Digitale Multimediaforensik

Digitale Multimediaforensik ist ein Sammelbegriff für forensische Techniken, die eine systematische Überprüfung der Authentizität digitaler Mediendaten zum Ziel haben. Die grundlegenden Fragestellungen sind dabei die Bestimmung des Ursprungs digitaler Mediendaten sowie die Erkennung von Manipulationen an solchen. Verfahren der digitalen Multimediaforensik gewinnen ihre Indizien im Allgemeinen ex post aus den Mediendaten an sich und benötigen keinen Zugriff auf ein mögliches Original. Anwendung finden solche „blinden“ Verfahren u. a. in der Kriminalistik.

Motivation und Einordnung

Digitale Bild-, Audio- oder Videoaufnahmen finden dank erschwinglicher Eingabegeräte eine weite Verbreitung in praktisch allen Anwendungsgebieten. Deren Authentizität ist somit von großer Bedeutung, insbesondere dann, wenn sie eine Beweisfunktion einnehmen (bspw. vor Gericht oder in den Massenmedien). Die digitale Multimediaforensik widmet sich der Überprüfung der Authentizität digitaler Mediendaten. Sie kann als Teildisziplin der digitalen Forensik betrachtet werden und beschäftigt sich als solche mit der Identifikation und Analyse digitaler Spuren.

Anders als bei kryptografischen Ansätzen oder digitalen Wasserzeichen ist für eine Überprüfung von Mediendaten mit Verfahren der Multimediaforensik kein vorheriges „aktives“ Signieren des Mediums notwendig. Vielmehr werden die Mediendaten an sich mit statistischen Methoden anhand geeigneter Merkmale hinsichtlich ihrer Authentizität untersucht. Digitale Mediendaten werden dabei als mit einem Sensor digitalisierte Abbilder der Realität verstanden, was deren forensische Analyse zu einer empirischen Wissenschaft macht.

Der Vorteil multimediaforensicher Verfahren liegt in der hohen Praktikabilität. Da kein Zugriff auf das Original vorausgesetzt wird, können Mediendaten prinzipiell unabhängig von ihrer Vorgeschichte untersucht werden. Ein Nachteil ist dagegen das Fehlen von analytisch herleitbaren Aussagen bezüglich der Zuverlässigkeit von Verfahren der Multimediaforensik.

Zielsetzung

Verfahren der Multimediaforensik haben zum Ziel, Rückschlüsse auf das zur Digitalisierung verwendete Eingabegerät zu ziehen sowie Artefakte möglicher Manipulationen aufzudecken. Im Allgemeinen greifen sie dafür auf zwei Arten von digitalen Spuren zurück:

  • Charakteristiken des Eingabegerätes, die während des Digitalisierungsprozesses in Mediendaten unweigerlich hinterlassen werden. Fertigungsbedingt unterscheiden sich einzelne Eingabegeräte systematisch darin, wie sie die Realität in ein digitales Abbild wandeln. Unterschiede können beispielsweise aus verschiedenen Sensoraufbauten oder optischen und akustischen Linsensystemen resultieren. Anhand geeigneter Merkmale können derartige Charakteristiken in einem Medium gemessen und für forensische Analysen ausgewertet werden.
  • Manipulationsartefakte, wie sie durch die Bearbeitung digitaler Mediendaten entstehen. Ebenso, wie der Digitalisierungsprozess charakteristische Spuren im Medium hinterlässt, können auch bestimmte Bearbeitungsoperationen (bspw. das Einfügen oder Entfernen von Inhalten) zu messbaren Artefakten führen (z. B. Knacken oder Phasenwechsel bei Schnitten in Audiomaterial).

Hinweise auf Herkunft und mögliche Manipulationen können darüber hinaus auch Metadaten geben. Diese haben jedoch den Nachteil leicht manipulierbar (und entfernbar) zu sein.

Bestimmung des Ursprungs

Unter der Annahme, dass verschiedene Eingabegeräte systematische Unterschiede im Digitalisierungsprozess aufweisen, können mittels geeigneter Merkmale Rückschlüsse auf das zur Digitalisierung verwendete Gerät gezogen werden. Je nach Ausprägung und Eignung der Identifikationsmerkmale ist eine Bestimmung von Geräteklasse (bspw. Scanner vs. Digitalkamera), des Gerätemodells oder des spezifischen Geräts möglich.

Erkennung von Manipulationen

Charakteristiken des Eingabegerätes eignen sich neben der Ursprungsbestimmung auch zur Erkennung von Manipulationen an Mediendaten. Hierbei wird angenommen, dass die zu erwartende Charakteristik konsistent im gesamten Medium auftritt. Eine Manipulation der Mediendaten kann zu nachweisbaren Inkonsistenzen oder dem Fehlen charakteristischer Merkmale führen.

Neben inkonsistenten oder fehlenden Gerätecharakteristiken kann auch gezielt das Vorhandensein von Spuren der Manipulation ausgenutzt werden. Die Annahme ist dabei, dass die Bearbeitungsoperation die Mediendaten derart verändern, dass sie Merkmale aufweisen, die in einem natürlichen Medium nicht oder nur sehr unwahrscheinlich auftreten würden. Ein typisches Beispiel sind (nahezu) identische Bildregionen nach einer copy & paste Operation.[1]

Spezialfall: Erkennung von versteckten Daten (Steganalyse)

Auch das Erkennen von Steganographie, also von in Mediendaten versteckten geheimen Botschaften, kann als eine Art der Manipulationserkennung aufgefasst werden. Hierbei unterscheidet sich zwar der Zweck der Manipulation. Es wird nicht primär die Semantik des Medieninhalts verändert, sondern das Medium dient lediglich als Trägermedium für versteckte geheime Botschaften und wird dabei derart geändert („manipuliert“), dass ein Empfänger, nur mit Kenntnis eines geheimen Schlüssels, die Botschaft erkennen und extrahieren kann. Ziel der Steganalyse ist es, die Existenz von versteckten Daten ohne Kenntnis des geheimen Schlüssels nachzuweisen. Dies geschieht durch statistische Analyse der Eigenschaften von digitalen Mediendaten unter Ausnutzung ähnlicher Methoden und Phänomene wie bei der Erkennung von Spuren einer Manipulation.

Entwicklung

Die digitale Multimediaforensik ist ein vergleichbar junges Forschungsgebiet. Erste Arbeiten zur Identifikation von Faxgeräten[2] oder Digitalkameras[3] gehen zwar schon auf die späten 1990er Jahre zurück, der überwiegende Teil der heute relevanten Ansätze entstand jedoch erst nach 2004[4][5]. Der Hauptfokus liegt dabei vor allem auf der digitalen Bildforensik, die sich mit der Authentizität digitaler Bilddaten auseinandersetzt.

Literatur

Einzelnachweise

  1. Alin C. Popescu, Hany Farid: Exposing Digital Forgeries by Detecting Duplicated Image Regions. August 2004 ((PDF, 5,7 MB) (Memento vom 29. August 2017 im Internet Archive)).
  2. Volker Heerich: Die Identifikation von Faxgeräten. In: Kriminaltechnik. Band 52, März 1998, ISSN 0023-4699, S. 214–217.
  3. Kenji Kurosawa, Kenro Kuroki, Naoki Saitoh: CCD fingerprint method - identification of a video camera from videotaped images. In: ICIP 1999. Oktober 1999, S. 537–540, doi:10.1109/ICIP.1999.817172.
  4. Andrew Lewis: Multimedia forensics bibliography. Abgerufen am 4. August 2009.Vorlage:Cite web/temporär
  5. Hany Farid: Digital Forensic Database. Abgerufen am 12. Oktober 2009.Vorlage:Cite web/temporär