-Z1-9]{24,34} Unicode: 1\x00([a-km-zA-HJ-NP-Z1-9]\x00){24,34}
Die Anfrage lässt sich wie folgt übersetzen: Finde eine Zeichenkette, die mit einer 1 beginnt und nur alphanumerische Zeichen (ausgenommen die Buchstaben ’l’ und ’I’ bzw. die Zeichen ’O’ und ’0’) enthält und zwischen 25 und 34 Zeichen lang ist. Bei Unicodekodierung wird jedes Zeichen durch ein oder mehrere Byte repräsentiert. Bei der ANSI-Kodierung hingegen wird genau 1 Byte verwendet. Für beide Kodierungen ist jeweils ein Beispiel angegeben. Unter Linux kann beispielsweise mit dem grep-Kommando in einer Datei nach diesen Mustern gesucht werden: $ strings wallet.dat | grep -E "1[a-km-zA-HJ-NP-Z1-9]{24,34}" name"1DKJtsJeYmgDrLg2TFJ9hb1v66iX5BJ1fR name"1E8ir4z5xD3nB7D7LEzf5UpzycWyTWD7Sf name"1AraVQH94p7pcUP3dYRCUk4sxuv5PAs71XG name"1JCQaLdjaNvnfhu1pHVuKUCJLqXS3TtTii name"16C8xucyygqHusdBXQ8GQ5asZfa97WHShM ...
Zur Erläuterung: Das erste Kommando extrahiert Zeichenketten (Strings) aus der Binärdatei wallet.dat. Der zweite Teil der Anweisung sucht mithilfe des bereits ausführlich besprochenen regulären Ausdrucks nach dem Muster. Somit wird es möglich, gezielt nach Bitcoinadressen in den Dateien des Systems zu suchen und diese zu extrahieren. Wenn auch nur eine Transaktion mit der Identität einer Person in Verbindung gebracht werden kann, dann sind auch alle vorhergehenden Transaktionen des Betroffenen zuordenbar. Hierfür muss lediglich innerhalb der Blockchain nach der gefundenen Adresse und den mit dieser verknüpften Transaktionen gesucht werden. Nachdem nun klar ist, dass es sich um ein Base58-Codierung handelt, werden im nächsten Schritt der Untersuchung, speziell die letzten vier Bytes des gefundenen Strings überprüft. Bei jeder Bitcoinadresse wird am Ende ein Doppel SHA-256-Diget der vorangegangenen Adressdaten als eine Art Prüfsumme abgelegt. Für eine Verifizierung des Suchtreffers muss für die Bytes 0 bis zum Byte n-4 ebenfalls der Hashwert bestimmt und mit dem Ergebnis der letzten 4 Byte verglichen werden. Durch Überprüfung der Gültigkeit der Base58-Kodierung für die zuvor extrahierten Zeichenfolgen, lässt sich bestimmen, welche Werte falschpositiv sind (keine gültigen Adressen darstellen) und, was noch wichtiger ist, welche es nicht sind. Verfolgung von Zahlungen in der Blockchain Wurden die Bitcoinadressen wie zuvor beschrieben extrahiert oder sind anderweitig bekannt, so ist eine gezielte Suche über die Blockchain möglich. Alle Transaktionen sind in dieser protokolliert. Somit kann recherchiert werden, von welchen Adressen aus Coins
162
D. Pawlaszczyk
Abb. 5.18 Beispiel: Verfolgung von Bitcoinzahlungen mit dem Programm BCTrace
übertragen wurden und ob diese zwischenzeitlich weiter transferiert worden sind. Für eine forensische Untersuchung des Transaktionsgraphen existieren verschiedene Recherchemöglichkeiten. Über diverse Online-Portale wie blockchain.info35 kann gezielt nach Transaktionen und Adressen gesucht werden. Diese Form der Recherche gestaltet sich aber mitunter sehr mühsam, da man jeweils nur einzelne Transaktionen respektive Bitcoinadresse einsehen kann. Die Verfolgung der Coins im Graphen über verschiedene Stufen hinweg muss zumeist manuell durchgeführt werden. Eine Alternative bietet das vom Autor mitentwickelte Tool BCTrace (Abb. 5.18). Das in Java geschriebene Programm unterstützt den Anwender bei der Verfolgung von Zahlungsströmen im Bitcoinnetzwerk. Hierfür fragt die Anwendung über eine JSONSchnittstelle36 die Online-Portale blockcypher.com und blockchain.info an. Beide Webseiten bieten jeweils eine eigene API für Recherchezwecke an. Die Ergebnisse dieser Fernabfrage werden innerhalb des Tools in einer Baumstruktur präsentiert. Die Informationen werden auf diese Weise übersichtlich dargestellt. Der Baum kann beliebig entfaltet werden. Eine Verfolgung von Zahlungsbewegungen über mehrere Transaktionen hinweg ist möglich. Darüber hinaus werden auch Zusatzinformationen angezeigt, die in der Blockchain nicht protokolliert sind. Beispielsweise erfassen die Online-Portale zusätzlich, von welcher IP-Adresse eine Transaktion gemeldet bzw. bestätigt wurde. Diese Information liefert nicht selten einen Hinweis auf die Identität der Sender bzw. Empfänger einer Zahlung, da der Client, der eine Transaktion als erster meldet, in der Regel auch an dieser unmittelbar beteiligt ist [11]. 35 36
http://www.blockchain.info JSON: JavaScript Object Notation
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
163
Anonymität in der Blockchain Häufig wird behauptet, Bitcoin wäre ein absolut anonymes Zahlungsmittel [2]. Dies stimmt nur bedingt. Nach Meinung vieler Autoren ist die Anonymität von Bitcoin geringer als beispielsweise bei einer normalen Banküberweisung [11, 23, 24]. Tatsächlich wird der Name oder die Identität einer Person lediglich durch ein anderes Merkmal (die Bitcoinadresse) ersetzt, um die Identifizierung der Nutzer zu erschweren. Dieses Vorgehen wird auch als Pseudonymisierung bezeichnet [12]. Eine vollständige Anonymisierung ist mit dem Bitcoinnetzwerk hingegen nicht möglich bzw. war niemals beabsichtigt. In der Literatur werden Faktoren diskutiert, die zu einer Deanonymisierung einzelner Nutzer des Bitcoinnetzwerkes führen können. Die Ansätze basieren letztlich auf einer Analyse des Transaktionsgraphen. Die drei wesentlichen Aspekte dabei sind [11, 23, 24]: 1. Wiederverwendung von Adressen. Wird für die Abwicklung von Transaktionen immer wieder die selbe Adresse verwendet, dann ist dies vergleichbar mit einem Bankkonto mit fester Kontonummer. Bitcoinadressen sind eigentlich für diese Form der Verwendung nicht vorgesehen. Das zeigt schon die Tatsache, dass die Adressen normalerweise zufällig erzeugt werden. Gelingt es, eine einzelne Transaktion mit einer konkreten Identität in Verbindung zu bringen, so können automatisch auch die übrigen Zahlungen zugeordnet werden. 2. Adresswechsel. Bitcoins werden durch Transaktionen zwischen Adressen übertragen. Ein Überweisung an mehrere Adressen innerhalb einer einzigen Transaktion ist ebenfalls möglich. Nicht selten kommt es vor, dass ein zu zahlender Betrag kleiner ist als das zur Verfügung stehende Guthaben. Dennoch muss zwingend immer der gesamte Betrag an Coins ausgegeben werden, selbst wenn der Nutzer eigentlich nur einen Teilbetrag transferieren möchte. Folglich besitzt die Transaktion in diesem Fall mindestens zwei Ausgänge: einen für den Empfänger der eigentlichen Zahlung und einen zweiten für das Restgeld, das der Absender natürlich behalten möchte. Dies wird auch als Adressänderung (address change) bezeichnet. Es kann in vielen Fällen davon ausgegangen werden, dass zumindest eine mit dem Ausgang einer Transaktion verknüpfte Bitcoinadresse dem Ersteller der Transaktion wiederum selbst gehört. 3. Zusammenführung von Ein- und Ausgängen. Werden mehrere Eingänge in einer Transaktion zusammengeführt, um einen Gesamtbetrag zu bilden, kann man davon ausgehen, dass alle diese Adressen, die verschmolzen wurden, auch mit der Person assoziiert sind und dieser gehören. In vielen Fällen kann man eine Verbindung zwischen einer Adresse und einer konkreten Person durch eine gezielte Suche in Foren, auf Webseiten oder in sozialen Netzwerken herstellen. Die Adressen werden durch gängige Suchmaschinen indiziert und können leicht gefunden werden. Außerdem ist dem Transaktionspartner sehr häufig die Identität des Gegenübers bekannt. Kauft jemand bei einem Händler online Waren und bezahlt diese mit Bitcoins, so kennt Ersterer zwangsläufig auch dessen Identität. Anders wäre ein Versand kaum möglich.
164
D. Pawlaszczyk
Auf der anderen Seite können Betroffene Maßnahmen ergreifen, um einer Verfolgung ihrer Zahlungsströme entgegenzuwirken. Durch den Einsatz sogenannter Mixerdienste (auch laundries bzw. tumbler genannt), können Bitcoins, die möglicherweise rückverfolgbar sind, gegen andere, vermutlich nicht zuordenbare Coins eingetauscht werden. Häufig wird dafür eine kleine Gebühr erhoben. Analysen werden somit erschwert. Wenn das Mischen wie geplant verläuft, dann stehen die Bitcoins, die ein Benutzer anschließend besitzt, in keinerlei Zusammenhang zu den ursprünglichen Coins. Der Betroffene muss allerdings in der Regel darauf vertrauen, dass (1) der Dienst über genügend Kunden verfügt, um effektiv seine Menge an Bitcoins mit anderen zu mixen und, (2) dass keine Protokolldateien über diesen Vorgang angelegt werden. Es hat sich aber gezeigt, dass zumindest in einigen Fällen, diese Mixerdienstleistungen möglicherweise nicht so sicher sind, wie behauptet [23, 24]. Jeder Transfer und jede Teilung von Bitcoins stellt letztlich ein potenztielles Problem für die Ermittlungsarbeit dar. Nicht selten erweist es sich als äußert schwierig wenn nicht gar unmöglich zu bestimmen, was genau mit dem Geld passiert ist. Werkzeuge und Techniken zur Analyse der Blockchain und zur Verbesserung der Nachverfolgbarkeit von Zahlungen im Bitcoinnetz stellen nach wie vor ein wichtiges Forschungsfeld dar.
5.5
Fazit und Ausblick
Wie sich zeigt, sind die Prinzipien der klassischen Forensik auch auf digitale Tatorte anwendbar und behalten im Cyberspace ihre Gültigkeit. Zur Sicherung, Verfolgung und Auswertung digitaler Spuren müssen ebenso wie bei der Beweismittelsicherung am physischen Tatort bestimmte Grundsätze beachtet werden. Eine digitale Spur ist immer eine Datenspur, die mit einem virtuellen Tatort verknüpft ist. Sie ist in vielen Fällen flüchtig. Manipulierbarkeit und Integrität spielen eine zentrale Rolle bei der Sicherung und Analyse digitaler Spuren. Das Kapitel trägt diesem Umstand Rechnung. So wurde insbesondere auf den Umgang mit digitalen Beweismitteln, deren gerichtsfester Speicherung, Anfertigung von Datenträgerabbildern sowie die Wiederherstellung gelöschter Daten eingegangen. Dabei wurde systematisch aufgezeigt und beschrieben, welche Tätigkeiten im Einzelnen bei der Sicherung digitaler Beweismittel durchzuführen sind. In diesem Zusammenhang wurden exemplarisch forensische Werkzeuge und deren Arbeitsweise besprochen. Gleichzeitig wurde aufgezeigt, wie sich diese Programme in den forensischen Prozess einreihen. Gerade das Internet und seine Dienste verändern in vielfacher Weise die Anforderungen an die Spurensicherung. Der Tatort der Zukunft ist global. Der zweite Teil des Kapitales trägt diesem Umstand Rechnung, indem verschiedene digitale Tatorte im Internet und die mit diesen in Zusammenhang stehenden forensischen Methoden besprochen wurden. Am Beispiel von Cloud-Storage-Lösungen, Messengerdiensten und sozialen Netzwerken wird exemplarisch gezeigt, welche Verfahren in der modernen IT-Forensik zum Einsatz kommen. Die sicherlich größte Herausforderung stellt heute wie auch zukünftig die Flut an Daten dar. So stehen den Ermittlern nicht zuletzt aufgrund der Qualität moderner Inter-
Literatur
165
netsuchmaschinen sowie bedingt durch die zunehmende Digitalisierung der Gesellschaft immer mehr Daten zur Verfügung. Eine sinnvolle Filterung und Reduktion ist somit unumgänglich. Werkzeuge aus dem Bereich Open Source Intelligence können hier einen wichtigen Beitrag leisten. Wie gezeigt wurde, besteht insbesondere bei der Verfolgung von Zahlungsströmen im Bitcoinnetzwerk noch großer Forschungsbedarf. In diesem Bereich sind die Möglichkeiten einer effizienten Analyse und Spurensuche derzeit nur unzureichend ausgeprägt. Wie der Betrag belegt, unterliegt das Wissenschaftsgebiet der IT-Forensik einem permanenten Wandel durch neu hinzukommende Datenquellen und Technologien. Eine Verstetigung der Methoden und Verfahren wie beispielsweise im Bereich der Daktyloskopie ist vorerst nicht absehbar. Andererseits hat gerade die Sicherung und Analyse digitaler Spuren eine immer wichtigere Bedeutung für die moderne Strafverfolgung und nimmt zweifelsohne eine zentrale Stellung innerhalb der Kriminalistik ein.
Literatur 1. Barrett D., Kipper G.: Investigating Dead Virtual Environments. In: Liles, S. (Hrsg.) Virtualization and Forensics A Digital Forensic Investigator’s Guide to Virtual Environments, S. 83–107. Elsevier Inc (2010) 2. Biryukov A., Khovratovich D., Pustogarov, I.: Deanonymisation of Clients in Bitcoin P2P Network. University of Luxembourg: s.n. (2014) 3. Bundeskriminalamt: Cybercrime – Bundeslagebild 2014. Wiesbaden BKA (2014) 4. Breitinger F., Baier H.: Performance Issues about Context Triggered Piecewise Hashing. In: 3rd International ICST Conference on Digital Forensics & Cyber Crime (ICDF2C), Dublin (Ireland), October (2011) 5. Bundesamt für Sicherheit in der Informationstechnik (BSI): Leitfaden IT-Forensik. Bonn (2010), 358 Seiten 6. Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2015. Bonn (2015) 7. Carrier B.D., Grand J.: A hardware-based memory acquisition procedure for digital investigations. Digital Investigations, 1(1), ISSN 1742-2876. http://www.digital-evidence.org/papers/ tribble-preprint.pdf (2004) 8. Carrier B.D.: FileSystem Forensic Analysis. Adision-Wesley Perason Education (2005) 9. Carvey H.: Windows Forensik Analysis DVD Toolkit. Syngress-Verlag, Burlington (2009) 10. Casey E.: Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, 3. Aufl. Academic Press (2011) 11. Fleder M, Kester M.S., Pillai S.: Bitcoin Transaction Graph Analysis. In: Cryptography and Security (cs.CR), http://arxiv.org/pdf/1502.01657v1.pdf (2015) 12. Galt J.S.: The Good the Bad and the Ugly of Bitcoin’s Pseudoymity. http://www.hongkiat.com/ blog/bitcoin-security/. Zugegriffen: 15. Okt. 2015 13. Glassman M., Kang M.J.: Intelligence in the information age: the emergence and evolution of Open Source Intelligence (OSINT). Computers in Human Behavior, 28(2), 673–682 (2012)
166
D. Pawlaszczyk
14. Haase N., ComputerForensics: Introduction to Incident Response and Investigation of WindowsNT/2000“, 4.Dezember 2001. SANS Institute (2001) 15. Halderman A., Schoen S.D., Heninger N. et al.: Lest We Remember: Cold Boot Attacks on Encryption Keys. In: Proc. 2008 USENIX Security Symposium, February 21, 16 Seiten (2008) 16. Ligh M.H., Case A., Levy J., Walters A.: The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory. John Wiley & Sons, Inc (2014) 17. James S.H. (Hrsg.), Nordby, J.J. (Hrsg.): Forensic Science: An Introduction to Scientific and Investigative Techniques. Third. CRC Press (2009) 18. Mercado, S.C.: Sailing the sea of osint in the information age: a venerable source in a new era. Studies in Intelligence, 48(3), Central Intelligence Agency Washington D.C. (2007) 19. Microsoft Coperation: Microsoft Security Intelligence Report. Volume 19, Januar through June 2015. www.mircosoft.com/sir. (2015) 20. Miers I., Garman C., Green M., Rubin A.D.: Zerocoin: Anonymous Distributed E-Cash from Bitcoin. In: Miers, Ian, et al. s.l.: IEEExplore, 2013. In: SP ’13 Proceedings of the 2013 IEEE Symposium on Security and Privacy, S. 397–411 (2013) 21. Nakamoto S.: Bitcoin: A Peer to Peer Electronic Cash System. https://bitcoin.org/bitcoin.pdf (2008) 22. Pfefferli P.: Die Spur: Ratgeber für die spurenkundliche Praxis, 6. Aufl. Kriminalistik Verlag, München (2011) 23. Reid F., Harrigan M.: An Analysis of Anonymity in the Bitcoin System. In: Security and Privacy in Social Networks, S. 197–223, 13. Juli (2012) 24. Ron D., Shamir A.: Quantitative Analysis of the Full Bitcoin Transaction Graph Cryptology ePrint Archive: Report 2012/584. http://eprint.iacr.org/ (2012) 25. Ströger J., Schaurer F.: OSINT Report 3/2010: The Evolution of Open Source Intelligence. ISN ETH Zürich (2010) 26. Wicker M.: Ermittlungsmöglichkeiten in der Cloud – Vereitelt das Speichern in der Cloud die Zuständigkeit deutscher Ermittlungsbehörden? In: Taeger, J. (Hrsg.) Law as a Service – Recht im Internet- und Cloud-Zeitalter, Tagungsband der Herbstakademie 2013, Bd. 2, Edewecht 2013, S. 981–1000. (2013) 27. US-CERT–United States Computer Emergency Readiness Team: ComputerForensics. https:// www.us-cert.gov/sites/default/files/publications/forensics.pdf (2008) 28. Verizon Enterprise Solutions: 2015 Data Breach Investigations Report. http://www. verizonenterprise.com/de/DBIR/2015/ (2015) 29. Witherden F.: Memory Forensics over the IEEE 1394 Interface, September 2010, 29 Seiten. https://freddie.witherden.org/pages/ieee-1394-forensics.pdf (2010) 30. Xie T., Liu F., Feng D.: Fast Collision Attack on MD5. Cryptology ePrint Archive, Report 2013/170 (2013)
6
Textforensik
Michael Spranger und Dirk Labudde
6.1
Einleitung
Die Analyse digitaler forensischer Texte ist regelmäßig eine Aufgabe in vielen Bereichen kriminalistischer Ermittlungen. Als digitale forensische Texte werden in diesem Zusammenhang alle Texte bezeichnet, welche auf digitalen Speichermedien sichergestellt wurden, weil sie entweder selbst inkriminiert oder anderweitig geeignet sind, eine begangene strafbare Handlungen, i. S. d. materiellen Strafrechts, auch teilweise, zu rekonstruieren oder zu beweisen, und somit Gegenstand kriminalistischer Ermittlungen mit dem Ziel der Beweissicherung geworden sind. Untersuchungen dieser Art sind ein Teilgebiet der forensischen Informatik und immer abhängig von der vorher durchzuführenden physikalischen Datensicherung. Die kriminalistische Relevanz reicht dabei von Computerstraftaten, wie Computerbetrug oder Computerspionage, bis hin zu klassischen Delikten aus den Bereichen der Betrug, Wirtschafts- oder Rauschgiftkriminalität, die mit Unterstützung von Computern, mobilen Endgeräten oder des Internets begangen worden sind. Die große Bedeutung wird klar, betrachtet man die polizeiliche Kriminalstatistik (PKS), z. B. des Jahres 2012. Hiernach wurde in allen genannten Deliktbereichen Anstiege der Fallzahlen bis zu 3,4 % gegenüber dem Vorjahr verzeichnet. Im Vergleich dazu lagen die Aufklärungsquoten zwischen 29,9 und 94,4 % (vgl. Tab. 6.1). M. Spranger () Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida Technikumplatz 17, 09648 Mittweida, Deutschland E-Mail: [email protected] D. Labudde Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida Technikumplatz 17, 09648 Mittweida, Deutschland E-Mail: [email protected] © Springer-Verlag GmbH Deutschland 2017 D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt, DOI 10.1007/978-3-662-53801-2_6
167
168
M. Spranger und D. Labudde
Tab. 6.1 Deliktische Entwicklung 2012 in ausgewählten Bereichen [2] Deliktgruppe Anzahl Fälle Betrug 958.515 (16,0 %) Rauschgift 237.150 (4,0 %) Computerkriminalität 87.871 (1,5 %) Wirtschaftskriminalität 81.793 (1,4 %) Gesamt 5.997.040 (100 %)
Vorjahr +2,5 % +0,3 % +3,4 % +2,9 % +0,1 %
Tatmittel Internet 16,9 % – 57,5 % 12,4 % 3,8 %
Aufklärung 77,4 % 94,4 % 29,9 % 91,1 % 54,4 %
Die betrachteten Deliktgruppen umfassen zusammen nur knapp 25 % aller begangenen Straftaten. Abb. 6.1 macht jedoch klar, dass durch diese mehr als drei Viertel des wirtschaftlichen Gesamtschadens verursacht werden. Bemerkenswert ist auch, dass im Jahr 2012 allein 229.408 Fälle, das sind 3,8 % aller registrierten Straftaten, unter Nutzung des Internets begangen wurden [2]. Hier ist insbesondere von einem erhöhten Aufkommen textueller Daten auszugehen, deren Analyse einen nicht unerheblicher Teil der Ermittlungszeit in Anspruch nimmt. Im Bereich der organisierten Kriminalität ist in Zeiten von Smartphones und globaler Vernetzung die Verabredung und Anbahnung krimineller Handlungen, selbst über Ländergrenzen hinweg, durch die Verwendung von Kurzmitteilungsdiensten, Messengern und sozialen Netzwerken so einfach geworden wie nie zuvor. Die Nutzung jedes dieser Medien hinterlässt jedoch unweigerlich Spuren, welche, analysiert und ausgewertet, aufschlussreiche Details liefern können, mit deren Hilfe beispielsweise Tathergänge rekonstruiert werden können. Nicht zuletzt erlaubt die Analyse der textbasierten Inhalte öffentlich zugänglicher sozialer Netzwerke, Hinweise auf mögliche
Abb. 6.1 Schadensaufteilung 2012 [2]
6
Textforensik
169
Tatverdächtige, Opfer oder Zeugen von Straftaten zu gewinnen oder sogar deren geplante Ausführung ganz oder teilweise zu verhindern. Vor allem der Preisverfall elektronischer Geräte und insbesondere digitaler Speichermedien lässt die Menge an verfügbaren textuellen Daten und damit an potentiellen forensischen Texten schnell ansteigen. Heutige Festplatten haben eine Größe von einigen hundert Gigabyte bis hin zu mehreren Terabyte, selbst Smartphones besitzen üblicherweise eine Speicherkapazität im zweistelligen Gigabytebereich. Diese Entwicklung, getrieben von der Angst, Daten und damit Informationen nicht ständig verfügbar zu haben, führt zu vielfältigen Duplikaten und dem Phänomen, dass kaum noch Historien, Caches etc. gelöscht werden. Einerseits sichert dies gute Chancen, den größten Teil des beweiserheblichen Materials auf den sichergestellten Datenträgern zu finden, andererseits lässt es die zu untersuchende Datenmenge ständig weiter anwachsen. Es wird somit immer schwieriger, die gesuchten Informationen in der Masse an Daten auszumachen, vor allem wenn man berücksichtigt, dass nur ein Bruchteil davon möglicherweise verfahrensrelevant ist. So können neben E-Mails, Chatprotokollen, Kontaktlisten, Briefen und Notizen vor allem im Bereich der Wirtschaftskriminalität oder des banden- oder gewerbsmäßigen (Computer-)Betruges auch Rechnungen, Kontoauszüge, Verträge und Tabellen von kriminalistischem Interesse sein. Die manuelle Suche nach Hinweisen, direkten oder indirekten Beweisen führt schnell zu einem hohen zeitlichen und personellen Aufwand. In einem durchschnittlichen Fall im Bereich der Wirtschaftskriminalität kann die Untersuchung leicht 6 Monate oder mehr in Anspruch nehmen. So ist es nicht verwunderlich, dass detaillierte Auswertungen nur durchgeführt werden können, wenn das verletzte Rechtsgut, der Schadensumfang und die Beweislage diesen Aufwand rechtfertigen. Anderenfalls wird die Untersuchung bestenfalls stichprobenartig durchgeführt oder ganz darauf verzichtet. Hinzu kommt das Erinnerungsvermögen von Zeugen, welches als Funktion der Zeit sukzessive abnimmt. Ebbinghaus hat bereits 1885 im Rahmen seiner gedächtnispsychologischen Untersuchungen im Selbstversuch bedeutungslose Silben und spanische Vokabeln gelernt, um die Vergessensrate in Abhängigkeit der vergangenen Zeit festzuhalten. Beides verglich er mit seinem Erinnerungsvermögen an autobiografische Ereignisse und erzielte die in Abb. 6.2 dargestellten Ergebnisse. Greuel et al. gehen davon aus, dass die Kurve für das Behalten inzidenteller Ereignisse noch unterhalb der Ebbinghaus’schen Kurve für das Vergessen von spanischen Vokabeln liegt [14]. Das kann im Einzelfall bedeuten, dass ein Zeuge, vorausgesetzt eine Gerichtsverhandlung findet etwa ein Jahr nach dem zugehörigen Ereignis statt, sich nur noch an 30–70 % der ursprünglichen Informationsmenge erinnern kann. Gleichwohl ist das Erinnerungsvermögen bei autobiografischen Ereignissen, auch über einen längeren Zeitraum, wesentlich höher. Auf der anderen Seite können nachträglich aufgenommene Informationen die Aussagegenauigkeit in hohem Maße negativ beeinflussen. Die Gefahr des Einflusses dieses als Falschinformationseffekt bezeichneten Phänomens wächst natürlich mit der Länge des Zeitraumes bis zum ersten Abruf der Informationen vom Zeugen. Deshalb muss es ein Ziel sein, die Dauer der Erhebung von Sachbeweisen im Allgemeinen und des Auswerteprozesses sichergestellter Daten im Besonderen massiv zu verkürzen.
170
M. Spranger und D. Labudde
Abb. 6.2 Vergessenskurve basierend auf Ebbinghaus 1885 [11]
6.2 Analyse unstrukturierter digitaler Daten Die Analyse digitaler Medien und insbesondere digitaler oder digitalisierter Texte unterschiedlichster Herkunft, welche im Kontext einer polizeilichen Sicherstellung oder Beschlagnahme in den Fokus der Ermittlungen gerückt sind, ist aktuell ein sehr zeitaufwendiger, fehleranfälliger und vor allem weitgehend manueller Prozess. Derartige Texte werden in der forensischen Linguistik auch als inkriminierte Texte bezeichnet.
Definition
„Ein Text gilt als inkriminiert, wenn er Gegenstand oder Bestandteil eines ziviloder strafrechtlichen Verfahrens ist und im letzteren Fall bereits im Vorfeld Ermittlungen durch Strafverfolgungsbehörden durchgeführt wurden“ [13, S. 41].
Inkriminierte Texte befinden sich beispielsweise auf digitalen Speichermedien, Computern oder mobilen Endgeräten, aber auch in sozialen Netzwerken oder anderen Quellen aus den Tiefen des Internets. Die Analyse dieser Daten ist einerseits eine der Hauptaufgaben in den Beweissicherungsverfahren in Fällen von Cyberkriminalität und klassischer Kriminalität, andererseits unerlässliche Maßnahme zur Ergreifung präventiver Maßnahmen im Bereich von Terrorismus und organisierter Kriminalität. Die zeitliche Nähe des Vorliegens der Auswertungsergebnisse zur vollendeten oder geplanten Tat ist oft von entscheidender Bedeutung für den Erfolg präventiver oder strafprozessualer Maßnahmen. Trotzdem können derartige Untersuchungen von großer Bedeutung für das Auffinden beweiserheblicher Informationen im Straf- oder Zivilprozess sein. Die Heterogenität der untersuchten Daten und der schnelle Wechsel von Kommunikationsformen erschweren die
6
Textforensik
171
Automatisierung dieser Prozesse. Aktuell in Deutschland verfügbare und durch Ermittlungsorgane genutzte Software, wie beispielsweise X-Ways Forensics1 , Forensic Toolkit (FTK)2 , XRY Office3 oder Cellebrite UFED Physical Analyzer4 , bilden insbesondere den semantischen Aspekt des Analyseprozesses nur ungenügend und nicht abgestimmt auf die Besonderheiten inkriminierter Texte ab. Sie fokussieren vor allem Aspekte der Sicherung und Wiederherstellung von Daten sowie das schlagwort- oder musterbasierte Suchen in großen Datenbeständen. Versuche, semantische Komponenten basierend auf Erkenntnissen aus dem Bereich des Text Mining zu integrieren, scheitern regelmäßig im Praxistest bei der Konfrontation mit Daten aus laufenden Ermittlungsverfahren. Die Ursache hierfür liegt vor allem in der fehlenden Verfügbarkeit von entsprechenden Trainings- und Evaluationsdatensätzen (sogenannten Gold-Standards) für die Forschung aufgrund datenschutzrechtlicher Bestimmungen. Deshalb entwickelt der Autor als forschendes Mitglied im Forensic Sciences Investigation Lab Mittweida gemeinsam mit Ermittlungsbehörden und Staatsanwaltschaften Lösungen auf Basis realer, fallbezogener Daten. Einige dieser Lösungsansätze werden in diesem Kapitel vorgestellt. Konsequenterweise ist es erklärtes Ziel, diese Einzellösungen zu einem forensischen Werkzeug in Form eines erweiterbaren IE/EE/QA-Domain-Frameworks5 zur Anwendung computerlinguistischer Methoden und Technologien auf forensische Texte weiterzuentwickeln. In diesem Zusammenhang umfasst der Begriff forensische Texte, über den Begriff des inkriminierten Textes hinaus, auch all jene textuellen Informationen, die geeignet sind, das Beweissicherungsverfahren oder die Ergreifung präventiver Maßnahmen in einem konkreten Fall zu unterstützen. Im Allgemeinen sind die folgenden abstrakten Aufgaben durch eine computergestützte Lösung zu realisieren: Erkennung und Klassifizierung von Texten mit einer fallbasierten kriminalistischen Relevanz, Erkennung von Entitäten und Relationen als Basis zur Aufdeckung von Täter- OpferNetzwerken, Entdeckung geplanter Aktivitäten, semantische Erschließung fragmentierter Texte, Erkennung versteckter Semantik. Jede dieser Aufgaben kann durch ein Netzwerk hochspezialisierter Services bearbeitet werden, welche jeweils einen Problemlöser, basierend auf einer speziellen Text-MiningTechnologie, kapseln. Die Heterogenität der Daten erfordert ein polymorphes Verhalten, welches durch intelligente Kombination dieser Problemlöser in Abhängigkeit von Textart und Fragestellung erzielt werden kann. 1
http://www.x-ways.net/forensics/index-d.html http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk 3 https://www.msab.com/products/office/ 4 http://www.cellebrite.com/de/Mobile-Forensics/Applications/ufed-physical-analyzer 5 Information Extraction/Event Extraction/Question Answering 2
172
6.3
M. Spranger und D. Labudde
Charakteristik forensischer Texte
Inkriminierte Texte (i. w. S. forensische Texte) sind wie bereits angedeutet beweiserhebliche textuelle Daten, die im Zuge des Beweissicherungsverfahrens durch Beamte der Polizeien der Länder sichergestellt oder beschlagnahmt worden sind. Durch die Staatsanwaltschaft Chemnitz wurden, für die Entwicklung ermittlungsunterstützender Software, historische Daten eines Strafverfahrens aus dem Bereich der Wirtschaftskriminalität für Untersuchungszwecke zur Verfügung gestellt. Eine erste manuelle Analyse dieser Daten ermöglichte, die nachfolgenden Aussagen über den Untersuchungsgegenstand zu treffen: das Datenmaterial ist von erheblicher Heterogenität bezüglich seiner Struktur und Domäne, wichtige Informationen können in nicht textbasierten Daten stecken (z. B. Fotokopien von Rechnungen), es gibt völlig irrelevante Texte, welche durch ihre Fülle relevante Informationen verdecken können (Vordrucke, Formulare, Templates, . . . ), Informationen können absichtlich verschleiert worden sein, um sie vor Entdeckung zu schützen, Texte können von starken syntaktischen Schwächen geprägt sein, Texte können durch Löschen/Rekonstruktion stark fragmentiert sein. Im betrachteten Kontext wird der Begriff versteckte Semantik als eine Art der linguistischen Steganografie verstanden, ist aber nicht beschränkt auf diese. Vielmehr lässt auch die Verwendung von slangbehafteter Sprache bekannte Text-Mining-Algorithmen scheitern. Das Verstehen versteckter Semantik ist eine der schwersten Aufgaben, für Maschinen und sogar Linguisten mit jahrelanger Erfahrung, bei der Analyse forensischer Texte. Die aufgeführten Spezifika unterscheiden den untersuchten Textkorpus von anderen üblicherweise in der Forschung verwendeten und evaluierten. Ferner ergab eine Umfrage, welche durch die Autoren unter Kriminalisten der kooperierenden Ermittlungsbehörden durchgeführt wurde, dass das Auffinden und Separieren relevanter Dokumente der aufwendigste und schwierigste Teil der Auswertung ist.
6.4 Entwicklung einer Kriminalitätsontologie 6.4.1 Ontologie-basierte Informationsextraktion Aus Sicht der Autoren ist die Einbeziehung des Wissens von Ermittlern Voraussetzung für die erfolgreiche und nutzbare Entwicklung automatisierter Lösungen im Rahmen der Textforensik. Ein Ermittler, der Delikte eines bestimmten Bereiches, beispielsweise Drogendelikte, bearbeitet, besitzt Wissen, welches er aktiv bei der Aufklärung eines Falles, i. e. S. für die Suche nach Beweisen, einsetzt:
6
Textforensik
Wissen über die objektive und subjektive Strafbarkeit von Handlungen, Wissen, welche Voraussetzungen (Tatbestandsmerkmale) erfüllt sein müssen, Wissen über regionale sprachliche Besonderheiten, Wissen über delikt- und regionalspezifische Termini.
173
Dieses Wissen bleibt üblicherweise Anwendungen vorenthalten, ist aber gleichzeitig Voraussetzung für die erfolgreiche Suche nach Beweisen. Die Entwicklung einer sogenannten Ontologie für forensische Zwecke ist deshalb Voraussetzung für die Annotation von forensischen Texten und das Stellen von Fragen an ein System in dieser speziellen Domäne. Der Begriff Ontologie wird im Allgemeinen als eine formale und explizite Spezifikation gemeinsamer Konzepte verstanden. Insbesondere werden gemeinsam klassifizierte Begriffe und Symbole bezogen auf eine Syntax und ein Netzwerk von Relationen definiert [10, 15]. Der Begriff Taxonomie, als Teil einer Ontologie, wird für die Klassifikation von Begriffen (Konzepten) in Ontologien und Dokumenten verwendet. Eine Besonderheit forensischer Ontologien ist deren fallbasierte polymorphe Struktur und die Verwendung von Termini aus dem Bereich des Strafverfahrens. Dieser Aspekt muss bei der Definition eines Repräsentationsmodells für eine derartige Ontologie zwingend Berücksichtigung finden, wie in Abschn. 6.4.3 gezeigt werden wird. In Abhängigkeit des Abstraktionsgrades können zwei Typen von Ontologien unterschieden werden. Eine Domänenontologie modelliert umfassend und tiefgründig das Wissen einer meist hochspezialisierten Domäne als Teil der realen Welt. Eine Oberontologie beschreibt allgemeine Objekte, die sich auf einen großen Bereich von Domänenontologien anwenden lassen. Außerdem erzeugen sie einen Glossar grundlegender Begrifflichkeiten und Objektbeschreibungen, die in verschiedenen relevanten Domänen Anwendung finden [10]. Cowie und Wilks [8] beschreiben Informationsextraktion (IE) als einen Prozess zur selektiven Strukturierung und Kombination von Daten, die sich in verschiedenen Texten befinden, explizit erwähnt oder impliziert werden. Eine etwas formalere Beschreibung stellen Russell und Norvig vor. Sie verstehen IE als Sammlung von Wissen durch die Suche nach Vorkommen von Objekten spezifischer Klassen und deren Relationen untereinander in natürlichsprachlichen Texten [25]. Der Prozess der IE kann durch den Einsatz von Ontologien auf verschiedene Weise unterstützt werden. Die Nutzung als Extraktionsontologie ist eine Möglichkeit, von den Vorteilen einer Ontologie zu partizipieren. In diesem Fall wird der Informationsextraktionsprozess durch die Verwendung der Ontologie als eine Art Template geführt. Derartige Templates repräsentieren formales Wissen über grammatikalische Zusammenhängen und werden oft von Extraktionsalgorithmen genutzt [10, 31]. Eine weitere Möglichkeit besteht in der strukturierten Darstellung des Ergebnisses des Informationsextraktionsprozesses. Kombiniert man beide Ansätze, erhält man ein IE-System, welches maximal durch den Einsatz von Ontologien unterstützt wird. Solche Systeme werden ontologiebasierte IE-Systeme (OBIE-Systeme) genannt [31].
174
6.4.2
M. Spranger und D. Labudde
Repräsentation von Wissensmodellen
Die Repräsentation von Ontologien kann mit verschiedenen Modellen von unterschiedlicher Ausdrucksstärke realisiert werden. Taxonomien und Thesauri, welche hier nicht weiter erörtert werden, können als einfache Ontologien unter Verzicht auf bestimmte Konventionen verstanden werden.6 Stattdessen sollen in diesem Abschnitt einige ausdrucksstärkere Modelle beschrieben werden. Die Intention von Concept Maps, wie sie durch Josef Novak an der Cornell University entwickelt wurden [23], ist es, Beziehungen zwischen Konzepten zu repräsentieren. Bezugnehmend darauf ist eine Concept Map eine abstrakte Beschreibung von bestimmten Ideen oder einer spezifischen Wissensdomäne. Sie visualisiert semantische Einheiten (Präpositionen) für eine bestimmte Domäne, wobei semantische Einheiten aus zwei Begriffen (Konzepten), verbunden durch eine benannte Relation, bestehen. Das Benennen einer Relation ermöglicht einen höheren Grad des Verständnisses durch höhere semantische Informationen. Es ist explizit nicht verboten, Kreuzrelationen zwischen verschiedenen Konzepten zu erzeugen [10, 23]. Topic Map ist das ausdrucksstärkste Modell und wohl definiert aufgrund seiner ISO-Standardisierung. Es existieren eine Vielzahl von Implementierungen, z. B. XML-Topic Maps (XTM), welche die grundlegende Konzepte des Standards implementieren, obwohl sie auf einzelne Aspekte desselben verzichten oder diese modifizieren. Der Standard ISO/IEC 13250 beschreibt die Nutzung von Topic Maps für die Bereiche des Informationsaustausches, der Informationsorganisation und -repräsentation. Grundlegend erlauben die strukturellen Informationen, die durch Topic Maps bereitgestellt werden, Relationen zwischen Topics (abstrakte Gegenstände) zu beschreiben und adressierbare Informationsobjekte (Occurrences) anzuhängen. Die Natur aller konstituierenden Teile kann detailliert durch die Verwendung von Eigenschaften (Facets) beschrieben werden. Ein anderer signifikanter Punkt ist, dass die Informationsobjekte einer Topic Map einem Scope zugeordnet werden können (s. Abschn. 6.4.3). Es ist wichtig zu wissen, dass verschiedene Topic Maps strukturelle Informationen bereitstellen können, die sich auf dieselbe Ressource beziehen. Auf diese Weise ermöglicht die Architektur die Kombination von Topic Maps und damit die Kopplung von Informationen aus verschiedenen Bereichen. Aufgrund ihres intrinsischen Charakters können sie als Overlay von Informationsobjekten betrachtet werden. Zusammenfassend kann gesagt werden, dass Topic Maps vielseitige und simultane Sichten auf Informationsobjekte, deren strukturelle Natur prinzipiell unbeschränkt ist, bereitstellen. Deshalb ist es möglich, einen objektorientierten, hierarchischen, sortierten oder unsortierten Ansatz oder jede dieser Kombination zu verwenden. Außerdem ist es möglich, eine prinzipiell unbeschränkte Anzahl an Topic Maps auf einer gegebenen Menge von Informationsressourcen zu überlagern [1].
6
Vertiefende Informationen können bei [10] gefunden werden.
6
Textforensik
175
Tab. 6.2 Elemente des forensischen Topic-Map-Modells (vgl. Abb. 6.3) Element Subject (Topic) Instance (Topic) Descriptor (Topic) Association Association Role Occurrence Topic Name Name Item Facet Facet Value Scope
Beschreibung Abstrakte oder konkrete Entität in der zu analysierenden Domäne Konkrete Manifestation eines Subjekts (roter Kreis) Typifiziert jedes andere syntaktische Element (oranger Kreis); i. e., fügt weitere Details hinzu Eine Relation zwischen zwei Topics (Subject, Instance)(hellblauer Rhomboid) Spezifiziert die Rolle eines Topics in einer Association (blaues Quadrat) Verweist auf die konkrete Manifestation eines Topics in einer Ressource, bezogen auf eine Instance. Der Name der Repräsentation eines Topics (grünes abgerundetes Rechteck) Bezeichnet den Namen eines spezifischen Topics bezogen auf einen Scope (weißes Rechteck innerhalb des Topic Name ) Benennt eine Klasse von Attributen eines Topics und kann verschiedene Facet Values beinhalten Wert eines bestimmten Attributes; kann ein Topic oder eine weitere Facet sein Definiert semantische Layer
6.4.3 Forensisches Ontologiemodell Die Autoren verwenden eine modifizierte Variante des Topic-Map-Standards zur Modellierung einer Ontologie, wobei das erzeugte Modell auf den Inhalten und Gedanken des Standards beruht ohne alle Teile vollständig zu implementieren. Im Allgemeinen wurden die wichtigsten semantischen Elemente berücksichtigt, während die meisten syntaktischen Elemente durch Elemente ersetzt wurden, die den Erfordernissen der modellgetriebenen Softwareentwicklung entsprechen. Insbesondere die Verwendung von Scopes innerhalb der Topic Maps ist ein signifikanter Vorteil zur Modellierung von Multilingualismus und verbessert die Bestimmung von Bedeutungen. Im Bereich der Kriminalwissenschaften und forensischen Linguistik ist Multilingualismus nicht nur auf Mutter- und Fremdsprachen beschränkt, sondern umfasst auch Slang, Dialekte und verschiedene sprachliche Ausdrucksfähigkeiten. Darüber hinaus bieten Scopes eine Möglichkeit das Problem der versteckten Semantik aus Abschn. 6.3 zu lösen, indem eine oder mehrere unterschiedliche Bedeutungen direkt an ein bestimmtes Topic annotiert werden. Die Topic-Map-Elemente, die für die Modellierung von forensischen Ontologien verwendet werden, sind in Tab. 6.2 beschrieben. Abb. 6.3 demonstriert die Anwendung eines Topic-Map-Derivates zur Modellierung einer forensischen Ontologie – die Aufdeckung der Aktivitäten einer Bande, die mit gestohlenen Gegenständen handelt. Der gezeigte Auszug beinhaltet nicht alle Elemente des implementierten Topic-Map-Modells. Die Kernobjekte in diesem Beispielnetzwerk sind durch die Ziffer 1 gekennzeichnet – die Personen Vince, Tom, Finn und Brian sowie der
176
M. Spranger und D. Labudde
Abb. 6.3 Auszug einer Ontologie, die zur Beschreibung von Eigentumsdelikten verwendet wird. Sie demonstriert typische Interaktionen zwischen den verschiedenen Topic-Map-Elementen
Gegenstand „Watch“. Assoziationen spezifiziert durch beschreibende Topics zwischen diesen Objekten sind mit der Ziffer 2 gekennzeichnet. Eine bestimmte Rolle, die durch ein Objekt in einer Assoziation eingenommen wird, ist mit der Ziffer 3 gekennzeichnet. Schaut man sich das Beispiel in Abb. 6.3 genauer an, kann man sich vorstellen, dass das Netzwerk auf folgende Weise entstanden sein könnte: Brian sucht nach einer neuen Uhr, weil seine Alte defekt ist. Er fragt in verschiedenen Läden nach einem Modell, das seine Bedürfnisse erfüllt, bis er einen Verkäufer (Finn) findet, der ihm anbietet, eine entsprechende Uhr mit der nächsten Lieferung zu bekommen. Ein paar Tage später ruft Finn Brian an und teilt ihm mit, dass er eine Uhr für ihn habe. Brian zögert nicht und kauft sie. Nach genauerer Betrachtung zu Hause findet er eine kaum sichtbare Gravur auf der Rückseite der Uhr und zeigt sie einem Freund, einem Polizisten. Einige Tage früher wurde dieser von Vince gerufen, einer Person, die ihr Eigentum, eine Uhr mit eben einer solchen Inschrift, am Strand verloren hatte. Brian und der Polizist gehen gemeinsam zurück zu dem Laden, wo Finn durch den Polizisten mit den Beschwerden verschiedener Kunden konfrontiert wird. Nach kurzer Bedenkzeit beschlagnahmt der Polizist Finns Computer. Die Analyse des konfiszierten Materials liefert den folgenden Ausschnitt eines InstantMessenger-Protokolls:
6
Textforensik
177
Tom: „I bought granny’s gift, which pops demanded.“ Finn: „Alright, bring it over.“ Tom ist der Polizei ebenfalls gut bekannt. Weitere Ermittlungen decken das gesamte Potential dieser Beziehungen auf und komplettieren das Netzwerk. Überdenkt man alle Fakten, kann Finn als Hehler bezeichnet werden, der gestohlene Gegenstände verkauft, die durch Tom beschafft wurden. Dieser hielt Ausschau nach einer Uhr, wie sie von Brian beschrieben wurde, und fand schließlich ein passendes Modell, das einfach zu entwenden war, Vinces Uhr – glücklicher Zufall in diesem gestellten Beispiel zur Demonstration der Kooperation der verschiedenen Elemente der forensischen Topic Map zum Aufdecken eines Hehlernetzwerkes.
6.5
Ansätze der forensischen Textanalyse
In diesem Abschnitt werden verschiedene Strategien im Umgang mit forensischen Texten, unter besonderer Berücksichtigung der Erkenntnisse aus Abschn. 6.3, vorgestellt.
6.5.1
Pipeline zur ausführlichen Analyse
Die ausführliche Analyse von forensischen Texten muss deren besondere Charakteristik berücksichtigen. Sie beinhaltet insbesondere Aufgaben der Informations-/ Ereignisextraktion mit dem Ziel der Instanziierung einer forensischen Ontologie als zentrales Element des durch die Autoren entwickelten Frameworks. Insbesondere die Arbeiten von Wimalasuriya und Dou [31], Embley [12] und Maedche [20] zeigen, dass die Verwendung von Ontologien geeignet ist, die Extraktion semantischer Einheiten und deren Visualisierung zu unterstützen und derartige Prozesse besonders gut zu strukturieren. Der gesamte Prozess ist in drei Teilprozesse untergliedert: 1. Erzeugung der forensischen Ontologie und des Analysekorpus, 2. Grundlegende Textvorverarbeitung und Detektion von sekundären Kontexten, 3. Instanziierung der Ontologie und iterative Detaillierung. Um einerseits die Extraktionsaufgaben zu bestimmen und andererseits fallbasiertes Wissen einzuführen, muss als Erstes die forensische Ontologie in ihrer spezialisierten Form als Topic Map, welche durch die Autoren in einer früheren Arbeit [29] entwickelt wurde, erzeugt werden. Dieser Schritt wird durch die Verwendung bereits existierender Ontologien (ähnliche Domänen) unterstützt. Bei der anschließenden Erzeugung des Analysekorpus müssen insbesondere textuelle Daten von anderen Dateien separiert und der Rohtext extrahiert werden. Das beinhaltet auch die Optical Character Recognition
178
M. Spranger und D. Labudde
Abb. 6.4 Die Werkzeugpipeline zur ausführlichen Textanalyse. Der gesamte Prozess wurde in drei Teilprozesse untergliedert: 1) Erzeugen des Analysekorpus, 2) Textvorverarbeitung, 3) Informationsextraktion
(OCR) für den Fall, dass es sich um digitale Bilder, z. B. Fotokopien handelt. Diese Daten werden in einer Datenbank, gemeinsam mit den Metadaten, gespeichert und zum schnelleren Zugriff indexiert. Im zweiten Schritt werden einige Textverarbeitungsschritte, wie Part-of-Speech-Tagging (POS-Tagging), Spracherkennung sowie spezielle Operationen zur Verarbeitung von strukturierten Inhalten durchgeführt. Insbesondere werden sogenannte ereignisbeschreibende (event-narrative) Dokumente detektiert. Diese Aufgabe wurde durch Huang und Riloff [16] zur Suche nach sogenannten sekundären Kontexten (secondary contexts) eingeführt. Sie definieren diese als Sätze, welche nicht explizit Teil der hauptsächlichen Ereignisbeschreibung sind. Diese sekundären Kontexte können beweiserhebliche Informationen beinhalten oder Hinweise auf den Verbleib der Beute, weiterer Opfer oder Komplizen liefern. Der letzte Schritt innerhalb des Hauptprozesses besteht in der tatsächlichen Informationsextraktion. Hier werden Ereignissätze gesucht, die geeignet sind, zumindest einen Teil der Ontologie zu instantiieren. Bei Bedarf werden diese Informationen gemeinsam mit den Informationen aus den sekundären Kontexten extrahiert. Anschließend, nach initialer Instantiierung der Ontologie, kann das Modell iterativ beispielsweise durch Identifikation forensischer Rollen, wie in Abschn. 6.5.2 beschrieben, detailliert werden. Abb. 6.4 illustriert den gesamten Prozess schematisch.
6
Textforensik
6.5.2
179
Identifikation forensischer Rollen
Die Erkennung von benannten Entitäten (Named Entity Recognition) ist ein gut erforschter Bereich des Text Mining und eine übliche Aufgabe in jeder Informations-/ Extraktionslösung. Die generelle Aufgabe ist, alle Instanzen i 2 I eines jeden Konzeptes c 2 C unter Berücksichtigung ihrer hyperonymen und hyponymen Beziehungen zu identifizieren. Diese Aufgabe kann praktisch unter Verwendung gazetteerbasierter Lösungen [22], mithilfe von überwachten [33] bis hin zu semi-/ unüberwachten [19] Lernmethoden gelöst werden. Trotzdem konnte keine existierende Lösung den Nachweis erbringen, in der Lage zu sein, forensische Rollen korrekt zuzuweisen. Die Zuweisung einer solchen Rolle hängt oft von mehr als einem Dokument und von der Bereitstellung fallbasierten Wissens durch den Kriminalisten ab. Deshalb basiert die durch die Autoren entwickelte Lösung auf einer Ontologie, die als Extraktions- und Visualisierungstemplate fungiert und in der Lage ist, solches Wissen bereitzustellen. Wie bereits festgestellt wurde, kann jedes Topic eine Menge von Facets beinhalten. Dieses Facets werden neben anderen Elementen zur Modellierung von Regeln verwendet, die eine Inferenzmaschine verwenden kann, um auf die passende Rolle einer Entität innerhalb eines Post-Prozesses zu schließen. Auf diese Weise lässt sich der Detaillierungsgrad während der computerbasierten Erkennung von Entitäten erhöhen. Abb. 6.5 zeigt einen Ausschnitt einer fiktiven forensischen Topic Map, die durch einen Kriminalisten erzeugt worden sein könnte. Hier wurde eine forensische Rolle accomplice (Mittäter) modelliert. Ein Mittäter wurde in Anlehnung an § 25 StGB als eine Person, die folgende Regeln erfüllt, beschrieben: Die Person hat genau dann ein gemeinsames Tatinteresse, wenn eine Assoziation zu einer Instanz eines Topics besteht, welchem die forensische Rolle booty (Beute) zugewiesen wurde. Die Person hat genau dann einen Tatbeitrag geleistet, wenn eine Assoziation zu einer Instanz des Topics car (Fahrzeug) besteht, welchem die Rolle eines Fluchtmittels zugewiesen wurde. Die Anzahl der Regeln, die erfüllt sein müssen, hängt vom Gewicht einer Regel ab, welches als Indikator für die Bedeutung einer Regel fungiert. Die konkrete Instanz definiert dieselben Facets mit binären Werten in Abhängigkeit des Matchingverhaltens einer jeden Regel.
6.5.3 Lösungsansatz für das Problem der versteckten Semantik Wie in Abschn. 6.3 bereits erwähnt, ist das Erkennen versteckter Semantik eine der schwersten Aufgaben währen der forensischen Textanalyse. Deshalb kann dieses Problem nur unter Einbeziehung des gesamten Kontextes und des Wissens von Experten gelöst werden. Ein System, das in der Lage sein soll, dieses Problem automatisch zu erkennen oder sogar zu lösen, muss die komplette Analysepipeline, wie in Abschn. 6.5.1
180
M. Spranger und D. Labudde
Abb. 6.5 Graduelles Detaillieren benannter Entitäten. Die Entität Paul als Instanz (gelber Kreis) des abstrakten Topics (roter Kreis) person kann graduell ihrer konkreten Manifestation accomplice zugewiesen werden. Die Zuweisung erfolgt durch iterativen Vergleich ihrer Facets, welche in Form von Regeln implementiert sind
beschrieben, durchlaufen haben. Weil sowohl Wissen aus automatisch extrahierten Informationen als auch eingeführtes Expertenwissen durch eine forensische Topic Map (vgl. Abschn. 6.4.3) repräsentiert wird, kann versucht werden, versteckte Semantik durch Ausnutzung ihrer speziellen Eigenschaften zu erkennen. Maicher stellte einen Ansatz zum aufeinander Abbilden unterschiedlicher Topics mit derselben Bedeutung, modelliert durch unterschiedliche Autoren in einer verteilten Umgebung, vor [21]. Dieser Gedanke führt zu einem ähnlichen Ansatz des hier diskutierten Problems. Jede Instanz, die ein System finden könnte, ist klar definiert durch die Position des zugehörigen Topics innerhalb der Taxonomie, ihre Facets und die Gesamtheit an instantiierten Assoziationen, in denen sie eine hochspezifische Rolle spielt. Wir nehmen an, dass der semantische Kontext etwa konstant bleibt, wenn ein Text in ein stenografischen Code überführt wird, da sich nur die verwendeten Wörter ändern (Abb. 6.6a). Formal ausgedrückt, sei jede Instance i 2 I wohl definiert durch ein Tupel T; FT ; RA ; AT , wobei T die zugehörige Taxonomie des zugehörigen Topics und FT die Menge an Facets jedes dieser Topics, welche die Instance von ähnlichen anderen unterscheiden, bezeichnet. Ferner ist RA die Menge an Rollen, die ein Topic in der Menge der Assoziationen AT einnimmt. Dieses Tupel konstituiert den Kontext C.i/ einer spezifischen Instance i. Jeder Kontext muss mit dem anderer Topics, unter Verwendung einer Distanzfunktion dist, verglichen werden, um den Grad der Ähn-
6
Textforensik a
181 b
Abb. 6.6 Erkennung versteckter Semantik: a Topiczentrierter Ansatz – Angenommen die zwei Instances Finn and Dickie bezeichnen dieselbe Entität. Jede von diesen definiert einen Kontext, der Facets, Associations und Roles beinhaltet und vom zugehörigen Topic abgeleitet ist. Der Grad der Ähnlichkeit dieser zwei Kontexte bestimmt auch die Ähnlichkeit der Instances; b Assoziationszentrierter Ansatz – Angenommen die zwei Instances Finn and Dickie bezeichnen dieselbe Entität. Dann kann die Ähnlichkeit der beiden Instances durch ein paarweises Alignment aller möglichen Sätze und Berechnung einer semantischen Distanz bestimmt werden. Weil die Associations own und sell sich in einer Kausalkette befinden steigt die Wahrscheinlichkeit der Synonymität
lichkeit zu bestimmen. Die Definition eines Schwellwertes unterstützt die Entscheidung, ob zwei Instances möglicherweise die gleiche Entität bezeichnen oder nicht (vgl. Gl. 6.1 und 6.2): min .C.i// D min fdist.C.i/; C.j //g; j 2I ni 8