/
Автор: Labudde D. Spranger M.
Теги: informationstechnologie informationssicherheit forensik digitale geräte digitale informationen
ISBN: 978-3-662-53801-2
Год: 2017
Текст
Dirk Labudde
Michael Spranger Hrsg.
Forensik in der
digitalen Welt
Moderne Methoden der forensischen
Fallarbeit in der digitalen
und digitalisierten realen Welt
Forensik in der digitalen Welt
Dirk Labudde Michael Spranger
(Hrsg.)
Forensik in der digitalen
Welt
Moderne Methoden der forensischen
Fallarbeit in der digitalen
und digitalisierten realen Welt
Herausgeber
Dirk Labudde
University of Applied Sciences Mittweida
Mittweida, Deutschland
ISBN 978-3-662-53800-5
DOI 10.1007/978-3-662-53801-2
Michael Spranger
University of Applied Sciences Mittweida
Mittweida, Deutschland
ISBN 978-3-662-53801-2 (eBook)
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Springer Spektrum
© Springer-Verlag GmbH Deutschland 2017
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich
vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere
für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt
auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichenund Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem
Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder
die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler
oder Äußerungen.
Planung: Sarah Koch
Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier.
Springer Spektrum ist Teil von Springer Nature
Die eingetragene Gesellschaft ist Springer-Verlag GmbH Germany
Die Anschrift der Gesellschaft ist: Heidelberger Platz 3, 14197 Berlin, Germany
Im allgemeinen halte man aber an dem Satze fest,
daß Egoismus, Faulheit und Eitelkeit die einzigen
Triebfedern im Menschen sind, auf die man sich
stets und unbedingt verlassen kann.
Dr. jur. Hanns Gross (1847–1915)
Geleitwort
Die Erfahrungen der vergangenen Jahre bei der Bekämpfung des Kriminalitätsphänomens
Cybercrime haben gezeigt, dass der zeitgemäßen Forschung und Entwicklung, der Lehre
und praxisbezogenen Anwendung sowie der Aus- und Fortbildung im Bereich der polizeilichen Informationssicherheit auf hohem Niveau auch in Zukunft eine herausragende
Bedeutung zukommt. Moderne Technologien stellen Ermittlungsbehörden und Gesetzgeber vor immer neue Herausforderungen. Dieselben Technologien, die Straftäter bei der
Begehung von Straftaten nutzen, müssen Behörden zur Verfügung stehen und von diesen
beherrscht werden können, um auf Augenhöhe Kriminalität zu bekämpfen. Die Cyberkriminalität dabei als singuläres Problem neben anderen Kriminalitätsformen zu betrachten,
ist nicht zielführend. Es bedarf vielmehr einer ganzheitlichen Betrachtung, welche die
Cyberkriminalität als eingebettetes Phänomen der realen Welt begreift. Die richtungsweisende Entwicklung neuer Methoden zur Kriminalitätsbekämpfung kann deshalb nur in
enger Zusammenarbeit von Forschungsinstitutionen und Ermittlungsbehörden erfolgreich
sein.
Dresden, Juli 2016
Klaus Fleischmann
Generalstaatsanwalt
Freistaat Sachsen
VII
Geleitwort
Viele der klassischen Kriminalitätsfelder verlagern sich teilweise oder auch ganz ins Internet, viele Straftaten werden mit dem „Tatmittel Internet“ begangen. Straftäter aller
Couleur nutzen zur Begehung ihrer Taten die neuesten technischen Möglichkeiten, die
weltweite elektronische Vernetzung sowie verschiedenste Mittel und Methoden der AntiForensik – das alles länderübergreifend und arbeitsteilig. In diesen Deliktfeldern ist eine
kontinuierlich steigende Kriminalitätsentwicklung zu bilanzieren, ganz zu schweigen von
der sehr hohen Dunkelziffer. Dem gegenüber stehen die Mitarbeiterinnen und Mitarbeiter
der Strafverfolgungsbehörden, die u. a. mit den Mitteln und Methoden der Computerforensik Beweise sichern und bewerten, kausale Zusammenhänge zwischen Tätern und
Straftat erkennen und schlussendlich solche Straftaten aufklären müssen. Eine der großen
Herausforderungen ist bereits die reine Quantität der zu bearbeitenden Fälle und somit
der beschlagnahmten Asservate, ganz abgesehen von der zunehmenden Heterogenität der
im Zusammenhang stehenden Datenformate. Cloud-Forensik, Netzwerk-Forensik und Forensik der sozialen Netzwerke sind weitere große, bis dato in ihrem Umfang noch gar
nicht absehbare und zusätzliche Baustellen. Mit den bisherigen Mitteln, aber insbesondere auch den bisher genutzten Methoden der klassischen Datenträgerforensik, ist dem
nicht zu begegnen, neue Mittel und Methoden – manchmal auch außerhalb der klassischen Denkweise – sind gefragt. Und hier setzt dieses Buch an: Die Autoren, alle aus der
Wissenschaft stammend, haben durch ihre tägliche Zusammenarbeit mit verschiedensten
Strafverfolgungsbehörden eine „kriminalpolizeiliche Denkweise“ entwickeln können, die
sie in ihre originäre Forschungsarbeit auf dem Gebiet der Forensik einfließen lassen. „Bücher über Datenträgerforensik gibt es genügend.“ – könnte man meinen. Dass dies nicht
stimmt, beweist dieses Buch und macht neugierig auf eine wissenschaftlich untersetzte
kriminalpolizeiliche Denkweise im Bereich der modernen Forensik.
Berlin, September 2016
Ronald Schulze
Geschäftsführer IT-Expertenkreis
Bund Deutscher Kriminalbeamter (BDK)
IX
Vorwort
Wir leben in einer Welt, deren Technologien geprägt sind vom schnellen Wandel und
kurzen Lebenszyklen. Eine Innovation jagt die nächste und heute gelerntes ist morgen bereits veraltet. Genau dieser Umstand spielt Straftätern in die Hände. Sie nutzen kurzfristig
neue Technologien zum Planen, Verabreden und Begehen von Straftaten. Dabei sind sie
den Strafverfolgungsbehörden immer einen Schritt voraus. Auf der anderen Seite bieten
eben diese Technologien dem Forensiker neue Quellen und Methoden der Informationsgewinnung sowie neue Möglichkeiten Hintergründe aufzuklären und Zusammenhänge
aufzudecken. Der steigende Grad der Digitalisierung zwingt Ermittlungsbehörden umzudenken, Wege zu finden, in der virtuellen und realen Welt zu ermitteln. Da die virtuelle
Welt, der Cyberspace, nicht losgelöst von der realen Welt existiert, ist es notwendig, die
Informationen aus den Daten beider Welten zu verbinden, um ein vollständiges Bild einer Straftat zu erhalten. Die einschlägige Fachliteratur beschäftigt sich aber zumeist mit
Fragen der Auswertung klassischer oder digitaler Spuren. Diese Lücke soll mit dem vorliegenden Buch geschlossen werden.
Für wen ist dieses Buch
Es soll Ermittlungspersonen zeigen, welche Möglichkeiten der digitalen und digitalisierten Untersuchung von Straftaten aktuell existieren, welche Tendenzen sich in der Forschung abzeichnen und welchen rechtlichen Fragestellungen mit den aktuellen Entwicklungen einhergehen. Es ist ein Buch für forensische Praktiker, die ihren Blick nach vorn
richten müssen, um vor allem Fälle mit hoher gesellschaftlicher Brisanz schnell und mit
allen technologisch zur Verfügung stehenden Mitteln untersuchen zu können. Auf der
anderen Seite bietet es einen breiten Einstieg in Themenkomplexe der digitalen und computergestützten Forensik für Wissenschaftler, die bei der Weiterentwicklung dieser hochkomplexen Thematiken mitwirken wollen.
Über die Herausgeber
Die Herausgeber und ein Teil der Autoren beschäftigen sich als Leiter bzw. forschende
Mitglieder der Arbeitsgruppe FoSIL (Forensic Sciences Investigation Lab) an der Hochschule Mittweida, aus der Sicht der Informationstechnologien und der digitalen Forensik,
mit aktuellen Themen aus der sicherheitsrelevanten Forschung. Der Schwerpunkt liegt
XI
XII
Vorwort
dabei auf der Identifikation von, aus forensischer- bzw. Sicherheitssicht relevanten, innovativen Technologien und deren Verbindung mit agilem Wissensmanagement zu Werkzeugen für die forensische Praxis bzw. den Einsatz beim interdisziplinären Management
im Krisen- und Katastropheneinsatz. Einzellösungen werden darüber hinaus und im Sinne eines Resilienz-Engineering-Ansatzes zu einer Basis für eine grundlegende, technische
Infrastruktur für prozessbasiertes-und IKT-gestütztes Wissensmanagement zur Krisenprävention und -bewältigung weiterentwickelt. Getrieben von aktuellen Forschungsergebnissen werden im Studiengang „Allgemeine und digitale Forensik“ Methodenkompetenzen
in der forensischen Fallarbeit vermittelt. Das Studium ist angelehnt und in seinen Ausprägungen orientiert am Locard’schen Prinzip. Absolventen sind in der Lage in der Wirtschaft
und in Strafverfolgungsbehörden als Experten die Entwicklung innovativer Technologien
zur Kriminalitätsbekämpfung voranzutreiben.
Aufbau des Buches
Nach einer Einführung in die Welt der modernen Forensik und der daraus resultierenden
Verbindung zwischen virtueller und realer Welt in Kap. 1 richten wir in den Kap. 2–4
unseren Blick in Richtung der Anwendbarkeit moderner Technologien zur Untersuchung
klassischer Spuren und der Rekonstruktion von Tatorten und Tatabläufen. Anschließend
betrachten wir in den Kap. 5–8 das weite Feld der digitalen Spuren von ihrer Sicherung bis
hin zur inhaltlichen Analyse ausgewählter Spurenarten. Das Zusammenführen von digitalen und digitalisierten Spuren steigert die Heterogenität des Untersuchungsmaterials und
damit die Komplexität der Auswertung enorm. Kap. 9 zeigt aktuelle mathematische Ansätze zum Umgang mit dieser Problematik. Den Abschluss bildet Kap. 10, eine Darstellung
der Herausforderungen und aktuellen rechtlichen Lage im Spannungsfeld der Forensik im
digitalen Zeitalter.
Mittweida,
Juli 2016
Dirk Labudde
Michael Spranger
Danksagung
An dieser Stelle möchten wir uns ganz herzlich bei allen Autoren und Autorinnen bedanken, die durch ihre unermüdliche Forschungsarbeit die Forensik vorangetrieben und mit
ihrem Engagement die inhaltliche Ausgestaltung dieses Buches unterstützt haben.
Weiterhin gilt unser besonderer Dank der Staatsanwaltschaft Chemnitz für die Bereitstellung von forensischem Untersuchungsmaterial zum Zweck der forensischen Forschung
sowie dem Bund Deutscher Kriminalbeamter (BDK) für die Unterstützung beim Aufbau
eines deutschen forensischen Kooperationsnetzwerkes.
XIII
Abkürzungsverzeichnis
m. w. N.
StPO
StGB
BVerfG
BVerfGE
TK
TKG
TKÜ
TKÜV
GG
BGH
EMRK
BKAG
ATDG
UrhG
GVG
IMEI
IMSI
IPBPR
IRG
CSI
FAR
FRR
AFIS
CMOS
CCD
mit weiteren Nachweisen
Strafprozessordnung
Strafgesetzbuch
Bundesverfassungsgericht
Entscheidungen des Bundesverfassungsgerichts
Telekommunikation
Telekommunikationsgesetz
Telekommunikationsüberwachung
Telekommunikationsüberwachungsverordnung
Grundgesetz
Bundesgerichtshof
Europäische Menschenrechtskonvention
Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und
der Länder in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz)
Gesetz zur Errichtung einer standardisierten zentralen Antiterrordatei von Polizeibehörden und Nachrichtendiensten von Bund und Ländern (Antiterrordateigesetz)
Urheberrechtsgesetz
Gerichtsverfassungsgesetz
International Mobile Station Equipment Identity
International Mobile Subscriber Identity
Internationaler Pakt über bürgerliche und politische Rechte
Gesetz über internationale Rechtshilfe
Crime Scene Investigation
False Acceptance Rate
False Rejection Rate
Automatisches Fingerabdruck-Identifizierungssystem
complementary metal-oxide-semiconductor
charge-coupled device
XV
XVI
FMR
FNMR
OBIE
Abkürzungsverzeichnis
false matching rate
false non-matching rate
ontology-based information extraction
Inhaltsverzeichnis
1
2
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dirk Labudde, Frank Czerner und Michael Spranger
1.1 Forensik – ein aktueller Ein- und Rückblick und der CSI-Effekt . . . .
1.2 Forensik im System der Wissenschaften . . . . . . . . . . . . . . . . . . .
1.3 Tatort in der modernen Forensik . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1 Der moderne Tatortbegriff . . . . . . . . . . . . . . . . . . . . . .
1.3.2 Moderne Formen der Spurensicherung . . . . . . . . . . . . . .
1.3.3 Zusammenwachsen von virtueller und realer Welt . . . . . . .
1.4 Aufgaben und Ziele der forensischen Wissenschaft . . . . . . . . . . . .
1.5 Spuren als Beweismittel und deren Beweiswürdigung im Strafprozess
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Biometrie und die Analyse digitalisierter Spuren . . . . . . . . . . . . . .
Dirk Labudde
2.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1 Die Identifikation – Wer bin ich? . . . . . . . . . . . . . . . .
2.1.2 Die Verifikation – Bin ich der, für den ich mich ausgebe? .
2.2 Biometrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1 Historischer Streifzug durch die Biometrie in der Forensik
2.2.2 Biometrie und das Locard’sche Prinzip . . . . . . . . . . . .
2.3 Biometrische Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4 Ausgewählte Analyseverfahren . . . . . . . . . . . . . . . . . . . . . .
2.4.1 Der Fuß als biometrisches Merkmal im Prozess
der Digitalisierung . . . . . . . . . . . . . . . . . . . . . . . . .
2.4.2 Iriserkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5 Fingerabdruckanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5.1 Der Fingerabdruck als biometrisches Merkmal . . . . . . .
2.5.2 Technologien zur Aufnahme des Fingerabdrucks . . . . . .
2.5.3 Matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.6 Ausgewählte Forensische Datenbanken . . . . . . . . . . . . . . . . .
2.6.1 DNA-Analysedatei (DAD) . . . . . . . . . . . . . . . . . . . .
.
1
.
.
.
.
.
.
.
.
.
1
5
7
7
12
14
16
20
22
...
25
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
25
26
26
26
27
28
30
33
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
36
39
39
40
49
52
52
XVII
XVIII
Inhaltsverzeichnis
2.6.2
2.6.3
2.6.4
2.6.5
2.6.6
2.6.7
2.6.8
Literatur . .
3
4
Violent Crime Linkage Analysis System (ViCLAS) . . . . .
Integrated Ballistic Identification System (IBIS) . . . . . . . .
Paint Data Query (PDQ) . . . . . . . . . . . . . . . . . . . . . .
SoleMate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TreadMate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Automatisches Fingerabdruckidentifizierungssystem (AFIS)
Eurodac-System . . . . . . . . . . . . . . . . . . . . . . . . . . .
.......................................
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion . . . . . .
Sven Becker und Dirk Labudde
3.1 Computergestützte forensische 3D-Gesichtsweichteilrekonstruktion . . .
3.1.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2 Historische Entwicklung . . . . . . . . . . . . . . . . . . . . . . . .
3.1.3 Voraussetzungen, Faktensammlung und Recherchen . . . . . . .
3.1.4 Klassische Methoden der Gesichtsweichteilrekonstruktion . . .
3.1.5 Computergestützte Methode der Gesichtsweichteilrekonstruktion mittels Open-Source-Software . . . . . . . . . . . . . . . . . . .
3.2 Studie am Beispiel eines Schädelfundes . . . . . . . . . . . . . . . . . . . .
3.2.1 Hintergründe zum ausgewählten Fall . . . . . . . . . . . . . . . . .
3.2.2 Prozessüberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.3 Digitalisierung des Schädels . . . . . . . . . . . . . . . . . . . . . .
3.2.4 Punktwolkenerzeugung und Oberflächenrekonstruktion
mittels VisualSfM und CMPMVS . . . . . . . . . . . . . . . . . .
3.2.5 Modellnachbearbeitung und Editierung mittels MeshLab . . . .
3.2.6 Positionierung anatomischer Weichteilmarker
und Rekonstruktion ausgewählter Gesichtsmerkmale . . . . . . .
3.3 Schlussfolgerung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . .
3.4 Computergestützte Rekonstruktion von Tatorten
und Großschadensereignissen . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.2 Studie einer Tatortrekonstruktion an einem historischen Mordfall
3.4.3 Unterstützung der Rekonstruktion durch Einsatz moderner
unbemannter Flugobjekte . . . . . . . . . . . . . . . . . . . . . . . .
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNA-Phänotypisierung . . . . . . . . . . . . . . . . . . . . . . . . . .
Anne-Marie Pflugbeil, Karlheinz Thiele und Dirk Labudde
4.1 DNA-Analytik im forensischen Alltag . . . . . . . . . . . . . .
4.2 Von der Spur zum DNA-Profil . . . . . . . . . . . . . . . . . . .
4.2.1 Workflow . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2.2 DNA-Marker in der Forensischen Molekulargenetik
52
53
53
54
54
54
55
55
59
59
59
62
62
65
66
69
69
70
71
71
74
74
78
79
79
80
81
86
.......
89
.
.
.
.
89
90
90
92
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Inhaltsverzeichnis
4.3
Phänotypisierung – DNA als biometrisches Merkmal
4.3.1 Phänotyp . . . . . . . . . . . . . . . . . . . . . .
4.3.2 Phänotypisierungssysteme . . . . . . . . . . .
4.4 Relevante Datenbanken . . . . . . . . . . . . . . . . . .
4.5 Rechtliche Aspekte . . . . . . . . . . . . . . . . . . . . .
4.6 Anwendung in der Gesichtsweichteilrekonstruktion .
4.7 Zusammenfassung und Ausblick . . . . . . . . . . . .
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
6
XIX
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren . . .
Dirk Pawlaszczyk
5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Tatort, Digitale Spuren und Datenquellen . . . . . . . . . . . . .
5.3 Sicherung digitaler Spuren . . . . . . . . . . . . . . . . . . . . . .
5.3.1 Live-Response-Akquise . . . . . . . . . . . . . . . . . . .
5.3.2 Post-mortem-Akquise . . . . . . . . . . . . . . . . . . . .
5.3.3 Datenrekonstruktion mittels Carving . . . . . . . . . . .
5.3.4 Kategorisierung und Filterung der Datenartefakte . . .
5.4 Verfolgung digitaler Spuren im Netz . . . . . . . . . . . . . . . .
5.4.1 Analyse und Rekonstruktion des Browsercaches . . .
5.4.2 Tatort Cloud . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.3 Der Messengerdienst WhatsApp . . . . . . . . . . . . .
5.4.4 Open Source Intelligence: Tatort soziale Netzwerke .
5.4.5 Verfolgung von Zahlungsströmen im Bitcoinnetzwerk
5.5 Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . .
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
95
95
96
101
102
103
104
106
. . . . . . 113
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Textforensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Michael Spranger und Dirk Labudde
6.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Analyse unstrukturierter digitaler Daten . . . . . . . . . . . . . . . .
6.3 Charakteristik forensischer Texte . . . . . . . . . . . . . . . . . . . .
6.4 Entwicklung einer Kriminalitätsontologie . . . . . . . . . . . . . . .
6.4.1 Ontologie-basierte Informationsextraktion . . . . . . . . .
6.4.2 Repräsentation von Wissensmodellen . . . . . . . . . . . .
6.4.3 Forensisches Ontologiemodell . . . . . . . . . . . . . . . . .
6.5 Ansätze der forensischen Textanalyse . . . . . . . . . . . . . . . . .
6.5.1 Pipeline zur ausführlichen Analyse . . . . . . . . . . . . . .
6.5.2 Identifikation forensischer Rollen . . . . . . . . . . . . . . .
6.5.3 Lösungsansatz für das Problem der versteckten Semantik
6.6 Kategorisierung forensischer Texte . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
113
114
118
119
125
137
140
142
143
147
150
153
156
164
165
. . . . 167
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
167
170
172
172
172
174
175
177
177
179
179
182
XX
Inhaltsverzeichnis
6.7
7
8
Forensische Kurznachrichtenanalyse . . . . . . . . . . .
6.7.1 Einleitung . . . . . . . . . . . . . . . . . . . . . .
6.7.2 Charakteristik inkriminierter Kurznachrichten
6.7.3 Eine neue Methode zur Klassifikation
forensischer Kurznachrichten . . . . . . . . . .
6.7.4 Detektion zusammenhängender Konversation
6.7.5 Bewertung von Konversationen . . . . . . . . .
6.7.6 Erzeugung eines Wörterbuches . . . . . . . . .
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . 186
. . . . . . . . . . . 186
. . . . . . . . . . . 187
.
.
.
.
.
Malware Forensics . . . . . . . . . . . . . . . . .
Christian Hummert
7.1 Einleitung . . . . . . . . . . . . . . . . . . .
7.2 Charakteristik – Einteilung von Malware
7.2.1 Verbreitung und Wirkung . . . . .
7.2.2 Innere Systematik . . . . . . . . .
7.3 Forensische Untersuchung von Malware .
7.3.1 Belauschen von Malware . . . . .
7.3.2 Inhaltliche Analyse . . . . . . . .
7.4 Malware Antiforensics . . . . . . . . . . . .
7.4.1 Kompression von Executables . .
7.4.2 Verschlüsselung von Executables
7.4.3 Obfuskation . . . . . . . . . . . . .
7.4.4 Anti-Debugging Techniken . . . .
7.5 Malware Anatomie . . . . . . . . . . . . . .
Literatur . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
188
190
193
195
196
. . . . . . . . . . . . . . . . . . . 199
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
199
201
201
203
203
203
205
206
207
207
208
209
210
212
Audioforensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hartmut Luge
8.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2 Überblick zu den Teilgebieten der akustischen Forensik . . . . . . . . . .
8.2.1 Phonetische Stimmerkennung und Stimmenvergleich
(Voice Identification) . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2.2 Nebengeräusche und Geräuscherkennung (Sound Identification)
8.2.3 Geräuschsynthese und Beurteilung (Audibility Analysis) . . . .
8.2.4 Hör- und Sprachverständlichkeitsverbesserung und phonetische
Textanalyse (Intelligibility Enhancement) . . . . . . . . . . . . . .
8.2.5 Manipulations- und Echtheitsanalyse (Authenticity Analysis) .
8.2.6 Zeit-Ereignis-Analyse (Event Sequence Analysis) . . . . . . . .
8.3 Formate und Verfahren der technischen Audioforensik . . . . . . . . . . .
8.3.1 Audioformate und Übertragungskanal . . . . . . . . . . . . . . . .
8.3.2 Manipulation und Echtheit von Audioaufzeichnungen . . . . . .
215
215
216
216
217
217
217
218
218
219
219
222
Inhaltsverzeichnis
XXI
8.3.3 Formantanalyse und Spracherkennung . . . . . . . . . . . . . . . . 225
8.3.4 Sprachverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . 231
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
9
Methoden des maschinellen Lernens und der Computational Intelligence
zur Auswertung heterogener Daten in der digitalen Forensik . . . . . . . . . 239
Tina Geweniger, Marika Kaden und Thomas Villmann
9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
9.2 Datenstrukturen und Datenähnlichkeit . . . . . . . . . . . . . . . . . . . . . 240
9.2.1 Daten und Datenstrukturen in der Forensik . . . . . . . . . . . . . 240
9.2.2 Datenähnlichkeit – mathematische Beschreibung . . . . . . . . . 241
9.3 Aufgabenstellungen in der Datenanalyse . . . . . . . . . . . . . . . . . . . . 243
9.4 Prototypbasierte Methoden der CI zum Clustern und Klassifizieren . . . 244
9.4.1 Prototypbasierte Clusteralgorithmen . . . . . . . . . . . . . . . . . 245
9.4.2 Prototypbasierte Klassifikation – Lernende Vektorquantisierer . 255
9.4.3 Andere Verfahren zum Clustern und Klassifizieren –
Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme
und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Frank Czerner
10.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.2 Daten und Dateien als Gegenstände einer Durchsuchung
und Beschlagnahme? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.3 Beschlagnahme und Durchsuchung bei E-Mails, SMS etc. . . . . . . . . .
10.4 Kopieren von Daten (Image) als eingriffsschwächeres Äquivalent
zur Beschlagnahme eines Rechners? . . . . . . . . . . . . . . . . . . . . . .
10.5 Problem der Begrenzung von Durchsuchung und Beschlagnahme auf
verfahrensrelevante Datenbestände versus Amtsermittlungsgrundsatz
im Strafprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.6 Durchsuchung und Beschlagnahme von Daten und der „Kernbereich
privater Lebensgestaltung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.7 Durchsuchung und Beschlagnahme auch bei Nichtbeschuldigten? . . . .
10.8 Formalia bei der Anordnung und Durchführung von Durchsuchung
und Beschlagnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.9 Telekommunikationsüberwachung gemäß § 100a StPO . . . . . . . . . . .
10.9.1 Rechtliche Qualifizierung einzelner Phasen im E-Mail-Verkehr
10.9.2 Voraussetzungen und Möglichkeiten der Telekommunikationsüberwachung gemäß § 100a StPO . . . . . . . . . . . . . . . . . .
10.9.3 Anordnung und Durchführung der Telekommunikationsüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
265
266
268
270
271
273
276
276
276
277
281
284
XXII
Inhaltsverzeichnis
10.10 Quellen-Telekommunikationsüberwachung . . . . . . . . . . . . . . . . . .
10.11 Speicherung von Verkehrsdaten für eine spätere Strafverfolgung . . . . .
10.12 Online-Durchsuchungen zugunsten effektiver Strafverfolgung? . . . . .
10.12.1 Online-Durchsuchung im geltenden Strafprozess . . . . . . . . .
10.12.2 Notwendigkeit einer Legitimierung von Online-Durchsuchungen im Strafverfahren . . . . . . . . . . . . . . . . . . . . . . . . . .
10.13 Online-Durchsuchung zur terroristischen Gefahrenabwehr:
Ermittlungsbefugnisse nach dem BKAG und dem ATDG . . . . . . . . .
10.14 Die rechnerexterne Datenspeicherung im World Wide Web:
Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10.15 Daten auf Servern außerhalb des Hoheitsgebietes der Bundesrepublik
Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
286
287
288
288
291
293
295
297
298
Ausgewählte Rechtsnormen (Auszug) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Herausgeber und Mitarbeiter
Herausgeber
Prof. Dr. rer. nat. Dirk Labudde
Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida,
Deutschland,
E-Mail: labudde@hs-mittweida.de
M. Sc. Inf. Michael Spranger
Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University
of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: spranger@hs-mittweida.de
Mitarbeiter
M. Sc. Molekularbiologie Sven Becker
Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University
of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: becker1@hs-mittweida.de
Prof. Dr. jur. Frank Czerner
Lehrstuhl Recht in der Sozialen Arbeit, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: czerner@hs-mittweida.de
XXIII
XXIV
Herausgeber und Mitarbeiter
Dr. Tina Geweniger
Mitglied der Computational Intelligence Group, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: tgewenig@hs-mittweida.de
Prof. Dr. rer. nat. Christian Hummert
Inhaber des Lehrstuhls für IT-Sicherheit/Digitale Forensik, University of Applied Sciences
Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: hummert@hs-mittweida.de
Dr. rer. nat. Marika Kaden
Mitglied der Computational Intelligence Group, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: kaden1@hs-mittweida.de
Prof. Dr. Dr.-Ing. Hartmut Luge
Lehrstuhl für Kommunikationstechnik, University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: luge@hs-mittweida.de
Prof. Dr. rer. pol. Pawlaszczyk
Lehrstuhl Informatik/Objektorientierte Softwareentwicklung, University of Applied
Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: pawlaszc@hs-mittweida.de
M. Sc. Molekularbiologie Anne-Marie Pflugbeil
Wissenschaftliche Mitarbeiterin im Forensic Science Investigation Lab (FoSIL), University of Applied Sciences Mittweida, Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: pflugbei@hs-mittweida.de
OA Dr. med. Karlheinz Thiele
Gesundheitsamt – Landkreis Zwickau, Werdauer Straße 62, 08056 Zwickau, Deutschland,
E-Mail: karlheinz.thiele@landkreis-zwickau.de
Prof. Dr. rer. nat. habil. Thomas Villmann
Lehrstuhl für Computational Intelligence, University of Applied Sciences Mittweida,
Technikumplatz 17, 09648 Mittweida, Deutschland,
E-Mail: thomas.villmann@hs-mittweida.de
1
Einführung
Dirk Labudde, Frank Czerner und Michael Spranger
1.1 Forensik – ein aktueller Ein- und Rückblick und der CSI-Effekt
Ein Blick in die menschliche Natur zeigt, dass eine große Anziehungskraft in Bezug
auf Verbrechen und deren Aufklärung existiert. Diese Phänomene haben sich auch die
Medien zu eigen gemacht und benutzen diese Eigenschaft oder auch Schwäche. Das
Fernsehprogramm ist fest in der Hand von ausgefuchsten Polizeibeamten oder Privatdetektiven. Sie bewegen sich oft als Einzelkämpfer über den Bildschirm und lösen ihre
Fälle durch Intuition und logischen Spürsinn. Doch Persönlichkeiten, wie „Der Alte“,
„Derrick“, „Kommissar Schimanski“ und viele andere gehören der Vergangenheit an.
Analysiert man die neuen Serien, unter dem Akronym CSI1 , so rücken immer mehr clevere Wissenschaftler in den Mittelpunkt. Dieser Trend steht für den Begriff forensische
Wissenschaft. Das forensische Labor steht zunehmend im Mittelpunkt der Ermittlungen.
Wissenschaftler arbeiten in Teams und akribisch an den anfallenden Spuren. Sie sind die
1
Crime Scene Investigation.
D. Labudde ()
Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL),
University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: labudde@hs-mittweida.de
F. Czerner
Lehrstuhl Recht in der Sozialen Arbeit, University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: czerner@hs-mittweida.de
M. Spranger
Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of
Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: spranger@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_1
1
2
D. Labudde et al.
Beherrscher von forensischen Methoden und Instrumenten, seien es Massenspektrometer,
Bedampfungsanlagen oder Mikroskope. An dieser Stelle sei darauf hingewiesen, dass oft
tief in die Trickkisten der Filmemacher gegriffen wird. Die Abfolge und zeitliche Aufteilung der Analysen sind stark überzeichnet und oft wird das gesamte Expertenwissen in
einer Person vereint. Nicht zuletzt tauchen Begriffe wie Cybercrime, Profiling oder Predictive Policing in Serien auf.
Jedoch bleiben diese Serien nicht ohne Folge. In der Literatur wird über den „CSIEffekt“ diskutiert, welcher verschiedene Auswirkungen auf das Erscheinungsbild von
Ermittlungen in der Gesellschaft hat. So wird beispielsweise jeder Zuschauer zu einem
Experten und erwirbt so ein scheinbares Recht, an der allgemeinen Diskussion und Beurteilung von realen Verbrechen teilzunehmen. Die Veranschaulichung der Unfehlbarkeit der forensischen Wissenschaft durch den „CSI-Effekt“ setzt die Ermittlungsbehörden
stark unter Druck. Die Faszination, die von diesen Serien ausgeht, führt zu einer hohen
Nachfrage an Büchern und Materialien, die sich ernsthaft mit den forensischen Wissenschaften auseinandersetzen. In Deutschland ist dieses Interesse auch bei Jugendlichen
angekommen, und der Ruf nach einer Ausbildung in der Forensik steigt. Universitäten und
Hochschulen nehmen diesen Trend auf und schaffen Module mit forensischen Inhalten.
Sicher tun sie dies auch aus ganz persönlichen Gründen. Nichts ist für einen Hochschullehrer angenehmer, als ein Hörsaal voller Interessierter. Daneben lässt sich Motivation für
die naturwissenschaftlichen Fächer wecken.
Doch wo kommt eigentlich diese Faszination her? Ein kurzer Blick in die Geschichte
der klassischen Forensik gibt Aufschluss darüber. Geringe Mengen an Blut, ein latenter
Fingerabdruck oder Audiofiles stehen heute am Anfang der Spurenanalyse und können so
helfen, Täter zu überführen bzw. Beschuldigte zu entlasten. Man sollte den Fakt berücksichtigen, dass noch im 18. Jahrhundert ein Geständnis durch Folter erzwungen wurde.
Ein Pionier, der Beweise in den Mittelpunkt rückte, war der Österreicher Hans Gross2 .
In seinem von 1899 stammenden Handbuch für den Untersuchungsrichter, forderte er
objektive Befunde und Spuren neben den Aussagen von Beschuldigten und Zeugen als
die wichtigsten Beweismittel im Strafverfahren. Dies konnte als Übergang der Subjektivität in eine begründbare Objektivität angesehen werden. „Mit jedem Fortschritt in der
Kriminalistik fällt der Wert der Zeugenaussagen, und es steigt die Bedeutung der realen
Beweise“[6]. Der französische Mediziner Dr. Edmond Locard3 formulierte und bewies
das bis heute gültige Austauschprinzip. Jeder und alles an einem Tatort nimmt etwas mit
und lässt etwas dort zurück [10]. Allgemein definiert man den Tatort als Ort, an dem sich
kriminalistisch relevante oder gerichtlich strafbare Handlungen ereignet haben. Der Tatort beschränkt sich nicht auf den Ort des Geschehens oder der Ereignisse, sondern auch
auf jene Bereiche, in welchen vor oder nach der Tat relevante Handlungen stattgefunden
haben.
2
3
* 26. Dezember 1847 in Graz; † 9. Dezember 1915 ebenda.
* 13. Dezember 1877 in Saint-Chamond (Loire); † 4. April 1966 in Lyon.
1
Einführung
3
Der Berliner Polizist Ernst August Ferdinand Gennat4 gilt als Urvater der Strukturierung von Ermittlungsmethoden. Bis in die 1920er Jahre gab es in der Polizeiarbeit kein
Morddezernat, keine Verhörprotokolle und keine Obduktionsberichte. Erst Ernst Gennat
konzipierte und strukturierte die Ermittlungsmethoden und konnte so eine überdurchschnittliche Aufklärungsquote erreichen. Diese und viele andere Persönlichkeiten reformierten die Ermittlungsarbeit und ebneten den Weg für die heutige Spurenanalyse und
deren Einbindung in die Gerichtsbarkeit. Die moderne forensische Wissenschaft lebt von
den Methoden aus den Geistes- und Naturwissenschaften. Mit modernsten Methoden,
Techniken und Technologien, wie biologischen, geologischen, geotopologischen, ballistischen und digitalen Aufzeichnungen versuchen heute forensische Experten, Verbrechen
aufzuklären, Tatorte und Spuren zu analysieren und den gesamten Tathergang zu rekonstruieren. Im Prozess der Rekonstruktion sollte man auf erkenntnistheoretische Ansätze
zurückgreifen und mit der Falsifizierung von Hypothesen arbeiten. Gerade die Forensik
profitiert von den Entwicklungen in den angrenzenden Wissenschaften. Der Siegeszug
der Computertechnik hat auch Spuren in der Forensik hinterlassen. Dabei ist nicht nur
das neue Tatwerkzeug Computer gemeint. Vielmehr ist auch in der Analyse digitaler und
digitalisierter Spuren moderne Rechentechnik nicht mehr wegzudenken. Beispiele sind
Audio-, Video-, Fotoanalyse und die Möglichkeit der 3D-Rekonstruktion von Tatwerkzeugen und ganzer Tatorte. Auf der anderen Seite können Vergleiche von Spuren durch
den Einsatz von Datenbanken sicher und erfolgreich gestaltet werden. Jedoch gehört auch
hier eine gesunde Skepsis dazu. Wie in anderen Wissenschaften auch, müssen Ergebnisse
nachvollziehbar und verständlich sein.
Ob aus der Presse oder durch eigenes Erleben ist heute jeder mit den Begriffen Hacking,
Cybercrime, Cyberspace, Cybermobbing oder digitaler Identitätsklau in Berührung gekommen. Auch der Begriff Hackerattacke ist in unsere Alltagssprache eingezogen. Der
Begriff Hacker hat eine Metamorphose in seiner Begrifflichkeit durchlebt. Waren am
Anfang damit besondere Tüftler gemeint, so wird er heute im Zusammenhang mit Cyberverbrechen benutzt. In den 1960er Jahren tauchte der Begriff Hacker zum ersten Mal
in den USA am MIT (Massachusetts Institute of Technology) auf. Hier wurde ein Team
von Studenten als Hacker betitelt, die Maschinen auseinanderbauten, um sie im Anschluss
umzubauen. Ziel war neben dem haptischen Gefühl, eine deutliche Leistungssteigerung.
Es wurden keine umtriebigen Absichten mit diesen Arbeiten verfolgt. Das Jahr 1969 kann
als Geburtsstunde des Hackens gesehen werden. Wie so oft in der technischen Entwicklung wurde auch dieses Ereignis durch einen Zufall gefördert. Der Amateurfunker John
Thomas Draper5 , später als „Captain Crunch“ bezeichnet, entdeckte, dass eine Spielzeugpfeife, welche in Frühstücksflocken der Marke Captain Crunch als Werbegeschenk
enthalten war, benutzt werden kann um einen Ton (2600 H z) zu erzeugen, der Ferngespräche freischaltete. Dieser Tipp machte die Runde und schon konnten Freunde und
Bekannte kostenlos telefonieren. Von diesem zufälligen Ereignis beflügelt gründete sich
4
5
* 1. Januar 1880 in Plötzensee; † 21. August 1939 in Berlin.
* 1944.
4
D. Labudde et al.
einer der ersten Computer Clubs. In den 1980er Jahren sind die Hacker dann aus dem
Schatten getreten und wurden auch bald von der breiten Öffentlichkeit wahrgenommen.
Der damals erst 17-jährige Kevin Poulsen6 alias Dark Dante drang in das ARPANET (Vorläufer des heutigen Internets)7 ein. Jedoch war dies nur dem Militär und den führenden
Universitäten vorbehalten. 1983 lief in den Kinos der Streifen „Wargames – Kriegsspiele“
von John Badham, hier wurde die Geschichte eines jungen Hackers erzählt. Durch diesen filmischen Katalysator tauchten 1988 die ersten Computerviren auf. Von nun an war
der Begriff „Hacker“ eindeutig negative belegt. In den 1990er Jahren wurden das gesamte Ausmaß und die dunklen Seiten des Hackens deutlich. Durch das Internet wurden die
ersten Straftaten in Bezug auf Cyberkriminalität begangen. Die Gemeinde spaltete sich
nun in eine schwarze und weiße Community. Diese Aufspaltung gilt bis zum heutigen
Tage. Auf der einen Seite stehen die „Black-Hats“, die aus kriminellen Gründen hacken,
und auf der anderen die „White-Hats“, die vor allem auf Lücken in Sicherheitssystemen
hinweisen wollen. Der Umfang und die Schwere der Taten der Black-Hats nahmen bald
gewaltige Dimensionen an. Die ersten Fälle von Online-Banking-Missbräuchen gingen
durch die Presse. Dies setzte sich in das 21. Jahrhundert fort. Der Begriff „Cracking“,
das Überwinden von Sicherheitshindernissen, machte die Runde und ergänzte die Cyberkriminalität. Das Kopieren von DVDs und passende Plattformen zum Austausch wurden
erschaffen. Aber auch Webseiten wie „WikiLeaks“8 wurden geschaffen, um sensible und
geheime Dokumente der allgemeinen Bevölkerung zugänglich zu machen. Die heutigen
Ausprägungen der Hacker und deren Schwerpunktziele sind vielschichtiger geworden.
Nachfolgend der Versuch einer Systematisierung der „Hats“. Der „Black-Hat“ hackt Datensysteme mit der Absicht, Schaden anzurichten oder nimmt diesen zumindest billigend
in Kauf. Das Hauptziel eines „White-Hat“ ist es, Sicherheitslücken in Systemen aufzudecken mit der Absicht, diese den Verantwortlichen zu melden. Dabei wird mitunter ein
entstehenden Schaden in Kauf genommen. Zwischen beiden agiert der „Grey-Hat“, der
sowohl zur Verbesserung der Systemsicherheit beiträgt als auch Schäden anrichtet. Die
Gruppe der Wettstreiter (aus sportlicher Absicht oder zum Zeitvertreib) bekommt den Namen „Script Kiddies“. Sie haben kaum technische Kompetenzen und bedienen sich der
Tools anderer. Nach dem Motto: Wer will mal ein Hacker sein. Neu ist die Gruppe der
„Hacktivisten“. Diese setzen ihr technisches Wissen für einen politischen Zweck ein und
verändern zum Beispiel eine Homepage, um politische Botschaften zu verbreiten oder um
auf Missstände aufmerksam zu machen.
Zum Abschluss noch ein Rat für alle diejenigen, die jetzt überlegen, in welcher Gruppe
sie sich selbst wiederfinden: Hacking bringt nicht nur viele neue Freunde, sondern auch
genauso viele neue Feinde.
6
* 1965 in Pasadena, Kalifornien.
Advanced Research Projects Agency Network.
8
https://wikileaks.org/
7
1
Einführung
5
1.2 Forensik im System der Wissenschaften
Der Begriff Forensik stammt vom lateinischen Wort forēnsis ab und bedeutet so viel
wie „im oder vor dem Forum (Marktplatz)“. Historisch gesehen war der Marktplatz oder
Mittelpunkt einer urbanen Gemeinschaft oft der Schauplatz der Gerichtsbarkeit. Alle Wissenschaften oder Teildisziplinen einer Wissenschaft können das Adjektiv „forensisch“
tragen. Dies signalisiert den Bezug zum jeweiligen Rechtssystem.
Die Forensik umfasst alle Arbeitsgebiete, die strafrechtlich und zivilrechtlich relevante Handlungen identifizieren, ausschließen, analysieren und rekonstruieren.
In Deutschland wird dies vor allem durch die Zusammenarbeit von verschiedenen
Fachgruppen und Spezialisten erreicht. In den USA hingegen schließt der Begriff Forensic
Science (Forensics) eine spezielle Ausbildung ein, welche kriminalistisches und rechtsmedizinisches Wissen vereint. Beide Betrachtungsweisen deuten auf den Charakter einer
Querschnittswissenschaft innerhalb der Naturwissenschaften hin, welche ihren Rahmen
von den Rechtswissenschaften vorgegeben bekommt und sich in der Umsetzung auch Methodiken der Ingenieurswissenschaften bedient. Im deutschsprachigen Raum spricht man
auch vom System der Kriminalwissenschaften. In diesem ist die Forensik, neben weiteren
Wissenschaftszweigen wie Kriminalistik oder Kriminologie, als Teil der nichtjuristischen
Kriminalwissenschaften den Naturwissenschaften zugeordnet (Abb. 1.1).
Als empirische, nicht-juristische Kriminalwissenschaft, umfasst die Lehre der
Kriminalistik sämtliche präventiven und repressiven Maßnahmen sowie damit verknüpfte Techniken, die zur Bekämpfung von Straftaten und des Verbrechertums
notwendig sind [5].
Abzugrenzen ist die kriminalistische Lehre von dem Fach der Kriminologie. Letzteres
beschäftigt sich mit den Erscheinungsformen und Ursachen von Kriminalität. Ziel der
Kriminalistik ist die Ermittlung und Zusammenführung von straftatrelevanten Beweisen.
Darüber hinaus sollen Gefahren abgewehrt bzw. Straftaten abgewendet werden. Es können
verschiedene Teildisziplinen unterschieden werden [5]:
1. Maßnahmen, welche die Vorgehensplanung bei der Verbrechensbekämpfung implizieren, werden innerhalb von Kriminalstrategien erarbeitet. Dazu werden ebenfalls
Vorbeugungsmaßnahmen gezählt.
2. Innerhalb der Kriminaltaktik, als weitere Teildisziplin, werden zweckgebundene Vorgehensplanungen im Rahmen der Verbrechensbekämpfung erarbeitet (z. B. Vernehmungstaktik).
6
D. Labudde et al.
Abb. 1.1 System der Kriminalwissenschaften nach Berthel [1]
3. Die Kriminaltechnik umfasst sämtliche Erkenntnisse und Maßnahmen zur Anwendung wissenschaftlicher und empirischer Resultate in Bezug auf Spurensicherung und
-analyse.
4. Die Regelung des Dienstbetriebes sowie die innerhalb spezifischer Richtlinien und
Anordnungen geregelte Handhabung kriminalpolizeilicher Mittel fallen in den Bereich
der Kriminaldienstkunde.
5. Der Bereich der Kriminalprävention beschäftigt sich mit der Vorbeugung und Früherkennung von Risiken für kriminelles Verhalten.
Eng verknüpft mit der Kriminalistik, stellt die Kriminologie als ebenfalls nichtjuristische, empirische Kriminalwissenschaft das geordnete oder systematische Wissen
über Verbrechen, Verbrecher, die strafrechtliche Sozialkontrolle sowie das Verbrechensopfer dar. Im Allgemeinen ist darin eine Summierung vielfältiger wissenschaftlicher Beiträge bezüglich Kriminalität und ein in Verbindung damit stehendes
Verhalten zu sehen. Im speziellen bestehen Bezüge zum Opfer und zur Kriminalitätsprävention [8].
1
Einführung
7
Die Kriminologie ist eng verzahnt mit diversen Bezugswissenschaften, wie u. a. Psychiatrie, Psychologie, Soziologie, Rechtswissenschaft und Ökonomie.
1.3 Tatort in der modernen Forensik
1.3.1 Der moderne Tatortbegriff
Schauen wir uns das Wort „Tatort“ an, so ist dieser in unserer Gesellschaft mit einer negativen Assoziation verknüpft, obwohl beide Begriffe „Tat“ und „Ort“ mit einer positiven
Auffassung verbunden sind.
Seit Bestehen von Gesellschaften ist das Handeln eines jeden Einzelnen an ein definiertes Regelwerk der Gemeinschaft, die Gesetze, Verordnungen und Konventionen,
gekoppelt. Dem Staat, als Inhaber des Gewaltmonopols, obliegt es, diese Regelwerke
durchzusetzen, Verstöße zu verfolgen und ggf. zu ahnden. Dafür bedarf es jedoch eines
Beweises, im Sinne einer eindeutigen Zuordnung eines Tatverdächtigen oder Opfers zu
einer konkreten Tat. Dem Auffinden derartiger Beweise bzw. dem Nachweis einer Tat
dient, neben der Vernehmung von Beteiligten und Zeugen, vor allem die Untersuchung
von Spuren (Daten).
Unter einer Straftat wird gemeinhin ein schwerwiegender Verstoß gegen die Rechtsordnung einer Gesellschaft oder die Grundregeln menschlichen Zusammenlebens verstanden.
Allgemein gesprochen handelt es sich um eine von der Gemeinschaft als Unrecht angesehene und von ihrem Gesetzgeber als kriminell qualifizierte und mit Strafe bedrohte
Verletzung eines Rechtsgutes durch den von einem oder mehreren Tätern schuldhaft gesetzten, verbrecherischen Akt. Die Rechtswissenschaft versteht unter einem Vergehen/
Verbrechen in erster Linie eine strafbare Handlung (Straftat) an sich und als solche. Das
Strafgesetzbuch (§ 12 StGB) unterscheidet in Abhängigkeit der Schwere der Tat und der
damit verbundenen Strafandrohung Straftaten in Vergehen (Strafandrohung im Mindestmaß unter einem Jahr Freiheitsstrafe oder Geldstrafe) und Verbrechen (Strafandrohung im
Mindestmaß von einem Jahr Freiheitsstrafe oder darüber). Gesellschaftswissenschaftlich
befasst sich die Kriminologie mit dem Phänomen des Verbrechens und seinen Erscheinungsformen und Ursachen. Mit den Mitteln und Methoden der Verbrechensbekämpfung
und -aufklärung beschäftigt sich die Kriminalistik. In diesem Kontext wird der Ort der Tat,
also der Ort an dem eine Straftat verübt wurde, als Tatort bezeichnet. Was auf den ersten
Blick relativ trivial klingt, ist jedoch bei genauerer Betrachtung oft schwer zu beschreiben.
Allgemein definiert man den Tatort als Ort, an dem sich kriminalistisch relevante oder juristisch strafbare Handlungen ereignet haben. Der Tatort beschränkt sich nicht nur auf den
Ort des Ereignisses, sondern auch auf jene Bereiche, in welchen vor oder nach der Tat
relevante Handlungen stattgefunden haben. Man unterscheidet den unmittelbaren Tatort,
an dem die Tat ausgeführt wurde und an dem auch die meisten Spuren (Daten) erwartet
werden können sowie den Tatort im weiteren Sinne. Dieser bezieht sich auch auf die nähe-
8
D. Labudde et al.
re Umgebung. Es lassen sich in der klassischen Forensik folgende Abschnitte dem Tatort
zuordnen:
Vorbereitungsort,
Annährungsort,
Ereignisort.
Der Begriff Tatort im weiteren Sinn schließt auch den Fundort des Opfers, den Fluchtweg des Täters, das Fluchtfahrzeug, Aufbewahrungsorte von Beute oder Tatwerkzeugen
sowie den Wohnort des Tatverdächtigen mit ein. An einem Tatort ist die Wahrscheinlichkeit sehr hoch, fallrelevante Spuren zu finden und diese als grundlegende Beweise
aufzubereiten. Spuren im kriminaltechnischen Sinne sind sichtbare oder latente materielle
Veränderungen, die im Zusammenhang mit einem kriminalistisch relevanten Ereignis entstanden sind und zu dessen Aufklärung beitragen können. In der Literatur spricht man oft
vom Spurenlesen. Eine Annäherung an den Begriff „Lesen“ lässt einen Vorgang oder Prozess erkennen. Dieser Vorgang beschreibt den Transfer von der Ebene der Zeichen (Spur)
auf die Ebene der Bedeutung (Beweis). Das abschließende Wissen unterliegt der Kausalität (Ursache-Wirkung) [7]. Diese Ebenen spiegeln sich in der Wissenspyramide wider.
Objektive Befunde und Spuren sind neben den Aussagen von Beschuldigten und Zeugen
die wichtigsten Beweismittel im Strafverfahren.
Im Zusammenhang mit dem Tatort im klassischen Sinne sind drei Anmerkungen zu
Spuren von Bedeutung:
am Tatort sind Spuren oft noch nicht differenzierbar,
der Tatbezug kann noch nicht in allen Fällen abgeschätzt werden,
nicht unmittelbar gesicherte Spuren sind oft unwiderruflich verloren.
Eine koordinierte und gründliche Tatort- und Spurensicherung ist entscheidend für die
erfolgreiche und fachgerechte Aufklärung einer Straftat. Es ist dafür zu sorgen, dass der
Tatort so wenig wie möglich an Informationen verliert bzw. neue hinzukommen. Informationen ergeben sich aus der Analyse der Spuren (Daten), die in der Phase der Rekonstruktion des Tatortes und des Tatherganges abgeleitet werden. Veränderungen des Tatortes vor
dem Eintreffen der Forensikexperten (bewusst oder unbewusst) verursachen Rekonstruktionen, welche im Detail von der Realität abweichen.
Die virtuelle Welt, der Cyberspace, in dem wir uns täglich mehrere Stunden bewegen,
führt zwangsläufig zu einer notwendigen Erweiterung bzw. Neudefinition des Begriffs
Tatort. Um dies verständlich zu machen, werden nun physische und virtuelle (digitale)
Spuren verglichen.
Digitale Spuren (digital evidence) sind Spuren, die auf Daten basieren, welche in
Computersystemen gespeichert oder übertragen worden sind [2].
1
Einführung
9
Abb. 1.2 Die Eigenschaft
der Manipulierbarkeit ist
bei digitalen Spuren (Daten)
im Vergleich zu physischen
Spuren aus der klassischen
Forensik wesentlich größer.
Die Eigenschaft Freiheitsgrade
verhält sich jedoch umgekehrt
Zunächst sind dies analog zur klassischen Forensik physische Spuren, wie
Magnetisierung auf der Oberfläche einer Festplatte,
elektromagnetische Wellen auf einem Datenkabel,
Ladezustand von Speicherzellen im Hauptspeicher.
An dieser Stelle kann davon ausgegangen werden, dass die Prinzipien der klassischen
Forensik anwendbar sind. Die Form der diskreten Repräsentation („Null“ und „Eins“)
wird durch verschiedene Anwendungen in eine für den Menschen lesbare Form überführt.
Unterschiede zwischen digitalen und analogen (physischen) Spuren existieren gerade in
Bezug auf die Eigenschaften Manipulierbarkeit und Freiheitsgrade. Abb. 1.2 demonstriert das Verhältnis dieser Eigenschaften in Bezug auf physische und digitale Spuren. Die
Manipulierbarkeit und der Anzahl der Freiheitsgrade sind sich gegenseitig bedingende Eigenschaften. Digitale Spuren unterliegen einer hohen Manipulierbarkeit, was den Raum
der Analyse, also das Betrachten der Spuren, einschränkt (Anzahl der Freiheitsgrade in
der Analyse).
Digitale Spuren besitzen die folgenden elementaren Eigenschaften:
Flüchtigkeit
– persistente, gespeicherte Daten,
– semipersistente Daten im Arbeitsspeicher,
– flüchtige Spuren, nur temporär vorhanden,
technische Vermeidbarkeit (Systemdaten),
Manipulierbarkeit,
Kopierbarkeit.
Detaillierte Ausführungen zum Vergleich von digitalen und realen Spuren finden Sie im
Buch Forensische Informatik [4]. Digitale Spuren haben im Gegensatz zu physischen Spuren einen komplexeren geografischen Aufbau und Entstehungsmechanismus. Dieser setzt
sich aus drei ineinandergreifenden Ebenen zusammen: Internet, LAN bzw. WLAN und
dem Kerngerät (PC, Smartphone, Tablet). Ein virtueller Tatort oder digitaler Tatort kann
somit nur schwer bzw. gar nicht definiert werden. Möglichkeiten einer Definition ergeben sich durch Einbeziehung der geografischen Ebenen. Wenn „Von einem unbekannten
10
D. Labudde et al.
Tatort aus begangenen Cybercrimedelikt“ [3] gesprochen wird, muss sich der unbekannte
Tatort auf auf IP-Adressen bzw. MAC-Adressen von verwendeten Geräten einschließlich
Servern beziehen. Somit erfolgt eine Zuordnung zu Geräten in einem gesonderten Schritt.
Digitale Ermittlungen unterscheiden sich von herkömmlichen Ermittlungen in der
Wahl der verwendeten Werkzeuge. Die allgemeine Vorgehensweise, welche aus drei Phasen besteht und durchgängig von Experten akzeptiert ist, kann direkt auf Ermittlungen
in der virtuellen Welt (Cyberspace) übertragen werden. Diese Phasen sind: Sicherung,
Analyse und Präsentation (SAP).
Securephase:
Analysephase:
beinhaltet die sorgfältige Erfassung aller Daten,
sorgfältige Überprüfung und objektive Bewertung der gesicherten
Spuren und Beweise,
Präsentationsphase: nachvollziehbare Darlegung des Ermittlungsprozesses.
In der Literatur existiert eine Reihe von weiteren Vorgehensmodellen, die sinnvolle Präzisierungen vornehmen. Abb. 1.3 zeigt verschiedene Vorgehensmodelle in ihren unterschiedlichen Präzisierungen.
An dieser Stelle sei nocheinmal auf eine Abgrenzung der Begriffe Modell, Prozess und
Methode im Zusammenhang mit Vorgehensweisen hingewiesen.
Modell:
Ablauf einer Untersuchung (vereinfachte Weise),
einzelne Arbeitsschritte,
gibt keinen Aufschluss über die Schritte innerhalb eines Abschnitts.
Prozess:
Ablauf in detaillierter Form,
Abschnitte aus dem Modell in kleine Phasen,
Reihenfolge des Ablaufs einer Untersuchung.
Methode:
im Arbeitsschritt eingesetzten Werkzeuge und Verfahren.
Die spezifische, auf eine konkrete Ermittlung ausgerichtete Umsetzung eines Vorgehensmodells muss im Einklang mit den aufgestellten forensischen Hypothesen stehen. In Ermittlungsverfahren, sowohl in der virtuellen als auch in der physischen Welt, sind an
den Prozess der Hypothesenentwicklung analoge Bedingungen geknüpft. Aus der Menge
der Spuren (Daten, Fakten, Zahlen) werden durch wissenschaftliche Methoden Informationen generiert. Als wissenschaftliche Methoden gelten Verfahren, Algorithmen und
1
Einführung
11
Abb. 1.3 Vorgehensmodelle SAP, Kent et al. [9], BSI (Bundesamt für Sicherheit in der Informationstechnik) und Casey [2] im Vergleich
Systeme, die evaluiert wurden und einem wohldefinierten Standard entsprechen. Informationen werden zu fallspezifischen Thesen und Erläuterungen zusammengefasst und führen
zur eigentlichen Hypothese, welche im Laufe eines iterativen Prozesses überprüft wird. In
Abb. 1.4 wird ein Hypothesenzyklus für die Rekonstruktion eines Tatherganges aufgezeigt. Dieser Zyklus ist auf beide Ermittlungsbereiche anwendbar.
Informationen und daraus entstandenes Wissen liefern die Grundlage für den Verifizierungs- bzw. Falsifizierungsprozess von forensischen Hypothesen. Auf die Gewinnung
12
D. Labudde et al.
Abb. 1.4 Darstellung des
Hypotheses Cycle für die klassische und digitale Forensik
von Information aus Daten, im Sinne von Spuren, wird zu einem späteren Zeitpunkt noch
einmal eingegangen.
1.3.2 Moderne Formen der Spurensicherung
Mit dem Voranschreiten der Entwicklung neuer Technologien müssen Werkzeuge und
Vorgehensweisen ständig evaluiert und im Einzelfall angepasst werden. Das Beispiel
„Fahrzeughacks“ zeigt dies sehr eindrucksvoll. Ein regelmäßiges Screening aufkommender Technologien anhand der veröffentlichten Hype-Cycles kann sehr hilfreich sein, um
einerseits neue Werkzeuge abzuleiten und andererseits das Bedrohungspotential neuer
Technologien abzuschätzen. Ein solches Beispiel stellen die UAV (unmanned aerial vehicle) dar. Solche Flugobjekte, auch Drohnen genannt, stellen auf der einen Seite eine
Bedrohung dar, auf der anderen Seite können sie sich zu Werkzeugen in der Ermittlung
und Hypothesenüberprüfung entwickeln. Ein Einsatz bei der Rekonstruktion von Tatorten
und Katastrophengebieten bietet sich in diesem Kontext an.
Die Spurensicherung in der klassischen bzw. virtuellen (digitalen) Welt unterscheidet
sich in den verwendeten Methoden und Werkzeugen. Dies liegt nicht zuletzt am Charakter der spezifischen Spuren. Auf klassische Spurensicherungsmethoden und biometrische
Verfahren wird im Kap. 2 detaillierter und gesondert eingegangen. Die Entstehung der
sogenannten digitalen Spuren ist so vielfältig wie deren Eigenschaften. Die Vielfalt und
Menge der digitalen Daten und Spuren stellt eine große Herausforderung in der täglichen
Ermittlungsarbeit dar. Dieses Phänomen wird mit dem Begriff „Big Data“ in Zusammenhang gebracht. Die Menge an digitalen Daten stellt einen Datenpool für Methoden aus
1
Einführung
13
Abb. 1.5 Vorkommen digitaler Daten, die zur Auswertung in Bezug auf Straftaten verwendet werden können. Durch die Zusammenführung der Daten ist es möglich, einen sogenannten digitalen
Fußabdruck eines Nutzers zu erzeugen
dem Gebiet der Big Data bereit und ermöglicht die Entwicklung und Anwendung von Vorhersagealgorithmen (Predictive Policing). Bei der Analyse und Aufklärung von Straftaten,
die im Zusammenhang mit oder unter Nutzung des Internets bzw. mithilfe modernster
Computertechnik begangen wurden, können heute verschiedenste digitale Daten herangezogen werden. Abb. 1.5 gibt einen Überblick der möglichen digitalen Daten und Spuren.
In erster Linie gehen in die Analyse beispielsweise Texte, Kurznachrichten, Bilder,
Videos, Browserinhalte (Surfverhalten) und persönliche Informationen aus sozialen Netzwerken ein. Durch die bereitgestellte Technik können aus diesen Daten auch die korrespondierenden Metadaten für die Analyse herangezogen werden. Die Information und
das abgeleitete Wissen aus digitalen Daten und Spuren werden in komplexen Verfahren
mit den Informationen aus physischen Spuren korreliert.
Die Sicherung digitaler Spuren ist, aufgrund der Eigenschaften dieser, von besonderer
Wichtigkeit. Durch die hohe Manipulierbarkeit müssen Analysen auf Sicherheitskopien, sogenannten Images, durchgeführt werden. Diese sind durch Hash-Verfahren so zu
sichern, dass eine lückenlose Dokumentation möglich wird. Dem digitalen Forensiker
stehen eine Vielzahl kommerzieller und frei zugänglicher Werkzeuge (sogenannter OpenSource-Software) zur Verfügung. Die Virtualisierung (im Sinne der Wiederherstellung)
14
D. Labudde et al.
stellt darüber hinaus auch Möglichkeiten bereit, bereits gelöschte Daten in die Analyse
einzubeziehen.
1.3.3 Zusammenwachsen von virtueller und realer Welt
Die bisherigen Analyse und Annahmen weisen darauf hin, dass Ermittlungen in der virtuellen Welt und der physischen Welt viele Parallelen aufzeigen, es aber im Hinblick auf die
Definitionen von Spuren und Tatort Unterschiede gibt. Digitale Spuren sind in erster Linie
anonym, sind also ohne einen direkten Hinweis keiner juristischen Person zuordenbar. An
dieser Stelle bedarf es, auch im juristischen Sinne, eines Zusammenwachsens der digitalen
und physischen Spuren sowie deren Analyse. Auf dem Gebiet der Tatort- und Tathergangsrekonstruktion ist ein Verschmelzen der virtuellen und der realen Welt zu verzeichnen. Die
Zeit der Erstellung von Handzeichnungen oder Aufrissen sollte eigentlich der Vergangenheit angehören. Neben der klassischen digitalen forensischen Fotografie halten weitere
Techniken Einzug in die Dokumentation und Rekonstruktion. Die Tatrekonstruktion und
die Plausibilitätsprüfungen von Zeugenaussagen lassen sich durch qualitativ hochwertige
computergestützte Rekonstruktionen des Tatortes und des Tatherganges nachvollziehen
bzw. überprüfen. Beide Arten der Rekonstruktion sollten zwar getrennt definiert werden,
jedoch in einem hypothesengetriebenen Ermittlungsansatz parallel verwendet werden.
Bei einer Tatrekonstruktion wird überprüft und dokumentiert, ob das vor- oder angegebene Verhalten von Personen, die im Zusammenhang mit einer Straftat stehen, mit realen
Gegebenheiten und anderen Beweismitteln in Einklang stehen oder gebracht werden können. Eine weitere wichtige Komponente in der Rekonstruktion stellt die Zeugenbefragung
dar. Eine Zeugenaussage, sollte in einer Rekonstruktion als sogenannte Nullhypothese gesehen werden, diese gilt es, zu überprüfen und zu bewerten.
Das Nachvollziehen des Geschehens, basierend auf einer Tatrekonstruktion, kann mit
der Vernehmung eines Tatverdächtigen bzw. weiterer Personen (Zeugen) einhergehen.
Einen großen Nutzen kann man für die Hauptverhandlung ableiten. Das Gericht kann so
der Staatsanwaltschaft, dem Opfer, dem Beschuldigten und deren Vertretern Gelegenheit
zur virtuellen Teilnahme am Tathergang und Betrachtung des Tatortes geben. Die Standardisierung für die Darstellung und Durchführung einer virtuellen Tatrekonstruktion wird in
den nächsten Jahren ein wichtiges Entwicklungsfeld darstellen. Die Rekonstruktion der
Tat ist im Gegensatz zum Augenschein, eine vom Gericht durchzuführendes Nachstellen
des wahrscheinlichen Verlaufs der Tat am Tatort oder an einem anderen mit der Straftat
im Zusammenhang stehende Orte im Zuge der Vernehmung involvierter Personen und
Zeugen sowie die Ton- oder Bildaufnahme dieser Vorgänge. Weil sie praktisch im Beisein
aller Prozessbeteiligten stattfindet, ist sie an besondere Vorschriften gebunden. Technisch
gesehen spricht man dann von einer Simulation der Geschehnisse unter Verwendung von
Informationen (basierend auf Spuren, Daten). Um den Bezug zum forensischen Umfeld
einzubeziehen, schlagen wir den Begriff „Tatablaufsimulation“ vor, welche zeitliche und
räumliche Sequenzen einer Tat beinhaltet.
1
Einführung
15
Abb. 1.6 Rekonstruierter Tatort
Die Tatrekonstruktion und Tatablaufsimulation dient der Analyse von forensisch relevanten Sachverhalten, wie vermeintliche Unfälle, Körperverletzungen und Mord sowie
der Überprüfung von Zeugenaussagen. Durch neue moderne Methoden und Software können zusätzliche Informationen und Wissen gewonnen und komplexe Wechselwirkungen
dargestellt werden. Dazu können zum einen professionelle und kostenintensive Techniken, zum anderen aber auch preisgünstigere Alternativen eingesetzt werden. Zu diesen
zählen unter anderem die Open-Source-Software Blender und der Xbox-Kinect-Sensor.
Im Folgenden wird der Prozess einer Tatortrekonstruktion mittels Blender sowie die Möglichkeiten einer Tatablaufsimulation vorgestellt.
Die Open-Source-Software Blender ermöglicht die Rekonstruktion von Tatorten durch
die Modellierung und das Rendern von 3D-Szenen und Objekten. Dabei basiert die Raumgeometrie auf Messdaten der Tatortdokumentation. Der Nutzer hat die Möglichkeit, vollständige Räume mit darin enthaltenen Personen, möglichen Tatwerkzeugen und -waffen,
Möbeln, Lampen und weiteren Gegenständen zu erstellen. Zudem können Licht- und
Schatteneffekte, Objekttexturen und Distanzmessungen in die jeweiligen Szenarien integriert werden. Abb. 1.6 zeigt beispielhaft einen solchen rekonstruierten Tatort, in dem Personen und Gegenstände platziert und Wechselwirkungsbeziehungen dargestellt wurden.
Blender ermöglicht, Modelle mit physikalischen Eigenschaften zu versehen und somit
einen möglichen Tatablauf zu simulieren. Dadurch ist es beispielsweise möglich, Stichoder Schussrichtungen zu bestimmen und die Position des Schützen zu ermitteln.
16
D. Labudde et al.
Neben der Verwendung von professionellen Laserscannern zur 3D-Aufnahme von Tatorten besteht die Möglichkeit, preiswertere Technik, wie den Xbox-Kinect-Sensor, zu
nutzen. Dieser eignet sich besonders wegen des Anschaffungspreis, der Handhabung und
des Detailgrades der 3D-Modelle als günstige Alternative. Aufgenommene Szenarien können direkt mit der frei verfügbaren Download-Software von Microsoft ausgewertet und
in Blender importiert werden. Abb. 1.6 zeigt eine Rekonstruktion einer auf dem Boden
liegenden Person, die mithilfe des Xbox-Kinect-Sensors aufgenommen wurde, und das
berechnete 3D-Modell in Blender. Dieses kann in weiteren Bearbeitungsschritten mit Texturen versehen und gegebenenfalls in eine andere Szene importiert werden.
Da in einigen Fällen an Tatorten stark fäulnisveränderte oder vollständig skelettierte
Leichname aufgefunden werden, kann die Tatortrekonstruktion in engem Zusammenhang
mit der forensischen Gesichtsweichteilrekonstruktion stehen. Für gewöhnlich kommen
zur Identifizierung einer unbekannten Person etablierte und herkömmliche Identifizierungsverfahren, wie Daktyloskopie, Odontostomatologie und der genetischer Fingerabdruck zum Einsatz, welche das Vorhandensein von Vergleichsmaterial voraussetzen. Ist
dieses jedoch nicht vorhanden bzw. ausreichend besteht nur noch die Möglichkeit einer
forensischen Gesichtsweichteilrekonstruktion. Die Methode basiert auf dem hohen Wiedererkennungswert des Gesichtes auf Grundlage der knöchernen Strukturen des Schädels
und deren Merkmale. Im Weiteren wird eine Open-Source-Software vorgestellt, mit deren
Hilfe Daten aus Fotogrammetrieverfahren zur Rekonstruktion genutzt werden können.
Die Tatrekonstruktion und Tatablaufsimulation mit modernen Methoden kann als TopDown-Prozess verstanden werden. Im ersten Schritt kann die globale Umgebung rekonstruiert werden, in den nächsten Schritten können Detailrekonstruktionen in die bestehende Szene gesetzt werden. Somit können Einzelheiten aus verschiedenen Aufnahmen am
Ende in einem zoombaren Raum zusammengefügt und Informationen auf verschiedenen
Ebenen dem Betrachter und Analysten zur Verfügungen gestellt werden.
Die Grundlage der modernen Rekonstruktion stellen Verfahren der Fotogrammetrie
dar. Unter Fotogrammetrie versteht man eine Gruppe von Messmethoden und Auswerteverfahren, um aus Fotografien eines beliebigen Objektes seine räumliche Lage bzw. dreidimensionale Form zu bestimmen. Photogrammetrische Verfahren haben in den letzten
Jahren nicht zuletzt aufgrund neuartiger Bildaufnahmegeräte und der gestiegenen Möglichkeiten der digitalen Bildverarbeitung an Bedeutung gewonnen. Auch in der Forensik
ist das Kernanwendungsgebiet der Fotogrammetrie die Wiederherstellung der räumlichen
Lage von Objekten zueinander, in der sie sich zum Zeitpunkt der Aufnahme befunden
haben (Tatort- und Verkehrsunfalldokumentation sowie forensisch und archäologische
Anwendungen).
1.4 Aufgaben und Ziele der forensischen Wissenschaft
Forensische Wissenschaft beinhaltet alle Wissenschaftsdisziplinen, die unmittelbar bzw.
mittelbar mit der Aufklärung von Straftaten zu tun haben. In diesem Buch soll sich auf den
1
Einführung
17
nichtjuristischen Teil der Kriminalwissenschaften bezogen werden. Der Bezug zu den juristischen Wissenschaften ist nicht zuletzt durch das Verhältnis von Staatsanwaltschaft und
Polizei im weitesten Sinne verankert. Die Staatsanwaltschaft hat ab der Übermittlung des
ersten Berichts bis zur Anklageerhebung den Ermittlungsakt zu führen. Die Ziele und Aufgaben der juristischen und nichtjuristischen Kriminalwissenschaften unterscheiden sich
deutlich, jedoch bedingen sie sich. Die forensische Wissenschaft wäre nicht existent ohne die juristischen Kriminalwissenschaften. Ziel der juristischen Kriminalwissenschaft ist
die Beantwortung von rechtlichen Fragen auf der Grundlage des geltenden Rechtssystems.
Zur Beantwortung der rechtlichen Fragen werden oft Ergebnisse (im Sinne von Gutachten)
aus den nichtjuristischen Kriminalwissenschaften herangezogen. Dabei muss ein Transfer
erfolgen, d. h. eine juristische Frage, i. S. eines Untersuchungsauftrages, muss in den Kontext einer wissenschaftlichen Frage bzw. Hypothese überführt werden. Während dieses
Transfers geht der Bezug zu Schuld bzw. Unschuld verloren.
Dabei muss der Begriff „Wissenschaft“ oder „wissenschaftlich“ von elementarer Bedeutung sein. Im allgemeinen Sprachgebrauch geht dieser Begriff mit Exaktheit, Überzeugungskraft und Beweisbarkeit einher. Als Wissenschaft bezeichnet man die Tätigkeit,
bei der ein Sachverhalt mit objektiven und nachvollziehbaren Methoden systematisch beschrieben und untersucht wird. Dasselbe gilt für einen bestimmten Bereich, in dem mit
wissenschaftlichen Methoden gearbeitet wird. Beispielsweise ist die Biologie die „Wissenschaft von der belebten Materie“. Zur Kennzeichnung gehören aber auch die Gesamtheit der Einrichtungen und Personen, die wissenschaftlich arbeiten. Schauen wir uns
die Definition von Wissenschaft nach Aristoteles an: „Zum Unterschied von ungeordneten (Erfahrungs-)Wissen (Empirie) achtet Wissenschaft nicht bloß auf das Das, sondern
auch auf das Warum, die Gründe, Ursachen der Dinge. “Der wissenschaftlichen Methode
kommt dabei eine gesonderte Schlüsselstellung zu. Nach Schischkoff (1991) besteht die
wissenschaftliche Methode [. . . ]„ in dem immer weiteren systematischen Vordringen in
die Breite und Tiefe der Wirklichkeit, zu den Elementen des Seins und Geschehens und
zur Erkenntnis des Zusammenhanges der Wirklichkeit überhaupt, die wir Welt nennen“.
Mit wissenschaftlichen Methoden sind nicht die Techniken oder Technologien gemeint,
sondern die wissenschaftlichen Vorgehensweisen.
Eine mögliche Übertragung auf den Ermittlungsprozess kann wie folgt beschrieben
werden. Ziel im wissenschaftlichen Sinne ist die komplette und optimale Rekonstruktion
der Tat, um die Wahrheit herauszufinden. Der Begriff Wahrheit sollte hier mit dem Begriff Wahrscheinlichkeit assoziiert werden. In Abhängigkeit von der Menge, Qualität und
Objektivität der Daten (Spuren – Beweise) sind oft nur Wahrscheinlichkeitsaussagen über
einen Tathergang möglich.
Ziel jeder forensischen Wissenschaft ist die Suche nach den Verbindungen zwischen
den Objekten (Spur – Spurenverursacher, Spur – Spur). Hier sollte man eine eindeutige wissenschaftliche Vorgehensweise bevorzugen. Bedienen wir uns an dieser Stelle der
Theorie des Wissenserwerbs nach Popper. In seinem Sinne gilt folgende Modellauffassung (Repräsentation des Wissens), welche durch drei Sachverhalte gekennzeichnet ist:
18
D. Labudde et al.
Abb. 1.7 Prozess des Wissenserwerbs. (Inhaltlich adaptiert
von [11])
Repräsentation von Begriffen und Konzepten (Knoten),
Beziehungen zwischen den Knoten (Kanten),
Begriffskonstellationen (Schemata).
Dies führt uns direkt zum Begriff Netzwerk. Ein solches Netzwerk ist auf seine Objektivität und Vollständigkeit hin zu analysieren. Das Transferprinzip von Locard ist ein solches
vereinfachtes Netzwerk. Das Vorgehen für die Erstellung solcher Wissensnetzwerke und
deren Analyse sollte hypothesengetrieben erfolgen. Der österreichisch-britische Philosoph
Karl Popper9 empfiehlt folgenden Prozess, der auf die unterschiedlichen Mengen und Arten der zur Analyse zur Verfügung stehenden Daten eingeht. Wir unterscheiden einen
sogenannten aufsteigenden Prozess und einen absteigenden Prozess [11] (Abb. 1.7).
Der Prozess des Wissenserwerbes wird genutzt, um das bereits erwähnte Netzwerk, mit
den nachfolgenden Zielen, zu füllen und zu überprüfen:
Besetzung von Schemavariablen mit spezifischer Information,
Grundlage für Modifikation bestehender Schemata,
Grundlage für die Schaffung neuer Schemata.
Durch diese Vorgehensweise kann eine Grundobjektivität erreicht werden und „Erfahrungsfallen“ können vermieden werden. Somit kann man das forensische Vorgehen durch
die nachfolgenden grundlegenden Fragestellungen beschreiben:
Wie ist die grundsätzliche Herangehensweise an forensische Fragestellungen i. S. einer
Hypothese?
Welche Grundregeln müssen beachtet werden?
Wie funktioniert wissenschaftliche Arbeit?
9
* 28. Juli 1902 in Wien; † 17. September 1994 in London.
1
Einführung
19
Abb. 1.8 Wissenspyramide. (Inhaltlich adaptiert von [12])
Das Zitat von Sir Arthur Conan Doyle10 kann auch als organisationstheoretischer Ansatz gedeutet werden:
„Es ist in der Kriminalistik von größter Wichtigkeit, dass man aus einer großen Zahl von
Tatsachen diejenigen erkennt, welche zufällig sind, und diejenigen, die relevant sind.“
Sehen wir die Überführung von Spuren in einen Beweis, der Teil einer logischen Beweiskette ist, dann sollte der Beweis einen vorläufigen wahren Zustand erhalten. Das
verwendete Wissensmanagement ist eine Form der Anreicherung von Wissen auf der
Grundlage von Daten, in unserem Kontext Spuren. Diese Daten wurden beobachtet. Der
zugrunde liegende Prozess kann als Analyse angesehen werden. Wissen ist mit einem
Erfahrungskontext angereicherte Information. Die Information kann als Bestandteil der
Daten angesehen werden [12]. Die Extraktion der Information aus den Daten erfolgt mit
wissenschaftlichen Methoden und Analyseverfahren. Wobei diese Verfahren aus allen naturwissenschaftlichen Disziplinen stammen können.
Wissen kann in einer aufsteigenden Pyramide dargestellt werden (Abb. 1.8) und führt
zu Organisationssystemen. Die Daten stellen die Basis der Pyramide da. Aus den unstrukturierten Daten werden mit Analysemethoden strukturierte Daten, die Informationen
enthalten. Durch die Verknüpfung der verschiedenen Informationen kann Wissen generiert werden, welches dem Nutzer zur Verfügung gestellt werden kann. Dieses System hat
das Ziel eine zeitliche und örtliche Verteilung von Information zu organisieren. So kann
das generierte Wissen in einem zeitlichen und örtlichen Kontext, der von Personen abhängig ist, mit der eigentlichen Nutzung verlinkt werden. Nachgestellte Handlungen, i. S. d.
Tatablaufsimulation, basieren auf dem bereitgestellten Wissen.
10
Sir Arthur Ignatius Conan Doyle M.D. (* 22. Mai 1859 in Edinburgh; † 7. Juli 1930 in Crowborough, Sussex.
20
D. Labudde et al.
1.5 Spuren als Beweismittel und deren Beweiswürdigung
im Strafprozess
Jedes Strafverfahren hat zum Ziel, die Schuld bzw. die Unschuld eines Tatverdächtigen
möglichst zweifelsfrei herauszufinden. Davon muss das Gericht, sei es der Einzelrichter an einem Amtsgericht, die drei Berufsrichter mit den beiden Schöffen als ebenfalls
gesetzliche Richter beim Landgericht oder die fünf Berufsrichter am Bundesgerichtshof in Strafsachen, überzeugt sein. Über den Grad dieser richterlichen Überzeugung sagt
das Gesetz in § 261 StPO allerdings nichts aus und die Überzeugung ist nicht quantifizierbar, nicht in Prozentwerten ausdrückbar. Entscheidend ist lediglich, dass das Gericht
von der Schuld des Angeklagten überzeugt ist, also eindeutig mehr für als gegen seine
Täterschaft spricht. Dieser subjektive Akt der Überzeugungsbildung ist rein persönlich
und grundsätzlich nicht ersetzbar. Versuche, mithilfe von mathematischen Modellen die
Beweiswürdigung zu objektivieren, sind durchweg erfolglos geblieben. Grundlage jeder
strafgerichtlichen Entscheidung sind Beweise, welche die Täterschaft des Beschuldigten
möglichst eindeutig belegen (sollen). Zwar kann eine Verurteilung auch lediglich aufgrund von Indizien, also von mehr oder weniger aussagekräftigen Anzeichen für eine
denkbare Täterschaft, erfolgen. Doch je höher die Strafandrohung ist, im extremsten Fall
also eine lebenslange Freiheitsstrafe, z. B. wegen Mordes, desto höher werden auch die
Anforderungen an die zugrunde liegenden Beweise bzw. Indizien sein, wobei immer der
Grundsatz in dubio pro reo, im Zweifel für den Angeklagten, zu gelten hat. Der verurteilende Staat, vertreten durch die Staatsanwaltschaft, die bisweilen als „objektivste Behörde
der Welt“ bezeichnet wird, weil sie sowohl die belastenden als auch die entlastenden Umstände in einem Strafprozess zu ermitteln hat (vgl. § 160 II StPO), muss die Tatbegehung
durch den Beschuldigten nachweisen, nicht umgekehrt der Beschuldigte seine Unschuld.
Eine menschenrechtliche Absicherung findet dieses Prinzip, die sogenannte Unschuldsvermutung, in Art. 6 II EMRK, wonach jeder Beschuldigte bis zum gesetzlichen Nachweis
seiner Schuld als unschuldig zu gelten hat. Die EMRK arbeitet demnach mit rechtlichen Fiktionen, indem sie, unabhängig von der realen Tatbegehung des Beschuldigten,
erst in einem sehr späten Zeitpunkt die Täterschaft des Beschuldigten unwiderruflich annimmt – namentlich dann, wenn gegen die gerichtliche Verurteilung keine Rechtsmittel
in Gestalt einer Berufung oder einer Revision mehr eingelegt werden können, die Entscheidung damit rechtskräftig ist und somit (erst ab diesem Zeitpunkt) vollstreckbar ist
(vgl. § 449 StPO), beispielsweise durch die Vollstreckung einer Freiheitsstrafe in einer
Justizvollzugsanstalt. Aufgrund dieser eindeutigen Beweislastverteilung im Strafverfahren benötigen Staatsanwaltschaft und Gericht möglichst aussagekräftige Beweise bzw.
Beweismittel, auf die sie ihre Entscheidung stützen können. Beweismittel müssen das
Gericht von einer bestimmten Tatsache überzeugen, wobei nicht lediglich Tatsachen als
solche, sondern zumeist deren Zusammenspiel mit anderen Tatsachen oder auch Indizien
ein (mehr oder minder) stimmiges Gesamtbild geben sollten, um letztlich die Überzeugung des Gerichts herbeiführen zu können. Diese Beweise bzw. Beweismittel, welche in
1
Einführung
21
einem Strafverfahren vom jeweiligen Gericht u. a. im Hinblick auf die Frage nach der Täterschaft zu würdigen sind, bestehen häufig aus Spuren, die vom Täter entweder am Tatort
oder am Auffindeort einer Leiche oder eines Schwerverletzten hinterlassen worden sind.
Steht hierbei primär eine kriminaltechnische Untersuchung mit rechtsmedizinischem bzw.
molekulargenetischem oder auch toxikologischem Schwerpunkt (siehe hierzu die Kap. 2
und 4 sowie partiell auch 3) im Fokus des Strafverfahrens, wird sich die kriminaltechnische Untersuchung im Falle von Computerkriminalität mit der Erhebung, Auswertung
und Würdigung digitaler Informationen befassen müssen. Neben diesen technischen Fragen wird insbesondere zu klären sein, in welchen rechtlichen Rahmenbedingungen sich
die Nutzung inklusive Interpretation dieser Beweismittel bewegt. In einem Strafverfahren
gilt es auch, eine spätere Verurteilung so „wasserdicht“ zu machen, dass die getroffene
Entscheidung nicht mit den Rechtsmitteln der Berufung oder der Revision wegen tatsächlicher oder rechtlicher Fehler angegriffen und aufgehoben werden kann. Vor diesem
Hintergrund drohender Rechtsmittel wird entweder schon die Staatsanwaltschaft oder
später das erstinstanzliche Gericht bemüht sein, eine entsprechend fundierte und tragfähige Beweislage zu schaffen – andernfalls kann das Gericht das Verfahren in jedem
Prozessstadium mangels genügendem Tatverdachts einstellen oder spätestens am Ende
der Hauptverhandlung den Angeklagten freisprechen, wenn die Beweise für den erforderlichen Grad der richterlichen Überzeugung nicht ausreichen, also die Zweifel an der
Täterschaft größer (bzw. jene nicht genügend nachweisbar ist) sind als die Überzeugung,
dass der Angeklagte die ihm in der Anklageschrift vorgeworfene Tat auch wirklich begangen hat. Die Beweise, unabhängig davon, ob es sich dabei um einzelne Tatwerkzeuge,
Fingerabdrücke, Blutspuren oder auch um digitalisierte Beweismittel handelt, welche von
Polizei und Staatsanwaltschaft auf einem beschlagnahmten Rechner sichergestellt worden
sind oder die im Rahmen einer Online-Durchsuchung bei einem Tatverdächtigen festgestellt wurden, stellen in einem Strafverfahren deshalb den alles entscheidenden Drehund Angelpunkt dar, an welchem die Weichenstellung für den Ausgang des Prozesses –
Verurteilung oder Freispruch – erfolgt. Für das Strafverfahren gilt, anders als in einem Zivilprozess, der weitgehend von den beteiligten Parteien (Kläger/Beklagter) gesteuert wird,
dass alle möglicherweise entscheidungserheblichen Tatsachen nach den Regelungen über
den Umfang der Beweisaufnahme gemäß § 244 II StPO bewiesen werden müssen. So
kann der Zeugenbeweis bereits dann als erbracht gelten, wenn der Zeuge den Täter bei
einem Diebstahl auf frischer Tat ertappt hat. Zu den beweisbedürftigen Tatsachen gehören allerdings auch Indizien: Der Zeuge hat gesehen, wie der Tatverdächtige mit einem
blutigen Messer schnell den Tatort verlassen hat und geflohen ist – diese schnelle Flucht
kann (muss aber nicht zwingend) ein Indiz für die mögliche Täterschaft des Flüchtenden sein. Entscheidend ist vor diesem Hintergrund der primär kriminaltechnische Aspekt,
dass die Beweismittel geeignet sein müssen, zumindest weiterführende Informationen hinsichtlich der zu untersuchenden Tat und Täterschaft zu geben. In rechtlicher Perspektive
ist zur Wahrung des Rechtsstaatsprinzips zudem von fundamentaler Bedeutung, dass die
Beweismittel in rechtlich zulässiger Weise erhoben wurden und dass gesetzliche Beweis-
22
D. Labudde et al.
erhebungsverbote beachtet werden, andernfalls sind die Beweise – und seien sie noch so
aussagekräftig und möglicherweise die einzig tragfähigen in einem Strafprozess – nicht
verwertbar. Besondere Beachtung ist daher den verbotenen Vernehmungsmethoden gemäß
§ 136a StPO geschuldet, nach welchem der Beschuldigte, welcher auch als Beweismittel
in Betracht kommt, nicht misshandelt, gefoltert, gequält oder hypnotisiert werden darf,
um von ihm (wahrheitsgemäße) Aussagen zu erhalten. Jegliche, auf solche Weise erlangten Aussagen sind prinzipiell, d. h. ausnahmslos, unzulässig und dürfen niemals in
einem Strafverfahren verwertet werden – selbst wenn der Beschuldigte damit (aus welchen
Gründen auch immer) einverstanden sein sollte: § 136a III StPO erklärt eine solche Zustimmung des Beschuldigten für unbeachtlich, um die vollumfängliche und keinesfalls zu
durchbrechende absolute Geltung dieses Beweiserhebungs- und Beweisverwertungsverbotes zu garantieren. Ein Verstoß gegen dieses Verbot macht die gerichtliche Verurteilung
mit dem Mittel der Revision (§ 337 StPO) rechtlich angreifbar und das Gericht (bzw.
eine andere Strafkammer) muss aufgrund dieses Fehlers über diesen Fall erneut entscheiden. Nicht beweisbedürftig sind sogenannte offenkundige Tatsachen, z. B. wann Vollmond
bzw. Neumond war/ist, wann eine Springtide an der Nordseeküste war, von wann bis wann
der Dreißigjährige Krieg dauerte und wodurch er beendet wurde – zur Klärung dieser Fragen genügt regulär entweder das erworbene Allgemeinwissen oder, falls nicht oder nur
rudimentär vorhanden, ein Blick in ein handelsübliches Lexikon oder in Wikipedia. Eine Beweisaufnahme zu derartigen bzw. strukturell vergleichbaren Fragen ist im Rahmen
eines Strafverfahrens somit nicht erforderlich und demgemäß auch keine „Würdigung“
dieser Fakten.
Literatur
1. Berthel, R.: Grundlagen der Kriminalistik/Kriminologie. No. 1 in Lehr- und Studienbriefe Kriminalistik/Kriminologie. Verlag Deutsche Polizeiliteratur (2008)
2. Casey, E.: Digital Evidence and Computer Crime, 3. Aufl.: Forensic Science, Computers, and
the Internet, 3. Aufl. Academic Press (2011)
3. Cybercrime – Bundeslagebild 2014. http://www.bka.de/nn_224082/SharedDocs/Downloads/
DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2014,
templateId=raw,property=publicationFile.pdf/cybercrimeBundeslagebild2014.pdf
4. Dewald, A., Freiling, F.C.: Forensische Informatik, 3. Aufl. Books on Demand (2015)
5. Gabler Wirtschaftslexikon, Stichwort: Kriminalistik. http://wirtschaftslexikon.gabler.de/
Definition/kriminalistik.html
6. Groß, H.: Handbuch für Untersuchungsrichter, Polizeibeamte,Gendarmen u. s. w. Verlag von
Leuschner und Lubensky, Graz (1893)
7. Herrmann, B., Saternus, K.S.: Biologische Spurenkunde: Band 1: Kriminalbiologie, vol. 1.
Springer (2007)
8. Kaiser, G.: Kriminologie. Ein Lehrbuch. Müller, Juristischer Verlag Heidelberg (1988)
Literatur
23
9. Kent, K., Chevalier, S., Grance, T., Dang, H.: Guide to integrating forensic techniques into
incident response. NIST Special Publication S. 800–86 (2006)
10. Locard, E.: Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden. Berlin (1930)
11. Popper, K.R.: Logik der Forschung. Verlag Julius Springer, Wien (1934)
12. Schmitz, C., Zucker, B.: Wissensmanagement – Schnelleres Lernen im Unternehmen. Metropolitan (2003)
2
Biometrie und die Analyse digitalisierter Spuren
Dirk Labudde
2.1
Einleitung
Die moderne Tatortarbeit hat sich in den letzten Jahren deutlich verändert. Dabei sollte man nicht die in der Presse und Bevölkerung entstandene Erwartungshaltung durch
den „CSI-Effekt“ aus dem Blick verlieren. Der Begriff ist von den CSI-Serien abgeleitet und vermittelt die Technikaffinität der Forensik. Im Kontext der Technikentwicklung
und der Effektivität sollte der Einsatz von neuen Technologien zur Analyse von Spuren
(digitalisierten Daten) behutsam diskutiert werden. Natürlich lassen neue Technologien
auch neue Analysemethoden zu, jedoch sollten Aspekte der Machbarkeit im Alltag ebenfalls berücksichtigt werden. Neue Technologien sind die Grundlage für eine moderne
forensische Fallarbeit. In diesem Kontext wollen wir von digitalisierten Spuren sprechen, also physische Spuren, die durch geeignete Technologien digitalisiert, analysiert
und visualisiert werden können. Seit Jahrhunderten möchten Menschen andere erkennen
bzw. wiedererkennen, sei es aus Gründen der Freundschaft oder Feindschaft. Hier bedient sich der Mensch erkennbarer biologischer Merkmale. Diese können physiologische
Merkmale oder Verhaltenscharakteristika sein. Heute werden durch geeignete Methoden
(Scanning, Capturing) aus diesen biologischen Merkmalen biometrische Merkmale. Eine
weitere Abstraktionsebene wäre die biometrische Signatur (Hashfunktion). Wir unterscheiden zwei Aufgaben, Identifizierung bzw. Authentifizierung/Verifizierung einer Person, welche durch verschiedene Methoden abgedeckt werden [42].
D. Labudde ()
Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL),
University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: labudde@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_2
25
26
D. Labudde
2.1.1 Die Identifikation – Wer bin ich?
Aus einem Referenzdatensatz, in dem Daten mehrerer Personen gespeichert sind, wird die
zu identifizierende Person herausgesucht. Die aktuellen Daten müssen von dem biometrischen System mit dem gesamten Datenbestand verglichen werden bis in den Referenzdaten Übereinstimmungen gefunden sind. Die Genauigkeit des Verfahrens hängt von den
zuvor festgelegten Toleranzschwellen ab. Es kann aber keine hundertprozentige Übereinstimmung erreicht werden, sondern nur eine hinreichende Deckung der Daten. Zur
Identifizierung einer Person muss der Schwellwert bezüglich eines Referenzdatensatzes
überschritten werden. Mithilfe eines 1 W n-Vergleichs aus dem Referenzdatensatz ist dem
System die gesuchte Person bekannt und es weiß, um welche Person es sich handelt [42].
2.1.2
Die Verifikation – Bin ich der, für den ich mich ausgebe?
Damit das Verfahren herausfindet, ob eine Person die ist, für die sie sich ausgibt, müssen
die Daten innerhalb von festgelegten Toleranzschranken übereinstimmen. Diese Schranken sind im Programm festgelegt. Das bedeutet, dass die gewonnenen Daten mit einem
einzigen Datensatz in einem 1 W 1-Vergleich gegenübergestellt werden. Der Vorteil beim
Abgleich der aktuellen Daten mit nur einem Referenztemplate ist der Faktor Zeit, da eine
Identifikation mithilfe eines 1 W n-Vergleichs mit zunehmender Größe immer langsamer
wird [42].
In der modernen forensischen Fallarbeit gewinnt die Biometrie (biometrische Verfahren und Systeme) immer mehr an Bedeutung. Der technologische Fortschritt erlaubt in
zunehmendem Maße rasche Messungen von biologischen Charakteristika und deren Auswertung mit vertretbarem Aufwand und hoher Qualität. Der Einsatz von Biometrie ist
ein vielversprechender Ansatz, das Locard’sche Prinzip auf eine neue qualitative und
quantitative Ebene zu heben. Wie verbindet man die Spuren mit der Identität einer oder
mehrerer Personen? Dies gilt nur, unter der Annahme, dass biometrische Systeme kreiert werden, die eine Speicherung, Analyse, Kombination und Vergleich biometrischer
Daten ermöglichen. In der heutigen globalisierten Informations- und Wissensgesellschaft
kommt der Lösung dieses Problems eine immense Wichtigkeit und Bedeutung zu. Analog
zum menschlichen Verhalten können diese Systeme trainiert werden und so eine höhere
Erkennungsrate erzielen [42].
2.2 Biometrie
Der Begriff Biometrie stammt aus dem Griechischen und bildet sich aus den altgriechischen Wörtern bios (ˇKo&) für Leben und metron ("Ko) für Maß. Danach ist die
Biometrie die Wissenschaft der Körpermessung an Lebewesen, speziell am Menschen.
Die klassische Begriffsdefinition der Biometrie beschreibt die Anwendung statistischer
2
Biometrie und die Analyse digitalisierter Spuren
27
Methoden in Human- und Veterinärmedizin, in Land- und Forstwirtschaft, in der Biologie
sowie in verwandten Wissenschaftsgebieten. Dieser Begriff schließt das Wissen um die
Merkmale von Menschen mit ein. Aus einzelnen oder einer Kombination von biometrischen Daten, welche auf diesen Merkmalen basieren, wird eine Person authentifiziert oder
identifiziert.
2.2.1
Historischer Streifzug durch die Biometrie in der Forensik
Die Vermessung des Menschen zu Identifikationszwecken ist eine alte wissenschaftliche
Idee. Bereits mehr als zweitausend Jahre vor Christus wurden Fingerabdrücke verwendet,
um auf Tontafeln, welche zu dieser Zeit als Urkunden dienten, den Aussteller der Urkunde
zu markieren. Auch zu Zeiten der Han-Dynastie, ca. 100 nach Christus, verwendete man
den Fingerabdruck als Unterschrift. In Strafverfolgungsprozessen wurde der Identifizierungswert des menschlichen Fingerabdruckes vermutlich schon im zwölften Jahrhundert
eingesetzt. Darauf weist ein 40-bändiger Kriminalroman des chinesischen Schriftstellers
Shi nai-ngan hin, welcher beschreibt, wie man zwei Mörderinnen die „Finger einschwärzen und abdrücken“ ließ. Unter dem Titel: „Über das äußere Gefühlsorgan“ wurde im
Jahre 1686 durch Marcellus Malphigius erstmals eine Schrift veröffentlicht, welche sich
den Furchen und Mustern der Handflächen widmete. Der tschechische Professor Johann
Evangelista Purkinje legte 1823 durch seine Definition der neun Grundmuster die Basis
für die heutige Klassifizierung von Fingerabdrücken. Etwa 20 Jahre später erbrachte der
deutsche Anthropologe Hermann Welker den empirischen Beweis der Unveränderlichkeit des Fingerabdrucks im Laufe eines Lebens. Ende des 19. Jahrhunderts wird durch
die systematische Aufnahme verschiedener Körpermaße, wie beispielsweise der Länge
und Breite des Kopfes, der Begriff der „Anthropometrie“ geprägt. Alphonse Bertillon publiziert 1885 die Farbe der Iris als Erkennungsmerkmal des Menschen. 1892 postulierte
Sir Francis Galton, dass der menschliche Fingerabdruck einzigartig für jedes Individuum
ist und im Laufe des Lebens weitgehend unverändert bleibt. Damit wurde der wissenschaftliche Grundstein für die Verwendung der Daktyloskopie in der Personenerkennung
gelegt. Bereits fünf Jahre später wurden die ersten Straftäter durch New Scotland Yard mithilfe von Fingerabdrücken überführt. Seit 1952 erkennt der deutsche Bundesgerichtshof
den Beweiswert der Daktyloskopie uneingeschränkt an. Die Einzigartigkeit der Irismusterung und deren Eignung zu Identifizierungszwecken wurden erstmals 1936 erwähnt.
In den 1980er Jahren wurden dann Verfahren zur Retina- und Iriserkennung entwickelt.
Im Jahr 1994 wurde der erste einsatzfähige biometrische Algorithmus von John Daugman entwickelt und zum Patent angemeldet. In den Jahren 1994 bis 1996 wurde von dem
US-amerikanischen Verteidigungsministerium der erste Wettbewerb von Gesichtserkennungssystemen ausgetragen [23].
28
2.2.2
D. Labudde
Biometrie und das Locard’sche Prinzip
Das Locard’sche Austauschprinzip macht die Rolle der Spur (physisch und digital) auf
eine einprägsame Art deutlich. Wir werden uns hier lediglich auf die „biometrischen“
Spuren konzentrieren. Jedoch gilt das Prinzip der Ähnlichkeit auch für Werkzeugspuren
oder Abdrücke von Autoreifen. Im Wesentlichen unterscheidet man vier Spurenkategorien:
Materialspuren. Basieren auf den stofflichen Eigenschaften und deren Zuordnung
(z. B. Spermaspuren, Blutspuren, Speichelspuren, Haare).
Formspuren. Forensische Schlussfolgerungen basieren auf der Form der Spuren (z. B.
Blutspritzmuster, Werkzeugabdruck auf Haut oder Knochen).
Situationsspuren. Sammlung von Informationen aus der besonderen Lage von Spuren
oder Gegenständen zueinander oder zur Umgebung (Stellung von Fenstern und Türen,
Lage der Kleidung).
Gegenstandsspuren sind beweiserhebliche Gegenstände, die vom Täter oder Opfer
am Tatort (Tatortbegriff im erweiterten Sinne) zurückgelassen worden.
Opfer, Täter, Tatmittel und Tatort stehen über die Veränderungen (physische Spur) in einem nachvollziehbaren Zusammenhang (Abb. 2.1). Kein Täter kann eine Tat begehen oder
einen Tatort verlassen, ohne eine Vielzahl von Spuren zu hinterlassen. Locard formulierte
das so:
Abb. 2.1 Darstellung der
Beziehungen zwischen Täter, Opfer, Tatmittel und dem
Ort des Geschehens. Der Zusammenhang wird durch die
physischen Spuren vermittelt
2
Biometrie und die Analyse digitalisierter Spuren
29
Tab. 2.1 Zusammenhang Spurenverursacher und Spurenträger. Dargestellt sind mögliche Übertragungen zwischen Täter, Opfer, Tatmittel und dem Ort des Geschehens [19]
Spurenverursacher Spurenträger Beispiel
Täter
Opfer
Würgemale
Tatmittel
Fingerabdrücke auf Hammerstiel
Tatort
Fußabdruckspuren im Garten
Opfer
Täter
Blutspuren auf Hemd
Tatmittel
Hautzellen des Opfers
Tatort
Blutspuren des Opfers
Tatmittel
Täter
Fingerabdrücke an der Waffe
Opfer
Schussverletzungen
Tatort
Reifenspuren
Tatort
Täter
Bodenspuren an den Schuhen
Opfer
Botanische Spuren
Tatmittel
Mechanische Spuren an der Tür
„Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient
als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch
seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er
hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der
Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er
ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis.
Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen,
sie können nicht vollständig verschwinden. Nur menschliches Versagen, diese zu finden, zu
studieren und zu verstehen, kann ihren Wert zunichtemachen.“[31]
Die Auswirkung oder auch Wirkung ist in den Veränderungen an den Objekten messbar. Ausgehend vom Locard’schen Prinzip sind Spurenübertragungen von Form- und Materialspuren zwischen Täter, Opfer, Tatmittel und Tatort möglich. Tab. 2.1 beinhaltet einen
Überblick zu möglichen Übertragungen und Zusammenhängen zwischen Spurenverursachern und Spurenträgern [19]. So kann ein Täter seinen individuellen Fingerabdruck
auf einem Tatwerkzeug hinterlassen. Durch biometrische Methoden und Systeme kann
dieser Abdruck analysiert und zugeordnet werden. Das Verständnis und die Zuordnung
der Spuren ermöglicht eine Rekonstruktion des Tatherganges und die Identifizierung bzw.
Verifizierung des Täters und/oder des Opfers. Der Prozess der Zuordnung (Identifikation bzw. Verifikation) lässt über die Bestimmung der Ähnlichkeit zweier Merkmale bzw.
deren Veränderungen am Tatort bestimmen. Biometrische Verfahren erlauben ebenso Gegenstände die mit einem möglichen Täter oder Opfer in Verbindung stehen zu analysieren
und diese einer Person zu zuordnen.
Der Raum der möglichen Spuren hat sich durch das Informationszeitalter, in dem wir
leben, deutlich vergrößert. Neben den von Menschen erkennbaren Merkmalen wie dem
Gesicht, der Stimme, dem Gang oder der Handschrift können speziell entwickelte Ver-
30
D. Labudde
fahren Parameter, die dem menschlichen Auge verborgen sind, erfassen und analysieren.
Dazu gehört der sogenannte chemische Fingerabdruck [25], die Zusammensetzung der
Atemluft und der Individualgeruch des Menschen [27] oder die komplexe Struktur der
Iris [5]. So ist es heute denkbar, das Verhalten eines Menschen bei der Bedienung von
mobilen Devices durch sein Tippverhalten zu charakterisieren. Analog dazu wurden Algorithmen entwickelt, die eine Identifizierung oder Verifizierung von Personen über die
Benutzung eines Bio-Pens [49] ermöglicht. Dabei ist die Vorgehensweise mit dem Verfahren der Analyse der klassischen Handschrift vergleichbar. Die Authentifizierung von
Personen über deren Handschrift ist in den letzten Jahren ein wichtiges Einsatz- und Forschungsgebiet des Sicherheitssektors geworden
Dabei wird das individuelle Schriftbild einer Person mithilfe eines Passwortes aufgenommen und anschließend mit biometrischen Algorithmen ausgewertet, um Identität
festzustellen oder auszuschließen. Jüngste Untersuchungen [2] zeigten, dass dieses Verfahren auch in der Forensik genutzt werden kann. Der BiSP (Biometric Smart Pen) zum
Beispiel erkennt Bewegungen in der Luft und kann die gewonnenen Daten dank vieler
Nachbearbeitungsschritte besser und schneller miteinander vergleichen. Die durchweg
sehr hohen Wiedererkennungsraten der einzelnen Schriftbilder (99,9 %) sprechen ganz
klar für den forensischen Einsatz dieser Technik. Die aufwendigen Bearbeitungsschritte
benötigen jedoch einen enormen Rechenaufwand, wodurch einzelne Berechnungen bis zu
15 Sekunden dauern können, was im Vergleich zu anderen biometrischen Untersuchungen
(Fingerabdruck, Irisscan) langsam ist. Diese Problematik sollte, neben der Verbesserung
der Usability der Geräte, Inhalt weiterer Forschungen auf diesem Gebiet sein.
2.3
Biometrische Merkmale
Die Biometrie beschäftigt sich mit dem Vermessen von Lebewesen nach quantitativen
Merkmalen. Es handelt sich um die automatisierte Vermessung eines individuellen – physiologischen oder verhaltenstypischen – Merkmals einer Person, um eine Identifikation
bzw. Verifizierung von Personen zu ermöglichen. Das Ziel der Biometrie ist die Zuordnung einer Identität und entsprechender Rechte zu einer physischen Person. Unterschieden werden biometrische Verfahren und Systeme. Ein biometrisches Verfahren ist
ein auf biometrischer Erkennung basierender Mechanismus zur Authentisierung eines
Menschen aufgrund seiner persönlichen, biologischen Eigenschaften mittels entsprechender Erkennungsgeräte. Unter einem biometrischen System ist eine Hard- und SoftwareKombination zur biometrischen Identifikation oder biometrischen Verifikation zu verstehen, das unter Verwendung biometrischer Verfahren arbeitet. Die Grundlage aller biometrischer Verfahren basiert darauf, dass verschiedene Körper- oder Verhaltensmerkmale
einem bestimmten Menschen zuzuordnen sind. Viele der für eine biometrische Erkennung
verwendeten körperlichen Merkmale wie Gesicht und Finger sind offen erkennbar. Biometrische Merkmale können schließlich nicht auf anderen Menschen übertragen werden.
Erkannt wird der Nutzer hier anhand seiner Individualität. Im Gegensatz zu lediglich auf
2
Biometrie und die Analyse digitalisierter Spuren
31
Tab. 2.2 Biometrie, Wissen und Besitz in Bezug auf Kopierbarkeit, Verlust, Diebstahl, Änderbarkeit und Weitergabe
Biometrisches Merkmal
Verlust
Änderbarkeit
Dublizierbarkeit
Diebstahl
Weitergabe
Beispiel
Sehr schwer bis unmöglich
Schwer bis unmöglich
Einfach bis sehr schwierig
Schwierig
Einfach bis schwierig
Iris, Papillarleisten, Gesicht,
Ohr
Persönlichen Besitz
(Prinzip des Besitzes)
Einfach
Einfach
Einfach bis schwer
Möglich
Einfach
Pass, Ausweise, Mitgliedskarten, Schlüssel
Geheimes Wissen
(Prinzip des Wissens)
Möglich
Einfach
Möglich
Möglich
Möglich
PIN, Logindaten,
Schließcode
die Person bezogenen Merkmalen sind diese also direkt und nicht nur abgeleitet unmittelbar an die Person gebunden. An ein körperliches Merkmal muss sich der Merkmalsträger
nicht erinnern, er trägt es untrennbar stets bei sich. Es kann im Allgemeinen auch nicht
geheim gehalten werden. Im Gegensatz dazu stehen Merkmale die auf persönlichen Besitz und geheimes Wissen zurückgehen. Beispiele dafür sind der Besitz eines Ausweises
und die Vergabe von Passworten. Derartige Merkmale können leichter verloren gehen,
ausspioniert bzw. weitergegeben und verändert werden. In naher Zukunft ist von einer
Durchmischung dieser Prinzipien (Biometrie, Wissen und Besitz) bzw. Kombination auszugehen. Ein Beispiel dafür ist die Einführung des ePass in Deutschland im November
2005. In der ersten Generation ist hier das Passfoto als biometrisches Merkmal im Chip
gespeichert. Seit dem 1. November 2007 werden in elektronischen Pässen der zweiten
Generation zusätzlich zwei Fingerabdrücke gespeichert.
Die Tab. 2.2 stellt die drei Prinzipien (Biometrie, Wissen und Besitz) in Bezug auf
Kopierbarkeit, Verlust, Diebstahl, Änderbarkeit und Weitergabe.
Biometrische Merkmale sind aus biologischer Sicht schwer in Kategorien einteilbar.
Zum einen enthalten sie genotypische Anteile und sind somit auch vererbbar. Zum anderen
entstehen viele der biometrischen Merkmale, welche in der forensischen Fallarbeit genutzt werden, durch einen zufälligen Prozess während der Embryonalentwicklung. Andere
Merkmale sind verhaltensgesteuert und damit konditioniert und anerzogen bzw. können
geändert werden. Nach der Entstehung biometrischer Merkmale könnten somit drei Kategorien genutzt werden:
genotypisch,
randotypisch,
konditioniert.
Oft enthält jedes einzelne biometrische Merkmal alle drei Entstehungskategorien, die mit
einer unterschiedlichen Gewichtung, im Sinne einer Bewertung, eingehen. Die Stimme
eines Menschen ist durch die individuelle Anatomie geprägt, jedoch unterliegt die Klangfarbe der Stimme im Prozess von Wachstum und Alterung starken Schwankungen. Dieses
32
D. Labudde
Abb. 2.2 Darstellung einer möglichen Einteilung biometrischer Merkmale auf der Grundlage ihrer
Entstehung und Veränderbarkeit. Es werden die Gruppen der physiologischen bzw. verhaltensbezogene Merkmale unterteilt
Merkmal wird durch den momentanen Zustand der Person (Stress, Freude, Trauer) in einer
konkreten Situation moduliert. Im Allgemeinen stellt man im Prozess der Authentifizierung und Identifizierung folgende Eigenschaften an biometrische Merkmale:
Einzigartigkeit: Merkmal muss hinreichend verschiedene Ausprägungen besitzen
Konstanz: Merkmal soll sich im Laufe der Lebenszeit möglichst wenig verändern
Verbreitung: Merkmal soll möglichst häufig in der Population vorhanden sein.
Leider sind diese Kriterien nicht immer hinreichend wissenschaftlich untersucht und
dokumentiert. Biometrische Merkmale werden in der Praxis in zwei Kategorien, nach
Entstehung und Veränderbarkeit, eingeteilt: physiologische (passive Merkmale) und verhaltensbezogene (aktive Merkmale). Abb. 2.2 zeigt eine Reihe biometrischer Merkmale,
welche gegenwärtig in der forensischen Fallarbeit Verwendung finden. In der Literatur erfolgt oft eine andere Einteilung auf der Grundlage der angewandten Methode zur Messung
der korrespondierenden Merkmale.
Die Merkmale aus Abb. 2.2 erfüllen die Anforderungen an biometrische Merkmale,
jedoch besteht eine Variation in einzelnen Eigenschaften in Bezug auf Konstanz und Einzigartigkeit.
2
Biometrie und die Analyse digitalisierter Spuren
33
2.4 Ausgewählte Analyseverfahren
Die biometrische Erkennung basiert auf einem einheitlichen System. Trotz der hohen
Individualität der verschiedenen biometrischen Systeme kann man von einem gemeinsamen Grundaufbau ausgehen. Die drei grundlegenden Phasen sind: Erfassung der biometrischen relevanten Eigenschaft, Gegenüberstellung mit einem Template-Datensatz oder
Vergleichsmaterial und dem Abgleich, dem sogenannten Matching. Für den Prozess des
Matchings sind sogenannte Ähnlichkeitsfunktionen erforderlich, diese ermöglichen eine
genaue Abschätzung der gefundenen Ähnlichkeit bzw. Identität. Damit wird eine nummerische Bestimmung im Vergleich zwischen dem Template bzw. der Vergleichsprobe und
dem Original erst möglich.
2.4.1
Der Fuß als biometrisches Merkmal im Prozess der Digitalisierung
Fußabdrücke (im Gegensatz zu Schuhabdrücken), die beispielsweise an einem Tatort hinterlassen wurde, weisen neben der Fußgröße weitere spezifische Merkmale wie z. B. Länge, Breite, Ansatzfläche oder pathologische Erscheinungen, die für eine Tätersuche genutzt werden können, auf. Exemplarisch besitzen etwa 70–80 % der Erwachsenen Fußdeformitäten, die gemeinsam mit den geometrischen Fußparametern und dem Gewicht zur
Eingrenzung möglicher Tätergruppen genutzt werden können. Damit stellen die Podologie und entsprechende wissenschaftliche Ansätze zur Auswertung von Fußabdrücken an
einem Geschehensort ein adäquates Hilfsmittel dar.
Ähnlich wie bei der Erfassung des Fingerabdruckes sollten die messbaren Parameter
eines Fußabdruckes (z. B. Clarke-Winkel, Stritzer-Guadonov-Index, Fersenwinkel) durch
technische Gegebenheiten oder äußere Bedingungen so unverändert wie möglich vorliegen. Für die digitale Erfassung der Physiognomie werden Podoskope aus dem medizinischen Bereich eingesetzt. In der Medizin wird diese Form der Bildaufnahme vorwiegend
zur Feststellung von Fußschwächen und Haltungsanomalien eingesetzt. Mit der Erfassung von Druckpunkten der Füße mittels polarisierten Lichts, im statischen und aktiven
Zustand, stellt diese z. T. digitalisierte Aufnahmetechnik eine moderne Form, gegenüber
den klassischen Tintenabdrücken in der Forensik, dar. Zur Verarbeitung der Daten können
eine Reihe von Algorithmen genutzt werden [48].
Der Canny-Algorithmus wird vorzugsweise zur Kantendetektion in einem erzeugten
Graustufenbild ausgehend vom Originalbild genutzt. Zur Erhaltung des Inhaltes aus dem
Originalbild gliedert sich der Algorithmus in verschiedene Faltungsoperationen. An die
Umwandlung in ein Schwarz-Weiß-Bild schließt die Bewertung der Pixel und deren Nachbarschaft für die Kantenfestlegung an. Problematisch bei diesem Algorithmus ist, dass
durch das Bildrauschen Helligkeitsunterschiede entstehen können, wodurch die Genauigkeit des Verfahrens beeinträchtigt wird. Um diese Schwachstelle zu umgehen, wird häufig
eine normalverteilte Maske angewendet. Jedoch kann es dadurch passieren, dass feinere
34
D. Labudde
Abb. 2.3 Schritte der Fußtyperkennung
Elemente bzw. Kanten nicht als solche erkannt und folglich nicht berücksichtigt werden.
Dadurch kann wiederum ein Informationsverlust im Bild entstehen [9, 21].
Mit dem Spearman-Korrelationskoeffizient wird der Grad einer linearen Abhängigkeit
zwischen zwei Merkmalen bestimmt. Im Falle einer nichtlinearen Abhängigkeit würde
der Wert Null resultieren. Allerdings kann zwischen den Parametern ein nichtlinearer
Zusammenhang bestehen, wodurch gezeigt wird, dass der Korrelationskoeffizient kein
hinreichend geeignetes Maß für die Darstellung der Merkmalsabhängigkeit ist [50].
In einer kürzlich erschienen Arbeit von Pauk et al. [37] erfolgt die Darstellung eines Systems zur allgemeingültigen computergestützten Charakterisierung diverser Fußtypen [38]. Das betreffende Verfahren teilt sich in drei grundlegende Schritte, die im
Folgenden zusammenfassend erläutert werden. Im ersten Schritt werden relevante Fußparameter sowohl fotografisch als auch über ein Podoskop festgehalten. Dabei sollten die
Testpersonen versuchen, eine entspannte Haltung anzunehmen. Dies hat den Zweck, dass
eine annähernd regelmäßige Druckverteilung über das gesamte Fußskelett erfolgt. Des
Weiteren muss in diesem Schritt eine Festlegung der Parameter im Versuchsaufbau zur
Nachvollziehbarkeit und Standardisierung des Verfahrens erfolgen. Darunter eine gleichbleibende Messdistanz, homogene Kameraeinstellungen, eine horizontale Ausrichtung
der Kamera, eine gleichmäßige Beleuchtung, eine voreingestellte Kameralinse und die
konsistente Nutzung einer Software zur Datenakquisition und Auswertung. Der Algorithmus zur Fußtypbestimmung nach Pauk et al. (2015) (in Abb. 2.3 dargestellt) umfasst die
folgenden vier Schritte:
1. Bild einlesen und rotieren
2. Kantenerkennung und Bildinvertierung
2
Biometrie und die Analyse digitalisierter Spuren
35
3. Detektion relevanter Messpunkte und Tangenten
4. Detektion der Liniensegmente und Clarke-Linie.
In den Schritten drei und vier werden Clarke-Winkel, Strizer-Gudonov: KY-Index, Fersenwinkel und Weysflog-Index berechnet. Die Basis hierfür bilden durch die Software
erkannte signifikante parametergestützte Fußpunkte.
Zur Verifikation des Verfahrens wurden 24 männliche und weibliche Studenten ohne
Verletzungen der unteren Extremität ausgewählt. Zugehörige Fußabdrücke wurden jeweils manuell sowie computergestützt erfasst und miteinander verglichen. Aus der Ergebnisgegenüberstellung wurde ersichtlich, dass keine signifikanten (Signifikanzlevel: 0,05)
Unterschiede zwischen beiden Verfahren (manuell und computergestützt) zu erkennen
waren. Die Studie zeigt, dass die computergestützte Analyse eine im Vergleich zu klassischen Fußabdruckverfahren nichtinvasive, schnelle und kostengünstige Alternative darstellt. Darüber hinaus zeigte sich, dass die Auswahl der Parameter ausreichend für die
Analyse war. Durch den Einsatz von Algorithmen im computergestützten Verfahren wird
der subjektive Einfluss des Testleiters und in Zusammenhang stehende Störvariablen minimiert. Die Autoren postulierten in der Arbeit zudem dass durch den Einsatz digitaler
fotografischer Aufnahmen und einer folgenden digitalen Bildbearbeitung die Genauigkeit
des Verfahrens erhöht wird [37].
Ein Fallbeispiel aus dem Jahr 1985 zeigt, dass Methoden für die Analyse von Fußabdrücken im forensischen Kontext bisher ungenügend sind und auf wissenschaftlicher,
objektiver Ebene verbessert werden sollten. Mit der Schlagzeile „Spurensuche – Der ungeklärte Dreifach-Mord von Volkartshain“ beschreibt der hessische Rundfunk ein grausames
Verbrechen im Jahr 1985, welches bisher noch nicht aufgeklärt ist.1 Besonders auffällig
in diesem Fall waren der unerwartete Ermittlungsablauf und die frühzeitige Präsentation
von Beweisen. Die Ermittler bezogen sich in der Beweisführung auf einen blutigen Fußabdruck (Schuhgröße 44), der am Tatort gesichert wurde. Im Laufe der Untersuchungen
wurden alle Männer mit der Schuhgröße 44 gebeten, einen Fußabdruck für den Zweck
einer orthopädischen Analyse anfertigen zu lassen. Mit Eröffnung des Verfahrens, das
überwiegend auf dem Fußabdruckvergleich der am Tatort gesicherten Spuren mit dem des
Angeklagten beruhte, wurden schnell eklatante Ermittlungsfehler bemerkt. Unter anderem wurde verschleiert, dass z. B. beim Abgleich der Fußabdrücke vom Tatort mit denen
vom Täter rechte und linke Abdrücke verwechselt wurden und sich laut Ergebnisstatistik eine 100 % Übereinstimmung ergab. Das Beispiel zeigt den Bedarf an objektivierten
Analysemethoden in der kriminaltechnischen Arbeit und Spurenanalyse, die u. a. eine
Nachvollziehbarkeit und Reproduzierbarkeit der Ergebnisse bedingen. Nur wenn eine
regionalunabhängige Verfügbarkeit von Analysemethoden und technischer Ausstattung
besteht, lässt sich eine objektivierte fallgebundene Darstellung der Ermittlungsresultate
1
Quelle: www.hr-online.de/website/fernsehen/sendungen/index.jsp?rubrik=85159&key=standard_
document_51337857
36
D. Labudde
ermöglichen. Dennoch müssen die jeweiligen computergestützten Verfahrensansätze für
die Analyse des biometrischen Merkmals Fuß weiter verbessert und optimiert werden.
2.4.2
Iriserkennung
Die Iris (Regenbogenhaut) wird anatomisch der Gefäßhaut des Auges zugeordnet und ist
mit dem Ziliarkörper verbunden. Sie bildet eine kreisrunde pigmentierte Schicht in deren
Mitte eine Öffnung – die Pupille – zu erkennen ist. Die Augenfarbe wird durch eingelagertes Melanin in der Regenbogenhaut bestimmt. In den ersten Lebensmonaten besitzen
alle Menschen die gleiche Augenfarbe. Danach ändert sich diese in den meisten Fällen.
Die Ausprägung des Irismusters ist ein zufälliger Prozess und ist von Ausgangsbedingungen während der embryonalen Entwicklung abhängig. Damit ist das Irismuster, entgegen
der Augenfarbe, nicht genetisch kodiert. Mit einer durchschnittlichen Anzahl von über
200 Einzelmerkmalen bildet der farbige Ring um die Pupille bei jedem Menschen ein
einzigartiges Muster ab. Diese Merkmale bleiben, Erkrankungen oder invasive Eingriffe
ausgeschlossen, annähernd ein Leben lang erhalten. Aus den genannten Gründen ist die
Iris ein sehr verlässliches biometrisches Merkmal. Selbst bei eineiigen Zwillingen ist die
Irismusterung unterschiedlich ausgeprägt [14].
Für die Iriserkennung sind nicht die Augenfarbe, sondern die äußerlich erkennbaren
Merkmale der Iris relevant. Neben dem Pupillarsaum gibt es weitere wichtige Strukturen.
Zum einen wird durch den Circulus arteriosus iridis minor die sogenannte „Iriskrause“
gebildet, welche die Iris in zwei Bereiche einteilt. Dem Ziliarteil, welcher aus „radial
gestellten Trabekeln“ [22] besteht, und dem Pupillarteil der den Sphinctermuskel enthält.
Zum anderen gibt es Buchten, auch Lakunen oder Krypten genannt, welche zwischen den
Trabekeln angeordnet sind. In Abb. 2.4 sind diese Strukturen dargestellt [22].
Ablauf der Iriserkennung
Der dargestellte Ablauf der Iriserkennung in Abb. 2.5 ist dem patentierten Algorithmus
von John Daugman nachempfunden [15]. Die Iriserkennung gliedert sich in zwei Abschnitte. Zunächst erfolgt die Aufnahme des Irisbildes während des Enrollments und die
Überführung in ein Template. Daraufhin folgt der paarweise Abgleich der Templates untereinander. Während der Aufnahme wird das Auge einer Person grundsätzlich in dessen
Gesamtheit aufgenommen. Um den Hintergrund in Form der Augenfarbe auszuschließen, werden die Aufnahmen im Infrarotbereich bei nahezu unsichtbarem Licht (850 nm)
angefertigt, wodurch die Melaninabsorption verhindert werden soll. Bei besonders hellen Hintergründen treten oftmals Umgebungsreflexionen durch die Hornhaut auf. Dieser
Effekt sollte vermieden werden, indem das Licht mit schmalen Wellenlängenbereichen bestrahlt wird. Dadurch wird lediglich das von der Kamera ausgehende Licht berücksichtigt,
und ein nichtreflektierendes Bild der Iris entsteht [13].
Nachdem das Bild der Iris störungsfrei aufgenommen wurde, folgt die Segmentierung
der Iris. Häufig wird hierfür die Methode einer Kreiskantenerkennung angewendet. In
2
Biometrie und die Analyse digitalisierter Spuren
37
Abb. 2.4 Strukturen der Iris.
Äußerlich sind mehrere grobe Strukturen auf der Iris zu
erkennen. Der Pupillarsaum
(gelber Pfeil), welcher vom
Pigmentepithel gebildet wird,
die Iriskrause (grüner Pfeil),
welche durch den Verlauf von
Blutgefäßen entsteht und verschiedene Trabekel, die von
Krypten (blauer Pfeil) unterbrochen werden. Der innere
Teil der Iris wird auch als
Pupillarteil, der äußere als
Ziliarteil beschrieben
den meisten Fällen liegt jedoch, beeinflusst durch Wimpern und Augenlider, keine exakte Kreisform vor. John Daugman verwendet zur Lösung dieses Problems sogenannte
Integrodifferentialgleichungen [15] (s. Gl. 2.1). Dabei wird zunächst der Irismittelpunkt
bestimmt. Dies kann bereits im Schritt der Aufnahme erfolgen. Für die eigentliche Segmentierung werden im Speziellen verschiedene Übergänge, bedingt durch Helligkeitsunterschiede im Übergang von Pupille zu Iris, berücksichtigt (Abb. 2.5).
ˇ
ˇ
I
ˇ
@
max ˇˇG .r/
r;x0 ;y0 ˇ
@r
r;x0 ;y0
ˇ
ˇ
I.x; y/ ˇˇ
ds ˇ :
2 r
ˇ
(2.1)
Der Irismittelpunkt wird durch die Variablen X0 und y0 bestimmt. I.x; y/ beschreibt
das Augenbild in Abhängigkeit der Helligkeitsintensität und wird über die Kreisfläche
ds.r/ integriert. Mithilfe der partiellen Ableitung nach dem Radius r wir die größte Helligkeitsänderung ermittelt. Ein zu bewertender Übergang wird somit durch die maximale
Änderung beschrieben. Die Rauschreduktion wird durch eine Gaußkurve G beschrieben.
Mit der Bestimmung eines neuen Startpunktes wird dann eine neue Iteration ausgeführt.
Der Prozess einer Übergangsbestimmung endet, sobald die Änderung des Maximums
unter einen definierten Schwellwert fällt. Aus der Segmentierung resultiert dann der aktuelle Irismittelpunkt und die Radien. Bei der Lid-Kanten-Erkennung werden parabolische
Integrodifferentialgleichungen verwendet. Trotz der Komplexität überzeugen diese Operationen gerade durch deren Effizienz und Schnelligkeit [13].
Einflussfaktoren wie unterschiedlich scharfe Übergänge zwischen Sklera und Iris,
nichtzirkuläre Iriskanten sowie unterschiedlich große Pupillen und Sehwinkel können
eine Identifikation beeinträchtigen. Aus diesem Grund werden zur Repräsentation der
38
D. Labudde
Abb. 2.5 Ablauf der Iriserkennung modifiziert nach [15]
realen Konturen der Iris sogenannte „Active Contours“ genutzt. Im Algorithmus von
John Daugman wird dazu eine Fourier-Reihenentwicklung, anstelle einer Transformation, verwendet. Damit wird ein schnelles Vorgehen und eine Art Flexibilität der „Active
Contours“ erreicht:
N
1
X
2i k
r e N :
(2.2)
Ck D
D0
Aus M diskreten Fourier-Koeffizienten (Gl. 2.2 ) ergibt sich die Fourierreihe (Gl. 2.3) als
Approximation der inneren oder äußeren Iriskanten:
M 1
1 X
2i k
Ck e N :
R D
N
(2.3)
kD0
Zur Bestimmung der Iriskanten werden im Daugman-Algorithmus 16–17 Fourier
Koeffizienten für die inneren Kanten und 4–5 für die äußeren Kanten angewandt. Für
die Wimperndetektion wird eine Verteilung der Irispixel mithilfe eines Histogramms
erstellt. Sehr helle Pixel werden hierbei der Iris und dunkle Pixel den Wimpern zugeordnet. Durch einen spezifischen Schwellwert können Wimpern-zugehörige Pixel eliminiert
werden [15]. Für den anschließenden Schritt der Iris-Code-Erzeugung wird das zuvor
bearbeitete Bild in eine Polarkoordinatendarstellung überführt (s. Gl. 2.4) [15]:
I.x.r; /; y.r; // ! I.r; /
x.r; / D .1 r/xp . / C rxs . /
y.r; / D .1 r/yp . / C rys . /:
(2.4)
2
Biometrie und die Analyse digitalisierter Spuren
39
Nach der Transformation folgt eine Projektion der Irisregionen auf zweidimensionale
Quadratur-Gabor-Wellenpakete für die Extraktion von Phaseninformationen:
Z Z
hfRe;I mg D sgn
fRe;I mg
ei !.
0
/ .r0 /2 =˛2
e
e.
0
/2 =ˇ 2
dd :
(2.5)
Die Bestimmung des Phasors hfRe;I mg erfolgt nach der Gl. 2.5. Die Parameter ˛ und ˇ
geben die Größenparameter der 2D-Wavelets (0,15–1,2 mm) an. Die Wavelet-Frequenz
wird mit ! angegeben [15, 41]. Für jeden Phasor werden mithilfe von Quadranten komplexe Bits bestimmt. Dabei wird die Lage des Phasors ermittelt und Phasenkoordinaten
(real, imaginär) als Paar von Nullen und Einsen ausgegeben. Aus der Iristransformation
resultiert schließlich ein Iris-Code, bestehend aus 2048 Phasor-Bits bzw. 256 Bytes [15].
Den letzten Schritt der Iriserkennung bildet der bitweise Vergleich erzeugter Templates
über die Bestimmung der Hammingdistanz beider Iris-Codes (Gl. 2.6 [15]). Der XOROperator gibt bei nicht identischen Bits eine Eins und bei Übereinstimmung eine Null aus.
Störungen, die z. B. durch Reflexionen, Augenbrauen oder Augenlieder entstehen werden mit einer Und-Verknüpfung zwischen zwei Bitmustern ermittelt. Große Unterschiede
zwischen zwei Iris-Codes werden mit dem Wert 1 der Hamming-Distanz beschrieben.
Umgekehrt kennzeichnet ein Wert 0 eine Übereinstimmung zweier Codes. Im Allgemeinen würde das biometrische System ab 70 % Identität, d. h. einer Hamming-Distanz von
0,3, ein positives Ergebnis beim Abgleich von zwei Irismustern erbringen:
HD D
T
T
k .codeA ˝ codeB/ maskA maskB k
T
:
k maskA maskB k
(2.6)
Die Iriserkennung bietet zusammengefasst zahlreiche Vorteile, die sie als biometrisches
Merkmal auszeichnet. Ähnlich wie der Fingerabdruck besitzt das Irismuster ein ähnlich hohes Maß an Variabilität und Zufälligkeit der Textur. Ein großer Vorteil gegenüber
Fingerabdrucksystemen ist die berührungsfreie Aufnahmemethode der Iriserkennungssysteme. Es ist sogar möglich, aus einigen Metern Entfernung ein Augenbild aufzunehmen
und die Iris zu segmentieren. Somit kann eine Personenidentifizierung völlig unbemerkt
und ohne das Zutun einer Person erfolgen. Im Vergleich zu anderen biometrischen Systemen zeigt sich, dass bei der Iriserkennung die geringsten Fehlerraten vorliegen. Mit einer
FRR von 0,45 % und einer FAR von 0,0001 wird nur ein geringer Teil falsch identifiziert.
2.5 Fingerabdruckanalyse
2.5.1
Der Fingerabdruck als biometrisches Merkmal
Nach wie vor gilt ein gesicherter Fingerabdruck vor Gericht und im Ermittlungsverfahren als eines der anerkanntesten biometrischen Merkmale zur Personenidentifizierung.
40
D. Labudde
Zusammen mit der DNA-Analyse besitzt der Fingerabdruck vor Gericht ein hohen Beweiswert. Die Musterentstehung der Fingerabdruckmorphologie ist ein genetisch unabhängiger Prozess, d. h., notwendige Informationen sind genetisch nicht kodiert und werden nicht auf Nachfolgegenerationen weitervererbt. Das Hautleistenmuster ist bereits im
vierten Embryonalmonat vollständig ausgebildet und bleibt bis zum Tode erhalten. Der
Bereich, der sich mit der Charakterisierung von morphologischen Besonderheiten eines
Fingerabdruckes beschäftigt, wird als „Daktyloskopie“ bezeichnet. Egal ob klassische
Daktyloskopie oder digitale Auswertung der Spuren, die komplexe Wissenschaft trägt
eine ganz eigene Entwicklungsgeschichte, ein einzigartiges Klassifizierungssystem und
eine situationsungebundene Anwendung [23].
Bis zur Rechtsprechung im Jahr 1952, durch die der uneingeschränkte Beweiswert
der Daktyloskopie im Strafverfahren anerkannt wurde, erfolgte die Datenverarbeitung
und -sicherung eher über eine mittlerweile überholte Variante. Fingerabdrücke wurden
mit Tinte abgenommen, auf ein Zehnfingerblatt aufgebracht und die Ablage der Blätter
bzw. Recherche erfolgte in großen Karteischränken. In den 60er und 70er Jahren entwickelte sich das Verfahren in Richtung einer effizienten, datenbankgestützten Speicherung
der Fingerabdrücke, um den stetig wachsenden Datenbeständen gerecht zu werden. Einer
der wohl bedeutendsten Qualitätssprünge wurde mit der Einführung des automatisierten
Fingerabdruckidentifizierungssystems (AFIS), das im Jahr 1992 in Betrieb genommen
wurde, erzielt. Dadurch ergaben sich ganz neue Perspektiven der Datenspeicherung. Mit
der Implementierung der Software MetaMorpho vor wenigen Jahren können mittlerweile
auch Handflächenspuren digitalisiert und ausgewertet werden. Nach aktuellen Zahlen des
BKA werden monatlich mehr als 40.000 neue Fingerabdruckblätter erfasst. Die AFISDatenerfassung erfolgt teilautomatisiert. Jedes Grundmuster wird auch heutzutage noch
über das Expertenwissen eines Daktyloskopiespezialisten ausgewertet und über die Tastatur kodiert [12, 36].
Den höchsten Identifizierungswert bei der Fingerabdruckanalyse besitzen die auf der
Leistenhaut befindlichen Papillarlinien des Menschen. Jeder Mensch trägt auf der Leistenhaut individuelle Muster (Schleife, Bogen, Wirbel) und zahlreiche Besonderheiten bzw.
Linienunterbrechungen (Minutien), die sich von Finger zu Finger unterscheiden.
2.5.2
Technologien zur Aufnahme des Fingerabdrucks
In der IT-gestützten, automatisierten Form ist das digitale Fingerabdruckverfahren ein
biometrisches Konzept mit hoher Erkennungsleistung. Für den Vorgang der Fingerabdruckanalyse sind vier grundlegende Schritte notwendig.
1.
2.
3.
4.
Abtastung des Fingerabdrucks,
Bildgenerierung,
Merkmalsextraktion,
Matching.
2
Biometrie und die Analyse digitalisierter Spuren
41
Abtastung des Fingerabdrucks
Bei der Erfassung des Fingerabdrucks wird zwischen Online- und Offline-Systemen unterschieden. Mittels der Abdruckvariante auf Papier wird ein Abbild durch gleichmäßiges
Abrollen des Fingers mithilfe von Tinte gewonnen (Offline-System). Der Finger wird von
einer Lageseite zur anderen abgerollt, um die vollständige Linienform zu erfassen. Anschließend kann der Abdruck fotografiert oder gescannt werden. Nachteile der Methode
sind auftretende Verzerrungen des Bildes, die beim Auf- und Abdrücken des Fingers entstehen, und ein langsamer Verfahrensablauf. Für ein teilautomatisiertes Kontrollsystem
zur Überprüfung von Zutrittsberechtigungen ist die Aufnahme auf Papier aus diesen Gründen nicht geeignet. Für die Erfassung von Lebendabdrücken wird der Finger selbst durch
leichtes Auflegen auf einen Sensor abgetastet und mit dem Datenverarbeitungssystem verbunden (Online-System). Dadurch ist der Ausschnitt des Fingerabdruckes kleiner als bei
der Erfassung auf Papier. Damit können die besonderen Gegebenheiten der Finger wie die
verschiedenen Hauttypen, Beschädigungen, Trockenheit oder Feuchtigkeit toleriert werden.
Mit der Einführung neuartiger sensorbasierter Verfahren zur Abtastung und Aufnahme
von Fingerabdrücken vor über 30 Jahren entwickelte sich ein breites Feld an zugrundeliegenden Technologien für den Einsatz in der forensischen Praxis. Die zur Abtastung
üblicherweise angewandten Technologien lassen sich in die Kategorien optische Sensoren, Siliziumsensoren und Ultraschallwellensensoren einordnen.
Optische Sensoren
Häufig kommen optische Sensoren, bei denen der Finger über einen Scanner oder eine
Kamera aufgenommen wird, zum Einsatz. Ein Beispiel für einen optischen Sensor ist in
Abb. 2.6 dargestellt. Zunächst wird der Finger auf eine Ebene bzw. eine Glasfläche (z. B.
Glasprisma, Fiberglas) aufgebracht und das ausgehende Licht beim Auflegen des Fingers
zu einem CCD-Sensor geleitet. Damit eine gute Qualität des Abbildes gewährleistet ist,
sollten die Oberflächen regelmäßig von zurückgebliebenen Schweiß- oder Dreckspuren
gereinigt werden. Im Allgemeinen sind hier Aufnahmen mit bis zu 500 dpi möglich. Ein
gravierender Nachteil dieser Technologie ist, dass sie durch Fingerprothesen oder andere
Imitate relativ einfach „auszutricksen“ ist [34].
Siliziumsensoren
Die Abtastung mittels Siliziumsensoren beruht auf der Messung physikalischer Größen,
wie z. B. Wärme, elektrische Feldstärke oder Kapazität. Der Finger wird nicht wie bei
den optischen Sensoren auf eine Glasprismafläche aufgebracht, sondern auf eine dünne
Schicht, über welche die entsprechende physikalische Größe gemessen wird. Im Aufbau
des Sensors werden mehrere Sensoruntereinheiten, in Form zweidimensionaler Arrays,
unterschieden. Im resultierenden Bild entspricht jede Sensoruntereinheit einem Pixel. Von
Vorteil sind die geringe Sensorgröße und die niedrigen Anschaffungskosten. Allerdings ist
die Schutzschicht sehr empfindlich gegenüber äußeren Einflüssen. Eine elektrostatische
Entladung des Fingers reicht schon aus, um den Sensor außer Betrieb zu setzen. Mit einer
42
D. Labudde
air
ridges and valleys
contact
gass prism
B
lens
A
light
optical path
CCD or CMOS
Abb. 2.6 Beispiel für einen optischen Sensor. Bestandteile des FTIR-Sensors (Frustrated Total
Internal Reflection) sind: eine Lichtquelle, ein Glasprisma, eine Linse und ein CMOS- oder CCDSensor. Durch das direkte Aufbringen des Fingers auf das Glasprisma haben die Grate direkten
Kontakt mit dem Prisma. Zwischen den Tälern und dem Prisma ist hingegen Luft. Das auf das
Prisma einseitig gesendete Licht wird an den Tälern reflektiert und an den Graten absorbiert bzw.
zufällig gestreut. Reflektierte Strahlen werden auf der anderen Seite durch eine Linse auf ein CMOSoder CCD-Sensor zur Aufnahme gebündelt [34]
robusteren Schutzschicht könnte dieser Effekt umgangen werden. Jedoch würde somit die
Erkennungssensitivität des Fingerabdruckes herabgesetzt werden [34].
Ultraschallwellensensoren
Vergleichsweise neuartig im Feld der Fingerabdruckerkennung ist der Einsatz von Ultraschallwellsensoren. Gemessen wird hierbei die Distanz zur Fingeroberfläche mithilfe
von akustischen Ultraschallwellen, die vom Finger reflektiert werden ohne einen direkten
Kontakt von Finger und Sensor. Durch Reflexion bzw. Absorption kann somit eine epidermale Mustererkennung im Abdruck erfolgen. Von Vorteil gegenüber den anderen beiden
vorgestellten Technologien ist, dass die ausgesendeten Wellen unbeeindruckt von anhaftenden Schmutzpartikeln am Finger sind. Damit ist der Sensor stabil gegenüber äußeren
Einflüssen. Allerdings ist die Praxistauglichkeit durch die Größe der Geräte und einen
hohen Kostenfaktor gegenwärtig noch nicht ausgereift [43].
Bildgenerierung
Infolge einer sensorbasierten Aufnahme eines Fingerabdruckes resultiert ein Graustufenbild des individuellen Papillarlinienmusters. Dunkle Linien repräsentieren Grate und helle
Täler. Wie gut das Endresultat der Aufnahme ist, hängt sowohl von technischen Details
(z. B. Bildauflösung, mind. 500 dpi), von personenabhängigen Einflussfaktoren (z. B. ausgeübter Druck oder Platzierung des Fingers) als auch von hautabhängigen Gegebenheiten
(z. B. sehr trockene oder sehr feucht Haut) ab (Abb. 2.7). Die Erstellung eines Graustufenbildes kann über zwei Aufnahmemodi erfolgen. Im Livescan-Modus wird, wie oben
beschrieben, der Abdruck über ein sensorbasiertes Verfahren detektiert. Hingegen wird
2
Biometrie und die Analyse digitalisierter Spuren
43
Abb. 2.7 Einfluss der Hautbeschaffenheit auf die Qualität des Bildes. a Fingerabdruck guter Qualität; b trockene Haut; c sehr feuchter Hautabdruck; d i. A. schlechter Fingerabdruck [34]
Abb. 2.8 Singularitäten und
Kern [34]
loop
whorl
delta
core
beim Offline-Modus ein latenter Fingerabdruck unabhängig von einem Sensor, z. B. über
fotografische Aufnahmen, erzeugt, welche dann später über einen Scanner digitalisiert
werden können [34].
Merkmalsextraktion
Die Klassifikation von Eigenschaften der Gratbestandteile (engl. ridges) eines Fingerabdruckes erfolgt hierarchisch über drei Ebenen. In der ersten Ebene werden topologische Singularitäten (Delta, Schleife, Wirbel) (Abb. 2.8) extrahiert [34]. Diese Singularitäten werden wiederum zur Klassifikation des Abdruckes in das zugehörige Grundmuster
(Abb. 2.9) genutzt. Die Extraktion von Singularitäten und dem Kern dient der Indexierung und Klassifizierung des Fingerbildes während der algorithmischen Verarbeitung des
Bildes [34].
Auf der zweiten Ebene werden weitere Eigenschaften, sogenannte Minutien (lat. minutus = „Kleinigkeit“), im individuellen Muster zur Templategenerierung gesucht. Diese
kleinen Besonderheiten im Papillarlininenverlauf entstehen durch diverse Formen von Un-
44
D. Labudde
Left loop
Right loop
Whorl
Arch
Tented Arch
Abb. 2.9 Grundmusterklassen nach Henry (1990) [34]
Ridge
ending
Bifurcation
Lake
Independent
ridge
Point or
Island
Spur
Crossover
Abb. 2.10 Häufig vorkommende Minutienarten [34]
Abb. 2.11 Minutienkoordination. Eine Gratendung mit deren
Koordinaten Œx0 ; y0 . ist der
Winkel, der durch die Minutientangente mit der x-Achse
gebildet wird [34]
terbrechungen der Grate (Abb. 2.10). Zu Ehren von Francis Galton, der 1892 erstmals eine
Klassifikationsschema für Minutien präsentierte, werden die Merkmale häufig auch „Galton details“ genannt [16, 34]. Häufig werden zur Lokalisation und näheren Beschreibung
der Minutie im Graustufenbild die Position sowie ein ungefährer Tangentenwinkel im Bild
angegeben (Abb. 2.11) [34].
Weitere Informationen zu den Graten, wie Breite, Form und Kontur, aber auch die
Anordnung der Poren können auf der dritten Ebene der Merkmalsextraktion erhalten werden [34].
Orientierungsbilderzeugung
Grundlage der später durchzuführenden Minutienbestimmung ist die Generierung eines
Orientierungsbildes aus dem originalen Fingerbild. Bei diesem Vorgehen wird zunächst
2
Biometrie und die Analyse digitalisierter Spuren
45
j
rij
i
θij
0 ≤ θij < 180°
Abb. 2.12 Koordinatenvergabe und Blockorientierung zur Erzeugung eines Orientierungsbildes.
Der Block Œi; j aus einer 16 16-Matrix besitzt die lokale Orientierung qij und den Zuverlässigkeitswert rij . Jedes Element bezeichnet die lokale Ausrichtung der Papillarlininen. Die lokale
Orientierung ist durch die Auslenkung der Strecke zur x-Achse dargestellt und die Größe des Zuverlässigkeitswertes durch die Länge dieser Strecke [34]
das aufgenommene Muster (Fingerabdruck) in regelmäßige Blöcke unterteilt. Dabei ist
es möglich, dass ein Block aus einem einzigen Pixel besteht. Anschließend erfolgt die
Beschreibung jedes Blockes der Matrix über die Orientierung eines Grates, indem eine lokale Orientierungsangabe durch den Winkel zwischen Grattangente und der horizontalen
x-Achse im Muster abgebildet wird [20]. Für die Berechnung eines Orientierungsbildes
aus dem Fingerabdruck können verschiedene mathematische Verfahren, wie der projektionsbasierte Ansatz nach Stock und Swonger (1969) oder die Berechnung der Gratgradienten [39, 40, 45] verwendet werden.
Durch mögliche Bildungenauigkeiten, beispielsweise ein Bildrauschen, muss die jeweilig bestimmte Blockorientierung auf Zuverlässigkeit geprüft werden. Hierzu wird das
Phänomen der „Glattheit“ des Fingerabdruckes bewertet, d. h., bei geringem Bildrauschen
verändert sich die lokale Orientierung direkt benachbarter Blöcke kaum. Verallgemeinert
beschreibt das Zuverlässigkeitsmaß die Übereinstimmung benachbarter Orientierungen
(Abb. 2.12) [34].
Aus der Gesamtheit aller Orientierungen der Teilblöcke ergibt sich dann das Orientierungsbild, wie in Abb. 2.13 zu erkennen [34].
Frequenzbilderzeugung
Nach der Erzeugung des Orientierungsbildes folgt die Erstellung eines Frequenzbildes,
über welches die lokale Dichte der Grate bestimmt wird. Auf Grundlage der Dichteinformationen können sowohl eine Menge an Fingerabdrücken als auch Fingerabdruckregionen
voneinander unterschieden werden. Für jeden bereits existierenden Block im Orientierungsbild Œxi ; yi wird ein weiteres Segment gewählt, welches orthogonal zum lokalen
Orientierungsmittelpunkt des Blocks zentriert ist. Daraufhin wird die Anzahl der segment-
46
D. Labudde
Abb. 2.13 Orientierungsbild. Von dem Fingerbild (a) wurde das Orientierungsbild (b) erzeugt [34]
Abb. 2.14 Frequenzbild von zwei Fingerabdrücken. Helle Bereiche bzw. Blöcke lassen hohe Frequenzwerte erkennen. Hingegen kennzeichnen dunkle Blöcke niedrige Frequenzbereiche [33, 34]
schneidenden Grate ausgezählt. Im Bild wird ein Grat als Graustufenspitze angenommenen. Nach der Berechnung der Frequenzwerte werden die unterschiedlichen Gratdichten
übergreifend in Form von Grauabstufungen dargestellt (Abb. 2.14).
Segmentierung
Der Schritt der Segmentierung beschreibt verallgemeinert die Trennung des Fingerabdruckmusters (Vordergrund) vom Bildhintergrund, um die Extraktion von Hintergundinformationen (z. B. Bildrauschen) zu vermeiden. Eine Variante der Segmentierung stellt
die Erzeugung des Orientierungsbildes dar, wobei von einer sog. „Unorientiertheit“ des
2
Biometrie und die Analyse digitalisierter Spuren
47
Abb. 2.15 Methoden der Segmentierung nach Ratha et al. [40]. a Originalbild; b Varianzfeld; c aus
b abgeleitetes qualitatives Bild: ein Wert („gut“, „mittel“, „schlecht“ oder „Hintergrund“) für die
Qualität wird in Abhängigkeit der Varianz jedem Block zugeordnet; d segmentiertes Bild [34]
Hintergrundes ausgegangen wird. Der Abdruck an sich ist hierbei stark orientiert (siehe
Abb. 2.15). Mit problembasierten Lernmethoden für die Segmentation z. B. nach Bazen
and Gerez [3], Chen et al. [10] und Zhu et al. [51] kann eine detailliertere Segmentierung
im Vergleich zu z. B. Schwellwert-basierten Methoden erfolgen [3, 10, 51].
Bestimmung von Singularitäten und dem Kern
Wie bereits in der Einleitung zum Schritt der Merkmalsextraktion beschrieben, werden
sowohl der Kern als auch die Singularitäten zur Indexierung und Klassifizierung des Fingerabdruckes benötigt. Ein Verfahren zur Bestimmung dieser beiden Variablen ist das
Poincaré-Indexierungsverfahren nach Kawagoe und Tojo [28]. Der Poincaré Index wird
wie in Gl. 2.7 dargestellt berechnet, wobei dk , k D 0; : : : ; 7, die acht umliegenden Blöcke
von Œi; j sind und jeweils die Blöcke dk , d.k1/ mod 8 benachbart sind.
P .i; j / D
X
kD0;:::;7
angle.dk ; d.k1/ mod 8 /
(2.7)
48
D. Labudde
Abb. 2.16 Beispielhafte Berechnung des Poincaré-Index in der 8er-Nachbarschaft von Punkten die
zu (v. l. n. r.) einer Wirbel-, Schleife-, und Delta-Singularität gehören [34]
Mit der Funktion angle wird der Unterschied zwischen den Winkeln beider Blockorientierungen beschrieben. Bei der Erzeugung gerichteter Orientierungen wird beim ersten
Block eine der beiden möglichen Richtungen gewählt. Die direkte Nachbarschaft wird
dann immer mithilfe des kleinsten Winkelunterschiedes bestimmt. Der Index wird dann
gemäß Gl. 2.8 interpretiert (vgl. Abb. 2.16) [34].
8
ˆ
0ı
ˆ
ˆ
ˆ
ˆ
<360ı
PG;C .i; j / D
ˆ
ˆ180ı
ˆ
ˆ
:̂
180ı
if [i,j] does not belong to any singular region
if [i,j] belongs to a whorl type singular region
(2.8)
if [i,j] belongs to a loop type singular region
if [i,j] belongs to a delta type singular region
Minutienbestimmung
Die Bestimmung von Minutien kann über zwei Methoden erfolgen. Zum einen kann dies
über das erzeugte Graustufenbild, zum anderen über ein Binärbild geschehen. Beim Einsatz des Graustufenbildes wird, ausgehend von einem lokalen Punkt, über die Grate iteriert
und ein neues Bild aufgezeichnet. Vom lokalen Punkt wird in Richtung der lokalen Orientierung eines Zwischenpunktes gegangen. Daraufhin wird eine orthogonal zur Orientierung
gelegene Strecke mit dem Zwischenpunkt als Ursprung betrachtet. Auf dieser Strecke wird
der höchstgelegene Punkt, welcher einen neuen Punkt darstellt, gesucht. Die Schritte werden bis zu einer bereits bekannten Gratmündung oder dem Gratende wiederholt [34].
Zunächst muss das Graustufenbild in ein Schwarzweißbild, durch Umwandlung der Pixel entsprechend eines Grau-Schwellwertes, transformiert werden. Im Ergebnis wird ein
Binärbild erzeugt. Die Gratdicke wird im Binärbild auf die Breite eines Pixels normiert.
Mögliche Artefakte, die hierbei entstehen und zu einer fälschlichen Identifikation führen können, werden aus dem Bild gefiltert, um die tatsächlichen Minutien bestimmen zu
können. (Abb. 2.17) [32].
2
Biometrie und die Analyse digitalisierter Spuren
49
Abb. 2.17 Minutiendetektion nach Maio und Maltoni [34]
Die Minutien können z. B. anhand der „crossing number“ cn.p/ eines Pixels p bestimmt werden (Gl. 2.9).
cn.p/ D
1 X
jval.pi
2 i D1;:::;8
mod 8 /
val.pi 1 /j
(2.9)
Wobei pi , die acht Nachbarpixel von p und jeweils pi mod 8 , pi 1 benachbart sind. Der
Farbwert des Pixels wird über die Funktion val angegeben (0 D weiß und 1 D schwarz).
Generalisiert beschreibt cn.p/ die in p mündende Anzahl der Grate. Unechte Minutien,
die in ihrer Struktur von tatsächlichen abweichen, werden in einem zusätzlichen Nachverarbeitungsschritt über die Glattheit des Fingers herausgefiltert.
2.5.3
Matching
Für den Vergleich zweier Fingerabdrücke (Input vs. Template) existieren drei Verfahren.
Korrelationsverfahren: Bei diesem Verfahren werden die Abdrücke über einen Vergleich der Pixel miteinander korreliert. Die Bilder werden hierbei in unterschiedlichen
Positionen miteinander verglichen, um Fehlplatzierungen zu umgehen.
Minutienbasierte Verfahren: Das minutienbasierte Verfahren ist eines der etabliertesten
Matching-Verfahren. Die Fingerabdrücke werden hier anhand der Minutienlage und
Orientierung miteinander verglichen.
Nichtminutienbasierte Verfahren: Zum Abgleich zweier Fingerabdrücke werden hierbei Gratdichte, Orientierung und Gratform gegenübergestellt. Das Verfahren ist besonders für die Auswertung qualitativ geringer Abdrücke geeignet.
Im Folgenden wird beispielhaft die Funktionsweise minutienbasierter Verfahren im Überblick dargestellt. Beide Abdrücke – Template- und Inputfingerabdrücke – lassen sich
50
D. Labudde
Abb. 2.18 Matchende Minutien sind von grau ausgefüllten
Kreisen umgeben. Hier liegen
räumliche und Richtungsdifferenz unter den Toleranzwerten.
Für alle übrigen Inputminutien gibt es keine matchende
Templateminutie [34]
vektoriell als T D .m1 ; m2 ; : : : ; mm / und I D .m01 ; m02 ; : : : ; m0n / beschreiben. Ein zugehöriger Vektor besitzt demzufolge eine beliebige Anzahl Minutien mi , bzw. mi Minutien
werden als Tripel der beiden Ortskoordinaten x und y sowie ihrer Ausrichtung (mi D
.xi ; yi ; i /; i D 1::mI mj0 D .xj0 ; yj0 ; j0 /; j D 1::n) beschrieben. Die räumliche Differenz sd (spatial difference) und die Richtungsdifferenz dd (direction difference) zweier
Minutien werden gemäß Gl. 2.10 definiert.
sd.mj0 ; mi / D
q
.xj0 xi /2 C .yj0 yi /2 r0
dd.mj0 ; mi / D min.j
0
j
i j; 360
ı
j
0
j
i j/
(2.10)
0
r0 und 0 sind die jeweiligen Toleranzwerte. Liegen räumliche und Richtungsdifferenz
unter diesem Schwellwert bzw. den Toleranzwertgrenzen, kann von matchenden Minutien
ausgegangen werden. In Abb. 2.18 ist der Richtungsabgleich von Minutien eines Inputfingerabdruckes mit den Minutien eines Templatefingerabdruckes dargestellt. Hier sind
Minutien des Inputabdruckes mit x und die des Templates mit o bezeichnet. Die Kreise
entsprechen der maximalen Entfernung, also dem Toleranzwert r0 . Die Pfeile stellen die
Ausrichtung der Minutien dar.
Damit die Anzahl an matchenden Minutien zwischen Input- und Template eruiert werden kann, müssen auf die Orts- und Richtungsparameter des Inputs verschiedene geometrische Transformationen durchgeführt werden, die eine maximale Anzahl matchender
Minutien erlaubt. Dies ist zwingend, aufgrund von verschiedenen Einflussfaktoren, notwendig. So spielt z. B. die Variationsbreite bei Positionierung und Rotation, im Schritt
der Fingerabdruckaufnahme, eine große Rolle. Es ist fast unmöglich, den Finger bei jeder Aufnahme identisch auf dem Sensorsystem zu positionieren, wodurch der eigentliche
Erfassungsbereich des Abdruckes stark variiert. Des Weiteren kann es durch einen unterschiedlich ausgeübten Druck zu nichtlinearen Verzerrungen in der Aufnahme kommen.
Ebenfalls können die im Schritt der Merkmalsextraktion entstandenen und möglicherweise nicht erkannten Artefakte zu einer Fehlinterpretation führen. Daher ist eine Qualitätsprüfung des Abdruckes während des Enrollments unerlässlich, wodurch bereit im Voraus
2
Biometrie und die Analyse digitalisierter Spuren
51
die genannten Einflussfaktoren beseitigt werden können. Für die geometrische Transformation existieren mehrere Möglichkeiten:
Deplatzierung der Koordinaten x und y,
Skalierung,
verzerrungstolerante Transformation,
Rotation der Ausrichtung ,
jede beliebige affine Transformation.
Die Frage nach dem „besten“ Matchingalgorithmus kann nur schwer beantwortet werden. Die Perfomance hängt von vielen Faktoren, wie Genauigkeit (z. B. FMR, FNMR),
Effizienz (Enrollment-, Verifikationszeit), Skalierbarkeit zur 1 W N -Identifikation und
Templategröße, ab. Des Weiteren spielt für die Entscheidung und damit auch für die
Gewichtung der einzelnen Performanzmaße, natürlich das jeweilige Einsatzgebiet eine
herausragende Rolle.
Am Beispiel des individuellen Papillarleistenmusters, welches sich nach der Digitalisierung als Papillarlinien-Muster darstellt, kann das Prinzip der Abhängigkeit des Informationsgehaltes eines biometrischen Merkmals von der Verwendung von Daten aus
unterschiedlichen Ebenen sehr gut nachvollzogen werden. Die erste Ebene der Information stellen die Grundmuster (Schleife, Bogen, Wirbel) im Papillarlinienmuster dar. Der
Informationsgehalt wird deutlich durch die Hinzunahme der anatomischen Merkmale auf
der zweiten Ebene (Minutien: eingelagerte Linie, Gabelungen, Auge oder Insel) sowie
durch die Lage und Form derer zueinander erhöht. Eine dritte Ebene bilden die sogenannten Erscheinungen, Zwischenlinien, Poren, Kantenverläufe und Feinstrukturen von Falten,
Furchen oder Narben. Durch die Verbesserung der Aufnahmetechniken im Prozess der
Digitalisierung ist der Informationsgehalt dieser Daten in der Kombination deutlich gestiegen. Eine vierte Ebene können chemische Komponenten darstellen, welche sich im
Papillarleistenmuster angereichert haben. Ein solcher „chemischer Fingerabdruck“ verrät den Ermittlern nicht nur die Identität des Täters (aus der Analyse der ersten drei
Ebenen), sondern auch, was er zuletzt in den Fingern hatte. Durch ein Analyseverfahren lassen sich Spuren von Drogen, Sprengstoff oder bestimmten Stoffwechselprodukten
des Täters direkt nachweisen. Das Analyseverfahren ist die Desorptions-ElektrosprayIonisations-Massenspektrometrie (Desi-MR). Aus den Daten wird dann der „chemische
Fingerabdruck“ erzeugt und liefert zusätzlich ein klassisches Fingerabdruckbild, welches
mit herkömmlich gespeicherten Dateien verglichen werden kann. Durch neuartige Methoden kann auch das feuchte Medium der Fingerbeeren analysiert werden. Beispiele dafür
sind:
Zusammensetzung [18],
Altersbestimmung [17],
Visualisierung [46],
Geschlechtsbestimmung [1].
52
D. Labudde
2.6 Ausgewählte Forensische Datenbanken
Der Übergang von einem biometrischen Verfahren zu einem funktionsfähigen und den
Anforderungen entsprechenden biometrischen System wird durch die Suche und den Vergleich mit in Datenbanken abgelegten Datensätzen erst möglich. Nachfolgend wird eine
Auswahl an gebräuchlichen Datenbanken gezeigt. In der Regel besitzen Strafverfolgungsbehörden interne, der Öffentlichkeit unzugängliche Datenbanken. Das beim Bundeskriminalamt (BKA) betriebene elektronische Informationssystem der Polizei (INPOL) dient als
informationstechnisches Verbundsystem von Bund und Ländern. Zugriffsberechtigt sind
neben dem Bundeskriminalamt selbst die Landespolizeidienststellen, die Bundespolizei
und die Zollbehörden. INPOL besteht zum einen aus Personen- und Sachfahndungsdateien2 , zum anderen ist es in zahlreiche Teildatenbanken aufgeteilt, die jeweils eigene Errichtungsanordnungen, d. h. Verfahrensverzeichnisse, die u. a. die Erhebung und Weiterverwendung personenbezogener Daten regeln, besitzen. Beispiele solcher Teildatenbanken
sind die DNA-Analysedatei (DAD) und das Analysesystem zur Serienzusammenführung
bei Gewaltverbrechen (ViCLAS).
2.6.1 DNA-Analysedatei (DAD)
Die DNA-Analysedatei [24] ist eine zur Speicherung von DNA-Profilen eingerichtete Datenbank, die seit dem 17. April 1998 vom Bundeskriminalamt (BKA) betrieben wird. In
der DAD werden durch die DNA-Analyse ermittelte genetische Fingerabdrücke von bekannten Personen (sogenannte Personendatensätze), sowie Tatortspuren von unbekannten
Personen (sogenannte Spurendatensätze) eingestellt und abgeglichen. Durch die Vernetzung und den automatisierten Abgleich der DNA-Datenbanken vieler europäischer Staaten können zudem wertvolle Ermittlungshinweise bei grenzüberschreitender Kriminalität
erhalten werden. Die DAD umfasste mit Ablauf des II. Quartals 2015 insgesamt 1.111.833
Datensätze, die sich aus 839.875 Personendatensätzen und 271.958 Spurendatensätzen zusammensetzen. Seit Errichtung der Datei wurden 198.644 Treffer erzielt.3
2.6.2
Violent Crime Linkage Analysis System (ViCLAS)
ViCLAS [26, 35] ist ein Analysesystem zur Serienzusammenführung bei Gewaltverbrechen. Es handelt sich also insbesondere um eine Falldatenbank, die speziell für den
Bereich der besonders schwerwiegenden Gewaltkriminalität entwickelt wurde und bei
Tötungs- und Sexualdelikten zum Einsatz kommt, bei denen keine familiären oder sons2
Stand 2014: 382.597 Festnahmeersuchen, 181.794 Ausschreibungen zur Aufenthaltsermittlung
und 10,6 Mio. gelistete Gegenstände.
3
nähere Informationen: http://www.bka.de/DE/ThemenABisZ/DnaAnalyse/Statistik/dnaStatistik__
node.html?__nnn=true
2
Biometrie und die Analyse digitalisierter Spuren
53
tigen bekanntschaftlichen Vorbeziehungen zwischen Opfer und Täter bestanden. Die
ViCLAS-Datenbank basiert auf der, in den 1980er Jahren durch das FBI entwickelten,
Falldatei „Violent Criminal Apprehension Program (ViCAP)“ und wird durch die „Royal Canadian Mounted Police (RCMP)“ verwaltet. ViCLAS wird neben Kanada in zehn
weiteren Staaten, wie Deutschland, Dänemark und Großbritannien, weltweit eingesetzt.
Die Datenbank ist dazu geeignet Rückfall-, Wiederholungs- und Serientäter anhand ihrer
Taten (Begehungsmuster) zu erkennen sowie Einzeltaten schnellstmöglich zusammenzuführen und bezüglich Übereinstimmungen zu anderen Fällen zu prüfen. In ViCLAS
werden ausführliche Fallinformationen zu Tötungsdelikten, sexuellen Gewaltdelikten,
Vermisstenfällen und verdächtigem Ansprechen von Kindern und Jugendlichen erfasst.4
Gerade mit dem Blick auf den CSI-Effekt ist es vorstellbar, dass alle besprochenen biometrischen Merkmale und die daraus extrahierten biometrischen Daten gespeichert und
verglichen werden können. Geeignete Datenbanktechnologien stehen Entwicklern und
Nutzern im ausreichenden Maße zur Verfügung.
2.6.3 Integrated Ballistic Identification System (IBIS)
Die IBIS-Datenbank [6, 47] beinhaltet Informationen über Geschoss- und Patronenhülsen
sowie Schusswaffen, die an Tatorten und von Tatverdächtigen sichergestellt werden konnten. Das Ziel dieser forensischen Datenbank liegt in der Beschleunigung des herkömmlichen labor- und zeitintensiven Vergleichsvorganges von ballistischen Informationen in
polizeilichen Ermittlungen. Ein wesentlicher Vorteil des IBIS liegt darin, dass Beweismittel einer laufenden Untersuchung mit ballistischen Informationen aus vorangegangenen
Ermittlungen verglichen werden können, um dadurch beispielsweise Schusswaffen zu
identifizieren, die bei mehreren Straftaten verwendet wurden. Um dies zu realisieren werden beispielsweise Aufnahmen von an einem Tatort asservierten Patronenhülsen in die
Datenbank importiert und mit enthaltenen Daten abgeglichen. Im Falle eines Matches erfolgt dann eine zusätzliche manuelle mikroskopische Überprüfung und Auswertung der
Daten durch einen Ballistik-Experten.5
2.6.4
Paint Data Query (PDQ)
Bei der PDQ-Datenbank [4, 8, 11] handelt es sich um eine Ansammlung chemischer
Zusammensetzungen von Farben und Lacken in- und ausländischer Automobilhersteller.
Die PDQ ist mit über 74.000 gespeicherten individuellen Farbschichten von Fahrzeugen
die größte internationale Datenbank, die Informationen dieser Art beinhaltet und Rück4
nähere
Informationen:
http://www.bka.de/DE/ThemenABisZ/OperativeFallanalyse/Viclas/
viclas__node.html?__nnn=true
5
nähere Informationen: https://www.atf.gov/
54
D. Labudde
schlüsse auf die Marke, das Model und Fabrikationsjahr eines Fahrzeugs ermöglicht. Die
Datenbank wird von forensischen Wissenschaftler aus einer Vielzahl von Ländern, wie
Kanada, USA, Australien, Afrika und Deutschland verwendet. Verwaltet wird die PDQ
von der „Royal Canadian Mounted Police“, der nationalen Polizei Kanadas. Die Informationen über die gespeicherten Lacke und Farben werden zum einen direkt von den
Herstellern der Fahrzeuge bezogen, zum anderen aber auch von Fahrzeugen von Schrottplätzen und Karosseriewerkstätten. Typische kriminalistisch relevante Sachverhalte, in
denen die PDQ Anwendung findet, sind Fahrerfluchten mit Personen- bzw. Sachschäden.
Eine zur PDQ ähnliche Datenbank ist die „National Automotive Paint File“ Datenbank
des FBIs.6
2.6.5 SoleMate
„SoleMate“ ist eine kommerzielle Datenbank, die Informationen über den Hersteller, das
Produktionsjahr und teilweise Fotoaufnahmen von mehr als 30.000 Sport-, Freizeit- und
Arbeitsschuhen enthält. Die Datenbank findet Anwendung, um Schuhabdrücke an Tatorten hinsichtlich einer bestimmten Marke zu identifizieren und somit möglichen Tatverdächtigen oder Personen, die sich am Tatort befundenen haben, zuordnen zu können.
„SoleMate“ kann als Stand-Alone oder mit SICAR, dem „Shoe Print Identification and
Casework Management System“, verwendet werden. Um einen asservierten Schuhabdruck mit in der Datenbank abgelegten Daten vergleichen zu können, werden typische
Features, wie Kreise, Rauten und Kurven, aus dem Schuhabdruck extrahiert. Die erhaltenen Muster werden als Grundlage für einen Vergleich verwendet.7
2.6.6 TreadMate
Bei „TreadMate“ handelt es sich um eine ähnliche Datenbank wie SoleMate mit dem Unterschied, dass Informationen zu Fahrzeugreifen gespeichert sind. Die Datenbank enthält
mehr als 5.000 Sommer-, Winter- und Allwetterreifen. Der Vergleich erfolgt ebenfalls
über extrahierte Features und Matchingalgorithmen.8
2.6.7 Automatisches Fingerabdruckidentifizierungssystem (AFIS)
Bei AFIS [29, 30] handelt es sich um eine in Deutschland seit dem Jahr 1993 genutzte
Datenbank über Fingerabdrücke. Die Datenbank basiert auf der Kodierung sogenannter
6
nähere Informationen: http://www.rcmp-grc.gc.ca/index.shtm
nähere Informationen: http://www.fosterfreeman.com/index.php/trace-evidence/357-sicar-6solemate-2
8
nähere Informationen: http://www.fosterfreeman.com/index.php/component/content/article/20products/shoe-print-identification/119-treadmate
7
Literatur
55
Minutien, wie die Gabelung einer Papillarleiste oder der Beginn bzw. das Ende einer Papillarleiste. Nach dem Einscannen und der Digitalisierung der Fingerabdrücke ermöglicht
AFIS eine automatische Featureberechnung basierend auf den Minuzien und den Abgleich
mit in der Datenbank bereits hinterlegten Fingerabdrücken. Zurzeit umfasst AFIS ca.
2.800.000 Fingerabruckblätter, ca. 1.900.000 Handflächenabdrücke und ca. 400.000 offene (ungelöste) Spuren. Durchschnittlich werden pro Jahr etwa 350.000 Fingerabdruckblätter, ca. 200.000 handflächenpaare und ca. 180.000 Spuren bearbeitet. Die Zahl der
Identifizierungen pro Jahr liegt bei ca. 20.000 Personen- und ca. 24.000 Spurenidentifizierungen.
2.6.8 Eurodac-System
Das Eurodac-System [7, 44] dient Mitgliedstaaten der Europäischen Union seit dem Jahr
2000 zur Identifizierung von Asylbewerbern und Personen, die beim illegalen Überschreiten einer EU-Außengrenze aufgegriffen wurden. Die Grundlage bilden unter anderem
wie bei AFIS Fingerabdrücke der jeweiligen Personen. Bei Aufgreifen eines Verdächtigen kann überprüft werden, ob dieser in einem anderen EU-Mitgliedsstaat Asyl beantragt
hat oder womöglich bereits zum wiederholten Male illegal eingereist ist, d. h., es soll
verhindert werden, dass Asylbewerber in mehreren Mitgliedsstaaten zeitgleich mehrere
Asylverfahren betreiben können. Neben Fingerabdrücken werden in der Datenbank zusätzliche Informationen, wie Geschlecht der Person, Herkunftsland und der Zeitpunkt der
Abnahme der Fingerabdrücke, gespeichert.
Literatur
1. Badawi, A.M., Mahfouz, M., Tadross, R., Jantz, R.: Fingerprint-based gender classification. In:
IPCV, S. 41–46. Citeseer (2006)
2. Bashir, M., Scharfenberg, G., Kempf, J.: Person authentication by handwriting in air using a
biometric smart pen device. BIOSIG 191, 219–226 (2011)
3. Bazen, A.M., Gerez, S.H.: Segmentation of fingerprint images. In: Proc. Workshop on Circuits
Systems and Signal Processing (ProRISC 2001), Bd. 276280. Citeseer (2001)
4. Bowen, R., Schneider, J.: Forensic databases: paint, shoe prints, and beyond. NIJ Journal 258,
34–38 (2007)
5. Bowyer, K.W., Hollingsworth, K.P., Flynn, P.J.: A survey of iris biometrics research: 2008–
2010. In: Handbook of iris recognition, S. 15–54. Springer (2013)
6. Brinck, T.B.: Comparing the Performance of IBIS and BulletTRAX-3D Technology Using
Bullets Fired Through 10 Consecutively Rifled Barrels. Journal of Forensic Sciences 53(3),
677–682 (2008)
7. Brouwer, E.: Eurodac: Its limitations and temptations. European Journal of Migration and Law
4(2), 231–247 (2002)
56
D. Labudde
8. Buckle, J., MacDougall, D., Grant, R.: PDQ – Paint Data Queries: The History and Technology
Behind the Development of the Royal Canadian Mounted Police Forensic Laboratory Services
Automotive Paint Database. Canadian Society of Forensic Science Journal 30(4), 199–212
(1997)
9. Canny, J.: A computational approach to edge detection. IEEE Transactions on Pattern Analysis
and Machine Intelligence PAMI-8(6), 679–698 (1986)
10. Chen, X., Tian, J., Cheng, J., Yang, X.: Segmentation of fingerprint images using linear classifier. EURASIP Journal on Advances in Signal Processing 2004(4), 1–15 (2004)
11. Christy, B.B.: The use of the PDQ (Paint Data Query) database along with other resources to
provide vehicle information for hit and run fatalities within Virginia. In: Proceedings of the
Trace Evidence Symposium, August, S. 13–16 (2007)
12. Cole, S.A., et al.: Suspect identities: A history of fingerprinting and criminal identification.
Harvard University Press (2009)
13. Daugman, J.: Iriserkennung. In: Biometrische Identifikation, S. 129–158. Springer (2001)
14. Daugman, J.: The importance of being random: statistical principles of iris recognition. Pattern
recognition 36(2), 279–291 (2003)
15. Daugman, J.: How iris recognition works. Circuits and Systems for Video Technology, IEEE
Transactions on 14(1), 21–30 (2004)
16. Galton, F.: Finger prints. Macmillan and Company (1892)
17. Girod, A., Ramotowski, R., Lambrechts, S., Misrielal, P., Aalders, M., Weyermann, C.:
Fingermark age determinations: Legal considerations, review of the literature and practical propositions. Forensic science international 262, 212–226 (2016)
18. Girod, A., Ramotowski, R., Weyermann, C.: Composition of fingermark residue: a qualitative
and quantitative review. Forensic science international 223(1), 10–24 (2012)
19. Grassberger, M., Schmid, H.: Todesermittlung. Befundaufnahme & Spurensicherung: Ein praktischer Leitfaden für Polizei, Juristen und Ärzte. Springer Wien (2009)
20. Grasselli, A.: On the automatic classification of fingerprints. Methodologies of Pattern Recognition S. 253–273 (1969)
21. Green, B.: Canny edge detection tutorial (2002)
22. Grehn, F.: Augenheilkunde. Springer (2006)
23. Herrmann, B., Saternus, K.S.: Biologische Spurenkunde: Bd. 1: Kriminalbiologie, Bd. 1. Springer (2007)
24. Hohoff, C., Brinkmann, B.: Trends in der forensischen Molekulargenetik. Rechtsmedizin 13(4),
183–189 (2003)
25. Ifa, D.R., Manicke, N.E., Dill, A.L., Cooks, R.G.: Latent fingerprint chemical imaging by mass
spectrometry. Science 321(5890), 805–805 (2008)
26. Johnson, G.: VICLAS: Violent crime linkage analysis system. RCMP Gazette 56(10), 9–13
(1994)
27. Kanakam, P., Rao, K., Hussain, S.M.: Olfactory biometric technique: An emerging technology.
Journal of Advancement in Robotics 1(1), 1–11 (2015)
28. Kawagoe, M., Tojo, A.: Fingerprint pattern classification. Pattern Recognition 17(3), 295–303
(1984)
Literatur
57
29. Khanna, R., Shen, W.: Automated fingerprint identification system (AFIS) benchmarking using
the National Institute of Standards and Technology (NIST) Special Database 4. In: Security
Technology, 1994. Proceedings. Institute of Electrical and Electronics Engineers 28th Annual
1994 International Carnahan Conference on, S. 188–194. IEEE (1994)
30. Komarinski, P.: Automated fingerprint identification systems (AFIS). Academic Press (2005)
31. Locard, E.: Die Kriminaluntersuchung und ihre wissenschaftlichen Methoden. Berlin (1930)
32. Maio, D., Maltoni, D.: A structural approach to fingerprint classification. In: Pattern Recognition, 1996., Proceedings of the 13th International Conference on, Bd. 3, S. 578–585. IEEE
(1996)
33. Maio, D., Maltoni, D.: Ridge-line density estimation in digital images. In: Pattern Recognition,
1998. Proceedings. Fourteenth International Conference on, Bd. 1, S. 534–538 (1998)
34. Maltoni, D., Maio, D., Jain, A., Prabhakar, S.: Handbook of fingerprint recognition. Springer
Science & Business Media (2009)
35. Martineau, M.M., Corey, S.: Investigating the Reliability of the Violent Crime Linkage Analysis
System (ViCLAS) Crime Report. Journal of Police and Criminal Psychology 23(2), 51–60
(2008)
36. Nogala, D., Mittendorf, V.: Fingerabdrucksysteme. In: Wörterbuch zur Inneren Sicherheit, S.
87–92. Springer (2006)
37. Pauk J. Kuzmierowski, T.T.S.J., Ostaszewski, M.: Computer-aided system for foot type assessment based on photos taken by the podoscope (2015)
38. Pauk J. Kuzmierowski, T.T.S.J., Ostaszewski, M.: Computer-aided system for foot type assessment based on photos taken by the podoscope (2015)
39. Rao, C.K.: On fingerprint pattern recognition. Pattern Recognition 10(1), 15–18 (1978)
40. Ratha, N.K., Chen, S., Jain, A.K.: Adaptive flow orientation-based feature extraction in fingerprint images. Pattern Recognition 28(11), 1657–1672 (1995)
41. Reimer, H.: Biometrische Identifikation – eine aussichtsreiche Innovation. In: Biometrische
Identifikation, S. 1–7. Springer (2001)
42. Samir Nanavati Michael Thieme, R.N.: Biometrics: Identity Verification in a Networked World,
1st edn. Wiley (2002)
43. Schneider, J.K.: Ultrasonic fingerprint sensors. In: Advances in Biometrics, S. 63–74. Springer
(2008)
44. Schröder, B.: Das Fingerabdruckvergleichssystem EURODAC. ZAR (2), 71–75 (2001)
45. Stock, R., Swonger, C.: Development and evaluation of a reader of fingerprint minutiae. Cornell
Aeronautical Laboratory, Technical Report CAL no. XM-2478-X-1 S. 13–17 (1969)
46. Su, B.: Recent progress on fingerprint visualization and analysis by imaging ridge residue components. Analytical and bioanalytical chemistry 408(11), 2781–2791 (2016)
47. Thompson, R.M.: Automated firearms evidence comparison using the Integrated Ballistic Identification System (IBIS) (1999)
48. Urry, S.R., Wearing, S.C.: A comparison of footprint indexes calculated from ink and electronic
footprints. J Am Podiatr Med Assoc 91(4), 203–209 (2001)
49. Wickramaarachchi, W., Vasanthapriyan, S.: Multi-layer framed offline signature recognition algorithm. Journal of Image and Graphics 3(1) (2015)
58
D. Labudde
50. Zar, J.H.: Significance testing of the Spearman rank correlation coefficient. Journal of the American Statistical Association 67(339), 578–580 (1972)
51. Zhu, E., Yin, J., Hu, C., Zhang, G.: A systematic method for fingerprint ridge orientation estimation and image segmentation. Pattern Recognition 39(8), 1452–1472 (2006)
3
Computergestützte Gesichtsweichteilund Tatortrekonstruktion
Sven Becker und Dirk Labudde
3.1 Computergestützte forensische
3D-Gesichtsweichteilrekonstruktion
3.1.1 Einleitung
Die forensische Gesichtsweichteilrekonstruktion, als Teilgebiet der forensischen Osteologie, ist eine Variante der Auswertung von vorgefundenen biologischen Spuren und dem
daraus abgeleiteten Versuch, das äußere Erscheinungsbild eines unbekannten Toten in
einem möglichst realen und lebensnahen Modell nachzubilden. Die Gesichtsweichteilrekonstruktion stellt in Fällen stark fäulnisveränderter und skelettierter Leichname oft die
letzte Möglichkeit einer Personenidentifizierung dar, wenn eine Identitätssicherung über
die üblichen Methoden, wie DNA, Fingerabdrücke und Recherchen in Vermisstendatenbanken nicht möglich ist. Für eine Anfertigung einer Rekonstruktion werden vorliegende
Schädelteile, Daten aus bildgebenden Verfahren, wie die der Computertomographie (CT),
Informationen aus forensisch-anthropologischer und medizinischer Methoden, aber vor
allem Video- und Fotoaufzeichnungen der Person in Verbindung mit der Anatomie des
Schädels verwendet. Die forensische Gesichtsweichteilrekonstruktion wird primär im kriminalistischen Sinne zur Identifizierung unbekannter Leichen eingesetzt, aber auch zur
S. Becker ()
Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of
Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: becker1@hs-mittweida.de
D. Labudde
Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL),
University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: labudde@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_3
59
60
S. Becker und D. Labudde
realen Darstellung eines Lebensbildes einer historischen Person. [25] Des Weiteren dienen
die Rekonstruktionen bei Naturkatastrophen, wie dem Tsunami im Jahr 2004 in Südostasien und dem Hurrikane Katrina im August 2005, zur Personenidentifikation. Sobald
menschliche Überreste aufgefunden werden, erfolgt der Versuch, diese einer bestimmten Person zuzuordnen. Zu den etablierten Methoden der Identitätssicherung zählen die
DNA-Analyse, Daktyloskopie, Röntgenvergleichsanalyse und Odontostomatologie [18].
Ganz gleich, welche Methoden verwendet werden, sind antemortale Vergleichsdaten beziehungsweise Vergleichsmaterial von einer möglichen infrage kommenden Person notwendig [19]. Für Ergebnisse aus einer DNA-Analyse oder daktyloskopischen Untersuchung liegen Datenbanken vor, mit denen erhobene Daten abgeglichen werden können.
Odontostomatologische Daten oder am Leichnam dokumentierte Knochenfrakturen können mit Patientendaten von vermissten Personen abgeglichen werden. Trotz der vorhandenen Möglichkeiten ist die Zuordnung der menschlichen Überreste zu einer bestimmten
Person stark eingeschränkt, sobald dessen Daten in keiner polizeilichen oder medizinischen Datenbank vorhanden sind. In diesen Fällen ist es notwendig, durch gerichtliche
Obduktionen und forensisch-osteologische Untersuchungen der Skelett- und Knochenfunde neue Informationen, unter anderem hinsichtlich des Geschlechtes, biologischen Alters
und ethnischer Herkunft der unbekannten Person zu erhalten [6, 17, 18]. Hierfür finden forensisch anthropologische Verfahren wie die Morphognostik und Osteometrie Einsatz [6,
17]. In Fällen stark fäulnisveränderter Leichen bieten zudem die forensische Entomologie
und Mykologie die Möglichkeit einer Leichenliegezeitbestimmung. Da bei zahlreichen
unbekannten Leichen das Gesicht durch Fäulnisprozesse, Tierfraß oder vollständige Skelettierung bis zur Unkenntlichkeit verändert worden ist, besteht trotz der vorhandenen
Methoden nicht immer die Möglichkeit einer zweifelsfreien Identifizierung. Falls zudem
keine Vergleichsdaten des unbekannten Leichnams vorliegen, findet in diesen Fällen oftmals eine Gesichtsweichteilrekonstruktion, als zusätzliche und vor allem wertvolle Hilfe
für die Personenidentifizierung, Anwendung. Diese Methode basiert auf dem hohen Wiedererkennungswert des Gesichtes, auf Grundlage der knöchernen Strukturen des Schädels
und deren Merkmale. Neben den knöchernen Ausprägungen sind weitere Informationen
für eine angestrebte erfolgreiche Identifizierung des unbekannten Toten notwendig. Zu
einigen Informationsquellen zählen die bereits erwähnten anthropologischen Verfahren
Morphognostik und Osteometrie sowie Recherchen in Datenbanken, die Porträtfotos von
Personen unterschiedlichen Geschlechts, Alters und ethnischer Herkunft enthalten. Diese
dienen dem Rekonstrukteur, sich einen Überblick über variante morphologische Ausprägungsformen der Gesichtsmerkmale zu verschaffen. Vor allem der Hauttyp in Verbindung
mit dem Alter und den altersbedingten Veränderungen der Hautstruktur sind essentielle Faktoren für eine angestrebte erfolgreiche Identifizierung. Besonders der Aufbau der
einzelnen Hautschichten gewinnt immer mehr an Bedeutung, wenn es darum geht, den
Alterungsprozess und die altersbedingten Veränderungen in der Hautstruktur zu verstehen. Zahlreiche Forscher, wie Harman (1954), Hayflick (1961) und Bürger (Anfang 20.
Jh.), beschäftigten sich mit Faktoren, die das menschliche Alter bedingen. Jedoch bezogen sich die gewonnen Erkenntnisse nicht auf die morphologischen Veränderungen der
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
61
Hautstruktur. Mit diesem Thema setzten sich Takema et al. (1994), Neerken et al. (2004)
und Longo et al. (2011) auseinander, die die altersbedingten Veränderungen der Haut und
der einzelnen Hautschichten Epidermis und Dermis mittels Ultraschall, Laserscan- oder
Konfokalmikroskops untersuchten. Erst mit dem Sammeln und Generieren der erwähnten
Informationen rund um den unbekannten Toten lassen sich Methoden der Gesichtsweichteilrekonstruktion sinnvoll anwenden. Dabei werden klassische und computergestützte
Methoden unterschieden. Experte auf dem Gebiet der klassischen manuellen Rekonstruktion ist, neben einer Vielzahl weiterer, beispielsweise die deutsche Rechtsmedizinerin Dr.
med. Constanze Niess, die sich seit mehreren Jahren auf die diese Methode spezialisiert
hat. Trotz der jahrzehntelangen Anwendung der klassischen Rekonstruktionsmethoden
und den erzielten Erfolgen weisen diese nicht vernachlässigbare Nachteile im Vergleich
zu computergestützten Methoden auf. Sobald eine Rekonstruktion veranlasst wird, ist
es notwendig, den Schädel aus ethischen Gründen manuell mittels Ton oder Gips abzuformen. Ebenso müssen Verletzungen und Zerstörungen zeitaufwendig rekonstruiert
werden [8, 16]. Im Anschluss werden die anatomischen Weichteilmarker auf dem Schädel
angebracht. Ausgehend von diesen werden die durchschnittlichen Weichteildicken modelliert. Sobald diese erreicht sind, besteht keinerlei Bezug mehr zu den anatomischen
Weichteilmarkern, wodurch eine Individualisierung des zu rekonstruierenden Gesichtes
erschwert wird [8, 16]. Eine weitere Problematik wurde durch Lewis und Johnson (1997)
analysiert. Die Forscher untersuchten das Wiedererkennen von Personen anhand unterschiedlicher Gesichtsausdrücke [9]. Ein klassisches manuell rekonstruiertes Gesicht weist
eine bedingte Flexibilität gegenüber nachträglichen Veränderungen, beispielsweise des
eben erwähnten Gesichtsausdrucks, auf. Weiterhin besteht das Problem im Falle zusätzlich
erhaltenen Informationen, diese mit wenigen Mitteln in das klassische manuell rekonstruierte 3D-Modell zu integrieren. Demzufolge ist es nicht möglich, unter anderem einzelne
Gesichtsmerkmale oder Frisuren aus einer zuvor erstellten Modellbibliothek in dem erstellten Modell auszutauschen und dadurch eine Zeitersparnis im Rekonstruktionsprozess
zu erzielen. Der gesamte Prozess einer klassischen Rekonstruktion benötigt zudem selbst
bei erfahrenen Rekonstrukteuren ein Zeitpensum von bis zu 40 Stunden [8].
Ausgehend von den zuvor beschriebenen Problematiken bestand das Ziel darin,
einen neuartigen, kostengünstigen und flexiblen Prozess zur computergestützten 3DGesichtsweichteilrekonstruktion basierend auf Open-Source-Software zu entwickeln und
anzuwenden. Grundlage hierfür bildeten digitale Fotoaufnahmen von einem Schädel
eines ausgewählten Falles. Durch die Verwendung von unterschiedlichen Fotoaufnahmemedien sollte die Tauglichkeit von jedem einzelnen Medium, Fotoaufnahmen zur
Erstellung eines hinreichenden 3D-Modells zu liefern, überprüft und durch qualitative
sowie quantitative Vergleiche das Bestmögliche gefunden werden. Zusätzlich sollte durch
die Identifizierung zeitaufwendiger Prozessschritte herkömmlicher Methoden eine Performanceoptimierung der computergestützten Gesichtsweichteilrekonstruktion erfolgen.
Aufgrund der Individualität einzelner Gesichtsmerkmale bestand ein wesentliches Ziel
darin, Vorhersagemethoden für diese zu finden, die Methoden auf das Fallbeispiel anzuwenden und deren Genauigkeit zu überprüfen. Abschließend sollte zur Optimierung des
62
S. Becker und D. Labudde
Prozessablaufs hinsichtlich der Flexibilität sowie der Zeitersparnis eine Modellbibliothek
mit varianten morphologischen Gesichtsmerkmalen erstellt werden.
3.1.2 Historische Entwicklung
Vor der Identifizierung eines unbekannten Toten mittels einer Gesichtsweichteilrekonstruktion stand der Vergleich zwischen dessen Schädel und einem Porträtbild. Bereits
Anfang des 19. Jahrhunderts wurden unter Zuhilfenahme von Umrisszeichnungen Schädel sehr unsystematisch mit Porträtaufnahmen verglichen. Das heute bekannte Superprojektionsverfahren war die erste rein fotografische Methode. Bei dieser wurden ein mit
anatomischen Weichteilmarken versehener Schädel auf ein Porträtfoto einer infrage kommenden Person projiziert [8]. Die ersten zu forensischen Zwecken eingesetzten Weichteilrekonstruktionen wurden von dem russischen Archäologen und Anthropologen Michail
Michailowitch Gerassimow angefertigt. Dieser wurde von den Behörden gebeten, bis zur
Unkenntlichkeit veränderte Leichname zu identifizieren. Gerassimow verwendete damals
Ton, um seine Gesichter zu formen [8]. Die Erkenntnisse, welche Gerassimow erlangte,
finden sich als Grundlage in wahrscheinlich allen heutzutage angewandten Rekonstruktionsmethoden wieder. Heutzutage bekannte Spezialisten auf dem Gebiet der forensischen
Gesichtsweichteilrekonstruktion sind unter anderem Richard Helmer (Deutschland), Richard Neave und Caroline M. Wilkinson(England) sowie K.T. Taylor (USA) [1].
3.1.3 Voraussetzungen, Faktensammlung und Recherchen
Vor der eigentlichen Rekonstruktion bedarf es, hinsichtlich der notwendigen Informationen zum äußeren Erscheinungsbild des unbekannten Toten, der Erfüllung einiger Voraussetzungen sowie einer umfangreichen Recherche und Faktensammlung. Die Basis einer Rekonstruktion und zugleich eine essentielle Voraussetzung stellen die anatomischen
Weichteilmarker dar. Diese sind auch bekannt als Landmarken und repräsentieren definierbare durchschnittliche Weichteildicken an wesentlichen anatomischen Punkten des
Schädels (Abb. 3.1). Zu früheren Zeiten wurden diese mithilfe von Nadeln an Leichen
gemessen und aufgenommen. Dabei wurden verschiedene Methoden eingesetzt. His und
Welcker nutzten beispielsweise Messerklingen, Kollman und Büchly hingegen rußgeschwärzte Nadeln zur Bestimmung der Weichteildicken [24]. Die erste größere Testreihe
zur Erhebung von Daten bezüglich der Weichteildicke an lebenden Personen führte Helmer im Jahr 1977 mittels Ultraschall-Impuls-Echo-Verfahren durch. Messungen mittels
Magnetresonanztomographie (MRT) wurden erstmals von Kass et al. (1987) vorgestellt
und deren Verfahren durch Mang et al. (2007) weiterentwickelt. Philipps et al. hingegen
erhoben 1996 computertomografisch basierte Daten. Durch den Einsatz von bildgebenden
Verfahren bestand die Möglichkeit, die Weichteildicken in einer aufrechten oder sitzenden Position des Probanden aufzunehmen, die einer natürlichen Kopfhaltung am ehesten
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
63
Abb. 3.1 Anatomische Weichteilmarker
entsprechen. Einen Vergleich von Weichteilverschiebungen im Gesicht zwischen einer
stehenden und liegenden Position des Probanden zog Werner (2009) [24]. Eine besondere
Bedeutung für den Rekonstruktionsprozess liegt darin, festzustellen inwieweit tatsächliche Werte, die für eine optimale Rekonstruktion des Gesichtes eines unbekannten Toten
notwendig sind, von den durchschnittlichen Weichteildicken an den jeweiligen anatomischen Punkten abweichen. Es existieren wichtige Einflussgrößen, welche einen enormen
Stellenwert hinsichtlich dieser Abweichungen besitzen. Zu diesen zählen unter anderem
der Alterungsprozess sowie daraus resultierende morphologische und anatomische Änderungen des Gesichtes sowie individuelle Einflussfaktoren wie der Ernährungszustand und
Lebensstil der zu identifizierenden Person. Aufgrund des Einflusses der beschriebenen
Faktoren wird die Notwendigkeit, so viele Informationen wie möglich über das äußere Erscheinungsbild des unbekannten Toten zu erhalten, deutlich [3]. Diese können in
Informationen von Ermittlungsbehörden, Informationen aus der Rechtsmedizin und Datenbankrecherchen eingeteilt werden [1]. Vonseiten der Ermittlungsbehörden, d. h. der
Polizei und Staatsanwaltschaft, sollten so viele Hinweise wie möglich in Form von Fo-
64
S. Becker und D. Labudde
toaufnahmen des unbekannten Toten sowie Protokollen und Asservatenlisten gesammelt
und dem Rekonstrukteur zur Verfügung gestellt werden. Die Protokolle beinhalten Angaben zum Auffindeort, der Auffindesituation, zu bisherigen Ermittlungsergebnissen und
Gegenständen die am und in der Umgebung des unbekannten Toten gefunden worden
sind. Fotoaufnahmen des Leichnams dienen der Sicherung von Informationen, da diese
im Falle des Vorhandenseins, Weichteilreste mit Haaranhaftungen oder mögliche Nasenund Ohrenformen festhalten, die am mazerierten Schädel im späteren Verlauf nicht mehr
erkennbar sind [1]. Asservatenlisten geben wertvolle Hinweise auf die Lebensumstände
der unbekannten Person. Bekleidungsteile ermöglichen beispielsweise über die Konfektionsgröße das Ziehen von Rückschlüssen auf die wahrscheinlichen Weichteildicken der
unbekannten Person. Die von der Rechtsmedizin aufgenommenen Daten in Form von
Fotoaufnahmen und Obduktionsberichten sind ebenfalls essentielle Informationsquellen.
Da eine Gesichtsweichteilrekonstruktion meist erst mehrere Tage oder Wochen, nachdem der unbekannte Leichnam aufgefunden wurde, in Auftrag gegeben wird, stehen dem
Rekonstrukteur lediglich Fotoaufnahmen zur Verfügung, die die Auffindesituation beschreiben. Im Obduktionsbericht müssen unter anderem Angaben zum Geschlecht, Alter,
zur Größe und ethnischen Herkunft des unbekannten Toten enthalten sein [1]. Diese Informationen können mithilfe anthropologischer Methoden (Morphognostik und Osteometrie)
gewonnen werden. Um prinzipiell eine Gesichtsweichteilrekonstruktion eines unbekannten Toten zu ermöglichen, stellt die wichtigste Voraussetzung ein weitgehend intakter
Schädel, bestenfalls zusätzlich mit vorhandenem Unterkiefer, dar. Je nach angewandter
Rekonstruktionsmethode empfiehlt es sich aus ethischen Gründen, den Originalschädel
1:1 zu replizieren [20]. Im Falle von Verletzungen oder Frakturen am Schädel müssen diese zuvor ebenfalls rekonstruiert werden [20]. Dabei sowie bei allen anderen Handlungen
ist jedoch stets darauf zu achten, keine knöchernen Strukturen des Schädels zu zerstören.
Dazu zählt beispielsweise der vordere Nasenstachel (Spina nasalis anterior), der bei der
Rekonstruktion der Nasenform von enormer Bedeutung ist. Ohne diesen Knochenfortsatz
können kaum Aussagen über eine mögliche Nasenform getroffen werden. Die dritte Möglichkeit der Informationsgewinnung stellen Recherchen in Datenbanken mit Lichtbildern
von Personen unterschiedlichen Geschlechts, Alters und Nationalität dar. Diese dienen
dem Rekonstrukteur dazu, ein Gefühl für die zu rekonstruierenden äußeren Merkmale, wie
Nasenformen und altersbedingte Veränderungen, zu entwickeln. Bei einer längeren Leichenliegezeit von mehreren Jahren werden zudem Recherchen zum sogenannten Zeitgeist
durchgeführt. Diese zielen darauf ab, für die damalige Zeit, in der die unbekannte Person
gelebt hat, typische Haartrachten zu finden und in das rekonstruierte Modell zu integrieren [1]. Neben der Informationsgewinnung aus Polizeiprotokollen, rechtsmedizinischen
Gutachten und Datenbanken sind zudem methodische Ansätze für die Rekonstruktion
essentiell. Zu diesen zählen beispielsweise Vorhersagemethoden für Nasen- und Mundformen. Forscher wie Stephan und Murphy beschäftigen sich mit diesem Sachverhalt und
liefern Vergleiche von verschiedenen Vorhersagemethoden für Gesichtsmerkmale, die in
den Rekonstruktionsprozess mit einbezogen werden [14, 16].
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
65
3.1.4 Klassische Methoden der Gesichtsweichteilrekonstruktion
Zu den klassischen manuellen Rekonstruktionsmethoden zählt unter anderem die plastische Methode. Grundsätzlich besteht bei dieser die Möglichkeit, verschiedene Materialien, wie Kunststoff, Ton oder Wachs, für die Modellierung der zu rekonstruierenden
Gesichtsweichteile zu verwenden [8]. Aus ethischen Gründen sollte jedoch der Schädel
vor dem Rekonstruktionsprozess mithilfe von Silikon abgeformt werden [8]. Hinsichtlich
des Vorgehens bei der Rekonstruktion werden drei verschiedene Methoden unterschieden.
Bei der ersten und zugleich den anderen zugrundeliegenden Methode handelt es sich um
die sogenannte russische Methode von Gerassimow. Dieser ging von dem Ansatz aus, dass
trotz individueller Unterschiede in der Muskulatur, die Ansätze von dieser und die daraus resultierenden anatomischen Merkmale eine ausreichende Grundlage für eine exakte
Rekonstruktion der Weichteildicken darstellen [21]. Die notwendigen Gesichtsmerkmale wurden von einzelnen Knochen abgeleitet, die Einzelheiten der Nase beispielsweise
direkt von dem Nasenstachel, die Stirn von dem Schädel, der Mund von den Zähnen
und Kieferknochen sowie die Ohren von dem Warzenfortsatz [21]. Den wichtigsten Faktor stellt jedoch das Rekonstruieren ohne definierte Weichteildicken an anatomischen
Punkten dar. Gerassimow bezog sich lediglich auf die genannten Ausprägungen. Dennoch berichtete dieser, in 150 forensischen Fällen erfolgreich gewesen zu sein. Bei der
zweiten, der amerikanischen Methode finden die sogenannten Landmarken Einsatz [8].
Die Methode basiert auf Mc-Gregor, Wilder (1912) und Krogman (1946) [21]. Vor dem
Rekonstruktionsprozess werden die Landmarken auf den Schädel aufgebracht. Anschließend wird der Zwischenraum zwischen diesen bandartig gefüllt. Die Methode ist flexibel
hinsichtlich des individuellen Ernährungszustandes der zu identifizierenden Person, jedoch werden die Einflüsse der Gesichtsmuskulatur und resultierende Ausprägungen wie
bei der Manchester-Methode nicht berücksichtigt [8]. Bei dieser handelt es sich um eine Kombination aus den beiden vorangegangenen. Die Manchester-Methode wurde von
Richard Neave 1997 entwickelt und basiert ebenfalls auf den anatomischen Weichteilmarken [25]. Zusätzlich wird jedoch das Gesicht ausgehend von der Muskulatur Schritt
für Schritt rekonstruiert. Die Ausprägungen der Muskelansätze bestimmen, wie stark oder
schwach Muskeln modelliert werden. Im Anschluss erfolgt das Aufbringen der Schichtdicke der Unterhaut, den Drüsen sowie der oberflächlichen Haut, welche maßgeblich von
dem biologischen Alter und Ernährungszustand der Person abhängt. Der Rekonstrukteur weicht an dieser Stelle bewusst von den durchschnittlichen Weichteildicken ab und
unter- beziehungsweise überschreitet diese [8]. Ganz gleich, ob die amerikanische oder
Manchester-Methode Anwendung finden, muss das entstandene Rohmodell im Anschluss
mit Kopfhaaren, einer Hautfarbe und gegebenenfalls einem Bart versehen werden, um ein
für die Fahndung einsetzbares Porträtfoto zu erhalten [8].
66
S. Becker und D. Labudde
3.1.5 Computergestützte Methode der Gesichtsweichteilrekonstruktion
mittels Open-Source-Software
Wie von Wilkinson im Jahr 2010 beschrieben, existieren verschiedene computergestützte
Methoden zur Rekonstruktion von Gesichtsweichteilen, wie beispielsweise die zweidimensionale Superimposition. Neben dieser finden ebenfalls dreidimensionale Methoden
basierend auf Laserscan- und CT-Daten mit anschließender Modelling- und Animationssoftware Anwendung [25]. Dabei werden vermehrt lizensierte und kostenintensive
Techniken und Software-Tools verwendet. Auf der anderen Seite existieren Ansätze von
Rekonstruktionen basierend auf Low-Cost- und, wie im Folgenden vorgestellt, OpenSource-Systemen [2, 4].
VisualSfM und CMPMVS
Die Basis einer computergestützten Gesichtsweichteilrekonstruktion mittels Open-Source-Software stellt Visual Structure from Motion (VisualSfM) dar. Bei diesem Tool handelt
es sich um ein Open-Source-Softwarepaket, mit dem aus Mehrbildfotoaufnahmen eines
Objektes eine 3D-Punktwolke berechnet und aus diesem ein 3D-Modell erstellt werden
kann [27]. Die Bezeichnung „Visual“ ist auf die verfügbare grafische Oberfläche zurückzuführen, „Structure from Motion“ hingegen bezeichnet den automatischen Prozess, der
die räumliche Struktur der Objekte aufgrund von korrespondierenden Merkmalen in den
Aufnahmen erkennt [27]. VisualSfM wurde von Changchang Wu entwickelt, welcher eigene Tools, wie SiftGPU mit denen anderer Programmierer wie CMVS/PMVS (Clustering
Views for Multi-view Stereo/Patch-based Multi-view Stereo software) von Yasutaka Furukawa kombiniert hat [26]. Bei SiftGPU handelt es sich um den Scale-invariant feature
transform-Algorithmus zur Extraktion der Merkmale aus den Fotoaufnahmen, welcher
speziell unter Verwendung der GPU, dem Prozessor der Grafikkarte, arbeitet [26]. Mittels CMVS/PMVS werden die zu berechnenden 3D-Punktwolken der Objekte in einzelne
Cluster zerlegt und anschließend verdichtet [5]. Die Vorteile von VisualSfM liegen in
den grafikkartenoptimierten Algorithmen, wodurch die Rechenzeit um einen nicht unerheblichen Faktor reduziert wird. Des Weiteren ist eine Kamera-kalibrierung, wie sie
beispielsweise beim kommerziellen Programm PhotoModeler Anwendung findet, nicht
nötig [27]. Die an VisualSfM nachgeschaltete Software ist CMPMVS. Diese wurde von
Michal Jamcosek im Jahr 2012 entwickelt und dient der detaillierten texturierten Oberflächenrekonstruktion von in VisualSfM erstellten Punktwolken. CMPMVS verarbeitet
kommandozeilenbasiert direkt die Ausgaben von VisualSfM innerhalb weniger Minuten
je nach Anzahl und Auflösung der eingegebenen Video- und Fotoaufnahmen.
MeshLab
Je nach Bedarf und Aufwand besteht die Möglichkeit, weitere Open-Source-Software in
den Rekonstruktionsprozess zu integrieren. Ein Beispiel wäre MeshLab, welches von Cignoni beginnend im Jahr 2005 entwickelt wurde. Bei diesem handelt es sich um eine portable und erweiterbare Software für die Verarbeitung und Editierung von zum einen unstruk-
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
67
turierten 3D-Punktwolken und zum anderen von hochaufgelösten und texturierten 3DModellen [7]. Mittels MeshLab besteht ebenfalls die Möglichkeit, Oberflächen von 3DPunktwolken wie in CMPMVS zu rekonstruieren. Hierfür stehen dem Nutzer verschiedene Algorithmen wie der Poisson-Surface-Algorithmus oder Ball-Pivoting-Algorithmus
zur Verfügung [11]. Im vorgestellten Prozess findet MeshLab Anwendung, um die erstellten 3D-Modelle nachzubearbeiten und zu editieren.
Blender
Für die weitere Bearbeitung von 3D-Modellen, in diesem Fall für die eigentliche Modellierung von Weichteilen und Gesichtsmerkmalen, besteht die Möglichkeit, Blender zu nutzen. Bei diesem handelt es sich um 3D-Grafiksoftware, die den gesamten Workflow vom
Modellieren über das Texturieren bis hin zur Animation und zum Rendering abdeckt [2].
Blender wurde im Jahr 1994 von der Blender Foundation entwickelt und erscheint in
immer wieder neuen Versionen für verschiedene Betriebssysteme wie Windows, Linux
oder OS X. Der Schwerpunkt bei Blender liegt in der Bearbeitung von Polygonnetzen
durch verschiedene Tools wie das Unterteilen von Flächen oder das virtuelle Verformen
(Sculpting). Des Weiteren besteht die Möglichkeit der Physik- und Materialsimulation,
mit denen Objekte realistisch auf Kollisionen reagieren sowie Flüssigkeiten, Gras, Haare
und Kleider realistisch imitiert werden. Die Software kann zudem mittels der Skriptsprache Python erweitert werden. In Blender erstellte Modelle können beispielsweise im STLoder OBJ-Format exportiert und anschließend in 3D-Druckersoftware importiert werden.
Ausgewählte Methoden zur Vorhersage von Gesichtsmerkmalen
Zahlreiche Forscher, wie Stephan (2003) und Wilkinson (2010), geben Überblicke über
Methoden zur Vorhersage einzelner Gesichtsmerkmale. Die Bestimmung der Form der
Nase oder Lage der Augen im Schädel wird durch die Bewertung von auf den Knochen bezogenen Details erzielt [16, 25]. Im Folgenden werden einige Gesichtsmerkmale
und Vorhersagemethoden für diese vorgestellt, insbesondere für die Nase, da diese ein
zentraler Bestandteil für eine akkurate Gesichtsapproximation ist [16]. Die Nase ist ein
Gesichtsmerkmal welches bei einer Rekonstruktion eine hohe Fehlerrate und geringe Präzision aufweisen kann. Aus diesem Grund beschäftigen sich zahlreiche Forscher, wie
Gerassimow (1955), George (1987), Prokopec und Ubelaker (2002) sowie Stephan et
al. (2003), seit Jahrzehnten mit den Relationen zwischen dem Weichgewebe der Nase
und den knöchernen Ausprägungen der Nasenöffnung und des Nasenstachels [25]. Es
ist anatomisch vorhersehbar, dass die allgemeine Form der Nase breiter als die knöcherne Nasenöffnung ist, da das Weichgewebe einer schmaleren Nase sonst keine tragenden
knöchernen Strukturen besitzen würde. Auf der anderen Seite kann aus anatomischer
Sicht davon ausgegangen werden, dass die Nase in ihrer Breite nicht allzu sehr von den
knöchernen Ausprägungen abweicht, da sonst eine Obstruktion der Luft in den Atemwegen auftreten würde. Gerassimow behauptete auf Grundlage seiner Forschungen, dass
die knöcherne Nasenöffnung an der breitesten Stelle drei Fünftel der Gesamtnasenbreite
entspricht. Diese Aussage wurde mithilfe von CT-Studien lebender Personen durch Rynn
68
S. Becker und D. Labudde
Abb. 3.2 Nasenformvorhersage nach Gerassimow (a) und
Krogman (b)
im Jahr 2006 bestätigt. Gerassimow erklärte weiterhin, dass die Position der Nasenspitze
durch zwei Geraden und deren Schnittpunkt vorhergesagt werden kann. Die erste Gerade
setzt dabei am letzten Ende des Nasenknochens, speziell an dem anatomischen Punkt Rhinion an, die zweite Gerade folgt der Richtung des Nasenstachels (Abb. 3.2). Gerassimow
validierte diese Methode durch eine Blindstudie an 50 Leichnamen [25].
Krogman stellte 1962 eine weitere Methode zur Vorhersage der Nase vor, die ebenfalls
auf der Ausprägung des Nasenstachels basiert (Abb. 3.2). Der Unterschied zu der Methode
von Gerassimow besteht jedoch darin, dass Krogman einen anatomischen Weichteilmarker mit einbezog, speziell den Punkt Midphiltrum. Dieser befindet sich laut Definition von
Taylor (2001) an der höchstmöglichen Position vor der Krümmung des Nasenstachels.
Krogman behauptete, dass die dreifache Länge des Nasenstachels zu den durchschnittlichen Weichteildicken des anatomischen Punktes Midphiltrum addiert werden muss, um
die Position der Nasenspitze zu erhalten. Jedoch wurden keinerlei Studien hinsichtlich
der Präzision und Zuverlässigkeit der Methode veröffentlicht [16]. Im Jahr 2002 publizierten Prokopec und Ubelaker eine Methode zur Vorhersage der Nasenspitze und des
Verlaufs der Nase, die ursprünglich auf einer Methode von Gerassimow basiert (Abb. 3.3).
Grundlage für die Vorhersage bildet die Nasenöffnung. Diese wird in sieben gleichgroße
Segmente aufgeteilt und durch Einbezug weitere anatomischer Weichteilmarker die Position der Nasenspitze sowie der Verlauf der Nase bestimmt [16]. George stellte 1987
eine Methode vor, die sich von den bisher genannten vollkommen unterschied (Abb. 3.3).
Unter Einbezug der Frankfurter Horizontalen, einer Ebene, die durch den tiefsten Punkt
der Augenhöhle und durch den höchsten Punkt des äußeren knöchernen Gehörgangs verläuft, lässt sich die Position der Nasenspitze ermitteln [16]. Neben zahlreichen Methoden
zur Vorhersage der Nase, Nasenform und -spitze existieren ebenso verschiedene Ansätze zur Vorhersage der Morphologie des Mundes. Ausgehend von odontostomatologischer
und anatomischer Literatur wird die Form der Mundhöhle unter anderem von der Okklusion der Zähne, dem Zahnmuster und der Gesichtsmorphologie bestimmt. Forscher die
sich mit diesem Thema beschäftigen, sind unter anderem Gerassimow (1955), Krogman
(1986) und Stephan und Henneberg (2003). Stephan gibt einen Überblick und eine Aus-
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
69
Abb. 3.3 Nasenformvorhersage nach Prokopec und
Ubelaker (a) und George (b)
wertung über verschiedene Methoden zur Vorhersage der Mundform. Die untersuchten
Methoden sind: 1) die Breite des Mundes entspricht dem Abstand der Pupillen, 2) die
Breite des Mundes ist gleich dem Abstand zwischen den medialen Grenzen der Iris und 3)
die Breite des Mundes ist gleich der Distanz zwischen den Eckzähnen und dem ersten Backenzahn. Stephan führte eine Studie an Australiern mit europäischen Vorfahren mittels
fotogrammetrischer Methoden durch. Er fand heraus, dass die Methoden 1 und 3 sehr unpräzise sind, da die Breite des Mundes im Durchschnitt 11 mm (SD, 4 mm) bei Methode 1
überschätzt und 13 mm (SD, 3 mm) bei Methode 3 unterschätzt wurde. Lediglich Methode 2 lieferte zufriedenstellende Ergebnisse, obwohl bei dieser ebenfalls Abweichungen
von 2 mm vorlagen. Stephan entwickelte eine neue Richtlinie zur Vorhersage der Breite des Mundes. Diese basiert auf der Distanz zwischen den Eckzähnen plus 57 % der
Distanz zwischen der lateralen Grenze der Eckzähne zum Mittelpunkt der Pupille. Die
vorhergesagten Mundbreiten wiesen keine statistisch signifikanten Unterschiede zu den
tatsächlichen auf [15].
3.2 Studie am Beispiel eines Schädelfundes
3.2.1 Hintergründe zum ausgewählten Fall
Der neuartige Prozess der computergestützten Gesichtsweichteilrekonstruktion mittels
Open-Source-Software wurde anhand eines Fallbeispiels durchgeführt. Bei diesem handelt es sich um einen Leichnam, der am 29.06.2014 im Freien aufgefunden wurde. Dieser
war nahezu vollständig skelettiert und wies vereinzelte Weichteilreste mit Haaren auf.
Medizinisch-anthropologische Untersuchungen ergaben, dass es sich um eine männliche
Person im Alter von maximal 83 Jahren handelt. Die Identität des damals unbekannten
Mannes wurde molekulargenetisch gesichert. Von der Person lag zudem Bildmaterial in
Form von Porträtaufnahmen vor, das für den Vergleich mit den Rekonstruktionsergebnissen verwendet werden sollte.
70
S. Becker und D. Labudde
Abb. 3.4 Prozessablauf einer computergestützten Gesichtsweichteilrekonstruktion
3.2.2 Prozessüberblick
Der Rekonstruktionsprozess (Abb. 3.4) mittels Open-Source-Software lässt sich in das
Erstellen eines 3D-Schädelmodells mit anatomischen Weichteilmarkern, die Modellierung des Schädelgewebes und der Gesichtsmerkmale sowie die Individualisierung des
3D-Modells unterteilen. Als Grundlage für den Rekonstruktionsprozess dienen digitale
Foto- oder CT-Aufnahmen. Einen weiteren wesentlichen Punkt stellen Informationen über
die unbekannte Person und deren Auffindeort dar. Diese können, wie bereits beschrieben,
durch verschiedene anthropologische und molekulargenetische Verfahren sowie Berichte und Datenbanken herausgefunden werden. Nach der Modellierung des notwendigen
Weichteilgewebes erfolgt die Individualisierung des 3D-Modells in Form spezifischer Gesichtsmerkmale und, falls möglich, der Haare, Frisuren und Accessoires. Der letzte Schritt
der Prozesskette umfasst eine Plausibilitätsprüfung sowie einen Abgleich des erstellten
Modells mit Datenbankeinträgen von vermissten Personen.
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
71
Abb. 3.5 Versuchsaufbau zur
Fotografie
3.2.3 Digitalisierung des Schädels
Die Grundlage für das Erstellen des computergestützten 3D-Schädelmodells des hier vorgestellten Fallbeispiels bildeten Fotoaufnahmen. Dabei war die Fotoqualität von entscheidender Bedeutung, d. h., eine höhere Auflösung und Fotoanzahl ermöglichte eine detailliertere Rekonstruktion der Gesichtsweichteile und Steigerung der Effektivität der Modellierung. Jedoch erforderte dies eine hohe Rechenleistung. Eine Qualitätssteigerung
des 3D-Schädelmodells wurde zudem durch Fotografieren aus unterschiedlichen Blickhöhen erreicht. Für das Erstellen der einzelnen Aufnahmen fand eine Spiegelreflexkamera
des Modells Nikon D7100 Anwendung. Für die Fotoaufnahmen wurden ein schwarzer
Hinter- und Untergrund verwendet. Der Schädel wurde auf einem Drehteller positioniert, um lückenlose Aufnahmen mit wohldefinierten Winkeln 360ı um das Objekt zu
erzielen (Abb. 3.5). Nach Abschluss der Fotoaufnahmen wurden diese auf die Workstation übertragen (Abb. 3.6). Bei dieser handelt es sich um eine eigens für die 3DGesichtsweichteilrekonstruktion eingerichtete Hardware, welche über folgende Spezifikationen verfügt: Betriebssystem: Windows 7 Enterprise Service Pack 1, Prozessor: Intel
Core i7-5930K CPU 3,50GHz, Arbeitsspeicher: 32,0 GB, Grafikkarte: NVIDIA GeForce
GTX 750 Ti. Für den Rekonstruktionsprozess eignen sich jedoch ebenfalls getestete leistungsschwächere Rechnersysteme.
3.2.4 Punktwolkenerzeugung und Oberflächenrekonstruktion mittels
VisualSfM und CMPMVS
Nach Übertragung der Fotoaufnahmen wurde mittels VisualSfM eine 3D-Punktwolke von
dem Schädelmodell erzeugt. VisualSfM bietet dem Nutzer alle notwendigen Operationen
für das Erstellen von Punktwolken über eine grafische Oberfläche an. Nach dem erstmaligen Ausführen der Software wurde eine Konfigurationsdatei (nv.ini-Datei) angelegt,
die alle notwendigen Parameter für Algorithmen und Prozessabläufe beinhaltet. Alle Einstellungen wurden auf den Standardwerten belassen, können aber bei Bedarf angepasst
72
S. Becker und D. Labudde
Abb. 3.6 Fotoaufnahme Spiegelreflexkamera
werden. Der erste Prozessschritt der Rekonstruktion beinhaltete den Import aller Fotoaufnahmen. Diese wurden auf einem Miniaturraster dargestellt, von dem aus zusätzliche
Aufnahmen hinzugefügt oder qualitativ unbrauchbare sowie Duplikate entfernt werden
konnten (Abb. 3.7). Das vorhandene Logfenster gab Auskunft über die Eigenschaften der
Fotoaufnahmen, wie Auflösung und Bezeichnung sowie Fortschritte des Arbeitsprozesses. Der nächste Prozessschritt beinhaltete die Berechnung der SIFT-Feature (Abb. 3.8). Je
nach Anzahl der zu verarbeitenden Fotoaufnahmen stieg die Verarbeitungszeit exponentiell an. Angaben über die individuelle und Gesamtverarbeitungsdauer der Aufnahmen
und der Anzahl der berechneten Features wurden über das Logfenster ausgegeben. Abschließend wurde die 3D-Punktwolke (Abb. 3.9) erstellt und, für die Weiterverarbeitung
und Oberflächenrekonstruktion in CMPMVS, exportiert. Die Rekonstruktion der Oberfläche der in VisualSfM erzeugten 3D-Punktwolke sowie die Texturierung erfolgten in
einem Prozessschritt. Hierfür wurde die Ausgabe aus VisualSfM kommandozeilenbasiert
in CMPMVS importiert und der Rekonstruktionsprozess gestartet. Die Verarbeitungsdauer war zum einen von der Anzahl der Aufnahmen, zum anderen von deren Auflösung
abhängig.
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
Abb. 3.7 Import der Fotoaufnahmen
Abb. 3.8 Beispiel der SIFT-Features des SIFT-Algorithmus von zwei Fotoaufnahmen
73
74
S. Becker und D. Labudde
Abb. 3.9 Verdichtete Punktwolke
3.2.5 Modellnachbearbeitung und Editierung mittels MeshLab
Nach dem Erzeugen des 3D-Modells des Schädels wurde dieses zur weiteren Nachbearbeitung in MeshLab importiert. Dieser Prozessschritt war notwendig, um unbrauchbare
Artefakte nachträglich zu entfernen. Ein Beispiel für ein solches Artefakt war der Drehteller, auf welchem der Schädel für die Erzeugung der Fotoaufnahmen positioniert wurde.
Nach Bearbeitung des Modells wurde dieses im .obj-Format exportiert (Abb. 3.10). Äquivalente Output-Formate sind: .ply, .stl oder .x3d.
3.2.6 Positionierung anatomischer Weichteilmarker und
Rekonstruktion ausgewählter Gesichtsmerkmale
Die nach der Oberflächenrekonstruktion stattfindende Modellierung der Gesichtsmerkmale wurde mittels Blender realisiert. Nach dem Importieren des zu bearbeitenden 3DModells wurde dieses entsprechend der zur Verfügung stehenden osteometrischen Maße
im Maßstab 1:1 skaliert. Im Anschluss erfolgte die Modellierung und Positionierung der
anatomischen Weichteilmarker entsprechend den Vorgaben von Stephan et al. (2008). Ba-
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
75
Abb. 3.10 Importiertes texturiertes 3D-Modell in Meshlab
sis für die anatomischen Weichteilmarker waren Pfeilobjekte, die entsprechend der realen
durchschnittlichen Weichteildicken angepasst und bezeichnet wurden. Um den Zeitaufwand für den Prozessschritt des Erstellens und Positionierens der anatomischen Weichteilmarker zu optimieren wurde hierfür ein Pythonskript angelegt (Abb. 3.11). Dieses wurde
im Scripting Layout in Blender erstellt. Nach Ausführen des Skriptes waren geringfügige manuelle Korrekturen an den anatomischen Weichteilmarkern notwendig. Nach der
Positionierung der anatomischen Weichteilmarker wurden die beschriebenen Methoden
zur Vorhersage der Nasenform und der Position der Nasenspitze angewandt. Ziel war es,
die bestmöglichste Methode zur Nasenrekonstruktion für das Fallbeispiel herauszufinden.
Zuerst erfolgte die Rekonstruktion der Nase basierend auf der Vorhersagemethode von
Gerassimow. Blender bietet dem Nutzer hierfür eine Vielzahl von Hilfsobjekten, Tools
und Modi, die entsprechend ihrer Notwendigkeit Anwendung fanden. Zu Beginn wurden die zwei von Gerassimov empfohlenen Geraden, eine dem Nasenstachel und eine
dem knöchernen Bereich des Rhinion folgend, erstellt und auf dem computergestützten
3D-Modell positioniert. Im Anschluss wurden die notwendigen anatomischen Weichteilmarker (in diesem Fall: Nasion, Midnasion, Rhinion und Subnasale) ebenfalls auf dem
Schädel aufgebracht. Zur Kontrolle des korrekten anatomischen Verlaufs beispielsweise
des Nasenrückens oder der Nasenlöcher wurden Porträtaufnahmen von Personen ähnlichen Alters aus Gesichtsdatenbanken, wie der FaceBase der Dallas Universität von Texas
76
S. Becker und D. Labudde
Abb. 3.11 3D-Modell mit
exemplarischen anatomischen
Weichteilmarkern
genutzt. Gleichzeitig wurde permanenter Bezug zu den Vorgaben von Gerassimow sowie zu den anatomischen Weichteilmarker gehalten. Dies wurde durch einen speziellen
Modus, den Wireframe Modus, erleichtert, der es ermöglicht, Modelle in einer Art Gitterstruktur zu betrachten. Abschließend wurden verschiedene Modifier auf das 3D-Modell
angewandt, um dieses unter anderem hinsichtlich von altersbedingten morphologischen
Veränderungen zu individualisieren.
Die zweite angewandte Rekonstruktionsmethode erfolgte entsprechend den Vorgaben
von Krogman. Hierfür wurde die Länge des Nasenstachels gemäß seiner Vorgaben gemessen und zu der durchschnittlichen Weichteildicke des anatomischen Punktes Midphiltrum
addiert. Es wurde eine Gerade mit dem entsprechenden Maß erstellt und entsprechend
der Richtung des Nasenstachels durch diesen gelegt. Eine eingefügte Orthogonale und der
daraus resultierende Schnittpunkt entsprachen der Position der Nasenspitze. Durch Einbeziehen zusätzlicher notwendiger anatomischer Weichteilmarker wurde die Nase, analog
zur vorherigen Methode, modelliert. Die dritte Rekonstruktion nach Prokopec und Ubelaker ermöglichte neben der Vorhersage der Position der Nasenspitze zudem die Vorhersage
des Verlaufs der Nase. Zu Beginn wurde eine Gerade durch die anatomischen Punkte Nasion und Prosthion gelegt. Ausgehend von dieser wurde eine Parallele durch den Punkt
des knöchernen Endes der Nasenöffnung gezogen und diese in sieben gleichgroße Bereiche eingeteilt. Die Größe eines jeden Bereiches wurde mithilfe des Tools Ruler/Protractor
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
77
Abb. 3.12 Rekonstruierte Nasen nach den Methoden von Gerassimow, Krogman, Prokopec und
Ubelaker sowie George im Profil
ermittelt. Im Anschluss wurde die Distanz zwischen den einzelnen Schnittpunkten, den
Parallelen und den bereichsbegrenzenden Geraden sowie den knöchernen Bereichen der
Nasenöffnung ermittelt und diese anterior gespiegelt. Anschließend wurden zwei Millimeter zu jeder Distanz addiert und alle notwendigen anatomischen Weichteilmarker
hinzugefügt. Ausgehend davon wurde die Nase entsprechend mittels der bereits beschriebenen Tools modelliert und angepasst. Die vierte Nasenformvorhersage wurde nach der
Methode von George durchgeführt. Hierfür wurde eine Gerade zwischen dem anatomischen Punkt Nasion und dem Punkt der größten Krümmung der Maxilla gezogen (hier:
Gerade A) und deren Distanz gemessen. Anschließend wurde die Frankfurter Horizontale in das 3D-Modell eingetragen. Ausgehend von dieser wurde eine Parallele durch den
Punkt, der sich mittig auf der Krümmung unterhalb des Nasenstachels befindet, gelegt
(hier: Gerade B). Dadurch entstand ein Schnittpunkt S zwischen den Geraden A und B,
von dem aus 60,5 % der Länge der Gerade A abgetragen wurden. Dadurch wurde die
Position der Nasenspitze bestimmt und unter Einbezug weiterer anatomischer Weichteilmarker die Nase rekonstruiert. Zur realistischeren Darstellung wurden die erstellten
Nasenmodelle abschließend mit einer Hauttextur versehen und mit Porträtaufnahmen des
ausgewählten Falles verglichen. Dabei wurde das Modell nach George als bestmögliches empfunden.(Abb. 3.12 und 3.13). Aufgrund der Vielfalt der Ausprägungsformen
von Gesichtsmerkmalen sowie zur Optimierung des Rekonstruktionsprozesses hinsichtlich der Zeit und Flexibilität wurde zudem eine Modellbibliothek in Blender erstellt. Diese
beinhaltet neben verschiedenen Augenfarben, Nasen- und Ohrformen, exemplarische Alterserscheinungen und Frisuren (Abb. 3.14).
78
S. Becker und D. Labudde
Abb. 3.13 Originalporträtaufnahmen der Nase der verstorbenen Person und das als bestmöglich
empfundene Modell
Abb. 3.14 Exemplarische Frisuren: blonde lange Haartracht (a), kurze braune Haartracht (b)
3.3 Schlussfolgerung und Ausblick
Der vorgestellte Rekonstruktionsprozess für Gesichtsweichteile von unbekannten Personen stellt durch die Verwendung von Open-Source-Software eine kostengünstige Alternative gegenüber kostenintensiven Verfahren dar. Es konnte gezeigt werden, dass der
Einsatz von lizenzfreier Software eine hohe Flexibilität bietet und Fotoaufnahmen ei-
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
79
ner Spiegelreflexkamera geeignet sind, um hinreichende computergestützte 3D-Modelle
zu erzeugen. Der hier beschriebene Prozess der Gesichtsweichteilrekonstruktion trägt zu
einer Kostenersparnis gegenüber klassischen Verfahren bei und ermöglicht eine schnelle
Identifizierung. Trotz der Eignung von Fotoaufnahmen wäre eine Optimierung des Rekonstruktionsprozesses und der rekonstruierten 3D-Modelle durch Einsatz von CT-Daten
denkbar. Mithilfe des Open-Source-Softwarepaketes InVesalius konnten DICOM-Daten
eines Schädels eines Testversuches in ein 3D-Modell überführt und dann in Blender importiert werden. Durch die Erstellung von Pythonskripten sowie einer Modellbibliothek
in Blender wurde eine weitere Optimierung hinsichtlich der Zeitersparnis des Rekonstruktionsprozess erreicht. Die Modellbibliothek könnte hinsichtlich sogenannter facial
expressions erweitert werden, da diese, wie bereits durch Landau et al. (1989) beschrieben, einen hohen Stellenwert hinsichtlich des Wiedererkennens einer unbekannten Person
einnehmen [25]. Die ermittelten Ergebnisse zeigen, dass die Rekonstruktion einzelner Gesichtsmerkmale insbesondere der Nase mittels Fotoaufnahmen einer Spiegelreflexkamera
und Open-Source-Software möglich sind.
Die klassischen und die hier vorgestellte moderne Methode der Gesichtsweichteilrekonstruktion bedingen das Vorhandensein eines unbekannten Leichnams. Dieser bildet
die Grundlage einer Rekonstruktion und einer sich anschließenden Identifizierung. Doch
selbst, wenn kein Leichnam aufgefunden wird, besteht die Möglichkeit einer Rekonstruktion der Weichteile. Bei dem Verfahren, welches in solchen Fällen Anwendung findet,
handelt es sich um das sogenannte DNA-Phänotyping. Die Grundlagen hierfür wurden
in den Jahren 2011 und 2013 von K. Ballantyne und M. Kayser welche Positionen in
der DNA beschrieben, die Auskunft über die Haar- und Augenfarbe eines Menschen geben können, gelegt [22, 23]. Das von ihnen entwickelte System nennt sich Irisplex und
ermöglicht durch die Typisierung von 24 Single Nucleotide Polymorphisms (SNP) die
gleichzeitige Vorhersage von Augen- und Haarfarbe. Neben dieser Vorhersage besteht
jedoch die Möglichkeit, SNPs zu finden, die Informationen über die Ausprägung von definierbaren Gesichtsmerkmalen enthalten. Mit diesen Forschungen setzen sich seit 2012
F. Liu und P. Claes sowie deren Forschergruppen auseinander [10]. Bislang reichen die
erzielten Ergebnisse jedoch nicht aus, um auf Grundlage der DNA eine zweifelsfreie Rekonstruktion des Aussehens eines unbekannten Toten zu erzielen. Nichtsdestotrotz stellen
die bisherigen Methoden zur Gesichtsweichteilrekonstruktion eine wertvolle Hilfe bei der
Identifizierung von unbekannten Toter dar und geben diesen ihr Gesicht zurück.
3.4 Computergestützte Rekonstruktion von Tatorten
und Großschadensereignissen
3.4.1 Einleitung
Die vorgestellte Prozesskette zur computergestützten Gesichtsweichteilrekonstruktion von
unbekannten Leichnamen lässt sich ebenfalls auf Bereiche, wie Tatorte, Flugzeugabstürze,
80
S. Becker und D. Labudde
Demonstrationen, Massenkatastrophen und viele weitere, erweitern und anwenden. Ganz
gleich, ob es sich um die Rekonstruktion von Tatorten oder Großschadensereignissen handelt, ist es notwendig, innerhalb kürzester Zeit hinreichend viele Informationen über mögliche Abläufe zu erhalten [13]. Die Tatortrekonstruktion an sich ist die Beobachtung und
anschließende Analyse von Ergebnissen aus einer Handlung, um Rückschlüsse auf mögliche Abläufe und Geschehnisse an relevanten Ereignisorten ziehen zu können [12]. Um
dies zu realisieren, existieren verschiedene Methoden, wie das klassische Handaufmaß
und manuelle Skizzieren. Bei dieser Technik werden alle relevanten Distanzen, Abstände
und Maße unter anderem per Maßband erfasst. Trotz zusätzlicher Verwendung von modernen Messmethoden, wie Tachymetern, werden nicht selten mehrere Stunden Erfassungsarbeit benötigt. Eine schnellere Möglichkeit der Tatortvermessung und -rekonstruktion
liegt im Einsatz von photogrammetrischen und laserscanbasierten Methoden in Verbindung mit kommerzieller oder Open-Source-Software zur Auswertung der Daten. Diese
Techniken erlauben es innerhalb kürzester Zeit, alle notwendigen Informationen an einem
Tatort zu digitalisieren und im Falle des Einsatzes eines 3D-Laserscanners sogar direkt
als 3D-Daten abzulegen. Für die anschließende Auswertung und Aufbereitung der erfassten Informationen existieren verschiedene Softwarepakete. Einige Vertreter, die bereits im
alltäglichen Polizeidienst Anwendung finden, wären aus kommerzieller Sicht AutoCAD
(Firma Autodesk), PhotoToPlan oder Scene (Firma FARO). Ein wesentlicher Nachteil
dieser und weiterer kommerzieller Beispiele liegt im jedoch teils hohen Anschaffungsund Wartungspreis. Aus diesem Grund findet vermehrt Open-Source-Software für die
Auswertung und Analyse von rekonstruierten Tatorten Verwendung. Je nachdem, ob Fotoaufnahmen oder Laserscandaten erhoben wurden, stehen für den Rekonstruktionsprozess
verschiedene Softwarepakete zur Verfügung, die ebenfalls in Kombination eingesetzt werden können. Im Falle einer Rekonstruktion basierend auf Fotoaufnahmen des Tatortes ist
die primäre Anwendung von VisualSfM in Verbindung mit CMPMVS und im Nachhinein von Blender möglich. Bei Laserscandaten kann die Auswertung und Analyse direkt in
Blender erfolgen. Dieses Softwarepaket ist ebenfalls bei einer manuellen digitalen Rekonstruktion bestens geeignet, vor allem wenn beispielsweise mehrere Jahre zurückliegende
Kriminalfälle erneut aufgerollt und lediglich basierend auf Tatortskizzen rekonstruiert
werden müssen, mit dem Ziel, zusätzliche Informationen durch Einsatz moderner Methoden generieren zu können.
3.4.2 Studie einer Tatortrekonstruktion an einem historischen Mordfall
Ein solcher historischer Fall war die Grundlage der hier vorgestellten Studie zur computergestützten Tatortrekonstruktion. Die Basis für den Rekonstruktionsprozess bildeten
Fotoaufnahmen und Tatortskizzen, aus denen mittels der Open-Source-Software Blender
ein 3D-Modell erstellt wurde.
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
81
Hintergründe zum ausgewählten Fall
Bei dem ausgewählten Fallbeispiel handelt es sich um einen Tötungsdelikt. Das Opfer
war ein junges Mädchen. Bei dem Täter handelte es sich um einen jungen Mann mittleren
Alters, welcher bereits im Kindesalter vermehrt durch Straftaten auffällig geworden ist.
Zudem verbrachte er mehrere Monate in psychologischer Betreuung wegen Übergriffen
auf Prostituierte. Das junge Mädchen sammelte Altpapier und betrat aus diesem Grund
die Wohnung des Täters. Dieser hatte krankheitsbedingt immer wieder sogenannte Aussetzer und begann, das Mädchen zu Tode zu würgen. Die Leiche versteckte er in seiner
Wohnung in einer selbst ausgehoben Grube, welche er mit Dielenbretter abdeckte. Aufgrund seiner kriminellen Vorgeschichte rückte der Täter immer näher ins Visier der in
dem Fall ermittelnden Polizeibeamten. Diese betraten einige Tage nach Verschwinden des
Mädchens dessen Wohnung und konnten auf Grundlage von sich ausbreitendem Leichengeruch die Ablagestelle der Kindesleiche mithilfe eines Spürhundes ermitteln. Der Tatort
wurde damals fotografisch und in Form von Skizzen dokumentiert.
Digitalisierung des Tatortes auf Basis terrestrischer Fotoaufnahmen
Auf Grundlage der übermittelten Fotoaufnahmen und Skizzen des Tatortes und der Umgebung erfolgte eine manuelle Rekonstruktion von diesen in Blender, da das entscheidende
Gebäude bereits vor Jahren abgerissen wurde. Nach Abschluss des Grundrisses wurden
entsprechend den dokumentierten Einzelheiten Mobiliar und Besonderheiten, wie Balken,
in die Szenerie eingearbeitet. Für eine realistischere Darstellung wurden zudem Texturen für Wände, Dielenböden sowie Licht- und Schatteneffekte integriert (Abb. 3.15
und 3.16). Die Besonderheit der computergestützten Rekonstruktion lag darin, dass je
nach zu analysierenden Tatbereichen verschiedene Kameraeinstellungen und -fahrten sowie Simulationen durchgeführt werden konnten.
Zusammenfassung
Der vorgestellte manuell rekonstruierte Tatort in Blender stellt eine kostengünstige und
flexible Alternative gegenüber klassischen Rekonstruktionsverfahren dar. Insbesondere
bei der Aufarbeitung von historischen Fällen, bei denen unter Umständen Tatortbereiche nicht mehr vorhanden sind, können diese innerhalb kürzester Zeit digital rekonstruiert
werden. Auf der anderen Seite besteht jederzeit die Möglichkeit, 3D-Modelle, welche mit
modernen Aufnahmeverfahren wie Laserscanning erzeugt wurden, in die Open-SourceSoftware zu importieren. Diese können im Nachhinein ebenfalls editiert werden. Auch
Simulationen sind durchführbar.
3.4.3 Unterstützung der Rekonstruktion durch Einsatz moderner
unbemannter Flugobjekte
Eine weitere Möglichkeit und Unterstützung der Datengewinnung eines schwer zugänglichen Tatortes, im kriminalistischen Sinn und in Form von Großschadensereignissen, liegt
82
S. Becker und D. Labudde
Abb. 3.15 Außenaufnahme des rekonstruierten Tatortes
Abb. 3.16 Innenaufnahme des rekonstruierten Tatortes
in dem zielgerichteten Einsatz von unbemannten Flugobjekten. Diese werden umgangssprachlich auch als Dronen bezeichnet und finden vermehrt Einsatz, wenn notwendige
Informationen nicht mittels terrestrischer Aufnahmen erlangt werden können. Zum einen
dienen Dronen demzufolge zur Informationsgewinnung, zum anderen als sicheres Ein-
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
83
Abb. 3.17 Prozesskette zur 3D-Rekonstruktion der Absturzstelle
Abb. 3.18 3D-Modell der Absturzstelle bei Le Vernet, Département Alpes-de-Haute-Provence,
Frankreich, (44ı 160 4700 N; 6ı 260 19; 100 O)
84
S. Becker und D. Labudde
Abb. 3.19 Zirkuläre Aufnahme eines virtuellen Großschadensereignisses und exemplarische programmierte Flugrouten im MikroKopter-Tool
satzmittel für Rettungskräfte, welche sich je nach Situation in Lebensgefahr begeben.
Ein Beispiel eines dramatischen Großschadensereignisses ist der Flugzeugabsturz des
Germanwings-Fluges 4U9525 im März 2015. Dieser wurde durch einen Co-Piloten bewusst herbeigeführt, und alle 150 Insassen kamen dabei ums Leben. Die Absturzstelle
befand sich in den französischen Alpen, sodass sie lediglich mit einem Helikopter erreicht
werden konnten. Dieser Umstand führt zu einer logistischen Problematik innerhalb kürzester Zeit nach dem Absturz gezielt Rettungskräfte und Ermittlungsgruppen gefahrlos
einzusetzen. Aus diesem Grund besteht die Möglichkeit, gezielt Dronen bei derart schwe-
3
Computergestützte Gesichtsweichteil- und Tatortrekonstruktion
85
Abb. 3.20 3D-Modell des
Wasserturms in frontaler Sicht
ren und vor allem unzugänglichen Schadensereignissen einzusetzen. Handelsübliche Dronensysteme sind standardmäßig mit RGB-Kameras für Luftbildaufnahmen ausgestattet
und können mit sogenannten Payloads (Thermalkameras, 3D-Scanner etc.) aufgerüstet
werden. Basierend auf Studien von unter anderem Püschel et al., welche terrestrische
und Luftbildaufnahmen für die 3D-Rekonstruktion von Sehenswürdigkeiten verwendet
haben, erfolgte der Einsatz eines Dronensystems in Kombination mit der vorgestellten
Open-Source-Prozesskette zur 3D-Rekonstruktion von Großschadensereignissen. Bei der
eingesetzten Drone handelt es sich um einen MikroKopter MK-ARF OktoXL 6S12. Dieser besitzt eine maximale Reichweite von 4000 m und eine maximal erreichbare Höhe von
5000 m. Bei vollständig aufgeladenen Akkus beträgt die mögliche Flugzeit etwa 45 Minuten, durch zusätzliche Payloads kann sie aber reduziert werden. Mithilfe der zugehörigen
Software MirkoKopter-Tool V2.12a ist es möglich, vorab geplante Wegpunkte zu definieren, die automatisch von der Drone angesteuert werden. Zusätzlich besteht die Möglichkeit, Auslösesequenzen für Kameraaufnahmen sowie Haltezeiten an den Wegpunkten
einzustellen. Als primärer Test für die Rekonstruktion eines Großschadensereignisses, in
diesem Fall des Flugzeugabsturzes, dienten Pseudoluftbildaufnahmen von Google-Earth.
Die Aufnahmen wurden mittels eines virtuellen zirkulären Fluges um die Absturzstelle
herum aufgenommen, und mittels der Prozesskette wurde ein 3D-Modell aus diesen generiert (Abb. 3.17 und 3.18) [13].
86
S. Becker und D. Labudde
Für den Fall, dass sich ein Ereignisraum über mehrere Kilometer hin erstreckt, können
sich überlappende zirkuläre Flugrouten mittels der Drohnensoftware programmiert und
abgeflogen werden (Abb. 3.19a, b und e). Diese Aufnahmebereiche werden zuerst separat
und im Anschluss auf Basis der Überlappungen in ein geschlossenes 3D-Modell überführt
(Abb. 3.19 c und d).
Als proof of concept für die Generierung von 3D-Modellen aus realen Luftbildaufnahmen diente der Wasserturm in Mittweida. Von diesem wurde, aufgrund ungünstiger
Wetterbedingungen, ein linear verlaufender Videofeed aufgenommen, aus welchem wiederum mehrere Fotoaufnahmen extrahiert wurden. Mithilfe der Open-Source-Prozesskette
konnte letztendlich ein 3D-Modell erstellt werden (Abb. 3.20). In weiterführenden Arbeiten erfolgen zudem zirkuläre Aufnahmen mit anschließender 3D-Rekonstruktion.
Literatur
1. Burrath, S.: Visuelle Personenidentifizierung und polizeiliche Personenbeschreibung: Praxishandbuch. Verlag für Polizeiwiss. Lorei (2009)
2. da Costa Moraes, C.A., Dias, P.E.M., Melani, R.F.H.: Demonstration of protocol for computeraided forensic facial reconstruction with free software and photogrammetry. Journal of Research
in Dentistry 2(1), S. –77 (2014)
3. Daniela, B.: Computergestützte Weichteildickenmessung an CT-Aufnahmen des Schädels von
verstorbenen Personen. Luchterhand Verlag (2007)
4. Eugene, L.: Open Source Tools for 3D Forensic Reconstructions – Part 3. AI-3D, 3D Forensic
Measurement Company (2011)
5. Furukawa, Y., Ponce, J.: Accurate, dense, and robust multiview stereopsis. Pattern Analysis and
Machine Intelligence, IEEE Transactions on 32(8), 1362–1376 (2010)
6. Gottschaldt, U.: Anthropologische Untersuchungen zur Geschlechtsbestimmung adulter Individuen sowie zur Altersschaetzung subadulter Individuen (2003)
7. Kersten, T.P., Lindstaedt, M., für Photogrammetrie, L., Hebebrandstrasse, L.: Generierung von
3D-Punktwolken durch kamera-basierte low-cost Systeme–Workflow und praktische Beispiele
(2012)
8. Kreutz, K., Verhoff, M.A.: Forensische Gesichtsrekonstruktion–Identifizierung bei Skelettfunden. Dtsch Arztebl 104(17), 1160–5 (2007)
9. Lewis, M.B.: Familiarity, target set and false positives in face recognition. European Journal of
Cognitive Psychology 9(4), 437–459 (1997)
10. Liu, F., van der Lijn, F., Schurmann, C., Zhu, G., Chakravarty, M.M., Hysi, P.G., Wollstein, A.,
Lao, O., de Bruijne, M., Ikram, M.A., et al.: A genome-wide association study identifies five
loci influencing facial morphology in europeans (2012)
11. Resig, M.R.: Rapid 3d scene reconstruction from kite-based aerial imagery using open source
structure from motion. Ph.D. thesis (2015)
12. Se, S., Jasiobedzki, P.: Instant scene modeler for crime scene reconstruction S. 123–123 (2005)
13. Spranger, M., Heinke, F., Becker, S., Labudde, D.: Towards drone-assisted large-scale disaster
response and recovery. ACCSE 16 – unpublished (2015)
Literatur
87
14. Stephan, C., Murphy, S.: Mouth width prediction in craniofacial identification: cadaver tests of
four recent methods, including two techniques for edentulous skulls. J Forensic Odontostomatol
27(1), 2–7 (2008)
15. Stephan, C.N.: Facial approximation: An evaluation of mouth-width determination. American
journal of physical anthropology 121(1), 48–57 (2003)
16. Stephan, C.N., Henneberg, M., Sampson, W.: Predicting nose projection and pronasale position
in facial approximation: a test of published methods and proposal of new guidelines. American
journal of physical anthropology 122(3), 240–250 (2003)
17. Uerlings, H.: Zur Geschlechtsbestimmung von menschlichen Skelett-teilen. Disseration, Institut
für Anthropologie und Humangenetik, Friedrich-Schiller-Universität Jena (1991)
18. Verdier-Sévrain, S., Bonté, F., Gilchrest, B.: Biology of estrogens in skin: implications for skin
aging. Experimental dermatology 15(2), 83–94 (2006)
19. Verhoff, M., Kreutz, K., Jopp, E., Kettner, M.: Forensische Anthropologie im 21. Jahrhundert.
Rechtsmedizin 23(2), 79–84 (2013)
20. Verhoff, M.A.: Forensische Osteologie: problematische Fragestellungen. Lehmanns Media
(2008)
21. Verzé, L.: History of facial reconstruction. Acta Bio Medica Atenei Parmensis 80(1), 5–12
(2009)
22. Walsh, S., Lindenbergh, A., Zuniga, S.B., Sijen, T., de Knijff, P., Kayser, M., Ballantyne, K.N.:
Developmental validation of the irisplex system: determination of blue and brown iris colour
for forensic intelligence. Forensic Science International: Genetics 5(5), 464–471 (2011)
23. Walsh, S., Liu, F., Wollstein, A., Kovatsi, L., Ralf, A., Kosiniak-Kamysz, A., Branicki, W.,
Kayser, M.: The hirisplex system for simultaneous prediction of hair and eye colour from dna.
Forensic Science International: Genetics 7(1), 98–115 (2013)
24. Werner, G.: Weichteilverschiebung im Gesicht bei Personen in ste-hender und liegender Position. Ph.D. thesis, Medizinische Fakultät der Uni-versität des Saarlandes (2009)
25. Wilkinson, C.: Facial reconstruction–anatomical art or artistic anatomy? Journal of anatomy
216(2), 235–250 (2010)
26. Wu, C.: Siftgpu: A gpu implementation of scale invariant feature transform (sift) (2007)
27. Ziegler, M.: 3D-Rekonstruktion von Objekten mittels „Structure-from-Motion“ aus einer photogrammetrischen Aufnahme mit den Program-men VisualSfM und CMPMVS. Gemeinsame
Tagung 2014 der DGfK, der DGPF, der GfGI und des GiN (2014)
4
DNA-Phänotypisierung
Anne-Marie Pflugbeil, Karlheinz Thiele und Dirk Labudde
4.1
DNA-Analytik im forensischen Alltag
Mit der Entwicklung der Polymerasekettenreaktion (engl. polymerase chain reaction
(PCR)) im Jahre 1987 durch K. Mullis hat die Analyse von Biomolekülen wie DNA oder
RNA und deren molekularen Besonderheiten einen enormen Aufschwung erlebt [44].
Dieser Fortschritt eröffnete gerade im Bereich der forensischen DNA-Analytik ungeahnte
Möglichkeiten. Durch Steigerung der Sensitivität und Spezifität der Verfahren gelingt es
immer mehr, Informationen auf DNA-Ebene, auch im Hinblick auf Mikrospuren oder
stark zerstörte Proben, zu extrahieren. Zurückgelassene DNA am Tatort stellt ein zunehmend wichtiges Indiz in der Kette der Ermittlungen zur Aufklärung eines Verbrechens
oder zur Entlastung verdächtiger Personen dar [55].
Die Hauptaufgabe des Faches liegt in der Analyse von DNA aus zellkernhaltigen Zellen
von z. B. am Tatort gesichertem biologischem Spurenmaterial unterschiedlicher Herkunft
(z. B. Blutspuren, Speichel, Hautabriebspuren, Spermaspuren, Vaginalepithelzellen, HaaA.-M. Pflugbeil ()
Wissenschaftliche Mitarbeiterin im Forensic Science Investigation Lab (FoSIL), University of
Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: pflugbei@hs-mittweida.de
K. Thiele
Gesundheitsamt – Landkreis Zwickau
Werdauer Straße 62, 08056 Zwickau, Deutschland
E-Mail: karlheinz.thiele@landkreis-zwickau.de
D. Labudde
Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL),
University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: labudde@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_4
89
90
A.-M. Pflugbeil et al.
re, Knochen, Zähne) zur Beantwortung diverser Fragestellungen. Daneben können bei
spezifischen Anforderungen an die Analytik auch aus weiteren Zellkompartimenten, wie
den Mitochondrien (mtDNA), individuenspezifische Informationen erlangt werden. In den
meisten Fällen geht es darum, der entsprechenden Spur eine Identität zuzuordnen, um z. B.
Gewaltverbrechen aufzuklären. Eine besondere Herausforderung entsteht bei komplexen
Spurenfällen. Hier bleibt das Aufschlüsseln von sogenannten Spurenmischungen, welche
die DNA-Profile mehrerer Personen beinhalten, nicht aus. Im Rahmen der Abstammungsbegutachtung werden Untersuchungen zur Klärung verschiedener verwandtschaftlicher
Konstellationen im Auftrag einer gerichtlichen Anordnung durchgeführt. Stehen für eine
Abstammungsbegutachtung nicht alle Beteiligten zur Verfügung, spricht man von einem
Defizienzfall, wobei die Abstammungsfrage durch Heranziehen naher Verwandter geklärt
werden kann. In Sonderfällen werden an das forensische Aufgabenspektrum Fälle aus der
klinischen Diagnostik herangetragen [39]. Zu nennen sind hier die Chimärismusanalyse1
nach Knochenmarkstransplantationen oder die Zwillingsdiagnostik bei genetischen Defekten [31, 42].
Eine in der forensischen Routine nicht alltägliche Untersuchungsstrategie, mit der Anhaltspunkte zum Aussehen einer Person (Tatverdächtiger, vermisste Personen) auf Grundlage des individuell gespeicherten DNA-Codes erhalten werden können, zeigt das Potential etwaiger Untersuchungen im Rahmen polizeilicher Ermittlungen. Diese wird im
Abschn. 4.3 thematisiert.
4.2 Von der Spur zum DNA-Profil
4.2.1
Workflow
Bis zur Erstellung eines DNA-Profils aus dem Zellmaterial einer relevanten Tatortspur
sind mehrere Arbeitsschritte notwendig (Abb. 4.1). Der Erfolg jedes einzelnen Arbeitsschrittes, von der Spurensicherung bis hin zur Genotypisierung, ist dabei zum einen abhängig vom eingesetzten Nachweissystem sowie von dessen Sensitivität und Spezifität. Zum
anderen beeinflussen die Qualität und Quantität des biologischen Templates, der Anteil
potentieller Inhibitoren (z. B. Huminsäure, Melanin, Hämoglobin, Proteine, Kollagen) sowie mögliche DNA-Verluste durch das Extraktionsverfahren, die Auswahl des jeweiligen
Nachweis- bzw. Analyseverfahrens [1, 38, 43, 49]. Die Spurenanalytik beginnt mit einer
geeigneten Sicherung der Spur am Tatort. Die Art der Sicherung richtet sich dabei nach
der Beschaffenheit des Untersuchungsmaterials. Wie in Abschn. 4.1 bereits erwähnt, sind
gesicherte Körperflüssigkeiten, wie Blut, Speichel oder Hautkontaktspuren die häufigsten zu analysierenden Untersuchungsmaterialien. In der Spurenkunde wird zusätzlich für
DNA-Analysen geeignetes Vergleichsmaterial benötigt. Seltener und zudem aufwendiger
1
Als Chimärismusanalyse wird die quantitative Messung des Anteils an Spender- und Empfängerhämatopoese nach einer allogenen Stammzell- oder Knochenmarktransplantation bezeichnet.
4
DNA-Phänotypisierung
91
ist die Genotypisierung von Knochen- oder Zahnmaterial. Bei teilweise oder vollständig
skelettierten Leichen stellt dies jedoch meist die einzige Möglichkeit zur DNA-Extraktion
dar. Eine Reihe von Autoren verfolgen daher stetig eine Methodenoptimierung ausgehend von der Probenpräparation bis hin zur DNA-Aufreinigung und Genotypisierung von
Knochen- bzw. Zahnmaterial [2, 16, 18, 28, 38]. Nachdem eine Spur abgenommen und
durch ein geeignetes Extraktionsverfahren DNA isoliert wurde, muss der Anteil extrahierter DNA in der Lösung bestimmt werden. Um sich Zugang zu relevanten Faktoren,
wie DNA-Konzentration, PCR-Inhibitoren oder den DNA-Degradationsgrad, welche den
weiteren Analysegang im Labor maßgeblich bestimmen, zu verschaffen, werden in der
Praxis verschiedene Quantifizierungstechniken angewandt. Die eingesetzten Systeme basieren heutzutage hauptsächlich auf dem Prinzip der quantitativen real-time PCR (qPCR).
Hierbei wird es möglich, den Verlauf der PCR in Echtzeit zu verfolgen und die amplifizierten Genfragmente zu quantifizieren [9, 24, 45]. Mit der ermittelten DNA-Konzentration
kann anschließend der DNA-Input in die PCR zur Vervielfältigung spezifischer Marker,
entsprechend der Kit spezifischen Nachweisgrenzen und Reaktionsoptima, besser geplant
werden. Der nächste logische Schritt besteht in der Untersuchung mehrerer Marker zur
Typisierung in einem Reaktionsansatz. Zur Erhöhung der Diskriminationkraft bei der genetischen Individualisierung werden in der Praxis mehrere molekulare Marker simultan
durch die Verwendung von kommerziellen und validierten Multiplex-PCR Kits in einem
Reaktionsansatz amplifiziert. Je nach Fragestellung steht ein großes Repertoire an sehr
unterschiedlichen DNA-Templates und Markern für die Typisierung zur Verfügung (vgl.
Abschn. 4.2.2). Folgende hinreichend evaluierte Analyseverfahren werden für die Begutachtung genutzt [22]:
autosomale Mikrosatellitenpolymorphismen,
gonosomale Mikrosatelliten oder Polymorphismen (X-, Y-STR),
diallele Einzelbasen- oder Insertions-/Deletionspolymorphismen (SNP / InDel),
Sequenzpolymorphismen der hypervariablen Regionen des D-Loops der mitochondrialen DNA (mtDNA HV 1–3).
Zusätzlich wird mindestens ein STR oder SNP-unabhängiger Lokus zur genotypischen
Bestimmung des Geschlechts untersucht (z. B. Amelogenin). Im Anschluss an die Vervielfältigung entsprechender Systeme erfolgt die Sequenzierung, welche heutzutage häufig
nach dem Sanger-Prinzip abläuft, und die PCR-Produktanalyse. In der Routine gegenwärtig noch weit verbreitet, kommt hierzu oftmals eine fragment- und fluoreszenzbasierte
Technologie (Kapillarelektrophorese) zur präzisen und reproduzierbaren Trennung der
amplifizierten Fragmente zum Einsatz. Im Ergebnis erfolgt die Darstellung des personenbzw. spurenbezogenen DNA-Profils als Elektropherogramm. Neue sensitive Technologien
wie Next Generation Sequencing (NGS), das in der medizinischen Genomanalyse bereits
weit verbreitet ist, sollen zukünftig o. g. Verfahren auch in der forensischen Molekulargenetik ablösen. Sogenannte massive parallele Sequenzierungen überzeugen an dieser Stelle
durch einen hohen Informationsgewinn, da eine Vielzahl verschiedener Marker gleichzei-
92
A.-M. Pflugbeil et al.
Abb. 4.1 Workflow in der forensischen Molekulargenetik. Die abgebildete Prozesskette zeigt die
beschriebenen Hauptschritte von der Spurensicherung bis hin zur PCR-Produktanalyse und Gutachtenerstellung
tig analysiert werden können. Daneben ermöglicht diese Technologie einen hohen Probendurchsatz und einen tieferen Einblick in spezifische DNA-Varianten [4, 54]. Dies könnte
zukünftig auch zu einem methodischen Vorteil bei geringen DNA-Mengen oder stark fragmentierter DNA führen. Gleichzeitig kann in diesem Zusammenhang eine Steigerung der
biostatistischen Aussagekraft erhaltener DNA-Profile erreicht werden. Eine Vielzahl von
Produktanbietern auf dem forensischen Sektor spezialisieren sich gegenwärtig auf die methodische Weiterentwicklung von NGS-basierter Chemie für den Einsatz in der Forensik.
Nach Abschluss der Arbeiten zur Individualdiagnostik im Labor wird ein spurenkundliches Gutachten erstellt. Die Form des Gutachtens ist prinzipiell an keine Form gebunden,
sollte sich aber an den allgemein üblichen Inhaltsvorgaben (Sachverhalt, Material, Methoden, Ergebnisse, Beurteilung) orientieren. Innerhalb der Beurteilung sind die Ergebnisse
zu werten und zu gewichten. Abweichungen von der Erwartung sind zu erklären, biostatistische Berechnungen vorzunehmen und deren Grundlage zu benennen [39].
4.2.2
DNA-Marker in der Forensischen Molekulargenetik
Aus naturwissenschaftlicher Sicht beruht eine Individualisierung von Personen auf der
Grundlage der Heterogenität des genetischen Code. Sowohl kodierende als auch nichtkodierenden Abschnitte auf der DNA bedingen diese Heterogenität. Bei kodierenden Bereichen beschränkt sich die Analyse derzeit noch auf das Genprodukt [39]. In Abhängigkeit von der zugrunde liegenden Fragestellung, der Beschaffenheit des biologischen
Templates oder der biologischen Spur, können im Rahmen der molekularen Analyse unterschiedliche heterogene regions of interest, sog. DNA-Marker, untersucht werden, um
die genetische Information von zwei Personen mit hinreichend hoher Wahrscheinlichkeit
zu unterscheiden.
4
DNA-Phänotypisierung
93
Short Tandem Repeats (STRs)
Für die Erstellung eines DNA-Profils im Rahmen von Teilaufgaben des Faches, orientiert
sich die forensische Molekulargenetik fast ausschließlich an spezifischen Strukturmerkmalen der nukleären DNA, welche sich vorrangig in Intronbereichen (nicht-kodierend)
befinden. Somit werden diese als Unterbrechungen der kodierenden Gensequenz (Exon)
unabhängig von der Translation des primären RNA-Transkripts betrachtet [39] und die
Heterogenität wird ausschließlich durch Mutation und Rekombination erreicht. Voraussetzung für alle auf dem humanen Kerngenom beruhenden Analysen, STRs eingeschlossen,
ist das Vorliegen von mindestens einem intakten Zellkern einer Körperzelle. STRs zählen ihrem Ursprung nach zu den verstreut im Genom vorkommenden Mikrosatelliten.
Die Kategorisierung des molekularen Markers beruht auf der geringen Länge von 2–7
Basenpaaren des spezifisch zu einem STR gehörigen Sequenzmotives, das eine maximale Repeathäufigkeit von ca. 100 aufweist. Letzteres beschreibt die Merkmalsausprägung
(Allel) eines amplifizierten STR-Systems in einem diploiden humanen Chromosomensatz. Spezifische PCR-Produkte besitzen in der Regel eine Länge bis zu ca. 500 bp [11].
Bei Proben, welche z. B. durch eine lange Lagerungszeit oder durch Umweltfaktoren
wie Hitze und Feuchtigkeit beeinflusst sind, kann dieser Längenbereich nachteilig sein.
Statistisch betrachtet sind längere DNA-Fragmente häufiger von Degradationsprozessen,
welche den DNA-Strangbruch und eine chemische Modifikation einzelner Nukleotide
impliziert, beeinträchtigt, weshalb das entsprechende Merkmal möglicherweise nicht vervielfältigt und beurteilt werden kann [11]. Aus diesem Grund optimieren die Anbieter spezifische Fragmentlängenbereiche, sodass selbst bei potentiell stark fragmentierter DNA
ein aussagekräftiges Ergebnis erreicht werden kann. Nach gegenwärtigen Empfehlungen
werden für Abstammungs- und spurenkundliche Untersuchungen mindestens 15 STRSysteme analysiert [22, 46]. Für die Anwendbarkeit in der forensischen Praxis müssen
die STR-Systeme verschiedene Kriterien erfüllen [12]. Beispielsweise müssen die verwendeten STRs hochpolymorph sein und dürfen nicht mit Genen oder anderen in die
Untersuchung einbezogenen STRs gelinkt sein. Ihre Merkmalsausprägung muss unabhängig von der anderer Systeme sein, auf die z. B. gerichtete Selektionsdrücke wirken.
Um diese Eigenschaften zu überprüfen, werden in der Validierungsphase eines solchen
Systems umfangreiche Daten gesammelt und statistischen Tests unterzogen. Wichtige
Eckdaten zur abschließenden Auswahl eines Systems für forensische Zwecke sind dessen
chromosomale Verortung und seine theoretische sowie beobachtete Heterozygotenrate.
Diese setzt sich aus der Anzahl der realisierten Allele und der Frequenz ihres Auftretens
zusammen. Wirken keine Selektionsdrücke spezifisch gegen eines oder mehrere Allele, und ist die untersuchte Population hinreichend groß, entsteht näherungsweise eine
Gauß-Verteilung [17]. Dies wiederum ist die Voraussetzung für ein verlässliches Unterscheidungspotential des betreffenden STR-Systems sowohl innerhalb einer Bevölkerung
als auch populationsübergreifend [55].
94
A.-M. Pflugbeil et al.
Single Nucleotide Polymorphisms (SNPs)
Neben den bereits beschriebenen STRs, welche durch ihre Struktur zu den Längenpolymorphismen zählen, stellen SNPs eine weitere Form der genetischen Heterogentität
zwischen humanen Genomen dar. Im Vergleich zur STRs wird die Variation durch den
Austausch eines einzelnen Nukleotids im Genom erklärt. Daher werden SNPs zu den
binären Sequenzpolymorphismen gezählt. Im Gegensatz zu anderen Polymorphismen,
wie den Satelliten-DNAs, handelt es sich bei forensisch relevanten SNPs überwiegend
um biallelische Marker [5, 10], d. h., sie weisen zwei Merkmalszustände, ein ursprüngliches (anzestrales) und ein mutiertes Allel, auf. Im Hinblick auf die Verteilung dieser
Sequenzpolymorphismen ist davon auszugehen, dass diese mit einer mittleren Dichte von
ca. 1 SNP/300 bp verteilt in kodierenden sowie in nichtkodierenden Teilen des Genoms
vorkommen [39]. Derzeit sind 97.535.033 validierte SNP-Cluster und 85.591.044 SNPs
des humanen Genoms in der Datenbank Datenbank!dbSNP des National Center for Biotechnology Information (NCBI) gespeichert2 [57]. Der methodische Vorteil gegenüber
STRs liegt in der Gestalt der Polymorphismen in Form von Einzelbasenaustauschen,
sodass während der Analyse lediglich kurze Sequenzbereiche amplifiziert werden müssen
(<100 bp). Dadurch eignen sich diese Polymorphismen insbesondere gut für die Analyse von stark degradierter DNA, wie sie oft bei Skelettfunden mit langen postmortalen
Intervallen (PMI) vorliegt. Die größte Herausforderung bei der SNP-Analyse besteht zudem in der Weiterentwicklung von anwendbaren, robusten Multiplexkits zur simultanen
Amplifikation von möglichst vielen Loci, welche für die forensische Praxis eingesetzt
werden können. Ein einzelner biallelischer SNP würde wenig bis gar keine hilfreichen
Informationen liefern. Jedoch wird es möglich, mit einer angemessen großen Anzahl und
einer intelligenten Kombination von SNPs die Diskriminationskraft für den Identifikationsfall zu erhöhen [6, 53]. Die in der Forensik relevanten SNPs werden in vier Kategorien
unterteilt [8]:
Typ 1 IISNPs: Individual Identification SNPs sind zur Individualdifferenzierung eingesetzte Polymorphismen. Eine hohe Diskriminationkraft wird durch eine hohe
Anzahl von SNPs erreicht. Innerhalb des SNPforID Projektes wurde beispielhaft
ein Analyseset von 52 autosomalen SNPs zur humanen Identifizierung veröffentlicht [53].
Typ 2 LISNPs: Lineage Informative SNPs umfassen gekoppelte SNPs, die aus der Kombination der Sequenzinformation einen sogenannten Haplotypen bilden. LISNPs
werden für evolutionäre Untersuchungen und für die Abstammungsanalyse als multiallelische Marker eingesetzt. Hierzu werden SNPs des Y-Chromosoms und mitochondrialen Genoms genutzt.
Typ 3 AISNPs: SNPs, die Rückschlüsse auf die geografische Herkunft eines Individuums
zulassen, werden als Ancestry Informative SNPs bezeichnet. Zu dieser Kategorie werden sowohl autosomale SNPs, die z. B. selektionsbedingt populationsspe2
Version 144, Release vom 8. Juni 2015.
4
DNA-Phänotypisierung
95
zifische Mutationsmuster aufweisen, als auch selektionsneutrale Y-chromosomale
SNPs, gezählt [20].
Typ 4 PISNPs: Als Phenotype Informative SNPs werden Polymorphismen bezeichnet,
welche Aussagen bzgl. des Phänotyps eines Individuums, über biogeografische
Rückschlüsse hinaus, zulassen (Hautfarbe, Haarfarbe oder Augenfarbe). Anders als
mit AISNPs können mit diesen Markern direkte Informationen zur physischen Konstitution erlangt werden, mit denen eine Personenidentifikation unterstützt werden
kann. Für die Phänotypisierung werden überwiegend gengekoppelte SNPs verwendet, welche mit Pigmentierungsinformationen assozieren und keinen Einfluss auf
die Genexpression besitzen [53].
4.3
Phänotypisierung – DNA als biometrisches Merkmal
Mit der Möglichkeit anhand von DNA-Polymorphismen (PISNPs, vgl. Abschn. 4.2.2) äußerliche Merkmale von Personen aus einer biologischen Spur, die am Tatort gesichert
wurde, vorherzusagen, entwickelte sich eine neue Ära im Bereich der DNA-Intelligenz.
In Fällen, in denen es kaum bis keine Augenzeugenaussagen innerhalb eines Strafverfahrens gibt, können polizeiliche Ermittlungen durch das Einbeziehen derartiger Analysen
unterstützt werden. Auch für Fälle, in denen die Suche nach dem ermittelten STR-Profil
in der Datenbank erfolglos bleibt oder sich die Spur im Ergebnis der Analyse aufgrund
von qualitativen und quantitativen Aspekten nicht für die Personenidentifizierung eignet,
können so weitere ermittlungsunterstützende Informationen erlangt werden.
4.3.1 Phänotyp
Im Allgemeinen beschreibt der Phänotyp eines Individuums die Gesamtheit aller äußerlichen Merkmale [23], wie Körperhöhe [3, 35, 71], Robustizität [34, 40], Augenfarbe [21, 67, 69] und Haarfarbe [25, 59, 68]. Häufig werden die bestimmbaren äußerlichen
Merkmale in der Literatur als External Visible Characteristics (EVCs) bezeichnet [32].
Auf der Grundlage solcher zusätzlicher molekularer Informationen kann eine Art genetisches Phantombild von einer Person erstellt werden (Abb. 4.2). Mit Hilfe von bereits
etablierten Analyse-Assays ist es gegenwärtig möglich eine gesicherte statistische Aussage über die entsprechende phänotypische Ausprägung zu treffen. Darüber hinaus sehen
Experten ein hohes Anwendungspotential für die forensische Praxis. Der Einsatz phänotypischer Merkmale kann nicht nur bei der Suche nach Tatverdächtigen innerhalb eines
Strafverfahrens hilfreich sein, sondern auch bei der Rekonstruktion von Skelettfunden in
der anthropologischen Praxis oder vermissten Personen. Auch im Falle der computergestützten Gesichtsweichteilrekonstruktion können entsprechende Informationen, wie die
Augenfarbe, einbezogen werden. Innerhalb der nächsten Dekade soll die Vorhersage eines
96
A.-M. Pflugbeil et al.
Abb. 4.2 DNA-Phänotypisierung mittels SNPs
Gesichts ausschließlich auf Basis genetischer Merkmale möglich sein. Für die Etablierung
derartiger phänotypischer Assays in der forensischen oder auch anthropologischen Praxis
bedarf es in den nächsten Jahren eines tieferen Einblick in genetische Varianten, welche
mit Phänotyp relevanten Genen gekoppelt sind, sowie weiterer Studien an heterogenen
Populationsgruppen, um die gewonnenen Ergebnisse statistisch abzusichern [32].
4.3.2 Phänotypisierungssysteme
Die Weiterentwicklung und Validierung von Systemen zur Vorhersage phänotypischer
Merkmale für die forensische Praxis wurde in den letzten Jahren durch verschiedene
Arbeitsgruppen auf dem Gebiet der forensischen Molekularbiologie vorangetrieben. In
diesem Abschnitt werden Systeme zur Detektion phänotypischer Merkmale, die im Rahmen von wissenschaftlichen Arbeiten entwickelt wurden, vorgestellt und der aktuelle
Stand der Forschung aufgegriffen und diskutiert.
Augenfarbe
Die Arbeitsgruppe um Manfred Kayser von der Abteilung für forensische Molekularbiologie der Erasmus-Universität in Rotterdam setzte 2011 einen ersten Meilenstein mit
der Veröffentlichung eines sensitiven SNP-Systems zur Vorhersage der Augenfarbe, das
bereits 2009 evaluiert wurde. Das als IrisPlex bezeichnete Multiplexsystem erlaubt die
Typisierung von sechs informativen SNPs zur Diskriminierung von blauer und brauner
Augenfarbe bei Personen mit einer Genauigkeit von über 90 % aus eine Probe [65, 67]. Die
entsprechende Information über relevante Genkandidaten und assozierende SNPs wurde durch weltweite Genomstudien bereits exzessiv untersucht. Entsprechende, im Hochdurchsatz erzeugte Sequenzierungsdaten bildeten die Grundlage für die Auswahl von
Phänotyp relevanten SNPs [26, 50, 60]. Um die Diskriminationskraft solcher Vorhersagen
zu erhöhen, wurden in dieser Studie mehrere informative Gene, die mit der Augenfar-
4
DNA-Phänotypisierung
97
be korrelieren, betrachtet und sechs finale SNPs (HERC2, OCA2, SLC24A4, SLC45A2,
TYR, IRF4) ausgewählt. Für die Studie wurden zunächst 6168 Holländer mit europäischer
Abstammung typisiert. Das SNP-Multiplexsystem überzeugt gerade bei geringen Mengen
an DNA (<31 pg) durch eine hohe Sensitivität, sodass auch hier noch ein hoher Informationsgehalt aus dem Profil erhalten werden konnte. Diese Eigenschaft macht das System
besonders interessant für qualitativ minderwertige Tatortspuren. Für die Klassifizierung
der Augenfarbe wurde ein probabilistisches Modell verwendet [37]. Zur Bestimmung
der Vorhersagegenauigkeit wurden weitere Probanden verschiedener geografischer Abstammung mit dem System typisiert. Auf Grundlage von DNA-Daten des HGDP-CEPH
Panels3 konnte darüber hinaus ein Einblick über die Verteilung der SNP-Varianten in 51
Populationen erhalten werden, wodurch die Verlässlichkeit der Genotypisierung unabhängig von Informationen über die geografische Abstammung gezeigt werden konnte. Zur
Validierung der Ergebnisse wurde 2012 eine weitere Studie mit einem Umfang von 3840
europäischen Individuen veröffentlicht. Die Augenfarbe konnte hier für alle Personen mit
einer mittleren Genauigkeit von 94 % (91–98 %) bestimmt werden [69]. Diese Ergebnisse
unterstreichen das Vorhersagepotential von Irisplex und die Möglichkeit der Anwendung
und Weiterentwicklung solcher DNA-Werkzeuge in der forensischen Fallarbeit. Das System wurde in den Niederlanden bereits vom Gesetzgeber angenommen und wird dort in
der Strafverfolgung eingesetzt.
Haarfarbe
Eine Weiterentwicklung des o. g. Irisplex-Systems ist das von der Arbeitsgruppe um Kayser entwickelte und 2013 vorgestellte HIrisplex, mit dem es möglich ist, simultan Augenund Haarfarbe aus einer biologischen Spur vorherzusagen. Andere Arbeiten, wie die von
Sulem et al. und Valenzuale, stellten schon vorher die Grundlagen und Möglichkeiten für
eine Unterscheidung der Haarfarbe auf genetischer Ebene vor, jedoch mit geringer Praktikabilität und Einschränkungen im Detaillierungsgrad der spezifischen Farbausprägungen [60, 62]. Das Multiplexassay nutzt dabei phänotypkorrelierte Informationen auf Basis
von insgesamt 24 SNPs aus 11 Genen (MC1R, HERC2, OCA2, SLC24A4, SLC45A2,
IRF4, EXOC2, TRYP1, TYR, KITLG, PIGU/ASIP), inklusive der bereits im IrisPlex
vorgestellten sechs Augenfarben assoziierenden Varianten [7]. Für die Bestimmung werden zwei Vorhersagemodelle spezifisch für die Haar- und Augenfarbe genutzt, wobei
die möglichen Kombinationen von SNP-Ausprägungen, die mit definierten Häufigkeiten bestimmter Phänotypkombinationen zusammen auftreten, betrachtet werden. Dabei
assoziieren 22 SNPs für folgende Haarfarbenkategorien: blond, dunkelblond/hellbraun,
dunkelbraun, braunrot/rostbraun, rotblond, rot und schwarz. Das System ist sowohl für
low-Template-DNA (63 pg) als auch für degradierte DNA geeignet. Im Rahmen einer Studie an 1551 Individuen aus drei europäischen Nationen (Polen, Irland und Griechenland)
3
Das HGDP-CEPH Human Genome Diversity Cell Line Panel ist eine Sammlung bestehend aus
1063 kultivierten Lymphozytenzelllinien von 1050 Personen aus 52 Populationen der gesamten
Weltbevölkerung (Sitz in Paris).
98
A.-M. Pflugbeil et al.
wurde das Phänotypisierungssystem auf dessen Reliabilität untersucht. Hierbei erreichte das System eine durchschnittliche Genauigkeit für die Klassifikation der Haarfarbe in
die genannten Kategorien von > 70 %. Für die Reproduzierbarkeit der Resultate wurden weitere DNA-Proben weltweit analysiert (HGDP-CEPH Panel), wodurch die Aussage getroffen werden konnte, dass auch hier das Ergebnis für die individuelle Haarfarbe
unabhängig von der biogeografischen Herkunft, d. h. ohne gekoppelte Ancestry Informationen, analog zum IrisPlex-System, bestimmt wird. Weiterhin werden Assoziationen
zwischen möglichen Ausprägungen untersuchter Einzelmerkmale (Haar- und Augenfarbe) und die Verteilung der Kombination innerhalb der Populationsgruppen aufgestellt.
Eine bisher noch weitgehend ungeklärte Tatsache ist die altersabhängige Veränderung
der Haarfarbe im Laufe des Lebens. Ein möglicher Erklärungsansatz könnten hormonelle Änderungen, insbesondere während der Pubertät, sein [14, 51]. Allerdings sind
die genauen Mechanismen für dieses Phänomen auf molekularer Basis noch weitgehend
unbekannt und bedürfen weiterführender Studien an möglichen Varianten, die mit dem Alterungsmechanismus korrelieren. Als Weiterentwicklung des IrisPlex-Systems stellt diese
DNA-Phänotypisierungsmethode ein in der forensischen Fallarbeit akzeptiertes Vorhersagewerkzeug zur erstmaligen simultanen Bestimmung von Haar- und Augenfarbe einer
Person dar. Die praktische Anwendbarkeit sehen Experten vor allem in der Ergänzung von
lückenhaften, fallrelevanten Daten.
Hautfarbe
Neben Merkmalen wie der Augen- oder Haarfarbe besteht ein wachsendes forensisches
Interesse an der Vorhersage der Hautfarbe als phänotypisches Merkmal. Jedoch existieren gegenwärtig nur wenige Konsensusansätze, die eine Abhängigkeit der phänotypischen Ausprägung von epistatischen Effekten und Umwelteinflüssen wie Sonnenstrahlung
einbeziehen bzw. das Zusammenspiel dieser Faktoren beschreiben [47]. Ebenfalls sind
hier bisher im Vergleich zur Augen- oder Haarfarbe nur wenige verantwortliche SNPVarianten bekannt. In früheren Studien wurden bereits Divergenzen in der Verteilung für
Farbvariationen in Bevölkerungsgruppen mit einem eindeutigen Ursprung untersucht [27,
58]. Die größte Herausforderung liegt gegenwärtig noch in der Klassifikation von Populationen, bei denen durch den Einfluss der Co-Abstammung keine eindeutige Ausprägung
der Hautfarbe ermittelt werden kann. In einer 2014 publizierten Studie von Maroñas et
al. wurden genetische Unterschiede zwischen Bevölkerungsgruppen aus Afrika, Europa
und zusätzlich einer gemischten biogeografischen Bevölkerungsgruppe mit afrikanischen
und europäischen Vorfahren auf genetischer Ebene untersucht und entsprechende Allelfrequenzen der SNP-Variationen verglichen [41]. Die Phänotypisierung der spezifischen
Hautfarbe erfolgte unabhängig von DNA-Informationen durch spektrometrische Messungen und Fotoaufnahmen [58]. Grundsätzlich kann die Bestimmung der Hautfarbe durch
subjektive oder objektive Herangehensweisen durchgeführt werden. Mithilfe von subjektiven Methoden, wie Fotografien oder visuellen Bewertungen durch einen Dermatologen,
werden diskrete Farbklassen gebildet, in welche die individuellen Hautfarbinformation
eingeordnet werden können [19]. Mittels objektiver Methoden erfolgt eine Art Quan-
4
DNA-Phänotypisierung
99
tifizierung der Farbinformation, beispielsweise durch spektrometrische Anwendungen.
Durch Einbindung spezifischer Farbraummodelle (CIEL*ab und HSB)4 , welche die Dimensionen der Helligkeit, Sättigung und Reflexionsverhalten beschreiben, kann folgend
die Klassifizierung des Phänotyps in definierte Klassen vorgenommen werden [64, 70]. In
dieser Studie wurden aus einem Set von anfänglich 59 SNPs, die auf DNA-Ebene mit der
Hautfarbe in Beziehung stehen, zehn stark mit dem Merkmal korrelierende SNPs aus acht
Pigmentierungsgenen identifiziert und für eine Klassifikation von 285 Probanden europäischer und nichteuropäischer Herkunft eingesetzt. Assoziierende SNP-Varianten wurden
zu Beginn durch ein Screening an 1000 Genomen identifiziert. Die Diskriminationskraft
des Panels im forensischen Sinne wurde durch den Einsatz eines Online-Klassifikators,
basierend auf einem Naive-Bayes-Modell, beschrieben [30, 52].
Körpergröße
Die Einbindung der Körperhöhe als quantifizierbares Merkmal wird gerade im forensischen Bereich kontrovers diskutiert. Begründet ist diese Kontroverse in der hohen genetischen Komplexität des Merkmals im Vergleich zur Vorhersage von Haar- oder Augenfarbe. Beide zuletzt genannten phänotypischen Informationen sind weniger komplex und
intensiv erforscht. In den Jahren 2008 und 2009 erschienen drei Pionierarbeiten zur Bestimmung der Körperhöhe mittels identifizierter SNP-Kandidaten unter Berücksichtigung
von Vererbungsmechanismen in den Nachfolgegenerationen und einer Geschlechterabhängigkeit [3, 35, 71]. In Studien konnte gezeigt werden, dass die Erblichkeit des Merkmals ca. 80 % beträgt [35]. Einen weiteren limitierenden Faktor stellt die populationsabhängige Varianz bei Erwachsenen dar. Im Falle einer hohen genetischen Abhängigkeit
des Merkmals müssen folglich genomweite Assoziationsstudien (GWA-Studien), die eine
Typisierung von mehreren tausend Probanden umfassen, durchgeführt werden, um signifikante Markerkandidaten zu identifizieren und reproduzierbare Ergebnisse zu erlangen.
Nach aktuellem Stand ist man jedoch noch weit von einer ausreichenden verwertbaren
Datengrundlage zu korrelierenden Informationen entfernt. Im Rahmen von den bereits publizierten Studien an ca. 63.000 Individuen konnten 54 genetische Marker, die statistisch
signifikant mit der Körperhöhe assoziieren, identifiziert werden. Allerdings tragen diese
nur zu einem geringen Anteil zur bereits existierenden Wissensbasis über die Varianz der
Körperhöhe bei. Anhand einer Studie aus dem Jahr 2009 konnte die Körperhöhe lediglich
mit einer Vorhersagegenauigkeit von ca. 65 % bestimmt werden, was im Vergleich zur
Performanz der anderen vorgestellten SNP-Systeme relativ unzuverlässig ist [3]. Obwohl
davon ausgegangen wird, dass in naher Zukunft mehr genetische Varianten zur Vorhersage der Körperhöhe identifiziert werden (GIANT Consortium), ist im Moment noch nicht
4
CIEL*ab ist ein sogenanntes Tristimulusmodell, wobei in diesem Fall folgende Dimensionen einbezogen werden: Helligkeit (L*), Rot (a*), Gelb (b*). Das Farbmodell HSB nutzt zur Beschreibung
von Farbnuancen drei Eigenschaften: Farbton (Hue), Sättigung (Saturation) und Helligkeit (Brightness).
100
A.-M. Pflugbeil et al.
klar, ob diese Faktoren für eine DNA-basierte Vorhersage zuverlässig genug sind und den
forensischen Ansprüchen genügen.
Gesichtsmorphologie
Deutlich unverwechselbarer lässt sich ein Mensch durch seine Gesichtsmorphologie beschreiben. Problematisch für eine DNA-basierte Merkmalsvorhersage ist, ähnlich wie bei
der Körperhöhenschätzung, die genetische Komplexität der Gesichtsform. Einige Merkmale, wie die Gesichtshöhe oder die Position des Unterkiefers, werden stärker erblich
bestimmt als andere, und auch die generelle Morphologie des Gesichtsschädels ist stark
vererblich und nur zum Teil von Umwelteinflüssen abhängig [13]. Bisher existiert nur
ein unzureichendes Verständnis über die verantwortlichen genregulatorischen Prozesse
und korrelierende Genvarianten, die für die Vorhersage der Gesichtsmorphologie rein
auf DNA-Ebene genutzt werden können. Nur wenige Studien beziehen sich direkt auf
die Variabilität der Gesichtsmorphologie. Fan Liu et al. veröffentlichten 2012 eine der
wenigen Arbeiten auf dem Gebiet der Vorhersage der Gesichtsmorphologie auf DNAEbene [36]. Im Rahmen einer genomweiten Studie wurden fünf relevante Gene und assozierende Loci identifiziert, welche die Gesichtsform bedingen. Individuelle Ausprägungen
einzelner Gesichtsregionen wurden hierin unter Zuhilfenahme von anatomischen Landmarken zur Bestimmung von Weichteildicken aus MRI-Daten5 und Porträtfotos kartiert.
Die Landmarken können als definierte Messpunkte zueinander betrachtet werden und
dienen als objektive Parameter zur Beschreibung eines Gesichtes. Drei dieser fünf verantwortlichen Gene konnte eine übergeordnete Bedeutung bei der craniellen Entwicklung
des Gesichtes zugeordnet werden. Die anderen beiden Gene repräsentieren Schlüsselrollen im verantwortlichen molekularen Netzwerk. Eine weitere Studie, aufbauend auf dem
fundamentalen Wissen von Liu et al., wurde 2014 von Claes et al. präsentiert [13]. Das
Vorgehen der Wissenschaftler gestaltete sich hier etwas komplexer. Von jedem Probanden wurde zunächst ein 3D-Abbild des Gesichtes mit mehr als 7000 Einzelpunkten, zur
Generierung einer detaillierten Oberflächenstruktur, erstellt. Anders als bei Liu et al. sollten Parameter wie Geschlecht, Morphotyp und genetischer Einfluss auf die Morphologie
untersucht werden [13]. Auf DNA-Ebene untersuchten die Wissenschaftler insgesamt 76
SNPs, welche bereits in früheren Arbeiten als genetische Schalter für Gesichtsanomalien identifiziert wurden unter der Annahme, dass eine genbedingte Variation Einfluss
auf die Gesichtsform haben könnte. Um mögliche Auswirkungen o. g. Parameter auf
die Gesichtsmorphologie in Verbindung mit der genetischen Komponente identifizierter
Genvarianten zu beschreiben, wurde nachfolgend ein statistisches Modell genutzt. Resultierend konnten 24 SNP-Varianten in 20 verschiedenen Genen, die sich als hilfreich bei
der Vorhersage der Gesichtsform erwiesen, identifiziert werden.
Gerade im Bereich der digitalen Forensik könnte in Zukunft die rein DNA-basierte
Vorhersage der Gesichtsmorphologie eines der informativsten Werkzeuge bei der Rekonstruktion von Tatverdächtigen oder vermissten Personen sein. Aufbauend auf den Er5
MRI=Magnetic Resonance Imaging.
4
DNA-Phänotypisierung
101
kenntnissen aus beiden Studien müssen in Zukunft weitere weltweite Analysen zur Generalisierung der erlangten Ergebnisse und zur Wissenserweiterung über verantwortliche
Genvarianten erfolgen, sodass eine wissenschaftliche Basis für die Nutzung im forensischen Sektor entsteht.
4.4 Relevante Datenbanken
Das Aufkommen von Hochdurchsatzdaten aus genomweiten Studien bedingt die Weiterentwicklung von Datenbanken auch für den forensisch-molekulargenetischen Anwenderkreis. Für die Verarbeitung und den Informationsgewinn aus den Sequenzdaten
stehen der forensischen Community eine Reihe von öffentlich zugänglichen Datenbanken zur Verfügung. Gerade populationsspezifische Datenressourcen haben in den
letzten Jahren einen Entwicklungsaufschwung erlebt, begleitet durch den Bedarf an einer
übersichtlichen, schnellen Datenverarbeitung und dem öffentlichen Interesse an Populationsstudien. Die Hauptaufgaben der Datenbanken sind breit gefächert. Eine mittlerweile
unverzichtbare Datenbank in der Forensik, zur Auswertung von phylogeografischen Ychromosomalen Daten, ist die Referenzdatenbank Y-Chromosome Haplotype Reference
Database (YHRD)6 , die seit 2000 am Institut für Rechtsmedizin der Berliner Charité kuratiert wird [72]. Als Repositorium für Daten aus Y-chromosomalen Populationsstudien
geprüfter forensischer Qualität beinhaltet die Datenbank aktuell 365.578 Haplotypen7 .
Die YHRD bietet dem Nutzer die Möglichkeit, einen aus einer forensischen Probe ermittelten Haplotypen8 mit oder ohne Haplogruppe9 in den hinterlegten Populationsdaten
zu suchen, um dessen Frequenz und geografische Verbreitung zu ermitteln. Entscheidend
für forensische Fragestellungen ist neben dem eigentlichen Vorkommen des Haplotypen
in einer Bevölerungsgruppe die Haplotypfrequenz für die Aussage, ob dieser häufig oder
eher selten in einer Population oder Metapopulation beobachtet wurde. Die Zuordnung
zu einer ethnischen Großgruppe durch die Haplotypbestimmung stellt zunächst keine
phänotypische Klassifizierung im eigentlichen Sinn dar, kann jedoch bezüglich der Vorfahreninformation eine Grundlage dafür bilden. Die Bestimmung des Y-chromosomalen
Haplotypen ist schon lange Bestandteil forensisch-molekulargenetischer Analysen.
Bisher existiert kein direktes Repositorium, das einen Zugriff auf forensisch relevante
und bereits publizierte Phänotypisierungssysteme erlaubt. Jedoch bietet die Abteilung für
forensische Molekularbiologie des medizinischen Zentrums der Erasmus-Universität in
Rotterdam ein interaktives Webtool mit der Möglichkeit der Phänotypisierung von Haarund Augenfarbe basierend auf den publizierten Systemem IrisPlex und HIrisplex an [66].
6
www.yhrd.org
Stand: Release Juli 2015.
8
Motiv des untersuchten molekularen Templates (Y-Chromosom, mtDNA), bestehend aus einer
definierten Anzahl spezifischer STRs oder SNPs.
9
Haplotypen, die den gleichen genetischen Vorfahren vorweisen, werden einer Haplogruppe zugeordnet.
7
102
A.-M. Pflugbeil et al.
Eine weitere Datenbank zur Verwaltung von Genotyp- und Phänotypdaten ist die dbGaP des NCBI . Diese wurde mit dem Ziel entwickelt, Ergebnisse aus GWA-Studien von
Genotyp/Phänotyp-Interaktionen auf dem klinischen Sektor zu verwalten und dem Nutzer zur Verfügung zu stellen. Der Zugriff auf entsprechende Daten wird in der Datenbank
über zwei Wege möglich. Nicht sensible Daten sind für die Öffentlichkeit frei zugänglich.
Wohingegen sensible Daten mit personalisiertem Hintergrund beschränkt zugänglich sind.
Auch der Zugang zu phänotypischen Individualdaten erfordert verschiedene Ebenen der
Autorisierung. Derzeit beinhaltet die dbGap 584 Studien [61].
Einen Einblick in komplexe Genomassoziationsstudien bietet die Datenbank GWAS
Central, voher auch bekannt als Human Genome Variation Database of Genotype-toPhenotype Information. Hier werden alle bisher bekannten SNP-Loci aus anderen öffentlichen Datenbanken wie der dbSNP oder DBGV gespeichert. Zu dem bisher bekannten
Variantenfundus wurden zusätzlich Frequenzdaten und Assoziationsinformationen hinzugefügt. Allerdings werden hier bisher keine komplexen Phänotyppanels, die für die
Forensik von Interesse wären, repräsentiert [29].
4.5
Rechtliche Aspekte
Dem Wunsch nach einem genetischen Phantombild auf Grundlage der Analyse phänotypischer DNA-Merkmale steht in Deutschland die aktuelle Rechtslage, die eine Verwertung
von entsprechenden Informationen aus kodierenden DNA-Regionen aktuell nicht zulässt,
konträr gegenüber. Nach § 81e StPO dürfen an dem nach §§ 81a Abs. 1, 81c StPO erlangten Material auch molekulargenetische Analysen durchgeführt werden, soweit sie zur
Abstammungsfeststellung oder der Tatsache, ob aufgefundenes Spurenmaterial von dem
Beschuldigten oder dem Verletzten (= Opfer bzw. Opferzeuge) stammt, erforderlich sind,
wobei auch das Geschlecht der Person bestimmt werden darf. Nach § 81g StPO dürfen
andere Feststellungen als diejenigen, die zur Ermittlung des DNA-Identifizierungsmusters
sowie des Geschlechts erforderlich sind, nicht getroffen werden [39]. Gegen diese strengen Vorgaben spricht allerdings die weitverbreitete Analyse von SNPs des Y-Chromosoms
oder mtDNA zur Feststellung der Zugehörigkeit zu einer ethnischen Großgruppe, die
durchaus Bestandteil von molekulargenetischen Analysen forensischer und rechtsmedizinischer Institute in Deutschland ist und eine indirekte Phänotypisierung darstellt.
In anderen Ländern, wie in den Niederlanden, ist die DNA-Phänotypisierung seit 2003
im Rahmen der forensischen DNA-Analytik erlaubt und erbrachte in Einzelfällen fahndungsrelevante Informationen zum Täteraussehen. Voraussetzung für die Verwertbarkeit
der Ergebnisse in den Niederlanden ist eine eindeutige Beschreibung der Sensitivität und
Spezifität der Ergebnisse. Hier ist es ebenfalls erlaubt, die ethnische Eingliederung einer
Person vorzunehmen und das Geschlecht zu genotypisieren [32, 33].
In den USA oder Großbritannien existieren keine expliziten Handlungsweisungen oder
genaue Rechtsvorschriften, die ein Verbot der DNA-Phänotypisierung implizieren, sodass hier in Einzelfällen kodierende DNA-Abschnitte durchaus untersucht werden [33].
4
DNA-Phänotypisierung
103
In Texas beispielsweise werden sogar ausdrücklich Informationen aus der Phänotypisierung in Fahndungen einbezogen. Die Firma Parabon NanoLabs (Virgina) entwickelt
sowohl für therapeutische als auch für forensische Fragestellungen neue Technologien auf
dem Sektor der DNA-Analyse und bietet darüber hinaus die DNA-Phänotypisierung als
Dienstleistung aus der forensischen Produktpalette an. Mit dem als Snapshot bezeichneten
DNA-Tool wird ein physisches Profil aus dem zu analysierenden DNA-Template mittels
annotierter SNP-Kandidaten, inklusive Geschlecht der Person, ethnische Zugehörigkeit,
Vorhersage von Pigmentierungsinformationen (Hautfarbe, Haarfarbe, Augenfarbe, Sommersprossen) und der Gesichtsmorphologie, erstellt. Im Rahmen des Validierungsprozesses wurde die Genauigkeit von Snapshot an tausenden Datenbankstichproben getestet.
Das Produkt wird auch gegenwärtig von staatlichen und lokalen Polizeidienststellen in
den USA zum Zwecke der Strafverfolgung eingesetzt.
4.6 Anwendung in der Gesichtsweichteilrekonstruktion
Wie bereits erwähnt, kann die Einbeziehung von EVCs in den Vorgang der Gesichtsweichteilrekonstruktion, gerade in Fällen ohne weitere Anhaltspunkte, ein unverzichtbares Mittel zur Ergänzung der Informationsbasis darstellen. Dabei kann die Tragweite
in der Verwendung von typisierbaren äußerlichen Merkmalen an dieser Stelle hinsichtlich des beabsichtigten Verfahrenszieles unterschiedlich gewichtet werden. Zum einen
können EVCs ein ergänzendes Mittel in der Durchführung einer computergestützten Gesichtsweichteilrekonstruktion auf der Grundelage aufgefundener Schädel sein. Zum anderen kann das Ziel einer rein DNA-basierten Bestimmung von Gesichtsmorphologie oder
von Augen- oder Hautfarbe verfolgt werden. Bezüglich des erstgenannten Anwendungsfalles stellt die forensische Gesichtsweichteilrekonstruktion als Teilgebiet der forensischen Osteologie in Fällen stark fäulnisveränderter und skelettierter Leichen oft die letzte
Möglichkeit einer Personenidentifizierung dar. Klassische Identifizierungsmaßnahmen,
wie die DNA-Analyse, Daktyloskopie, Röntgenvergleichsanalyse und Odontostomatologie, verlangen in den meisten Fällen Vergleichsmaterial für eine Identitätsbestimmung
oder Authentifizierung [48]. Trotz der vorhandenen Möglichkeiten ist die Zuordnung von
menschlichen Überresten zu einer bestimmten Person stark eingeschränkt, solange keine Daten zum Abgleich mit einer polizeilichen oder medizinischen Datenbank vorliegen.
Aktuelle Methoden der 3D-Gesichtsweichteilrekonstruktion zielen auf einen schnelleren,
kostengünstigeren und vor allem variablen Rekonstruktionsprozess ab [56, 63], beziehen
jedoch kaum phänotypische Merkmale auf DNA-Ebene in den Modellierungsprozess ein.
Zur Erhöhung der Plausibilität und Einzigartigkeit des Rekonstruktionsresultates sollten grundsätzlich ausreichend viele personenspezifische Informationen zum Aussehen
vorliegen. Abb. 4.3 zeigt schematisch die Möglichkeit einer schnellen, kostengünstigen
computergestützten Weichteilrekonstruktion mittels Open-Source-Software und die möglichen Ebenen des Informationsgewinns für den Rekonstruktionsprozess [15].
104
A.-M. Pflugbeil et al.
Abb. 4.3 Einbezug von EVC in den Prozess der 3D-Gesichtsweichteilrekonstruktion. Dargestellt
ist ein Schema zur Gesichtsweichteilrekonstruktion unter Zuhilfenahme von Phänotypisierungsinformationen, die auf DNA-Ebene extrahiert werden (a). Der dargestellte Informationspool in (a)
kann in Verbindung mit ergänzenden Metainformationen (b) in den Prozess einer computergestützten Weichteilmodellierung (c) einbezogen werden und wesentlich zur Rekonstruktion beitragen
4.7 Zusammenfassung und Ausblick
Der Fortschritt im Feld der modernen DNA-Analysetechniken verspricht in den nächsten
10 Jahren einen enormem Aufschwung für das Auffinden weiterer relevanter Genvarianten, die für eine DNA-basierte Vorhersage phänotypischer Merkmale eingesetzt werden
können. Die Diskussion im Umgang mit entsprechenden Informationen beruht gerade in
Deutschland auf vielen fachübergreifenden Aspekten. Der Schlüssel für eine ausgewogene
Sichtweise liegt sicher in dem Versuch der Gegenüberstellungen von Vorteilen der Verwendung dieser noch neuen DNA-Marker mit möglichen ethischen Risiken, wie der Angst
vor einer Diskriminierung von Personengruppen und dem damit einhergehenden Verlust
der Privatsphäre oder Autonomie [32]. Jedoch muss diese Form eines Meinungsbildungsprozesses in den meisten Ländern, durch die Präsentation objektiver wissenschaftlicher
Fakten, noch initiiert werden.
Eine große Diskussionsplattform bildet dazu die Verwendung von kodierenden vs.
nichtkodierenden DNA-Markern für forensische Zwecke. Diese scheinbar klare Definition soll eine Grenze symbolisieren, inwieweit das menschliche Genom für forensische
Analysen zur Verfügung steht. Jedoch ist das Genom in dieser Art und Weise keinesfalls
4
DNA-Phänotypisierung
105
statisch organisiert. Ferner werden sogenannte DNA-Blöcke während des Vererbungsmechanismus intakt weitergegeben, wie durch das Internationale HapMap-Projekt gezeigt
werden konnte. Daher kann ein bezeichneter nichtkodierender Marker, der sich in der
physischen Nähe zu einem kodierenden phänotypischen Lokus befindet, aufgrund des
Kopplungsungleichgewichtes die gleichen Informationen offenbaren wie der kodierende
Marker selbst. Mit der nötigen wissenschaftlichen Kenntnis wird an dieser Stelle deutlich, dass die bereits veröffentlichten EVCs selbst nichtkodierend sind, mit einem spezifischen äußerlichen Merkmal assoziieren und an einen funktionellen Lokus gekoppelt
sind. Folglich wäre es kein formeller Verstoß gegen die Definition der Legislative, die eine ausschließliche Verwendung nichtkodierender Informationen vorgibt, etwaige Marker
zu verwenden. Denn tatsächlich werden somit kodierende Informationen durch nichtkodierende Marker innerhalb eines starken Kopplungsgleichgewichtes bzw. durch eine
starke Assoziation inferiert [32]. Die genetischen Informationen einer Person verändern
sich im Laufe eines Lebens nicht. Lediglich Genaktivitäten und verantwortliche Regulatoren müssen durch weitere GWA-Studien identifiziert werden. In diesem Zusammenhang
müssen für komplexe phänotypische Merkmale weitere korrelierende Informationen extrahiert und der sekundäre Einfluss von Umweltfaktoren geklärt werden. Darüber hinaus
sind EVCs für jeden erkenntlich und unterliegen somit nach Definition keinem Schutz
der Privatsphäre, wie durch den Gesetzgeber befürchtet. Streng genommen befindet sich
Deutschland nicht so weit weg von einer angewandten DNA-Phänotypisierung wie angenommen, denn mit der Zustimmung zur Genotypisierung des individuellen Geschlechts
werden erste Hinweise auf phänotypische Ausprägungen generiert (s. Abschn. 4.5). Auch
die Bestimmung der ethnischen Zugehörigkeit, was mittlerweile zum Standardrepertoire
in rechtsmedizinischen Instituten gehört, lässt die Frage zu, was gegen die Beantwortung
von Fragestellungen zur erweiterten Phänotypisierung mit gesicherten und etablierten probabilistischen Methoden und Vorhersagegenauigkeiten bis zu 99 %, spricht.
Sicher kann oder wird eine DNA-basierte Vorhersage phänotypischer Personenmerkmale kein Standardprofiling ersetzen. Tatverdächtige, die durch Übereinstimmung auf Basis einer DNA-abgeleiteten Gesichtsvorhersage identifiziert wurden, werden sicher nicht
allein auf Grundlage dieser Übereinstimmung verurteilt werden. Jedoch kann dieses Vorgehen unverzichtbare Anhaltspunkte in Ermittlungsverfahren, wie bei den sogenannten
cold cases oder bei der Identifikation von geborgenen teilweise oder vollständig skelettierten Leichen, liefern. Zusammen mit dem Verfahren des NGS werden sich in den
nächsten Jahren neue Möglichkeiten eröffnen. Nur wenn ein breiter Konsens über die Ziele und Grenzen dieser neuen molekularen Untersuchungswerkzeuge entsteht, kann der
Gesetzgeber dazu bewegt werden, notwendige Schritte für eine Erweiterung der derzeitigen Gesetzesgrundlage vorzunehmen.
106
A.-M. Pflugbeil et al.
Literatur
1. Alaeddini, R.: Forensic implications of pcr inhibition–a review. Forensic Sci Int Genet 6(3),
297–305 (2012). doi: 10.1016/j.fsigen.2011.08.006. http://dx.doi.org/10.1016/j.fsigen.2011.08.
006
2. Alaeddini, R., Walsh, S.J., Abbas, A.: Forensic implications of genetic analyses from degraded dna–a review. Forensic Science International Genetics 4(3), 148–157 (2010). doi:
10.1016/j.fsigen.2009.09.007. http://dx.doi.org/10.1016/j.fsigen.2009.09.007
3. Aulchenko, Y.S., Struchalin, M.V., Belonogova, N.M., Axenovich, T.I., Weedon, M.N., Hofman,
A., Uitterlinden, A.G., Kayser, M., Oostra, B.A., van Duijn, C.M., Janssens, A.C.J.W., Borodin,
P.M.: Predicting human height by victorian and genomic methods. Eur J Hum Genet 17(8),
1070–1075 (2009). doi: 10.1038/ejhg.2009.5. http://dx.doi.org/10.1038/ejhg.2009.5
4. Berglund, E.C., Kiialainen, A., Syvänen, A.C.: Next-generation sequencing technologies and
applications for human genetic history and forensics. Investig Genet 2, 23 (2011). doi:
10.1186/2041-2223-2-23. http://dx.doi.org/10.1186/2041-2223-2-23
5. Børsting, C., Sanchez, J.J., Morling, N.: Application of snps in forensic casework. Molecular
Forensics p. 91 (2007)
6. Børsting, C., Rockenbauer, E., Morling, N.: Validation of a single nucleotide polymorphism
(snp) typing assay with 49 snps for forensic genetic testing in a laboratory accredited according
to the iso 17025 standard. Forensic Science International Genetics 4(1), 34–42 (2009). doi:
10.1016/j.fsigen.2009.04.004. http://dx.doi.org/10.1016/j.fsigen.2009.04.004
7. Branicki, W., Liu, F., van Duijn, K., Draus-Barini, J., Pośpiech, E., Walsh, S., Kupiec, T.,
Wojas-Pelc, A., Kayser, M.: Model-based prediction of human hair color using dna variants.
Hum Genet 129(4), 443–454 (2011). doi: 10.1007/s00439-010-0939-8. http://dx.doi.org/10.
1007/s00439-010-0939-8
8. Budowle, B., van Daal, A.: Forensically relevant snp classes. Biotechniques 44(5), 603–8, 610
(2008). doi: 10.2144/000112806. http://dx.doi.org/10.2144/000112806
9. Bustin, S., Benes, V., Nolan, T., Pfaffl, M.: Quantitative real-time rt-pcr–a perspective. Journal
of molecular endocrinology 34(3), 597–601 (2005)
10. Butler, J., Coble, M., Vallone, P.: Strs vs snps: Thoughts on the future of forensic dna testing.
Forensic Science, Medicine and Pathology 3 (2007)
11. Butler, J.M.: Advanced Topics in Forensic DNA Typing: Methodology: Methodology, Bd. Short
Tandem Repeat (STR) Loci and Kits. Academic Press (2011)
12. Carracedo, A., Lareu, M.: Development of new strs for forensic casework: criteria for selection,
sequencing & population data and forensic validation. In: Proceedings—the Ninth International
Symposium on Human Identification, S. 89–107 (1998)
13. Claes, P., Liberton, D.K., Daniels, K., Rosana, K.M., Quillen, E.E., Pearson, L.N., McEvoy, B.,
Bauchet, M., Zaidi, A.A., Yao, W., Tang, H., Barsh, G.S., Absher, D.M., Puts, D.A., Rocha,
J., Beleza, S., Pereira, R.W., Baynam, G., Suetens, P., Vandermeulen, D., Wagner, J.K., Boster,
J.S., Shriver, M.D.: Modeling 3d facial shape from dna. PLoS Genet 10(3), e1004,224 (2014).
doi: 10.1371/journal.pgen.1004224. http://dx.doi.org/10.1371/journal.pgen.1004224
14. Commo, S., Wakamatsu, K., Lozano, I., Panhard, S., Loussouarn, G., Bernard, B.A., Ito, S.:
Age-dependent changes in eumelanin composition in hairs of various ethnic origins. Int J Cosmet Sci 34(1), 102–107 (2012). doi: 10.1111/j.1468-2494.2011.00691.x. http://dx.doi.org/10.
1111/j.1468-2494.2011.00691.x
Literatur
107
15. da Costa Moraes, C.A., Dias, P.E.M., Melani, R.F.H.: Demonstration of protocol for computeraided forensic facial reconstruction with free software and photogrammetry. Journal of Research
in Dentistry 2(1), p–77 (2014)
16. Davoren, J., Vanek, D., Konjhodzić, R., Crews, J., Huffine, E., Parsons, T.J.: Highly effective
dna extraction method for nuclear short tandem repeat testing of skeletal remains from mass
graves. Croat Med J 48(4), 478–485 (2007)
17. Deka, R., Shriver, M.D., Yu, L.M., Ferrell, R.E., Chakraborty, R.: Intra- and inter-population
diversity at short tandem repeat loci in diverse populations of the world.q Electrophoresis 16(9),
1659–1664 (1995)
18. Dukes, M.J., Williams, A.L., Massey, C.M., Wojtkiewicz, P.W.: Technical note: Bone dna extraction and purification using silica-coated paramagnetic beads. Am J Phys Anthropol 148(3),
473–482 (2012). doi: 10.1002/ajpa.22057. http://dx.doi.org/10.1002/ajpa.22057
19. Fitzpatrick, T.B.: The validity and practicality of sun-reactive skin types i through vi. Arch
Dermatol 124(6), 869–871 (1988)
20. Fondevila, M., Phillips, C., Santos, C., Freire Aradas, A., Vallone, P.M., Butler, J.M., Lareu,
M.V., Carracedo, A.: Revision of the snpforid 34-plex forensic ancestry test: Assay enhancements, standard reference sample genotypes and extended population studies. Forensic Science
International Genetics 7(1), 63–74 (2013). doi: 10.1016/j.fsigen.2012.06.007. http://dx.doi.org/
10.1016/j.fsigen.2012.06.007
21. Frudakis, T., Thomas, M., Gaskin, Z., Venkateswarlu, K., Chandra, K.S., Ginjupalli, S., Gunturi,
S., Natrajan, S., Ponnuswamy, V.K., Ponnuswamy, K.N.: Sequences associated with human iris
pigmentation. Genetics 165(4), 2071–2083 (2003)
22. Gendiagnostik-Kommission: Richtlinie der gendiagnostik-kommission (geko) für die anforderungen an die durchführung genetischer analysen zur klärung der abstammung und an die
qualifikation von ärztlichen und nichtärztlichen sachverständigen gemäß § 23 abs. 2 nr. 4 und nr.
2b gendg. Richtlinie. doi: DOI 10.1007/s00103-012-1575-3. Springer-Verlag Berlin Heidelberg
2013
23. Gettings, K.B., Lai, R., Johnson, J.L., Peck, M.A., Hart, J.A., Gordish-Dressman, H., Schanfield, M.S., Podini, D.S.: A 50-snp assay for biogeographic ancestry and phenotype prediction
in the u.s. population. Forensic Science International Genetics 8(1), 101–108 (2014). doi:
10.1016/j.fsigen.2013.07.010. http://dx.doi.org/10.1016/j.fsigen.2013.07.010
24. Green, R.L., Roinestad, I.C., Boland, C., Hennessy, L.K.: Developmental validation of the
quantifilertm real-time pcr kits for the quantification of human nuclear dna samples. Journal
of Forensic Sciences 50(4), 809–825 (2005)
25. Grimes, E.A., Noake, P.J., Dixon, L., Urquhart, A.: Sequence polymorphism in the human melanocortin 1 receptor gene as an indicator of the red hair phenotype. Forensic Science International
122(2-3), 124–129 (2001)
26. Han, J., Kraft, P., Nan, H., Guo, Q., Chen, C., Qureshi, A., Hankinson, S.E., Hu, F.B., Duffy,
D.L., Zhao, Z.Z., Martin, N.G., Montgomery, G.W., Hayward, N.K., Thomas, G., Hoover, R.N.,
Chanock, S., Hunter, D.J.: A genome-wide association study identifies novel alleles associated
with hair color and skin pigmentation. PLoS Genet 4(5), e1000,074 (2008). doi: 10.1371/journal.pgen.1000074. http://dx.doi.org/10.1371/journal.pgen.1000074
27. Jacobs, L.C., Wollstein, A., Lao, O., Hofman, A., Klaver, C.C., Uitterlinden, A.G., Nijsten, T.,
Kayser, M., Liu, F.: Comprehensive candidate gene study highlights ugt1a and bnc2 as new
genes determining continuous skin color variation in europeans. Hum Genet 132(2), 147–158
(2013). doi: 10.1007/s00439-012-1232-9. http://dx.doi.org/10.1007/s00439-012-1232-9
108
A.-M. Pflugbeil et al.
28. Jakubowska, J., Maciejewska, A., Pawlowski, R.: Comparison of three methods of dna extraction from human bones with different degrees of degradation. Int J Legal Med 126(1), 173–178
(2012). doi: 10.1007/s00414-011-0590-5. http://dx.doi.org/10.1007/s00414-011-0590-5
29. Johnson, A.D., O’Donnell, C.J.: An open access database of genome-wide association results.
BMC Med Genet 10, 6 (2009). doi: 10.1186/1471-2350-10-6. http://dx.doi.org/10.1186/14712350-10-6
30. Jombart, T., Devillard, S., Balloux, F.: Discriminant analysis of principal components: a new
method for the analysis of genetically structured populations. BMC Genet 11, 94 (2010). doi:
10.1186/1471-2156-11-94. http://dx.doi.org/10.1186/1471-2156-11-94
31. Kader, F., Ghai, M.: Dna methylation and application in forensic sciences. Forensic Science
International 249, 255–265 (2015). doi: 10.1016/j.forsciint.2015.01.037. http://dx.doi.org/10.
1016/j.forsciint.2015.01.037
32. Kayser, M., Schneider, P.M.: Dna-based prediction of human externally visible characteristics
in forensics: motivations, scientific challenges, and ethical considerations. Forensic Science International Genetics 3(3), 154–161 (2009). doi: 10.1016/j.fsigen.2009.01.012. http://dx.doi.org/
10.1016/j.fsigen.2009.01.012
33. Koops, B.J., Schellekens, M.: Forensic dna phenotyping: regulatory issues. Colum. Sci. & Tech.
L. Rev. 9, 158–160 (2008)
34. Lei, S.F., Deng, F.Y., Xiao, S.M., Chen, X.D., Deng, H.W.: Association and haplotype analyses of the col1a2 and er-alpha gene polymorphisms with bone size and height in chinese.
Bone 36(3), 533–541 (2005). doi: 10.1016/j.bone.2004.11.002. http://dx.doi.org/10.1016/j.
bone.2004.11.002
35. Lettre, G., Jackson, A.U., Gieger, C., Schumacher, F.R., Berndt, S.I., Sanna, S., Eyheramendy,
S., Voight, B.F., Butler, J.L., Guiducci, C., Illig, T., Hackett, R., Heid, I.M., Jacobs, K.B., Lyssenko, V., Uda, M., D.G.I., F.U.S.I.O.N., K.O.R.A., Prostate, L.C., Trial, O.C.S., N.H.S., S.I.A.,
Boehnke, M., Chanock, S.J., Groop, L.C., Hu, F.B., Isomaa, B., Kraft, P., Peltonen, L., Salomaa,
V., Schlessinger, D., Hunter, D.J., Hayes, R.B., Abecasis, G.R., Wichmann, H.E., Mohlke, K.L.,
Hirschhorn, J.N.: Identification of ten loci associated with height highlights new biological pathways in human growth. Nat Genet 40(5), 584–591 (2008). doi: 10.1038/ng.125. http://dx.doi.
org/10.1038/ng.125
36. Liu, F., van der Lijn, F., Schurmann, C., Zhu, G., Chakravarty, M.M., Hysi, P.G., Wollstein,
A., Lao, O., de Bruijne, M., Ikram, M.A., van der Lugt, A., Rivadeneira, F., Uitterlinden, A.G.,
Hofman, A., Niessen, W.J., Homuth, G., de Zubicaray, G., McMahon, K.L., Thompson, P.M.,
Daboul, A., Puls, R., Hegenscheid, K., Bevan, L., Pausova, Z., Medland, S.E., Montgomery,
G.W., Wright, M.J., Wicking, C., Boehringer, S., Spector, T.D., Paus, T., Martin, N.G., Biffar, R.,
Kayser, M.: A genome-wide association study identifies five loci influencing facial morphology
in europeans. PLoS Genet 8(9), e1002,932 (2012). doi: 10.1371/journal.pgen.1002932. http://
dx.doi.org/10.1371/journal.pgen.1002932
37. Liu, F., van Duijn, K., Vingerling, J.R., Hofman, A., Uitterlinden, A.G., Janssens, A.C.J.W.,
Kayser, M.: Eye color and the prediction of complex phenotypes from genotypes. Curr Biol 19(5), R192–R193 (2009). doi: 10.1016/j.cub.2009.01.027. http://dx.doi.org/10.1016/j.cub.
2009.01.027
38. Loreille, O.M., Diegoli, T.M., Irwin, J.A., Coble, M.D., Parsons, T.J.: High efficiency dna
extraction from bone by total demineralization. Forensic Science International Genetics 1(2),
191–195 (2007). doi: 10.1016/j.fsigen.2007.02.006. http://dx.doi.org/10.1016/j.fsigen.2007.02.
006
Literatur
109
39. Madea, B. (ed.): Praxis Rechtsmedizin: Befunderhebung, Rekonstruktion, Begutachtung, Bd. 2.
Springer (2006)
40. Malkin, I., Ermakov, S., Kobyliansky, E., Livshits, G.: Strong association between polymorphisms in ankh locus and skeletal size traits. Hum Genet 120(1), 42–51 (2006). doi:
10.1007/s00439-006-0173-6. http://dx.doi.org/10.1007/s00439-006-0173-6
41. Maroñas, O., Phillips, C., Söchtig, J., Gomez-Tato, A., Cruz, R., Alvarez-Dios, J., de Cal,
M.C., Ruiz, Y., Fondevila, M., Carracedo, n., Lareu, M.V.: Development of a forensic
skin colour predictive test. Forensic Science International Genetics 13, 34–44 (2014). doi:
10.1016/j.fsigen.2014.06.017. http://dx.doi.org/10.1016/j.fsigen.2014.06.017
42. Mattsson, J., Uzunel, J., Tammik, L., Aschan, J., Ringde, O.: Leukemia lineage specific chimerism analysis is a sensitive predictor of relapse in patients with acute myeloid leukemia and
myelodysplastic syndrome after allogeneic stem cell transplantation. Leukemia 15(12), 1976–
1985 (2001)
43. Meyer, E., Wiese, M., Bruchhaus, H., Claussen, M., Klein, A.: Extraction and amplification
of authentic dna from ancient human remains. Forensic Science International 113(1-3), 87–90
(2000)
44. Mullis, K.B., et al.: The unusual origin of the polymerase chain reaction. Scientific American
262(4), 56–61 (1990)
45. Niederstätter, H., Köchl, S., Grubwieser, P., Pavlic, M., Steinlechner, M., Parson, W.: A modular
real-time pcr concept for determining the quantity and quality of human nuclear and mitochondrial dna. Forensic Science International Genetics 1(1), 29–34 (2007)
46. Phillips, C., Fernandez-Formoso, L., Garcia-Magariños, M., Porras, L., Tvedebrink, T., Amigo,
J., Fondevila, M., Gomez-Tato, A., Alvarez-Dios, J., Freire-Aradas, A., Gomez-Carballa, A.,
Mosquera-Miguel, A., Carracedo, A., Lareu, M.V.: Analysis of global variability in 15 established and 5 new european standard set (ess) strs using the ceph human genome diversity panel. Forensic Science International Genetics 5(3), 155–169 (2011). doi: 10.1016/j.fsigen.2010.02.003.
http://dx.doi.org/10.1016/j.fsigen.2010.02.003
47. Pośpiech, E., Wojas-Pelc, A., Walsh, S., Liu, F., Maeda, H., Ishikawa, T., Skowron, M., Kayser,
M., Branicki, W.: The common occurrence of epistasis in the determination of human pigmentation and its impact on dna-based pigmentation phenotype prediction. Forensic Science
International Genetics 11, 64–72 (2014). doi: 10.1016/j.fsigen.2014.01.012. http://dx.doi.org/
10.1016/j.fsigen.2014.01.012
48. Prinz, M., Carracedo, A., Mayr, W.R., Morling, N., Parsons, T.J., Sajantila, A., Scheithauer, R.,
Schmitter, H., Schneider, P.M., , I.S.f.F.G.: Dna commission of the international society for
forensic genetics (isfg): recommendations regarding the role of forensic genetics for disaster
victim identification (dvi). Forensic Science International Genetics 1(1), 3–12 (2007)
49. Putkonen, M.T., Palo, J.U., Cano, J.M., Hedman, M., Sajantila, A.: Factors affecting the str
amplification success in poorly preserved bone samples. Investig Genet 1(1), 9 (2010). doi:
10.1186/2041-2223-1-9. http://dx.doi.org/10.1186/2041-2223-1-9
50. Rebbeck, T.R., Kanetsky, P.A., Walker, A.H., Holmes, R., Halpern, A.C., Schuchter, L.M., Elder, D.E., Guerry, D.: P gene as an inherited biomarker of human eye color. Cancer Epidemiol
Biomarkers Prev 11(8), 782–784 (2002)
51. Rees, J.L.: Genetics of hair and skin color. Annu Rev Genet 37, 67–90 (2003). doi:
10.1146/annurev.genet.37.110801.143233. http://dx.doi.org/10.1146/annurev.genet.37.110801.
143233
110
A.-M. Pflugbeil et al.
52. Ruiz, Y., Phillips, C., Gomez-Tato, A., Alvarez-Dios, J., Casares de Cal, M., Cruz, R., Maroñas, O., Söchtig, J., Fondevila, M., Rodriguez-Cid, M.J., Carracedo, A., Lareu, M.V.: Further
development of forensic eye color predictive tests. Forensic Science International Genetics
7(1), 28–40 (2013). doi: 10.1016/j.fsigen.2012.05.009. http://dx.doi.org/10.1016/j.fsigen.2012.
05.009
53. Sanchez, J., Phillips, C., Børsting, C., Balogh, K., Bogus, M., Fondevila, M., Harrison, C.,
Musgrave-Brown, E., Salas, A., Syndercombe-Court, D., Schneider, P., Carracedo, A., Morling, N.: A multiplex assay with 52 single nucleotide polymorphisms for human identification.
Electrophoresis 27 (2006)
54. Scheible, M., Loreille, O., Just, R., Irwin, J.: Short tandem repeat typing on the 454 platform:
strategies and considerations for targeted sequencing of common forensic markers. Forensic
Science International Genetics 12, 107–119 (2014)
55. Schmidt, D., Hummel, S.: Biologische Spurenkunde, Bd. 1 Kriminalbiologie. Springer-Verlag
Berlin Heidelberg (2007)
56. Shahrom, A.W., Vanezis, P., Chapman, R.C., Gonzales, A., Blenkinsop, C., Rossi, M.L.: Techniques in facial identification: computer-aided facial reconstruction using a laser scanner and
video superimposition. Int J Legal Med 108(4), 194–200 (1996)
57. Sherry, S., Ward, M., Kholodov, M., Baker, J., Phan, L., Smigielski, E., Sirotkin, K.: dbsnp: the
ncbi database of genetic variation. Nucleic Acids Res 1 (2001)
58. Stokowski, R.P., Pant, P.K., Dadd, T., Fereday, A., Hinds, D.A., Jarman, C., Filsell, W., Ginger, R.S., Green, M.R., van der Ouderaa, F.J., et al.: A genomewide association study of skin
pigmentation in a south asian population. The American Journal of Human Genetics 81(6),
1119–1132 (2007)
59. Sturm, R.A., Duffy, D.L., Box, N.F., Newton, R.A., Shepherd, A.G., Chen, W., Marks, L.H.,
Leonard, J.H., Martin, N.G.: Genetic association and cellular function of mc1r variant alleles in
human pigmentation. Ann N Y Acad Sci 994, 348–358 (2003)
60. Sulem, P., Gudbjartsson, D.F., Stacey, S.N., Helgason, A., Rafnar, T., Magnusson, K.P., Manolescu, A., Karason, A., Palsson, A., Thorleifsson, G., Jakobsdottir, M., Steinberg, S., Pálsson, S.,
Jonasson, F., Sigurgeirsson, B., Thorisdottir, K., Ragnarsson, R., Benediktsdottir, K.R., Aben,
K.K., Kiemeney, L.A., Olafsson, J.H., Gulcher, J., Kong, A., Thorsteinsdottir, U., Stefansson,
K.: Genetic determinants of hair, eye and skin pigmentation in europeans. Nat Genet 39(12),
1443–1452 (2007). doi: 10.1038/ng.2007.13. http://dx.doi.org/10.1038/ng.2007.13
61. Tryka, K.A., Hao, L., Sturcke, A., Jin, Y., Wang, Z.Y., Ziyabari, L., Lee, M., Popova, N., Sharopova, N., Kimura, M., Feolo, M.: Ncbi’s database of genotypes and phenotypes: dbgap. Nucleic
Acids Res 42(Database issue), D975–D979 (2014). doi: 10.1093/nar/gkt1211. http://dx.doi.org/
10.1093/nar/gkt1211
62. Valenzuela, R.K., Henderson, M.S., Walsh, M.H., Garrison, N.A., Kelch, J.T., Cohen-Barak, O.,
Erickson, D.T., John Meaney, F., Bruce Walsh, J., Cheng, K.C., Ito, S., Wakamatsu, K., Frudakis, T., Thomas, M., Brilliant, M.H.: Predicting phenotype from genotype: normal pigmentation.
Journal of Forensic Sciences 55(2), 315–322 (2010). doi: 10.1111/j.1556-4029.2009.01317.x.
http://dx.doi.org/10.1111/j.1556-4029.2009.01317.x
63. Vanezis, P., Blowes, R.W., Linney, A.D., Tan, A.C., Richards, R., Neave, R.: Application of 3-d
computer graphics for facial reconstruction and comparison with sculpting techniques. Forensic
Science International 42(1-2), 69–84 (1989)
Literatur
111
64. Wagner, J.K., Jovel, C., Norton, H.L., Parra, E.J., Shriver, M.D.: Comparing quantitative measures of erythema, pigmentation and skin response using reflectometry. Pigment Cell Res 15(5),
379–384 (2002)
65. Walsh, S.: test. Forensic Science International Genetics 5, 170–180 (2011)
66. Walsh, S., Chaitanya, L., Clarisse, L., Wirken, L., Draus-Barini, J., Kovatsi, L., Maeda,
H., Ishikawa, T., Sijen, T., de Knijff, P., Branicki, W., Liu, F., Kayser, M.: Developmental validation of the hirisplex system: Dna-based eye and hair colour prediction for forensic
and anthropological usage. Forensic Science International Genetics 9, 150–161 (2014). doi:
10.1016/j.fsigen.2013.12.006. http://dx.doi.org/10.1016/j.fsigen.2013.12.006
67. Walsh, S., Liu, F., Ballantyne, K.N., van Oven, M., Lao, O., Kayser, M.: Irisplex: a sensitive dna
tool for accurate prediction of blue and brown eye colour in the absence of ancestry information.
Forensic Science International Genetics 5(3), 170–180 (2011)
68. Walsh, S., Liu, F., Wollstein, A., Kovatsi, L., Ralf, A., Kosiniak-Kamysz, A., Branicki, W., Kayser, M.: The hirisplex system for simultaneous prediction of hair and eye colour from dna. Forensic Science International Genetics 7(1), 98–115 (2013). doi: 10.1016/j.fsigen.2012.07.005.
http://dx.doi.org/10.1016/j.fsigen.2012.07.005
69. Walsh, S., Wollstein, A., Liu, F., Chakravarthy, U., Rahu, M., Seland, J.H., Soubrane, G., Tomazzoli, L., Topouzis, F., Vingerling, J.R., Vioque, J., Fletcher, A.E., Ballantyne, K.N., Kayser,
M.: Dna-based eye colour prediction across europe with the irisplex system. Forensic Sci Int Genet 6(3), 330–340 (2012). doi: 10.1016/j.fsigen.2011.07.009. http://dx.doi.org/10.1016/j.fsigen.
2011.07.009
70. Weatherall, I.L., Coombs, B.D.: Skin color measurements in terms of cielab color space values.
J Invest Dermatol 99(4), 468–473 (1992)
71. Weedon, M.N., Lango, H., Lindgren, C.M., Wallace, C., Evans, D.M., Mangino, M., Freathy,
R.M., Perry, J.R.B., Stevens, S., Hall, A.S., andere: Genome-wide association analysis identifies
20 loci that influence adult height. Nat Genet 40(5), 575–583 (2008). doi: 10.1038/ng.121. http://
dx.doi.org/10.1038/ng.121
72. Willuweit, S., Roewer, L.: The new y chromosome haplotype reference database. Forensic
Science International Genetics 15, 43–48 (2015). doi: 10.1016/j.fsigen.2014.11.024. http://dx.
doi.org/10.1016/j.fsigen.2014.11.024
5
Digitaler Tatort, Sicherung und Verfolgung
digitaler Spuren
Dirk Pawlaszczyk
5.1
Einleitung
Ausgangspunkt für jede forensische Untersuchung bildet der Tatort. Dort beginnt die Ermittlung. Im Gegensatz zur klassischen Forensik ist der Tatort bei Delikten im Bereich
der Cyberkriminalität häufig nicht so leicht zu benennen. Aufgrund der Vielfalt digitaler
Tatorte gestaltet sich die Spurensicherung mitunter sehr mühsam und gleicht einem Puzzel. Längst sind die zu sichernden Spuren nicht mehr nur auf die Festplatte eines Rechners
beschränkt. In der modernen Fallarbeit müssen vielmehr immer häufiger auch Spuren im
Internet, in der sprichwörtlichen Datenwolke oder in sozialen Netzen, verfolgt, gesichert
und analysiert werden. Demgegenüber steht die klassische Computerforensik, die, bezogen auf die Spurensicherung, primär auf einzelne IT-Systeme bzw. Datenträger abzielt.
Beide Formen der digitalen Spurensuche, online wie auch offline, werden im vorliegenden Kapitel gleichermaßen beleuchtet. Der Fokus liegt dabei auf der Sicherung digitaler
Spuren als Voraussetzung für weitere Untersuchungsschritte im Rahmen des forensischen
Prozesses. Für alle zu sichernden digitalen Spuren, gleich welcher Herkunft, gilt: Sie sind
virtuell und sehr häufig flüchtig. Diesem Umstand ist es geschuldet, dass sie leicht manipuliert und dadurch unbrauchbar werden können. Daraus resultieren wiederum spezielle
Anforderungen an den Prozess der Beweismittelsicherung.
Gemäß dem forensischen Paradigma der Unversehrtheit von Spuren muss die Sicherung mit großer Sorgfalt vorgenommen werden [17, 22]. Die dafür verwendeten Techniken
und Werkzeuge sind ebenfalls Gegenstand dieses Kapitels. Zunächst aber wird das prinzipielle Vorgehen bei der Sicherung digitaler Spuren beschrieben. In Abschn. 5.2 wird
der Tatort als Ausgangspunkt für die forensische Untersuchung vorgestellt. Gleichzeitig
D. Pawlaszczyk ()
Lehrstuhl Informatik/Objektorientierte Softwareentwicklung, University of Applied Sciences
Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: pawlaszc@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_5
113
114
D. Pawlaszczyk
wird der Begriff digitale Spur besprochen. Ausgehend von unterschiedlichen digitalen
Tatorten, werden in Abschn. 5.3 die wesentlichen Schritte bei der Spurensicherung und
Verfolgung eines Computereinbruchs erörtert. Hierbei wird insbesondere auf die durchzuführenden Tätigkeiten zur sachgemäßen Sicherung von Beweismitteln eingegangen.
Es wird diskutiert, was zu tun ist, wenn der zu sichernde Rechner noch arbeitet (LiveSicherung) und welche speziellen Untersuchungsschritte und Methoden an Datenträgern
(Post-Mortem-Akquise) durchzuführen sind. Dabei werden gängige Werkzeuge zur Duplizierung, Untersuchung und Wiederherstellung (Carving) von Speichermedien und den
darauf gespeicherten Daten vorgestellt.
Die forensische Analyse von Datenträgern ist meist nicht mehr ausreichend, um weiterentwickelte Angriffe oder kriminelles Verhalten eines Anwenders nachzuweisen. In
diesem Zusammenhang spielt insbesondere das Internet eine zentrale Rolle. Im zweiten
Teil des Kapitels wird deshalb speziell auf die Verfolgung und Sicherstellung von Spuren
im Netz eingegangen. Dies ist ein Bereich, der für die forensische Fallarbeit zunehmend
an Bedeutung gewinnt. Es handelt sich hierbei um ein noch relativ junges Forschungsfeld,
das im Augenblick noch unzureichend methodisch untersucht ist.
In Abschn. 5.4.1 wird zunächst die Erfassung, Auswertung und Wiederherstellung von
Spuren im Browser thematisiert. Das Thema Verfolgung von Spuren in der Cloud wird
ebenfalls besprochen. Es wird herausgestellt, welche Werkzeuge und Lösungen derzeit
in diesem Bereich existieren und inwieweit diese für die Sicherung digitaler Spuren von
Bedeutung sind. Ein separater Abschnitt widmet sich speziell dem Thema Verfolgung von
Zahlungsströmen im Netz am Beispiel der Kryptowährung Bitcoins. Ebenfalls besprochen
wird der Punkt Open Source Intelligence, ein Bereich, der immer mehr an Bedeutung
gewinnt.
Für die im Verlauf des Kapitels besprochenen forensischen Methoden finden überwiegend Open-Source-Lösungen Anwendung. Die Handhabung und Funktionsweise dieser
Werkzeuge ist in weiten Teilen äquivalent zu kommerziellen Forensikprodukten. Darüber
hinaus sind die Werkzeuge frei verwendbar und können jederzeit nachvollzogen werden.
Bei jeder forensischen Analyse müssen auch immer Persönlichkeitsrechte sowie datenschutzrechtliche Aspekte Beachtung finden. Diese beiden Problembereiche werden
ebenfalls mehrfach im Text angeschnitten. Das Kapitel endet mit einem kurzen Fazit.
5.2 Tatort, Digitale Spuren und Datenquellen
Im Rahmen der IT-Forensik geht es darum, strafbare oder anderweitig rechtswidrige
Handlungen festzustellen und aufzuklären [5]. Hierfür müssen digitale Spuren in einem
ersten Schritt gerichtsverwertbar gesichert und ausgewertet werden. Unter einer digitalen
Spur (engl. digital evidence) werden Spuren verstanden, die auf Daten beruhen, welche
wiederum in IT-Systemen gespeichert oder zwischen diesen übertragen wurden [10].
Wo aber können digitale Spuren überhaupt entstehen? Mit der Beantwortung dieser
Frage in unmittelbarem Zusammenhang stehen wiederum weitere Fragen, wie etwa diese
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
115
Spuren zu finden, zu erkennen und zu bewerten sind. Jede digitale Spur basiert letztlich
auf Daten, die in IT-Systemen gespeichert sind oder zwischen IT-Systemen übertragen
werden. Wie auch in der klassischen Forensik beginnt die Spurensuche zunächst immer
am Tatort. Der Tatort befindet sich kurz gefasst dort, wo die Tat ausgeführt wurde.
Bei Delikten im Bereich der Cyberkriminalität ist der Tatort häufig nicht so leicht zu
benennen oder mitunter sogar unbekannt. Im Darkweb beispielsweise ist es häufig gar
nicht möglich, die Herkunft einer Webseite oder die Identität der Urheber zu ermitteln.
Im Bereich der Cyberkriminalität sind die Ermittler immer öfter mit einem globalisierten Tatort konfrontiert, der täglich größer wird und schon lange nicht mehr an nationalen
Grenzen endet bzw. auf diese Rücksicht nimmt [3, 6, 19]. Die Systeme, mit denen in
Deutschland Straftaten begangen werden, stehen nicht selten in China oder Russland [28].
Entsprechend schwierig ist eine Strafverfolgung. Für gewöhnlich findet bei einer digitalen
Straftat keine physische Interaktion zwischen Täter und Opfer statt. Der Tatort ist virtuell. Aus diesem Grund wird häufig ein sogenannter Hilfstatort angenommen. Damit ist in
der Regel der Ort gemeint, an dem der Schaden eintritt. Über ihn bestimmt sich, welche
Behörde bzw. welches Ermittlungsorgan für den Fall zuständig ist und diesen gegebenenfalls strafrechtlich verfolgt. Neben rechtlichen Aspekten bildet der Tatort aber auch den
Ausgangspunkt jeder forensischen Untersuchung. Jede Ermittlung beginnt hier. Wie jede konventionelle so hinterlässt auch eine rein digitale Straftat zwangsläufig Spuren am
Tatort. In jedem hinreichend komplexen digitalen System entstehen bei der Datenverarbeitung notwendigerweise digitale Spuren (digitales Austauschprinzip). Insofern gilt auch
für Delikte aus dem Bereich der Computerkriminalität das Locard’sche Prinzip. Baut der
Täter beispielsweise eine Kommunikationsverbindung zwischen seinem Rechner und einem möglichen Opfer-PC auf, so erzeugt dies unvermeidlich Spuren. Spätestens wenn der
Angreifer auf den Rechner Daten kopiert oder verändert, entstehen Spuren auf der Festplatte des Opfers. Das können beispielsweise Einträge in Log-Dateien sein. Zusätzlich
werden zumeist Verbindungsdaten durch den Internetserviceprovider (temporär) gespeichert.1 Sofern der Täter nicht direkten physischen Zugang zu dem Opfersystem besitzt,
werden also in der Regel digitale Spuren zu finden sein, die aufgrund technischer Gegebenheiten unvermeidbar sind. Digitale Spuren sind zudem schwer zu vernichten. Selbst
gelöschte Dateien einer Festplatte sind oft noch lange Zeit rekonstruierbar. Zum Teil existieren viele Duplikate einer Datei auf verschiedenen Datenträgern oder auch verteilt in
Netzwerken. Es ist praktisch nicht möglich, alle digitalen Spuren einer Computerstraftat
zu beseitigen.
Oft kann darüber hinaus vom aktuellen Zustand auf vergangene Zustände eines ITSystems geschlossen werden. Für den IT-Forensiker gilt es, diese Spuren zu erkennen und
zu bewerten. Dabei ist zu beachten, dass die Menge der hinterlassenen digitalen Spuren
mit wachsender Entfernung zum Tatort stetig abnimmt. Datenspuren findet man zunächst
lokal auf einem sichergestellten PC, einem Smartphone, einer Digitalkamera oder einem
1
Gemäß dem Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 10.12.2015 (BGBl. I S. 2210).
116
D. Pawlaszczyk
Abb. 5.1 Zusammenhang
zwischen Tatort, digitaler Spur
und Daten
USB-Stick. Häufig muss man digitale Spuren aber ebenso auf Web- oder Mailservern, in
sozialen Netzwerken oder Clouddiensten verfolgen.
Unabhängig davon, ob die Datenspur nun lokal oder remote vorliegt: In beiden Fällen
müssen die gefundenen potentiellen Beweise fachgerecht gesichert werden. In der Regel
wird im Rahmen der Sicherungsphase hierfür ein Duplikat d. h. eine bitgenaue Kopie der
gefundenen Artefakte erstellt. Damit werden im Wesentlichen zwei Ziele verfolgt: (1) es
sollen alle potentiellen Datenquellen mit Bezug zum aktuellen Fall identifiziert und (2)
korrekt gesichert werden. Die Sicherung der potentiellen Beweismittel muss außerordentlich sorgfältig erfolgen, um die Integrität der Daten nicht zu gefährden.
Der Zusammenhang zwischen den Begriffen Tatort, digitale Spur und Daten ist in
Abb. 5.1 nochmals dargestellt. Bei der Sicherung digitaler Spuren erweist sich die Identifikation von forensisch irrelevanten Daten häufig als schwierig. So müssen beispielsweise
Systemdateien oder nicht strafbare Fotos von den für den Fall relevanten Daten separiert
werden. Erschwerend kommt häufig hinzu, dass die Datenmenge sehr groß sein kann. In
beiden Fällen ist also eine Filterung bzw. Reduktion der sichergestellten Daten erforderlich, ohne dabei für den Fall wesentliche Indizien auszublenden. Besondere Beachtung
bei der Spurensicherung muss zudem die Verfügbarkeit der digitalen Spur finden. Es wird
grundsätzlich zwischen persistenten, semipersistenten und flüchtigen digitale Spuren unterschieden (siehe hierzu auch RFC32272). Persistente Spuren sind in der Regel lange
vorhanden, da es sich um Daten handelt, die z. B. auf einer Festplatte oder einer DVD
dauerhaft gespeichert sind.
Unter einer semipersistenten digitale Spur werden beispielsweise Daten verstanden,
die im Hauptspeicher eines Rechners liegen und mit dem Wegfall der Stromversorgung
verloren gehen. Die echt flüchtigen Dateninhalte sind aufgrund ihrer Natur nur temporär
vorhanden. Hierzu zählt beispielsweise der Inhalt der Prozessorregister oder Datenpakete,
2
http://www.ietf.org/rfc/rfc3227.txt?number=3227
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
117
Tab. 5.1 Kategorien für die Flüchtigkeit (Volatilität) von Spuren und Datenquellen
Persistent
Semipersistent
Flüchtig
Solid-State-Speicher Hauptspeicher/RAM Netzwerkdaten,
(CF/SD-Karten)
Cachespeicher
Prozessorregister
die über eine Netzwerkverbindung empfangen bzw. versendet und nach der Übertragung
unverzüglich verworfen werden. Bei der Wahl einer konkreten Sicherungsstrategie muss
dieser Umstand bedacht werden. Folglich sollten immer zunächst die flüchtigen Daten
gesichert werden. Die Beachtung der entsprechenden Reihenfolge wird auch als Order of
Volatility bezeichnet (Tab. 5.1) [16].
Digitale Spuren können im Gegensatz zu physikalischen Spuren verlustfrei dupliziert
werden. Alle Untersuchungen werden in der Regel an der Kopie durchgeführt. Bei der Untersuchung physischer Spuren wie etwa Blut oder DNA-Spuren, werde diese zumindest
teilweise zerstört, etwa durch die verwendeten Chemikalien. In der modernen IT-Forensik
untersucht man längst nicht nur klassische IT-Systeme. Neben Computern rücken mobile Endgeräte wie Tabletcomputer oder Smartphones immer stärker in den Fokus von
Ermittlungstätigkeit. Dies liegt nicht zuletzt daran, das mittlerweile mehr persönliche
Informationen auf dem Mobiltelefon eines Verdächtigen zu finden sind als auf irgendeinem anderen Gerät. Aber auch weitere technische Geräte wie Kameras, DVD-Player,
Navigationsgeräte oder Fernseher müssen im Rahmen der digitalen Spurensicherung berücksichtigt und gegebenenfalls untersucht werden. Jedes komplexere technische Gerät
Abb. 5.2 Übersicht Online- und Offline- Daten und Datenquellen
118
D. Pawlaszczyk
ist mittlerweile mit eigenen internen Datenspeichern ausgestattet und verfügt nicht selten
über eine LAN-Anbindung. Das Internet der Dinge, in dem jedes Gerät Daten über seine
Nutzung aufzeichnet und mit anderen vernetzt ist, stellt die moderne Fallarbeit vor besondere Herausforderungen [28]. Mitunter können aber gerade diese Daten für die Lösung
eines Falles entscheidende Hinweise liefern.
Die Spurensuche beschränkt sich längst nicht mehr nur darauf, die am Tatort gefundenen Datenträger zu sichern und auszuwerten. Wie selbstverständlich legen viele ihre
Daten in Cloudspeichern ab, nutzen soziale Netzwerke, tauschen Dateien über OnlineTauschbörsen aus, kommunizieren über Messenagerdienste, nutzen ein Webmailkonto
und bezahlen Waren und Dienstleistungen mit Kryptowährungen wie Bitcoins. An diesen
Beispielen wird deutlich, dass die Daten viel stärker verteilt sind als noch vor wenigen
Jahren. Die Zahl und Art der zu untersuchenden Datenquellen, offline wie online, nimmt
somit stetig zu (vgl. Abb. 5.2). Moderne Ermittlungsmethoden müssen diesem Umstand
entsprechend Rechnung tragen. Im Folgenden wird zunächst der Frage nachgegangen,
wie man digitale Spuren sichern muss, sodass diese gerichtsverwertbar, man sagt auch
forensically sound sind [27].
5.3
Sicherung digitaler Spuren
Jede digital-forensische Analyse beginnt mit der Datensicherung. Sie ist in der Regel mit
der Erstellung eines korrekten forensischen Abbilds der elektronisch gespeicherten Daten
verbunden und wird auch als forensic sound imaging bezeichnet. Diese Tätigkeit ist nicht
unproblematisch. Nachlässigkeiten oder Fehler in dieser frühen Phase des Ermittlungsprozesses können später zumeist nicht rückgängig gemacht werden. Was nicht korrekt
gesichert wird, ist auch nicht gerichtsverwertbar. Wird beispielsweise der zu untersuchende Datenträger unbeabsichtigt überschrieben oder verändert, so ist dies ein häufig nicht
mehr umkehrbarer Fehler. Die erstellte Kopie wird deshalb in der Regel durch kryptografische Verfahren geschützt, die eine nachträgliche Manipulation am Beweismittel sicher
erkennbar machen. Entsprechend muss die Sicherung sorgfältig geplant und durchgeführt
werden. Hierfür sind zunächst die relevanten Datenquellen mit Bezug zum aktuellen Fall
zu identifizieren. Das betrifft in erster Linie die am Tatort gefundenen Speichermedien
wie Festplatten, Speicherkarten, USB-Sicks. Von diesen Datenträgern muss zuallererst eine bitgenaue Kopie erzeugt werden, und zwar unabhängig vom logischen Dateisystem.
Eventuell auftretende Lesefehler müssen erkannt und nachvollziehbar behandelt werden.
Die Quelle darf keinesfalls verändert werden. Viele digitale Spuren sind aufgrund ihrer
Flüchtigkeit bereits nach kurzer Zeit unbrauchbar oder verloren. Ist etwa ein Rechner
zum Zeitpunkt der Beweisaufnahme noch eingeschaltet, so muss abgewogen werden, ob
zusätzlich eine Kopie vom Inhalt des Arbeitsspeichers (engl. Random Access Memory, RAM) anzufertigen ist. In einem Speicherabbild lassen sich mitunter Passwörter von
Anwendungsprogrammen oder der Schlüssel für Datenverschlüsselung finden. In beiden
Fällen gilt, das die Sicherung der Daten mit großer Sorgfalt und Sachkunde erfolgen muss.
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
119
Da es sich um potentielle Beweismittel handelt, sind geeignete Maßnahmen zu ergreifen,
die eine nachträgliche Manipulation der Daten verhindern.
Der Datensicherungsprozess muss darüber hinaus einer Überprüfung durch Sachverständige standhalten und reproduzierbar gleiche, durch Dritte verifizierbare Ergebnisse
liefern. Der IT-Forensiker spricht in diesem Zusammenhang auch von tamper-proof [16].
Zumindest aber müssen Veränderungen des Beweismittels zweifelsfrei erkennbar sein,
was auch als tamper-evident bezeichnet wird. In der IT-Forensik unterscheidet man grundsätzlich zwei Formen der Untersuchung in Bezug auf eine IT-System: Live-Response und
Post-mortem. Beide Verfahren sollen im Folgenden näher erläutert werden [5].
5.3.1 Live-Response-Akquise
Die erste Form der Datensicherung ist auch bekannt als Online-Forensik. Unter diesem
Begriff wird die Suche nach Spuren am noch laufendem System verstanden. Hier wird
vordringlich versucht, flüchtige Daten zu gewinnen. Diese Untersuchungsform ist beispielsweise dann sinnvoll, wenn auf dem Rechner für den Betriebsablauf kritische Anwendungen oder Dienste laufen. Bei einem Einbruch auf dem zentralen Datenverarbeitungssystem eines Unternehmens kann dieses nicht in jedem Fall einfach vom Netz genommen
und heruntergefahren werden. Mitunter befindet sich der Angreifer womöglich noch auf
dem System. Die Analyse am laufenden System hat darüber hinaus den Vorteil, dass auch
flüchtige Daten wie der RAM-Inhalt, Prozesstabellen oder Cachespeicher gesichert werden können. Des Weiteren lassen sich im Arbeitsspeicher möglicherweise entschlüsselte
Chiffretexte oder zugehörige Entschlüsselungspasswörter finden (beispielsweise von einer Festplattenverschlüsselung). Im Hauptspeicher des Rechners finden sich nicht selten
Daten, die der Anwender eigentlich nicht speichern wollte. Dazu zählen beispielsweise
IRC-Nachrichten oder Browserinhalte. Auch für die Erkennung von Schadsoftware ist
eine Analyse des Arbeitsspeichers häufig unumgänglich, da nur so zuverlässig bestimmt
werden kann, welche Prozesse beispielsweise durch einen Trojaner verändert wurden. Die
Analyse des Arbeitsspeichers kann somit von großer Bedeutung sein und bietet dem Ermittler eine Fülle von Informationen, die wichtige Spuren und Beweise für eine Ermittlung
liefern können.
Im Gegensatz zu persistenten Speichermedien wie Festplatten oder Flashlaufwerken
handelt es sich beim RAM um einen flüchtigen bzw. volatilen Speicher. Das bedeutet,
dass die Daten nur solange zugreifbar sind, wie eine Spannungsversorgung vorhanden
ist. Ein Wegfall der Betriebsspannung führt innerhalb kürzester Zeit zum Datenverlust.
Gleichzeitig unterliegen die im Hauptspeicher abgelegten Daten einer sehr starken Fluktuation. Ist das System eingeschaltet, bewirkt jeder Eingriff automatisch eine Änderungen
des Systemzustands. Durch das Laden eines Programms ändert sich beispielsweise der
Inhalt des Arbeitsspeichers. Gleichzeitig können durch Schreibzugriffe möglicherweise
zuvor gelöschte Bereiche überschrieben werden. Auch durch im Hintergrund laufende
Dienste und Prozesse werden womöglich unbemerkt die Zeitstempel von Dateien ver-
120
D. Pawlaszczyk
ändert. Aus diesem Grund sind die Informationen im Arbeitsspeicher lediglich für eine
Analyse der jüngeren Vergangenheit sinnvoll.
Bei der Erstellung eines Speicherabbilds werden neben dem Hauptspeicherinhalt insbesondere der Status offener Netzwerkverbindungen, die Zustände aller laufenden Prozesse
sowie eine Liste der aktuell angemeldeten Benutzer erfasst. In jedem Fall sollte der Ermittler es vermeiden, Befehle des Betriebssystems oder Anwendungen aufzurufen bzw. zu
verwenden. Diese könnten von einem Angreifer beispielsweise durch die Installation eines Rootkits manipuliert worden sein. Auch das nachträgliche Aufspielen oder Entfernen
von Programmen sollte vermieden werden, da dadurch wiederum Speicherseiten überschrieben werden können [5, 14, 16].
Anforderungen an Sicherungsprozess und Speicherabbild
Bevor der Arbeitsspeicher analysiert werden kann, muss sein Zustand zunächst in einer
Abbilddatei gesichert werden. Das dafür verwendete Verfahren muss ebenso wie das Abbild selbst bestimmte Anforderungen erfüllen, um als forensically sound zu gelten [5, 14].
Die im Rahmen der Datenakquise erstellte Speicherkopie sollte korrekt sein, d. h., so weit
wie möglich mit seinem physischen Original übereinstimmen. Wenngleich das, wie bereits zuvor ausgeführt, aufgrund technischer Gegebenheiten, in der Regel nie zu hundert
Prozent erfüllt werden kann. Der eigentliche Sicherungsvorgang sollte unterbrechungsfrei
in einer einzigen Leseoperation, man sagt auch atomar, durchgeführt werden. Schließlich
ist die Integrität der Daten sicherzustellen, d. h. es sollten möglichst viele Speicherseiten
korrekt kopiert werden. Die Forderung nach Korrektheit und Integrität des Speicherabbilds ist dabei immer auf einen festen Zeitpunkt bezogen. In der Regel fällt dieser zeitlich
mit der Übergabe des zu untersuchenden Systems an den ermittelten Forensiker zusammen.
Auf jeden Fall müssen alle am System vorgenommen Eingriffe genau protokolliert
werden. Hierbei gilt wiederum, dass die Protokolldatei nicht auf die zu untersuchenden
Datenträger geschrieben werden dürfen und stattdessen externe Speichermedien verwendet werden sollten. Prüfen im Rahmen eines späteren Gerichtsverfahrens weitere Sachverständige das Beweismaterial, sind die Daten methodisch bedingt zumindest teilweise
verfälscht. Eine Kontrolle durch einen anderen Sachverständigen kann daher nur dann erfolgen, wenn eine detaillierte Dokumentation der Live-Response-Analyse durch den die
Beweise sichernden IT-Forensiker erfolgt. Grundsätzlich gilt hier wie in vielen anderen
Phasen des forensischen Untersuchungsprozesses das Vier-Augen-Prinzip.
Sicherungsstrategien
Bei der Sicherung von Spuren an einem noch laufenden System sollten aus den genannten
Gründen möglichst nur solche Werkzeuge eingesetzt werden, die wenig Systemressourcen beanspruchen und keine Originaldaten beschreiben oder ändern. In den meisten Fällen
hat der Ermittler nur einen Versuch, bevor die Daten unwiderruflich verändert, zerstört
bzw. gelöscht werden. In einem Szenario, in dem der Verdächtige beim Eintreffen der
Ermittler die Stromzufuhr unterbricht, um seine Spuren zu verwischen, ist schnelles Han-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
121
deln gefragt, damit mögliche Speicherinhalte gesichert werden können. Die zur Sicherung
des Hauptspeichers verwendeten Verfahren werden grob in Hardware- sowie Softwarebasierte Varianten unterteilt. Einige der wichtigsten Verfahren sollen an dieser Stelle kurz
vorgestellt werden:
Zugriff über Hardware-Bus. Bei dieser Form der Sicherung wird, wie der Name
schon sagt, direkt auf die Hardware zugegriffen. Das Betriebssystem wird somit umgangen. Änderungen am Speicher sind minimalinvasiv, d. h., sie können so gering
wie möglich gehalten werden. Verfügt das zu sichernde System über einen FirewireAnschluss (IEEE 1394-Schnittstelle), so ist es häufig möglich, den Direct Memory
Access (DMA) des Bussystems zu nutzen, um so den Speicher zu kopieren. Hierfür
werden die Daten direkt über den DMA-Controller aus dem Arbeitsspeicher gelesen [7, 29].
Sicherung über Kernelmodus. Dieses softwarebasierte Verfahren nutzt das Betriebssystem des Hosts im Kernelmodus, um ein Speicherabbild zu erstellen. Für Anwendungen, die in diesem Modus arbeiten, gilt, dass ihr Zugriff auf Hardware und Speicherbereiche nicht eingeschränkt wird wie bei Programmen, die im Userlevelmodus arbeiten.
Die Sicherungssoftware kann im Kernelmodus somit alle verfügbaren Speicherseiten
referenzieren.
Suspend-to-Disk. Aktuelle Betriebssysteme schreiben den Speicherinhalt in eine oder
mehrere Dateien, bevor sie in den Ruhezustand übergehen. Unter dem Betriebssystem
Windows beispielsweise wird der RAM-Inhalt in der Datei hiberfil.sys abgelegt. Standardmäßig wird die Datei im Wurzelverzeichnis der Systempartition gespeichert. Unter
Linux wird ein Speicherabbild des gesamten Arbeitsspeichers auf die Swap-Partition
geschrieben.
Virtualisierung. Nicht selten greifen Unternehmen heutzutage auf Virtualisierungslösungen im Server-, Netzwerk- oder Storagebereich zurück. Diese Technik kommt
beispielsweise bei Internet-Hostern oder Anbietern von Cloudlösungen verstärkt zum
Einsatz. Gängige Virtualisierungslösungen bieten i. d. R. eine Snapshotfunktion, um
das gesamte Gastsystem inklusive Speicher auf dem aktuellen Stand einzufrieren und
zu sichern. Darüber hinaus wird häufig der direkte Export des Speicherinhalts der virtuellen Maschine (VM) unterstützt [1].
Cold-Booting. Bei dieser Sicherungsstrategie wird wiederum das Betriebssystem des
Hostrechners umgangen, um den Speicherinhalt zu retten. Das an der Universität Princeton entwickelte Verfahren nutzt den Umstand aus, dass die Daten in den Speicherzellen der RAM-Bausteine nach dem Trennen der Stromzufuhr für einige Sekunde
bis hin zu mehreren Minuten weiterhin verfügbar sind, da die eingesetzten Schaltkreise sich nur langsam entladen. Dieses Phänomen wird auch als Datenremanenz
bezeichnet [15, 16]. Indem man die betroffenen Speicherriegel mit einem Kältespray
behandelt, kann dieser Effekt häufig noch verlängert werden. Schaltet also der Verdächtige beim Eintreffen der Ermittlungsbeamten den Rechner aus, so kann, schnelles
Handeln vorausgesetzt, der Speicherinhalt unter Umständen noch ausgelesen werden.
122
D. Pawlaszczyk
Nicht immer kann jedes der zuvor besprochenen Verfahren eingesetzt werden. Der Zugriff über den Hardware-Bus beispielsweise setzt das Vorhandensein einer entsprechenden
Firewireschnittstelle voraus, um an die Informationen im Arbeitsspeicher zu gelangen.
Das Cold-Booting-Verfahren ist eher akademischer Natur, da bei der praktischen Umsetzung viele technische Unwägbarkeiten existieren können, die eine zeitnahe Datensicherung verhindern. Eine softwaregestützte Sicherung des RAM-Inhalts kommt hingegen in
der Praxis sehr häufig zum Einsatz. Vorausgesetzt, das Betriebssystem ist nicht gesperrt,
kann man die dafür notwendige Software einfach von einem vorbereiteten USB-Stick aus
einspielen. Allerdings wird dadurch wiederum ein Teil des Speicherabbildes verfälscht.
Werkzeuge zur RAM-Sicherung
Für die Sicherung des Arbeitsspeichers existiert eine Vielzahl an Programmen. Die konkrete Auswahl wird in erster Linie durch das zu sichernde Betriebssystem vorgegeben.
Natürlich spielen auch immer die persönlichen Vorlieben des Untersuchenden eine wichtige Rolle. Für eine Sicherung des RAM-Inhalts unter Linux kann beispielsweise der
Linux-Memory-Extractor LiME3 verwendet werden. LiME wird auch zur Sicherung des
Arbeitsspeichers unter dem Betriebssystem Android genutzt werden. Über das Kommando insmod kann unter Linux ein Kernelmodul geladen werden. Um den Binärcode zur
Ausführung zu bringen, wird das folgende Kommando verwendet:
$ sudo insmod lime.ko "path=/home/user/mod.lime"
In diesem Beispiel wird das mittels insmod-Kommando zuvor erzeugte Kernelmodul
lime.ko in den Kernelmodus des Zielrechners geladen und ausgeführt. Das Speicherabbild
wird unter den in path angegebenen Dateipfad abgelegt. Bei einem älteren Linux-Kernel
bis zu Version 2.6 kann alternativ über die Geräte-Datei /dev/mem und dem Kommando
dd eine Sicherung des Arbeitsspeichers vorgenommen werden:
$ dd if=/dev/mem of=ram.dd
Für die Erzeugung eines Speicherabbildes unter Windows bietet sich das Programm
DumpIt der Firma MoonSols4 an, das hier kurz vorgestellt werden soll. Das von Matthieu Suiche entwickelte Werkzeug kann kostenlos von der Webseite der Firma bezogen
werden. Es handelt sich bei dem Programm ebenfalls um eine Anwendung, die auf Kernelebene ausgeführt wird. Mit gerade einmal 200 KByte ist das Programm recht kompakt.
Die Nutzung von DumpIt ist sehr einfach und erfolgt dialoggesteuert. Das kleine Tool
schreibt den aktuellen Inhalt des physischen Hauptspeichers in eine Datei, bei Bedarf
auch über eine Netzwerkverbindung auf ein Analysesystem.
In Abb. 5.3 ist zu sehen, dass die Anwendung DumpIt.exe gestartet wurde. Der insgesamt rund 1 GB große Hauptspeicher des zu sichernden Systems wird in die Datei
WinPC7xxx.raw gespeichert. Im Dateinamen ist gleichzeitig der Zeitpunkt, an dem die Sicherung durchgeführt wurde, vermerkt. Die Sicherung des Arbeitsspeichers unter Mac OS
3
4
http://code.google.com/p/lime-forensics
http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
123
Abb. 5.3 Das Werkzeug DumpIt bei der Arbeit
X kann beispielsweise unter Verwendung des Werkzeugs Mac Memory Reader5 durchgeführt werden. Für die Ausführung des Programms sind Administratorrechte erforderlich:
$ sudo ./MacMemoryReader /Volumes/STORAGE/ram_kopie.raw
Speicheranalyse mit dem Volatility-Framework
Mit den im letzten Abschnitt vorgestellten Werkzeugen kann der RAM eines Rechners
kopiert und in eine Datei gesichert werden. Diese muss natürlich anschließend forensisch
untersucht werden. Hierfür steht wiederum eine Vielzahl unterschiedlicher Werkzeuge
zur Verfügung. Ein sehr verbreitetes und zugleich mächtiges Werkzeug zur Analyse des
Arbeitsspeichers bietet das Volatility Framework.6 Das Programm ist in seiner aktuellen
Version 2.4 erhältlich und wird unter GNU General Public License für Linux, Windows
und MAC angeboten. Das komplett in Python geschriebene Framework extrahiert nützliche Informationen aus den zuvor erstellen Speicherabbilddateien. Das Programm ist
standardmäßig mit einer Reihe von Default Plugins ausgestattet, die dem Ermittler vielfältige Analysemöglichkeiten bieten. Weitere Plugins können je nach Bedarf manuell
nachinstalliert werden. Bevor mit der gezielten Spurensuche begonnen werden kann, muss
zunächst einmal das Profil aus dem Image bestimmt extrahiert werden. Das Profil liefert
dem Ermittler Details zum vorliegenden Betriebssystem, ebenso wie Informationen zur
Hardware. Dazu analysiert Volatility zunächst den Kernel Debugger Block (KDBG). Für
diesen Arbeitsschritt bietet sich das Volatility Plugin imageinfo an:
$ volatility imageinfo -f image.raw
Volatility Foundation Volatility Framework 2.4
5
6
http://cybermarshal.atc-nycorp.com/index.php/cyber-marshal-utilities/mac-memory-reader
https://code.google.com/p/volatility/
124
D. Pawlaszczyk
Determining profile based on KDBG search...
Suggested Profile(s)
AS Layer1
AS Layer2
PAE type
DTB
KDBG
Number of Processors
Service Pack
KPCR for CPU 0
KUSER_SHARED_DATA
Image date and time
:
:
:
:
:
:
:
:
:
:
:
Win7SP0x86, Win7SP1x86
IA32PagedMemoryPae (Kernel AS)
FileAddressSpace (/img/image.raw)
PAE
0x185000L
0x8273bc28
1
1
0x8273cc00
0xffdf0000
2015-12-02 04:38:59 UTC+0000
Volatility hat einige Profile hinterlegt und sucht nach typischen Signaturen, um das konkrete System zu bestimmen. Dies ist wichtig, da die Struktur des Hauptspeichers natürlich
vom Betriebssystems und der konkreten Rechnerarchitektur abhängig ist. Von hier aus
kann das Programm unter anderem eine Liste der zum Zeitpunkt der Sicherung aktiven
Prozesse erstellen. Im nächsten Schritt kann man sich eine Übersicht über die zum Zeitpunkt der Sicherung laufenden Prozesse geben lassen. Das entsprechende Kommando in
Volatility würde wie folgt aussehen:
$ volatility pslist -f image.raw --profile=Win7SP1x86
Volatility Foundation Volatility Framework 2.4
Offset(V) Name
PID PPID Thds Hnds Sess
Start
---------- --------- --- ---- ---- ---- ---- ------------------0x83d33980 System
4
0
84 665
2015-12-02 04:36:14
0x843fcc48 smss.exe 252
4
2
29
2015-12-02 04:36:14
0x84ea3d40 smss.exe 316 252
0
0
2015-12-02 04:36:15
0x84f1b578 csrss.exe 328 316
8 519
0 2015-12-02 04:36:15
0x84f22d40 smss.exe 356 252
0
1 2015-12-02 04:36:15
...
Das in diesem Fall verwendete Plugin pslist gibt u. a. alle Prozesse mit dem aufrufenden Programmnamen, ihrer Prozess-ID (PID), der Elternprozess-ID (Parent Process ID,
PPID), der Anzahl der Threads (Thds), dem zugehörigen virtuellen Offset im Arbeitsspeicher sowie weitere Informationen aus.
Zur Ausgabe der aktiven Netzwerkverbindungen gibt es wiederum spezielle Plugins.
Für Windows-Vista, Windows-2008-Server sowie Windows-7 Speicherabbilder kann beispielsweise das Plugin netscan verwendet werden:
volatility netscan -f image.raw --profile=Win7SP1x86
Volatility Foundation Volatility Framework 2.4
Offset(P) Proto Local
Foreign
State
Owner
0x3e64513 TCPv4 0.0.0.0:35 0.0.0.0:0
LISTEN
vchost.exe
0x3edce37 TCPv4 0.0.0.0:491 0.0.0.0:0
LISTEN
services.exe
0x3e6c63d TCPv4 10.0.3.7:72 54.192.1.2:443 ESTABLSH Dropbox.exe
...
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
125
Aus dem Beispiel ist ersichtlich, dass die Anwendung Dropbox.exe eine aktive Verbindung
vom untersuchten System zu der externen IP-Adresse 54.192.1.2 aufgebaut hat. Verfolgt
man diese Adresse beispielsweise mithilfe des Kommandos whois, so zeigt sich, dass es
sich in diesem Fall um einen Server aus der Storage-Cloud von Amazon handelt. Tatsächlich nutzt Dropbox das Amazon-S3- (Simple Storage Service) Speichersystem zur Ablage
seiner Dateien.
Neben den hier gezeigten Funktionen existiert noch eine Vielzahl weiterer Plugins. So
unterstützt Volatility den Anwender beispielsweise bei der Suche nach Malware innerhalb
des Arbeitsspeichers. Darüber hinaus werden auch Teile der Registrierungsdatenbank von
Windows im Speicher gehalten, die ebenfalls mithilfe spezieller Plugins ausgewertet werden können.
Vor- und Nachteile
Der größte Vorteil der Live-Response-Analyse besteht darin, dass nahezu alle Aktivitäten
des laufenden Systems für eine weitergehende digitalforensische Untersuchung zur Verfügung stehen. Demgegenüber bestehen aber der Nachteil, dass eine Veränderung der zu
sichernden Daten fast immer unvermeidbar ist. Da es sich um flüchtige Daten handelt und
diese somit einer hohen Fluktuation unterliegen, sind die Daten nicht selten fragmentiert
oder wurden schlimmer noch bereits überschrieben. Bei der Frage, ob eine Sicherung des
Arbeitsspeichers durchzuführen ist, müssen Für und Wider genau gegeneinander abgewägt werden. Vor allem sollte man sich die Frage stellen, welche Spuren eine Analyse des
Arbeitsspeichers prinzipiell liefern kann und ob sich der Aufwand überhaupt lohnt.
5.3.2
Post-mortem-Akquise
Eines der Hauptprobleme bei der Live-Response-Analyse ist, dass die Reihenfolge der
Sicherung von flüchtigen Daten nicht immer zweifelsfrei festgelegt werden kann. Tatsächlich verändert jede Tätigkeit am zu untersuchenden System auch das System selbst, wenn
auch in der Regel nur minimal. Aus diesem Grund wird einer Post-mortem-Analyse im
Bereich strafrechtlicher Ermittlungsverfahren zumeist der Vorzug gegenüber einer LiveSicherung gegeben. Da im Rahmen dieser Analyseform häufig persistente Spuren, vornehmlich Speichermedien, gesichert und analysiert werden, wird auch häufig von Totanalyse (dead analysis) gesprochen. Hierfür muss zunächst eine forensische Datensicherung
durchgeführt werden, wobei der Ist-Zustand des Datenträgers unverfälscht und unveränderbar festgehalten wird. Dieser Arbeitsschritt beeinflusst entscheidend die Auswertbarkeit und die Beweiskraft der Daten. Ein besonderes Augenmerk sollte darauf gelegt
werden, dass durch die Sicherung keine Veränderungen am System entstehen, da die Datensicherung der Ausgangspunkt für die anschließenden forensische Untersuchung ist.
Bei einer Post-mortem-Analyse wird also zunächst immer eine Kopie der zu untersuchenden Datenträger (Festplatten, Speicherkarten, USB-Sticks etc.) erzeugt. Das System muss
sich dafür im ausgeschalteten Zustand befinden. Anschließend können die Datenträger
126
D. Pawlaszczyk
ausgebaut und gesichert werden. Ist ein Ausbau des Speichermediums nicht möglich, so
kann alternativ der zu sichernde Rechner mit einem speziell vorbereiteten Bootmedium
gestartet werden, das nur lesend auf das System zugreift und keine Veränderungen durchführt, um die Datensicherung durchzuführen. Die eigentliche forensische Untersuchung
fokussiert auf die Analyse der so erzeugten Abbilddateien. Durch das Erzeugen eines
Images wird eine bitgenaue Kopie des Originaldatenträgers erstellt. Somit ist die Phase der Beweisaufnahme nicht mehr zeitkritisch. Wann die Daten ausgewertet werden, ist
zweitrangig. Auf die erzeugten Kopien kann jederzeit zugegriffen werden.
Die Datenanalyse kann zudem in vielen Fällen effizienter durchgeführt werden als im
Fall der Live-Response-Analyse. Mehrere Ermittler können voneinander unabhängig forensische Auswertungen durchführen. Hierfür muss lediglich ein weiteres Duplikat der
Speichermedien aus den Imagedateien erzeugt werden. Ein zusätzlicher Vorteil der Postmortem-Analyse ist, dass das betroffene System schon nach dem Anfertigen der Kopien
sofort wieder in Betrieb genommen werden kann. Des Weiteren besteht nicht die Gefahr,
dass Daten beschädigt oder verändert werden und dadurch die Beweiskraft der Daten
verloren geht. Wie bereits ausgeführt, müssen Veränderungen an den erstellten Kopien
zweifelsfrei erkennbar, somit tamper-evident, sein.
Kryptografische Hashfunktionen
Die Möglichkeit, nachträgliche Manipulationen an digitalen Beweismitteln erkennen zu
können, besteht darin, die zu sichernden Daten durch Berechnung eines Hashwerts inhaltlich überprüfbar zu machen. Die dafür verwendeten Hashfunktionen spielen eine zentrale
Rolle im Datensicherungsprozess. Der Hashwert ist wie ein digitaler Fingerabdruck für
eine Datenquelle.Technisch gesehen handelt es sich um mathematische Funktionen, die
als Eingabe eine Zeichenfolge nahezu beliebiger Länge Z entgegennehmen und daraus
einen Ausgabewert fester Länge, den Hashwert H(Z), berechnen. Für den erzeugten Wert
gilt, dass es nicht effizient möglich sein sollte, von H(Z) auf den ursprünglichen Wert von
Z zu schließen (Einwegeigenschaft).
Außerdem sollte es nicht effizient möglich sein, ein Paar Z; Z 0 mit ZŠ D Z 0 zu
erzeugen, bei dem H D .Z/; H D .Z 0 / gilt. Diese zweite Eigenschaft wird als Kollisionsresistenz bezeichnet. Dadurch ist sichergestellt, dass eine Zeichenfolge nicht einfach
durch eine zweite ersetzt werden kann, der zufällig der gleiche Hashwert zuordenbar ist.
Vielmehr sollte bereits die Änderung eines einzigen Bits im Eingabestrom erkannt und zu
einem komplett anderen Hashwert führen. Jede Manipulation wird somit leicht nachweisbar. Aktuell verwendete Hashingsverfahren im forensischen Umfeld sind MD5, SHA1 und
SHA2 (Tab. 5.2). Im Jahr 2004 wurden mehrere erfolgreiche Angriffe (praktische Kollisionen) gegen das weit verbreitete MD5 gemeldet. Im Jahr 2013 wurde ein besonders
schnelles Verfahren entwickelt, mit dem eine MD5-Kollsion mit einem handelsüblichen
PC in weniger als einer Sekunde erzeugt werden kann [30]. Obwohl viele forensische
Werkzeuge noch immer MD5-Unterstützung anbieten, sollte darauf verzichtet werden, da
Manipulationen nicht mehr auszuschließen sind. Für SHA-1 ist bislang nur theoretisch
eine Kollision mit großem Aufwand zu erzeugen. Um ganz sicher eine Manipulation auf-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
127
Tab. 5.2 Wichtige kryptografische Hashingverfahren
Name
SHA-1a
SHA-2
SHA-3
MD5b
MD6
a
b
Ausgabegröße
160 Bit
512/384 Bit
512/384 Bit
128 Bit
bis 512 Bit
Nachrichtengröße
264 1
2128 1
2128 1
264 1
264 1
Kollisionen
keine (252 Angriff)
keine bekannt
keine bekannt
ja (218 Angriff)
keine bekannt
SHA – Secure Hash Algorithm
MD5 – Message Digest Algorithm 5; unsicher, sollte nicht mehr verwendet werden
decken zu können, werden in der Praxis zumeist mehrere Hashwerte für den gleichen
Datenträger mit unterschiedlichen Verfahren erzeugt (Tab. 5.2).
Unter Linux können Hashwerte für Datenträger mit den Programmen sha1sum und
md5sum bestimmt werden. Sind die Ausgaben sowohl für das Quelllaufwerk sowie die
Kopie gleich, so war die Duplizierung fehlerfrei:
$ sudo sha1sum /dev/sda1
0d6b34851f9ddae1da3956fdc151c89129df640b
/dev/sda1
$ sudo sha1sum image.dd
0d6b34851f9ddae1da3956fdc151c89129df640b
image.dd
Ablauf der Datenträgersicherung
Zu Beginn einer Datensicherung, noch bevor die entsprechenden Hashwerte erstellt und
verifiziert wurden, sind grundsätzlich noch Manipulationen am Beweismittel möglich.
Deshalb muss gerade in dieser Phase ein Vier-Augen-Prinzip gelten. Zusätzlich ist der
gesamte Vorgang ausführlich zu dokumentieren. Bei der Sicherung der Beweise gilt zunächst der Grundsatz: Alles sichern - nichts verändern! Schon bei der Bewertung der
möglichen Relevanz der Daten für die Ermittlung können viele Fehler passieren, die
es zu vermeiden gilt. Übersieht der mit der Sicherung betraute Ermittler eine wichtige Datenquelle, so kann die Aufklärung des gesamtes Tatbestandes gefährdet oder ganz
unmöglich gemacht werden. Stellt der Forensiker auf der anderen Seite zu großzügig Daten sicher, kann auch dies durchaus negative Folgen haben, beispielsweise wenn dadurch
Datenschutzbestimmungen verletzt wurden. Um etwaige ungewollte Manipulationen zu
verhindern, wird der Ermittler für das Anfertigen der Kopie nach Möglichkeit immer einen
sogenannten Writeblocker verwenden. Diese spezielle Hardware wird zwischen das zu
duplizierende Speichermedium und das Computersystem, mit dem das Duplikat erzeugt
werden soll, zwischengeschaltet. Seine Aufgabe besteht darin, Schreibzugriffe auf den
Original-Datenträger zu unterbinden und seine Integrität abzusichern. Der Sicherungsprozess beginnt in der Regel mit der Bildung entsprechender Hashwerte für das betreffende
Quelllaufwerk. Daran schließt sich dann die eigentliche Imageerstellung an. Hierfür existiert eine Vielzahl an Werkzeugen. Natürlich muss auch von der erzeugten Abbilddatei
128
D. Pawlaszczyk
Abb. 5.4 Schritte bei der Sicherung von Datenträgern
wiederum der Hashwert bestimmt werden. Nur dann, wenn die Prüfsummen von Quelllaufwerk und Imagedatei übereinstimmen, liegt wirklich eine bitgenaue Kopie vor. Diese
ist auch gerichtsfest. Die einzelnen Schritte zur Sicherung von Datenträgern sind nochmal
in Abb. 5.4 zusammengefasst.
Forensische Dateiformate
Für die Erzeugung einer Imagedatei kommen grundsätzlich verschiedene Formate infrage.
Zumeist greift man dabei aber auf Formate zurück, die von allen gängigen forensischen
Werkzeugen erkannt und bearbeitet werden können. Die wichtigsten werden an dieser
Stelle kurz besprochen:
RAW-Format. Bei diesem Dateiformat werden die zu sichernden Daten tatsächlich
bitweise kopiert, sonst aber nicht verändert oder ergänzt. Zumeist trägt die Imagedatei
eine der Endungen raw, dd, img oder dmg. Speziell unter dem Betriebssystem Linux
ist die Erstellung einer Imagedatei im RAW-Format kinderleicht. Da Linux Datenträger
und Speicher über Gerätedateien verwaltet, kann durch das Kommando dd der Inhalt
einer Eingabedatei direkt in eine Ausgabedatei kopiert werden. Die Eingabequelle ist in
diesem Fall einfach ein Datenträger und nicht eine Datei. Das Format wird von nahezu
jedem forensischen Werkzeug unterstützt.
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
129
Exper-Whitness-Format. Das zweite, sehr weit verbreitete Format für forensische Datenträgersicherung ist das Expert-Whitness-Format (EWF), das von der Firma EnCase
im Jahr 1998 eingeführt wurde. Es hat sich zwischenzeitlich als Quasistandard für die
Speicherung von forensischen Images etabliert. Das Format wird von vielen forensischen Werkzeugen und quelloffenen Anwendungen unterstützt. Die meisten Tools
können aktuell die Version 1 von EWF verarbeiten. Diese Version ist allerdings etwas
limitiert. So war bis zur Version 5 der Encase-Suite die maximale Dateigröße auf 2 GB
beschränkt aufgrund der intern verwendeten Datei-Offset-Größe von lediglich 31 Bit.
Mit Encase 7 wurde das neue EnCase-Evidence-File-Format Version 2 eingeführt. Als
zusätzliche Features unterstützt dieses Format eine verbesserte Komprimierung und eine Verschlüsselung der gesicherten Daten mit AES-256. Der große Vorteil von EWF
besteht darin, dass zusätzlich zu den eigentlichen Rohdaten auch Metadaten zum Fall
abgelegt werden können. Es ist beispielsweise möglich, Informationen wie das Aktenzeichen des Falls, die Asservatennummer und den Namen des ausführenden Ermittlers
direkt in der Imagedatei zu speichern.
Advanced-Forensics-Format. Das dritte, sehr weit verbreitete Format ist das Advanced Forensics Format (AFF). Es wurde ursprünglich von Simson Garfinkel entwickelt
und ist zwischenzeitlich in der Version 4 verfügbar. Im Unterschied zu EWF wurde
AFF von Beginn an als offener und erweiterbarer Standard geplant. In den aktuellen Versionen werden zudem Kompression und Verschlüsselung unterstützt. Auch bei
diesem Format können Metadaten erfasst und zusammen mit der Kopie innerhalb einer -DDatei abgelegt werden. Wenngleich AFF sich in gegenüber EWF bislang nicht
durchsetzen konnte, wird es dennoch von vielen auch kommerziellen Programmen unterstützt.
Software für die Datenträgersicherung
Die Erstellung einer forensischen Kopie von Datenträgern oder Dateien wird durch eine
Vielzahl an Programmen unterstützt. Unter dem Betriebssystem Linux kann ein Image der
Festplatte beispielsweise mit dem Kommando dd erstellt werden:
$ dd if=/dev/sda of=kopie.img
Ein forensisches Abbild kann somit sehr leicht erzeugt werden. Im Beispiel wird eine bitweise Kopie der ersten Festplatte am ersten IDE-Port/SATA-Platte (Gerätedatei: /dev/sda)
durchgeführt. Die Daten werden in die unter dem Parameter of angegebene Imagedatei
kopie.img abgelegt. Das dd-Kommando wird ohne weitere Rückfragen oder Sicherheitsabfragen ausgeführt. Das ist nicht ganz unproblematisch, da bei unachtsamem Gebrauch
eventuell vorhandene Daten überschrieben werden können.
Mit dem vorgestellten dd-Kommando lässt sich ein Datenträger sehr leicht duplizieren.
Tritt allerdings beim Kopieren ein Lesefehler auf, so bricht der Kopiervorgang ab. Selbst
wenn sich das Programm nicht beendet, werden die Lesefehler nicht forensisch korrekt dokumentiert, da dd keine Fehlerbehandlung anbietet. Jeder Lesefehler führt zwangsläufig
dazu, dass das Original von der Kopie abweicht. Quelle und Ziel könnten sich im Extrem-
130
D. Pawlaszczyk
fall unterscheiden, ohne dass wir einfach feststellen könnten, wo genau die Unterschiede
liegen und wie sie entstanden sind.
Das geschilderte Verhalten, das speziell im Hinblick auf forensische Anwendungen
nicht ganz unproblematisch ist, kann aber durch andere Kommandos unter Linux gelöst
werden. So existieren gleich mehrere Programme, die sich kaum funktionell unterscheiden
und die die notwendige Fehlertoleranz besitzen. Exemplarisch sollen an dieser Stelle zwei
Alternativen besprochen werden: ddrescue und ddrescue.
ddrescue. Entspricht im Wesentlichen dd mit dem Unterschied, dass das Tool daraufhin
optimiert ist, fehlerhafte Sektoren trotz eines Fehlers zu kopieren. Dazu kann beispielsweise über einen Parameter die Anzahl an maximalen Wiederholungsversuchen definiert
werden:
$ ddrescue -direct -retrim -max-retries=5 /dev/hda img.dd log.txt
Zusätzlich wird in einer Logdatei (der letzte Parameter im Beispiel) in Textform festgehalten, welche Bereiche trotz mehrfacher Versuche nicht lesbar waren. Somit wird
nachvollziehbar, in welchen Bereichen sich Original und Kopie unterscheiden, ohne das
gesamte Kopierergebnis infrage stellen zu müssen. Dem forensischen Dokumentationsanspruch wird dadurch Genüge getan. Abweichungen zwischen Kopie und Original sind
klar begründet und nachvollziehbar.
dd_rescue. Bei dem Werkzeug dd_rescue handelt es nicht, wie der Name vermuten lassen würde, um eine Variante des zuvor besprochenen ddresuce, sondern um eine eigenständige Entwicklung. Auch dieses Tool ermöglicht die Datenrettung und erweitert das
dd-Kommando um für die forensische Datensicherung notwendige Funktionen. Im Unterschied zu ddrescue kann dd_rescue allerdings nicht nur mit Blockgeräten umgehen.
Es können auch normale Dateien verarbeitet und kopiert werden. Die Daten können bei
Bedarf zusätzlich komprimiert werden. Eine Fernsicherung über eine verschlüsselte Netzwerkverbindungen wird ebenfalls unterstützt.
dd_rescue /dev/sda1 - | ssh benutzer@sicherungsrechner
cat - > /verzeich/datei.img
In diesem Beispiel wird wiederum die erste Festplatte am IDE-Bus gesichert, wobei das
Image über eine ssh-Verbindung in ein Zielverzeichnis auf dem Remote-System abgelegt
wird.
Die vorgestellten Werkzeuge zur Imageerstellung haben den Vorteil, dass sie mittlerweile in den gängigen Linux-Distributionen enthalten sind oder problemlos nachinstalliert
werden können. Daneben existieren aber auch noch viele andere Anwendungen, mit denen
Datenträger forensisch korrekt gesichert werden können. Für die Imageerstellung unter
Windows bietet sich beispielsweise das Programm FKTImager der Firma AccessData
an.7 Das kostenlos erhältliche Programm lässt sich sehr komfortabel über eine grafische
7
http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.2.0
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
131
Abb. 5.5 Das Programm FTK-Imager bei der Arbeit
Oberfläche bedienen und kann Abbilddateien nicht nur erstellen, sondern auch in das Betriebssystem einbinden (Abb. 5.5). Images einzelner Partitionen lassen sich als logisches
Laufwerk mounten. Das Programm unterstützt dabei alle gängigen forensischen Formate.
Mittlerweile ist man beim FTKImager nicht mehr auf Windows als Betriebssystem angewiesen. Seit Version 2.9 steht dem Anwender eine Kommandozeilenversion für Mac
OSX, Windows und Linux zur Verfügung.
Abschließend sei an dieser Stelle noch das Programm guymager von Guy Voncken
erwähnt, mit dem es ebenfalls möglich ist, forensische Images von Festplatten zu erstellen. Es verfügt über eine grafische Oberfläche und ist ähnlich leicht wie der FTKImager
zu bedienen. Guymager ist unter Linux verfügbar und greift für seine Arbeit auf die
Toolsammlung libewf zurück. Aus dieser Distribution besonders hervorzuheben ist das
Programm ewfquire. Dieses unterstützt unzählige verschiedene Parameter und bietet – im
Unterschied zu den vorher beschriebenen Tools – zusätzlich einen interaktiven Modus.
$ ewfaquire /dev/hda1
Nach dem Start des interaktiven Modus werden die weiteren möglichen Konfigurationsparameter zur Sicherung von /dev/hda1 interaktiv abgefragt.
Untersuchung des Datenträgerabbilds
Mit der Sicherung der Datenträger ist der erste Schritt der Beweisaufnahme abgeschlossen. Wurde, wie im letzten Abschnitt beschrieben, eine bitgenaue Kopie des Datenträgers
erzeugt, so spricht man von einer vollständigen Sicherung. Ein großer Vorteil dieser Si-
132
D. Pawlaszczyk
Abb. 5.6 Schritte der Datenanalyse
cherungsform besteht darin, dass dadurch auch möglicherweise zuvor gelöschte Daten
sichtbar gemacht bzw. wiederhergestellt werden können. Nachdem alle relevanten Datenträger erfasst und auf entsprechenden Sicherungsmedien untergebracht sind, kann der
eigentliche Analyseprozess beginnen. Dieser Vorgang wiederum lässt sich in verschiedene
(Teil-)Schritte zerlegen. Zunächst muss bestimmt werden, welche Daten sich auf den sichergestellten Speichermedien befinden, ob Partitionen und Dateisysteme vorhanden sind
oder diese möglicherweise formatiert wurden. Begonnen wird in der Regel zunächst mit
einer physischen Analyse des Mediums. Daran schließt sich im nächsten Schritt die Suche nach logischen Laufwerken (Partitionen), die auf dem Datenträger abgelegt sind, an.
Sind Laufwerke und Partitionen bekannt, wird in der nächsten Phase das Dateisystem eingehend analysiert, um die auf dem Datenträger gespeicherten Dateien zu identifizieren.
Im letzten Schritt schließlich müssen die gefundenen Daten gesichtet, gefiltert und mit
Blick auf ihre Relevanz hin bewertet werden. In diesem Aggregationsschritt ist zu klären, um welche Arten von Daten es sich konkret handelt. Im Rahmen der Datenerhebung
wird zudem versucht, möglicherweise gelöschte und versteckte Daten zu rekonstruieren.
Die angesprochenen Schritte sind in Abb. 5.6 nochmals dargestellt. Jeder Schritt wird im
Folgenden nochmals genauer vorgestellt.
Physische Medienanalyse
Mit diesem Schritt beginnt i. d. R. die Spurensuche. Hierbei wird zunächst die physische
Struktur des Datenträgers näher untersucht und die Datensektoren des Speichermediums
analysiert. In diesem Zusammenhang sind speziell die nicht belegten Bereiche von Bedeutung. Für die forensische Arbeit sind speziell die sogenannten Slack-Bereiche auf dem
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
133
Abb. 5.7 Zusammensetzung des File-Slacks innerhalb eines Clusters
Datenträger interessant. Hier können nicht selten wichtige Informationen versteckt sein.
Ein Speichermedium ist normalerweise in Sektoren unterteilt. Ein Datenträger ist für das
Betriebssystem eine Folge aufeinanderfolgender Sektoren. Die typische Größe für einen
Sektor beträgt 512 Byte. Mehrere Sektoren werden wiederum logisch zu einem Cluster
zusammengefasst. Bei blockorientierten Geräten wie Festplatten wird jeweils ein Cluster gelesen bzw. geschrieben. Ein Sektor kann somit als die kleinste vom Betriebssystem
adressierbare logische Datenspeichereinheit angesehen werden.
Die Daten werden in Cluster gespeichert, wobei jedes Datencluster eine festgelegte
Größe besitzt. Diese variiert je nach verwendetem Dateisystem. Wird nun eine Datei gespeichert, so deckt sich diese in der Regel nie exakt mit der Größe des Clusters. Speichert
man beispielsweise ein 1000 Byte große Datei in ein Datencluster, dessen Standardgröße
4096 Bytes beträgt, so entsteht eine Lücke von 3096 Byte. Diese Lücken werden von den
einzelnen Betriebssystemen unterschiedlich behandelt. Häufig werden diese Bereiche mit
Nullbytes, zum Teil mit zufälligen Werten oder aber mit Daten aus dem Hauptspeicher
beschrieben. Der Grund für das offenbar willkürliche Beschreiben nicht genutzter Datenbereiche ist ganz einfach: Da Festplatten blockorientierte Speichergeräte sind, können sie
jeweils nur ganze Cluster lesen bzw. schreiben. Beim Schreiben muss das Betriebssystem
deshalb den Leerraum entsprechend füllen. Die so entstehenden nicht genutzten Datenbereiche auf dem Datenträger werden als File-Slack bezeichnet.
Unter dem Betriebssystemen DOS und älteren Versionen von Windows wurden zum
Füllen der Leerbereiche beispielsweise RAM-Inhalte verwendet, weshalb man auch heute noch vom sogenannten RAM-Slack spricht. Dieser erstreckt sich in der Regel bis zur
Sektorgrenze. Die verbleibenden nicht beschriebenen Bereiche des Clusters werden im
Unterschied dazu als Drive-Slack bezeichnet (Abb. 5.7).
In allen genannten Slackbereichen können sich wiederum Fragmente alter Daten befinden. Mit dem Wissen über existierende File-Slack-Varianten ist es mitunter möglich,
wichtige Informationen wiederherzustellen. So können nicht nur sensible Daten wie Benutzernamen und Passwörter gefunden werden. Sehr häufig lässt eine Analyse der Datensektoren sowie der darin enthaltenen Cluster Rückschlüsse darauf zu, für welche Zwecke
ein Rechner in der jüngeren Vergangenheit verwendet wurde.
134
D. Pawlaszczyk
Laufwerksanalyse
Innerhalb dieses Analyseschrittes wird in der Regel zunächst der logische Aufbau des
Datenträgers untersucht. Datenträger sind in logische Abschnitte, die sogenannten Partitionen, unterteilt. Die Information, welche Partitionen sich konkret auf einem Datenträger
befinden, sind wiederum in einer Partitionstabelle abgelegt. Diese Datenstruktur befindet
sich in den ersten Sektoren des Datenträgers. Alle notwendigen Informationen, wie Länge
sowie Anfang und Ende der jeweiligen Datenbereiche, lassen sich hier finden. Normalerweise speichert die Partitionstabelle auch Informationen über den Inhalt der Partition. So
kann beispielsweise ermittelt werden, ob es sich um eine bootbare Partition mit Betriebssystem handelt bzw. welches Dateisystem innerhalb der Partition zum Einsatz kommt. Mit
dem Kommando mmls aus der Sleuth Kit Distribution8 können unter Linux die Partitionstabelle gelesen und die darin enthaltenen Dateisysteme sichtbar gemacht werden:
$ sudo mmls /dev/sda
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot
00:
01:
02:
03:
04:
05:
06:
07:
08:
09:
Meta
----Meta
Meta
01:00
----Meta
Meta
02:00
-----
Start
000000000
000000000
000002048
000002048
000004096
470816768
470816955
470816955
470818816
488396800
End
000000000
000004095
488396799
000002048
470816767
470818815
488396799
470816955
488396799
488397167
Length
000000001
000004096
488394752
000000001
470812672
000002048
017579845
000000001
017577984
000000368
Description
Primary Table(#0)
Unallocated
DOS Extended(0x05)
Extended Table(#1)
Linux (0x83)
Unallocated
DOS Extended(0x05)
Extended Table(#2)
Linux Swap
Unallocated
Wie in der Beispielausgabe des Programms zu sehen ist, befindet sich die Partitionstabelle im ersten Sektor der Festplatte. Darüber hinaus lassen sich noch zusätzliche erweiterte
Partitionstabellen finden (Slots 02 und 07). Auch die eigentlichen Datenpartitionen, im
Beispiel eine Linux-Partition sowie ein Swapbereich, sind zu erkennen. Zusätzlich befinden sich auch noch mehrere nicht belegte bzw. nichtallozierte Bereiche (unallocated) auf
dem Datenträger. Dieser Versatz wird auch als Partition-Slack bezeichnet.
Partition-Slack
An diesem Beispiel wird auch ersichtlich, wie wichtig es ist, dass nach Möglichkeit (und
abhängig vom Untersuchungsziel) immer der komplette Datenträger gesichert wird. Dies
hat zum einen den Grund, dass es einerseits versteckte Partitionen geben könnte, die einen
nicht erkennbaren Dateisystemtyp beinhalten. Diese Technik wird üblicherweise von diversen Schadprogrammen verwendet, um sich vor den Blicken neugieriger Virenscanner
zu verbergen. Oftmals entstehen im Verlauf einer Neupartitionierung des Datenträgers un8
http://www.sleuthkit.org/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
135
Abb. 5.8 Kategorien für Datenartefakte auf Datenträgern. (In Anlehnung an B.Carrier [8])
gewollt oder zum Teil auch gewollt (durch bewusste Manipulation), die bereits erwähnten
Slack-Spaces. Speziell in diesen Bereichen können sich wiederum Daten befinden, die für
eine forensische Untersuchung interessant sind. Slackbereiche können somit auch dann
zu finden sein, wenn das Ende einer Partition und der Anfang der nächsten nicht direkt
aufeinander folgen.
Dateisystemanalyse
An die Laufwerksanalyse schließt sich normalerweise die Untersuchung der gefundenen Dateisysteme, soweit vorhanden, an. Eine genaue Kenntnis über das Dateisystem
erlaubt den Zugriff auf Struktur- und Nutzerdaten sowie die Rekonstruktion von Vorgängen auf dem Dateisystem, ohne über das eigentliche Betriebssystem zugreifen zu müssen.
In Carrier [8] wird ein Referenzmodell für Dateisysteme vorgestellt. Demnach lassen sich
grob fünf Kategorien von Datenartefakten unterscheiden, die normalerweise auf einem
Datenträger gefunden werden können (vgl. Abb. 5.8): Dateisystemdaten (Filesystem Data), Inhaltsdaten (Content Data), Metadaten (Meta Data), Dateinamen (File Names) sowie
Anwendungsdaten (Application Data). Die Dateisystemdaten liefern allgemeine Informationen über das Dateisystem, wie Größe der Datenblöcke, welche Datenblöcke belegt bzw.
frei sind. Den typischerweise größten Anteil an Daten bilden die Inhaltsdaten. Sie werden
136
D. Pawlaszczyk
auch als Data Units oder Cluster (unter Windows) bzw. Block (unter Linux) bezeichnet
und beinhalten die eigentlichen Programm- und Anwendungsdaten. Sie sind nicht zu verwechseln mit den Clustern des Speichermediums.
Zusätzlich werden in der Regel Metadaten, wie Speicherort, Größe, Zeitstempel
der letzten Änderung zu den Inhaltsdaten erfasst. Diese Informationen sind unter dem
Linux-spezifischen Dateisystem EXT beispielsweise in den sogenannten INodes abgelegt. Für das Dateisystem FAT32 werden die Metadaten über entsprechende FATVerzeichniseinträge abgebildet. Die Dateinamen wiederum repräsentieren den externen
die Benutzer sichtbaren Namen der Datei. Dabei ist der Dateiname mit dem zuvor erwähnten Deskriptoren (INodes, FAT-Einträge) verknüpft. Schließlich können häufig noch
sogenannte Anwendungsdaten auf dem Datenträger gefunden werden. Diese Datenkategorien enthalten nützliche Zusatzinformationen wie Journaleinträge des Dateisystems
oder beispielsweise Quotastatistiken. In der Regel sind die Anwendungsdaten nicht zwingend für die Verwaltung des Datenträgers erforderlich. Die eigentliche Interpretation der
Dateiinhalte schließlich wird im Rahmen der Anwendungsanalyse durchgeführt (Abschn. 5.3.4).
Datenträgeranalyse mit dem Sleuth Kit
Die zuvor beschriebenen Analyse des Dateisystems wird unter anderem durch die Toolsammlung The Sleuth Kit9 unterstützt. Diese Distribution stellt eine Reihe von Werkzeugen bereit, die von der Kommandozeile aus gestartet werden und mit denen umfangreiche
forensische Untersuchungen an Festplatten und Festplattenimages durchgeführt werden
können. Mit dem Befehl ffstat lassen sich beispielsweise Details des zu analysierenden
Dateisystems ausmachen. Mit dem Kommando ffind kann der Forensiker Dateistrukturen
und allozierte bzw. nichtzugewiesene Dateinamen, die auf Metadatenstrukturen verweisen, identifizieren; wohingegen das Kommando fls allozierte und gelöschte Dateinamen
im angegebenen Verzeichnis anzeigt. Tools zur Analyse der Metadatenebene sind durch
ein vorangestelltes i zu erkennen. So listet etwa ils die bereits besprochenen Metadatenstrukturen und den zugehörigen Inhalt auf. Mittels icat können Dateneinheiten einer Datei
anhand ihrer Metadatenadressen extrahiert werden. Mit ifind ist es wiederum möglich, zu
einem gegebenen Dateinamen die passenden Metadaten zu finden, ebenso wie Metadaten,
die auf eine bestimmte Dateneinheit verweisen. Statistiken und Details zu Anwendungsdaten lassen sich mit dem Kommando istat ermitteln. Im folgenden Beispiel wird der
Datenblock mit der Nummer 200 aus der Abbilddatei image.dd eines Datenträgers untersucht:
$ istat image.dd 200
inode: 200
Not Allocated
uid / gid: 1000 / 1000
mode: rw------size: 92
9
http://www.sleuthkit.org/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
num of links: 1
Modified:
Accessed:
Changed:
Direct Blocks:
01.11.2015 17:09:49
01.11.2015 17:09:58
01.11.2015 17:09:49
68382
137
(GMT+0)
(GMT+0)
(GMT+0)
So lässt sich beispielsweise feststellen, dass der Datenblock momentan nicht alloziert ist
und wann er zuletzt geändert oder auf ihn zugriffen wurde. Auf diese Weise kann beispielsweise eine detaillierte Zeitreihenanalyse über Schreib- bzw. Lesevorgänge auf den
zu untersuchenden Datenträger erstellt werden.
5.3.3 Datenrekonstruktion mittels Carving
Nicht selten trifft der IT-Forensiker auf einen Datenträger, dessen Dateisystem beschädigt ist oder formatiert wurde. Teilweise wurden Dateien vom Tatverdächtigen kurz zuvor einfach gelöscht. Auch solche scheinbar verlorenen Dateninhalte können nicht selten
wieder sichtbar gemacht werden. Beim Löschen einer Datei beispielsweise entfernt das
Betriebssystem in der Regel lediglich den Verweis auf die Datei aus den Tabellen des
Dateisystems. Der dadurch nicht länger allozierte Speicherbereich kann zu einem späteren Zeitpunkt gegebenenfalls mit neuen Daten überschrieben werden. In der Zwischenzeit
sind die alten Daten aber nach wie vor vorhanden. Ähnlich verhält es sich, wenn der Datenträger formatiert wird.
Die Möglichkeit, an verschiedenen Stellen des Dateisystems oder der Festplatte Datenfragmente zu finden, auch dann, wenn keine Dateieinträge mehr vorhanden sind, kann sich
der Ermittler zu eigen machen. Oft lassen sich diese einzelnen Fragmente mit einem als
File Carving bekannten Verfahren wieder zu einer Datei zusammensetzen. Das Carving
wird unter Verzicht auf Metadaten durchgeführt. Die Suche nach Dateifragmenten bezieht
sich primär auf die nicht-allozierten Bereiche innerhalb und außerhalb des Dateisystems
(File-System-Slack) sowie innerhalb und außerhalb der Partition (Partition-Slack). Im besten Fall sind die wiederherzustellenden Dateien nicht fragmentiert, d. h., alle zu der Datei
gehörenden Daten befinden sich in aufeinanderfolgenden Datenblöcken auf dem Datenträger. In diesem Fall kann zunächst der Kopf (engl. header) und anschließend das Ende
(engl. footer) der Datei lokalisiert werden. Anschließend sind alle Datenblöcke die zwischen Header und Footer stehen auszulesen, um die Datei wiederherstellen zu können. Für
die beschriebene Suche nach Dateifragmenten werden zumeist signaturbasierte Verfahren
eingesetzt. Dabei wird der Umstand genutzt, dass jede Dateiart, gleich ob es sich um eine Bildatei, ein PDF-Dokument oder eine Word-File handelt, fast immer ein bestimmtes
Dateiformat bzw. einen bestimmten Aufbau hat. Eine JPEG-Bilddatei beispielsweise beginnt immer mit der charakteristischen hexadezimalen Bytefolge 0xFFD8FF (Abb. 5.9).
Das Ende der Bilddatei wird wiederum durch Bytefolge 0xFFD900 markiert. Für fast
jedes Dateiformat lassen sich in der Regel charakteristische Bytefolgen (Signaturen) bestimmen. In Tab. 5.3 sind einige Datenformate und die ihnen zuordenbaren Header- bzw.
138
D. Pawlaszczyk
Abb. 5.9 Signatur (Header) einer JPEG-Datei im Hex-Editor
Tab. 5.3 Signaturen für verschiedene Dateiformate
Format
Dateiendung Header
Portable Graphic
.jpg
0xFFD8FF
Graphic Interchange Formata .gif
0x474946383761
0x474946383961
Portable Document Format
.pdf
0x25504446
ZIPb
.zip
0x504B0304
MS-Doc-Format(97/98-2003) .doc
0xD0CF11E0A1B1
a
b
Footer
0xFFD900
0x003B
0x0A2525454F460A
0x504B0506??????
k. A.
Der Header ist länger und kann enthält zusätzlich EXIF-Informationen
? = Wildcard-Byte, 18 Bytes insgesamt
Footerinformationen exemplarisch dargestellt. Für einige Dateiformate lässt sich mitunter
kein eindeutiger Footer bestimmen. Das gilt beispielsweise für Word-Dokumente. Diese
verfügen über keine spezifische Endesequenz. Entsprechend muss in diesem Fall versucht werden, die Dateigröße anderweitig zu bestimmen. Mitunter ist die Gesamtgröße
der Datei bereits in den Kopfdaten des Dokuments hinterlegt.Zum Teil lassen sich auch
sogenannte Landmarks identifizieren, über die auf den Beginn oder das Ende einer Datei gefolgert werden kann. Diese treten immer an einer bestimmen Stelle im Datenformat
auf. Eine weitere Möglichkeit bietet eine Entropieanalyse. In diesem Fall wird der mittlere
Informationsgehalt bzw. die Informationsdichte für die auf dem Speichermedium befindlichen Datenblöcke bestimmt. In Abb. 5.10 sind beispielhaft die Entropiewerte für einzelne
Datenblöcke auf einem Datenträger berechnet worden. Ab Block 1200 steigt die Entropie plötzlich an. Ändert sich der Informationsgehalt des zuletzt gelesenen Blockes im
Vergleich zum Durchschnitt plötzlich sprunghaft, so deutet das auf das Ende der Datei
hin. Schwierig hingegen wird es, wenn die Datei aufgrund ihrer Größe in unterschiedlichen Bereichen das Datenträgers verteilt gespeichert wurde. Eine starke Fragmentierung
erschwert die programmgestützte Suche erheblich. In diesem Fall bleibt häufig nur eine manuelle Analyse mit dem Hex-Editor. Bei der Extraktion der Daten gilt, wie schon
mehrfach erwähnt, dass die Wiederherstellung unbedingt an einem forensischen Duplikat vorgenommen werden sollte. Muss hingegen am laufenden System gearbeitet werden,
sollten die wiederhergestellten Daten dann auf einem separaten Dateisystem gespeichert
werden, da sonst ja der unallozierte Bereich (den man eigentlich extrahieren will) wie-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
139
Abb. 5.10 Berechnete Entropiewerte für Datenblöcke eines Speichermediums
der überschrieben würde. Dies ist selbstverständlich zu unterbinden. Alternativ kann in
diesem Fall auch eine RAM-Disk eingerichtet werden.
Nicht unerwähnt bleiben sollte die Möglichkeit über Antiforensikmethoden, die Extraktion von vermeintlich gelöschten Dateien zu verhindern. Eine wirksame Methode
besteht beispielsweise darin, die betroffenen Datenbereiche mehrfach zu überschreiben
und mit echten zufälligen Bitmustern oder auch Nullen zu füllen. Dieses Verfahren wird
auch als Wiping bezeichnet.
Carving mit Scalpel
Es gibt verschiedene kommerzielle als auch quelloffene Tools, mit denen gelöschte Datei und Datenfragmente extrahiert werden können. An dieser Stelle soll kurz auf das
Tool Scalpel10 eingegangen werden. Es ist für alle gängigen Betriebssysteme verfügbar
und kann zur Auswertung von Header- und Footer-Informationen eingesetzt werden. Es
arbeitet mit einem signaturbasierten Ansatz und erlaubt das Finden und die Extraktion gelöschter Daten von physischen Datenträgern oder Imagedateien. Bevor Scalpel verwendet
werden kann, muss das Programm konfiguriert werden, da standardmäßig alle Dateitypen deaktiviert sind. Hierfür muss unter Linux die Datei /etc/scalpel/scalpel.conf editiert
werden. Um beispielsweise GIF- oder JPEG-Dateien wiederherstellen zu können, sind die
Signaturen für das Dateiformat z zu aktivieren:
$ vi /etc/scalpel/scalpel.conf
#case
size
header footer
# GIF and JPG files (very common)
10
www.digitalforensicssolutions.com/Scalpel
140
D. Pawlaszczyk
gif y 5000000
\x47\x49\x46\x38\x37\x61
\x00\x3b
gif y 5000000
\x47\x49\x46\x38\x39\x61
\x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10
\xff\xd9
# Outlook files
# pst
y
500000000 \x21\x42\x4e\xa5\x6f\xb5\xa6
# ost
y
500000000 \x21\x42\x44\x4e
Anschließend können Dateien aus einer Datei oder Laufwerk extrahiert werden:
$ scalpel /dev/sda1 -o output
In diesem Beispiel wird die erste Partition nach Dateisignaturen durchsucht. Mit dem
Parameter o wird das Ausgabeverzeichnis festgelegt. Alle wiederhergestellten Dateien
werden in dieses Verzeichnis gespeichert. Zusätzlich wird eine Auditdatei im Zielordner
angelegt, welche u. a. den vollständigen Kommandozeilenaufruf, den Beginn und das Ende des Programmlaufs und die extrahierten Dateien enthält.
5.3.4 Kategorisierung und Filterung der Datenartefakte
Nachdem, wie im letzten Abschnitt beschrieben, alle Daten gesichert und erfasst wurden,
müssen im nächsten Schritt der Ermittlungen die gefundenen Daten überprüft werden.
Dieser Vorgang ist im Vergleich zur physischen Analyse des Speichermediums auf einer
höheren Abstraktionsstufe angesiedelt, da er auf die Inhalte der Daten abstellt.
Nicht selten muss der IT-Forensiker riesige Datenmengen untersuchen und bewerten.
Die Herausforderung besteht in diesem Fall darin, eine sinnvolle Strukturierung, Filterung
und Aggregation der Daten vorzunehmen. Ziel sollte es sein, die Menge an vorliegenden
Daten möglichst effektiv auf die Artefakte einzugrenzen, die für den aktuellen Fall von
Relevanz sind, ohne dabei wichtige Spuren zu übersehen.
Forensisch bedeutsame Datenkategorien
Hierfür erweist es sich als sinnvoll, die Daten zunächst zu kategorisieren. Durch die Zuordnung der gefundenen Daten zu einer konkreten Datenkategorie verringert sich die
Komplexität des Problems, getreu dem Motto: Teile ein Problem, und du hast es zur Hälfte
gelöst. Für den forensischen Untersuchungsprozess lassen sich grob die folgenden Datenkategorien unterscheiden:
Programmdaten. In diese Kategorie fallen alle ausführbaren Programmdateien sowie
Funktionsbibliotheken. Der Inhalt dieser Daten bleibt zumeist unverändert. Sie werden
zur Ausführung der Anwendungen auf dem Rechner benötigt. Diese Kategorie kann
insbesondere dann von Interesse sein, wenn es um die Erkennung von Schadsoftware
geht, da sich diese bevorzugt in Binärdateien des Betriebssystem bzw. in ausführbare
Anwendungen einhängt. Nicht selten verschafft sich ein Angreifer so Zugriff auf ein
System.
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
141
Systemdaten. Das System erzeugt darüber hinaus im Hintergrund weitere Daten, die
zur besseren und effizienteren Verarbeitung der Anwendungsdaten genutzt werden.
Beispiele für diese Datenkategorie sind Indizes, Journaleinträge oder Cachedaten.
Auch diese Artefakte können mitunter sehr viel über die Aktivitäten eines Nutzers auf
dem System verraten und werden häufig bei einer Bereinigung des Systems von den
Verdächtigen übersehen.
Anwendungsdaten. Hierunter werden im Folgenden jene Daten verstanden, welche
die Anwendung (Textverarbeitungsprogramm, Mail-Client, Browser) primär verarbeitet und die durch die Nutzung von Programmen erzeugt, verändert oder gelesen werden. Es handelt sich um die im eigentlichen Sinne vom Anwender erzeugten Daten. Der
Fokus der Ermittlungen liegt in vielen Fällen auf dieser Datenkategorie, um beispielsweise einem Tatverdächtigen den Besitz illegaler Dateninhalte nachweisen zu können.
Sonstige Nutzerdaten. Jeder Benutzer eines IT-Systems erzeugt darüber hinaus Daten, die für den Betrieb einer Anwendung nicht zwingend notwendig, aber häufig sehr
hilfreich sein können. Dazu zählen beispielsweise Kontaktlisten, Lesezeichen in Webbrowsern, Historiendaten mit den zuletzt verwendeten Anweisungen, Daten über den
letzten Aufruf eines Programms oder eine Auflistung der zuletzt geöffneten Dokumente. Diese Datenartefakte sind zumeist in speziellen Dateien im Nutzerverzeichnis
abgelegt.
Konfigurations- und Logdaten. Anwendungen werden über entsprechende Konfigurationsdateien verwaltet. Sie sind durch das Betriebssystem oder Programme veränderbare Daten, die das Systemverhalten und nicht das Kommunikationsverhalten
beeinflussen. Im Systembetrieb werden darüber hinaus Ereignisse, Fehlermeldungen
und Aktivitäten der Benutzer protokolliert und entsprechende Logdaten erzeugt. Gerade diese Daten liefern in vielen Fällen wertvolle Informationen über durchgeführte
Aktivitäten am zu untersuchenden System. Sie sind daher für eine forensischen Untersuchung von besonderer Bedeutung.
Die vorgenommene Aufteilung in unterschiedliche Datenkategorien dient als Voraussetzung, um forensische Datenquellen leichter identifizieren und erfassen zu können. Dieses
Vorgehen ist unabhängig von einem konkreten forensischen Programm zu empfehlen. Im
Rahmen der Spurensuche gilt es, die gefundenen Datei- und Datenfragmente einer der genannten Kategorien zuzuordnen. Dazu gehört gegebenenfalls auch die Umwandlung und
Extraktion von Daten in andere Formate. Häufig ist es beispielsweise notwendig, Archive zu entpacken, oder es muss versucht werden, verschlüsselte Ordner und Dateninhalte
zunächst zu entschlüsseln.
Datenreduktion
Um das zu untersuchende Datenvolumen im Bereich der Programm- und Anwendungsdaten weiter einzugrenzen, bieten einschlägige forensische Werkzeuge zwei Möglichkeiten
an: Whitelisting und Blacklisting. Beim Whitelist-Ansatz werden Programmdaten auf Veränderungen ihres binären Aufbaus hin untersucht. Dazu werden zumeist die Hashwerte
142
D. Pawlaszczyk
bekannter Systemdateien mit den auf den Datenträger gefundenen Dateien abgeglichen.
Erkannte Abweichungen der Hashwerte deuten wiederum auf eine Manipulation dieser
Dateien hin. Beim Blacklisting wird umgekehrt nach Signaturen von bekannten Schadprogrammen wie Trojanern oder Rootkits gesucht. In beiden Fällen müssen die gefunden
Anomalien eingehend untersucht werden. Auf den Webseiten der National Software Reference Library (NSRL)11 werden regelmäßig Datasets mit Hashwerten von Systemdateien
sowie Anwendungsprogrammen veröffentlicht. Diese kann man mit den berechneten Hashwerten der Systemdateien auf dem untersuchten System abgleichen, um Abweichungen
zu bestimmen. Mithilfe des Programms md5deep12 ist es beispielsweise möglich, Hashwerte für einzelne Dateien, aber auch Ordner, berechnen und in eine Datei ausgeben zu
lassen:
$ md5deep.exe -z -r -l -o e -s "%SystemDrive%\*" > hashes.txt
Vielfach müssen die gefundenen Logdateien nicht komplett untersucht werden. Ist beispielsweise genau bestimmbar, in welchen Zeitraum ein Computereinbruch stattgefunden
hat, ist es zumeist ausreichend, sich bei der Analyse auf diesen Zeitraum zu beschränken.
Die genannten Maßnahmen arbeiten somit nach einer Art Ausschlussprinzip. In jedem
Fall können sie dazu beitragen, den Ermittlungsprozess deutlich zu beschleunigen.
Gesucht werden zunächst primär lokal digitale Spuren. Das können beispielsweise
Inhaltsdaten einer Datei (z. B. docx-Dokument, sqlite-Datenbankdatei) sein. Vielfach werden auch Daten aus dem Dateisystem wie Zeitstempel, Journal oder Dateinamen untersucht. Daneben existieren anwendungsspezifische Fragmente wie z. B. Browser-History,
Browser-Cache-Inhalte ebenso wie Einträge aus der Konfigurationsdateien und Einstellungsverwaltung (beispielsweise Einträge in der Windows-Registry) sowie Logdateien
(von lokalen Diensten), die als Spuren dienen können. Die so gefundenen lokalen Spuren von Datenträgern oder Speicherdumps können wiederum Anhaltspunkte für eine sich
anschließende oder gegebenenfalls parallel durchgeführte Spurensuche im Internet sein.
Dabei von Interesse sind beispielsweise lokale Daten von Messagingdiensten, Daten aus
sozialen Netzwerken oder von Cloudanwendungen.
5.4
Verfolgung digitaler Spuren im Netz
Der Verfolgung von Datenspuren im Internet kommt in der Ermittlungsarbeit eine große
Bedeutung zu. Immer häufiger verwenden Kriminelle das Internet und seine Dienste zur
Verabredung, Besprechung sowie Durchführung von Straftaten und Rechtsverstößen [3,
6]. Somit ist gerade in diesem Bereich eine Spurensuche unumgänglich. Dieser Trend
gilt nicht nur für das World Wide Web. Auch Unternehmen und öffentliche Institutionen
digitalisieren immer häufiger ihre Prozesse und erzeugen so eine wahre Datenflut. Nicht
selten werden diese Daten dann in Cloudspeichern abgelegt. Es entstehen somit immer
11
12
http://www.nsrl.nist.gov/
http://md5deep.sourceforge.net/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
143
neue Datenquellen, die als Ursprung für mögliche digitale Spuren in die Fallarbeit einbezogen werden müssen. Die Verarbeitung unstrukturierter und strukturierter Dateninhalte,
deren Integration und Analyse trotz stetig steigender Datenmenge stellt die zentrale Herausforderung für die moderne IT-Forensik dar. Aber auch aus datenschutzrechtlicher Sicht
ist diese Entwicklung nicht ganz unproblematisch. So müssen die Ermittler bedingt durch
die Komplexität, Menge und Heterogenität der Daten sicherstellen, selbst keine Rechtsverstöße zu begehen, indem sie beispielsweise die Daten Unbeteiligter auswerten und auf die
Weise Persönlichkeitsrechte verletzten. Viele dieser Fragestellungen sind bisher wissenschaftlich nur unzureichend durchdrungen. Einige wichtige Aspekte sollen im Folgenden
näher beleuchtet werden.
In den nächsten Abschnitten werden exemplarisch verschiedene, höchst aktuelle und
forensisch sehr spannende Themenfelder vorgestellt: Die Analyse und Rekonstruktion
von Browser-Cache-Inhalten, die Spurensuche in der Cloud, die Sicherung und Auswertung von Messengerdaten sowie die forensische Analyse von Zahlungsströmen im
Bitcoin-Netzwerk. Auch der Problembereich der Spurensuche in sozialen Netzwerken
wird angeschnitten. Jedes Thema wird inhaltlich kurz vorgestellt und aus forensischer
Sicht beleuchtet.
5.4.1
Analyse und Rekonstruktion des Browsercaches
Einer der wichtigsten Anlaufpunkte für den Ermittler ist neben den Systemdateien zunächst der Webbrowser eines Rechners. Ziel ist es dabei in erster Linie, zu rekonstruieren,
welche Webseiten und Webinhalte vom Benutzer eines Computers in der Vergangenheit
aufgerufen wurden. Um für den Anwender das Surfen im Netz so einfach, schnell und
komfortabel wie möglich zu gestalten, legen Browser wie Firefox, Safari, Google Chrome, Internet Explorer und Co. benutzerspezifische Daten auf der lokalen Festplatte ab.
Jeder Browser führt beispielsweise eine Historie über besuchte Seiten, Nutzereingaben
in Formularfeldern, Passwörter, Cookies, Downloads und Lesezeichen. Eine Analyse dieser Cachedaten erlaubt es dem Ermittler sehr häufig, eine Verbindung zwischen einem
bestimmten Computer und einer konkreten Webseite herzustellen.
Der Internetbrowser Mozilla Firefox ist das derzeit in Deutschland meistgenutzte Programm, um auf Internet-Seiten zuzugreifen.13 An dieser Anwendung sollen im Folgenden
beispielhaft die Schritte einer forensische Analyse besprochen werden.
Technischer Hintergrund
Für eine Analyse des Webbrowsers ist es zunächst erforderlich, herauszufinden, wie dieser
seine Daten verwaltet. Im Fall von Mozilla Firefox werden wichtige Informationen in eine
Datenbank geschrieben.
Das Datenbanksystem SQLite14 wird derzeit von einer Vielzahl von Anwendungsprogrammen verwendet, um Datenbestände zu verwalten. Die Internetbrowser Mozilla
13
14
Quelle: https://www.browser-statistik.de/, Stand: Oktober 2015
www.sqlite.org
144
D. Pawlaszczyk
Firefox und Google Chrome sowie die Messenger ICQ und WhatsApp, die Cloudlösung
von Dropbox und der Bildtelefoniedienst Skype sind nur einige Beispiele für Programme,
die auf das quelloffene SQLite zugreifen, um ihre Anwendungs- und Konfigurationsdaten zu verwalten. Aufgrund seines hohen Verbreitungsgrades stellt es damit die weltweit
meistgenutzte Datenbank dar. SQLite ist eine sehr kompakt gehaltene, lokale Datenbank,
die ohne Server betrieben und über die weit verbreitete Abfragesprache SQL angesteuert
werden kann.
Um auf die Datenbank Zugriff zu erhalten, kann man entweder mit der eingebauten
Kommandoshell von SQLite arbeiten oder installiert alternativ einen speziellen Betrachter, von denen zahlreiche sehr gute und zumeist freie Lösungen im Internet bereitstehen.
Ein Beispiel ist der SQLite-Browser15 , für den auf der offiziellen Projektseite Installationsdateien für alle gängigen Betriebssysteme verfügbar sind.
Forensische Analyse
Alle wichtigen Daten wie Lesezeichen, Chroniken, besuchte Seiten, Passwörter etc. werden bei Mozilla- Firefox genauso wie bei anderen Browsern in einem speziellen Profilunterordner im Homebereich des jeweiligen Nutzers abgelegt. Je nach Betriebssystem ist
diese Datei in einem speziellen Unterordner innerhalb des Nutzerverzeichnisses zu finden:
Windows 7:
C:\Documents and Settings\<username>\ApplicationData
\Mozilla\Firefox\Profiles\<profile folder>\
Linux/Unix:
/home/<user>/.mozilla/firefox/<profile folder>/
Mac OS X:
/Users/<user>/Library/Application Support/Firefox/Profiles/
default.lov/
Das wohl wichtigste Artefakt für eine forensische Untersuchung von Firefox bildet die
Datei places.sqlite. In dem angegebenen Ordner sind aber noch weitere forensisch interessante Dateien zu finden. Die wichtigsten Profildateien sind in Tab. 5.4 aufgeführt. Die
aus forensischer Sicht interessantesten Daten sind, wie bereits gesagt, in der der Datei
places.sqlite zu finden. Hier werden die vom Nutzer in der Vergangenheit besuchten Webseiten (places) von Firefox verwaltet. Um eine Auflistung aller vom Nutzer besuchten
Seiten zu erhalten, kann das folgende SQL-Statement verwendet werden:
SELECT id, url, title, last_visit_date FROM moz_places;
15
www.sqlitebrowswer.org
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
145
Tab. 5.4 Wichtige Profildateien für den Mozilla-Firefox-Browser
Dateiname
key3.db
Inhalt
Diese Datei enthält die Schlüsseldatenbank mit den gespeicherten Passwörtern
permissions.sqlite Seitenspezifische Einstellungen, Voreinstellungen für jede besuchte Webseite
formhistory.sqlite Über die Firefox-Suchleiste eingegebene Suchbegriffe und Eingaben in Formularen von Webseiten
cookies.sqlite
Cookie-Informationen von Webseiten, z. B. für die Anmeldung auf einer
Webseite, personalisierte Darstellung für Seiten, persönliche Identifikation
places.sqlite
In der Vergangenheit besuchte Webseiten, mit Statistiken zur Anzahl der
Besuche und Datum des letzten Seitenabrufs
downloads.sqlite Detailinformationen zu den vom Nutzer durchgeführten Dateidownloads
Dieses Kommando kann direkt über die Kommandoshell von SQLite oder über die bereits
erwähnten Betrachter eingegeben werden. Um zusätzlich einen Blick auf die gespeicherten Cookies von Firefox zu werfen, muss die Datei cookies.sqlite in den SQLiteBrowser
geladen werden. Eine Abfrage nach allen gespeicherten Cookies sieht wie folgt aus:
SELECT name, host, creationTime FROM moz_cookies;
Ebenfalls sehr interessante Informationen sind in der Datei downloads.sqlite gespeichert.
Hier legt Firefox Daten zu allen Downloads eines Benutzers ab. Um abzufragen, welche
Dateien wann und vor allem wohin gespeichert wurden, bietet sich das folgende SQLStatement an:
SELECT name, source, target, startTime FROM moz_downloads;
Wiederherstellung gelöschter Browser-Caches
Mitunter hat ein Tatverdächtiger vorsorglich seinen Browser-Cache gelöscht, um mögliche Hinweise auf seine Aktivitäten im Internet zu verwischen. Selbst dann sind häufig
noch Spuren zu finden. Die von Mozilla Firefox, Safari und Google Chrome eingesetzte
Datenbank SQLite speichert Einträge ähnlich einem Dateisystem in Blöcken, die auch als
Pages bezeichnet werden (vergleiche Abschn. 5.3.2). Jede dieser Speicherseiten hat eine
variable Größe. Die Standardgröße einer Page beträgt 4096 Byte. Wird der Cachespeicher
geleert, so werden, ähnlich wie beim Löschen einer Datei vom Datenträger, die betroffenen Seiten lediglich als gelöscht markiert. Erst durch das Einfügen neuer Inhalte in den
Browser- Cache werden die freigegebenen Bereiche tatsächlich überschrieben. Auch in einer Datenbank lassen sich somit Slackbereiche finden, die für eine Ermittlung interessant
sein können. Um zunächst einmal festzustellen, ob die zu untersuchende Datenbank gelöschte Records enthält, die für eine Wiederherstellung infrage kommen, muss zunächst
nach der sogenannten Free-Page-List gesucht werden. Dabei handelt es sich technisch gesehen um eine einfach verkettete Liste, in der alle freien Speicherseiten der Datenbank
abgelegt sind. Wie bereits erwähnt, können in manchen dieser Seiten alte, eigentlich ge-
146
D. Pawlaszczyk
Abb. 5.11 Offset 32: Markiert den Beginn der Free-Page-List
Abb. 5.12 Gelöschter Datenrecord aus der Tabelle moz_places
löschte Datensätze abgelegt sein. Gemessen vom Beginn des Datenbankfiles ist in Offset
32 die erste Sprungadresse der Free-Page-List hinterlegt. Hat man die Start-Adresse für
die Liste wie in Abb. 5.11 dargestellt ermittelt, so kann anschließend die Sprungadresse
über die folgende Formel berechnet werden:
Sprungadresse = (4 Byte BE in Offset 32 - 1) * Pagesize.
Im obigen Beispiel ergibt sich somit als Beginn der Liste:
Sprungadresse hex = ( 0x0709 - 1 ) * 0x1000 = 0x708000
Sprungadresse dec = ( 1801 - 1 ) * 4096 = 7372899
Der so berechnete Offsetwert führt direkt zum ersten Eintrag der Free-Page-Liste in der
Datenbank. Von diesem aus kann man sich anschließend zu den Folge-Einträgen hangeln.
Abb. 5.12 zeigt beispielhaft einen gelöschten Datensatz, der auf diese Weise wieder sichtbar gemacht werden konnte. In diesem Fall handelt es sich um einen Cacheeintrag aus
der Tabelle moz_places. Wem der beschriebene Weg zu aufwendig ist, der kann auch in
diesem Fall auf Werkzeugunterstützung vertrauen. So sind mit epilog16 und Eyewitness
Forensic Software – SQLite recover deleted records17 kommerzielle Lösungen verfügbar.
Wen die nicht zu unterschätzenden Lizenzkosten abschrecken, dem sei an dieser Stelle
das vom Autor selbst entwickelte quelloffene MOZ Places Retrieval Tool (MOZRT) empfohlen.18 Abb. 5.13 zeigt das Programm bei der Arbeit.
16
www.ccl-forensics.com
http://sandersonforensics.com/forum/content.php?190-SQLite-Recovery
18
https://github.com/pawlaszczyk/MOZRT-Sqlite
17
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
147
Abb. 5.13 Mit dem MOZ Places Retrieval Tool wiederhergestellte Cacheinhalte
5.4.2
Tatort Cloud
Die Verwendung von Cloudspeichern ist ein Technologie, die innerhalb weniger Jahre
eine hohen Verbreitungsgrad gefunden hat. Clouddienste erlauben es ihren Nutzern, mit
vergleichsweise geringem technischen Wissen, Daten kostengünstig zu speichern und zu
verwalten und die Inhalte mit anderen zu teilen. Einer der meistgenutzten Datendienste
weltweit wird derzeit von der Firma Dropbox19 angeboten. Dabei handelt es sich um eine
typische Cloud-Storage-Lösung. Gerade Clouddienste wie Dropbox stellen zunehmend
ein Problem für die Strafverfolgung dar. So werden beispielsweise illegale Dateninhalte, kinderpornografische Fotos und Videos sowie Raubkopien über die Cloud verbreitet.
Durch ein Auskunftsersuchen an den Cloudanbieter kann sehr häufig einiges erreicht werden, wenngleich sich dies in der Praxis nicht selten ein langwieriges Unterfangen erweist.
Dafür muss aber zumindest die Nutzerkennung des Verdächtigen bekannt sein.
Oftmals sind die Benutzernamen oder Passwörter der Accounts von Beschuldigten
nicht bekannt. Für den ermittelnden Forensiker ist es somit schwierig, an Daten zu gelangen, die in solchen Internetdiensten gespeichert werden. Entsprechende richterliche
Beschlüsse für den Zugriff auf die Daten bieten den rechtlichen Rahmen, um diese be19
www.dropbox.com
148
D. Pawlaszczyk
schlagnahmen zu können.20 Bei der Suche nach beweiserheblichen Daten kann gemäß
§ 102 StPO auch auf Daten aus der Cloud zugegriffen werden [26]. Dies gilt im Übrigen
nicht nur für Zugriffe über den Account des verdächtigen Cloudnutzers, sondern genauso
beim Datenzugriff mithilfe des Cloudanbieters.
Der Zugriff auf Cloudinhalte und andere Internetdienste erweist sich aber noch aus
einem weiteren Grund häufig als schwierig. Mitunter befinden sich die Daten außerhalb
des Zugriffs der europäischen oder deutschen Justiz, beispielsweise dann, wenn die Daten
auf Servern im außereuropäischen Ausland vorgehalten werden. In diesem Fall läuft das
erwähnte Auskunftsersuchen ins Leere bzw. ist je nach Standort des Cloudspeichers das
Recht dieses Staates anzuwenden. Hinzu kommt ein weiteres technisches Moment. Die
Nutzung von Clouddiensten stellt die IT-Forensik auch hier vor neue Herausforderungen.
Die meisten klassischen Verfahren zum Aufspüren und verfolgen digitaler Spuren stellen
primär auf physische Speichergeräte ab. Bei Clouddaten sind diese Werkzeuge deshalb nur
zum Teil hilfreich. Denn dort sind die betroffenen Daten in Memory- oder Livesystemen
abgelegt, die nicht einfach ausgebaut und in ein Labor gebracht werden können. Besonders
schlechte Karten haben die Ermittler dann, wenn die Daten verschlüsselt abgelegt sind
und der Cloudanbieter selbst die Daten nicht lesen kann, was im Übrigen auch für lokal
verschlüsselte Daten gilt. Man spricht in diesem Zusammenhang auch von einem Zero
Kowledge System.21
Ein zunehmendes Problem bildet darüber hinaus die zu sichtende Datenmenge, die immer mehr ansteigt. Im Jahr 2011 wurden bereits mehr als 329 Exabytes an Daten weltweit
in der Cloud abgelegt. Bis 2016 sollen es bereits mehr als 4,1 Zettabytes22 sein. Damit
würden dann circa 40 Prozent aller weltweit gespeicherten Datenbestände über die Cloud
verwaltet.23 Im Folgenden werden einige grundlegende Ermittlungstechniken in diesem
Bereich am Beispiel des Clouddienstes Dropbox besprochen.
Technischer Hintergrund
Dropbox nutzt das Amazon S3 (Simple Storage Service) Speichersystem zur Verwaltung
von Dateien. Dateitransfers und die Synchronisation von Daten erfolgen unter Verwendung einer SSL-Verbindung. Der Kommunikationsweg ist somit verschlüsselt. Durch eine
AES-256-Verschlüsselung sind zusätzlich die Daten auf dem Cloudsystem geschützt. Auf
diese Weise versucht man, die Privatsphäre der Nutzerdaten sicherzustellen. Dropbox verwaltet die Schlüssel allerdings selbst und hat somit im Zweifel immer noch Zugriff auf
die Daten seiner Nutzer. Dropbox erlaubt es jedem Anwender, seine Dateien oder Ordner
in seine persönliche Dropbox zu platzieren. Diese kann auf jedem Endgerät geöffnet und
angezeigt werden, solange man einen entsprechenden Client installiert hat und über eine
gültige Benutzerkennung/Passwort verfügt. Andere Dropboxbenutzer müssen eingeladen
20
Cloud-Daten sind unkörperliche Gegenstände im Sinne § 94 StPO.
https://spideroak.com/features/zero-knowledge
22
1 Zettabyte entspricht 1 Trillionen Gigabyte oder 10007 Byte.
23
http://www.welt.de/wirtschaft/webwelt/Datenvolumen-verdoppelt-sich-alle-zwei-Jahre.html
21
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
149
werden, um Zugriff auf die Dateien eines Nutzers zu erhalten. Standardmäßig speichert
Dropbox gelöschte und frühere Versionen von Dateien für bis zu 30 Tage. Bei dem kostenpflichtigen monatlichen Abonnement bietet Dropbox zusätzlich ein Add-On namens
Packrat an, womit es möglich wird, alle Dateien (auch gelöschte und alte Versionen) auf
unbestimmte Zeit vorzuhalten und bei Bedarf wiederherstellen zu können.
Forensische Analyse
Im Folgenden sollen einige forensische Aspekte in Zusammenhang mit dem Clouddienst
Dropbox näher beleuchtet werden. Greift ein Nutzer beispielsweise auf seine in der Dropbox abgelegten Daten unter Verwendung eines Webbrowsers zu, so hinterlässt dies Spuren
in den History- und Cachedateien des Browsers. Diese können mit den in Abschn. 5.4.1
besprochenen Werkzeugen forensisch analysiert werden. Die meisten Anwender benutzen
für die tägliche Arbeit aber den Dropbox-Client. Diese Software muss hierfür auf dem jeweiligen Gerät (PC, Laptop, Mobiltelefon) installiert werden. Alle aktuell in der Dropbox
des Nutzers befindlichen Dateien werden bei Verwendung des Clientprogramms auf den
betreffenden Rechner gespiegelt. Somit wird auf dem lokalen System immer eine Kopie
des Dropboxinhalts abgelegt. Beim Start des Rechners synchronisiert sich der Client mit
dem Cloudspeicher, um Veränderungen abzugleichen.
Wiederherstellung gelöschter Dropbox-Daten
Der Dropboxcache zum Zwischenspeichern von Informationen befindet sich unter dem
Betriebssystem Windows standardmäßig im Ordner:
C:\Users\username\Dropbox\.dropbox.cache
Wenn eine Datei aus der Dropbox gelöscht wurde, so wird auf allen angeschlossenen Clients ein Ordner mit dem Datum des betreffenden Tages angelegt. Weitere an diesem Tag
gelöschte Dateien werden ebenfalls in diesen Ordner gespeichert. Somit sind gelöschte
Dateien zeitlich begrenzt weiter zugreifbar. Der lokale Ordner wird standardmäßig alle
3 Tage gelöscht. Eine als gelöscht markierte Datei erhält automatisch eine Erweiterung.
Diese besteht aus einer Folge von drei Zahlen. Bei der ersten Angabe handelt es sich um
die UNIX-Zeit, die in hexadezimaler Schreibweise angehangen wird. Die zweite Zahl ist
die Dateigröße in Byte, ebenfalls als Hexzahl repräsentiert. Die dritte Zahl fungiert offenbar als Hashwert, obwohl nicht bekannt ist, welcher Algorithmus zu Erstellung der
Prüfsumme eingesetzt wird. Im folgenden Beispiel wurde eine Datei namens bild01.jpg
zuvor aus der Dropbox entfernt. Die gelöschte Version erhält den Namen
bild01 (deleted 4fe09d20-5f5e100-c6ce2398).jpg
Die erste Zahl in Dezimalschreibweise lautet 1340120352.24 Daraus ergibt sich das
Datum Dienstag, 19. Juni 2012 11:39:12. Die zweite Zahl in Dezimalschreibweise ist
100.000.000. Durch 1024 geteilt erhält man schließlich die Dateigröße von 97.656 Byte.
24
Zeitangabe in Millisekunden, die seit dem 01. Januar 1970 verstrichen sind.
150
D. Pawlaszczyk
RAM-Analyse des Dropbox-Client
Wenn es dem Ermittler möglich ist, den RAM-Inhalt zu sichern (Abschn. 5.3.1) bzw.
er Zugriff auf die Auslagerungsdateien oder Swapbereiche des Betriebssystems hat, so
kann er zusätzlich versuchen, den Accountnamen der Dropbox zu ermitteln. Für aktuelle
Versionen des Dropbox-Clients befindet sich dieser in der Nähe einer bestimmten Zeichenkette, die aus dem RAM ausgelesen werden kann. Die Zeichenfolge lautet wie folgt:
’u’email’: ’
Potentielle Benutzernamen für Dropboxkonten als Voraussetzung für ein Auskunftsverfahren können unter Umständen auf diesem Wege ermittelt werden. Wenn andererseits
ein Webbrowser beim Zugriff verwendet wird, findet sich der Text Login email vor dem
Benutzernamen im Speicher. Mitunter lässt sich sogar das Passwort (abhängig von der
Dropboxversion) für das Dropboxkonto im Klartext im Speicher in der Nähe der extrahierten Texte bestimmen. Folgende Daten konnten beispielsweise aus der Imagedatei eines
Arbeitsspeichers ermittelt werden:
"... $0.00 "... name free 2 GB name periods
u’displayname’: ’WIN-B1EGO14DEDEF’,
u’email’: ’username@hotmail.com’,
u’excserver’:u’dl-debug1.Dropbox.com’,
Das Beispiel enthält neben dem Accountnamen zusätzlich Angaben über den angesprochenen Cloud-Server sowie die Kennung des Clientrechners, die sogenannte HostID.25
Alternativ kann man auch versuchen, auf die Konfigurationsdateien des DropboxClients zuzugreifen. Hierbei sind insbesondere zwei Dateien interessant: filecache.dbx und
config.dbx. Erstere enthält eine Liste der in der Dropbox abgelegten Dateien einschließlich vieler Metadaten. Noch interessanter ist allerdings die zweite Datei config.dbx. In
dieser sind unter anderem die E-Mail-Adresse des Dropboxnutzers, eine Liste der zuletzt
geänderten Dateien, die Host-ID sowie der lokale Pfad zum Dropboxordner des Benutzers hinterlegt. Bei beiden Dateien handelt es sich um SQLite-Datenbanken. Allerdings
sind die beide Dateien verschlüsselt. Aber auch dieses Problem ist i. d. R. lösbar. Von der
Firma Magnet Forensics wird beispielsweise das kostenlose Tool Dropbox Decryptor26
angeboten. Mit diesem Programm können die beiden Datenbankfiles entschlüsselt und
anschließend wie gewohnt mit SQLite geöffnet und analysiert werden.
5.4.3 Der Messengerdienst WhatsApp
Instant-Messagingdienste erfreuen sich zunehmender Beliebtheit. Aus forensischer Sicht
sind dabei insbesondere Kontakte und Nachrichten von Interesse, die häufig wertvolle
Informationen zur Lösung eines Falles liefern können. Das gilt für das Gerät eines Opfer
25
26
Jedes Gerät, mit dem auf die Dropbox zugegriffen wird, erhält eine solche eindeutige Kennung.
https://www.magnetforensics.com/free-tool-dropbox-decryptor/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
151
ebenso wie für das eines Verdächtigen. In beiden Fällen kann die Analyse der Chatdaten
vorteilhaft sein.
Einer der wohl meistgenutzten Messengerdienste weltweit ist WhatsApp. Im Jahr 2015
haben bereits mehr als 800 Millionen Menschen diesen Dienst genutzt.27 Die Anwender
können über WhatsApp einfache Nachrichten, aber auch Bild- und Videodateien untereinander tauschen. Ebenfalls interessant ist die Möglichkeit, seinen eigenen Standort anderen
Chat-Partnern mitzuteilen. Zwischenzeitlich ist es sogar möglich, über die eingebaute
Voice-over-IP-Funktion zu telefonieren. Der WhatsApp-Client soll im Folgenden aus forensischer Sicht näher untersucht werden.
Technischer Hintergrund
Das Versenden von Textnachrichten erfolgt im Pushverfahren, sodass die Nachrichten unmittelbar beim Empfänger ankommen. Sie werden entsprechend zwischengespeichert, bis
der Empfänger online ist. Damit Nachrichten übertragen werden können, müssen die Teilnehmer mit einem Client über das Internet direkt oder über einen Server miteinander
verbunden sein. Der WhatsApp-Client verwendet das Extensible Messaging and Presence Protocol zum versenden von Nachrichten. Die Clientsoftware ist für alle gängigen
Betriebssysteme erhältlich. WhatsApp ist speziell auf mobile Endgeräte und die Kommunikationsgewohnheiten dieser Nutzer zugeschnitten. Eine Besonderheit der App besteht
darin, dass diese im Gegensatz zu anderen Messengerdiensten lediglich die Telefonnummer zur Identifizierung des Benutzers und seiner Kontakte verwendet.
Forensische Analyse
WhatsApp verwaltet seine Daten wie der Webbrowser Firefox über eine SQLite-Datenbank.
Waren die Dateien bis vor wenigen Jahren noch direkt einsehbar, so sind diese in den aktuellen Programmversionen verschlüsselt. Man erkennt die Dateien an Dateiendungen
wie .crypt5, .crypt7, .crypt8. Um nunmehr Zugriff auf die Kontaktdaten zu erhalten, muss
man die Dateien zunächst entschlüsseln. Die dafür notwendige Schlüsseldatei befindet
sich unter dem Betriebssystem Android standardmäßig im Verzeichnis:
/data/data/com.whatsapp/files/key
Der Zugriff auf diese Datei ist normalerweise nur mit Rootberechtigung möglich. Der
Rootzugriff kann programmgesteuert erfolgen. Die dafür benötigten Skripte müssen hierfür zunächst im Downloadmodus von Android installiert und anschließend ausgeführt
werden. Zumeist nutzen diese Programme eine Sicherheitslücke im Betriebssystemkern
um eine sogenannte Privilege Escalation zu bewirken. Alternativ ist es ab Android 4.0
möglich, das Gerät über eine Android Debug Bridge zu betreiben. Diese Funktion wurde
speziell für App-Entwickler eingeführt. Man kann Sie innerhalb der Systemeinstellung
des Mobiltelefons ganz leicht aktivieren. Zusätzlich muss i. d. R. das Gerät für den USBDebugging-Modus freigeben sein. Auf diese Weise ist es beispielsweise möglich, ein
27
http://www.nzz.ch/wirtschaft/newsticker/whatsapp-mit-mehr-als-800-millionen-nutzern
152
D. Pawlaszczyk
vollständiges Backup des Androidgerätes, ganz ohne Rootberechtigung zu erstellen. Hat
man das Smartphone über USB mit dem PC verbunden, kann man sich über die ADBTool-Sammlung28 zunächst alle angeschlossenen Geräte auflisten lassen:
$ adb devices
List of devices attached
sony xeperia
device
Nunmehr ist es möglich, die angesprochene Keydatei sowie die eigentlichen WhatsAppDateien auf den Forensikarbeitsplatz zu sichern:
$ adb pull /data/data/com.whatsapp/files/key /key
Die Kontakt-Daten befinden sich verteilt auf zwei Dateien standardmäßig in den folgenden
Verzeichnissen:
/Device Storage/WhatsApp/Databases/msgstore.db.crypt8
/Device Storage/WhatsApp/Databases/wa.db.crypt8
Bei der Datei msgstore.db handelt es sich um eine SQLite-Datenbank mit lediglich zwei
Tabellen: Der Chatliste und den eigentlichen Nachrichten. Die Tabelle Meldungen enthält
eine Liste aller Nachrichten, die ein Benutzer gesendet oder empfangen hat. Die zweite
Datei wa.db enthält eine vollständige Auflistung der Kontakte eines WhatsApp-Nutzers
einschließlich Telefonnummer, Anzeigenamen sowie Zeitstempel. Die in den beiden Datenbankfiles abgelegten Tabellen enthalten Artefakte die aus forensischer Sicht sehr interessant sind. Dort findet man neben den bereits erwähnten Informationen zu Nachrichten
insbesondere Geo-IDs (für Entfernungsangaben) sowie Pfad und Speicherorte von Mediendateien, die zwischen zwei Kontakten ausgetauscht oder mit diesen geteilt wurden.
Sie können auf die gleiche Art und Weise wie zuvor die Schlüsseldateien dupliziert werden. Die so gesicherten Kontaktdaten und Schlüsseldateien können dann beispielsweise
über das von Andreas Mausch entwickelte Werkzeug WhatsApp-Viewer29 eingelesen und
sichtbar gemacht werden (Abb. 5.14). Somit erhält man alle Telefonnummern, mit denen
der Benutzer kommuniziert; Dies ist jedoch nicht alles. Dateianhänge, die über WhatsApp verschickt bzw. empfangen wurden, sind ebenfalls über separate Tabelleneinträge
innerhalb der gleichen Tabelle zugreifbar. Zusätzlich können häufig ebenfalls die Ortskoordinaten bestimmt werden. Somit ist es möglich zu rekonstruieren, von wo aus eine
Nachricht verschickt bzw. auf diese zugegriffen wurde. Durch eine Kartierung der erwähnten Geolocationdetails lassen sich wiederum mögliche Bewegungsprofile ableiten.
Systemlog sichern
Über die angesprochenen Entwicklerwerkzeuge ist es zudem möglich, die Logdateien des
Mobiltelefons zu sichern. Hierfür kann das folgende Kommando verwendet werden:
$ adb logcat > logcat.log
28
29
developer.android.com/tools/help/adb.html
https://github.com/andreas-mausch/whatsapp-viewer/releases/tag/v1.8
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
153
Abb. 5.14 Analyse der WhatsApp-Kontakte mit dem Programm WhatsApp-Viewer
5.4.4
Open Source Intelligence: Tatort soziale Netzwerke
Gerade soziale Netzwerke wie Youtube, Twitter, Instagram oder Facebook befinden sich
immer häufiger im Fokus von Ermittlungen. Viele Menschen geben persönliche Informationen über sich und ihr Privatleben auf diesen Plattformen preis. Die frei verfügbaren
und für jedermann einsehbaren Daten liefern nicht selten wertvolle Hinweise für ein Ermittlungsverfahren. Zum Teil werden die virtuellen Treffpunkte aber auch zur Absprache
von Straftaten genutzt. Ein weiteres Problem sind Anfeindungen oder Hetze in sozialen
Netzwerken, die nicht selten strafrechtlichen Charakter haben. Aber auch Betrugsdelikte
können mitunter aufgeklärt werden, weil die Beteiligten unverhohlen mit ihren Taten im
Internet prahlen. Die vermeintlich wertvollen neuen Datenquellen haben aber auch eine
Kehrseite: Bei der digitalen Spurensuche sehen sich die Ermittler mit immer mehr Daten
aus immer neuen Quellen konfrontiert.
Um so wichtiger ist es, die Recherchearbeit möglichst effizient zu gestalteten. Hierbei
können insbesondere sogenannte Open-Source-Intelligence (OSINT)-Werkzeuge wertvolle Unterstützung leisten [13]. Diese Programme sammeln und analysieren Daten zu einem
bestimmten Sachverhalt aus frei verfügbaren Quellen [25]. Ziel ist es, daraus neue Erkenntnisse abzuleiten. Der Begriff OSINT wurde maßgeblich vom Department of Defence
(dem amerikanischen Verteidigungsministerium) und von amerikanischen Geheimdiensten geprägt, wobei diese vorrangig das Interesse verfolgen, den Informationsbedarf ihrer
154
D. Pawlaszczyk
Regierung mit Blick auf die nationale Sicherheit zu decken. OSINT-Anwendungen können aber allgemein zu besseren und effektiveren Untersuchung verschiedenster Straftatbestände eingesetzt werd [18].
Technischer Hintergrund
Im Bereich OSINT existiert eine ganze Reihe vor allem freier Programme und Werkzeuge. Eine der wenigen kommerziellen Lösungen in diesem Bereich stammt von der
südafrikanischen Firma Paterva30 und trägt den Namen Maltego. Diese Anwendung unterstützt den Ermittelnden bei der Erhebung frei zugänglicher Daten im Netz. Dazu zapft
das Programm neben den bekannten öffentlichen Suchmaschinen insbesondere frei zugängliche Datenbanken von Online-Diensten wie Facebook, Twitter oder Linked an. Neben der Suche in sozialen Netzwerken kann der Anwender aber auch Informationen auf
PGP-Schlüsselservern, Webseiten, DNS-Servern, Foren, GeoIP-Datenbanken und Suchmaschinen wie Google in das Suchergebnis einfließen lassen. Innerhalb der Anwendung
werden alle gefundenen Beziehungen als Graph repräsentiert. Die Entitäten innerhalb dieses Graphen sind beispielsweise Personen, Domänennamen, Telefonnummern, Webseiten
oder E-Mail-Adressen. Die einzelnen Objekte werden von Maltego automatisch verknüpft
und dem Benutzer in Form eines Netzgraphen präsentiert. Somit wird es möglich, strukturelle Informationen über die gefundenen Daten offenzulegen sowie Beziehungen zwischen
verschiedenen Arten von Informationen zu einem gemeinsamen Bild zusammenzusetzen.
Auf diese Weise wird deutlich, wie unterschiedliche Informationsquellen miteinander
verbunden sind. Nicht selten können dadurch auch neue bislang unbekannte Beziehung
identifiziert werden. Das Programm verwendet hierfür Algorithmen der Graphensuche.
Maltego stellt mehr eine Plattform dar als eine geschlossene Anwendung. Über eine
einfach zu programmierende Schnittstelle können sogenannte Transforms erstellt und in
die Oberfläche integriert werden. Hierbei handelt es sich im Grunde um kleine Skripte, die
von Maltego aus aufgerufen werden können und deren Ergebnisse wiederum in Maltego
dargestellt werden. Die eigentlichen für die Suche verwendeten Algorithmen befinden sich
dabei in der Regel nicht auf dem Rechner des Ermittelnden. Vielmehr werden die Skripte
remote ausgeführt. Hierfür baut der Maltego-Client zunächst eine HTTPS-Verbindung zu
einem speziellen Anfrageserver (in Maltego als TAS-Server bezeichnet) auf. Hierbei handelt es sich im Grunde um eine Art Gelbeseiten-Dienst. Der TAS-Server leitet die Anfrage
dann an den entsprechenden Diensterbringer weiter. Wenn dieser seine Arbeit beendet
hat, werden die Ergebnisse zurück an den Client gegeben, der diese dann graphisch präsentiert. Der Vorteil dieses Vorgehens besteht darin, dass die eigentliche Sucharbeit von
dedizierten Servern erbracht wird. Der Client muss nicht besonders leistungsfähig sein. Er
wird lediglich zur Präsentation verwendet. Gleichzeitig wird die Privatsphäre des Ermittelnden gewahrt, da die eigentlichen Suchanfragen vom Server ausführt werden. Derzeit
unterstützt Maltego zwei Arten von Servermodulen: professionell und einfach. Der Hauptunterschied zwischen den beiden Servern liegt in der Anzahl verfügbarer Module.
30
http://www.paterva.com
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
155
Abb. 5.15 Analyse von Personen in Maltego (Beispiel)
Wie bereits erwähnt, handelt es sich bei Maltego um ein kostenpflichtiges Produkt.
Zusätzlich wird aber auch eine freie sogenannte Community-Edition angeboten. Letztere
ist vorrangig in Bezug auf die Anzahl der gleichzeitig im Graphen darstellbaren Entitäten beschränkt. Zum Teil sind die Antwortzeiten für Anfragen länger. Die Qualität der
Suchergebnisse hingegen ist davon in der Regel nicht betroffen.
Forensische Analyse
Maltego macht es dem Benutzer sehr einfach, Informationen über Personen zu sammeln
und zu verknüpfen. Es werden dabei viele unterschiedliche Informationsquellen aus dem
Internet verbunden. So kann man beispielsweise Personen innerhalb einer Organisation
oder Beziehungsnetze in Facebook mit Mail-Adressen verknüpfen (s. Abb. 5.15), um deren Aktivitäten in diesen Netzwerken sichtbar zu machen. Je bereitwilliger Menschen
156
D. Pawlaszczyk
mit ihren persönlichen Daten umgehen, umso detailliertere Profile lassen sich erstellen.
Darüber hinaus können nicht selten sehr viele Informationen über Kontakte und deren
Verbindungen bestimmt werden. Natürlich enthalten die Suchergebnisse nicht selten auch
sogenannte False Positives. Diese fälschlicherweise im Suchergebnis erscheinenden Daten müssen vom Ermittler erkannt und aus dem Graphen entfernt werden.
5.4.5 Verfolgung von Zahlungsströmen im Bitcoinnetzwerk
Im November 2008 veröffentlichte ein bis dahin vollkommen unbekannter Entwickler
ein Konzept, das er als verteiltes Zeitstempelsystem für Verträge bezeichnete [21]. Dies
war die Geburtsstunde des ersten digitalen, freien, nichtmanipulierbaren Zahlungssystems, genannt Bitcoin. Es ist der Versuch, elektronisches Geld ohne Bindung an eine
analoge Währung bereitzustellen. Die Steuerung der Zahlungsströme erfolgt vollkommen
dezentral und wird einzig durch einen Algorithmus überwacht. Wegen der Verwendung
kryptografischer Algorithmen zur Absicherung des System bezeichnet man Bitcoin auch
als kryptografische Währung.
In der jüngeren Vergangenheit erfuhr Bitcoin eine erhöhte Aufmerksamkeit. Seit der
Schließung des Online-Drogenportals Silkroad 2.031 im Sommer des Jahres 2011 wurde
das Bitcoinnetz wiederholt mit Drogengeschäften in Verbindung gebracht. Der Vorwurf
der Begünstigung von Geldwäsche und Steuerhinterziehung steht ebenfalls im Raum. Die
vermeintlich anonymen Coins sind im Darkweb zwischenzeitlich das Standardzahlungsmittel und dadurch immer häufiger ein wichtiges Beweismittel im Rahmen von Ermittlungsverfahren.
Technischer Hintergrund
Bitcoins werden ausschließlich über das Bitcoinnetzwerk transferiert, die Infrastruktur
für den Handel mit der Kryptowährung. Hierbei handelt sich um ein reines Peer-to-PeerNetzwerk (P2P), d. h., es gibt anders als bei einem zentralistischen Ansatz keine Instanz
oder keinen Server, über welche die angeschlossenen Clients kommunizieren. In einem
P2P-Netz können alle angebundenen Rechner gleichzeitig als Client oder Server fungieren. Es ist wichtig zu verstehen, dass jeder Bitcointransfer direkt zwischen den jeweiligen
Transaktionspartnern ohne Umweg über einen Vermittler abgewickelt wird. Jeder Knoten
im Bitcoinnetz darf prinzipiell mit jedem anderen Knoten Coins tauschen.
Um am Netzwerk teilnehmen und Geld empfangen bzw. versenden zu können, benötigt
man einen Bitcoin-Client. Dabei handelt es sich um eine Software, mit der ein Nutzer
seine Bitcoinguthaben verwalten und Zahlungen tätigen kann. Der Client muss für jeden
Transfer zunächst am Bitcoinnetzwerk angemeldet, also online sein. Alternativ kann aber
auch eine der einschlägigen Internettauschbörsen zum Handeln genutzt werden.
31
http://silkroaddrugs.org/tag/silkroad-2-0/
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
157
Jeder Bitcoinnutzer verfügt über eine oder mehrere Wallets, die mithilfe des Clients verwaltet werden. Eine Wallet ist eine Art elektronische Brieftasche, in der Bitcoinadressen
abgelegt sind, mit denen wiederum im Netzwerk bestimmte Bitcoinguthaben verknüpft
sind. Eine Bitcoinadresse stellt somit eine Art Kontonummer dar, die zwischen 26 und
35 Zeichen lang ist. Die Adressen sind Base58 kodiert, d. h., sie bestehen aus zufälligen
Zahlen sowie Groß- und Kleinbuchstaben mit der Ausnahme, dass der große Buchstabe
O, das große I, das kleine l und die Ziffer 0 wegen der besseren Lesbarkeit nicht benutzt
werden:
Beispiel-Adresse: 1539m63tXNFUa9fKmmg7WB1BAsDFa7XnSa
Durch Weitergabe einer Adresse an Dritte können diese Coins an den Eigentümer der
Adresse übertragen.32 Weitere Informationen wie dessen Name oder seine Mail-Adresse
sind nicht erforderlich. Aus diesem Grund wird häufig auch von einem anonymen Zahlungssystem gesprochen. Es gibt keine Beschränkungen, wie viele Bitcoinadressen eine
Person verwenden darf. Zumeist wird für jede Transaktion eine neue Adresse erzeugt. Das
ist unproblematisch, da der Adressraum insgesamt 1; 46 1048 mögliche Bitcoinadressen
umfasst. Jede dieser Adressen ist mit einem Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel assoziiert (Abb. 5.16). Der öffentliche Schlüssel kann
an andere Transaktionspartner weitergegeben werden. Er wird für die Erzeugung neuer
Bitcoinadressen genutzt. Zu diesem existiert ein korrespondierender privater Schlüssel,
den nach Möglichkeit niemand außer der Besitzer der Bitcoinadresse kennen sollte. Beide
Schlüssel, öffentlicher und privater, sind über eine mathematische Funktion miteinander verknüpft (1); genauer gesagt wird der öffentliche Schlüssel mithilfe des privaten
Schlüssels berechnet. Umgekehrt ist dies aber nur mit unverhältnismäßig hohem Aufwand
möglich. Innerhalb des Bitcoinnetzes wird ein Elliptic Curve Algorithm33 eingesetzt, um
einen 512 Bit langen privaten Schlüssel zu erzeugen. Aus diesem wird wiederum ein öffentlicher Schlüssel berechnet.
Um Bitcoins zwischen Sender und Empfänger zu transferieren, muss zunächst eine
Transaktion erzeugt werden, die anschließend mit dem privaten Schlüssel des Senders
signiert wird (2). Die Transaktion zusammen mit dem öffentlichen Schlüssel und der erzeugten Signatur werden über das Bitcoinnetzwerk an den Empfänger übertragen (3). Mit
dem privaten Schlüssel kann eine Partei zweifelsfrei ihr aktuelles Besitzrecht nachweisen
und Bitcoins an andere Teilnehmer des Bitcoinnetzes übertragen. Der Empfänger einer
Transaktion kann mithilfe des öffentlichen Schlüssels seinerseits verifizieren (4), dass ein
anderer Nutzer hinsichtlich eines bestimmten Bitcoinbetrags verfügungsberechtigt ist (5).
In einer Wallet werden somit keine Bitcoins oder Guthaben, sondern lediglich Schlüsselpaare und Adressen gespeichert.
32
33
Die Beispieladresse gehört dem Autor.
http://andrea.corbellini.name/2015/05/17/elliptic-curve-cryptography-a-gentle-introduction/
158
D. Pawlaszczyk
Abb. 5.16 Prinzip der Signierung und Verfizierung von Transaktionen im Bitcoinnetzwerk
Transaktionen
Im Bitcoinnetzwerk besteht der verfügbare Wert einer Bitcoinadresse aus der Historie aller
zugrunde liegenden Transaktionen. Eine Transaktion dokumentiert einen Zahlungsvorgang, der in den Blöcken der sogenannten Blockchain gespeichert wird. Jede Transaktion
ist durch Eingänge (Inputs) und Ausgänge (Outputs) gekennzeichnet.
Beispiel: Sender A möchte an Empfänger B Bitcoins übertragen. A muss hierfür nachweisen, dass er bereits Transaktionen in mindestens der gleichen Höhe bekommen hat.
Dafür gibt er B gegenüber alle Transaktionen an, die er schon erhalten hat und zum Bezahlen verwenden möchte. Diese Coins bilden die für B verfügbaren Inputs. Durch die
Blockchain kann B in der gesamten Transaktionshistorie von A nachsehen, welchen Wert
dessen Inputs haben, woher sie stammen und ob er diese schon ausgegeben hat. Für A ist
diese Transaktion ein Output und für B ein Input (vgl. Abb. 5.17).
Für eine Transaktion können mehrere Ziele angegeben werden. In jedem Fall müssen
immer alle Eingänge betragsmäßig auf die Ausgänge verteilt werden. Die Outputs in einer
Transaktion können maximal den Betrag aller Inputs einer Transaktion betragen. Es ist
nicht möglich, nur einen Teil seines Bitcoinguthabens auszugeben. Will ein Nutzer nur
einen Teilbetrag transferieren und den Rest behalten, dann muss er sich den Restbetrag an
einen Output senden, der ihm selbst gehört.
Die Blockchain
Der Bitcoin-Client kann jeden Transfer sofort auf seine Gültigkeit hin überprüfen, indem
er die Transaktionshistorie bis zur Ausgabe des Bitcoins zurückverfolgt. Durch die Si-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
159
Abb. 5.17 Beispiel für eine Transaktion mit Ein- und Ausgängen
gnierung jeder Transaktion ist zudem sichergestellt, dass keine gefälschten Bitcoins in
Umlauf gebracht werden können oder jemand diese mehrfach ausgibt34 [21]. Technisch
wird dies dadurch möglich, da alle Clients auf die gleiche Informationsquelle die sogenannte Blockchain zugreifen. Hierbei handelt es sich um eine Datenbank, in der alle
jemals im Netzwerk getätigten Zahlungen verzeichnet sind. Jede Transaktion wird in
diesem ewigen Logfile erfasst und protokolliert. Da jeder Vollclient eine Kopie dieser
Datenbank besitzt, kann er auch jederzeit verifizieren, wem ein bestimmter Bicoinbetrag
aktuell gehört. Insbesondere kann überprüft werden, ob ein Transaktionspartner, der Bitcoins transferieren möchte, diese auch tatsächlich besitzt. Die Blockchain stellt eine Art
öffentliches Buchungssystem dar, in dem jede Zahlungsbewegung vermerkt ist. Im Durchschnitt alle 10 Minuten wird ein neuer Block mit den zuletzt durchgeführten Transaktionen
an die Blockchain angehangen. Diesem Umstand verdankt die Blockchain auch ihren Namen. Durch ein spezielles Kommunikationsprotokoll werden alle Kopien der Blockchain
auf den angeschlossenen Rechnern des Bitcoinnetzes über die letzten Zahlungsbewegungen informiert und aktuell gehalten. Hat ein Client sich längere Zeit nicht mit dem
Bitcoinnetz verbunden, so muss er sich beim Start zunächst synchronisieren, d. h., er wird
die letzten Blöcke abfragen und in seine Datenbank einfügen. Eine Transaktion gilt als
bestätigt, wenn sie in einem Block gespeichert wurde [20].
34
In der Literatur wird dies auch unter dem Begriff des Double-Spending-Problems diskutiert.
160
D. Pawlaszczyk
Forensische Analyse
Um Zahlungsbewegungen im Bitcoinnetz nachverfolgen zu können, muss nicht erst ein
Auskunftsersuchen an ein Geldinstitut gestellt werden. Durch die Weiterleitung jeder
Transaktion an die übrigen Knoten des Bitcoinnetzes und deren Festschreibung innerhalb
der Blockchain kann jede Zahlung direkt zurückverfolgt werden. Dies ist in anderen Zahlungssystemen nur schwer oder gar nicht möglich und eine Besonderheit. Alle zu einer
Bitcoinadresse jemals durchgeführten Zahlungen sind für jeden einsehbar in der Blockchain fälschungssicher hinterlegt; für den Ermittler ein auf den ersten Blick paradiesischer
Zustand. Die eigentliche Herausforderung besteht darin herauszufinden, welche Person
sich hinter welcher Bitcoinadresse verbirgt. Diese Information wird nicht in der Blockchain gespeichert.
Analyse der Walletdatei
Der schnellste Weg, um zu bestimmen, ob und, wenn ja, welche Bitcoins mit einem Rechner gehandelt wurden besteht darin, die Walletdatei zu finden. Als Gegenstück zu einer
echten Geldbörse enthält diese die privaten Schlüssel ihres Besitzers. In der Datei sind
neben den aktuellen Schlüsselpaaren zusätzlich die mit ihr verwalteten Bitcoinadressen,
Transaktionen, Benutzereinstellungen sowie die Versionsnummer des verwendeten Bitcoinclients gespeichert. Für den Standardclient befindet sich die Datei normalerweise in
einem Unterordner des Nutzerverzeichnisses:
Windows XP:
Windows 7:
Linux Ubuntu:
%HOMEPATH%Application Data/Bitcoin/wallet.dat
%HOMEPATH%AppData/Roaming/Bitcoin/wallet.dat
~/.bitcoin/wallet.dat
Mitunter liegt die Datei aber in einem abweichenden Verzeichnis oder wurde umbenannt.
Wird zudem die Existenz weiterer Kopien bzw. Backups von Walletdateien auf dem Rechner vermutet, so muss nach diesen gesucht werden. Jede Walletdatei des Standardclients
besitzt eine charakteristische Anfangssignatur. Am Beginn der Datei an Offset 12 befindet
sich der feste Wert 0x3162. Diese Charakteristik vereinfacht die Suche nach Bitcoinkonten auf einem Datenträger erheblich. Das folgende Beispiellisting zeigt die Ausgabe des
Programms hexdump unter Linux, wobei die ersten 32 Byte einer Walletdatei ausgeben
werden:
$hexdump -n 32 wallet.dat
00000 0000 0000 0001 0000 0000 0000 3162 0005 | ............b1..
00010 0009 0000 1000 0000 0900 0000 0000 0000 | ................
00020 0020 0000 0000 0000 0000 0000 0000 0000 |
..............
In der Walletdatei sind alle mit ihr verknüpften Bitcoinadressen abgelegt. Durch eine Extraktion der Adressen lassen sich auch alle Zahlungsbewegungen rekonstruieren, die über
die Wallet abgewickelt wurden. Die Adressen sind regelmäßig konstruiert, wodurch eine
Suche stark vereinfacht wird. Wie schon weiter oben ausgeführt, ist jede Adresse Base58
kodiert. Die Adresse beginnt in der Regel mit den Ziffern 1 oder 3. Mithilfe dieser In-
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
161
formationen kann wiederum sehr schnell ein regulärer Ausdruck für eine Suchanfrage
formuliert werden:
ANSI: 1[a-km-zA-HJ-NP-Z1-9]{24,34}
Unicode: 1\x00([a-km-zA-HJ-NP-Z1-9]\x00){24,34}
Die Anfrage lässt sich wie folgt übersetzen: Finde eine Zeichenkette, die mit einer 1 beginnt und nur alphanumerische Zeichen (ausgenommen die Buchstaben ’l’ und ’I’ bzw.
die Zeichen ’O’ und ’0’) enthält und zwischen 25 und 34 Zeichen lang ist. Bei Unicodekodierung wird jedes Zeichen durch ein oder mehrere Byte repräsentiert. Bei der
ANSI-Kodierung hingegen wird genau 1 Byte verwendet. Für beide Kodierungen ist jeweils ein Beispiel angegeben. Unter Linux kann beispielsweise mit dem grep-Kommando
in einer Datei nach diesen Mustern gesucht werden:
$ strings wallet.dat | grep -E "1[a-km-zA-HJ-NP-Z1-9]{24,34}"
name"1DKJtsJeYmgDrLg2TFJ9hb1v66iX5BJ1fR
name"1E8ir4z5xD3nB7D7LEzf5UpzycWyTWD7Sf
name"1AraVQH94p7pcUP3dYRCUk4sxuv5PAs71XG
name"1JCQaLdjaNvnfhu1pHVuKUCJLqXS3TtTii
name"16C8xucyygqHusdBXQ8GQ5asZfa97WHShM
...
Zur Erläuterung: Das erste Kommando extrahiert Zeichenketten (Strings) aus der Binärdatei wallet.dat. Der zweite Teil der Anweisung sucht mithilfe des bereits ausführlich
besprochenen regulären Ausdrucks nach dem Muster. Somit wird es möglich, gezielt nach
Bitcoinadressen in den Dateien des Systems zu suchen und diese zu extrahieren. Wenn
auch nur eine Transaktion mit der Identität einer Person in Verbindung gebracht werden kann, dann sind auch alle vorhergehenden Transaktionen des Betroffenen zuordenbar.
Hierfür muss lediglich innerhalb der Blockchain nach der gefundenen Adresse und den
mit dieser verknüpften Transaktionen gesucht werden.
Nachdem nun klar ist, dass es sich um ein Base58-Codierung handelt, werden im
nächsten Schritt der Untersuchung, speziell die letzten vier Bytes des gefundenen Strings
überprüft. Bei jeder Bitcoinadresse wird am Ende ein Doppel SHA-256-Diget der vorangegangenen Adressdaten als eine Art Prüfsumme abgelegt. Für eine Verifizierung des
Suchtreffers muss für die Bytes 0 bis zum Byte n-4 ebenfalls der Hashwert bestimmt und
mit dem Ergebnis der letzten 4 Byte verglichen werden. Durch Überprüfung der Gültigkeit der Base58-Kodierung für die zuvor extrahierten Zeichenfolgen, lässt sich bestimmen,
welche Werte falschpositiv sind (keine gültigen Adressen darstellen) und, was noch wichtiger ist, welche es nicht sind.
Verfolgung von Zahlungen in der Blockchain
Wurden die Bitcoinadressen wie zuvor beschrieben extrahiert oder sind anderweitig bekannt, so ist eine gezielte Suche über die Blockchain möglich. Alle Transaktionen sind in
dieser protokolliert. Somit kann recherchiert werden, von welchen Adressen aus Coins
162
D. Pawlaszczyk
Abb. 5.18 Beispiel: Verfolgung von Bitcoinzahlungen mit dem Programm BCTrace
übertragen wurden und ob diese zwischenzeitlich weiter transferiert worden sind. Für
eine forensische Untersuchung des Transaktionsgraphen existieren verschiedene Recherchemöglichkeiten. Über diverse Online-Portale wie blockchain.info35 kann gezielt nach
Transaktionen und Adressen gesucht werden. Diese Form der Recherche gestaltet sich
aber mitunter sehr mühsam, da man jeweils nur einzelne Transaktionen respektive Bitcoinadresse einsehen kann. Die Verfolgung der Coins im Graphen über verschiedene Stufen
hinweg muss zumeist manuell durchgeführt werden.
Eine Alternative bietet das vom Autor mitentwickelte Tool BCTrace (Abb. 5.18).
Das in Java geschriebene Programm unterstützt den Anwender bei der Verfolgung von
Zahlungsströmen im Bitcoinnetzwerk. Hierfür fragt die Anwendung über eine JSONSchnittstelle36 die Online-Portale blockcypher.com und blockchain.info an. Beide Webseiten bieten jeweils eine eigene API für Recherchezwecke an. Die Ergebnisse dieser
Fernabfrage werden innerhalb des Tools in einer Baumstruktur präsentiert. Die Informationen werden auf diese Weise übersichtlich dargestellt. Der Baum kann beliebig entfaltet
werden. Eine Verfolgung von Zahlungsbewegungen über mehrere Transaktionen hinweg ist möglich. Darüber hinaus werden auch Zusatzinformationen angezeigt, die in der
Blockchain nicht protokolliert sind. Beispielsweise erfassen die Online-Portale zusätzlich,
von welcher IP-Adresse eine Transaktion gemeldet bzw. bestätigt wurde. Diese Information liefert nicht selten einen Hinweis auf die Identität der Sender bzw. Empfänger einer
Zahlung, da der Client, der eine Transaktion als erster meldet, in der Regel auch an dieser
unmittelbar beteiligt ist [11].
35
36
http://www.blockchain.info
JSON: JavaScript Object Notation
5
Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren
163
Anonymität in der Blockchain
Häufig wird behauptet, Bitcoin wäre ein absolut anonymes Zahlungsmittel [2]. Dies
stimmt nur bedingt. Nach Meinung vieler Autoren ist die Anonymität von Bitcoin geringer als beispielsweise bei einer normalen Banküberweisung [11, 23, 24]. Tatsächlich wird
der Name oder die Identität einer Person lediglich durch ein anderes Merkmal (die Bitcoinadresse) ersetzt, um die Identifizierung der Nutzer zu erschweren. Dieses Vorgehen
wird auch als Pseudonymisierung bezeichnet [12]. Eine vollständige Anonymisierung ist
mit dem Bitcoinnetzwerk hingegen nicht möglich bzw. war niemals beabsichtigt. In der
Literatur werden Faktoren diskutiert, die zu einer Deanonymisierung einzelner Nutzer des
Bitcoinnetzwerkes führen können. Die Ansätze basieren letztlich auf einer Analyse des
Transaktionsgraphen. Die drei wesentlichen Aspekte dabei sind [11, 23, 24]:
1. Wiederverwendung von Adressen. Wird für die Abwicklung von Transaktionen immer wieder die selbe Adresse verwendet, dann ist dies vergleichbar mit einem Bankkonto mit fester Kontonummer. Bitcoinadressen sind eigentlich für diese Form der
Verwendung nicht vorgesehen. Das zeigt schon die Tatsache, dass die Adressen normalerweise zufällig erzeugt werden. Gelingt es, eine einzelne Transaktion mit einer
konkreten Identität in Verbindung zu bringen, so können automatisch auch die übrigen
Zahlungen zugeordnet werden.
2. Adresswechsel. Bitcoins werden durch Transaktionen zwischen Adressen übertragen.
Ein Überweisung an mehrere Adressen innerhalb einer einzigen Transaktion ist ebenfalls möglich. Nicht selten kommt es vor, dass ein zu zahlender Betrag kleiner ist als
das zur Verfügung stehende Guthaben. Dennoch muss zwingend immer der gesamte Betrag an Coins ausgegeben werden, selbst wenn der Nutzer eigentlich nur einen
Teilbetrag transferieren möchte. Folglich besitzt die Transaktion in diesem Fall mindestens zwei Ausgänge: einen für den Empfänger der eigentlichen Zahlung und einen
zweiten für das Restgeld, das der Absender natürlich behalten möchte. Dies wird auch
als Adressänderung (address change) bezeichnet. Es kann in vielen Fällen davon ausgegangen werden, dass zumindest eine mit dem Ausgang einer Transaktion verknüpfte
Bitcoinadresse dem Ersteller der Transaktion wiederum selbst gehört.
3. Zusammenführung von Ein- und Ausgängen. Werden mehrere Eingänge in einer
Transaktion zusammengeführt, um einen Gesamtbetrag zu bilden, kann man davon
ausgehen, dass alle diese Adressen, die verschmolzen wurden, auch mit der Person
assoziiert sind und dieser gehören.
In vielen Fällen kann man eine Verbindung zwischen einer Adresse und einer konkreten
Person durch eine gezielte Suche in Foren, auf Webseiten oder in sozialen Netzwerken herstellen. Die Adressen werden durch gängige Suchmaschinen indiziert und können leicht
gefunden werden. Außerdem ist dem Transaktionspartner sehr häufig die Identität des Gegenübers bekannt. Kauft jemand bei einem Händler online Waren und bezahlt diese mit
Bitcoins, so kennt Ersterer zwangsläufig auch dessen Identität. Anders wäre ein Versand
kaum möglich.
164
D. Pawlaszczyk
Auf der anderen Seite können Betroffene Maßnahmen ergreifen, um einer Verfolgung
ihrer Zahlungsströme entgegenzuwirken. Durch den Einsatz sogenannter Mixerdienste
(auch laundries bzw. tumbler genannt), können Bitcoins, die möglicherweise rückverfolgbar sind, gegen andere, vermutlich nicht zuordenbare Coins eingetauscht werden. Häufig
wird dafür eine kleine Gebühr erhoben. Analysen werden somit erschwert. Wenn das
Mischen wie geplant verläuft, dann stehen die Bitcoins, die ein Benutzer anschließend
besitzt, in keinerlei Zusammenhang zu den ursprünglichen Coins. Der Betroffene muss allerdings in der Regel darauf vertrauen, dass (1) der Dienst über genügend Kunden verfügt,
um effektiv seine Menge an Bitcoins mit anderen zu mixen und, (2) dass keine Protokolldateien über diesen Vorgang angelegt werden. Es hat sich aber gezeigt, dass zumindest
in einigen Fällen, diese Mixerdienstleistungen möglicherweise nicht so sicher sind, wie
behauptet [23, 24].
Jeder Transfer und jede Teilung von Bitcoins stellt letztlich ein potenztielles Problem
für die Ermittlungsarbeit dar. Nicht selten erweist es sich als äußert schwierig wenn nicht
gar unmöglich zu bestimmen, was genau mit dem Geld passiert ist. Werkzeuge und Techniken zur Analyse der Blockchain und zur Verbesserung der Nachverfolgbarkeit von Zahlungen im Bitcoinnetz stellen nach wie vor ein wichtiges Forschungsfeld dar.
5.5
Fazit und Ausblick
Wie sich zeigt, sind die Prinzipien der klassischen Forensik auch auf digitale Tatorte anwendbar und behalten im Cyberspace ihre Gültigkeit. Zur Sicherung, Verfolgung und
Auswertung digitaler Spuren müssen ebenso wie bei der Beweismittelsicherung am physischen Tatort bestimmte Grundsätze beachtet werden. Eine digitale Spur ist immer eine
Datenspur, die mit einem virtuellen Tatort verknüpft ist. Sie ist in vielen Fällen flüchtig.
Manipulierbarkeit und Integrität spielen eine zentrale Rolle bei der Sicherung und Analyse
digitaler Spuren. Das Kapitel trägt diesem Umstand Rechnung. So wurde insbesondere auf
den Umgang mit digitalen Beweismitteln, deren gerichtsfester Speicherung, Anfertigung
von Datenträgerabbildern sowie die Wiederherstellung gelöschter Daten eingegangen. Dabei wurde systematisch aufgezeigt und beschrieben, welche Tätigkeiten im Einzelnen
bei der Sicherung digitaler Beweismittel durchzuführen sind. In diesem Zusammenhang
wurden exemplarisch forensische Werkzeuge und deren Arbeitsweise besprochen. Gleichzeitig wurde aufgezeigt, wie sich diese Programme in den forensischen Prozess einreihen.
Gerade das Internet und seine Dienste verändern in vielfacher Weise die Anforderungen an die Spurensicherung. Der Tatort der Zukunft ist global. Der zweite Teil des Kapitales trägt diesem Umstand Rechnung, indem verschiedene digitale Tatorte im Internet und
die mit diesen in Zusammenhang stehenden forensischen Methoden besprochen wurden.
Am Beispiel von Cloud-Storage-Lösungen, Messengerdiensten und sozialen Netzwerken
wird exemplarisch gezeigt, welche Verfahren in der modernen IT-Forensik zum Einsatz
kommen. Die sicherlich größte Herausforderung stellt heute wie auch zukünftig die Flut
an Daten dar. So stehen den Ermittlern nicht zuletzt aufgrund der Qualität moderner Inter-
Literatur
165
netsuchmaschinen sowie bedingt durch die zunehmende Digitalisierung der Gesellschaft
immer mehr Daten zur Verfügung. Eine sinnvolle Filterung und Reduktion ist somit unumgänglich. Werkzeuge aus dem Bereich Open Source Intelligence können hier einen
wichtigen Beitrag leisten. Wie gezeigt wurde, besteht insbesondere bei der Verfolgung von
Zahlungsströmen im Bitcoinnetzwerk noch großer Forschungsbedarf. In diesem Bereich
sind die Möglichkeiten einer effizienten Analyse und Spurensuche derzeit nur unzureichend ausgeprägt.
Wie der Betrag belegt, unterliegt das Wissenschaftsgebiet der IT-Forensik einem permanenten Wandel durch neu hinzukommende Datenquellen und Technologien. Eine Verstetigung der Methoden und Verfahren wie beispielsweise im Bereich der Daktyloskopie
ist vorerst nicht absehbar. Andererseits hat gerade die Sicherung und Analyse digitaler
Spuren eine immer wichtigere Bedeutung für die moderne Strafverfolgung und nimmt
zweifelsohne eine zentrale Stellung innerhalb der Kriminalistik ein.
Literatur
1. Barrett D., Kipper G.: Investigating Dead Virtual Environments. In: Liles, S. (Hrsg.) Virtualization and Forensics A Digital Forensic Investigator’s Guide to Virtual Environments, S. 83–107.
Elsevier Inc (2010)
2. Biryukov A., Khovratovich D., Pustogarov, I.: Deanonymisation of Clients in Bitcoin P2P Network. University of Luxembourg: s.n. (2014)
3. Bundeskriminalamt: Cybercrime – Bundeslagebild 2014. Wiesbaden BKA (2014)
4. Breitinger F., Baier H.: Performance Issues about Context Triggered Piecewise Hashing. In:
3rd International ICST Conference on Digital Forensics & Cyber Crime (ICDF2C), Dublin
(Ireland), October (2011)
5. Bundesamt für Sicherheit in der Informationstechnik (BSI): Leitfaden IT-Forensik. Bonn
(2010), 358 Seiten
6. Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in
Deutschland 2015. Bonn (2015)
7. Carrier B.D., Grand J.: A hardware-based memory acquisition procedure for digital investigations. Digital Investigations, 1(1), ISSN 1742-2876. http://www.digital-evidence.org/papers/
tribble-preprint.pdf (2004)
8. Carrier B.D.: FileSystem Forensic Analysis. Adision-Wesley Perason Education (2005)
9. Carvey H.: Windows Forensik Analysis DVD Toolkit. Syngress-Verlag, Burlington (2009)
10. Casey E.: Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, 3. Aufl. Academic Press (2011)
11. Fleder M, Kester M.S., Pillai S.: Bitcoin Transaction Graph Analysis. In: Cryptography and
Security (cs.CR), http://arxiv.org/pdf/1502.01657v1.pdf (2015)
12. Galt J.S.: The Good the Bad and the Ugly of Bitcoin’s Pseudoymity. http://www.hongkiat.com/
blog/bitcoin-security/. Zugegriffen: 15. Okt. 2015
13. Glassman M., Kang M.J.: Intelligence in the information age: the emergence and evolution of
Open Source Intelligence (OSINT). Computers in Human Behavior, 28(2), 673–682 (2012)
166
D. Pawlaszczyk
14. Haase N., ComputerForensics: Introduction to Incident Response and Investigation of WindowsNT/2000“, 4.Dezember 2001. SANS Institute (2001)
15. Halderman A., Schoen S.D., Heninger N. et al.: Lest We Remember: Cold Boot Attacks on
Encryption Keys. In: Proc. 2008 USENIX Security Symposium, February 21, 16 Seiten (2008)
16. Ligh M.H., Case A., Levy J., Walters A.: The Art of Memory Forensics: Detecting Malware
and Threats in Windows, Linux, and Mac Memory. John Wiley & Sons, Inc (2014)
17. James S.H. (Hrsg.), Nordby, J.J. (Hrsg.): Forensic Science: An Introduction to Scientific and
Investigative Techniques. Third. CRC Press (2009)
18. Mercado, S.C.: Sailing the sea of osint in the information age: a venerable source in a new era.
Studies in Intelligence, 48(3), Central Intelligence Agency Washington D.C. (2007)
19. Microsoft Coperation: Microsoft Security Intelligence Report. Volume 19, Januar through June
2015. www.mircosoft.com/sir. (2015)
20. Miers I., Garman C., Green M., Rubin A.D.: Zerocoin: Anonymous Distributed E-Cash from
Bitcoin. In: Miers, Ian, et al. s.l.: IEEExplore, 2013. In: SP ’13 Proceedings of the 2013 IEEE
Symposium on Security and Privacy, S. 397–411 (2013)
21. Nakamoto S.: Bitcoin: A Peer to Peer Electronic Cash System. https://bitcoin.org/bitcoin.pdf
(2008)
22. Pfefferli P.: Die Spur: Ratgeber für die spurenkundliche Praxis, 6. Aufl. Kriminalistik Verlag,
München (2011)
23. Reid F., Harrigan M.: An Analysis of Anonymity in the Bitcoin System. In: Security and Privacy in Social Networks, S. 197–223, 13. Juli (2012)
24. Ron D., Shamir A.: Quantitative Analysis of the Full Bitcoin Transaction Graph Cryptology
ePrint Archive: Report 2012/584. http://eprint.iacr.org/ (2012)
25. Ströger J., Schaurer F.: OSINT Report 3/2010: The Evolution of Open Source Intelligence. ISN
ETH Zürich (2010)
26. Wicker M.: Ermittlungsmöglichkeiten in der Cloud – Vereitelt das Speichern in der Cloud die
Zuständigkeit deutscher Ermittlungsbehörden? In: Taeger, J. (Hrsg.) Law as a Service – Recht
im Internet- und Cloud-Zeitalter, Tagungsband der Herbstakademie 2013, Bd. 2, Edewecht
2013, S. 981–1000. (2013)
27. US-CERT–United States Computer Emergency Readiness Team: ComputerForensics. https://
www.us-cert.gov/sites/default/files/publications/forensics.pdf (2008)
28. Verizon Enterprise Solutions: 2015 Data Breach Investigations Report. http://www.
verizonenterprise.com/de/DBIR/2015/ (2015)
29. Witherden F.: Memory Forensics over the IEEE 1394 Interface, September 2010, 29 Seiten.
https://freddie.witherden.org/pages/ieee-1394-forensics.pdf (2010)
30. Xie T., Liu F., Feng D.: Fast Collision Attack on MD5. Cryptology ePrint Archive, Report
2013/170 (2013)
6
Textforensik
Michael Spranger und Dirk Labudde
6.1
Einleitung
Die Analyse digitaler forensischer Texte ist regelmäßig eine Aufgabe in vielen Bereichen kriminalistischer Ermittlungen. Als digitale forensische Texte werden in diesem
Zusammenhang alle Texte bezeichnet, welche auf digitalen Speichermedien sichergestellt wurden, weil sie entweder selbst inkriminiert oder anderweitig geeignet sind, eine
begangene strafbare Handlungen, i. S. d. materiellen Strafrechts, auch teilweise, zu rekonstruieren oder zu beweisen, und somit Gegenstand kriminalistischer Ermittlungen mit
dem Ziel der Beweissicherung geworden sind. Untersuchungen dieser Art sind ein Teilgebiet der forensischen Informatik und immer abhängig von der vorher durchzuführenden
physikalischen Datensicherung. Die kriminalistische Relevanz reicht dabei von Computerstraftaten, wie Computerbetrug oder Computerspionage, bis hin zu klassischen Delikten
aus den Bereichen der Betrug, Wirtschafts- oder Rauschgiftkriminalität, die mit Unterstützung von Computern, mobilen Endgeräten oder des Internets begangen worden sind.
Die große Bedeutung wird klar, betrachtet man die polizeiliche Kriminalstatistik (PKS),
z. B. des Jahres 2012. Hiernach wurde in allen genannten Deliktbereichen Anstiege der
Fallzahlen bis zu 3,4 % gegenüber dem Vorjahr verzeichnet. Im Vergleich dazu lagen die
Aufklärungsquoten zwischen 29,9 und 94,4 % (vgl. Tab. 6.1).
M. Spranger ()
Wissenschaftlicher Mitarbeiter im Forensic Science Investigation Lab (FoSIL), University of
Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: spranger@hs-mittweida.de
D. Labudde
Lehrstuhl für Bioinformatik und Forensik, Leiter Forensic Science Investigation Lab (FoSIL),
University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: labudde@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_6
167
168
M. Spranger und D. Labudde
Tab. 6.1 Deliktische Entwicklung 2012 in ausgewählten Bereichen [2]
Deliktgruppe
Anzahl Fälle
Betrug
958.515 (16,0 %)
Rauschgift
237.150 (4,0 %)
Computerkriminalität
87.871 (1,5 %)
Wirtschaftskriminalität
81.793 (1,4 %)
Gesamt
5.997.040 (100 %)
Vorjahr
+2,5 %
+0,3 %
+3,4 %
+2,9 %
+0,1 %
Tatmittel Internet
16,9 %
–
57,5 %
12,4 %
3,8 %
Aufklärung
77,4 %
94,4 %
29,9 %
91,1 %
54,4 %
Die betrachteten Deliktgruppen umfassen zusammen nur knapp 25 % aller begangenen
Straftaten. Abb. 6.1 macht jedoch klar, dass durch diese mehr als drei Viertel des wirtschaftlichen Gesamtschadens verursacht werden. Bemerkenswert ist auch, dass im Jahr
2012 allein 229.408 Fälle, das sind 3,8 % aller registrierten Straftaten, unter Nutzung des
Internets begangen wurden [2]. Hier ist insbesondere von einem erhöhten Aufkommen
textueller Daten auszugehen, deren Analyse einen nicht unerheblicher Teil der Ermittlungszeit in Anspruch nimmt. Im Bereich der organisierten Kriminalität ist in Zeiten
von Smartphones und globaler Vernetzung die Verabredung und Anbahnung krimineller
Handlungen, selbst über Ländergrenzen hinweg, durch die Verwendung von Kurzmitteilungsdiensten, Messengern und sozialen Netzwerken so einfach geworden wie nie zuvor.
Die Nutzung jedes dieser Medien hinterlässt jedoch unweigerlich Spuren, welche, analysiert und ausgewertet, aufschlussreiche Details liefern können, mit deren Hilfe beispielsweise Tathergänge rekonstruiert werden können. Nicht zuletzt erlaubt die Analyse der
textbasierten Inhalte öffentlich zugänglicher sozialer Netzwerke, Hinweise auf mögliche
Abb. 6.1 Schadensaufteilung 2012 [2]
6
Textforensik
169
Tatverdächtige, Opfer oder Zeugen von Straftaten zu gewinnen oder sogar deren geplante
Ausführung ganz oder teilweise zu verhindern.
Vor allem der Preisverfall elektronischer Geräte und insbesondere digitaler Speichermedien lässt die Menge an verfügbaren textuellen Daten und damit an potentiellen forensischen Texten schnell ansteigen. Heutige Festplatten haben eine Größe von einigen
hundert Gigabyte bis hin zu mehreren Terabyte, selbst Smartphones besitzen üblicherweise eine Speicherkapazität im zweistelligen Gigabytebereich. Diese Entwicklung, getrieben
von der Angst, Daten und damit Informationen nicht ständig verfügbar zu haben, führt
zu vielfältigen Duplikaten und dem Phänomen, dass kaum noch Historien, Caches etc.
gelöscht werden. Einerseits sichert dies gute Chancen, den größten Teil des beweiserheblichen Materials auf den sichergestellten Datenträgern zu finden, andererseits lässt
es die zu untersuchende Datenmenge ständig weiter anwachsen. Es wird somit immer
schwieriger, die gesuchten Informationen in der Masse an Daten auszumachen, vor allem
wenn man berücksichtigt, dass nur ein Bruchteil davon möglicherweise verfahrensrelevant ist. So können neben E-Mails, Chatprotokollen, Kontaktlisten, Briefen und Notizen
vor allem im Bereich der Wirtschaftskriminalität oder des banden- oder gewerbsmäßigen (Computer-)Betruges auch Rechnungen, Kontoauszüge, Verträge und Tabellen von
kriminalistischem Interesse sein. Die manuelle Suche nach Hinweisen, direkten oder indirekten Beweisen führt schnell zu einem hohen zeitlichen und personellen Aufwand. In
einem durchschnittlichen Fall im Bereich der Wirtschaftskriminalität kann die Untersuchung leicht 6 Monate oder mehr in Anspruch nehmen. So ist es nicht verwunderlich, dass
detaillierte Auswertungen nur durchgeführt werden können, wenn das verletzte Rechtsgut, der Schadensumfang und die Beweislage diesen Aufwand rechtfertigen. Anderenfalls
wird die Untersuchung bestenfalls stichprobenartig durchgeführt oder ganz darauf verzichtet. Hinzu kommt das Erinnerungsvermögen von Zeugen, welches als Funktion der
Zeit sukzessive abnimmt. Ebbinghaus hat bereits 1885 im Rahmen seiner gedächtnispsychologischen Untersuchungen im Selbstversuch bedeutungslose Silben und spanische
Vokabeln gelernt, um die Vergessensrate in Abhängigkeit der vergangenen Zeit festzuhalten. Beides verglich er mit seinem Erinnerungsvermögen an autobiografische Ereignisse
und erzielte die in Abb. 6.2 dargestellten Ergebnisse. Greuel et al. gehen davon aus, dass
die Kurve für das Behalten inzidenteller Ereignisse noch unterhalb der Ebbinghaus’schen
Kurve für das Vergessen von spanischen Vokabeln liegt [14]. Das kann im Einzelfall bedeuten, dass ein Zeuge, vorausgesetzt eine Gerichtsverhandlung findet etwa ein Jahr nach
dem zugehörigen Ereignis statt, sich nur noch an 30–70 % der ursprünglichen Informationsmenge erinnern kann. Gleichwohl ist das Erinnerungsvermögen bei autobiografischen
Ereignissen, auch über einen längeren Zeitraum, wesentlich höher. Auf der anderen Seite können nachträglich aufgenommene Informationen die Aussagegenauigkeit in hohem
Maße negativ beeinflussen. Die Gefahr des Einflusses dieses als Falschinformationseffekt
bezeichneten Phänomens wächst natürlich mit der Länge des Zeitraumes bis zum ersten
Abruf der Informationen vom Zeugen. Deshalb muss es ein Ziel sein, die Dauer der Erhebung von Sachbeweisen im Allgemeinen und des Auswerteprozesses sichergestellter
Daten im Besonderen massiv zu verkürzen.
170
M. Spranger und D. Labudde
Abb. 6.2 Vergessenskurve basierend auf Ebbinghaus 1885 [11]
6.2 Analyse unstrukturierter digitaler Daten
Die Analyse digitaler Medien und insbesondere digitaler oder digitalisierter Texte unterschiedlichster Herkunft, welche im Kontext einer polizeilichen Sicherstellung oder Beschlagnahme in den Fokus der Ermittlungen gerückt sind, ist aktuell ein sehr zeitaufwendiger, fehleranfälliger und vor allem weitgehend manueller Prozess. Derartige Texte
werden in der forensischen Linguistik auch als inkriminierte Texte bezeichnet.
Definition
„Ein Text gilt als inkriminiert, wenn er Gegenstand oder Bestandteil eines ziviloder strafrechtlichen Verfahrens ist und im letzteren Fall bereits im Vorfeld Ermittlungen durch Strafverfolgungsbehörden durchgeführt wurden“ [13, S. 41].
Inkriminierte Texte befinden sich beispielsweise auf digitalen Speichermedien, Computern oder mobilen Endgeräten, aber auch in sozialen Netzwerken oder anderen Quellen
aus den Tiefen des Internets. Die Analyse dieser Daten ist einerseits eine der Hauptaufgaben in den Beweissicherungsverfahren in Fällen von Cyberkriminalität und klassischer
Kriminalität, andererseits unerlässliche Maßnahme zur Ergreifung präventiver Maßnahmen im Bereich von Terrorismus und organisierter Kriminalität. Die zeitliche Nähe des
Vorliegens der Auswertungsergebnisse zur vollendeten oder geplanten Tat ist oft von entscheidender Bedeutung für den Erfolg präventiver oder strafprozessualer Maßnahmen.
Trotzdem können derartige Untersuchungen von großer Bedeutung für das Auffinden beweiserheblicher Informationen im Straf- oder Zivilprozess sein. Die Heterogenität der
untersuchten Daten und der schnelle Wechsel von Kommunikationsformen erschweren die
6
Textforensik
171
Automatisierung dieser Prozesse. Aktuell in Deutschland verfügbare und durch Ermittlungsorgane genutzte Software, wie beispielsweise X-Ways Forensics1 , Forensic Toolkit
(FTK)2 , XRY Office3 oder Cellebrite UFED Physical Analyzer4 , bilden insbesondere den
semantischen Aspekt des Analyseprozesses nur ungenügend und nicht abgestimmt auf die
Besonderheiten inkriminierter Texte ab. Sie fokussieren vor allem Aspekte der Sicherung
und Wiederherstellung von Daten sowie das schlagwort- oder musterbasierte Suchen in
großen Datenbeständen. Versuche, semantische Komponenten basierend auf Erkenntnissen aus dem Bereich des Text Mining zu integrieren, scheitern regelmäßig im Praxistest
bei der Konfrontation mit Daten aus laufenden Ermittlungsverfahren. Die Ursache hierfür liegt vor allem in der fehlenden Verfügbarkeit von entsprechenden Trainings- und
Evaluationsdatensätzen (sogenannten Gold-Standards) für die Forschung aufgrund datenschutzrechtlicher Bestimmungen. Deshalb entwickelt der Autor als forschendes Mitglied
im Forensic Sciences Investigation Lab Mittweida gemeinsam mit Ermittlungsbehörden
und Staatsanwaltschaften Lösungen auf Basis realer, fallbezogener Daten. Einige dieser
Lösungsansätze werden in diesem Kapitel vorgestellt. Konsequenterweise ist es erklärtes
Ziel, diese Einzellösungen zu einem forensischen Werkzeug in Form eines erweiterbaren
IE/EE/QA-Domain-Frameworks5 zur Anwendung computerlinguistischer Methoden und
Technologien auf forensische Texte weiterzuentwickeln. In diesem Zusammenhang umfasst der Begriff forensische Texte, über den Begriff des inkriminierten Textes hinaus, auch
all jene textuellen Informationen, die geeignet sind, das Beweissicherungsverfahren oder
die Ergreifung präventiver Maßnahmen in einem konkreten Fall zu unterstützen. Im Allgemeinen sind die folgenden abstrakten Aufgaben durch eine computergestützte Lösung
zu realisieren:
Erkennung und Klassifizierung von Texten mit einer fallbasierten kriminalistischen Relevanz,
Erkennung von Entitäten und Relationen als Basis zur Aufdeckung von Täter- OpferNetzwerken,
Entdeckung geplanter Aktivitäten,
semantische Erschließung fragmentierter Texte,
Erkennung versteckter Semantik.
Jede dieser Aufgaben kann durch ein Netzwerk hochspezialisierter Services bearbeitet
werden, welche jeweils einen Problemlöser, basierend auf einer speziellen Text-MiningTechnologie, kapseln. Die Heterogenität der Daten erfordert ein polymorphes Verhalten,
welches durch intelligente Kombination dieser Problemlöser in Abhängigkeit von Textart
und Fragestellung erzielt werden kann.
1
http://www.x-ways.net/forensics/index-d.html
http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk
3
https://www.msab.com/products/office/
4
http://www.cellebrite.com/de/Mobile-Forensics/Applications/ufed-physical-analyzer
5
Information Extraction/Event Extraction/Question Answering
2
172
6.3
M. Spranger und D. Labudde
Charakteristik forensischer Texte
Inkriminierte Texte (i. w. S. forensische Texte) sind wie bereits angedeutet beweiserhebliche textuelle Daten, die im Zuge des Beweissicherungsverfahrens durch Beamte der
Polizeien der Länder sichergestellt oder beschlagnahmt worden sind. Durch die Staatsanwaltschaft Chemnitz wurden, für die Entwicklung ermittlungsunterstützender Software,
historische Daten eines Strafverfahrens aus dem Bereich der Wirtschaftskriminalität für
Untersuchungszwecke zur Verfügung gestellt. Eine erste manuelle Analyse dieser Daten
ermöglichte, die nachfolgenden Aussagen über den Untersuchungsgegenstand zu treffen:
das Datenmaterial ist von erheblicher Heterogenität bezüglich seiner Struktur und Domäne,
wichtige Informationen können in nicht textbasierten Daten stecken (z. B. Fotokopien
von Rechnungen),
es gibt völlig irrelevante Texte, welche durch ihre Fülle relevante Informationen verdecken können (Vordrucke, Formulare, Templates, . . . ),
Informationen können absichtlich verschleiert worden sein, um sie vor Entdeckung zu
schützen,
Texte können von starken syntaktischen Schwächen geprägt sein,
Texte können durch Löschen/Rekonstruktion stark fragmentiert sein.
Im betrachteten Kontext wird der Begriff versteckte Semantik als eine Art der linguistischen Steganografie verstanden, ist aber nicht beschränkt auf diese. Vielmehr lässt auch
die Verwendung von slangbehafteter Sprache bekannte Text-Mining-Algorithmen scheitern. Das Verstehen versteckter Semantik ist eine der schwersten Aufgaben, für Maschinen
und sogar Linguisten mit jahrelanger Erfahrung, bei der Analyse forensischer Texte.
Die aufgeführten Spezifika unterscheiden den untersuchten Textkorpus von anderen
üblicherweise in der Forschung verwendeten und evaluierten. Ferner ergab eine Umfrage,
welche durch die Autoren unter Kriminalisten der kooperierenden Ermittlungsbehörden
durchgeführt wurde, dass das Auffinden und Separieren relevanter Dokumente der aufwendigste und schwierigste Teil der Auswertung ist.
6.4 Entwicklung einer Kriminalitätsontologie
6.4.1 Ontologie-basierte Informationsextraktion
Aus Sicht der Autoren ist die Einbeziehung des Wissens von Ermittlern Voraussetzung
für die erfolgreiche und nutzbare Entwicklung automatisierter Lösungen im Rahmen der
Textforensik. Ein Ermittler, der Delikte eines bestimmten Bereiches, beispielsweise Drogendelikte, bearbeitet, besitzt Wissen, welches er aktiv bei der Aufklärung eines Falles,
i. e. S. für die Suche nach Beweisen, einsetzt:
6
Textforensik
Wissen über die objektive und subjektive Strafbarkeit von Handlungen,
Wissen, welche Voraussetzungen (Tatbestandsmerkmale) erfüllt sein müssen,
Wissen über regionale sprachliche Besonderheiten,
Wissen über delikt- und regionalspezifische Termini.
173
Dieses Wissen bleibt üblicherweise Anwendungen vorenthalten, ist aber gleichzeitig Voraussetzung für die erfolgreiche Suche nach Beweisen. Die Entwicklung einer sogenannten
Ontologie für forensische Zwecke ist deshalb Voraussetzung für die Annotation von forensischen Texten und das Stellen von Fragen an ein System in dieser speziellen Domäne. Der
Begriff Ontologie wird im Allgemeinen als eine formale und explizite Spezifikation gemeinsamer Konzepte verstanden. Insbesondere werden gemeinsam klassifizierte Begriffe
und Symbole bezogen auf eine Syntax und ein Netzwerk von Relationen definiert [10, 15].
Der Begriff Taxonomie, als Teil einer Ontologie, wird für die Klassifikation von Begriffen
(Konzepten) in Ontologien und Dokumenten verwendet. Eine Besonderheit forensischer
Ontologien ist deren fallbasierte polymorphe Struktur und die Verwendung von Termini
aus dem Bereich des Strafverfahrens. Dieser Aspekt muss bei der Definition eines Repräsentationsmodells für eine derartige Ontologie zwingend Berücksichtigung finden, wie
in Abschn. 6.4.3 gezeigt werden wird. In Abhängigkeit des Abstraktionsgrades können
zwei Typen von Ontologien unterschieden werden. Eine Domänenontologie modelliert
umfassend und tiefgründig das Wissen einer meist hochspezialisierten Domäne als Teil
der realen Welt. Eine Oberontologie beschreibt allgemeine Objekte, die sich auf einen
großen Bereich von Domänenontologien anwenden lassen. Außerdem erzeugen sie einen
Glossar grundlegender Begrifflichkeiten und Objektbeschreibungen, die in verschiedenen
relevanten Domänen Anwendung finden [10].
Cowie und Wilks [8] beschreiben Informationsextraktion (IE) als einen Prozess zur
selektiven Strukturierung und Kombination von Daten, die sich in verschiedenen Texten
befinden, explizit erwähnt oder impliziert werden. Eine etwas formalere Beschreibung
stellen Russell und Norvig vor. Sie verstehen IE als Sammlung von Wissen durch die
Suche nach Vorkommen von Objekten spezifischer Klassen und deren Relationen untereinander in natürlichsprachlichen Texten [25].
Der Prozess der IE kann durch den Einsatz von Ontologien auf verschiedene Weise
unterstützt werden. Die Nutzung als Extraktionsontologie ist eine Möglichkeit, von den
Vorteilen einer Ontologie zu partizipieren. In diesem Fall wird der Informationsextraktionsprozess durch die Verwendung der Ontologie als eine Art Template geführt. Derartige
Templates repräsentieren formales Wissen über grammatikalische Zusammenhängen und
werden oft von Extraktionsalgorithmen genutzt [10, 31]. Eine weitere Möglichkeit besteht
in der strukturierten Darstellung des Ergebnisses des Informationsextraktionsprozesses.
Kombiniert man beide Ansätze, erhält man ein IE-System, welches maximal durch
den Einsatz von Ontologien unterstützt wird. Solche Systeme werden ontologiebasierte
IE-Systeme (OBIE-Systeme) genannt [31].
174
6.4.2
M. Spranger und D. Labudde
Repräsentation von Wissensmodellen
Die Repräsentation von Ontologien kann mit verschiedenen Modellen von unterschiedlicher Ausdrucksstärke realisiert werden. Taxonomien und Thesauri, welche hier nicht
weiter erörtert werden, können als einfache Ontologien unter Verzicht auf bestimmte
Konventionen verstanden werden.6 Stattdessen sollen in diesem Abschnitt einige ausdrucksstärkere Modelle beschrieben werden.
Die Intention von Concept Maps, wie sie durch Josef Novak an der Cornell University entwickelt wurden [23], ist es, Beziehungen zwischen Konzepten zu repräsentieren.
Bezugnehmend darauf ist eine Concept Map eine abstrakte Beschreibung von bestimmten Ideen oder einer spezifischen Wissensdomäne. Sie visualisiert semantische Einheiten
(Präpositionen) für eine bestimmte Domäne, wobei semantische Einheiten aus zwei Begriffen (Konzepten), verbunden durch eine benannte Relation, bestehen. Das Benennen
einer Relation ermöglicht einen höheren Grad des Verständnisses durch höhere semantische Informationen. Es ist explizit nicht verboten, Kreuzrelationen zwischen verschiedenen Konzepten zu erzeugen [10, 23]. Topic Map ist das ausdrucksstärkste Modell und
wohl definiert aufgrund seiner ISO-Standardisierung. Es existieren eine Vielzahl von Implementierungen, z. B. XML-Topic Maps (XTM), welche die grundlegende Konzepte
des Standards implementieren, obwohl sie auf einzelne Aspekte desselben verzichten
oder diese modifizieren. Der Standard ISO/IEC 13250 beschreibt die Nutzung von Topic Maps für die Bereiche des Informationsaustausches, der Informationsorganisation und
-repräsentation. Grundlegend erlauben die strukturellen Informationen, die durch Topic
Maps bereitgestellt werden, Relationen zwischen Topics (abstrakte Gegenstände) zu beschreiben und adressierbare Informationsobjekte (Occurrences) anzuhängen. Die Natur
aller konstituierenden Teile kann detailliert durch die Verwendung von Eigenschaften
(Facets) beschrieben werden. Ein anderer signifikanter Punkt ist, dass die Informationsobjekte einer Topic Map einem Scope zugeordnet werden können (s. Abschn. 6.4.3). Es ist
wichtig zu wissen, dass verschiedene Topic Maps strukturelle Informationen bereitstellen
können, die sich auf dieselbe Ressource beziehen. Auf diese Weise ermöglicht die Architektur die Kombination von Topic Maps und damit die Kopplung von Informationen aus
verschiedenen Bereichen. Aufgrund ihres intrinsischen Charakters können sie als Overlay
von Informationsobjekten betrachtet werden. Zusammenfassend kann gesagt werden, dass
Topic Maps vielseitige und simultane Sichten auf Informationsobjekte, deren strukturelle
Natur prinzipiell unbeschränkt ist, bereitstellen. Deshalb ist es möglich, einen objektorientierten, hierarchischen, sortierten oder unsortierten Ansatz oder jede dieser Kombination
zu verwenden. Außerdem ist es möglich, eine prinzipiell unbeschränkte Anzahl an Topic
Maps auf einer gegebenen Menge von Informationsressourcen zu überlagern [1].
6
Vertiefende Informationen können bei [10] gefunden werden.
6
Textforensik
175
Tab. 6.2 Elemente des forensischen Topic-Map-Modells (vgl. Abb. 6.3)
Element
Subject (Topic)
Instance (Topic)
Descriptor (Topic)
Association
Association Role
Occurrence
Topic Name
Name Item
Facet
Facet Value
Scope
Beschreibung
Abstrakte oder konkrete Entität in der zu analysierenden Domäne
Konkrete Manifestation eines Subjekts (roter Kreis)
Typifiziert jedes andere syntaktische Element (oranger Kreis); i. e., fügt weitere Details hinzu
Eine Relation zwischen zwei Topics (Subject, Instance)(hellblauer Rhomboid)
Spezifiziert die Rolle eines Topics in einer Association (blaues Quadrat)
Verweist auf die konkrete Manifestation eines Topics in einer Ressource,
bezogen auf eine Instance.
Der Name der Repräsentation eines Topics (grünes abgerundetes Rechteck)
Bezeichnet den Namen eines spezifischen Topics bezogen auf einen Scope
(weißes Rechteck innerhalb des Topic Name )
Benennt eine Klasse von Attributen eines Topics und kann verschiedene
Facet Values beinhalten
Wert eines bestimmten Attributes; kann ein Topic oder eine weitere Facet
sein
Definiert semantische Layer
6.4.3 Forensisches Ontologiemodell
Die Autoren verwenden eine modifizierte Variante des Topic-Map-Standards zur Modellierung einer Ontologie, wobei das erzeugte Modell auf den Inhalten und Gedanken des
Standards beruht ohne alle Teile vollständig zu implementieren. Im Allgemeinen wurden
die wichtigsten semantischen Elemente berücksichtigt, während die meisten syntaktischen
Elemente durch Elemente ersetzt wurden, die den Erfordernissen der modellgetriebenen
Softwareentwicklung entsprechen.
Insbesondere die Verwendung von Scopes innerhalb der Topic Maps ist ein signifikanter Vorteil zur Modellierung von Multilingualismus und verbessert die Bestimmung
von Bedeutungen. Im Bereich der Kriminalwissenschaften und forensischen Linguistik
ist Multilingualismus nicht nur auf Mutter- und Fremdsprachen beschränkt, sondern umfasst auch Slang, Dialekte und verschiedene sprachliche Ausdrucksfähigkeiten. Darüber
hinaus bieten Scopes eine Möglichkeit das Problem der versteckten Semantik aus Abschn. 6.3 zu lösen, indem eine oder mehrere unterschiedliche Bedeutungen direkt an ein
bestimmtes Topic annotiert werden. Die Topic-Map-Elemente, die für die Modellierung
von forensischen Ontologien verwendet werden, sind in Tab. 6.2 beschrieben.
Abb. 6.3 demonstriert die Anwendung eines Topic-Map-Derivates zur Modellierung
einer forensischen Ontologie – die Aufdeckung der Aktivitäten einer Bande, die mit gestohlenen Gegenständen handelt. Der gezeigte Auszug beinhaltet nicht alle Elemente des
implementierten Topic-Map-Modells. Die Kernobjekte in diesem Beispielnetzwerk sind
durch die Ziffer 1 gekennzeichnet – die Personen Vince, Tom, Finn und Brian sowie der
176
M. Spranger und D. Labudde
Abb. 6.3 Auszug einer Ontologie, die zur Beschreibung von Eigentumsdelikten verwendet wird.
Sie demonstriert typische Interaktionen zwischen den verschiedenen Topic-Map-Elementen
Gegenstand „Watch“. Assoziationen spezifiziert durch beschreibende Topics zwischen
diesen Objekten sind mit der Ziffer 2 gekennzeichnet. Eine bestimmte Rolle, die durch
ein Objekt in einer Assoziation eingenommen wird, ist mit der Ziffer 3 gekennzeichnet.
Schaut man sich das Beispiel in Abb. 6.3 genauer an, kann man sich vorstellen, dass das
Netzwerk auf folgende Weise entstanden sein könnte: Brian sucht nach einer neuen Uhr,
weil seine Alte defekt ist. Er fragt in verschiedenen Läden nach einem Modell, das seine
Bedürfnisse erfüllt, bis er einen Verkäufer (Finn) findet, der ihm anbietet, eine entsprechende Uhr mit der nächsten Lieferung zu bekommen. Ein paar Tage später ruft Finn
Brian an und teilt ihm mit, dass er eine Uhr für ihn habe. Brian zögert nicht und kauft
sie. Nach genauerer Betrachtung zu Hause findet er eine kaum sichtbare Gravur auf der
Rückseite der Uhr und zeigt sie einem Freund, einem Polizisten. Einige Tage früher wurde
dieser von Vince gerufen, einer Person, die ihr Eigentum, eine Uhr mit eben einer solchen
Inschrift, am Strand verloren hatte. Brian und der Polizist gehen gemeinsam zurück zu
dem Laden, wo Finn durch den Polizisten mit den Beschwerden verschiedener Kunden
konfrontiert wird. Nach kurzer Bedenkzeit beschlagnahmt der Polizist Finns Computer.
Die Analyse des konfiszierten Materials liefert den folgenden Ausschnitt eines InstantMessenger-Protokolls:
6
Textforensik
177
Tom: „I bought granny’s gift, which pops demanded.“
Finn: „Alright, bring it over.“
Tom ist der Polizei ebenfalls gut bekannt. Weitere Ermittlungen decken das gesamte
Potential dieser Beziehungen auf und komplettieren das Netzwerk. Überdenkt man alle
Fakten, kann Finn als Hehler bezeichnet werden, der gestohlene Gegenstände verkauft,
die durch Tom beschafft wurden. Dieser hielt Ausschau nach einer Uhr, wie sie von Brian
beschrieben wurde, und fand schließlich ein passendes Modell, das einfach zu entwenden war, Vinces Uhr – glücklicher Zufall in diesem gestellten Beispiel zur Demonstration
der Kooperation der verschiedenen Elemente der forensischen Topic Map zum Aufdecken
eines Hehlernetzwerkes.
6.5
Ansätze der forensischen Textanalyse
In diesem Abschnitt werden verschiedene Strategien im Umgang mit forensischen Texten,
unter besonderer Berücksichtigung der Erkenntnisse aus Abschn. 6.3, vorgestellt.
6.5.1
Pipeline zur ausführlichen Analyse
Die ausführliche Analyse von forensischen Texten muss deren besondere Charakteristik
berücksichtigen. Sie beinhaltet insbesondere Aufgaben der Informations-/ Ereignisextraktion mit dem Ziel der Instanziierung einer forensischen Ontologie als zentrales Element
des durch die Autoren entwickelten Frameworks. Insbesondere die Arbeiten von Wimalasuriya und Dou [31], Embley [12] und Maedche [20] zeigen, dass die Verwendung von
Ontologien geeignet ist, die Extraktion semantischer Einheiten und deren Visualisierung
zu unterstützen und derartige Prozesse besonders gut zu strukturieren. Der gesamte Prozess ist in drei Teilprozesse untergliedert:
1. Erzeugung der forensischen Ontologie und des Analysekorpus,
2. Grundlegende Textvorverarbeitung und Detektion von sekundären Kontexten,
3. Instanziierung der Ontologie und iterative Detaillierung.
Um einerseits die Extraktionsaufgaben zu bestimmen und andererseits fallbasiertes
Wissen einzuführen, muss als Erstes die forensische Ontologie in ihrer spezialisierten
Form als Topic Map, welche durch die Autoren in einer früheren Arbeit [29] entwickelt
wurde, erzeugt werden. Dieser Schritt wird durch die Verwendung bereits existierender Ontologien (ähnliche Domänen) unterstützt. Bei der anschließenden Erzeugung des
Analysekorpus müssen insbesondere textuelle Daten von anderen Dateien separiert und
der Rohtext extrahiert werden. Das beinhaltet auch die Optical Character Recognition
178
M. Spranger und D. Labudde
Abb. 6.4 Die Werkzeugpipeline zur ausführlichen Textanalyse. Der gesamte Prozess wurde in drei
Teilprozesse untergliedert: 1) Erzeugen des Analysekorpus, 2) Textvorverarbeitung, 3) Informationsextraktion
(OCR) für den Fall, dass es sich um digitale Bilder, z. B. Fotokopien handelt. Diese Daten werden in einer Datenbank, gemeinsam mit den Metadaten, gespeichert und zum
schnelleren Zugriff indexiert. Im zweiten Schritt werden einige Textverarbeitungsschritte,
wie Part-of-Speech-Tagging (POS-Tagging), Spracherkennung sowie spezielle Operationen zur Verarbeitung von strukturierten Inhalten durchgeführt. Insbesondere werden sogenannte ereignisbeschreibende (event-narrative) Dokumente detektiert. Diese Aufgabe
wurde durch Huang und Riloff [16] zur Suche nach sogenannten sekundären Kontexten (secondary contexts) eingeführt. Sie definieren diese als Sätze, welche nicht explizit
Teil der hauptsächlichen Ereignisbeschreibung sind. Diese sekundären Kontexte können
beweiserhebliche Informationen beinhalten oder Hinweise auf den Verbleib der Beute,
weiterer Opfer oder Komplizen liefern. Der letzte Schritt innerhalb des Hauptprozesses
besteht in der tatsächlichen Informationsextraktion. Hier werden Ereignissätze gesucht,
die geeignet sind, zumindest einen Teil der Ontologie zu instantiieren. Bei Bedarf werden
diese Informationen gemeinsam mit den Informationen aus den sekundären Kontexten
extrahiert. Anschließend, nach initialer Instantiierung der Ontologie, kann das Modell
iterativ beispielsweise durch Identifikation forensischer Rollen, wie in Abschn. 6.5.2 beschrieben, detailliert werden. Abb. 6.4 illustriert den gesamten Prozess schematisch.
6
Textforensik
6.5.2
179
Identifikation forensischer Rollen
Die Erkennung von benannten Entitäten (Named Entity Recognition) ist ein gut erforschter Bereich des Text Mining und eine übliche Aufgabe in jeder Informations-/ Extraktionslösung. Die generelle Aufgabe ist, alle Instanzen i 2 I eines jeden Konzeptes c 2 C
unter Berücksichtigung ihrer hyperonymen und hyponymen Beziehungen zu identifizieren. Diese Aufgabe kann praktisch unter Verwendung gazetteerbasierter Lösungen [22],
mithilfe von überwachten [33] bis hin zu semi-/ unüberwachten [19] Lernmethoden gelöst werden. Trotzdem konnte keine existierende Lösung den Nachweis erbringen, in der
Lage zu sein, forensische Rollen korrekt zuzuweisen. Die Zuweisung einer solchen Rolle
hängt oft von mehr als einem Dokument und von der Bereitstellung fallbasierten Wissens
durch den Kriminalisten ab. Deshalb basiert die durch die Autoren entwickelte Lösung
auf einer Ontologie, die als Extraktions- und Visualisierungstemplate fungiert und in der
Lage ist, solches Wissen bereitzustellen. Wie bereits festgestellt wurde, kann jedes Topic
eine Menge von Facets beinhalten. Dieses Facets werden neben anderen Elementen zur
Modellierung von Regeln verwendet, die eine Inferenzmaschine verwenden kann, um auf
die passende Rolle einer Entität innerhalb eines Post-Prozesses zu schließen. Auf diese
Weise lässt sich der Detaillierungsgrad während der computerbasierten Erkennung von
Entitäten erhöhen. Abb. 6.5 zeigt einen Ausschnitt einer fiktiven forensischen Topic Map,
die durch einen Kriminalisten erzeugt worden sein könnte. Hier wurde eine forensische
Rolle accomplice (Mittäter) modelliert. Ein Mittäter wurde in Anlehnung an § 25 StGB
als eine Person, die folgende Regeln erfüllt, beschrieben:
Die Person hat genau dann ein gemeinsames Tatinteresse, wenn eine Assoziation zu
einer Instanz eines Topics besteht, welchem die forensische Rolle booty (Beute) zugewiesen wurde.
Die Person hat genau dann einen Tatbeitrag geleistet, wenn eine Assoziation zu einer Instanz des Topics car (Fahrzeug) besteht, welchem die Rolle eines Fluchtmittels
zugewiesen wurde. Die Anzahl der Regeln, die erfüllt sein müssen, hängt vom Gewicht einer Regel ab, welches als Indikator für die Bedeutung einer Regel fungiert. Die
konkrete Instanz definiert dieselben Facets mit binären Werten in Abhängigkeit des
Matchingverhaltens einer jeden Regel.
6.5.3 Lösungsansatz für das Problem der versteckten Semantik
Wie in Abschn. 6.3 bereits erwähnt, ist das Erkennen versteckter Semantik eine der
schwersten Aufgaben währen der forensischen Textanalyse. Deshalb kann dieses Problem nur unter Einbeziehung des gesamten Kontextes und des Wissens von Experten
gelöst werden. Ein System, das in der Lage sein soll, dieses Problem automatisch zu
erkennen oder sogar zu lösen, muss die komplette Analysepipeline, wie in Abschn. 6.5.1
180
M. Spranger und D. Labudde
Abb. 6.5 Graduelles Detaillieren benannter Entitäten. Die Entität Paul als Instanz (gelber Kreis)
des abstrakten Topics (roter Kreis) person kann graduell ihrer konkreten Manifestation accomplice
zugewiesen werden. Die Zuweisung erfolgt durch iterativen Vergleich ihrer Facets, welche in Form
von Regeln implementiert sind
beschrieben, durchlaufen haben. Weil sowohl Wissen aus automatisch extrahierten Informationen als auch eingeführtes Expertenwissen durch eine forensische Topic Map
(vgl. Abschn. 6.4.3) repräsentiert wird, kann versucht werden, versteckte Semantik durch
Ausnutzung ihrer speziellen Eigenschaften zu erkennen. Maicher stellte einen Ansatz
zum aufeinander Abbilden unterschiedlicher Topics mit derselben Bedeutung, modelliert
durch unterschiedliche Autoren in einer verteilten Umgebung, vor [21]. Dieser Gedanke
führt zu einem ähnlichen Ansatz des hier diskutierten Problems. Jede Instanz, die ein System finden könnte, ist klar definiert durch die Position des zugehörigen Topics innerhalb
der Taxonomie, ihre Facets und die Gesamtheit an instantiierten Assoziationen, in denen
sie eine hochspezifische Rolle spielt. Wir nehmen an, dass der semantische Kontext etwa
konstant bleibt, wenn ein Text in ein stenografischen Code überführt wird, da sich nur
die verwendeten Wörter ändern (Abb. 6.6a). Formal ausgedrückt, sei jede Instance i 2 I
wohl definiert durch ein Tupel T; FT ; RA ; AT , wobei T die zugehörige Taxonomie des
zugehörigen Topics und FT die Menge an Facets jedes dieser Topics, welche die Instance
von ähnlichen anderen unterscheiden, bezeichnet. Ferner ist RA die Menge an Rollen, die
ein Topic in der Menge der Assoziationen AT einnimmt. Dieses Tupel konstituiert den
Kontext C.i/ einer spezifischen Instance i. Jeder Kontext muss mit dem anderer Topics,
unter Verwendung einer Distanzfunktion dist, verglichen werden, um den Grad der Ähn-
6
Textforensik
181
a
b
Abb. 6.6 Erkennung versteckter Semantik: a Topiczentrierter Ansatz – Angenommen die zwei Instances Finn and Dickie bezeichnen dieselbe Entität. Jede von diesen definiert einen Kontext, der
Facets, Associations und Roles beinhaltet und vom zugehörigen Topic abgeleitet ist. Der Grad der
Ähnlichkeit dieser zwei Kontexte bestimmt auch die Ähnlichkeit der Instances; b Assoziationszentrierter Ansatz – Angenommen die zwei Instances Finn and Dickie bezeichnen dieselbe Entität.
Dann kann die Ähnlichkeit der beiden Instances durch ein paarweises Alignment aller möglichen
Sätze und Berechnung einer semantischen Distanz bestimmt werden. Weil die Associations own
und sell sich in einer Kausalkette befinden steigt die Wahrscheinlichkeit der Synonymität
lichkeit zu bestimmen. Die Definition eines Schwellwertes unterstützt die Entscheidung,
ob zwei Instances möglicherweise die gleiche Entität bezeichnen oder nicht (vgl. Gl. 6.1
und 6.2):
D min fdist.C.i/; C.j //g;
j 2I ni
8
<1; C.j / has
min .C.i// <
SY N.C.i/; C.j / D
:0; else:
min .C.i//
(6.1)
(6.2)
Um die Distanz zwischen zwei Kontexten Ci und Cj zu bestimmen, muss die Semantik
in der Ontologie in ein nummerisches Format codiert werden. Für Topics kann die Methode von Wang et al. adaptiert werden [30]. Dabei hat ein Topic umso geringere Ähnlichkeit
(bestimmt durch eine Konstante k) zu einem anderen, je weiter sie in der Taxonomie von-
182
M. Spranger und D. Labudde
einander entfernt sind (vgl. Gl. 6.3). Die Konstante muss empirisch bestimmt werden:
8
<1;
t DT
(6.3)
ST .t/ D
:maxfk S .t 0 / j t 0 2 children.t/g; else:
T
Ein anderer Ansatz ist mehr assoziationszentriert. Dabei betrachtet man Alignments
aller Associations innerhalb derselben Kausalkette und berechnet eine Editierdistanz. Das
Distanzmaß bezieht sich auf Distanzen im Ontologiegraph (vgl. Abb. 6.6b). Formal ausgedrückt, sei A die Menge der Associations und K die Menge der Kausalketten, die von
A abgeleitet werden können. Eine Kausalkette besteht aus allen Associations a1 ; : : : ; an ,
wobei a1 ! a2 ! : : : ! an gilt. Ferner sei AT die Menge an Associations bezogen auf
ein spezifisches Topic. Die Kausalketten, die hier von Interesse sind, können wie in Gl. 6.4
beschrieben werden. Sei S die Menge an Sätzen, die gebildet werden kann, unter Verwendung einer Association in einer Kausalkette k. Für jedes Alignment f.a; b/ j a; b 2 Sg
kann nun ein Score berechnet werden. Je höher der Score, desto höher ist die Wahrscheinlichkeit, dass die involvierten Topics dieselbe Bedeutung haben:
Krelevant D fk 2 K j 9a; b 2 k ^ a 2 AT 1 ^ b 2 AT 2 g:
(6.4)
6.6 Kategorisierung forensischer Texte
Die Filterung und Kategorisierung der Untersuchungsdaten gehört zu den wichtigsten und
frühesten Aufgaben bei der Auswertung forensischer Texte und stellt eine typische Aufgabe des Information Retrieval (IR) dar. Die Kategorisierung als Spezialfall der Klassifikation versucht ein Dokument in ein eng begrenztes Set von Kategorien unter Verwendung
von maschinellen Lerntechniken einzuordnen. Formal beschrieben, sei D D d1 ; : : : ; dm
ein Set von zu kategorisierenden Dokumenten und ferner C D c1 ; : : : ; cn ein Set von
Kategorien, dann kann die Aufgabe der Kategorisierung nunmehr als surjektive Abb.
f W C ! D beschrieben werden. Ikonomakis et al. geben in [17] einen Überblick
über Ansätze zur Lösung dieser Aufgabe mithilfe verschiedener maschineller Lernmethoden. In ihrer vergleichenden Studie kommen sie zu dem Ergebnis, dass die Performanz
signifikant von einem Korpus ausreichender Größe und Qualität abhängt. Genau diese
beiden Voraussetzungen werden allerdings in der Forensik so gut wie nie erfüllt sein.
Das liegt zum einen daran, dass Daten nicht ohne Weiteres von einem Fall auf einen
anderen übertragen werden dürfen, es demnach prinzipiell keinen großen Testdatensatz
geben kann. Andererseits wird auch der Forderung nach ausreichender Qualität kaum
Rechnung getragen werden können, da forensische Texte inhaltlich und formal eine hohe
Varianz aufweisen und auch strukturell von hoher Heterogenität sind. Ausnahmen bilden
hier ggf. Texte aus dem Bereich der Wirtschaftskriminalität. Riloff and Lehnert stellen
6
Textforensik
183
in [24] einen Ansatz zur hochpräzisen Textklassifikation vor. Ihr Augmented-RelevancySignature-Algorithmus erreichte bis zu 100 % Präzision bei über 60 % Sensitivität, ermittelt unter Zugrundelegung des MUC-4-Korpus [3]. In der betrachteten Domäne der
forensischen Texte sind diese Ergebnisse jedoch nicht immer ausreichend. Insbesondere
berücksichtigen die zugrundeliegenden Algorithmen nicht die spezifischen Eigenschaften
forensischer Texte. Zu betonen ist, dass jedes falsch-negativ klassifizierte Dokument (nicht
identifiziert, fallrelevant) bedeutende Beweise oder Hinweise liefern könnte. Das betont
die Notwendigkeit einer Methode, welche bestenfalls Dokumente mit einer Sensitivität
von 100 % klassifiziert, bei gleichzeitig akzeptabler Präzision. Zum Umgang mit dem
aus diesem Sensitivität-Präzisions-Trade-off entstehenden Informationsüberfluss stellen
Beebe und Clark [6] einen Ansatz vor. In ihrer Arbeit betrachten sie ein vergleichbares
Problem und schlagen vor, die Ergebnisse in thematischen Clustern zusammenzufassen.
Trotzdem bleiben Design und Training eines geeigneten Klassifikators ein herausforderndes Problem.
Durch die Tatsache, dass das Wissen der Ermittlungsperson, sowohl generell (Erfahrungswissen) als auch fallbasiert, bezüglich eines konkreten richterlichen Untersuchungsauftrages verfügbar ist, können Regeln die Performanz in vielen Fällen verbessern. Der
Autor stellt in [28] einen Ansatz vor, der ein Regelwerk mit statistischen maschinellen
Lernansätzen verbindet. Dabei wird auf die Modellierung der Kategorien als Taxonomie abgestellt, wodurch es möglich wird, jeder einzelnen Kategorie ein hierarchisches
Regelwerk beizustellen. Die Regeln können dabei beispielsweise in Form von regulären Ausdrücken, welche auf den Dokumentenkörper oder Metadaten angewendet werden,
formuliert werden. Innerhalb einer Kategorie werden die so definierten Regeln durch Disjunktion und zwischen verschiedenen Kategorien zusammenhängender Pfade von ElternKind-Beziehungen per Konjunktion verknüpft (Abb. 6.7a).
Jede Regel des Regelwerkes muss ihr Ziel, auf das sie angewandt wird, definieren (z. B.
Dateiname, Inhalt etc.). Weiterhin muss neben der eigentlichen Regel der Regeltyp angegeben werden, um den korrekten Algorithmus zur Verarbeitung dieser Regel auszuwählen.
Auf diese Weise wird die hochpräzise Auswahl einer gewissen Menge von repräsentativen Seeddokumenten ermöglicht. Wichtig ist hierbei, dass das Regelwerk so formuliert
wird, dass die so klassifizierten Dokumente die entsprechende Kategorie möglichst gut
in der Breite repräsentieren. Mithilfe dieser Dokumente kann anschließend ein passender
maschineller Lernalgorithmus im Bootstrappingverfahren die verbleibenden Dokumente
klassifizieren (Abb. 6.8).
Der gesamte Prozess für das Auffinden von Seeddokumenten ist in Abb. 6.7 dargestellt.
Anzumerken ist, dass die Performanz des Maschinenlernalgorithmus für bestimmte Kategorien durch Umformulierung ihrer korrespondierenden Regeln signifikant beeinflusst
werden kann, weil die Performanz eines Bootstrappingalgorithmus insbesondere von der
Wahl der Seedelemente, genauer gesagt deren Repräsentativität, abhängt. Deshalb führen streng und präzise formulierte Regeln im Allgemeinen zu einer hohen Präzision bei
relativ niedriger Sensitivität, wohingegen die Anwendung schwach bzw. unscharf for-
184
a
M. Spranger und D. Labudde
b
Abb. 6.7 Auffinden von Seeddokumenten. Die Metadaten der zu kategorisieren- den Dokumente, sowie deren extrahierter Rohtext werden rekursiv gegen ein Set von Kategorieregeln geprüft.
Beginnend mit der Wurzelkategorie muss mindestens eine Regel zutreffen bis bei der rekursiven
Prüfung der Unterkategorien keine Regel mehr zutrifft. Auf diese Weise werden nur die Label der
spezifischsten Kategorie beginnend bei jedem existierenden Wurzelelement zugewiesen
mulierter Regeln zu einer Verbesserung der Sensitivität, üblicherweise verbunden mit
einer Abnahme der Präzision, führen (Precision-Sensitivity-Trade-off). Erste Messungen
der Performance unter Verwendung eines wahrscheinlichkeitsbasierten Klassifikators, wie
Naive Bayes, und eines ähnlichkeitsbasierten Klassifikators, wie k-Nearest Neighbour
oder TF-IDF, zeigen, dass die Performance bis zu 100 % Präzision bei bis zu 93,58 % Sensitivität, bei der Anwendung auf einen durch die örtliche Staatsanwaltschaft zur Verfügung
gestellten Korpus aus einem Fall von Wirtschaftskriminalität, erreicht. Die überraschend
hohe Güte des implementierten Algorithmus hängt von der konkret betrachteten Kategorie
ab und könnten die Folge einer Überanpassung des Klassifikators (Overfitting), verursacht durch einen zu homogenen zugrunde liegenden Korpus, sein. Es konnte beobachtet
6
Textforensik
185
Abb. 6.8 Bootstrappingalgorithmus zur Kategorisierung forensischer Texte. Von den Texten Tnew
wird ein Set von Seeddokumenten für jede Kategorie unter Verwendung der in der Taxonomie
festgelegten Regeln zusammengestellt. Dieses Set Tcat wird zum Training eines ersten schwachen
binären Klassifikators für jede Kategorie verwendet. Anschließend wird dieser Klassifikator genutzt, um die verbleibenden Texte Tremain zu klassifizieren und die neu gelabelten Dokumente Tmore
den vorher klassifizierten Tcat hinzuzufügen. Abschließend wird der Klassifikator weiter verbessert,
indem er wiederholt auf dem klassifizierten Datenbestand Tcat trainiert wird. Dieser Zyklus wird
solange fortgesetzt, bis keine weiteren Dokumente zum klassifizieren übrig sind oder keine weitere
Verbesserung möglich ist
werden, dass die Dokumente im betrachteten Korpus von beträchtlicher Homogenität bezüglich ihres Inhalts und ihrer Struktur sind. Das überrascht wenig, da es in der Natur der
Dokumente aus Wirtschaftsdelikten (z. B. Rechnungen) liegt, strukturell und inhaltlich
sehr ähnlich aufgebaut zu sein. Deshalb ist die Erarbeitung eines geeigneteren Korpus
unter Einbeziehung der zuständigen Staatsanwaltschaften und bestenfalls die Definition eines Goldstandards notwendig. In Ermangelung eines zusätzlichen Real-Life-Corpus
wurde eine Crossvalidierung der Ergebnisse auf einer Teilmenge des 20-NewsgroupsCorpus [3], bestehend aus den Kategorien med und space, durchgeführt. In Abhängigkeit
von den gewählten Startregeln konnte in Tests eine Sensitivität zwischen 87,6 und 92,4 %
bei einer Präzision zwischen 52,3 und 100 % .F1 D 66;79 % 93;39 %/ erreicht werden.
Dieses Ergebnis bestätigt die starke Abhängigkeit von den verwendeten Regeln. Einer
der größten Stärken dieses kombinierten Ansatzes liegt in der „einstellbaren“ Präzision
in Abhängigkeit einer intelligenten Kombination von Regeln und Maschinenlernalgorithmen.
186
M. Spranger und D. Labudde
6.7 Forensische Kurznachrichtenanalyse
6.7.1
Einleitung
Im Vergleich zu Texten aus Wissenschaft, Industrie oder Medizin gibt es nur relativ wenige Arbeiten, die sich mit der Analyse von Kurznachrichten befassen. Die meisten von
ihnen befassen sich mit der Spamdetektion. Diese Aufgabenstellung ähnelt in vielerlei Hinsicht der hier untersuchten Aufgabe, handelt es sich doch in beiden Fällen um
Probleme der binären Klassifikation. Bereits 2011 stellen Patel et al. [9] hierfür einen
theoretischen Ansatz basierend auf künstlichen neuronalen Netzen vor. Xu et al. [32] präsentierten 2012 einen Ansatz, der auf die Extraktion und Klassifikation von Spam auf
Basis von Metadaten abstellt. Obwohl diese Methode gute Ergebnisse erzielt, scheint die
Übertragbarkeit dieser Methodik in den Bereich der Forensik nur sehr eingeschränkt möglich zu sein, da in den meisten Fällen eher der Inhalt einer Nachricht von Interesse sein
dürfte und Metadaten eher zu deren Einordnung in den Gesamtzusammenhang dienen.
Skudlark [26] untersuchte 2014 in einer großangelegten Studie verschiedene Ansätze der
Spamklassifikation, verlässt sich dabei jedoch auf das Vorhandensein von URLs, was, aus
Sicht des Autors, den Anwendungsbereich im Kontext der Forensik auf wenige Fälle von
Betrug, Computersabotage oder ähnliche Delikte beschränkt. Ahmed et al. [4] stellten
2014 einen weiteren Ansatz vor, der den Beschränkungen der vorher genannten abhilft.
Dieser basiert auf einer Kombination aus Naive Bayes und Apriori-Algorithmus und nutzt
Worthäufigkeiten als Features. Besonders häufig gemeinsam in Spam auftretende Wörter
werden dabei als ein Wort betrachtet. Dieser Ansatz zeigt sehr gute Ergebnisse, berücksichtigt aber die speziellen Charakteristiken von inkriminierten Kurznachrichten nicht.
Im Bereich der Mehrklassenklassifikation präsentieren Al-Talib et al. [5] 2013 eine
Technik auf Grundlage einer verbesserten TF-IDF-Gewichtung. Auch dieser Ansatz stellt
auf die Verwendung „wohlgeformter“ SMS ab und berücksichtigt die Eigenschaften forensischer Kurznachrichten nicht.
Einen weiteren interessanten Ansatz zeigt Ishihara [18] bereits 2011. In seiner Arbeit stellt er einen n-gram-basierten Ansatz vor, um Kurznachrichten nach ihrem Autor
mithilfe der Likelihood-Ratio zu klassifizieren. Das Modell wurde anhand des englischsprachigen NUS SMS-Korpus [7] trainiert und evaluiert. Ein vergleichbarer Korpus für
die deutsche Sprache existiert leider bis heute nicht. Es ist generell ein Problem, einen
solchen Korpus im Bereich forensischer Texte zu etablieren. Die hierfür benötigten Datensätze sind aufgrund datenschutzrechtlicher Bestimmungen selten verfügbar. Insbesondere
müsste jeder Datensatz explizit von der jeweiligen hoheitlichen Instanz für Forschungszwecke zur Verfügung gestellt werden. Das ist auch der Grund, warum Ishihara trotz der
Forschung an einem forensischen Anwendungsfall mit neutralen Daten arbeiten muss. Die
Anwendbarkeit eines solchen Klassifikators im Kontext realer forensischer Arbeit bleibt
aus diesen Gründen zumindest fragwürdig.
6
Textforensik
6.7.2
187
Charakteristik inkriminierter Kurznachrichten
Bevor man sich näher mit der Analyse inkriminierter Kurznachrichten beschäftigt, müssen
die strukturellen und inhaltlichen Besonderheiten dieser Art der Kommunikation herausgearbeitet werden. Gegenstand der durch die Autoren an der Hochschule Mittweida
durchgeführten Studien war ein Korpus, der zwei abgeschlossenen Fällen von Drogenkriminalität entstammte. Diese wurden im Rahmen einer Kooperationsvereinbarung mit den
örtlichen Strafverfolgungsbehörden für Studienzwecke zur Verfügung gestellt. Wie bei
anderen forensischen Texten existiert auch hier kein sogenannter Goldstandard7 für die
Evaluierung von Werkzeugen zur Analyse deutscher Texte. Die Gründe hierfür sind vielfältig, dürften aber vor allem in den starken datenschutzrechtlichen Bedenken zu finden
sein. Einer Veröffentlichung der im Rahmen dieser Studie aufbereiteten Daten, selbst in
anonymisierter Form, als Grundlage zur Erarbeitung eines Goldstandards, wurde bislang
nicht zugestimmt.
Inkriminierte Kurznachrichten besitzen eine Reihe von Eigenschaften, die sie von den
üblicherweise in der Wissenschaft untersuchten Texten unterscheiden und die Anwendung etablierter Werkzeuge der automatisierten Textanalyse scheitern lassen. So fehlen
forensischen Kurznachrichten in der Regel korrekte grammatikalische Strukturen, und sie
weisen, neben unregelmäßig fehlendem Kontext, einen hohen Grad an Tippfehlern und
syntaktischen Fehlern auf. Das verwendete Vokabular orientiert sich kaum an Sprachkonventionen und ist geprägt durch Deliktart sowie Bildungsstand und das soziale Umfeld
des Schreibers. Weitere Problemfelder in diesem Zusammenhang stellen Fehler durch die
Autokorrekturfunktion und die Verwendung atypischer Emoticons und Abkürzungen dar.
Hinzu kommen emotional intendiert zusätzlich eingefügte Zeichen. So werden oft gezielt
nichtdeterminierte Anzahlen zusätzlicher Vokale in Wörter eingefügt, um bestimmte Gefühlslagen auszudrücken (z. B. „Haaaallo“, „seeehr“). Geschriebene Effekte sprachökonomisch bedingter Erosionseffekte (z. B. Apokope) verursachen weitere Schwierigkeiten
bei der automatischen Analyse derartiger Texte, vor allem im Zusammenhang mit der Nutzung von digitalen Wörterbüchern. Die nachfolgend aufgeführten Beispiele verdeutlichen
die diskutierte Problematik:
„aber was ich mein[e] is[t] wir müss[e]n wenn wir weihnacht[e]n gefeiert hab[e]n
übelst money hab[e]n“
„Beruhig[e] dich ich zieh[e] denn das nächste ma[l] rich[tig] fette ab! :))))))“
„Ich schreib jetzt wegen dir hab ich mein 12g nicht bekommen Weil Du ne aus[
de]m knick gekommen bist XD“
7
Der Begriff „Goldstandard“ bezeichnet hier einen standardisierten Echtdatenkorpus, von Experten
manuell annotiert, als Basis für eine einheitliche Evaluationsgrundlage für neue forensische Werkzeuge zur Kurznachrichtenanalyse.
188
M. Spranger und D. Labudde
Fehlende Zeichen wurden in eckige Klammern gesetzt, zusätzlich eingefügte Zeichen
mittels Durchstreichung und Slang mittels Fettdruck gekennzeichnet. Eine besondere Herausforderung stellen daneben nichtstandardisierte Sprachen dar. Als Beispiel wären hier
vor allem geschriebene Formen von Dialekten und die Verwendung von gruppenspezifischem Vokabular zu nennen. Sehr häufig anzutreffen ist diese Form der Kommunikation,
im Zusammenhang mit der Verwendung sogenannter versteckter Semantik, vor allem im
Drogenmilieu. Der Begriff „versteckte Semantik“ verweist dabei auf eine Art steganografischer Codes. Derartige Begriffe werden üblicherweise in ihrer unverdächtigen Form
genutzt, um den tatsächlichen semantischen Hintergrund, der nur einem engen Kreis von
Eingeweihten bekannt ist, zu verschleiern. Zum Beispiel erscheint die Frage „Bringst du
ein Wernesgrüner mit?“ unverdächtig, da der Begriff “Wernesgrüner“ als Biermarke bekannt ist. Im eigentlichen Kontext eines Drogendeliktes bedeutet dieser Begriff jedoch
Marihuana. Zu beachten wäre, dass in diesem Beispiel absichtlich kein Dialekt verwendet
wurde, um Missverständnisse zu vermeiden. Üblicherweise sind jedoch Begriffe aus Dialekten in derartige Kommunikation eingeflochten. Die hier dargestellten Charakteristiken
machen es selbst für Kriminalisten oder Linguisten mit jahrelanger Erfahrung schwierig,
die tatsächliche Bedeutung forensischer Kurznachrichten zu entschlüsseln. Wenn man sich
klarmacht, dass jede Information, die nicht gefunden wird, von großer Bedeutung für den
Beweis der Schuld oder Unschuld eines Verdächtigen sein kann, folgt zwingend, dass
Entscheidungen zum Wert einer Kurznachricht nicht allein durch eine Maschine getroffen
werden können.
6.7.3 Eine neue Methode zur Klassifikation forensischer
Kurznachrichten
Aus den vorgestellten Charakteristiken folgt aus Sicht der Autoren, dass eine vollautomatisierte Lösung mit aktuell verfügbaren Werkzeugen nur schwer oder gar nicht realisierbar
ist. In [27, 28] wurde mit MoNA (Mobile Network Analyzer) ein alternativer Lösungsansatz vorstellt, der den Aufwand für die manuelle Analyse und Entscheidung über die
Beweiserheblichkeit einzelner Textpassagen erheblich verringert, indem der Suchraum
drastisch eingeschränkt wird.
Der traditionelle Weg der Analyse forensischer Textnachrichten ist beispielhaft in
Abb. 6.9 dargestellt und umfasst die folgenden Schritte:
1. Physikalische Datensicherung, beispielsweise unter Nutzung des „UFED – Physical
Analyzer“ der amerikanischen Firma Cellebrite.
2. Lesen und Bewerten der gesamten textuellen Inhalte durch einen Ermittlungsbeamten
unter Einbeziehung aller extrahierten Metadaten:
(a) vollständig,
(b) partiell, unter Verwendung einer Volltextsuche.
6
Textforensik
189
Abb. 6.9 Traditioneller Weg der Analyse von forensischen Kurznachrichten
Abb. 6.10 Schematischer Ablauf des Vorgehens von MoNA bei der Analyse forensischer Kurznachrichten
Das durch die Autoren entwickelte forensische Analysewerkzeug für Kurznachrichten
MoNA (Mobile Network Analyzer) fügt diesem Prozess weitere Schritte hinzu:
1.
2.
3.
4.
5.
Physikalische Datensicherung und Export als Excel-Workbook oder XML-Datei,
Einlesen der exportierten Datei in MoNA,
Zusammenfassung einzelner Nachrichten zu zusammenhängenden Gesprächen,
Bewertung jedes Gesprächs hinsichtlich seiner Fallrelevanz,
Visualisierung des Kontaktnetzwerkes unter Markierung von Kontakten, die verfahrensrelevante Nachrichten ausgetauscht haben,
6. Lesen und Bewerten des reduzierten Suchraums (der Nachrichteninhalte der markierten Gespräche einzelner Kontakte in Abhängigkeit ihrer Relevanz).
Abb. 6.10 zeigt beispielhaft den aus Abb. 6.9 bekannten Ablauf der forensischen Kurznachrichtenanalyse unter Einsatz des von den Autoren entwickelten Werkzeugs. Ziel dieser Entwicklung ist es, den manuellen Aufwand so stark zu verkürzen, dass diese Art der
Analyse zum Standardvorgehen in geeigneten Fällen wird und die monotone manuelle Tätigkeit ablöst. Natürlich werden nicht in jedem Fall Reduzierungen des Leseaufwands um
den Faktor 80 erreicht, wie in diesem illustrativen Beispiel. Die Effektivität der verwendeten Algorithmen hängt stark von der Qualität der verwendeten Fachwörterbücher ab,
wie noch gezeigt werden wird. Eine Reduzierung des Suchraumes ist aber in jedem Fall
gewährleistet und führt zwangsläufig zu einer drastischen Zeitersparnis bei der Analyse.
190
6.7.4
M. Spranger und D. Labudde
Detektion zusammenhängender Konversation
Aufgrund der bereits in Abschn. 6.7.2 diskutierten Charakteristiken forensischer Kurznachrichten können wir nicht sicherstellen, dass ein menschlicher Gutachter und erst recht
ein Algorithmus alle verfahrensrelevanten Nachrichten korrekt klassifiziert. Die Wahrscheinlichkeit einer korrekten Klassifikation kann jedoch erhöht werden, indem nicht
Einzelnachrichten, sondern ganze zusammenhängende Konversationen klassifiziert werden. Als positiver Nebeneffekt bleibt dabei der Kontext der Nachricht nach der Filterung
erhalten, was das Verständnis bei der zwingend durchzuführenden manuellen Prüfung der
Klassifikationsergebnisse erleichtert. Folglich ist eine automatisierte Methode zur Identifikation einzelner Konversationen in Nachrichtenverläufen erstrebenswert. In diesem
Abschnitt soll ein statistischer Ansatz zur Lösung dieses Problems vorgeschlagen werden. Als Konversation bezeichnen wir eine beliebige Menge an zeitlich und semantisch
kohärenten Nachrichten zwischen mindestens zwei Personen. Formal ausgedrückt sei M
die Menge aller Nachrichten, wobei m 2 M einer beliebigen Nachricht in M entspricht.
Weiterhin sei M D fm0 ; : : : ; mn g chronologisch geordnet, wodurch ein temporaler Zusammenhang zwischen den protokollierten Nachrichten existiert. So kann der zeitliche
Verlauf des Austausches zwischen den Konversationsteilnehmern nachvollzogen werden.
Außerdem können Antwortzeiten (die vergangene Zeit zwischen zwei aufeinanderfolgenden Nachrichten mi und mi C1 , abgeleitet werden. Die hier präsentierte Strategie basiert
ausschließlich auf abgeleiteten Antwortzeiten und folgt der einfachen Hypothese: Je länger die Antwortzeit zwischen zwei Nachrichten mi und mi C1 ist, desto geringer ist die
Wahrscheinlichkeit, dass beide Nachrichten zur gleichen Konversation gehören. Ausgehend von dieser Hypothese führen folgende Denkansätze schrittweise zu einer Problemlösung:
1. Antwortzeiten folgen einer statistischen Verteilung (Häufigkeitsverteilung). Dabei sind
kurze Antwortzeiten häufiger beobachtbar als lange Antwortzeiten.
2. Da der vorliegende Datensatz und somit die Menge an Antwortzeiten hinreichend groß
ist, kann, ausgehend von der beobachteten Häufigkeitsverteilung, eine Wahrscheinlichkeitsverteilung und folglich eine Wahrscheinlichkeitsdichtefunktion empirisch geschätzt werden.
3. Ist eine beliebige Antwortzeit t gegeben, kann mithilfe der Dichtefunktion die relative
Anzahl der Antwortzeiten t geschätzt werden.
4. Für die Problemlösung ist allerdings die Umkehrung des Sachverhalts interessant. Die
nun lösbare, umgekehrte Fragestellung lautet demnach: Für welches t sind p Antwortzeiten t beobachtbar?
5. Wird p hinreichend klein gewählt (p D 0;05 ist eine in der Statistik übliche Vernachlässigbarkeitsschwelle), kann nun eine kritische Antwortzeit t bestimmt werden, ab der
zu erwarten ist, dass 95 % (1 p) aller Nachrichten zu diesem Zeitpunkt beantwortet
sind. Der übrige Anteil von 5 % sei gemäß p vernachlässigbar.
6
Textforensik
191
Abb. 6.11 Histogramm der Antwortzeiten des untersuchten Datensatzes
6. Überschreitet die Antwortzeit zwischen zwei Nachrichten mi und mi C1 die abgeleitete kritische Antwortzeit, ist die Wahrscheinlichkeit, dass beide Nachrichten zu einer
Konversation gehören, als gering anzunehmen. Es ist folglich davon auszugehen, dass
beide Nachrichten nicht zur gleichen Konversation gehören.
7. M kann nun anhand einzelner Antwortzeiten in unterschiedliche Konversationen zerlegt werden.
Zur näheren Erläuterung der aufgeführten Schritte sind weitere Formalismen nötig. Sei
dt D tmi C1 tmi die Antwortzeit zwischen zwei aufeinanderfolgenden Nachrichten zweier
Gesprächsteilnehmer. Dann ist T die Menge aller Antwortzeiten, die in einem Intervall
.t1 ; t2 liegen. Es gilt T D fıtjt1 < ıt t2 g. Die Auftragung aller Häufigkeiten hi D
k Ti k über die Zeit entspricht einer Häufigkeitsverteilung. Diese ist als Histogramm in
Abb. 6.11 dargestellt. Häufigkeiten wurden hierbei anhand des betrachteten Datensatzes
berechnet. Die Intervallbreite betrug hier 5 Sekunden. In Abb. 6.11 ist zu erkennen, dass
die Häufigkeitsverteilung dem exponentiellen Zerfall e t folgt.
Kurze Antwortzeiten sind somit häufiger beobachtbar. Ein kausaler Zusammenhang
zwischen beobachteter Verteilung und Antwortzeit lässt sich durch die Antwortbereit-
192
M. Spranger und D. Labudde
schaft zweier Gesprächsteilnehmer erklären. Diese Antwortbereitschaft ist allerdings nicht
konstant, sondern verändert sich über die Zeit kontinuierlich. Das folgende Gedankenexperiment illustriert das zeitliche Verhalten der Antwortbereitschaft. Sei t die Zeit, die seit
Empfang der letzten Nachricht vergangen ist. Der Empfänger der letzten Nachricht hat auf
diese noch nicht geantwortet. Er besitzt eine Antwortbereitschaft B t . Dabei ist zu beachten, dass B t einer Summe etlicher menschlicher Faktoren entspricht, z. B. spielen für diese
Bereitschaft die Dauer des Gesprächs und bereits besprochene Inhalte eine Rolle. Wie verändert sich nun die Antwortbereitschaft über die Zeit? Man stelle sich hierfür die Frage:
Wenn der Empfänger bis zum Zeitpunkt t keinen Grund gesehen hat, auf die letzte Nachricht zu antworten, wieso sollte zu einem späteren Zeitpunkt t C dt seine Bereitschaft,
die Konversation fortzuführen, steigen? Diese Bereitschaft sei B t Cdt . Auch wenn zahlreiche menschliche Faktoren eine exakte Beantwortung dieser Frage unmöglich machen, so
ist die tendenzielle Aussage B t > B t Cdt plausibel. Die Antwortbereitschaft sinkt somit
tendenziell. Hier kann postuliert werden, dass eine konstante Reduktionsrate r die Verringerung von B in Abhängigkeit der vergangenen Zeit seit Empfang der letzten Nachricht
beschreibt (Gl. 6.5):
dB
D rB:
(6.5)
dt
Das heißt, je mehr Zeit seit dem Erhalt einer Nachricht vergangen ist, desto geringer ist
die Wahrscheinlichkeit, dass noch eine Antwort gesendet werden wird. Die Lösung dieser
Differentialgleichung ist durch Gl. 6.6 gegeben:
B t D B0 ert :
(6.6)
Aus diesen Betrachtungen ergibt sich somit die Antwortbereitschaft zu einem bestimmten
Zeitpunkt B t in Abhängigkeit der Anfangsbereitschaft B0 und konstanter Reduktionsrate
r. Dieser Aspekt beschreibt den in Abb. 6.11 erkennbaren exponentiellen Zusammenhang. Zudem kann die letzte Gleichung als Wahrscheinlichkeitsdichtefunktion verstanden
werden. Hierfür gilt, dass sich die Antwortbereitschaft anhand der Antwortzeithäufigkeit
schätzen lässt, wodurch B T D h T gilt. Eine Anpassung der Parameter B0 und r an
beobachtete Werte führt zu einer spezifischen Dichtefunktion. Optimale Parameter lassen
sich anhand des Regressionsfehlers bestimmen (Gl. 6.7):
fropt ; Bopt g D argmin
r;B0
X
jB tcalc B tobs j:
(6.7)
t
Anhand der somit genäherten Wahrscheinlichkeitsdichtefunktion kann die Zeit tp berechnet werden, ab der die Wahrscheinlichkeit, auf eine Nachricht eine Antwort zur erhalten,
hinreichend gering ist. Ist diese Zeit tp überschritten, gilt die Konversation als beendet.
Diese Wahrscheinlichkeit ist als hinreichend klein anzunehmen und sei im Folgenden p
genannt. In dieser Untersuchung ist p D 0;05. Der Zeitpunkt tp lässt sich durch einfach
Integration der genäherten Wahrscheinlichkeitsdichtefunktion und entsprechendes Umfor-
6
Textforensik
193
men, wie in Gl. 6.8 gezeigt, lösen:
Ztp
F .B/ D
B0 ert dt D 1 p:
(6.8)
0
Abb. 6.12a zeigt das Ergebnis der durchgeführten Regression. Die rote Linie zeigt die
Regressionskurve (äquivalent zur Wahrscheinlichkeitsdichtefunktion), die blaue Linie illustriert den Zeitpunkt tp , ab dem die Wahrscheinlichkeit, auf eine versendete Nachricht
eine Antwort zu erhalten, kleiner p ist (hier ist p D 0;05). Zeiten größer tp sind durch
den grauen Bereich hervorgehoben. Um sicherzustellen, dass durch diesen Ansatz keine
Zusammenhänge in verfahrensrelevanten Bereichen zerstört werden, wurden die Antwortzeiten der manuell als relevant markierten Nachrichten des Datensatzes in einem Histogramm (Abb. 6.12b) dargestellt. Wie deutlich zu erkennen ist, überschreitet die gefundene
Antwortzeitgrenze nur eine Nachricht. Bei dieser Nachricht handelt es sich jedoch um
einen Solitär, d. h. eine einzelne unbeantwortete Nachricht ohne kontextuelle Bezüge.
6.7.5 Bewertung von Konversationen
Hat man die Menge von Konversationen C D c1 ; : : : ; cn bestimmt, besteht der nächste Schritt darin, herauszufinden, welche dieser Konversationen deliktbezogen relevante
Nachrichten hinsichtlich des Untersuchungsauftrages beinhalten. Unter Berücksichtigung
der Erkenntnis, dass diese Entscheidung im Wesentlichen auf Erfahrungswissen beruht,
wurde bei der Entwicklung von MoNA ein wissensbasierter Ansatz zugrunde gelegt.
Im Wesentlichen wird, mithilfe eines sogenanntes Bag-of-Words-Modells, kombiniert
mit einem domänenspezifischen Wörterbuch d , jeder Konversation ein Wert für deren
deliktbezogene Relevanz zugeordnet. Dieser Relevanzwert S wird – im einfachsten Fall
in Abhängigkeit von der Frequenz der auftauchenden domänenspezifischen Begriffe –,
wie in Gl. 6.9 dargestellt, berechnet:
Si D bag.ci ; d /; 8c 2 C:
(6.9)
Die berechneten Relevanzwerte bilden die Basis für das Einfärben des extrahierten Personennetzwerkes, das vorher aus dem Datensatz extrahiert wurde. Abb. 6.13 zeigt schematisch den gesamten Workflow zur Analyse der forensischen Kurznachrichten. Es ist leicht
einzusehen, dass der limitierende Faktor ein adäquates Wörterbuch ist. Ein Wörterbuch,
welches insbesondere lokale und fachspezifische Sprachbesonderheiten berücksichtigt.
Derartige Wörterbücher sind derzeit zumindest für den deutschsprachigen Raum nicht
verfügbar. Deshalb muss ein geeignetes Wörterbuch für jeden Deliktbereich und jeden
lokalen kulturellen Kreis erzeugt werden, bevor wir beginnen können, die Relevanzwerte
einer Konversation zu berechnen. Dieser Schritt entspricht dem Aufbau einer auf Erfahrung basierenden Wissensbasis und ist nach Auffassung der Autoren unverzichtbar. Auch
194
M. Spranger und D. Labudde
Abb. 6.12 a Histogramm der Antwortzeiten mit für den betrachteten Datensatz optimierter Reduktionsrate und anfänglicher Antwortbereitschaft. b Histogramm der Antwortzeiten der deliktbezogen
relevanten Nachrichten
6
Textforensik
195
Abb. 6.13 Workflow der Kurznachrichtenanalyse. Aus den Rohdaten r, exportiert aus dem Physical
Analyzer, werden alle Nachrichten zu Konversationen C zusammengefasst. Diesen Konversationen wird dann mithilfe eines Bag-of-Words-Modells und eines auf Ermittlererfahrung beruhenden
Wörterbuchs d ein Relevanzwert S zugeordnet. Dieser bildet die Grundlage für die Einfärbung
fallrelevanter Kontakte im aus r extrahierten Kontaktnetzwerk
wenn diese Datenbasis nur einmal grundlegend erzeugt werden muss, ist die Pflege und
Weiterentwicklung korrespondierend zur Entwicklung der lokalen Sprachgegebenheiten
und der aktuellen Entwicklungen im jeweiligen Deliktsbereich ausschlaggebend für den
erfolgreichen Einsatz der Software.
6.7.6
Erzeugung eines Wörterbuches
Für die Erzeugung eines geeigneten Wörterbuchs wurden deliktbezogen relevante Kurznachrichten (Untersuchungsdatensatz) unverdächtigen Kurznachrichten (Referenzdatensatz) gegenübergestellt. Im Ergebnis dieser sogenannten Diskriminanzanalyse kann jedes
Wort einer von vier Kategorien zugeordnet werden:
1. Kommt ein Wort nur im Untersuchungsdatensatz vor, handelt es sich um ein Fachwort.
2. Kommt ein Wort relativ häufiger im Untersuchungsdatensatz vor, handelt es sich mit
hoher Wahrscheinlichkeit um ein Fachwort.
3. Kommt ein Wort relativ häufiger im Referenzdatensatz vor, handelt es sich mit hoher
Wahrscheinlichkeit um kein Fachwort.
4. Kommt ein Wort nur im Referenzdatensatz vor, handelt es sich um kein Fachwort.
196
M. Spranger und D. Labudde
Angewendet auf unseren Untersuchungsdatensatz fanden wir 882 „verdächtige Begriffe“,
mit denen wir 98,5 % der als verfahrensrelevant markierten Nachrichten finden konnten.
Bei näherer Begutachtung der Trefferverteilung musste jedoch festgestellt werden, dass
die meisten Treffer einzigartig waren und damit für die Generalisierung ungeeignet. Der
Grund hierfür ist in den einzigartigen Schreibweisen, geprägt von den beschriebenen Charakteristika forensischer Kurznachrichten, zu finden. Trotzdem bildeten diese Begriffe die
Basis der weiteren Arbeit an einem geeigneten Wörterbuch. Die Ergebnisse wurden manuell aussortiert, bereinigt und mit Erfahrungswissen von Fachermittlern angereichert. Ein
spezieller Algorithmus formt dann aus diesem Rohwörterbuch allgemeinere Muster, um
einen großen Bereich von Schreibvarianten abzudecken.
Literatur
1. Topic maps, information technology, document description and processing languages (2002)
2. Polizeiliche
Kriminalstatistik
2012:
Bundesrepublik
Deutschland.
bka.de/SharedDocs/Downloads/DE/Publikationen/PolizeilicheKriminalstatistik/
2012/pks2012ImkKurzbericht,templateId=raw,property=publicationFile.pdf//
pks2012ImkKurzbericht.pdf (2013)
http://www.
3. 20 Newsgroups: http://qwone.com/~jason/20Newsgroups/ (2014). Zugegriffen: 6.1.2014
4. Ahmed, I., Guan, D., Chung, T.C.: SMS Classification Based on Naïve Bayes Classifier and
Apriori Algorithm Frequent Itemset. International Journal of Machine Learning and Computing
4(2), 183–187 (2014)
5. Al-Talib, D.G.A., Hassan, H.S.: A Study on Analysis of SMS Classification Using TF-IDF
Weighting. International Journal of Computer Networks and Communications Security 1(5),
189–194 (2013)
6. Beebe, N.L., Clark, J.G.: Digital forensic text string searching: Improving information retrieval
effectiveness by thematically clustering search results. Digital Investigation 4 (2007)
7. Chen, T., Kan, M.Y.: Creating a live, public short message service corpus: the NUS SMS corpus.
Language Resources and Evaluation 47(2), 299–335 (2013)
8. Cowie, J., Wilks, Y.: Information extraction. In: Dale, H.M.R., Somers, H. (Hrgs.) Handbook of
Natural Language Processing. New York: Marcel Dekker (2000)
9. Deepshikha Patel, M.B.: Mobile SMS Classification: An Application of Text Classification.
International Journal of Soft Computing and Engineering 1(1), 47–49 (2011)
10. Dengel, A. (Hrsg.): Semantische Technologien, 1. Aufl. Spektrum Akademischer Verlag (2012)
11. Ebbinghaus, H.: Über das Gedächtnis: Untersuchungen zur experimentellen Psychologie. Wiss.
Buchges. Darmstadt (1992)
12. Embley, D.W.: Toward semantic understanding: an approach based on information extraction
ontologies. In: Proceedings of the 15th Australasian database conference – Volume 27, ADC
’04, S. 3–12. Australian Computer Society, Inc., Darlinghurst, Australia, Australia (2004)
13. Fobbe, E.: Forensische Linguistik. Narr Francke Attempto Verlag Tübingen (2011)
14. Greuel, L., Offe, S., Fabian, A., P.Wetzels, Fabian, T., Offe, H., M.Stadler: Glaubhaftigkeit
der Zeugenaussage: Theorie und Praxis der forensisch-psychologischen Begutachtung. Beltz,
Psychologie Verlags Union (1998)
Literatur
197
15. Gruber, T.R.: Toward principles for the design of ontologies used for knowledge sharing. In:
Guarino, N., Poli, R. (Hrsg.) Formal Ontology in Conceptual Analysis and Knowledge Representation, Kluwer Academic Publishers (1993)
16. Huang, R., Riloff, E.: Peeling back the layers: detecting event role fillers in secondary contexts.
In: Proceedings of the 49th Annual Meeting of the Association for Computational Linguistics:
Human Language Technologies – Volume 1, HLT ’11, S. 1137–1147. Association for Computational Linguistics, Stroudsburg, PA, USA (2011)
17. Ikonomakis, M., Kotsiantis, S., Tampakas, V.: Text Classification Using Machine Learning
Techniques. WSEAS Transactions on Computers 4(8), 966–974 (2005)
18. Ishihara, S.: A Forensic Authorship Classification in SMS Messages: A Likelihood Ratio Based
Approach Using N-gram. In: Proceedings of the Australasian Language Technology Association Workshop 2011, S. 47–56. Canberra, Australia (2011) http://www.aclweb.org/anthology/U/
U11/U11-1008
19. Kozareva, Z.: Bootstrapping named entity recognition with automatically generated gazetteer
lists. In: Proceedings of the Eleventh Conference of the European Chapter of the Association
for Computational Linguistics: Student Research Workshop, EACL ’06, S. 15–21. Association
for Computational Linguistics, Stroudsburg, PA, USA (2006)
20. Maedche, A., Neumann, G., Staab, S.: Bootstrapping an ontology-based information extraction
system. Studies In Fuzziness And Soft Computing 111, 345–362 (2003)
21. Maicher, L.: The impact of semantic handshakes. In: Proceedings of the 2nd international conference on Topic maps research and applications, TMRA ’06, S. 140–151. Springer-Verlag,
Berlin, Heidelberg (2007)
22. Mikheev, A., Moens, M., Grover, C.: Named entity recognition without gazetteers. In: Proceedings of the ninth conference on European chapter of the Association for Computational
Linguistics, EACL ’99, S. 1–8. Association for Computational Linguistics, Stroudsburg, PA,
USA (1999)
23. Novak, J.D., Gowin, D.B.: Learning how to learn. Cambridge University Press (1984)
24. Riloff, E., Lehnert, W.: Information Extraction as a Basis for High-Precision Text Classification.
Transactions on Information Systems 12(3), 296–333 (1994)
25. Russell, S., Norvig, P.: Künstliche Intelligenz: Ein moderner Ansatz, 3. Aufl. Paearson Deutschland (2012)
26. Skudlark, A.: Characterizing SMS Spam in a Large Cellular Network via Mining Victim
Spam Reports. Tech. rep., International Telecommunications Society (ITS) Biennial Conference
(2014)
27. Spranger, M., Heinke, F., Appelt, L., Puders, M., Labudde, D.: MoNA: Automated Identification
of Evidence in Forensic Short Messages. International Journal On Advances in Security (2016)
28. Spranger, M., Labudde, D.: Semantic Tools for Forensics: Towards Finding Evidence in Short
Messages. In: The Fourth International Conference on Advances in Information Mining and
Management, S. 1–4. IARIA (2014)
29. Spranger, M., Schildbach, S., Heinke, F., Grunert, S., Labudde, D.: Semantic tools for forensics: A highly adaptable framework. In: Proc. 2nd. International Conference on Advances in
Information Management and Mining (IMMM), S. 27–31. IARIA, ThinkMind Library (2012)
30. Wang, J.Z., Du, Z., Payattakool, R., Philip, S.Y., Chen, C.: A new method to measure the semantic similarity of GO terms. Bioinformatics 23(10), S. 1274–1281 (2007)
198
M. Spranger und D. Labudde
31. Wimalasuriya, D.C., Dou, D.: Ontology-based information extraction: An introduction and a
survey of current approaches. Journal of Information Science 36(3), 306–323 (2010)
32. Xu, Q., Xiang, E.W., Yang, Q., Du, J., Zhong, J.: SMS Spam Detection Using Noncontent
Features. IEEE Intelligent Systems, S. 44–51 (2012)
33. Zhou, G., Su, J.: Named entity recognition using an hmm-based chunk tagger. In: Proceedings of
the 40th Annual Meeting on Association for Computational Linguistics, ACL ’02, S. 473–480.
Association for Computational Linguistics, Stroudsburg, PA, USA (2002)
7
Malware Forensics
Christian Hummert
7.1
Einleitung
Der Begriff des Computervirus taucht erstmals in der Kurzgeschichte „The Scarred Man“
von Gregory Benford aus dem Jahr 1970 auf. Die Geschichte erschien in dem Science
Fiction Magazin Venture Science Fiction [4]. Benford arbeitete von 1967 bis 1971 im
Lawrence Livermore Radiation Laboratory und soll dort 1969 die ersten gutartigen Computerviren für das Arpanet programmiert haben [5].
Weitere sehr frühe Computerviren waren 1983 der Fred Cohens Virus [14], im Jahr
1982 Rich Skrentas Elk Cloner [17] und zwischen 1981 und 1983 die Joe Dellingers Virii [2]. Erste Computerwürmer tauchten 1971 mit Creeper von Bob Thomas [11] und um
1980 mit den Xerox Worms von John F. Shoch und Jon A. Hupp auf [44]. Tatsächlich
war Malware in den 1980ern eher von akademischem Interesse. In den 1990ern hingegen entwickelte sich Malware zum Ausdruck einer Subkultur, auch wenn durch Malware
teilweise bereits erhebliche Schäden verursacht wurden. Schon durch den, vom späteren
MIT-Professor Robert Tappan Morris veröffentlichten, ersten Computerwurm, der sich
über das Internet verbreitete, den Morris-Wurm aus dem Jahr 1988, entstanden Kosten, die
von der US-Regierung später auf 96 Millionen US-Dollar geschätzt wurden [21]. Dennoch
bestand die Motivation, Malware zu programmieren, eher in dem vermeintlichen Gewinn
an Renommee innerhalb der Subkultur als im wirtschaftlichen Interesse.
Zwischen den Jahren 2000 und 2006 ergab sich ein großer Bruch. Die organisierte Kriminalität entdeckte die Computerkriminalität als neues Geschäftsfeld. Im Bundeslagebild
„Organisierte Kriminalität“ des deutschen Bundeskriminalamts aus dem Jahr 2005 taucht
der Begriff Computer noch garnicht auf. Im Jahr 2006 beschreibt das Bundeslagebild dann
C. Hummert ()
Inhaber des Lehrstuhls für IT-Sicherheit/Digitale Forensik, University of Applied Sciences
Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: hummert@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_7
199
200
C. Hummert
Abb. 7.1 Entwicklung des Verhältnisses zwischen Computerviren, Computerwürmern und Trojanern am Anteil der erkannten Malware insgesamt zwischen 2000 und 2006. (Quelle: [37])
bereits drei kriminelle Organisationen, die in Deutschland tätig sind und sich ausschließlich mit Computerkriminalität befassen.
Seit dem Jahr 2007 veröffentlicht das Bundeskriminalamt ein eigenes Bundeslagebild
Cybercrime. Die Schäden durch Computerkriminalität werden für das Jahr 2007 bereits
auf 31 Millionen Euro geschätzt. Eine Dunkelfelduntersuchung des Landeskriminalamts
Niedersachsen aus dem Jahr 2013 kommt zu dem Ergebnis, dass lediglich 9 % aller Delikte im Bereich Cybercrime angezeigt werden [8].
Im Zuge dieser Entwicklung sinkt der Anteil der technisch anspruchsvolleren Computerviren und Computerwürmer auf ein nahezu vernachlässigbares Niveau. Des Weiteren
gilt, dass Malware ohne eine ernsthafte Schadwirkung, also beispielsweise Viren, die sich
verbreiten und lediglich Nachrichten anzeigen, ebenso weit weniger häufig auftritt. An
ihre Stelle treten die deutlich einfacher zu entwickelnden Tojaner, die in der Regel einen
Payload mit einer Gewinnerziehlungsabsicht tragen (Abb. 7.1).
Aktuell tritt Malware praktisch nur für zwei Betriebssysteme auf. Im Bereich Personalcomputer betreffen 99,9 % der Bedrohungen Microsoft Windows [32]. Im Bereich
der mobilen Endgeräte ist die Verteilung ähnlich eindeutig. Im Jahr 2014 richteten sich
99,05 % aller Malware für mobile Devices gegen das Betriebssystem Android [29].
Hinter der Malware stecken fortan klare wirtschaftliche Interessen. Der verbreitetste
Typ Payload ist von nun an Spyware, für das Phishing von TANs für das Online-Banking.
Aber auch Ransomware und Bots mit der Möglichkeit Geld abzuschöpfen sind häufig.
7
Malware Forensics
201
7.2 Charakteristik – Einteilung von Malware
Die Einteilung von Malware in Klassen ist uneinheitlich und Gegenstand der wissenschaftlichen Auseinandersetzung. Nichtsdestotrotz wurde eine Reihe von Klassifikationsschemata vorgeschlagen. Aycock beispielweise nimmt eine Abgrenzung nach den Kategorien Self Replicating, also der Fähigkeit, sich selbst zu reproduzieren, Population Growth,
der Verbreitungsgeschwindigkeit, und Parasitic, also dem Parasitismus der Programme,
vor [2]. Der Autor nimmt hier eine eigene zweistufige Einordnung vor.
7.2.1
Verbreitung und Wirkung
Zunächst wird nach der Art und Weise der Verbreitung der Software eingeteilt. Hier sind
vier Arten zu unterscheiden:
Der Virus ist ein Computerprogramm, das sich selbsttätig reproduziert, indem es fremde Programme infiziert, diese werden dann Wirte genannt.Verbreitete Subtypen sind Linkviren, die andere Executables infizieren; Bootsektorviren, die den Bootsektor infizieren
sowie Skript- und Makroviren, die erst zur Laufzeit übersetzt werden.
Der Wurm ist ein Computerprogramm, das sich nach Ausführung selbsttätig verbreitet.
In Abgrenzung zum Virus verändert der Wurm keine fremden Dateien oder Bootsektoren.
Der Trojaner ist ein Computerprogramm, das als nützliche Anwendung getarnt ist, im
Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt. In Abgrenzung zum Virus und zum Wurm verbreitet sich der Trojaner nicht selbsttätig.
Der Rabbit ist ein Spezialfall des Wurms. Es handelt sich um einen Wurm, der immer
nur eine Kopie weiterschickt und sich dann an der alten Position löscht. Eine einzige
Kopie des Rabbits „hüpft“ also durch das Netz. Rabbits sind sehr selten, und bislang rein
akademischer Natur.
In einem zweiten Schritt wird nun nach dem Payload, also nach der Wirkung des Programms, unterschieden, wobei auch Malware ohne einen bösartigen Payload denkbar ist.
Zum Beispiel haben viele frühere Computerviren einfach nur eine Nachricht ausgegeben.
Bei der Unterteilung nach der Wirkung sind deutlich mehr Klassen angebracht und auch
noch weitere Klassen denkbar:
Die Logic Bomb ist ein Computerprogramm, das bei Erfüllung einer bestimmten Bedingung zur Ausführung kommt und bis dahin funktionslos ist.
Die Backdoor ist ein Computerprogramm, das Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung, Zugang zum Computer oder einer sonst geschützten
Funktion eines Computerprogramms zu erlangen. Insbesondere eine Rolle spielen Rootkits, die unberechtigt administrative Rechte gewähren, als Spezialfall der Backdoor. In der
Fachsprache wird auch der Terminus Rat für Remote Access Trojan verwendet.
Die Bacteria ist ein Computerprogramm, das extrem viele Kopien beziehungsweise
Instanzen von sich selbst startet, um Systemressourcen zu verbrauchen, wie Plattenplatz,
202
C. Hummert
Hauptspeicher oder Prozessorlast. Bacteria werden mitunter auch Rabbits genannt (nicht
eindeutig gegenüber dem Spezialfall des Wurms) oder in der Unix-Welt auch Fork-Bombs.
Die Spyware ist ein Computerprogramm, das die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an Dritte übermittelt. Insbesondere fallen BankingTrojaner, Password-Grabber und Keylogger in diese Kategorie. Da durch Spyware häufig
finanzielle Verluste entstehen und die Strafverfolgungsbehören eingeschaltet werden, bildet sie die häufigste Kategorie in der Malwareforensik.
Die Adware ist ein Computerprogramm, das die Daten eines Computernutzers ohne
dessen Wissen auswertet und dazu passende (oder unpassende) Werbung einblendet.
Die Ransomware ist ein Computerprogramm, das eine unerwünschte Zugriffs- oder
Nutzungsverhinderung von Daten oder des gesamten Computersystems erwirkt. Moderne
Ransomware setzt zu diesem Zweck häufig kryptografische Verfahren ein. Wegen des hohen Schadens wird Ransomware ebenfalls häufig angezeigt und bildet die zweithäufigste
Kategorie in der Malwareforensik.
Der Bot ist ein Computerprogramm, das den Computer zum Teil eines Netzwerks, dem
Botnet, macht und diesem unbemerkt Ressourcen zur Verfügung stellt. Botnetze dienen regelmäßig: als Proxys, zum Spamversand, zu DDoS-Attacken und DRDoS-Attacken, zum
Clickbaiting (Klickbetrug), zum Bitcoin Mining oder als Cloud.
Bei Hardware Damaging Malware handelt es sich um Computerprogramme, die die
Hardware von Computersystemen beschädigen. Solche sind sehr selten. Beispiele sind
das Löschen des BIOS, das Flashen von Firmwares oder Beschädigungen von Festplatten.
Aber zum Beispiel auch der bekannt gewordene Stuxnet-Wurm, der mehrere Zentrifugen
zur Urananreicherung im Iran beschädigt hat, fällt in diese Kategorie [19].
Ein Dropper ist ein Computerprogramm, das weitere Malware nachlädt und ausführt.
Weitere Malware Kategorien nach Payload sind denkbar und wahrscheinlich auch sinnvoll. Auf Smartphones wurde zuletzt beispielsweise vermehrt Malware festgestellt, die
SMS-Nachrichten an teure Premium-SMS-Dienste verschickt. Dieser Payload lässt sich
keiner der eben genannten Kategorien passgenau zuordnen. Auch bei Malware, die Bitcoins stiehlt [41] oder virtuelle Währungen aus Online-Spielen entwendet, bzw. gleich
ganze Spielaccounts übernimmt [13], lässt sich diskutieren, ob es sich hier noch um klassische Spyware handelt.
Eine Einteilung wird weiterhin durch die zunehmende Anzahl von Hybriden und Chimären erschwert, also Malware, die die verschiedenen Typen vermischt. Zum Beispiel
präsentierte Ken Thompson bereits im Jahr 1984 in seiner Dankesrede für den Turing
Award einen Compiler, der neben der Fähigkeit, C-Code zu compilieren: 1) In jedes übersetzte Projekt eine Backdoor integrierte, und 2) wenn er sich selbst übersetzte, einen
Compiler mit den gleichen Eigenschaften erzeugte [47]. Die Software ist also ein Trojaner, der sich wie ein Virus vermehrte und Backdoors integriert.
Bei der vorgeschlagenen Einteilung in zwei Schritten nach Verbreitungsweg und Payload ergeben sich so automatisch Hybriden es sei denn, es handelt sich um Malware ohne
Payload.
7
Malware Forensics
7.2.2
203
Innere Systematik
Wie bereits beschrieben, ergab sich zwischen den Jahren 2000 und 2006 ein Bruch im Bereich Malware. Es hatte ein Paradigmenwechsel hin zu einer großen Menge sehr ähnlicher
Malware Releases stattgefunden [22]. Dies erlaubte die Einteilung von Malware in Malwarefamilien und damit den Schluss von bekannter Malware auf unbekannte Malware.
Eine Entwicklung, die insbesondere die Tendenz zu Malwarefamilien stärkt, ist das
Aufkommen von Malware Buildern oder Malware-Generatoren [43]. Beispielsweise ist
der Zeus Trojaner eine Familie von Banking TANs stehlenden Trojanern, die im Jahr
2007 auftauchten. Zu Zeus wurden sogenannte Builder Kits im Untergrund vertrieben,
die es ermöglichten, ohne große Erfahrungen eigene Trojaner Varianten zu erzeugen [1].
Dies führte dazu, dass beständig neue Zeus-Varianten auftauchten. Laut dem Antivirenhersteller Kaspersky wuchs die Zahl neuer Varianten zwischen 2007 und 2009 beständig.
Der Höhepunkt wurde im Mai 2009 erreicht, als allein in diesem einen Monat über 5000
neue Varianten auftauchten [46].
7.3
Forensische Untersuchung von Malware
Im Strafverfahren ist es häufig notwendig, Malware zu analysieren. Ein Grund ist es
bei Malware, die Daten über Netzwerke übermittelt, den Empfänger der Daten festzustellen. Dies ist zum Beispiel bei Spyware relevant, die die gestohlenen Daten in einer
sogenannten Dropzone ablegt. Auch bei Botnetzen ist der Standort des Command-andControl-Servers von Interesse für die Strafverfolgung. Der Code von Malware wird häufig
untersucht, um Hinweise auf die Programmierer und damit auf die Urheber der Malware
zu erhalten.
Im Bereich der Antivirenhersteller ist Malwareanalyse vor allem deshalb von Interesse,
um Infection Vector und Payload der Malware zu verstehen und mit diesen Erkenntnissen
wirksame Gegenmaßnahmen zu entwickeln.
7.3.1 Belauschen von Malware
Einführend ein Exkurs über die erforderliche Geschwindingkeit, um durch das Belauschen
von Malware noch Informationen abgreifen zu können. Sogenannte Dropzones, in denen
Spyware die erbeuteten Daten ablegt, sind häufig sehr kurzlebig und werden nach wenigen
Tagen oder Stunden abgeschaltet. Command-and-Control-Server hingegen, die Botnetze
kontrollieren, sind häufig deutlich länger aktiv, oft sogar über Jahre.
Dropzones liegen häufig im entfernten Ausland, weil die Sicherheit vor Strafverfolgung
im Vordergrund steht. Command-and-Control-Server sind andererseits auf eine schnelle
Netzanbindung angewiesen und befinden sich häufig in Industrienationen.
204
C. Hummert
Abb. 7.2 Transparentes Belauschen eines infizierten PCs
mit einem Laptop mit zwei
Netzwerkadaptern als Brücke.
(Bildquellen: Icon PC: Autor: Edward Boatman, Lizenz:
CC BY 3.0 US, Icon Laptop:
Public Domain)
Der intuitive Gedanke zum Belauschen von Malware ist es sicherlich, einen Protocol
Analyzer wie Wireshark (Ethereal) auf den infizierten PC zu bringen und den Netzverkehr auf diese Art und Weise mitzuschneiden [36]. Dieses Verfahren bietet den Vorteil,
dass die Analyse in der tatsächlichen Tatumgebung stattfindet. Zudem ist das Verfahren
schnell und der Geschädigte muss den PC weder abgeben noch spiegeln lassen. Dennoch
bringt diese Vorgehensweise erhebliche Nachteile mit sich. Der PC des Geschädigten, von
dem ja bereits bekannt ist, dass er mit Malware infiziert ist, stellt augenscheinlich keine
forensische Umgebung dar. Zudem ist die Untersuchung nicht replizierbar. Hinzu kommt
noch, dass eine ganze Reihe von Malware erkennt, ob Wireshark auf dem System ausgeführt wird und gegebenenfalls alle Kommunikation einstellt.
Ein zweites gängiges Verfahren ist es, die Malware zu extrahieren und in eine virtuelle
Umgebung zu bringen. Die Vorteile sind, dass jetzt alle Schritte gut replizierbar sind und
die Analyse in einer definierten Umgebung stattfindet. Zudem erlauben es die verbreiteten Hypervisoren Snapshots anzufertigen, so dass sich RAM-Dumps mit der Malware
im Speicher leicht erzeugen lassen. Bei dieser Konstellation ist es möglich, den Protocol
Analyzer auf dem Host laufen zu lassen und die virtuelle Maschine so zu transparent zu
belauschen, ohne dass die Malware dies detektieren kann. Auf der anderen Seite ist es für
die Malware in diesem Fall möglich, zu erkennen, ob sie innerhalb einer virtuellen Maschine läuft, und wenn dem so ist, eine weitere Analyse zu verhindern [33]. Ein weiteres
Problem ist, dass die Malware ja erst einmal aus dem kompromittierten System extrahiert
werden muss und dass die Analyse nicht in der tatsächlichen Tatumgebung stattfindet.
Ein besseres Verfahren ist das Einrichten eines Laptops mit zwei Netzwerkkarten,
beispielsweise günstigen USB-Netzwerkadaptern als transparente Brücke (Vergleiche
Abb. 7.2). So kann ein mit Malware infizierter PC belauscht werden, ohne dass für die
Malware die Möglichkeit besteht, dies zu erkennen. Die eigentliche Analyse erfolgt auf
einem definierten System, wohingegen das infizierte System das Original ist und nicht
erst eine virtuelle Maschine infiziert werden muss. Das System ist portabel und kann zum
Geschädigten transportiert werden, ohne dass dieser seinen PC abgeben oder spiegeln
lassen muss. Alternativ können passive Netzwerkabzweige, wie der sogenannte Trowing
Star LAN Adapter [15], in die bestehende Netzwerktopologie eingebracht werden. Dann
kann das Sniffen auf einer Netzwerkkarte im Promiscuous Mode erfolgen (Abb. 7.2).
Das Belauschen von Malware auf mobilen Endgeräten erfolgt am einfachsten über den
WLAN-Adapter. Hierzu werden die mobilen Datendienste auf dem zu untersuchenden
7
Malware Forensics
205
Gerät deaktiviert, und es wird in ein überwachtes Drahtlosnetzwerk gebracht. Dabei empfiehlt es sich, einen Untersuchungsrechner als Accesspoint einzurichten. Jetzt kann das
Mobilgerät als einziges Gerät in dieses WLAN eingebunden werden, und der Protocol
Analyzer überwacht den WLAN Adapter. In der Regel ist es hierbei notwendig, den Netzverkehr aus dem abgesetzen WLAN in das Internet weiter zu routen, da ein Großteil der
Malware die Kommunikation einstellt, wenn keine Antworten eingehen.
Alternativ ist es möglich, die Malware auf Android Developer Boards zu bringen und
dort in einer definierten Umgebung an der Ethernet-Schnittstelle zu lauschen. Hier kommen Boards, wie das Wandboard oder Odroid, infrage [10].
Eine ganze Reihe von Malware verwendet DNS, um mit Servern zu kommunizieren.
Falls dem so ist, sollte der Server auch gefunden werden, damit das Schadprogramm mit
der Kommunikation beginnt. Falls der Server aber nicht mehr verfügbar ist, weil beispielsweise die zugehörige Dropzone bereits abgeschaltet wurde, empfiehlt sich die Simulation
der Verbindung. Dies ist durch einen Eintrag des Domainnamens in das Host-File möglich. Eine mächtigere Alternative ist der Einsatz von FakeDNS [23].
Auch erwartet die zu untersuchende Malware in der Regel nicht nur das schlichte
Vorhandensein des entsprechenden Servers, sondern zusätzlich die Bereitstellung spezifischer Dienste durch denselben. Neben der Erreichbarkeit des Ziels müssen also auch diese
Dienste simuliert werden. SMTP-Server lassen sich beispielsweise mit Mailpot [24], einem einfachen Mail-Honeypot, nachbilden. FTP-Server lassen sich sehr leicht mit dem
Freefloat FTP aufsetzen, einem minimalen FTP-Server, der jedes beliebige BenutzerPasswort-Paar akzeptiert.
7.3.2
Inhaltliche Analyse
Zur inhaltlichen Analyse von Malware muss diese zunächst aus dem infizierten System separiert werden. Hierzu kommen zunächst aktuelle Virenscanner zum Einsatz. Im
optimalen Fall werden beim Scan nur einige wenige verdächtige Dateien erkannt. Problematisch ist es, wenn sich auf einem System sehr viele verdächtige Dateien finden. Dann
fällt es schwer, zu differenzieren, welche Datei für den beobachteten Schadeffekt ursächlich ist. Ebenfalls schwierig ist die Analyse, wenn die zu untersuchende Malware noch
nicht von den Virenscannern erkannt wird. In diesem Fall muss die Schadsoftware durch
Methoden der Systemüberwachung erkannt werden.
Wurde die vermeintlich verantwortliche Malware-Executable festgestellt, empfiehlt es
sich, diese durch eine ganze Reihe von Antivirus Suites testen zu lassen. Zu diesem Zweck
bieten sich Webseiten an, wie Virus-Total [9], die eine Datei durch derzeit mehr als 50
verschiedene Antivirussysteme prüfen lässt.
Leider fallen augenblicklich die fehlenden oder nicht beachteten Namenskonventionen für Malware auf. Fast jeder Scanner benennt eine identische, erkannte Schadsoftware
anders. Die verschiedenen Malwareanalysten und Unternehmen haben sich nie auf eine
eindeutige Namenskonvention für Malware einigen können. Dies erschwert die Untersu-
206
C. Hummert
chung von Malware erheblich, weil es so nicht möglich ist, nach bestimmten Malwareprogrammen über ihren Namen zu suchen. Auch ist es schwierig, Ergebnisse zu vergleichen,
oder festzustellen, ob eine bestimmte Malware schon von einem anderen Forensiker untersucht wurde [28].
Nach der Identifizierung der Malware empfiehlt sich zunächst eine automatisierte Untersuchung der Malware. Webseiten wie Anubis ermöglichten es bis 2016, Programmdateien auf einen Server hochzuladen, auf dem diese dann in einer Sandbox ausgeführt
wurden, welche die Ergebnisse der Systemüberwachung als Report zur Verfügung stellte [3]. Für Android-Malware stand die Partnerseite Andrubis zur Verfügung [27]. Anubis
und Andrubis haben ihren Service derzeit allerdings eingestellt. Es ist aber anzunehmen,
dass sich bald vergleichbare Angebote entwickeln werden.
Falls Gründe vorliegen, die dem Hochladen von Programmdateien in das Internet entgegenstehen, existiert mit dem Cuckoo-Framework eine durchaus mit Anubis vergleichbare Möglichkeit, Malware lokal und automatisiert in Sandboxes auszuführen und zu
überwachen [35].
Um eine eigenständige Systemüberwachung zu realisieren, empfehlen sich, zur Analyse von Win32 und Win64 Malware, der Processexplorer und der Process Monitor aus
der Microsoft Sysinternals Suite. Der Processexplorer zeigt Informationen zu den Handles
und DLLs an, die durch Prozesse geöffnet oder geladen wurden. Wohingegen der Process
Monitor die früheren Programme Filemon und Regmon vereint und Zugriffe auf Dateien
und die Windows-Registrierungsdatenbank überwacht [42].
Eine geeignete Vorgehensweise ist es den Processexplorer und den Processmonitor
geöffnet zu halten, dann den Schadcode zur Ausführung zu bringen und die Aufzeichnung schnell anzuhalten. Jetzt können die Veränderungen am System in Ruhe abgelesen
und ausgewertet werden. Alle Dateien, die vom Schädling modifiziert oder geschrieben
werden, bedürfen im Weiteren eine besondere Untersuchung. Bei den geschriebenen Registrierungsschlüsseln handelt es sich in der Regel um Versuche, der Malware sich resident
zu machen.
7.4 Malware Antiforensics
Moderne Malware ist häufig bemüht, die forensische Untersuchung zu behindern oder bis
zur Unmöglichkeit zu erschweren. Zu diesem Zweck kommen verschiedene Techniken
der Verschleierung und der Antiforensik zum Einsatz. Dies betrifft nicht notwendigerweise dieselben Technologien, die von verschiedenen Schadprogrammen verwendet werden,
um sich einer Entdeckung durch Virenscanner zu entziehen [20, 26]. Allerdings erschweren solche Techniken wie Oligomorphie, Polymorphie oder Metamorphie die forensische
Analyse ebenfalls. Auf sie soll dennoch an dieser Stelle nicht eingegangen werden.
7
Malware Forensics
7.4.1
207
Kompression von Executables
Die am häufigsten angewandte Technik, zum Erschweren der Analyse von Malware, ist
Kompression. In den letzten Jahren gab es einen dramatischen Anstieg der Anzahl von
verschiedenen Packern, die zu diesem Zweck eingesetzt werden. Heute (2016) sind über
90 % aller Malware gepackt. Dabei treten über 50 verschiedene Laufzeitkompressionsverfahren auf [45].
Bei der Kompression ausführbarer Programmdateien werden die Programmdaten gepackt und diesen ein Entpackprogrammteil (Decompressor) vorangestellt, der die eigentlichen Programmdaten entpackt und anschließend startet. Das am weitesten verbreitete
Kompessionsverfahren ist mit Abstand UPX [34]. Weit über 50 % aller Malware ist UPX
komprimiert. Andere verbreitete Packer sind PECompact, Upack, ASPack/ASProtect, tELock, FSG, Themida, Armadillo und MEW.
Ist die Malware UPX gepackt, lässt sich das in PEview leicht feststellen, anstelle der
eigentlichen PE-Sections werden zwei Sections „UPX0“ und „UPX1“ angezeigt. Mit dem
Kommandozeilentool UPX (liegt derzeit in Version 3.91w vor) lässt sich die Executable
dann entpacken. Der Befehl hierzu lautet:
upx -d -o entpackt.exe gepackt.exe.
Dabei entspricht gepackt.exe dem Namen der komprimierten Executable, und das entpackte Ergebnis wird nach entpackt.exe geschrieben.
7.4.2
Verschlüsselung von Executables
Eine der ersten Ideen, um die Funktionsweise von Viruscode und die Detektion durch
Virenscanner zu verbergen, war Verschlüsselung. Der erste verschlüsselte Virus, der sich
verbreitete, war DOS/Cascade. Dies war am 01. Oktober 1987.
Bei der Verschlüsselung ausführbarer Programmdateien werden die Programmdaten
verschlüsselt und ihnen ein Entschlüsselungsprogrammteil, der sogenannte Decrypter,
vorangestellt, der die eigentlichen Programmdaten entschlüsselt und anschließend startet.
Dies geschieht analog zum Decompressor bei komprimierten Executables. Beispielhaft
sei hier der Decrypter von Dos/Cascade in Abb. 7.3 dargestellt.
Die Entschlüsselung erfolgt in einer Schleife über den zu entschlüsselnden Code. Die
Richtung dieses sogenannten Decryptor Loops kann vorwärts oder rückwärts sein. Bei
fortgeschrittenerer Malware können auch mehrere Verschlüsselungen übereinanderliegen.
In so einem Fall entschlüsselt der erste Decryptor den zweiten Decryptor usw. (Beispiele
sind: W32/Harrier, W32/Zelly). Bei mehreren Verschlüsselungen, die übereinanderliegen,
ist es auch möglich, die Richtung des Decrypter Loops in jeder Stufe zu ändern. Eine
andere Möglichkeit ist es, nur einen Loop zu verwenden, aber die Schlüssel immer wieder
neu zu ziehen.
208
C. Hummert
Abb. 7.3 Decrypter aus DOS/Cascade (Anm.: Der Decrypter aus DOS/Cascade bedient sich bereits
einer Anti-Debugging-Technik, da der Stack Pointer SP für Entschlüsselung verwendet wird.)
DOS/IDEA war der erste Virus, der starke Kryptografie verwendete. In diesem Fall
war der IDEA-Algorithmus im Virus selbst implementiert. Moderne Schadsoftware hingegen importiert die verwendeten Kryptofunktionen in der Regel. Beispielweise importiert
W32/Crypto die Microsoft Crypto-API und verwendete die KeyGen Funktion um Schlüssel zu generieren. Viele moderne Viren und vor allem Trojaner importieren allerdings die
Kryptofunktionen aus der OpenSSL Library.
Um Kryptografie im Quelltext festzustellen, ist es hilfreich, die Entropie über den
Bytecode zu berechnen. Bei starker Verschlüsselung ist die Entropie maximal oder fast
maximal. Beim Schieben eines Fensters über den Code und die fensterweise Berechnung
der Entropie lässt sich so unter Umständen sogar die Trennlinie zwischen Decrypter und
Chiffrat bestimmen.
7.4.3
Obfuskation
Obfuscation ist eine Technik, die das Verständnis von Code und von Executables erschweren und so eine effektive Analyse mit den Mitteln der Malware Forensik verhindern soll.
Die dahinterstehende Idee ist es, ein Programm durch ein Programm exakt gleicher Funktion, aber mit deutlich schwieriger zu analysierendem Code, zu ersetzten. Ursprünglich
wurde diese Technik entwickelt, um das geistige Eigentum von Softwareentwicklern zu
schützen. Heutzutage wird es aber im großen Maßstab als Antiforensikverfahren bei Malware eingesetzt [50].
7
Malware Forensics
209
Vor allem folgende Techniken finden dabei Anwendung:
Dead-Code Insertion ist eine relativ einfache Technik, bei der sinnlose Operationen,
sogenannter Junk Code, zwischen die sinnhaften Instruktionen integriert wird. Zum Beispiel können nops eingefügt oder auf nicht benötigten Registern sinnlose Operationen
durchgeführt werden.
Register Reassignment ist eine andere vergleichsweise einfache Technik. Hier werden
von Malwaregeneration zu Malwaregeneration die Register verschoben und die gleichen
Operationen auf jeweils anderen Registern durchgeführt. Ein bekanntes Beispiel für diese
Technik ist der Win95/Regswap Virus [48].
Subroutine Reordering verändert und verschleiert den originalen Code, indem die Reihung der Subroutinen zufällig verändert wird. Für k Subroutinen können auf diese Art und
Weise k! verschiedene Varianten eines Programms erzeugt werden.
Instruction Substitution ersetzt Instruktionen durch äquivalente Instruktionen. Beispielsweise können Loops durch Schleifen oder durch Sprünge substituiert werden. Oder
anstatt ein Register zu inkrementieren wird es zunächst dekrementiert, und dann werden
zwei zum Inhalt addiert.
Code Transposition reorganisiert die Abfolge der Instruktionen, ohne den Programmablauf zu verändern. So können beispielsweise Adressen oder Variablen früher oder später
geladen werden, oder bestimmte Aktionen können an andere Stellen im Code verschoben
werden.
In Code Integration ist ein Verfahren, dass nur bei Viren, die eine fremde Software als
Wirt haben, zum Einsatz kommt, hier werden durch Sprünge Teile des Codes der Wirtsoftware in den eigenen Programmablauf eingewoben. Ein Beispiel für In Code-Integration
ist Win95/Zmist [25].
7.4.4
Anti-Debugging Techniken
Eine weitere Klasse von Anti-Forensik-Techniken, die regelmäßig bei Malware zum Einsatz kommt, ist das sogenannte Anti-Debugging. Den Autoren der Schadprogramme wurde schnell klar, dass diese bei einer forensischen Untersuchung häufig in Debuggern
ausgeführt wird, um den Programmablauf besser nachvollziehen zu können. Es liegt also
nahe, Techniken einzusetzen, die Debugging erschweren oder verhindern [6]. Eine Auswahl solcher Techniken sei hier exemplarisch vorgestellt:
Ausmaskieren von Debug-Interrupts: Alle Debbugger müssen sogenannte Debug Interrupts belegen, um den Programmablauf unterbrechen zu können. Einige Schadprogramme
versuchen diese Debug-Interrupts auszumaskieren, zu verbiegen oder zu ersetzen.
Auch durch selbstmodifizierende Programme lässt sich Debugging unterbinden, dies
bedeutet im Wesentlichen, dass der Prozessor das Programm anders ausführt, als es in
den Speicher geladen wurden. Auch Checksummen können in diesem Zusammenhang
verwendet werden, um Debugger zu überlisten.
210
C. Hummert
Eine andere Möglichkeit, den Debugger zu stören sind, unsaubere Jumps, damit ist
ein Sprung mitten in einen Befehl gemeint. Die meisten Debugger können einen solchen
Sprung nicht verarbeiten und springen zu nächsten interpretierbaren Instruktion weiter.
Der Trick ist, an diese Instruktion einen Befehl zum Stoppen des Programms zu platzieren.
Im normalen Betrieb springt die CPU jedoch mit dem unsauberen Jump in den Befehl
hinein und findet dort einen weiteren Sprung über die Stopp-Anweisung hinweg.
Als letzte an dieser Stelle beschriebene Möglichkeit sei das Erkennen und Abschießen
von Debuggern genannt. Malware kann prüfen, ob beispielsweise ein zu Ida Pro, einem
verbreiteten Debugger, gehörender Prozess läuft und diesen Prozess gezielt beenden.
7.5
Malware Anatomie
Nachdem etwaigen Belauschen der Malware und der inhaltlichen Analyse ist es an der
Zeit, sich mit der Anatomie, also dem Programmcode, der Schadsoftware zu beschäftigen.
Bevor mit der Analyse begonnen wird, sollte immer zunächst sichergestellt werden,
dass die zu untersuchende Binary vollständig ist. Malware wird häufig nur unvollständig
oder korrumpiert übertragen. Die Analyse sollte jedoch stets an einer vollständigen Kopie
erfolgen.
In einem zweiten Schritt empfiehlt es sich, die Malware in einem einfachem Hex Editor
zu betrachten. So lässt sich beispielsweise schnell feststellen, um was für ein Format es
sich handelt. Der allergrößte Teil aller Schadprogramme wird als PE-File (Portable Executable) vorliegen. Gelegentlich treten aber auch andere Binärformate auf. Bei PE-Files
sollte immer geprüft werden, ob nur einen PE Header vorliegt, oder ob die Datei mehrere
PE-Header enthält. (Dies ist ein Zeichen für eine If-A-New Infektion [12].)
Als dritter Schritt sollte ein String Dump aus der Executable vorgenommen werden.
Dazu kann beispielsweise das strings-Kommando aus der Microsoft Sysinternals Suite
dienen. Aus den extrahierten Strings können häufig schon Informationen über importierte
Bibliotheken, aber auch über den Programmablauf und in einigen Fällen sogar Netzwerkadressen gewonnen werden.
Jetzt gilt es, sich einen Überblick über die Executable zu verschaffen, bei den üblichen
Windows Portable Executable Files ist das Programm PEview [40] hervorragend geeignet. In PEview werden die einzelnen Sections des PE-Files aufgelistet, und es kann zum
Beispiel schnell erkannt werden, ob die Executable komprimiert ist. Sollte dies der Fall
sein, muss das Programm an dieser Stelle entpackt werden. Nun ist es sinnvoll, mit der
entpackten Version in der Analysekette zurückzugehen und beispielsweise einen neuen
String Dump zu fertigen sowie die entpackte Version erneut in PEview zu betrachten.
Im Folgenden ist es ratsam, mit PEdump den PE-Header weiter zu zerlegen [38], hier
gilt es insbesondere, auf Unstimmigkeiten in den einzelnen Section-Headern zu achten.
Bei infizierten Executables oder bei selbstmodifizierendem Code kommt es hier regelmäßig zu Inkonsistenzen, die weiteren Aufschluss über die Malwareanatomie geben können.
7
Malware Forensics
211
Im nächsten Schritt wird versucht, aus den importierten API-Calls Aufschluss über den
Programmablauf zu erhalten. Ein Werkzeug, das sich in diesem Zusammenhang als besonders wirksam erwiesen hat, ist der Dependency Walker [16]. Diese Software kann 32-bit
und 64-bit Windows Binaries untersuchen und erzeugt eine hierarchiche Darstellung aller
abhängigen Module. Für jedes importierte Modul werden alle Funktionen aufgelistet, die
von diesem Modul exportiert werden, und es wird dargestellt, welche Funktionen tatsächlich gerade gecalled werden.
Im endgültigen Schritt muss die Malware decompiliert und der Assembler Code der
Executable untersucht werden. Das Werkzeug, das sich hier als Goldstandard etabliert
hat, ist der IDA Pro Disassembler [18]. Eine umfangreiche Einführung in MalwareDisassemblierung mit IDA zu geben, würde den Rahmen dieses Buchkapitels bei Weitem
überschreiten. Für eine detaillierte Beschreibung sei hier auf das hervorragende Buch von
Chris Eagle verwiesen. Aber auch ohne detaillierte IDA-Pro-Kenntnisse lohnt sich ein
schnelles Disassemblieren und ein kurzer Blick auf den Code nahezu immer. Für IDA
Pro existieren eine ganze Reihe von Plugins, die sich teilweise als sehr nützlich bei der
Malwareforensik erwiesen haben.
Das vielleicht hilfreichste Plugin, das für IDA Pro zur Verfügung steht, ist das FLARE
Toolkit. Es enthält unter anderem FLIRT, einen Algorithmus, der es ermöglicht, Funktionen aus den Standardbibliotheken im Assembler Code zu entdecken und zu annotieren.
Nachdem der Assembler Code durch FLIRT annotiert wurde wird eine Lesbarkeit erreicht,
die mit Code in einer Hochsprache vergleichbar ist. Allerdings ist es durch sehr fortgeschrittene Anti-Debugging-Konzepte möglich, FLIRT in seiner Analyse zu stören und
eine falsche Interpretation zu provozieren [30]. Dennoch lohnt eine Analyse des Codes
mit FLIRT fast immer.
Ein weiteres, bei der Analyse von Malware extrem hilfreiches IDA Pro Plugin ist findcrypt. Dieses Plugin scannt den Code auf die Verwendung bestimmter Konstanten hin,
die von kryptografischen Algorithmen verwendet werden. Dies erlaubt es, Programmteile, die kryptografische Funktionen implementieren, festzustellen und abzuleiten welche
Algorithmen verwendet werden [49].
Generell sollte das IDA Stealth Plugin verwendet werden. Es bemüht sich, das Vorhandensein von IDA gegenüber der Malware zu verbergen und so etwaige Anti-Dubugging
Techniken ins Leere laufen zu lassen. Leider deckt das Plugin nur einige wenige Detektionsverfahren ab, und moderne Malware hat häufig mehrere intelligente Methoden
implementiert [7]. Trotz des teilweise begrenzten Nutzens kann das Stealth Plugin in jedem Fall schadlos eingesetzt werden.
Auch das von Zbitskiy entwickelte IDA Entropy Plugin kann sich als nützlich erweisen.
Es ermöglicht es, die Entropie für 32-bit PE, ELF und andere Binärformate zu berechnen.
Zusätzlich ermöglicht es die Suche nach Codefragmenten nach einem gegebenen Entropiewert [31].
Das letzte IDA Plugin, das an dieser Stelle vorgestellt werden soll, ist das IDA Deobfuscator Plugin. Es versucht Anti-Disassembly-Code aus der zu untersuchenden Binary zu
212
C. Hummert
entfernen, und obfuskierten Code zu vereinfachen [39]. Dies ist automatisiert allerdings
nur sehr eingeschränkt möglich.
Literatur
1. Andriesse, D., Rossow, C., Stone-Gross, B., Plohmann, D., Bos, H.: Highly resilient peer-topeer botnets are here: An analysis of Gameover Zeus. In: 8th International Conference on
Malicious and Unwanted Software, IEEE, S. 116–123 (2013)
2. Aycock, John: Computer Viruses and Malware. Springer, New York (2006)
3. Bayer, U., Habibi, I., Balzarotti, D., Kirda, E., Kruegel, C.: A View on Current Malware Behaviors. In: LEET (2009)
4. Benford, G.: The Scarred Man. In: Ferman, E.L. (Hrsg.) Venture Science Fiction, Bd.(4/2) S.
122–132. Mercury Press, Cornwall, CT (1970)
5. Benford, Gregory: Catch Me If You Can. Communications of the ACM, 54(3), 112 (2011)
6. Bertelsons, B., Rasch, M.: PC Underground. Data Becker, Düsseldorf (1994)
7. Brand, M., Valli, C., Woodward, A.: Malware Forensics: Discovery of the intent of Deception.
The Journal of Digital Forensics, Security and Law: JDFSL, 5(4), 31–41 (2010)
8. Bundeskriminalamt (Hrsg.): Cybercrime Bundeslagebild 2013. Wiesbaden (2013)
9. Canto, J., Dacier, M., Kirda, E., Leita, C.: Large scale malware collection: lessons learned. In:
IEEE SRDS Workshop on Sharing Field Data and Experiment Measurements on Resilience of
Distributed Computing Systems (2008)
10. Cardoso, D.S.E.: Linux Based Mobile Operating Systems (Dissertation). Instituto Superior de
Engenharia de Lisboa (2015)
11. Chen, Thomas M., Robert, J.-M.: The evolution of viruses and worms. In: Statistical methods
in computer security, S. 265–282 (2004)
12. Cheng W.J.P., Rongcai Z., Xiaoxian L.: Using API Sequence and Byase Algorithm to Detect
Suspicious Behavior. International Conference on Communications and Networking in China,
Information and Coding Theory Symposium Xi’an, China, S. 26–29 (2009)
13. Choo, Kim-Kwang Raymond, Smith, R.G.: Criminal exploitation of online systems by organised crime groups. Asian Journal of Criminology 3.1, 37–59 (2008)
14. Cohen, Fred: Computer Viruses – Theory and Experiments. Computers & Security, 6(1), 22–35
(1987)
15. Dady K.: Sniff ethernet with a throwing star. HackaDay (2011)
16. Dependency Walker. http://dependencywalker.com (2014). Zugegriffen 14. Juni 2016
17. Dewdey, A.K.: Computer Recreations, A Core War Bestiary of Virus, Worms and other Threats
to Computer Memories. Scientific American 252, 14 (1985)
18. Eagle, C.: The IDA PRO Book. No Starch Press, San Francisco (2008)
19. Farwell, James P., Rafal Rohozinski: Stuxnet and the future of cyber war. Survival 53.1, 23–40
(2011)
20. Ferrie, P., Ször, P.: Hunting for metamorphic. Virus, 123–143 (2001)
Literatur
213
21. Gharibi, Wajeb: Studying and Classification of the Most Significant Malicious Software. arXiv
preprint arXiv:1106.0853 (2011)
22. Grier, C., Ballard, L., Caballero, J., et. al.: Manufacturing compromise: the emergence of
exploit-as-a-service. In: Proceedings of the 2012 ACM conference on Computer and communications security, S. 821–832 (2012)
23. Janbeglou, M., Zamani, M., Ibrahim, S.: Redirecting network traffic toward a fake DNS server on a LAN. In: 3rd IEEE International Conference on Computer Science and Information
Technology, S. 429–433 (2010)
24. Jezorek M.: Mailpot https://rubygems.org/gems/mailpot/versions/0.0.2. (2016). Zugeriffen am
14. Juni 2016
25. Konstantinou E.: Metamorphic Virus: Analysis and Detection. RHUL-MA-2008-02, Technical
Report of University of London (2008)
26. Lehner, M., Hermann, E.: Auffinden von verschleierter Malware. In: Datenschutz und
Datensicherheit-DuD, 30(12), S. 768–772. (2006)
27. Lindorfer, M., Neugschwandtner, M., Weichselbaum, L., Fratantonio, Y., Van Der Veen, V.,
Platzer, C.: Andrubis-1,000,000 apps later: A view on current android malware behaviors. Proceedings of the the 3rd International Workshop on Building Analysis Datasets and Gathering
Experience Returns for Security (BADGERS) (2014)
28. Maggi, F., Bellini, A., Salvaneschi, G., Zanero, S.: Finding non-trivial malware naming inconsistencies. In: Information Systems Security, S. 144–159. Springer, Berlin Heidelberg (2011)
29. Mas’ud, M.Z., Sahib, S., Abdollah, M.F., Selamat, S.R., Yusof, R.: Android Malware Detection
System Classification. Research Journal of Information Technology, 6(4), 325–341 (2014)
30. McMaster, J.: Issues with FLIRT aware malware (2011)
31. Mokbel, M.F.: On the Intractability of Designing an Efficient Entropy Brute Forcer (2012)
32. Munir, R., Pagna Disso, J.F., Awan, I., Mufti, M.R.: Quantitative Enterprise Network Security
Risk Assessment. In: UK Performance Engineering Workshop (2013)
33. Nguyen, A.M., Schear, N., Jung, H., Godiyal, A., King, S.T., Nguyen, H.D.: Mavmm:
Lightweight and purpose built vmm for malware analysis. Computer Security Applications
Conference, 2009. ACSAC’09, S. 441–450 (2009)
34. Oberhumer, M.F.X.J., Molnár, L., Reiser, J.F.: UPX: Ultimate packer for executables (2004)
35. Oktavianto, D., Muhardianto, I.: Cuckoo Malware Analysis. Packt Publishing Ltd (2013)
36. Orebaugh, A., Ramirez, G., Beale, J.: Wireshark & Ethereal network protocol analyzer toolkit.
Syngress (2006)
37. Panda Security (Hrsg.): Malware: Unglaublicher Anstieg von 25.000 % seit 2000. PresseBox,
Duisburg (13.07.2007)
38. Pietrek, M.: Inside windows-an in-depth look into the Win32 portable executable file format.
MSDN magazine, 17(2)(2002)
39. Raber, J., Laspe, E.: Deobfuscator: An automated approach to the identification and removal of
code obfuscation. In: wcre, S. 275–276 (2007)
40. Radburn, W.J.: PEview Last updated on 2016-02-07. http://www.wjradburn.com/software/
(2016). Zugeriffen: 14. Juni 2016
41. Rao, Siddharth Prakash: Turning Bitcoins into the Best-coins. arXiv preprint arXiv:1412.7424
(2014)
214
C. Hummert
42. Russinovich, Mark, Bryce Cogswell: Windows sysinternals (2008)
43. Shin, D., Lee, K., Won, D.: Advanced malware variant detection algorithm using structural characteristic of executable file. In: FGIT’11 Proceedings of the third International Conferencence
on Future Generation Information Technology. S. 301–308, Springer, Berlin Heidelberg (2011)
44. Shoch, J.F., Hupp, J.A.: The Worm Programs early Experience with a Distributed Computation.
Communications of the ACM, 25(3) (1982)
45. Sun, L., Versteeg, S., Boztaş, S., Yann, T.: Pattern recognition techniques for the classification
of malware packers. In: Information security and privacy, S. 370–390. Springer, Berlin Heidelberg (2010)
46. Tarakanov, D.: ZeuS on the Hunt. In: SecureList (2012)
47. Thompson, K.: Reflections on trusting trust. Communications of the ACM, 27(8), 761–763
(1984)
48. Wong, W., Stamp, M.: Hunting for metamorphic engines. Journal in Computer Virology, 2(3),
211–229 (2006)
49. Wright, J.L.: Finding cryptography in object code. In: Security Education Conference Toronto
(SecTOR) (2008)
50. You, I., Yim, K.: Malware obfuscation techniques: A brief survey. In: 2010 International conference on broadband, wireless computing, communication and applications, S. 297–300 (2010).
8
Audioforensik
Hartmut Luge
8.1 Einleitung
Die akustische Forensik oder auch Audioforensik ist ein relativ junges Teilgebiet der
Forensik, das durch die wissenschaftliche und technische Analyse von akustischen Signalen Fakten für straf- und zivilgerichtliche Verfahren bereitstellt. Für die Analyse können
originäre oder gespeicherte Audiosignale verwendet werden. Die Entwicklung der Audioforensik ist stark technisch und technologisch dominiert und damit eng an die Entwicklung der Audio- und Kommunikationstechnik gebunden. Mit der Erfindung des Telefons
1861 durch den deutschen Physiker P. Reis gab es die ersten technischen Einrichtungen zur akustischen Fernkommunikation. Die wichtige Speicher- und Verstärkungsmöglichkeit zum Einsatz der Audioforensik konnte mit der Erfindung der Elektronenröhre
1910 und der Tonbandaufzeichnung realisiert werden. Die Entwicklung der magnetischen
Aufzeichnungs- und Speichertechnik begann bereits 1898 durch Waldemar Poulsen, der
versuchte, auf einem Stahldraht erste magnetische Aufzeichnungen von Schallereignissen zu speichern. Die zweite bahnbrechende Erfindung gelang Eduard Schüller im Jahr
1933 mit dem Ringkopf, der als Tonkopf für Magnetbandgeräte eingesetzt wurde. Damit waren in den 1930er Jahren die wesentlichen audiotechnischen Grundlagen für die
akustische Forensik geschaffen. In der Zeit des Zweiten Weltkrieges wurden nicht nur
die ersten effektiven Sprachverschlüsselungsgeräte wie der Bell A3 Scrambler entwickelt,
sondern auch durch das Bell Telephone Laboratory die ersten Spektrogramme zur audioforensischen Identifikation der Stimmen gegnerischer Befehlshaber eingesetzt. Mithilfe der
Spektrogramme konnte der zeitliche Verlauf der in der Sprache enthaltenen Frequenzen
bzw. des Frequenzspektrums dargestellt werden und somit der Vergleich zu den OriginalH. Luge ()
Lehrstuhl für Kommunikationstechnik, University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: luge@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_8
215
216
H. Luge
stimmen realisiert werden. Mit dem Einsatz der ersten kommerziellen Analog-DigitalWandler (AD-Wandler) in den 1980er Jahren war es möglich, die Signalverarbeitung
von analoger Filter- und Signalaufbereitungstechnik auf digitale Signalverarbeitung und
Speicherung umzustellen. Hier konnte erstmals ein verlustfreies Kopieren von akustischen Signalen erreicht werden, wobei die ersten AD-Wandler aufgrund der geringen
Bitauflösung von meist 8 Bit schon einen ersten Informationsverlust gegenüber dem analogen Original erzeugten. Mit heutigen digitalen Speicherformaten und Bitauflösungen von
24 Bit in Kombination mit hohen Abtastfrequenzen bis 96 kHz oder in speziellen Formaten mit noch höheren Abtastfrequenzen kann eine relativ verlustarme digitale Speicherung
der akustischen Schallereignisse erfolgen. Auf diese gespeicherten digitalen Werte können
digitale Signalverarbeitungsverfahren angewendet werden, um zum Beispiel ein Spektrogramm für audioforensische Auswertungen mithilfe der Kurzzeit-Fourier-Transformation
(STFT) zu berechnen.
8.2 Überblick zu den Teilgebieten der akustischen Forensik
Die Audioforensik ist ein umfangreiches Gebiet, das sich durch die digitalen Verfahren der
Signalanalyse, Filtertechnik, Signalaufbereitung und -verstärkung noch weiterentwickeln
wird. Die Audioforensik kann in folgende Teilgebiete untergliedert werden:
phonetische Stimmerkennung und Stimmenvergleich (Voice Identification),
Nebengeräusche und Geräuscherkennung (Sound Identification),
Geräuschsynthese und Beurteilung (Audibility Analysis),
Hör- und Sprachverständlichkeitsverbesserung und phonetische Textanalyse (Intelligibility Enhancement),
Manipulations- und Echtheitsanalyse (Authenticity Analysis),
Zeit-Ereignis-Analyse (Event Sequence Analysis).
Diese audioforensischen Verfahren haben teilweise fließende Übergänge, und die Ergebnisse sollten immer im Zusammenhang betrachtet werden.
8.2.1 Phonetische Stimmerkennung und Stimmenvergleich
(Voice Identification)
Ziel der phonetischen Stimmenerkennung ist es, ausgehend von vorhandenem Audiomaterial einer Stimmaufzeichnung oder einem Original, die Stimme einer bestimmten Person
zuzuordnen [4, 14]. Diese Zuordnung kann manuell durch das Hören der Stimme oder mit
technischen Methoden erfolgen. Für die technische Analyse werden Spektrogramme bzw.
die Sonografie eingesetzt. Eine Spektralanalyse mit der Darstellung des zeitlichen Verlaufs
der im Signal enthaltenen Frequenzanteile eines Audiosignals wird auch als Sonagramm
8
Audioforensik
217
bezeichnet. Insbesondere wird bei der Audioanalyse der Sprache die Formantanalyse eingesetzt. Sie beruht auf den sogenannten Formantfrequenzen, die sprach- und sprecherabhängig sind. Unter anderem wurde die Formantanalyse bereits 1941 durch Kurt Vetterlein
zur Sprachentschlüsselung des Bell A3-Scrambler verwendet [5]. Für die audioforensische Stimmerkennung und den Stimmenvergleich wird die phonetische Charakteristik der
Stimme hinsichtlich Sprachfrequenzbandbreite, Stimmbandgrundschwingung, Formantfrequenzen, Reibelauten, Satzrhythmus und Atemmuster verwendet. Zusätzlich können
durch die Stimmanalyse Informationen über das Geschlecht, Alter, regionale Herkunft,
Muttersprache usw. gewonnen werden.
8.2.2
Nebengeräusche und Geräuscherkennung (Sound Identification)
Zur Geräuscherkennung werden die zu identifizierenden Schallereignisse mit Aufnahmen
von bekannten Geräuschen verglichen, um eventuelle Rückschlüsse über Art, Zeit und
den Entstehungsort durchführen zu können [12]. Zu berücksichtigen ist hier die Möglichkeit, dass sich Störartefakte bedingt durch die Mikrofoninstallation sowie die Aufnahmeund Übertragungstechnik einschleichen können. Nebengeräusche können oft zusätzliche
Informationen über Aufnahmeort und Zeit liefern, aber auch die Spracherkennung behindern. Zur Beseitigung von unerwünschten Nebengeräuschen können statische und adaptive Audiofilter eingesetzt werden.
8.2.3 Geräuschsynthese und Beurteilung (Audibility Analysis)
Bei der Geräuschsynthese werden Geräusche durch informationstechnische Verfahren erzeugt, um sie für eine analytische Hörprobe bereitzustellen. Dafür können vorhandene
Geräusche durch Verstärker und Filtertechnik in Amplitude und Frequenzgang modifiziert
werden. Die zweite Möglichkeit bietet die synthetische Herstellung von Geräuschen durch
Einsatz eines Arbiträrgenerators, der eine beliebige Signalform erzeugen kann. Diese Geräusche können dann durch die technische Modifikationsmöglichkeit in verschiedenen
Hörproben zur Verfügung gestellt werden.
8.2.4 Hör- und Sprachverständlichkeitsverbesserung und phonetische
Textanalyse (Intelligibility Enhancement)
Die Verbesserung der Hör- und Sprachverständlichkeit ist eine Voraussetzung, um Audiosignale für gut erkennbare und verständliche Hörproben bereitzustellen. Dafür gibt es
in der Informations- und Audiotechnik umfangreiche technische Möglichkeiten [2, 13].
Zur Verbesserung der Hörbarkeit können folgende Verfahren auf analoger oder digitaler
Ebene eingesetzt werden:
218
H. Luge
Vergrößern oder Verkleinern der Signalamplituden durch Verstärkung oder Dämpfung
des originalen Audiosignals,
Kompression oder Dekompression der Amplituden des Audiosignals (bei der Kompression werden leise Audiopassagen lauter und laute Passagen werden gedämpft und
damit wird der Dynamikumfang des Signals kleiner, und eventuell bisher verdeckte
Audioanteile können hörbar werden),
Beeinflussung des Frequenzspektrums des Audiosignals durch statische oder adaptive
Filter (einzelne Frequenzbereiche können durch Filtertechnik im Pegel verstärkt oder
gedämpft werden, um zum Beispiel Störgeräusche auszublenden oder andere Schallereignisse besonders hervor zu heben).
Die phonetische Textanalyse wird verwendet, um schwer verständliche Passagen einer
Sprachaufzeichnung in die Schriftform zu übertragen. Hier geht es, analog der Sprachentschlüsselung, um die Spracherkennung bezüglich des Inhalts.
8.2.5 Manipulations- und Echtheitsanalyse (Authenticity Analysis)
Durch Echtheitsanalyse können Aussagen über die Authentizität des Audiomaterials und
eventuell auch des Datenträgers getroffen werden. Ziel ist es, Fälschungen oder Manipulationen durch Untersuchung der Audiosignale und des Datenträgers zu erkennen. Der
Manipulations- oder Fälschungsnachweis ergibt sich aus der Veränderung der Struktur des
Datenträgers zum Beispiel bei analogen Aufzeichnungen auf Magnetband [7] oder dem
nicht miteinander korrelierenden Eigenschaften von Nutzinformation und Nebeninformation. Oft werden bei Fälschungen die Nutzsignale und Informationen geändert und die an
den Nebeninformationen oder Signalen entstehenden Veränderungen nicht berücksichtigt.
Auch nicht durchgeführte Änderungen an den Nebeninformationen oder Signalen können
ein Anhaltspunkt für eine Manipulation oder Fälschung sein. Bei analogen Aufzeichnungen auf Magnetband können zum Beispiel Manipulationen durch optische Betrachtung
des Magnetbandes mit dem Magnetic-Tape-Viewer erkannt werden. Damit ist es möglich, alle Schnitt-, Lösch-, Start- und Stoppimpulse zu erkennen. Für Aufnahmen, die mit
einem an das Stromnetz angeschlossenen Gerät erzeugt oder gespeichert wurden, kann
die Auswertung des Netzfrequenzrauschens durch die ENF-Analyse (Electrical Network
Frequency-Analysis) verwendet werden, um die Echtheit zu überprüfen.
8.2.6 Zeit-Ereignis-Analyse (Event Sequence Analysis)
Mit der Zeit-Ereignis-Analyse wird das Übereinstimmen von Uhrzeit und Herkunft von
akustischen Signalen bzw. Audioaufzeichnungen mit anderen Schallereignissen geprüft.
Bei Übereinstimmung könnte man von einer echten Aufzeichnung ausgehen.
8
Audioforensik
8.3
219
Formate und Verfahren der technischen Audioforensik
8.3.1 Audioformate und Übertragungskanal
Für Analysen in der Audioforensik ist die Qualität des verwendeten Audiomaterials von
Bedeutung. Die Eigenschaften des Audiomaterials hängen vom Speichermedium, Speicherverfahren und dem Übertragungskanal ab. Hier wird zwischen analogen und digitalen Speicherverfahren unterschieden. Zu den analogen Speicherverfahren und Formaten
gehört vor allem die analoge Aufzeichnung auf Magnettonband (s. Abb. 8.1). In der Magnetschicht des Tonbandes wird durch das gleichmäßige Vorbeiziehen des Tonbandes am
Kopfspalt des Aufnahmekopfes eine dauerhafte magnetische Remanenzstruktur erzeugt,
in der die Information des Audiosignals durch entsprechend stärkere und schwächere Magnetfelder gespeichert wird. Die Stärke des Magnetfeldes, das im Aufnahmekopf erzeugt
wird, entspricht der Amplitude des Audiosignals zu einer bestimmten Zeit. Damit erfolgt
eine rein analoge Speicherung des Audiosignals, die wert- und zeitkontinuierlich ist. Hier
entsteht also kein verfahrensbedingter Informationsverlust wie bei digitalen Verfahren.
Für die Wiedergabe des Audiosignals wird in umgekehrter Weise das im Tonband gespeicherte Magnetfeld genutzt, um im Wiedergabekopf unterschiedlich hohe Induktionsspannungen zu erzeugen. Zur Löschung wird bei einfachen Geräten ein Permanentmagnet
eingesetzt. Bei modernen und hochwertigen Geräten erfolgt meist eine Löschung durch
Abb. 8.1 Spulentonbandgerät BG23 für Magnettonaufzeichnungen. (Sammlung H. Luge)
220
H. Luge
Abb. 8.2 links Löschkopf und rechts Wiedergabe-Aufnahmetonkopf mit Schrauben zur Einstellung
der Spurlage. (Sammlung H. Luge)
ein Hochfrequenzfeld, das in einem Löschkopf mit Frequenzen im Bereich um 60 kHz
erzeugt wird (s. Abb. 8.2). Die Geschwindigkeit des Vorbeitransports des Tonbandes am
Tonkopf wird als Bandgeschwindigkeit bezeichnet und kann übliche Werte von 19,05,
9,53, 4,76 und 2,38 cm/s annehmen. Je höher die Bandgeschwindigkeit, desto größer ist
der Frequenzumfang von der unteren bis zur oberen Grenzfrequenz in Abhängigkeit von
der konstruktiven Gestaltung des Kopfspaltes des Tonkopfes. Im Bereich der digitalen
Audiotechnik für Aufnahme, Speicherung, Bearbeitung und Wiedergabe stehen heute ADWandler und DA-Wandler zur Generierung und Wiedergabe digitaler Daten aus analogen
Audiosignalen zur Verfügung. In Abb. 8.3 sind die Komponenten zur Gewinnung von digitalen Daten aus Audiosignalen dargestellt. Am Anfang steht immer ein Tiefpassfilter, um
die Bedingung des Nyquist-Shannon-Abtasttheorems zu erfüllen. Dafür muss ein bandbegrenztes Signal mit der maximalen Frequenz Fmax mit einer Frequenz von mindestens
2 Fmax oder größer abgetastet werden. Nur dann kann aus dem zeitdiskreten Signal wieder ein dem original entsprechendes Signal rekonstruiert werden. Je größer die Abtastrate,
desto besser ist das aus dem Originalsignal restaurierbare Audiosignal.
Generell ist jedoch mit einer Digitalisierung eines analogen Audiosignals durch die
Umwandlung eines zeit- und wertkontinuierlichen Signals in ein zeit- und wertdiskretes Signal immer ein irreversibler Informationsverlust zum Originalsignal verbunden. Die
digitalen Audiorohdaten können in unkomprimierten Audioformaten (wie zum Beispiel
8
Audioforensik
221
Abb. 8.3 Komponenten zur Digitalisierung von Audiosignalen in verschiedene Audioformate
dem Windows wav-Format) und in komprimierten Formaten (wie zum Beispiel dem mp3Format, MPEG 2.5 Layer 3) wie in Abb. 8.4 dargestellt, codiert und gespeichert werden. In
unkomprimierten Audioformaten wird der direkte Abtastwert nur codiert gespeichert. Die
Qualität des Audiosignals hängt von der Bitauflösung des AD-Wandlers und der gewählten Abtastrate ab. Um die anfallenden Datenmengen zu reduzieren, wird eine verlustfreie
oder verlustbehaftete Datenkompression eingesetzt. Übliche Abtastraten sind 8000 Hz bei
8-Bit-Auflösung als abtastorientierte Codierung (sample-based) für Telefonqualität mit
einer Datenrate von 64 kBit/s (8 bit 8000 Abtastungen). Eine deutliche Datenreduzierung ergibt die Verwendung der segmentorientierten Codierung (frame-based) mit einer
weiteren Datenratenreduzierung von kleiner 20 kBit/s durch die modellhafte Übertragung
Abb. 8.4 Speicherung der digitalen Rohdaten in unkomprimierten und komprimierten Audioformaten
222
H. Luge
(LD-CELP, CS-ACELP usw.) des Zustandes des Vokaltraktes. Höherwertige Auflösungen, wie zum Beispiel von einer CD/DVD, werden mit 44.100 Hz abgetastet bei einer
Bitauflösung von 16 Bit. Je höher die Bitauflösung und die Abtastrate, desto höher ist die
Audioqualität. Zusätzlich können auch proprietäre Audioformate entwickelt und verwendet werden – zum Beispiel, um eine sehr hohe Aufzeichnungs- und Wiedergabequalität
zu erreichen. Durch die Überabtastung können mehr Details des Amplitudenverlaufs des
Analogsignals in digitale Abtastwerte überführt werden. Das ermöglicht eine originalgetreuere Reproduktion des Analogsignals in einem DA-Wandler. In der Audioforensik sind
Filter ein wichtiges Arbeitsmittel, um Hör- und Sprachverständlichkeit, Geräuscherkennung und Geräuschunterdrückung im Audiomaterial zu verbessern. Dabei kann zwischen
statischen Filtern und adaptiven Filtern unterschieden werden. Die statischen Filter können analog oder digital ausgeführt werden und besitzen einen festen Frequenzgang. Hier
werden also unabhängig vom Audiosignal bestimmte einstellbare Frequenzbereiche im
Amplitudenpegel verstärkt oder gedämpft. Eingesetzt werden Hochpass, Tiefpass, Bandpass oder Bandsperre mit einstellbaren, aber festen Frequenzen. Ein typischer Anwendungsfall ist der Einsatz eines einstellbaren Equalizers für den Hörfrequenzbereich von
18 Hz bis maximal 20 kHz.
Die adaptiven Filter haben keinen festen Frequenzgang, sondern werden durch komplexe digitale Filteralgorithmen an die Schallereignisse und Geräusche angepasst. Eine
wichtige Anwendung der statischen Filter sind die adaptiven Single Channel Filter, die
bestimmte feste und sich wiederholende Audioanteile von nicht festen Audioanteilen, wie
zum Beispiel Sprache, trennen können. Das können Audioanteile wie Windgeräusche,
Pfeiftöne, Motorbrummen usw. mit relativ konstanter Amplitude und Frequenzbereich
sein. Mithilfe von Latticefiltern können bestimmte Reibelaute und Konsonanten hervorgehoben werden. Durch Anwendung von adaptiven Cross Channel Filtern können Schallereignisse und Geräusche entfernt werden, für die Referenzgeräusche vorhanden sind. Diese
Vergleichsgeräusche, wie zum Beispiel laute Musik zur Überdeckung einer Sprachkommunikation, kann man durch entsprechende Überlagerung mit adaptiven Cross Channel
Filtern entfernen und die Sprache wieder verständlich dargestellen. Mit Hilfe von BandAdaptiven-Filtern werden nicht statische Filter realisiert, die bestimmte Frequenzbereiche
verstärken oder dämpfen sollen. Die Filterparameter für Frequenzbereich und Amplitudengang werden dann adaptiv an das zu verstärkende Nutzsignal oder an das zu dämpfende Störspektrum angepasst. Diese Filter sind adaptive Kombinationen von Bandpass,
Tiefpass, Hochpass und Bandsperre.
8.3.2 Manipulation und Echtheit von Audioaufzeichnungen
Der Manipulations- und Fälschungserkennung einer Audioaufzeichnung kann auf der
Differenz zwischen Nutzinformation bzw. -signalen und den Nebeninformationen bzw.
-signalen basieren. Dabei wird bei einer Fälschung auf jeden Fall die Nutzinformation
geändert, aber die Nebensignale müssen mit der Nutzinformation korrelieren. Passen also
8
Audioforensik
223
Nutzinformation und Nebeninformation nicht zusammen, kann man von einer Manipulation ausgehen. Dabei kann die Nebeninformation entweder gar nicht verändert worden
sein oder nicht zur Nutzinformation passen. Diese grundlegende Korrelation von Nutzinformation bzw. -signal und Nebeninformation kann prinzipiell als Indikator einer Manipulation bzw. Fälschung angesehen werden. Für die akustische Forensik spielten die
Magnettonaufzeichnungen bereits in den 1960er Jahren eine bedeutende Rolle [7] mit
einem umfangreichen Kenntnisstand über Manipulations- und Fälschungsmöglichkeiten
und deren Erkennung. Bei den Magnettonaufzeichnungen kann zwischen mechanischen
und magnetischen Manipulationen unterschieden werden. Zu den mechanischen Manipulationsmöglichkeiten zählt das Herausschneiden oder Einfügen von Bandmaterial im
Nass- oder Trockenverfahren. Auch das Schneiden des Bandes mit einer Metallschere statt
mit einer Plastikschere hinterlässt magnetische Veränderungen auf dem Magnettonband,
die ausgewertet werden können. Zu den Änderungsversuchen zählen Löschung, Löscheinfügung, Kopieren und Zusammenmischen von mehreren Aufzeichnungen. Für die Analyse können optische Verfahren und Signalpegeluntersuchungen durchgeführt werden. Die
optische Untersuchung des Magnettonbandes erfolgt durch Anzeige der magnetischen
Strukturen, die auf dem Tonband vorhanden sind. Durch diese optische Untersuchung können Löschungen, Start und Stopp der Aufzeichnung, direkte Schnitte und kopierte Schnitte
sichtbar dargestellt werden. Die Auswertung des Audiosignals bietet bei der Darstellung
in einem Oszillogramm mit der Aufzeichnung der Amplitude über die Zeit ebenfalls Anhaltspunkte anhand des Amplitudenverlaufs.
Damit kann der Start- und Stoppimpuls einer Löschung und auch eine Löschung eines
Audiosignals gegenüber einem nicht vorhandenen Signal anhand des Rauschpegelabfalls
erkannt werden. Auch eine Einfügung durch Überspielung eines vorhandenen Audiosignals anhand des Audiopegelabfalls zu Beginn der Löschung bzw. der Hochfrequenzvormagnetisierung kann detektiert werden.
Die dritte Möglichkeit der Manipulationserkennung bei Magnettonaufzeichnungen ist
der Einsatz des Spektrogramms mit der Darstellung des Frequenzspektrums. Hier können zum Beispiel auch Schnitte einer Aufnahme nach dem Umkopieren mit Hilfe des
immer noch vorhandenen Schnittimpulses nachgewiesen werden. Weitere Möglichkeiten
zur Identifizierung von Aufnahmegeräten sind die Parameter Spurhöhe, Spurlage, Bandgeschwindigkeitsabweichung, Start und Stopp der Aufnahme, Stärke und Frequenz der
Vormagnetisierung. Für die übliche Hochf 06.01.2017requenzvormagnetisierung wurden
keine quarzstabilen Oszillatoren eingesetzt, sodass je nach Alter der Bauteile und Bauelementtoleranzen Frequenzvariationen auftreten können. Andere gerätespezifische Eigenschaften sind der Signalrausch-Abstand bzw. -stör-Abstand, der bei durchschnittlichen
Geräten um die 40 db liegt. Ebenso kann der Frequenzgang ein charakteristisches Merkmal darstellen. Dieser wird definiert mit unterer und oberer Grenzfrequenz, die sich aus
der Gerätekonstruktion, Schaltungstechnik, Bandgeschwindigkeit und der eingestellten
Spurlage des Tonkopfes ergeben und gerätespezifisch sind. Damit kann ein Rückschluss
auf ein eventuell verwendetes spezifisches Gerät erfolgen.
224
H. Luge
Zur Ermittlung der Manipulation digitaler Audiodaten kann die Höranalyse, Amplituden- und Frequenzanalyse und eine Formantstrukturanalyse durchgeführt werden. Die
Manipulation von digitalen Audiodaten unter Nutzung entsprechender Audiosoftware
zum Löschen, Schneiden und Einfügen ist relativ einfach möglich.
Alle Manipulationen des Audiomaterials wie Schneiden, Löschen, Einfügen und Enoder Decodierung hinterlassen jedoch Spuren in den Audiodateien. Diese Veränderungen,
wie zum Beispiel eine andere Netzfrequenz (ENF-Analyse) oder der Einsatz eines anderen
Mikrofons, können erkannt werden.
Eine wichtige Methode zur Echtheitsprüfung ist die ENF-Analyse des digitalen Audiomaterials bei der das Netzfrequenzrauschen untersucht wird. Für Teile der Welt wie
Europa, Asien, Afrika, Australien gilt eine Netzfrequenz von 50 Hz, während für große
Teile von Amerika eine Frequenz von 60 Hz gilt. Diese Netzfrequenz schwankt je nach
Region, Tageszeit und Netzbelastung um bis zu 1 Hz. Bei starker Netzbelastung sinkt die
Netzfrequenz ab. Diese Schwankungen verursachen bei angeschlossener Audiotechnik ein
Rauschsignal, das für die ENF-Analyse verwendet werden kann. Durch den Vergleich der
von den Netzbetreibern aufgezeichneten Frequenzänderungen mit dem Frequenzrauschen
von Aufzeichnungen kann der Ort und die Uhrzeit der Aufzeichnung validiert werden.
Neuere Forschungen auf dem Gebiet der Audioforensik vermindern die Einflüsse
von niedrigem Signal-Rausch-Verhältnis und kurzen Audioaufzeichnungen durch neue
schwellwertbasierte dynamische Algorithmen [3]. Weitere Methoden sind die Untersuchung von Artefakten auf Basis des akustischen Nachhalls und des Hintergrundrauschens.
Dieses Verfahren der Dynamic Acoustic Environment Identification (AEI) kann über Raum
und Zeit der Aufnahme Aussagen ermöglichen [8].
Auch der Einsatz von zusätzlichem Rauschen, Lärm und Umgebungssignalen kann
verwendet werden, um Manipulationsversuche zu verschleiern. Auch das Problem der modifizierten und getarnten Originalstimmen durch Veränderung des Frequenzspektrums des
Sprachsignals als sogenannte disguised voices kann mit einer relativ hohen Trefferquote
durch neue Verfahren basierend auf den Mel Frequency Cepstrum Coefficients (MFCC) in
einer Analyse gelöst werden [14].
Auch die Schusswaffenerkennung und Kalibererkennung durch audioforensische Untersuchungen des aufgenommen Audiosignal wurde bereits untersucht [12]. Durch den
Einsatz digitaler Aufzeichnungsverfahren in Überwachungskameras, Smartphones und
der aktuellen digitalen Audiotechnik wird umfangreiches Audiomaterial in digitalen Medien (Festplatte, USB usw.) aufgezeichnet und als Archivmaterial bereitgestellt. Diese
digitalen Formate können mit entsprechender Audiosoftware leicht bearbeitet oder auch
verfälscht werden. Zum Schutz gegen diese Verfälschungen gibt es verschiedene Verfahren die einerseits auf kryptografischen Protokollen und Verschlüsselung basieren und
andererseits auf der Auswertung und Einbettung von inhaltsbasierten Merkmalen in die
Audiodatei. Die beiden Ansätze zur Generierung von digitalen Wasserzeichen zum Schutz
des Audiomaterials sind inhaltsfragile Wasserzeichen und invertierbare Wasserzeichen.
Bei den inhaltfragilen Wasserzeichen werden Inhaltsinformationen des Audiomaterials
in das Audiomaterial eingebettet und zur Erkennung von Manipulationen verwendet. In-
8
Audioforensik
225
vertierbare Wasserzeichen haben durch den Einsatz von kryptografischen Verfahren ein
hohes Sicherheitsniveau. Der ausschließlich kryptografische Ansatz, bei dem zum Beispiel im einfachsten Fall die Audiodatei mit einem symmetrischen Verschlüsselungsverfahren (AES, Blowfish etc.) verschlüsselt und anschließend als verschlüsselte Audiodatei
abgespeichert wird, hat leider auch Nachteile, da die Audiodatei vor der Benutzung erst
entschlüsselt werden muss. Der Einsatz von digitalen Signaturen zeigt bei einer Formatwandlung zum Beispiel vom wav-Format in das mp3-Format auch eine unerlaubte
Manipulation an, da durch die verlustbehaftete Kompression digitale Datenbestandteile
verloren gehen. Hauptproblem ist das Fehlen von Informationen über die Integrität des
Audiomaterials im Audiomaterial selbst. Die Lösung ist der Einsatz digitaler Wasserzeichen. Ein digitales Wasserzeichen setzt mit einem Einbettungsalgorithmus ein nicht
erkennbares Muster in das Audiomaterial unter Verwendung eines geheimen Schlüsselcodes ein. Die Auswertung des digitalen Wasserzeichens gestattet es festzustellen, ob
das Audiomaterial oder bestimmte Zusatzinformationen wie zum Beispiel die Metadaten
manipuliert wurden. Der Einsatz von sich selbst verifizierenden inhaltsfragilen digitalen
Wasserzeichen bietet die Möglichkeit, ohne einen geheimen Schlüssel Inhaltsinformationen der Audiodatei zu einem Fingerprint zu berechnen und in die Audiodatei mit
einem Wasserzeichenverfahren einzubetten. Bei einer späteren Verifikation der Echtheit
der Audiodatei wird der Fingerprint aus den Inhaltsmerkmalen neu berechnet, mit dem
vom Wasserzeichenverfahren eingebauten Fingerprint verglichen und bei Übereinstimmung die Echtheit bestätigt. Für die Auswahl der inhaltsabhängigen Audiomerkmale zur
Berechnung des Fingerprint einer Datei bzw. eines Dateiabschnitts sollen folgende Forderungen erfüllt werden. An erster Stelle steht die Stabilität des digitalen Fingerprints
bei geringen und erlaubten Modifikationen wie verlustbehaftete Kompression, zusätzliche
Rauschsignalanteile, geringe Änderung der Abtastrate und Dynamikkompression. Der digitale Fingerprint sollte Angriffe auf das Einbettungsverfahren durch Änderung seines
Fingerprint anzeigen können. Ein grundlegender Ansatz inhaltsrelevante Merkmale für
den Fingerprint zu gewinnen ist, wie auch bei der Spracherkennung, die Bestimmung der
Grundfrequenz bzw. der Stimmbandgrundschwingung. Dazu gibt es mehrere Verfahren,
wie das harmonische Produktspektrum (HPS) und die Phasenraumdarstellung. Insbesondere das harmonische Produktspektrum basiert auf den gleichen Ansätzen der Analyse
wie das Fourier-Spektrum mit Grundwelle f und den harmonischen Oberwellen 2f ,
3f , 4f usw. mit abnehmenden Amplituden. Bei der HPS-Analyse wird durch mehrfache Unterabtastung und Multiplikation der unterabgetasteten Spektren die Grundfrequenz
im Spektrum erkannt.
8.3.3 Formantanalyse und Spracherkennung
Eines der Hauptprobleme der Audioforensik ist die Sprach- und Sprechererkennung sowie der Stimmenvergleich. Zur Lösung dieser Aufgabenstellung gibt es die Ansätze zur
Bestimmung der Grundfrequenz der Stimmbandgrundschwingung, der Formantanalyse
226
H. Luge
Abb. 8.5 Einbettung Fingerprint aus Inhaltsmerkmalen in eine Audiodatei
und der Bestimmung der Cepstrumkoeffizienten. Das menschliche Sprachsignal kann verschiedenen Klängen zugeordnet werden [9]. Ein Klang bzw. eine akustische Artikulation
kann für allgemeine periodische Signale nach Charles Fourier als die Summe von Sinusund Kosinuswellen beschrieben werden. Dabei sind die Frequenzen der einzelnen Wellen
ganzzahlige Vielfache einer Grundfrequenz f0 also 2f0 , 3f0 , 4f0 und weitere Vielfache. In Abb. 8.6 ist der Aufbau eines Klangsignals bestehend aus drei Sinussignalen mit
den Frequenzen f0 D 40 Hz, f1 D 80 Hz und f2 D 120 Hz mithilfe des Arbiträrgenerators NET167 dargestellt. Der Arbiträrgenerator NET167 führt eine direkte digitale
Signalsynthese (DDS) einer in Excel erzeugten Abtastwertetabelle von 256 Werten aus.
Die Ausgabe erfolgt mit einem 16-Bit-DA-Wandler. Die obere blaue Sinusschwingung
stellt dabei die Grundfrequenz dar, die untere die Fouriersynthese aus den drei Sinusschwingungen zu einem Klang (Abb. 8.6). Abb. 8.7 zeigt die Bestandteile der direkten
Abb. 8.6 Klangerzeugung durch direkte digitale Signalsynthese von drei Sinusschwingungen mit
einem Arbiträrgenerator
8
Audioforensik
227
Abb. 8.7 Darstellung der Abtastwerte der einzelnen Signalkomponenten und dem daraus synthetisierten Klang (blau)
digitalen Signalsynthese mit den gewichteten drei Einzelschwingungen f0 (rot), f1 (grün),
f2 (violett) und der resultierenden Syntheseschwingung (blaue Kurve). Die Berechnung
der Abtastwerte erfolgt nach der Formel XYZ. Je nach gewählter Abtastfrequenz des Arbiträrgenerators können aus den 256 generierten Werten verschiedene Frequenzen, bei
gleichbleibender Signalform, erzeugt werden. Bei 256 Abtastwerten und einer Abgabefrequenz von 10.240 Hz ergibt sich damit eine Frequenz von 10:240=256 D 40 Hz für
die Grundschwingung und damit auch für das synthetisierte Klangsignal. In der folgenden Syntheseformel (Gl. 8.1) zum Aufbau der Tabelle für den Arbiträrgenerator sind die
Grundschwingung fo und die erste und zweite Oberwelle dargestellt:
2
65534
U.t/ D 0; 45 cos
A11
C 32768
256
2
2 2
65534
C 0; 15
cos
A11
2
256
3 2
65534
C 0; 4
cos
.A1 1/
2
256
(8.1)
228
H. Luge
Abb. 8.8 Spektralanalyse des
Klangs eines synthetisierten
Audiosignals mit einem Arbiträrgenerator
Umgekehrt bietet die Fourier-Analyse die Möglichkeit, die einzelnen Frequenzanteile
eines Klangs zu berechnen. Das Ergebnis dieser Spektralanalyse kann in einem Spektrogramm dargestellt werden. Bei der Spektralanalyse des oben gezeigten Klangs können
damit die Frequenzbestandteile sichtbar analysiert werden. Mit entsprechenden Spektrumanalysatoren ist es zudem möglich über die Frequenzachse (x-Achse) auch die Amplituden der einzelnen Frequenzkomponenten in der y-Achse darzustellen. Mit der Audioanalysesoftware Praat sind die einzelnen Signalkomponenten des synthetisch erzeugten Klangs in Abb. 8.8 mit den Komponenten 40, 80 und 120 Hz dargestellt. Auch die
menschliche Sprache stellt ein Frequenzgemisch aus mehreren im Vokaltrakt des Menschen resonanzartig hervorgehobenen Frequenzen, den sogenannten Formanten, dar. Die
Bildung des menschlichen Sprachsignals erfolgt in zwei Phasen – erstens einer Anregung
durch einen Luftstrom aus den Lungen und zweitens der Signalformung im Sprechtrakt
bzw. Vokaltrakt. Es werden folgende drei Grundarten der Anregung des Vokaltraktes
unterschieden: Erstens die stimmhafte Anregung als Phonation, zweitens die stimmlose Anregung als Reibe- oder Friktionsgeräusch und drittens die transiente Anregung als
Plosivanregung. Bei der Phonation wird ein Luftstrom im Kehlkopf durch die Stimmbänder so verändert, dass eine quasiperiodische, nicht sinusförmige Schwingung entsteht. Die
Phonation ist das grundlegende Ausgangssignal für Sprache und Gesang. Bei der stimmlosen Anregung durchströmt die Luft bei geöffneten Stimmbändern eine Engstelle im Mund
oder Rachenraum, und es entsteht eine turbulente Strömung in Form eines Rauschens.
Das erzeugte Rauschen bildet das Anregungssignal bei stimmloser Anregung. Das entstehende akustische Signal hängt von der Stellung des Rachenraums ab. Bei transienter
Anregung wird im supraglottalen System ein Verschluss aufgebaut, der dann plötzlich geöffnet wird. Die angestaute Luft mit Überdruck erzeugt das sogenannte Plosivgeräusch.
Der Vokaltrakt kann auch physikalisch als Rohr betrachtet werden, das an einem Ende
geschlossen und am anderen Ende offen ist (Mundöffnung). Ist dies der Fall, stellen sich
Resonanzen für bestimmte Anregungsfrequenzen ein. Dies wiederum entspricht einem
Filter mit geringer Güte. Diese Resonanzfrequenzen folgen der Bedingung, dass genau
8
Audioforensik
229
Abb. 8.9 Formantanalyse des Vokals „a“ mit F1 D 290 Hz und F2 D 854 Hz bei t D 1; 20 s
ein ungeradzahliges Vielfaches einer Viertelwelle in das Rohr bzw. den Vokaltrakt passt.
Diese Resonanzfrequenzen werden als Formantfrequenzen F1 , F2 und F3 bezeichnet. Mit
der Gl. 8.2 können die Formatfrequenzen berechnet werden. Mit der Schallgeschwindigkeit von c D 343 m=s, einer Vokaltraktlänge von ca. 17 cm (Männer) ergeben sich für
k D 1 bis 3 die Formantfrequenzen F1 D 504 Hz, F2 D 1008 Hz und F3 D 1513 Hz. Für
Frauen ergeben sich aufgrund der kürzeren Vokaltraktlänge von ca. 14,5 cm entsprechend
höhere Formantfrequenzen:
.2k 1/ c
(8.2)
Fk D
4l
Durch Verengungen bzw. Veränderungen des Vokaltraktes, zum Beispiel durch Muskelkontraktion m Rachenraum für den Vokal „a“, verändern sich auch die Formantfrequenzen. Abb. 8.9 zeigt die spektrale Analyse des gesprochenen Vokals „a“ mit der Audioanalysesoftware Waveserver und den Formantfrequenzen F1 = rot , F2 = grün, F3 =
blau und F4 = gelb. Zum Zeitpunkt t D 1;2 s können die Formantfrequenzen F1 D
290 Hz und F2 D 854 Hz erkannt werden. In Abb. 8.10 ist die Darstellung der Stimmbandgrundschwingung mit 127 H z zur Zeit t D 1; 1 s während der Aussprache des
Vokales „a“ dargestellt. Die Formantfrequenzen sind von der Sprache (deutsch, englisch
usw.) und vom Sprecher abhängig. Die Zuordnung eines Vokals kann schon durch die
zwei Formantfrequenzen F1 und F2 relativ treffsicher durchgeführt werden. Dafür können
Formantdiagramme bzw. Formantkarten mit F1 in der x-Achse und F2 in der y-Achse
230
H. Luge
Abb. 8.10 Darstellung der
Stimmbandgrundschwingung
einer Sprachaufzeichnung
(127 Hz bei t D 1; 1 s)
verwendet werden. In Abb. 8.11 ist der gesprochene Vokal „i“ mit deutlichem Abstand
der Formantfrequenzen F1 D 299 Hz und F 2 D 2393 Hz zum Zeitpunkt t D 4; 1 s
dargestellt. Für die Audioforensik von Telefongesprächen mit der Bandbreite von 0,3
bis 3,4 kHz können bestimmte F1 Formantfrequenzen von Vokalen (u, i) schon außerhalb des Übertragungsbereiches sein und nicht mehr korrekt übertragen werden. Ebenso
ist die dritte Formantfrequenz F3 D 3391 Hz im obigen Beispiel schon am oberen Ende des Übertragungsfrequenzbereiches von 3,4 kHz angelangt und wird gedämpft. Die
Formantanalyse kann zur Sprach- und Sprechererkennung benutzt werden. Aufgrund von
anatomischen Unterschieden von Sprechern sind die Stimmbandgrundschwingung und
die Formantfrequenzen sprecherabhängig und können zur Sprecheridentifikation verwendet werden.
Abb. 8.11 Formanten des Vokals „i“ mit F1 D 299 Hz und F2 D 2393 und F3 D 3391 Hz bei
t D 4; 10 s
8
Audioforensik
231
8.3.4 Sprachverschlüsselung
Die menschliche Sprache bietet nicht nur die Möglichkeit, Information auszutauschen,
sondern zeigt zusätzlich über die Erkennbarkeit der menschlichen Stimme die Authentizität des Sprechers. Nach der Erfindung des Telefons gab es bereits 1881 ein erstes Patent
zur sicheren Sprachübertragung. Es sollten mehrere umschaltbare Übertragungsleitungen
eingesetzt werden, was damals aber praktisch nicht realisierbar war. Zur sicheren Funkübertragung von Telefongesprächen in die USA in den 1920er Jahren wurden als Erstes
sogenannte Bandinverter entwickelt, die das Telefonfrequenzband von 300 bis 3400 Hz
einfach invertierten. Einfache Bandinverter sind zwar ganz unverständlich haben aber
den Nachteil, dass keine echte Verschlüsselung stattfindet. Diese einfachen Bandinverter
waren der Beginn der Verschlüsselung durch Frequenzpermutation, auch als „Frequency Domain Scrambling“ bezeichnet. Bandsplitter war die nächste Entwicklung, um die
einfache Rückinvertierung des Sprachsignals wie beim Bandinverter zu erschweren. Hier
wird das Sprachfrequenzband in mehrere Frequenzbänder aufgeteilt, die dann in ihrer
Reihenfolge bezüglich der Lage im Sprachfrequenzband vertauscht oder wahlweise noch
invertiert werden. In Abb. 8.12 ist das Arbeitsprinzip dieser Bandsplittersysteme dargestellt. Das Funktionsprinzip der Bandsplittertechnik in Form des Bell-A3-Scramblers
sicherte zum Beispiel ab 1937 die Telefonverbindung San Francisco-Honolulu, und weitere folgten. Beim Bell-A3-Scrambler erfolgte die Aufteilung in sechs Frequenzbereiche,
die dann entsprechend permutiert und invertiert werden konnten. Beim Bell A3 Scrambler
mit sechs Frequenzbereichen ergeben sich damit folgende theoretische Codemöglichkeiten: 1.) 6Š D 1 2 3 4 5 6 D 720 mögliche Vertauschungen der Frequenzabschnitte und
2.) 26 D 222222 D 64 Kombinationen, ob invertiert oder nicht invertiert ergeben sich
720 64 D 46:080 theoretische Codemöglichkeiten. Diese Codemöglichkeiten sind aber
nicht alle anwendbar, da die Vertauschungseffekte aus Sicht der Sprachunverständlich-
Abb. 8.12 Funktionsprinzip der Bandsplittertechnik mit vier Frequenzbereichen zur Sprachverschlüsselung
232
H. Luge
keit oft zu gering sind. Eine einfache Möglichkeit der Kryptanalyse dieser Bandsplitter
ist das parallel listening bei dem das codierte Sprachsignal und eine invertierte Version des Sprachsignals zur selben Zeit gehört werden. Durch das gemeinsame Hören kann
das Sprachsignal verständlich werden. Das System Bell-A3-Scrambler wurde 1941 durch
Kurt Vetterlein (Reichspost–Forschungsanstalt) geknackt. Der Ansatz zum Brechen der
Sprachverschlüsselung des Bell-A3-Scramblers war das Auffinden der Stimmbandgrundschwingung des Sprechers, das Erkennen der Teilbandbreite der sechs Audiofrequenzbänder und eine Formantanalyse. Mit dem SIGSALY-System entstand 1943 das erste
digitale Sprachverschlüsselungssystem. Die Entwicklung erfolgte in den Bell Labs, aufbauend auf Arbeiten zum Vocoder (Voice Coder). Beim SIGSALY-System wurden 10
Frequenzbänder alle 20 ms abgetastet und das Ergebnis zu einer zufälligen Schlüsselsequenz addiert. Die große benötigte Schlüsselmenge wurde erzeugt durch die Abtastung
des thermischen Rauschens von Quecksilberdampfgleichrichtern und der Quantisierung
in sechs Stufen. Diesen sechs Stufen wurden sechs Audiofrequenzen zugeordnet und als
Schlüssel für eine Chiffrierung auf Schallplatten gepresst. An einer leichteren, mobileren
und britischen Version zur Sprachverschlüsselung mit dem Namen „DELILAH“ arbeitete ab 1943 A. Turing. Turing wählte eine maschinelle Schlüsselerzeugung bestehend
aus Rotorwalzen und Steckerfeld für zusätzliche Permutationen, um gegen Kryptanalyse sicher zu sein. Der Audiofrequenzbereich von 250 bis 2000 Hz wurde durch einen
Eingangsbandpass beschränkt, um mit einer Abtastfrequenz von 4000 Hz entsprechend
dem Abtasttheorem arbeiten zu können. Die 4000 Abtastwerte wurden quantisiert und
zu einer Schlüsselwertfolge addiert. Das System hatte aufgrund der Bandbegrenzung von
0,25 bis 2 kHz eine schlechte Sprachverständlichkeit. Die Weiterentwicklung im Bereich
der analogen Sprachverschlüsselung in den 1950er und 60er Jahren basierten auf dem
Einsatz von Kombinationen von Verfahren zur Zeittransposition (Time Domian Scrambling) und Frequenzpermutation (Frequency Domain Scrambling) [1, 11]. In Abb. 8.13 sind
wesentliche funktionale Komponenten in einer möglichen Anordnung dargestellt. Das Mikrofonsignal bzw. Sprachsignal wird über einen Verstärker mit Dynamikkompression an
eine Filterbaugruppe zur Selektion von dem oberen und unteren Halbkanal angeschlossen. Dann folgt eine Modulatorbaugruppe, die eine Frequenzinvertierung bzw. Frequenzverschiebung der originalen Sprachfrequenzen in andere Frequenzbereiche durchführen
kann. Für die Blocksynchronisation wird eine Synchronfrequenz in bestimmten zeitlichen
Abständen zugemischt und das Sprachsignal an den Ausgang übertragen. Zur Übertragung zusätzlicher Informationen können auch FSK-Verfahren, zum Beispiel mit zwei
Frequenzen zur Synchronisation und der Übertragung von zusätzlichen digitalen Datenströmen mit geringer Bitrate, verwendet werden. Diese Kombinationen der Modulatoren,
Filter, Zeitverzögerungsglieder und die schlüsselabhängig steuerbaren Analogumschalter
zur Vertauschung vom oberen und unteren Halbkanal können auch mehrfach hintereinander angeordnet werden. In Abb. 8.13 sind die wesentlichen Komponenten zur Zeittransposition als Time Domain Scrambling mit den Zeitverzögerungsgliedern und die
Frequenzpermutation mit den Modulatoren und Filtern als Frequency Domain Scrambling
dargestellt. Eine höhere Komplexität wurde durch den Einsatz mehrerer Zeitverzöge-
8
Audioforensik
233
Abb. 8.13 Übersicht zu möglichen Funktionsgruppen einer
analogen Sprachverschlüsslung
der 1960er Jahre
rungsglieder mit unterschiedlichen Verzögerungszeiten erreicht. Mit der Entwicklung der
Digitaltechnik und der AD-Wandler und DA-Wandler konnte auch die Sprachverschlüsselung digital realisiert werden. Die rein digitalen Verschlüsselungsverfahren benötigen
aber einen digitalen Übertragungskanal (LAN, WLAN, Internet, Mobilfunknetze usw.),
da keine analoge Frequenzinformation mehr übertragen wird. Bei der Nutzung digitaler Netze wird nach einer Quellen-, Kanal- und Leitungscodierung die Übertragung über
einen digitalen Übertragungskanal durchgeführt. In Abb. 8.14 ist der prinzipielle Aufbau
einer digitalen Sprachverschlüsselungslösung aufgezeigt. Als Übertragungskanal kann für
eine digitale Verschlüsselung mit digitalem Übertragungskanal zum Beispiel das Internet
genutzt werden. Für die analoge Sprachverschlüsselung mit den Verfahren Zeittransposition und Frequenzpermutation wird nur ein analoger Kanal mit Telefonbandbreite 0,3 bis
3,4 kHz benötigt. Die analoge Sprachverschlüsselung benötigt nur schmalbandige Über-
Abb. 8.14 Prinzipieller
Aufbau der digitalen Sprachverschlüsselung
234
H. Luge
Abb. 8.15 Aufteilung einer Blocklänge in Symbole für das Time-Domain-Scrambling-Verfahren
Abb. 8.16 Symboltransposition für das Time Domain Scrambling Verfahren im Zeitbereich
tragungskanäle wie zum Beispiel einen einfachen Telefonanschluss, das Mikrofon und
Audioausgang eines Smartphones, Sprechfunkkanäle (2-Meter-Band, weltweiter Kurzwellenfunk usw.), um eine Verbindung zu realisieren. Da die Installation nur im niederfrequenten Pfad erfolgt, ergibt sich eine echte Ende-zu-Ende Sprachverschlüsselung. Diese
kann durch den Zugriff auf den Übertragungsweg bei einer angenommenen effektiven
Verschlüsselung nicht ohne Mehrdeutigkeiten kompromittiert werden. Mit den aktuellen
Möglichkeiten der digitalen Signalverarbeitung können komplexe Methoden und Varianten der Zeittransposition und Frequenzpermutation durchgeführt werden, die eine hohe
taktische Sicherheit bedeuten können. Zur Durchführung des Time-Domain-ScramblingVerfahrens wird eine Blocklänge von zum Beispiel 800 ms und eine Anzahl von Symbolen
definiert. Die Anzahl der Symbole definiert zusammen mit der Blocklänge die Symbolzeit. In Abb. 8.15 ist die Blocklänge als Ausschnitt aus dem Zeitbereich des Audiosignals
mit der Einteilung in vier Symbole mit je 200 ms Symbolzeit dargestellt. Dann erfolgt
die Zeittransposition der einzelnen Symbole entsprechend einem Schlüsselverfahren wie
in Abb. 8.16 dargestellt. Um eine möglichst hohe Sicherheit zu erreichen, sollte eine
kurze Symbolzeit deutlich unter 20 ms gewählt werden, um eine Formantanalyse zu erschweren und eine große Zahl von Mehrdeutigkeiten zu realisieren. Aus dem Schlüssel
8
Audioforensik
235
Abb. 8.17 Testaufbau „HL97“
zur Sprachverschlüsselung mit
LPC1768
wird eine Transpositionstabelle berechnet, die aus den theoretischen Möglichkeiten der
Kombinationen nur einen geringen Prozentsatz (ca. 15 %) verwenden kann, da nicht alle
Zeittranspositionen auch zur Unverständlichkeit des verschlüsselten Sprachsignals führen.
Die theoretischen Möglichkeiten ergeben sich aus Fakultät der Symbolanzahl. Für 400
Millisekunden Blocklänge und 40 Symbole ergeben sich bei einer Symbolzeit von 10 Millisekunden theoretische 40Š D 8; 11047 Transpositionsmöglichkeiten. Auf der Gegenstelle müssen dann diese Zeittranspositionen wieder rückwärts ausgeführt und die originale
Reihenfolge der Sprachsymbole wieder hergestellt werden. Dafür wird im Regelfall eine
Blocksynchronisation zur Erkennung jedes Blockanfangs notwendig. Das kann zum Beispiel durch Einsatz eines Synchronimpulses in Form der Übertragung einer Tonfrequenz
bestimmter Länge im oberen Sprachbandbereich erfolgen. Dieser Synchronimpuls wird
von der Gegenstelle erkannt und entsprechend zur Timersynchronisation benutzt, die den
Blockanfang dann markiert. In Abb. 8.17 ist der Einsatz eines leistungsfähigen Mikrocontrollers LPC1768 [6] zur analogen Sprachverschlüsselung im System „HL97“ für einen
Testaufbau als Ende-zu-Ende-Verschlüsselung mit zwei Smartphones über die analogen
Ein- und Ausgänge des Smartphones dargestellt. Die Blocklängen wurden mit 400 ms
und 40 Symbolen sowie 800 ms und 80 Symbolen bei der Übertragung über das Mobilfunknetz getestet. Die Blocksynchronisation im Testaufbau erfolgt mit einem Tonsignal
von 1,6 kHz und 25 ms Länge. Das Synchronisationssignal wird durch digitale Signalverarbeitung der Abtastwerte erkannt und timergesteuert aus dem Empfangspuffer entfernt.
Die übrigen Abtastwerte werden dann über die Synchronisation und die Erkennung des
Blockanfangs wieder in die originale Reihenfolge transponiert. Dann erfolgt die Ausgabe
der Abtastwerte über den 10-Bit-DA-Wandler mit einem angeschlossenen Tiefpassfilter.
Bei hoher Symbollänge im Time-Domain-Scrambling-Verfahren von 20 ms und größer
kann allerdings noch eine Sprechererkennung durchgeführt werden. Um dieses Problem
zu beseitigen, kann eine Kombination mit einer Frequenzpermutation in einem Frequency
Domain Scrambling Verfahren realisiert werden. Die eingesetzten Verfahren sind unabhängig von ihrer praktischen Realisierung in Analogtechnik oder durch digitale Signal-
236
H. Luge
Abb. 8.18 Funktionsgruppen
des Senders einer der analogen
Sprachverschlüsselung HL97
verarbeitung ähnlich den bereits beschriebenen Verfahren zur Frequenzpermutation. In
Abb. 8.18 sind die Funktionsgruppen des Senders der analogen Sprachverschlüsselung
dargestellt. Die Sicherheit von Time-Domain-Scrambling-Verfahren mit hoher Symbolanzahl und Blocklänge ist höher zu bewerten als Frequency-Domain-Scrambling-Techniken.
Je höher die Blocklänge, desto geringer ist natürlich auch der Telefonkomfort, da mindestens diese Zeit das Gespräch verzögert bei dem Gesprächspartner empfangen werden
kann. Auch die Symbolanzahl spielt für die Sprachverständlichkeit eine entscheidende
Rolle, da mit steigender Symbolzahl die Verzerrungen bzw. der Klirrfaktor des Gesprächs
zunimmt. In Abb. 8.19 ist ein im Jahr 2014 durchgeführter Versuchsaufbau zum Test einer
analogen Sprachverschlüsselung nach dem TDS-Verfahren mit zwei Smartphones über
ein Mobilfunknetz dargestellt. Die Verbindung arbeitete über eine Stunde stabil und die
subjektive Sprachverständlichkeit war gut bis befriedigend je nach Symbolanzahl. Getestet wurde mit einer Blocklänge von 800 Millisekunden und 40 und 80 Symbolen. Das
Synchronsignal von 1,6 kHz hatte beim Empfang am Ausgang der Audiobuchse bedingt
durch das Mobilfunknetz als Übertragungskanal einige Deformationen, konnte aber durch
das Synchronverfahren sicher detektiert werden. Zur Synchronisation können auch mehrere Frequenzen verwendet werden, um eine sichere Erkennung des Synchronsignals zu
8
Audioforensik
237
Abb. 8.19 Testaufbau einer analogen Sprachverschlüsselung mit zwei Smartphones und einer
Ende-zu-Ende-Verschlüsselung
realisieren. Damit können zufällig auftretende Signalanteile des Audiosignals mit gleicher Frequenz und ausreichender Länge nicht zu Störungen der Synchronisation führen
und gleichzeitig können damit auch codierte Informationen geringer Bitrate übertragen
werden. In Abb. 8.20 ist eine Analyse mit dem Programm Waveserver eines mit dem
Verfahren Time-Domain-Scrambling verschlüsselten Signals mit einer Blocklänge von
1000 ms und einer Symbolzeit von 25 ms sowie 10 ms bei 40 bzw. 100 Symbolen dargestellt. Sehr deutlich ist die Symbolzeitlänge im Diagramm erkennbar.
Abb. 8.20 Analoge Sprachverschlüsselung mit 25 (links) und 10 (rechts) ms Symbolzeit
238
H. Luge
Literatur
1. French, R.C.: Speech scrambling and synchronization. Ph.D. thesis, Council for National Academic Awards (1973)
2. von Grünigen, D.C.: Digitale Signalverarbeitung, Bd. 2. Fachbuchverl. Leipzig im Carl-Hanser
(2002)
3. Hua, G., Goh, J., Thing, V.L.: A dynamic matching algorithm for audio timestamp identification
using the enf criterion. Information Forensics and Security, IEEE Transactions on 9(7), 1045–
1055 (2014)
4. Jessen, M.: Phonetische und linguistische Prinzipien des forensischen Stimmenvergleichs. LINCOM Europa (2012)
5. Kahn, D.: The codebreakers: The story of secret writing. The Macmillan Company (1967)
6. Keil: Keil entwicklungssystem. http://www.keil.com (2014)
7. Koristka, C.: Magnettonaufzeichnungen und kriminalistische Praxis. Ministerium des Innern –
Publikationsabteilung (1968)
8. Malik, H.: Acoustic environment identification and its applications to audio forensics. Information Forensics and Security, IEEE Transactions on 8(11), 1827–1837 (2013)
9. Pierce, J.R.: Klang: Musik mit den Ohren der Physik. Heidelberg: Spektrum (1999)
10. Schneier, B.: Angewandte Kryptographie: Protokolle, Algorithmen und Sourcecode in C.
Addison-Wesley (1996)
11. Srinivasan, A., Selvan, P.A.: A review of analog audio scrambling methods for residual intelligibility. Innovative Systems Design and Engineering 3(7), 22–38 (2012)
12. Thumwarin, P., Matsuura, T., Yakoompai, K.: Audio forensics from gunshot for firearm identification. In: 4th Joint International Conference on Information and Communication Technology,
Electronic and Electrical Engineering (JICTEE) 2014, S. 1–4. IEEE (2014)
13. Vary, P., Heute, U., Hess, W.: Digitale Sprachsignalverarbeitung. BG Teubner Stuttgart (1998)
14. Wu, H., Wang, Y., Huang, J.: Identification of electronic disguised voices. Information Forensics
and Security, IEEE Transactions on 9(3), 489–500 (2014)
9
Methoden des maschinellen Lernens und der
Computational Intelligence zur Auswertung
heterogener Daten in der digitalen Forensik
Tina Geweniger, Marika Kaden und Thomas Villmann
9.1
Einleitung
Forensische Analysen beinhalten zunehmend die Auswertung digitaler Daten. Diese stehen in verschiedenster Form zur Verfügung. Beispiele sind digitale Bilddaten von Überwachungskameras und Fingerabdrücken, genetische Informationen, Täterprofile, biometrische und morphologische Personendaten, Personenbewegungsmuster, Beziehungsgraphen
oder Internetchatprotokolle. Aber auch Telefongesprächsprotokolle oder biochemische
Charakteristika diverser Stoffe werden in der digitalen Forensik einer komplexen Analyse
unterzogen. Dabei sind oft mehrere verschiedene Datenarten in Kombination auszuwerten. Diese bei Weitem unvollständige Aufzählung verdeutlicht, dass eine entsprechende
Datenanalyse mit dem Problem sehr heterogener Daten unterschiedlichster Strukturen
konfrontiert wird. In diesem Beitrag sollen wesentliche Datentypen der digitalen Forensik
charakterisiert und Methoden der Computational Intelligence (CI) zur adäquaten Problemlösung vorgestellt werden.
CI ist dabei als ein Arsenal von Methoden zu verstehen, welche adaptive mathematischstatistische Ansätze in sich vereint. Diese sind biologisch oder kognitiv motiviert und
stammen aus den Bereichen künstlicher neuronaler Netze, statistischer Lerntheorie oder
Fuzzy-Methoden. Sie haben sich seit den 1990er Jahren als Ergänzung oder Alternative
T. Geweniger M. Kaden
Mitglied der Computational Intelligence Group, University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: tgewenig@hs-mittweida.de
M. Kaden
E-Mail: kaden1@hs-mittweida.de
T. Villmann ()
Lehrstuhl für Computational Intelligence, University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: thomas.villmann@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_9
239
240
9
Methoden des maschinellen Lernens und der Computational Intelligence
zu Methoden der klassischen Statistik etabliert und erleben mit den Verfügbarkeiten des
mobilen Computings einen erneuten Aufschwung. Waren zunächst viele Methoden nur
heuristisch motiviert, stehen heute zumeist umfangreiche Theorien für die mathematische
Korrektheit der Ansätze zur Verfügung.
Schwerpunkt des vorliegenden Beitrags sind sogenannte prototypbasierte Methoden
zum Clustern und Klassifizieren (Mustererkennung) von Daten. Dabei verstehen wir unter dem Clustern das Gruppieren von Daten entsprechend inhärenter Strukturen (Cluster),
die jedoch vor der Datenanalyse nicht bekannt sind. Klassifizieren wird dagegen als das
Eingruppieren von Daten zu vorgegebenen Strukturen (Klassen) aufgefasst. Prototypbasierte Methoden zeichnen sich dadurch aus, dass Cluster oder Klassen durch prototypische Beispiele beschrieben werden, wobei diese Prototypen sowohl reale Objektbeispiele
sein können, aber auch hypothetische bzw. künstlich generierte Objekte. In diesem Sinne
erlauben prototypbasierte Methoden oft eine gute Modellinterpretation bzw. leicht nachvollziehbare Datenverarbeitung in der Anwendung.
In diesem Beitrag werden die einzelnen Methoden nur in wesentlichen Zügen beschrieben und deren grundlegenden Eigenschaften und Einsatzmöglichkeiten vorgestellt, um
den Leser nicht mit mathematisch-technischen Details zu überfrachten. Für vertiefende
und mathematisch präzise Beschreibungen wird an den entsprechenden Stellen auf die
Literatur verwiesen. Daher orientiert sich auch die Methodenauswahl an den Datencharakteristika, wie sie in der Forensik häufig anzutreffen sind. Dabei erheben wir keinen
Anspruch auf Vollständigkeit – weder bei den Datenstrukturen noch bei der Modellauswahl. Letztere orientiert sich einerseits an den vorliegenden Datenstrukturen, welche
wiederum unter mathematischen Aspekten vereinheitlicht dargestellt werden. Andererseits liegt der Fokus auf solchen Algorithmen und Modellen, die in der Forschungsgruppe
der Autoren entwickelt bzw. angewendet werden, ohne jedoch auf Hinweise zu anderen
Vorgehensweisen zu verzichten. Entsprechend werden zunächst häufig in der Forensik
anzutreffende Datenstrukturen im Sinne der Datenverarbeitung charakterisiert und entsprechende Aufgabenstellungen abgeleitet. Danach werden prototypbasierte Modelle und
Ansätze für diese Szenarien vorgestellt und erläutert.
9.2 Datenstrukturen und Datenähnlichkeit
9.2.1 Daten und Datenstrukturen in der Forensik
Viele personenbezogenen Daten in der Forensik liegen als numerische Werte vor, die auch
als numerische Variablen bzw. Merkmale bezeichnet werden. Diese können in einem Datenvektor v D .v1 ; : : : ; vD /T zusammengefasst werden, wobei die vk den Ausprägungen
der k-ten Variable und D der Anzahl der Variablen entsprechen. Beispiele solcher Variablen sind biometrische Merkmale, Alter, Einkommen etc. Aber auch psychosoziale
Persönlichkeitsmerkmale können als numerische Merkmale erfasst werden [4, 8]. Bilder,
z. B. Fingerabdruckbilder oder Aufnahmen der Iris des Auges, können mittels Merkmals-
9
Methoden des maschinellen Lernens und der Computational Intelligence
241
extraktion aus der Bildverarbeitung ebenfalls als Vektoren kodiert werden. Umfangreiche
Analysefilter werden in der Bildverarbeitung diskutiert. Als Beispiel seien hier die weit
verbreiteten SIF T -Merkmale (scale-invariant feature transformation, [31]) genannt, die
ein umfangreiches Spektrum an strukturellen, skaleninvarianten Bildeigenschaften quantifizieren und in einem Merkmalsvektor von Bildvariablen zusammenfassen [32]. Für Bilder
von Fingerabdrücken sei auf [33] verwiesen.
Nichtnumerische oder beschreibende Variablen vermitteln oder beschreiben semantische Eigenschaften wie z. B. Haarfarbe, Geschlecht, emotionaler Zustand oder auch
Blutgruppe, Tatmotiv bzw. Beruf einer Person. Solche deskriptiven Variablen sind oft
in vorgegebene Kategorien segmentiert. Beispielsweise liegen die verschiedenen Blutgruppen in natürlichen Kategorien vor. Emotionale Zustandskategorien könnten depressiv,
apathisch, cholerisch oder ähnliche beschreibende Attribute sein. Solche semantischen Variablen können oft mit einer Kategorienmenge beschrieben werden, welche die möglichen
Ausprägungen der Variable enthält. Wenn D solcher Ausprägungen zur Verfügung stehen, kann mit dem Prinzip der unären Kodierung einer solchen Variable wiederum ein
Datenvektor v D .v1 ; : : : ; vD /T generiert werden. Dabei entspricht jeder Vektoreintrag
der Ausprägung der jeweiligen Kategorie (0: keine Ausprägung und, 1: volle Ausprägung). Dabei sind auch graduelle Abstufungen möglich, d. h., allgemein gilt 0 vk 1,
und vk gibt die Ausprägungsstärke an.
Dieses Prinzip der vektoriellen Erfassung semantischer Variablen lässt sich u. a. auch
bei der Analyse von Texten einsetzen. Im datenanalytischen Sinn können Texte als Folgen von Symbolen und Symbolgruppen mit semantischer Bedeutung angesehen werden.
In der Forensik sind solche Texte z. B. transkribierte Telefonmitschnitte, Chatprotokolle, Printmedien oder HTML-Seitenbeschreibungen bzw. Internetverbindungsprotokolle.
Ein vorgegebenes Kategoriensystem umfasst die Menge von Schlüsselwörtern, d. h. vorgegebene Schlüsselsymbole oder -symbolgruppen, nach deren Vorkommen der Text zu
analysieren ist. In diesem Fall entspricht ein Vektoreintrag vk der relativen Häufigkeit
des Vorkommens des k-ten Schlüsselwortes. Diese Vorgehensweise wir auch als bag of
words bezeichnet und findet in der automatischen Sprachverarbeitung vielfache Anwendung [42]. Andere Anwendungsgebiete finden sich in der psychotherapeutischen Medizin
und Analyse, wo z. B. die Emotionalität von Texten mit solchen Analysemethoden quantifiziert wird [35].
Im molekularbiologischen Kontext können Gensequenzen mit der Abfolge der Nukleotidbasen Adenin, Thymin, Guanin und Cytosin als Texte verstanden werden [54]. Die
Symbole A; T; G; C entsprechen den Basen, und Symbolfolgen spiegeln die Basengruppierungen wider.
9.2.2
Datenähnlichkeit – mathematische Beschreibung
Zur Klassifizierung und zum Clustern von Datenobjekten müssen diese hinsichtlich ihrer
Ähnlichkeit bzw. Unähnlichkeit verglichen werden. Mathematisch bedeutet dies, dass ein
242
9
Methoden des maschinellen Lernens und der Computational Intelligence
geeignetes Ähnlichkeitsmaß zur Verfügung stehen muss. Zwei Objekte sind umso ähnlicher, je kleiner deren Ähnlichkeitswert ist. Dabei ist der minimale Ähnlichkeitswert 0,
welcher für identische Datenobjekte bzw. auch als Ähnlichkeitswert eines Objektes zu
sich selbst gilt.
Für Vektordaten v; w 2 RD mit D Merkmalsausprägungen (Dimension des Datenvektors) sind oft angewendete Ähnlichkeitsmaße die (quadratische) euklidische Distanz
dE .v; w/ D
D
X
.vk wk /2
(9.1)
d .v; w/ D 1 j .v; w/j ;
(9.2)
kD1
oder die Korrelationsähnlichkeit
wobei .v; w/ wahlweise der Korrelationskoeffizient nach Pearson oder Spearman
ist [41]. Jedoch sind auch andere Vergleichsmaße für Vektoren möglich [38]. Ein von
der euklidischen Distanz Gl. 9.1 abgeleitetes Ähnlichkeitsmaß ist die skalierte Variante
dE
.v; w/ D
D
X
k .vk wk /2
(9.3)
kD1
mit D .1 ; : : : ; D /T als Skalierungsvektor und nichtnegativen Skalierungsfaktoren
k 0. Entscheidende Variablen k können so mit großen Werten k gewichtet werden,
während weniger wichtige Variablen nur kleine Skalierungsfaktoren erhalten.
Gensequenzen werden oft bezüglich der Levenshtein-Distanz dL verglichen [30]. Zwei
Gensequenzen g 1 D b11 b21 b31 b41 : : : und g 2 D b12 b22 b32 b42 : : : können als Folge von Nukleotidbasen bjl aufgefasst und hinsichtlich ihrer gegenseitigen Überführbarkeit mittels elementarer Zeichenkettenoperationen (Einfügen, Löschen und Umbenennung) verglichen
werden.
Dabei
führt jede notwendige Operation zu einer Erhöhung des Ähnlichkeitswer1
2
tes dL g ; g [30].
Ein informationstheoretisches Ähnlichkeitsmaß für allgemeine digitale Objekte bietet
das mathematisch-universale Konzept der minimalen Beschreibungslänge lmin .O/ oder
die Kolmogorov-Komplexität. Letztere ermittelt, wie viel Information notwendig ist, um
eindeutig ein Objekt O zu beschreiben [28, 40]. Daraus lässt sich als Ähnlichkeitsmaß die
normalisierte Informationsdistanz dK ableiten, welche sich als normalisierte Kompressionsdistanz
lmin .T1 / C lmin .T2 /
dK .T1 ; T2 / D
(9.4)
lmin .T12 /
für Textobjekte T1 und T2 berechnen lässt [9]. Dabei entsteht der Text T12 D T1 ˚ T2
durch Hintereinanderschreiben der Texte T1 und T2 . Zur praktische Durchführung kann
die minimale Beschreibungslänge eines digitalen Objektes als die Bytezahl des digital
9
Methoden des maschinellen Lernens und der Computational Intelligence
243
komprimierten Objektes angenommen werden. Dabei sollte ein Kompressionsalgorithmus
basierend auf der mathematischen Theorie entsprechend dem Lempel-Ziv-Algorithmus
gewählt werden [55].
Verschiedene Ähnlichkeitsmaße können auch zu komplexen Maßen für Objekte zusammengefasst werden. Die einfachste, aber für viele Bereiche völlig ausreichende Möglichkeit, ist die Linearkombination
dLK .O1 ; O2 / D
M
X
l dl .O1 ; O2 /
(9.5)
lD1
von M verschiedenen Maßen dl .O1 ; O2 / mit Gewichtsfaktoren l 0 [56]. Die Schwierigkeit liegt hier in der Bestimmung geeigneter aufgabenbezogener Gewichtsfaktoren.
9.3
Aufgabenstellungen in der Datenanalyse
Die Analyse digitaler Daten kann unter verschiedenen Aspekten erfolgen. Das Auffinden
von inhärenten Strukturen in Datensammlungen und die entsprechende Zusammenfassung von entsprechend ähnlichen Objekten in Gruppen ohne die Verwendung weiterer
Zusatzinformationen wird als Clustern bezeichnet. Anwendungen sind z. B. das Gruppieren von Personen mit ähnlichen Persönlichkeitsprofilen in Datenbanken, Gruppieren von
Gensequenzdaten oder das Clustern von HTML-Webseiten. Dabei ist die Anzahl der Cluster von vornherein nicht bekannt und muss entweder durch den Analysten vorgegeben
oder während der Generierung des Clustermodels festgelegt werden. Dies kann sowohl
explizit, aber auch implizit durch interne Festlegungen von Schwellwerten oder die Auswertung anderer interner Kriterien erfolgen. Eine vollkommen automatische Bestimmung
ohne entsprechende A-priori-Annahmen gibt es nicht (mathematisch: ill-posed problem).
Die Gruppenzuordnung von Objekten kann sowohl eindeutig (crisp) oder auch graduell
(fuzzy) sein, je nach verwendetem Clustermodell.
Beim Klassifizieren von Objekten geht es um das Einordnen von Datenobjekten in
ein vorgegebenes Kategoriensystem fK1 ; : : : ; KNK g von NK Klassen Kl . Jedes Objekt
wird dann durch ein mathematisches Klassifikationsmodell einer oder mehreren Klassen
zugeordnet. Einzelne psychosoziale Persönlichkeitsprofile und Beziehungsmuster könnten z. B. bestimmten Straftatbeständen zugeordnet werden, bestimmte molekulargentische
Fingerabdrücke (Genexpressionsprofile) können mit spezifischen Krankheiten oder Beschwerdesymptomen assoziiert werden. Wie auch beim Clustern sind graduelle Zuordnungen zu den Klassen für einige Klassifikationsmodelle möglich (Fuzzy-Klassifizierung).
Die Generierung eines Klassifikationsmodells auf der Basis von Beispieldaten (Beispielzuordnungen) wird als Klassifikationslernen bezeichnet.
Die Generierung eines Vorhersagemodells von numerischen Werten y auf der Basis
vorhandener Werte v1 ; v2 ; : : : wird als Regressionsanalyse bezeichnet. In der CI wird
allgemeiner von Assoziationsanalyse gesprochen [25]. Beispielsweise kann die Aufga-
244
9
Methoden des maschinellen Lernens und der Computational Intelligence
be darin bestehen, ein Vorhersagemodell von Straftatwahrscheinlichkeiten auf der Basis
psychosozialer oder ortsabhängiger Variablen zu erstellen. Dazu gehören z. B. öffentliche
Mobilität, Einkommensstruktur und andere Aspekte. Eine weitere forensische Aufgabenstellung könnte die Bestimmung eines Tatzeitpunktes in Abhängigkeit biochemischer
Analysewerte sein. Die algorithmische Generierung eines solchen Modells anhand von
Beispieldaten wird als Assoziations- bzw. Regressionslernen bezeichnet [19].
Im Sinne der CI wird die Datenanalyse in unüberwachtes und überwachtes Lernen
unterschieden. Zum unüberwachten Lernen gehört das Clustern, während Klassifikationsprobleme und Regressionsanalyse dem überwachten Lernen zugeordnet werden.
9.4 Prototypbasierte Methoden der CI zum Clustern
und Klassifizieren
Prototypbasierte Methoden zum Clustern und Klassifizieren sind, obwohl oft mathematisch tiefgründig fundiert, intuitive Algorithmen basierend auf dem Stellvertreterprinzip.
Ein oder mehrere Prototypen repräsentieren ein Cluster oder eine Klasse. Die geeignete Adaption von Prototypen für eine gegebene Aufgabenstellung ist somit die zentrale
Aufgabe dieser Algorithmen während der Lernphase zur Generierung des entsprechenden Modells. In der Anwendungsphase werden die Daten gemäß dem Prinzip der größten
Ähnlichkeit geclustert bzw. klassifiziert.
Mehr formal betrachtet man eine Menge von NV Daten V D fv1 ; : : : ; vNV g und eine Menge W D fw1 ; : : : ; wNW g von NW Prototypen wj . Während der Generierung des
Modells werden die Daten als Beispiele verwendet, um die Prototypen zu lernen. in der
Anwendungsphase wird nach dem Stellvertreterprinzip ein ungelerntes Datenobjekt v dem
Prototyp zugeordnet, der zu v am ähnlichsten ist. Die Bestimmung dieses sogenannten
Siegerprototyps ws mit dem Index s erfolgt über die Regel
s D argmin d v; wj
(9.6)
j D1;:::NW
bezüglich eines gewählten Ähnlichkeitsmaßes d , z. B. die euklidische Distanz dE . Diese
Regel wird als Winner-takes-all-Regel (WTA-Regel) bezeichnet. Damit kann ein Datenobjekt einem Prototypen und damit einer Klasse oder einem Cluster bezüglich des
Ähnlichkeitsmaßes d eindeutig zugeordnet werden. Das Ähnlichkeitsmaß ist für die Aufgabenstellung geeignet auszuwählen. Alle Datenobjekte, die einem Prototypen wj mittels
der WTA-Regel Gl. 9.6 zugeordnet werden, nennt man Voronoi-Menge zu wj .
Die Generierung eines prototypbasierten Cluster- oder Klassifikationsmodells erfordert neben der Wahl des Ähnlichkeitsmaßes und der Anzahl NW der Prototypen, eine
der Aufgabenstellung angepasste Initialisierung der Prototypen. Oft wird dabei mit einer
zufälligen Konfiguration begonnen und diese dann sukzessive verbessert. Im Folgenden
werden einige Algorithmen zur Prototypenadaption vorgestellt. Dieser Adaptionsprozess
wird auch als Lernen oder Training des Modells bezeichnet.
9
Methoden des maschinellen Lernens und der Computational Intelligence
245
9.4.1 Prototypbasierte Clusteralgorithmen
Bei den folgenden Algorithmen handelt es sich einerseits um Methoden zur Analyse
vektorieller Daten. Andererseits sollen aber auch Daten, für welche eine vektorielle Repräsentation nicht möglich ist, z. B. Texte oder Gensequenzen, untersucht werden. Dafür
stehen sogenannte Median-Varianten der Algorithmen zur Verfügung. Deren Besonderheit besteht darin, dass als Prototypen repräsentative Datenelemente gewählt werden und
der Algorithmus nur auf Ähnlichkeiten zwischen Datenelementen basiert. Analog verhält
es sich auch für die informationstheoretische Methode Affinity Propagation, welche zum
Abschluss dieses Abschnittes kurz dargestellt wird.
Weiterhin wird zwischen der Art der Datenanalyse unterschieden. So ist es einerseits
möglich, über alle Daten zu mitteln, um diese gleichzeitig zu analysieren. Diese Art der
Analyse wird Batch-Verarbeitung genannt. Andererseits können die Daten auch sequentiell abgearbeitet werden, was den Vorteil hat, dass neue Daten im Laufe des Lernens
jederzeit zusätzlich berücksichtigt werden können.
Vektorielle Clusteralgorithmen
Zur Analyse vektorieller Daten stehen eine Vielzahl verschiedener Methoden zur Verfügung. Nachfolgend werden drei etablierte Algorithmen vorgestellt und deren Vor- und
Nachteile näher erläutert. Allen drei Algorithmen ist gemein, dass jedes Cluster von nur
einem Prototyp repräsentiert wird und die Anzahl der Cluster bzw. Prototypen vorgegeben werden muss. Zudem beeinflusst die Wahl des Ähnlichkeitsmaßes das Ergebnis des
Clusterns.
c-Means
Eine einfache und intuitive Methode ist der c-Means (oder auch k-Means) Algorithmus [1,
2]. Dieser gruppiert die Daten entsprechend der WTA-Regel Gl. 9.6 in c bzw. k Cluster,
wobei die Prototypen im Schwerpunkt des repräsentierten Clusters liegen.
Der Algorithmus in Abb. 9.1 zum Lernen des Modells basiert auf einem Wechselspiel
zwischen Datenzuordnung und Positionierung der Prototypen. Nach der zufälligen Initialisierung der Prototypen werden die einzelnen Datenelemente dem ähnlichsten Prototyp
gemäß WTA-Regel Gl. 9.6 zugeordnet. Im nächsten Schritt werden die Prototypen genau
als die Schwerpunkte der einzelnen Cluster berechnet. Diese zwei Schritte werden bis
zur Konvergenz wiederholt. Dieses Lernprinzip wird auch als alternierende Optimierung
bezeichnet.
Mathematisch formuliert besteht das Ziel des Algorithmus in der Minimierung der Kostenfunktion
Nw
Nv X
X
uj .vi / d.vi ; wj /;
(9.7)
ED
i D1 j D1
wobei uj .vi / die Zuweisung des Datenelementes vi zum Prototyp wj beschreibt. Dabei
P w
uj .vi / D 1, d. h., jedes Datenelement
gilt die Einschränkung uj .vi / 2 f0; 1g mit jND1
246
9
Methoden des maschinellen Lernens und der Computational Intelligence
Abb. 9.1 Algorithmus c-Means (batch)
wird nur genau einem Clusterzentrum zugeordnet. Das Distanzmaß d.vi ; wj / entspricht
der Ähnlichkeit zwischen Datenelement und Prototyp und kann beliebig gewählt werden. Oft wird die (quadratische) euklidische Distanz dE verwendet. Verschiedene weitere
Distanzmaße sind in Abschn. 9.2.2 aufgeführt. Die Formel (3) für die Schwerpunktberechnung der Cluster im c-Means-Algorithmus (Abb. 9.1) basiert auf der quadratischen
euklidischen Distanz Gl. 9.1.
Nach erfolgreichem Lernen verfügt man über ein Modell, bei welchem die Prototypen
die zugrunde liegende Datenmenge beschreiben. Neue Daten können jetzt gemäß des Siegerprinzips Gl. 9.6 dem ähnlichsten Cluster zugeordnet werden. Dabei muss das gleiche
Distanzmaß zum Einsatz kommen, welches auch für das Training des Modells verwendet
wurde.
Ein wesentliche Nachteil dieser einfachen Methode besteht darin, dass der Algorithmus sehr sensibel auf die Initialisierung der Prototypen reagiert und dazu tendiert, nur
lokale Optima zu erreichen [11]. Es ist daher notwendig, den Algorithmus mehrfach mit
unterschiedlichen Initialisierungen der Prototypen auszuführen und die geeignetste Clusterlösung gemäß der Aufgabenstellung auszuwählen.
Neural Gas
Ein weiterer vektorbasierter Clusteralgorithmus ist das sogenannte Neural-Gas-Verfahren
(NG) [10, 34]. Der Name steht beschreibend für die Art der Ausbreitung der Prototypen
im Datenraum während des Lernvorgangs, welche der Dynamik eines diffundierenden
Gases gleichkommt, bei dem die Gaspartikel den Prototypen entsprechen.
Der wesentliche Vorteil gegenüber c-Means besteht darin, dass der Algorithmus schneller konvergiert und entweder das globale Minimum findet, oder aber zumindest ein lokales
Minimum, welches dem globalen sehr nahe kommt [52]. Bei der Adaption der Prototypen werden jedoch nicht mehr alle Datenelemente als gleichrangig für einen Prototyp
9
Methoden des maschinellen Lernens und der Computational Intelligence
247
betrachtet. Für jeden Datenpunkt vi wird zunächst der Siegerrang kj .vi ; W / 0 zu allen
Prototypen wj bestimmt. Für den Sieger der WTA-Regel (9.6) ist der Rang gleich Null,
es gilt also ks .vi ; W / D 0. Alle anderen Prototypen erhalten Ränge entsprechend der
Ähnlichkeitsreihenfolge. Dem ermittelten Siegerrang kj .vi ; W / entsprechend wird nun
mittels einer sogenannten Nachbarschaftsfunktion
x
h .x/ D exp 2
2
(9.8)
ein Skalierungswert h .kj .vi ; W //, welcher mit steigendem Rang abnimmt, für die Lernstärke berechnet. Somit üben Daten, welche eine große Ähnlichkeit mit dem Prototyp
aufweisen, mehr Einfluss auf das Update des Prototypen aus (höhere Skalierungswerte)
als weniger ähnliche Daten. Diese Nachbarschaftsfunktion induziert ein sogenanntes kooperatives Lernen der Prototypen, d. h., alle Prototypen reagieren auf einen Input, aber mit
graduell abfallender Stärke entsprechend ihrem Siegerrang. Der Parameter beschreibt
die Reichweite der Kooperativität.
Der NG-Algorithmus minimiert die Kostenfunktion
ED
Nv
Nw X
1 X
h .kj .vi ; W // d.vi ; wj / ,
C j D1 i D1
(9.9)
welche für den Grenzfall & 0 die bekannte Kostenfunktion Gl. 9.7 des c-Means ergibt.
Als Distanzmaß d.vi ; wj / kommen wieder verschiedene Möglichkeiten (s. Abschn. 9.2.2)
in Betracht, jedoch muss für die Anpassung der Prototypen die Differenzierbarkeit bzgl.
der Prototypen wj gewährleistet sein. Im Neural-Gas-Algorithmus (Abb. 9.2) wird die
quadratische euklidische Distanz (Gl. 9.1) verwendet.
Der Lernalgorithmus (Abb. 9.2) zum Training des Modells besteht wieder aus zwei
alternierenden Optimierungsschritten: der Berechnung der Ränge der Datenvektoren und
der Anpassung der Prototypen unter Berücksichtigung der neuen Ränge. Dieses Wechselspiel, im Laufe dessen die Nachbarschaftsreichweite stetig verringert wird, wird solange
wiederholt, bis Konvergenz eintritt. Üblicherweise sind nur wenige Durchläufe notwendig [10].
Bisher wird immer davon ausgegangen, dass eine endliche, vorher definierte Menge
an Daten zum Training des Modells zur Verfügung steht. Es ist jedoch auch möglich,
Daten sequentiell zu verarbeiten, indem diese nacheinander in zufälliger Reihenfolge dem
Algorithmus präsentiert werden. Somit können auch neue Daten während der Lernphase
berücksichtigt werden. Das Lernen erfolgt gemäß des Algorithmus in Abb. 9.3. In jedem
Updateschritt wird zufällig ein Datenvektor vi gewählt und alle Prototypen gemäß
wj D " t h .kj .v; W //
@d.vi ; wj .t//
@wj .t/
(9.10)
248
9
Methoden des maschinellen Lernens und der Computational Intelligence
Abb. 9.2 Algorithmus Neural Gas (batch)
Abb. 9.3 Algorithmus Neural Gas (sequentiell)
adaptiert. Dabei ist 0 < "
1 die datenunabhängige Lernstärke bzw. Lernrate. Aus
Gl. 9.10 geht hervor, dass das verwendete Ähnlichkeitsmaß differenzierbar bzgl. der Prototypen wj sein muss.
Nach erfolgreichem Training des Modells werden – unabhängig davon, ob als BatchVariante oder sequentiell – neue Daten wieder gemäß WTA-Rule (Gl. 9.6) dem Cluster
zugeordnet, welches vom dem Datenvektor ähnlichsten Prototyp repräsentiert wird.
Self-Organizing Maps
Self-Organizing Maps (SOM) [20, 26] (deutsch: selbst-organisierende Karten) gehören zu
den bekanntesten Data Mining und Visualisierungsmethoden. Mit SOMs wird versucht,
die sensorische Informationsverarbeitung in den cortikalen Arealen des Gehirns mit einfa-
9
Methoden des maschinellen Lernens und der Computational Intelligence
249
Abb. 9.4 Algorithmus Self-Organizing Map (sequentiell)
chen Mitteln nachzubilden. Dabei geht man von der Annahme aus, dass die Verarbeitung
ähnlicher Reize in benachbarten Gehirnregionen stattfindet und eine Vernetzung der Neuronen untereinander besteht.
Eine SOM besteht aus einem meist regelmäßigen, oft zweidimensionalen rechteckigen
Knotengitter A. Jedem Knoten (formal: Neuron) wird ein Prototypvektor, hier auch oft
Merkmalsvektor genannt, zugeordnet. Dieser entspricht in Art und Dimensionalität den
Datenvektoren. Dem kooperativen Lernen der Prototypen liegt nun eine Kooperativität
der Knoten im Gitter zugrunde. Dazu wird die Gitterentfernung GA .j; k/ der Knoten bzw.
Neuronen j und k im Gitter A betrachtet. Bei einem regelmäßigen Gitter kann z. B. die
euklidische Gitterdistanz berechnet werden, oder man betrachtet die Weglänge zwischen
den Knoten des als Graphen aufgefassten Gitters entlang der Gitterkanten. Beim SOMAlgorithmus (Abb. 9.4) werden ähnlich wie bei NG für einen gegebenen Datenvektor
v neben dem Siegerprototypen ws alle anderen Protoypen wj graduell entsprechend der
Neuronennachbarschaft gemäß GA .j; s/ adaptiert:
wj .t C 1/ D wj .t/ "h t .GA .j; s//
@d.v; wj .t//
:
@wj .t/
(9.11)
Für die Lernrate " gilt 0 < "
1. Anfangs wird mit hoher Nachbarschaftsreichweite t
gelernt, welche jedoch im Laufe des Training immer weiter abfällt. Somit nimmt der Einfluss benachbarter Knoten stetig ab. Als Distanzmaß während der Siegerbestimmung mit
der WTA-Regel Gl. 9.6 kommen abermals verschiedene Möglichkeiten (s. Abschn. 9.2.2)
in Betracht, doch wiederum ist auf deren Differenzierbarkeit bzgl. der Prototypen wj zu
achten. Die Anzahl der Prototypen entspricht der Menge der Knotenpunkte im Gitter und
ist daher von vornherein durch die Wahl der Größe des Gitter auf einen konstanten Wert
festgelegt.
250
9
Methoden des maschinellen Lernens und der Computational Intelligence
a
b
25
25
20
20
15
15
10
10
5
5
0
0
5
10
15
20
25
0
c
d
25
25
20
20
15
15
10
10
5
5
0
0
5
10
15
20
25
0
0
5
10
15
20
25
0
5
10
15
20
25
Abb. 9.5 Ein zweidimensionaler Spieldatensatz bestehend aus 16 schachbrettartig angeordneten
Gaußwolken (gaußverteilte Datenpunkte) mit jeweils 100 Datenpunkten. a Ausgangsdatensatz b Ergebnis des Neural Gas: Platzierung der 16 Prototypen in den Zentren der Gaußwolken. c Ergebnis
der SOM: Knoten des Gitters entsprechen den Prototypen. d Ergebnis des Fuzzy-c-Means: Platzierung der 16 Prototypen in den Clusterzentren, graduelle Zuweisung der Daten zu den Prototypen
(Graulevel)
SOMs sind in ihren Vektorquantisierungseigenschaften etwas schwächer als der zuvor
besprochene NG-Algorithmus einzuschätzen. Jedoch sind sie hervorragend zur Datenvisualisierung geeignet. Unter bestimmten Umständen erzeugen sie eine Abbildung der
Daten v auf das Gitter A mittels der WTA-Regel Gl. 9.6, sodass ähnliche Daten (geringer
Abstand) auf Neuronen bzw. Knoten im Gitter abgebildet werden, die dort eine minimale
Gitterentfernung GA aufweisen. Diese Eigenschaft wird als topografische oder topologieerhaltende Abbildung bezeichnet. Somit können Datencluster hochdimensionaler Daten
im Gitter (meist zweidimensional!) leicht visualisiert und deren Nachbarschaftsrelationen
erfasst werden [49] (s. Abb. 9.5). Weitere sehr mächtige Datenvisualisierungsfunktionen
unter Benutzung von SOMs findet der Leser in [48]. Jedoch muss betont werden, dass
9
Methoden des maschinellen Lernens und der Computational Intelligence
251
diese Visualisierungstechniken nur dann zulässig sind, wenn eine topographische SOM
vorliegt. Das muss für jede Anwendung nach dem Lernen des SOM-Modells geprüft werden! Entsprechende Werkzeuge findet man in [51] (nebst mathematischen Grundlagen
topografischer SOMs) oder in [3, 24].1
Fuzzy-Varianten
Bei den bisher aufgeführten vektorbasierten Algorithmen wurde jeweils vorausgesetzt,
dass jedes Datenelement genau einem Prototyp bzw. einem Cluster gemäß WTA-Regel
(Gl. 9.6) fest zugeordnet wird. In der Praxis ist jedoch häufig eine eindeutige Zuweisung
nicht sinnvoll oder nicht möglich. Dieser Aspekt sollte auch beim Einsatz der Methoden zur Datenanalyse Berücksichtigung finden. Aus diesem Grund gibt es sogenannte
Fuzzy-Varianten der Algorithmen, welche in unscharfen Gruppierungen bzw. graduellen
Clusterzuweisungen der Daten resultieren.
Beispielsweise ändert sich dann die Kostenfunktion des c-Means-Algorithmus (Gl. 9.7)
dahingehend, dass der Wertebereich der Zuweisungsfunktion nun mit uj .vi / 2 Œ0; 1 mit
PNw
j D1 uj .vi / D 1 definiert ist [5, 12, 18], d. h., es erfolgt eine graduelle Zuordnung der
Datenvektoren zu den Prototypen. In der Kostenfunktion
ED
Nw
Nv X
X
uj .vi /m d.vi ; wj /
(9.12)
i D1 j D1
kommt noch ein weiterer Parameter m > 1 als Exponent der Zuweisungsfunktion hinzu,
welcher die Ausprägung der Unschärfe reguliert. Für m ! 1 ähnelt das Konvergenzverhalten dem des c-Means, d. h., unter Umständen werden nur lokale Minima gefunden. Für
m ! 1 nehmen die Zuordnungen gleichverteilte Werte an. Gute Ergebnisse erhält man
generell für 1:2 m 2:0 [5]. Der Fuzzy-c-Means verhält sich während der Lernphase
wesentlich stabiler als der herkömmliche c-Means und konvergiert häufiger zum globalen
Minimum [36], was einen wesentlichen Vorteil gegenüber der crispen Variante darstellt.
In Abb. 9.6 ist die Funktionsweise des Fuzzy-c-Means veranschaulicht.
Die Zuordnung ungelernter Daten zu den Prototypen erfolgt nun nicht mehr gemäß
WTA-Regel (Gl. 9.6), welche genau einen Siegerprototyp bestimmt, sondern analog der
Berechnung der Fuzzy-Zuweisungen uj der Daten zu den Prototypen gemäß Formel (3),
d. h., der Grad der Zugehörigkeit des Datenobjektes zu den einzelnen Prototypen wird
durch einen Zuweisungsvektor beschrieben. Für Neural Gas und SOM gibt es ähnlich
Modifikationen. Für Details dazu sei jedoch auf weiterführende Literatur verwiesen [15,
23, 53].
Median-Varianten
Für einige Daten, beispielsweise Gensequenzen und Texte, können gemittelte Prototypen wie bei c-Means, Neural Gas oder SOM nicht berechnet werden bzw. sind nicht
1
Eine für nichtkommerzielle Zwecke freie MATLABr-Toolbox für SOMs ist verfügbar [27, 50].
252
9
Methoden des maschinellen Lernens und der Computational Intelligence
Abb. 9.6 Algorithmus Fuzzy-c-Means (batch)
sinnvoll zu interpretieren. Es wird daher versucht, repräsentative Datenobjekte zu finden,
welche als Zentren der einzelnen Cluster verwendet werden. Dabei wird vorausgesetzt,
dass die Ähnlichkeiten d.oi ; pj / zwischen den Objekten oi und pj , entweder extern gegeben sind oder aber mit einem Ähnlichkeitsmaß wie in Abschn. 9.2.2 berechnet oder
anderweitig ermittelt werden können. Für Texte kommt beispielsweise die KolmogorovKomplexität (Gl. 9.4) infrage, während für Gensequenzen die Levenshtein-Distanz [30]
Anwendung findet. Die vorgenannten vektorbasierten Clusteralgorithmen müssen nun dahingehend angepasst werden, dass nur noch die Ähnlichkeiten zwischen den Daten für
die Bestimmung der Clusterzentren bzw. Prototypen herangezogen werden. Das Prinzip
der alternierenden Optimierung wie bei den vorgenannten vektoriellen Clusteralgorithmen
soll jedoch beibehalten werden. Da die Clusterzentren nun aber darauf beschränkt sind,
selbst ausgezeichnete Datenobjekte zu sein, führt das zu veränderten Updateregeln. Für
den Median-Fuzzy-c-Means werden die Prototypen pj bzw. repräsentativen Datenobjekte
ol gemäß der Formel
pj D vl mit l D 0 argmin
l
NV
X
ul 0 .oi /m d.oi ; ol 0 /
(9.13)
i D1
ermittelt. Die Zuweisung der Datenobjekte zu den Clusterzentren erfolgt wie beim Fuzzyc-Means gemäß (3). Man beachte, dass es sich sowohl bei den Datenobjekten oi als auch
den Prototypen pj nicht mehr um Vektoren handelt.
Wie aus dem Algorithmus in Abb. 9.7 hervorgeht, muss auch bei diesen MedianVarianten die Anzahl der gewünschten Prototypen vorab angegeben werden. Die Prototypen selbst werden anfangs auf zufällig gewählte Datenobjekte initialisiert.
9
Methoden des maschinellen Lernens und der Computational Intelligence
253
Abb. 9.7 Algorithmus Median-Fuzzy-c-Means (batch)
Für den klassischen c-Means, Neural Gas und SOM gibt es analoge Median-Varianten
für nichtvektorielle Daten [10].
Affinity Propagation
Affinity Propagation (AP) [14] ist eine Clustermethode, welche den Ansatz einer informationstheoretischen Analyse verfolgt. Dabei agieren die Datenobjekte als Knoten in
einem Netzwerk, wobei anfangs jedes Datenobjekt als potentieller Prototyp betrachtet
wird. Durch den Austausch realwertiger Nachrichten zwischen den Daten kommunizieren
die Objekte miteinander. Dadurch etablieren sich nach und nach einige der Datenobjekte
als Prototypen, und es bilden sich Cluster. Die Anzahl der Cluster wird implizit durch den
Algorithmus festgelegt bzw. kann nur indirekt über das Setzen bestimmter Parameter zur
Granularität der Cluster beeinflusst werden. Der Name Affinity Propagation rührt daher,
dass die Affinitität der Datenobjekte, sich als Prototyp wählen zu lassen, innerhalb des
Netzwerks propagiert wird. Die den Nachrichten zugrunde liegenden Berechnungen sind
einfach und schnell, wodurch der Algorithmus innerhalb kurzer Zeit zu einem stabilen,
reproduzierbaren Ergebnis führt.
Da wie bei den Median-Varianten nur die Ähnlichkeiten zwischen den Daten in
Betracht gezogen werden, ist der Algorithmus sowohl für vektorielle als auch nichtvektorielle Daten oi geeignet. Allerdings hat der Begriff ähnlich eine weitreichendere
Bedeutung. So müssen die Ähnlichkeiten nicht unbedingt symmetrisch sein, d. h.,
d.oi ; ok / ¤ d.ok ; oi / ist erlaubt. Zudem kann auch mit unvollständigen Datensätzen
gearbeitet werden, es müssen also nicht alle Ähnlichkeiten zwischen den Objekten bekannt sein. Jedoch wird bei diesem Algorithmus zwingend vorausgesetzt, dass zwei
Objekte umso ähnlicher sind, je größer der Ähnlichkeitswert ist. Die bekannten Ähnlich-
254
9
Methoden des maschinellen Lernens und der Computational Intelligence
keiten werden initial in den Größen s.i; k/ zusammengefasst. Bei der Verwendung eines
Distanzmaßes d.oi ; ok / zur Erfassung der Ähnlichkeit (z. B. euklidische Distanz) wird
dann s.i; k/ D d.oi ; ok / als Ähnlichkeitsmaß verwendet.
Bei den oben erwähnten Nachrichten, welche zeitgleich und miteinander konkurrierend
zwischen den Datenobjekten ausgetauscht werden, wird zwischen zwei verschiedenen Typen unterschieden. Zum einen gibt es die Responsibilities r.i; k/, welche die Eignung des
Datenobjektes ok als Prototyp zum Ausdruck bringen. Diese Nachrichten werden von anderen Datenelementen oi an den potentiellen Prototyp ok geschickt (propagiert). Und zum
anderen gibt es Availabilities a.i; k/, welche vom möglichen Prototyp ok an andere Datenobjekte oi geschickt werden, und die Eignung von ok als Prototyp beschreiben. Beide
Nachrichtentypen basieren auf einfachen Wahrscheinlichkeitsmodellen, welche als logarithmische Quotienten von Wahrscheinlichkeiten interpretiert werden können. Da in die
Berechnungen die Ähnlichkeiten s.i; k/ zwischen den Datenobjekten einfließen, können
beide Nachrichtentypen nur zwischen den Datenobjekten ausgetauscht werden, für welche
diese Ähnlichkeiten bekannt sind. Die Selbstähnlichkeiten s.i; i/ oder auch Präferenzen
müssen anfangs initialisiert werden. Je höher dieser Wert ist, umso wahrscheinlicher wird
sich das Datenobjekt als Prototyp herauskristallisieren. Um allen Objekten die gleiche
Chance zu geben, als Prototyp gewählt zu werden, müssen die Präferenzen auf einen einheitlichen Wert gesetzt werden. Mögliche Initialisierungen sind Median oder Minimum
aller bekannten Ähnlichkeiten s.i; k/.
Auch dieser Algorithmus folgt dem Prinzip der alternierenden Optimierung (s.
Abb. 9.8). Responsibilities und Availabilities werden wechselweise angepasst, sodass
Abb. 9.8 Algorithmus Affinity Propagation (batch)
9
Methoden des maschinellen Lernens und der Computational Intelligence
a
b
c
255
d
Abb. 9.9 Grafische Darstellung der Funktionsweise der Affinity Propagation. Die Punkte entsprechen den Datenobjekten, durchgezogene Linien stellen die Availabilities dar, gestrichelte Linien die
Responsibilities. a Ausgangsdatensatz, alle Datenobjekte sind potentielle Prototypen. b Austausch
anfangs gleichgroßer realwertiger Nachrichten zwischen allen Datenobjekten. c Herausbildung von
Prototypen basierend auf verstärkten Beziehungen zwischen ähnlich Objekten. d Endergebnis mit
vier Prototypen bzw. Clustern
sich nach und nach die Datenobjekte als Prototypen ergeben, welche sowohl die höchste
Availability als auch Responsibility aufweisen (s. Abb. 9.9).
9.4.2
Prototypbasierte Klassifikation – Lernende Vektorquantisierer
Im Gegensatz zum Clustern, bei dem nach inhärenten Datenstrukturen gesucht wird, geht
man beim Klassifizieren von einer vorgegebenen Klasseneinteilung aus, d. h., die zur
Verfügung stehenden NK Kategorien bzw. Klassen K D fK1 ; : : : ; KNK g sind bekannt.
Dabei werden die Daten vk in je eine Klassen Kl eingruppiert. Bei der Klassifikation
unterscheidet man zwischen Trainings- und Testdaten. Für Trainingsdaten ist die Klassenzugehörigkeit ck 2 K bekannt. Bei neuen Daten, den Testdaten2 , ist die Klasse nicht
bekannt und soll durch das gelernte Klassifikationsmodell in eine Kategorie eingeordnet
werden.
Wir konzentrieren uns wieder auf prototypbasierte Verfahren und speziell auf Methoden der Vektorquantisierung zur Generierung einen Klassifikationsmodells. Jede Klasse
Kl soll dabei durch mindestens einen Prototypvektor, ähnlich wie beim Clustern, beschrieben werden. Wir betrachten daher die Menge W D fw1 ; : : : ; wNW g der Prototypen
T
mit NW NK und dem zusätzlichen (Klassen-) Labelvektor y D y1 ; : : : ; yNW
mit
yj 2 K . Das Vektorelement yj definiert die Klassenzugehörigkeit des entsprechenden
Prototypvektors wj , und jede Klasse Ki sollte mindestens einmal vertreten sein.
Nach dem Training des Modells wird ein Datenvektor vi mittels der Gewinnerregel
Gl. 9.6 einem Siegerindex s D s .vi / zugeordnet und als Klasse ys identifiziert. Stimmen
2
Testdaten sind hier nicht im Sinne einer Modellvalidierung zu verstehen, sondern als zu bearbeitende Daten im Anwendungsfall.
256
9
Methoden des maschinellen Lernens und der Computational Intelligence
bei den Trainingsdaten die gegebene Klasse ci und die prognostizierte Klasse ys überein,
so ist der Datenvektor richtig klassifiziert, andernfalls gilt er als falsch klassifiziert. Als
Evaluierungsmaß für den Klassifikator wird im Allgemeinen die Anzahl der falsch klassifizierten Datenpunkte verwendet, d. h. die Anzahl der Datenpunkte vi mit ci ¤ ys.vi / .
Dieses Maß wird auch als Klassifikationsfehler bezeichnet. Es stehen jedoch weitere Evaluierungsmaße – vor allem für zwei Klassenprobleme (NK D 2) – zur Verfügung [13, 39].
Ein grundlegendes Lernverfahren wurde 1986 von Kohonen entwickelt und lernende Vektorquantisierung (Learning Vector Quantization, LVQ) benannt. Das sequentielle
Lernverfahren ist intuitiv: Zu einem zufällig gewählten Trainingsdatenvektor wird der
ähnlichste Prototypvektor bestimmt. Gehört dieser zur gleichen Klasse wie der Datenvektor, so wird er in dessen Richtung verschoben (Heranziehen/Attraction) und anderenfalls
in die entgegengesetzte Richtung geschoben (Abstoßen/Repulsing). Dies wird solange
wiederholt, bis keine Veränderung der Prototypvektoren mehr stattfindet bzw. bis eine
vorher festgelegte Anzahl von Lernschritten durchlaufen wurde. Im günstigen Fall sind
die Prototypen am Ende des Trainings klassentypisch. Jedoch, ähnlich wie beim c-Means
ist dieses Verfahren stark initialisierungssensibel, und es kann keine Aussage über die
Konvergenz des Verfahrens gemacht werden. Aus diesem Grund wurde der LVQ weiterentwickelt [26, 43, 47]. Eine der bedeutendsten Modifikationen ist der Generalized LVQ
von Sato und Yamada [43].
Generalized Learning Vector Quantization
Wie auch die benannten Clusterverfahren basiert der Generalized LVQ (GLVQ) auf der
Optimierung einer Kostenfunktion. Das Ziel des GLVQ ist es, den Klassifikationsfehler zu
minimieren und dabei das Prinzip der Vektorverschiebung vom LVQ zu bewahren. Dazu
wird die sogenannte Entscheidungsfunktion
W .vi / D
d C .vi / d .vi /
d C .vi / C d .vi /
(9.14)
benötigt. Diese beinhaltet die zwei Ähnlichkeiten d C .vi / D d.vi ; wC / und d .vi / D
d.vi ; w /. Dabei ist wC derjenige Prototyp, welcher aus der Menge der Protoypen mit
der gleichen Klassenzugehörigkeit wie vi dem Datenvektor wi am ähnlichsten ist (best
matching unit). Anderseits ist der Prototyp w derjenige, welcher aus der Menge der restlichen Protoypen (unterschiedliche Klasse) die größte Ähnlichkeit mit dem Datenvektor
wi aufweist. Wie bereits im Abschn. 9.2.2 erwähnt, gilt d.vi ; wl / < d.vi ; wk /, wenn
wl ähnlicher zu vi ist als wk . Somit ergibt sich bei näherer Betrachtung, dass der Wert
der Entscheidungsfunktion negativ ist, wenn der Datenvektor richtig klassifiziert wird,
d. h., wC ist ähnlicher als w . Als Ähnlichkeitsmaß d ˙ .v/ wird im Allgemeinen die euklidische Distanz gewählt, jedoch sind auch andere differenzierbare Maße denkbar (vgl.
Abschn. 9.2.2).
9
Methoden des maschinellen Lernens und der Computational Intelligence
257
Abb. 9.10 Veranschaulichung des GLVQ-Lernprinzips: Es wird der Datenvektor v zufällig gewählt
und die Prototypen w˙ ermittelt. Der Prototyp wC wird zum Datenvektor v herangezogen und der
Prototyp w wird weggeschoben
Die Kostenfunktion des GLVQ lautet
V
1X
f .W .vi // ,
2 i D1
N
ED
(9.15)
wobei die Transferfunktion f .x/ eine monoton wachsende Funktion ist. Sie wird oft als
1
gewählt. Daidentische Funktion f .x/ D x oder Sigmoidfunktion f .x/ D 1Cexp.x/
mit approximiert die Kostenfunktion Gl. 9.15 den Klassifikationsfehler [22].
Das Lernverfahren erfolgt nun prinzipiell wie bei den sequentiellen Clustermethoden.
Für einen zufällig ausgewählten Datenpunkt vi werden die entsprechenden Prototypen,
hier wC und w , angepasst. Die Updateformel unter Verwendung eines allgemeinen differenzierbaren Ähnlichkeitsmaßes lautet:
w˙ D w˙
mit
w˙
(9.16)
w˙ D "W f 0 .W .vi //
4 d .vi /
.d C .v
2
i / C d .vi //
.vi w˙ / .
(9.17)
Dabei ist 0 < "W << 1 die Lernrate der Prototypen.
Somit wird der richtige Prototyp wC wie beim grundlegenden LVQ-Verfahren zum
Datenvektor herangezogen. Zusätzlich wird der Prototypvektor w , welcher zu einer anderen Klasse als der Datenvektor gehört, weggeschoben. Dieses Prinzip wird in Abb. 9.10
nochmals verdeutlicht. Der komplette Algorithmus ist in Abb. 9.11 gegeben.
Bei Verwendung eines allgemein differenzierbaren Ähnlichkeitsmaßes ergibt sich
Gl. 9.16 zu
w˙ D "W f 0 .W .vi //
˙2 d .vi /
.d C .vi / C d .vi //
2
.vi w˙ /
@d ˙ .vi /
.
@w˙
(9.18)
Der GLVQ ist ein mathematisch fundiertes Verfahren, welches in der Praxis zu guten Ergebnissen führt. Ein Vorteil der Methode ist, dass die Komplexität des Modells,
in diesem Fall die Anzahl der Prototypen, von vornherein festgelegt wird. Das hat den
Vorteil, dass bei der Wahl einer geringen Anzahl von Prototypen nicht die Gefahr des
258
9
Methoden des maschinellen Lernens und der Computational Intelligence
Abb. 9.11 Algorithmus Generalized Learning Vector Quantization (sequentiell)
Auswendiglernens (engl. overfitting) besteht, d. h., das Modell des GLVQ generalisiert
das zugrunde liegende Klassifikationsproblem und liefert auch bei neuen (Test-)Daten eine gute Prognose. Modelle mit großer Komplexität neigen zu einer guten Performanz auf
den Trainingsdaten, jedoch nicht auf Testdaten.
Neben dem sequentiellen GLVQ für vektorielle, gibt es ebenso Erweiterungen für
nichtvektorielle Daten bzw. für vektorielle Daten, deren Ähnlichkeitsmaß nicht differenzierbar ist (Median-GLVQ [37], Relational-GLVQ [16]).
Automatische Skalierung von Datenmerkmalen – Relevanzlernen
Datenvektoren beschreiben verschiedene Merkmale eines Datenobjektes, z. B. können zu
einer Person verschiedene metrische Merkmale wie Gewicht, Alter, Körpergröße, Bildungsgrad, Blutzuckerspiegel, Einkommen, Schuldengröße usw. in einem solchen Vektor
zusammengefasst sein. Diese haben bei unterschiedlichen Problemstellungen eine unterschiedliche Wichtigkeit (Relevanz). Beispielsweise ist für ein charakteristisches Täterprofil im Umfeld von Diebstählen der Bildungsgrad von geringer Relevanz, während
die Schuldenhöhe eventuell von höherer Bedeutung ist. Anderseits kann bei politisch
motivierten Gewaltdelikten der Bildungsgrad eine wichtige Komponente im Täterprofil
darstellen. Für eine konkrete Problemstellung ist jedoch eine Vorhersage der Wichtigkeit
bzw. Relevanz der einzelnen Merkmale nicht bekannt bzw. nicht absehbar. Die automatische Anpassung der Relevanz solcher Merkmale an die Problemstellung ist beim
GLVQ-Klassifikationslernen möglich (vgl. Abb. 9.12). Diese Methode wird als Relevanzlernen bezeichnet [17].
9
Methoden des maschinellen Lernens und der Computational Intelligence
259
Abb. 9.12 Ein beispielhaftes Relevanzprofil für ein charakteristisches Täterprofil im Umfeld von
Diebstählen. In diesem Fall hat das Einkommen und die Schuldenhöhe ein hohen Einfluss auf die
Klassifikation
Bei der Verwendung der skalierten euklidischen Distanz Gl. 9.3 können die Skalierungsfaktoren k parallel zu den Prototypen adaptiert werden. Das Update für die Faktoren ergibt sich zu:
k D k
k
mit
k D "
2 f 0 .W /
.d C .v/ C d .v//
2
d .v/.vk wkC / d C .v/.vk wk /
mit einer Lernrate 0 < " < "W . Die Skalierungsfaktoren k bilden das Relevanzprofil
D .1 ; ; D /. Dabei werden hohe Werte für k als hohe Relevanz des Merkmales k
für die Klassifikation interpretiert.
Neben der Gewichtung einzelner Merkmale kann auch das Zusammenspiel bzw. die
Korrelation der Merkmale eine entscheidene Rolle für die Klassifikation spielen. Mithilfe
des Klassifikations-Korrelations-Lernens GLVQ [44] können diese Korrelationen ebenso
automatisch angepasst werden. Für eine detaillierte Ausführung und Beispiele für deren
erfolgreiche Anwendung sei auf [45] und [6] verwiesen.
9.4.3 Andere Verfahren zum Clustern und Klassifizieren – Bemerkungen
Neben diesen hier näher vorgestellten Verfahren existiert eine große Anzahl weiterer Algorithmen und Methoden zum Clustern und Klassifizieren. In der klassischen Statistik
sind zum Beispiel die Diskriminanzanalyse oder Bayes’sche Entscheidungsmodelle weit
verbreitet [11, 29]. Die im Beitrag vorgestellten Verfahren sind als Ergänzungen bzw. Alternativen zu diesen Methoden zu sehen, die einen intuitiven Zugang bieten und ebenso
leicht zu interpretierende Modelle.
Ähnliche Bemerkungen gelten für Verfahren des hierarchischen Clusterns bzw. der
Klassifikation mit Entscheidungsbäumen [7, 11]. Diese Methoden sind oft erfolgreich an-
260
9
Methoden des maschinellen Lernens und der Computational Intelligence
gewendet worden. Insbesondere vermittelt die baumartige Hierarchiestruktur der Zuordnungen bzw. Entscheidungen ein vermeintlich klares Entscheidungsbild. Unglücklicherweise sind diese Verfahren jedoch sehr sensibel gegenüber einer veränderten Datenlage.
Selbst kleine Änderungen der Daten können die erzeugte Hierarchiestruktur vollkommen
zerstören, d. h., eine Neuberechnung kann zu grundlegend anders strukturierten Hierarchiebäumen führen. Dieses sensible Verhalten erschwert eine verlässliche Interpretation.
Ein ebenfalls mächtiges Lernverfahren zu Klassifikation von Datenobjekten mit gegebenen Ähnlichkeiten sind die Support-Vektor-Maschinen (SVM, [46]). Der sehr guten
Leistungsfähigkeit dieses Modells steht eine eingeschränkte Interpretierbarkeit gegenüber.
Weiter muss einschränkend gesagt werden, dass auch dieser Algorithmus ein profundes
Wissen über die theoretischen mathematischen Hintergründe sowie eine solide Erfahrung
bei der Anwendung voraussetzt, obwohl in der Literatur oft ein andere Eindruck suggeriert wird. Durch ein formales Anwenden ohne Beachtung der Details kann man schnell zu
irreführenden Ergebnissen gelangen, welche insbesondere die propagierte Verallgemeinerungsfähigkeit des Modells betreffen.
In diesem Sinne sind die in diesem Beitrag vorgestellten Modelle auch als robuste
Alternativen anzusehen, bieten natürlich aber auch keinen vollständigen Überblick. Einen
sehr aktuellen Überblick über weitere Methoden der Computational Intelligence findet
man in [21].
Es ist jedem Leser klar, dass die hier vorgestellten Verfahren, Modelle und Überlegungen nur einen kleinen Ausschnitt aus dem großen Pool entsprechender Algorithmen
und Herangehensweisen darstellen, der naturgemäß dem Erfahrungswissen der Autoren
angepasst ist. Daher ist für konkrete Problemstellungen ein weiteres Literaturstudium
unerlässlich. Die Autoren sind jedoch gerne bereit, mit ihrem Rat und Wissen bei entsprechenden Fragen zu helfen.
Literatur
1. Ball, G., Hall, D.: Isodata an iterative method of multivariate data analysis and pattern classification (1965)
2. Ball, G.H., Hall, D.J.: A clustering technique for summarizing multivariate data. Behavioral
Science 12(2), 153–155 (1967)
3. Bauer, H.U., Pawelzik, K.R.: Quantifying the neighborhood preservation of Self-Organizing
Feature Maps. IEEE Trans. on Neural Networks 3(4), 570–579 (1992)
4. Becker, P.: Wie big sind die Big Five. Zeitschrift für Differentielle und Diagnostische Psychologie 17(4), 209–221 (1996)
5. Bezdek, J.: A convergence theorem for the fuzzy isodata clustering algorithms. IEEE Transactions on Pattern Analysis and Machine Intelligence 2(1), 1–8 (1980)
6. Biehl, M.: Prototype-based classifiers and their application in the life sciences. In: Advances
in Self-Organizing Maps and Learning Vector Quantization – Proceedings of the 10th International Workshop, WSOM 2014, Mittweida, Germany, July, 2–4, 2014, S. 121 (2014). doi:
10.1007/978-3-319-07695-9_11. http://dx.doi.org/10.1007/978-3-319-07695-9_11
Literatur
261
7. Bishop, C.: Pattern Recognition and Machine Learning. Springer Science+Business Media,
LLC, New York, NY (2006)
8. Borkenau, P., Ostendorf, F.: Untersuchung zum Fünf-Faktorenmodell der Persönlichkeit und
seiner diagnostischen Erfassung. Zeitschrift für Differentielle und Diagnostische Psychologie
10(4), 239–251 (1989)
9. Cilibrasi, R., Vitányi, P.: Clustering by compression. IEEE Transactions on Information Theory
51(4), 1523–1545 (2005)
10. Cottrell, M., Hammer, B., Hasenfuss, A., Villmann, T.: Batch and median neural gas. Neural
Networks 19, 762–771 (2006)
11. Duda, R., Hart, P.: Pattern Classification and Scene Analysis. Wiley, New York (1973)
12. Dunn, J.C.: A fuzzy relative of the ISODATA process and its use in detecting compact well-separated clusters. Journal of Cybernetics 3(3), 32–57 (1973). doi:
10.1080/01969727308546046
13. Fawcett, T.: An introduction to roc analysis. Pattern Recogn. Lett. 27(8), 861–874 (2006). doi:
10.1016/j.patrec.2005.10.010. http://dx.doi.org/10.1016/j.patrec.2005.10.010
14. Frey, B.J., Dueck, D.: Clustering by passing messages between data points. Science 315, 972–
976 (2007)
15. Geweniger, T., Fischer, L., Kaden, M., Lange, M., Villmann, T.: Clustering by fuzzy
neural gas and evaluation of fuzzy clusters. Comp. Int. and Neurosc. 2013 (2013). doi:
10.1155/2013/165248. http://dx.doi.org/10.1155/2013/165248
16. Hammer, B., Schleif, F.M., Zhu, X.: Relational extensions of learning vector quantization.
In: Lu, B.L., Zhang, L., Kwok, J. (Hrsg.) Neural Information Processing, Lecture Notes in
Computer Science, Bd. 7063, S. 481–489. Springer Berlin Heidelberg (2011). doi: 10.1007/9783-642-24958-7-56. http://dx.doi.org/10.1007/978-3-642-24958-7_56
17. Hammer, B., Villmann, T.: Generalized relevance learning vector quantization. Neural Networks
15(8–9), 1059–1068 (2002)
18. Hathaway, R., Bezdek, J.: Local convergence of the fuzzy c-means algorithm. Pattern recognition 19(6), 477–480 (1986)
19. Haykin, S.: Neural Networks - A Comprehensive Foundation. IEEE Press, New York (1994)
20. Heskes, T.: Energy functions for self-organizing maps. In: Oja, E., Kaski, S. (Hrsg.) Kohonen
Maps, S. 303–316. Elsevier, Amsterdam (1999)
21. Kacprzyk, J., Pedrycz, W. (Hrsg.): Springer Handbook of Computational Intelligence. Springer,
Dordrecht, Heidelberg (2014)
22. Kaden, M., Riedel., M., Hermann, W., Villmann, T.: Border-sensitive learning in generalized
learning vector quantization: an alternative to support vector machines. Soft Computing, S. in
press (2015)
23. Kästner, M., Villmann, T.: Fuzzy supervised self-organizing map for semi-supervised vector
quantization. In: Rutkowski, L., Korytkowski, M., Scherer, R., Tadeusiewicz, R., Zadeh, L., Zurada, J. (Hrsg.) Artificial Intelligence and Soft Computing, Lecture Notes in Computer Science,
Bd. 7267, S. 256–265. Springer Berlin Heidelberg (2012)
24. Kiviluoto, K.: Topology preservation in self-organizing maps. In: ICNN 96. The 1996 IEEE
International Conference on Neural Networks, Bd. 1, S. 294–9. IEEE, New York, NY, USA
(1996)
262
9
Methoden des maschinellen Lernens und der Computational Intelligence
25. Kohonen, T.: Self-Organization and Associative Memory, Springer Series in Information
Sciences, Bd. 8. Springer, Berlin, Heidelberg (1984). 3. Aufl. 1989.
26. Kohonen, T.: Self-Organizing Maps, Springer Series in Information Sciences, Bd. 30. Springer,
Berlin, Heidelberg (1995). (2. erweiterte Aufl. 1997).
27. Kohonen, T.: MATLAB Implementations and Applications of the Self-Organizing Map. Unigrafia Oy, Helsinki, Finland (2014)
28. Kolmogorov, A.: On tables of random numbers. Sankhya: The Indian Journal of Statistics. Ser.
A 25, 369–375 (1963)
29. Läuter, H., Pincus, R.: Mathematisch-statistische Datenanalyse. Akademie-Verlag (1989)
30. Levenshtein, V.: Binary codes capable of correcting deletions, insertions, and reversals. Doklady
Akademii Nauk SSSR 163(4), 845–848 (1965)
31. Lowe, D.: Object recognition from local scale-invariant features. In: The Proceedings of the
Seventh IEEE International Conference on Computer Vision, Bd. 2, S. 1150–1157 (1999)
32. Lowe, D.: Distinctive image features from scale-invariant keypoints. International Journal of
Computer Vision 60(2), 91–110 (2004)
33. Maltoni, D., Maio, D., Jain, A., Prabhakar, S.: Handbook of Fingerprint Recognition. Springer,
Berlin-Heidelberg (2009)
34. Martinetz, T.M., Berkovich, S.G., Schulten, K.J.: “neural-gas” network for vector quantization
and its application to time-series prediction. IEEE Transactions on Neural Networks 4(4), 558–
569 (1993)
35. Mergenthaler, E.: Emotions-Abstraktionsmuster in Verbatimprotokollen. Verlag für Akademische Schriften, Frankfurt (1997)
36. Miyamoto, S., Ichihashi, H., Honda, K.: Algorithms for Fuzzy Clustering, Studies in Fuzziness
and Soft Computing, Bd. 229. Springer (2008)
37. Nebel, D., Villmann, T.: Median variants of LVQ for optimization of statistical quality measures for classification of dissimilarity data. Machine Learning Reports 8(MLR-03-2014), 1–25
(2014). ISSN:1865-3960, http://www.techfak.uni-bielefeld.de/~fschleif/mlr/mlr_03_2014.pdf
38. Pekalska, E., Duin, R.: The Dissimilarity Representation for Pattern Recognition: Foundations
and Applications. World Scientific (2006)
39. Powers, D.M.: Evaluation: From precision, recall and f-factor to roc, informedness, markedness
& correlation. Journal of Machine Learning Technologies 2, 37–63 (2011). http://www.bioinfo.
in/contents.php?id=51. ISSN 2229-2981
40. Rissanen, J.: Modeling by shortest data description. Automatica 14, 149–162 (1978)
41. Sachs, L.: Angewandte Statistik, 7. Aufl. Springer (1992)
42. Salton, G., McGill, M.: Introduction to modern information retrieval. McGraw-Hill, New York
(1983)
43. Sato, A.S., Yamada, K.: Generalized learning vector quantization. In: G. Tesauro, D. Touretzky,
T. Leen (Hrsg.) Advances in Neural Information Processing Systems, Bd. 7, S. 423–429. MIT
Press (1995)
44. Schneider, P., Hammer, B., Biehl, M.: Adaptive relevance matrices in learning vector quantization. Neural Computation 21, 3532–3561 (2009)
Literatur
263
45. Schneider, P., Schleif, F.M., Villmann, T., Biehl, M.: Generalized matrix learning vector quantizer for the analysis of spectral data. In: Verleysen, M. (Hrsg.) Proc. Of European Symposium on
Artificial Neural Networks (ESANN’2008), S. 451–456. d-side publications, Evere, Belgium
(2008)
46. Schölkopf, B., Smola, A.: Learning with Kernels. MIT Press (2002)
47. Seo, S., Obermayer, K.: Soft learning vector quantization. Neural Computation 15, 1589–1604
(2003)
48. Vesanto, J.: Som-based data visualization methods. Intelligent Data Analysis 3, 111–26 (1999)
49. Vesanto, J., Alhoniemi, E.: Clustering of the self-organizing map. IEEE Transaction on Neural
Networks 11(3), 586–600 (2000)
50. Vesanto, J., Alhoniemi, E., Himberg, J., Kiviluoto, K., Parviainen, J.: Self-organizing map for
data mining in matlab: The som toolbox. Simulation News Europe (25), 54 (1999)
51. Villmann, T., Der, R., Herrmann, M., Martinetz, T.M.: Topology preservation in self-organizing
feature maps: exact definition and measurement. IEEE Transactions on Neural Networks 8(2),
256–266 (1997)
52. Villmann, T., Hammer, B., Biehl, M.: Some theoretical aspects of the neural gas vector quantizer. In: M. Biehl, B. Hammer, M. Verleysen, T. Villmann (Hrsg.) Similarity-based Clustering,
LNAI, Bd. 5400, S. 23–34. Springer, Berlin (2009)
53. Villmann, T., Seiffert, U., Schleif, F.M., Brüß, C., Geweniger, T., Hammer, B.: Fuzzy labeled self-organizing map with label-adjusted prototypes. In: Schwenker, F., Marinai, S. (Hrsg.)
Proceedings of Conference Artificial Neural Networks in Pattern Recognition (ANNPR) 2006,
Ulm, Germany, LNAI 4087, S. 46–56. Springer (2006)
54. Watson, J., Crick, F.: Molecular structure of nucleic acids. a structure for deoxyribose nucleic
acid. Nature 171(4356), 737–738 (1953)
55. Ziv, J., Lempel, A.: Compression of individual sequences via variable-rate coding. IEEE Transactions on Information Theory 24(5), 530–536 (1978)
56. Zühlke, D.: Vector quantization based learning algorithms for mixed data types and their application in cognitive support systems for biomedical research. Ph.D. thesis, University Groningen,
Johann-Bernoulli-Institute for Mathematics and Computer Sciences (2012)
Digitale Forensik zwischen
(Online-)Durchsuchung, Beschlagnahme
und Datenschutz
10
Frank Czerner
10.1 Einleitung
Für die digitale Forensik besteht das Problem, dass infolge ständig fortschreitender technischer Neuerungen, denen das Recht zumeist „hinterherhinken muss“, oftmals fraglich ist,
ob für bestimmte strafprozessuale Maßnahmen zur Sicherung und Auswertung von möglichen Beweismitteln mit dem Ziel der Klärung der Täterschaft einschlägige gesetzliche
Grundlagen existieren und inwieweit deren Voraussetzungen bejaht werden können, um
z. B. den E-Mail-Verkehr eines Beschuldigten (Abschn. 10.9) oder um eine (grundsätzlich [noch] unzulässige) Online-Durchsuchung (Abschn. 10.12) anordnen, durchführen
und die gewonnenen Erkenntnisse im Strafverfahren verwerten zu können. Anders stellen
sich die rechtlichen Rahmenbedingungen im Bereich der von der Polizei wahrzunehmenden Gefahrenabwehr, also präventiver Maßnahmen zur Abwehr künftig zu erwartender
Straftaten dar – jene Regularien finden sich u. a. im Gesetz über das Bundeskriminalamt
(BKAG) in dem Gesetz über die Antiterrordatei (ATDG, Abschn. 10.13), vornehmlich
jedoch in den jeweiligen Polizeigesetzen der Bundesländer.
In memoriam Joachim Vogel († 2013)
F. Czerner ()
Lehrstuhl Recht in der Sozialen Arbeit, University of Applied Sciences Mittweida
Technikumplatz 17, 09648 Mittweida, Deutschland
E-Mail: czerner@hs-mittweida.de
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2_10
265
266
F. Czerner
10.2 Daten und Dateien als Gegenstände einer Durchsuchung
und Beschlagnahme?
„Klassische“ Beweismittel, mit denen im Rahmen eines Strafprozesses die Schuld eines
mutmaßlichen1 Täters (mit) bewiesen – oder auch ausgeschlossen – werden können, sind
bestimmte Gegenstände, die sich im Kontext von Durchsuchung und Beschlagnahme im
Besitz des Tatverdächtigen befinden, z. B. das Tat- bzw. Einbruchswerkzeug, aber auch
Gegenstände, mit denen unmittelbar die gesamte Straftat begangen worden sein kann
(z. B. Waffen). Elektronische Daten als solche sind (nach nicht unumstrittener Ansicht)
jedoch keine Gegenstände, die einer Beschlagnahme nach § 94 StPO unterliegen können.2
Allerdings gehören zu den für die digitale Forensik relevanten und einer Beschlagnahme
nach § 94 StPO unterfallenden Gegenstände die physischen Datenträger wie Festplatten
eines Rechners, CDs, DVDs, USB- bzw. Memory Sticks, Speicherkarten, Disketten3 und
Smartphones4 , weitere Ton- und Bildträger und sonstige „verkörperte Informationsspeicher“5 , weil die höchstrichterliche Rechtsprechung6 auch auf Medien elektronisch gespeicherte Informationen zu den sicherstellungsfähigen Gegenständen gemäß § 94 StPO
zählt. Dies soll auch für sogenannte Kommunikationsdaten gelten, die z. B. auf einem
PC des Adressaten bzw. des Senders oder auf einem Mobiltelefon gespeichert sind, d. h.
E-Mails bzw. Anschlussnummern von eingegangenen bzw. ausgegangenen Telefonaten,
die aus dem Speichermedium des Mobiltelefons ausgelesen werden können.7 Nach Auffassung des BVerfG8 soll der Schutz des Post- und Fernmeldegeheimnisses nach Art. 10
GG, in welches nur in ganz besonders schwerwiegenden Fällen eingegriffen9 werden darf,
weil das Brief-, Post- und Fernmeldegeheimnis „unverletzlich“ ist und nur aufgrund eines Gesetzes (des Bundes oder eines Bundeslandes) beeinträchtigt werden darf, wobei
die kollidierenden Rechtsgüter – Geheimhaltungsinteresse bzw. Datenschutz versus Tataufklärung - sorgfältig gegeneinander abzuwägen sind, und damit auch der Schutz von
1
Die übliche Formulierung „mutmaßlicher“ Täter ist der Unschuldsvermutung aus Art. 6 II EMRK
geschuldet, wonach jeder Tatverdächtige bis zum gesetzlichen Nachweis seiner Schuld als unschuldig zu gelten hat.
2
Roxin und Schünemann [38, S. 274]; anderer Ansicht: Zimmermann [46, S. 321 f.]; Korge [26,
S. 95, S. 156, dort These II 1]; BVerfGE 113, S. 29 (50).
3
BVerfG-NStZ-RR 2003, S. 176 f.; BVerfG-NJW 2005, S. 1917 (1920); Kemper [22, S. 538 (540,
dort Fn. 17)]; Meyer-Goßner und Schmitt [30, § 94 Rdz. 4, 16a: Beschlagnahme durch Datenübermittlung]; BVerfGE 124, S. 43 (54); Gercke [13, § 94 Rdz. 17-19].
4
BVerfG-NJW 2005, S. 1917 (1919); Zimmermann [46, S. 321 f.].
5
BVerfG-NStZ-RR 2003, 176; BGH-NStZ 1997, 247; Hartmann und Schmidt [16, S. 135 Rdz. 418];
Herrmann und Soiné [17, S. 2922].
6
BVerfGE 113, S. 29; BVerfG-NJW 2007, S. 3343
7
Hartmann und Schmidt [16, S. 135 Rdz. 418].
8
BVerfGE 115, S. 166, 183.
9
Ein Eingriff in das Fernmeldegeheimnis liegt nach Ansicht des BVerfG (NJW 2012, 833 (836))
vor, wenn staatliche Stellen sich ohne Zustimmung der Beteiligten Kenntnis vom dem Inhalt oder
den Umständen eines fernmeldetechnisch vermittelten Kommunikationsvorgangs verschaffen.
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 267
§ 100a StPO, enden, wenn die Daten auf dem Gerät des Nutzers, an den sie gerichtet
sind, gespeichert sind. Ab diesem Zeitpunkt unterliegen sie der Beschlagnahme nach § 94
StPO10 , weil die Daten dann physisch auf den technischen Gerätschaften des Betroffenen
lokalisierbar und dort abrufbar sind (Abschn. 10.9).
Die Strafprozessordnung enthält nur marginale Regelungen zum beweismitteltechnischen Umgang mit Datenträgern und den in ihnen gespeicherten bzw. mit ihnen
abrufbaren digitalen Informationen. Auch ist zu berücksichtigen, dass die „Auswahl“
der jeweiligen strafprozessualen Eingriffsnormen zur rechtlichen Ermöglichung der
Datensicherstellung/-beschlagnahme erheblichen Einfluss auf deren Legitimierung hat:
Die Telekommunikationsregularien der §§ 100a ff. StPO sind wesentlich strenger und
demnach eine Durchsuchung bzw. Sicherstellung von Daten wegen des Erfordernisses
einer Katalogtat nach § 100a II StPO wesentlich schwieriger zu rechtfertigen als nach
den allgemeineren und nur einen vagen Anfangsverdacht11 voraussetzenden Bestimmungen der §§ 94 ff. StPO12 , nach welchen schon sogenannte „zureichende tatsächliche
Anhaltspunkte“ i. S. d. § 152 II StPO, d. h. die Möglichkeit einer begangenen Straftat, als
solche bereits ausreichen. Wenn dieser Anfangsverdacht in Bezug auf die Beschlagnahme gegeben ist, muss, weil es sich hierbei um einen fixen Konditionalsatz („wenn !
dann“ handelt), diese Maßnahme durchgeführt werden (§ 94 StPO: „Gegenstände, die
als Beweismittel [. . . ] von Bedeutung sein können, sind in Beschlag zu nehmen oder in
anderer Weise sicherzustellen“). Dies lässt sich sowohl mit der Unschuldsvermutung aus
Art. 6 II EMRK begründen, die zumindest einen Anfangsverdacht voraussetzen muss,
um eine derartige grundrechtssensible Maßnahme rechtfertigen zu können, als auch mit
dem Verhältnismäßigkeitsgrundsatz, nach welchem staatlich-hoheitliche Maßnahmen,
wozu insbesondere jene der Strafverfolgung gehören, geeignet, erforderlich und angemessen sein müssen. Für die Sicherstellung bzw. Beschlagnahme folgt hieraus, dass
erst ab einem „Mindestverdachtsgrad“ von einer geeigneten Strafverfolgungsmaßnahme
ausgegangen werden kann, sie also nicht „ins Blaue hinein“, quasi wie die Nadel im
sprichwörtlichen Heuhaufen, erfolgen darf, sondern aufgrund konkreter Anhaltspunkte,
welche eine Straftat dieses Betroffenen nach derzeitigem Erkenntnisstand zumindest als
möglich erscheinen lassen. Allerdings ist im Rahmen präventiv-polizeilicher Maßnahmen
zur Gefahrenabwehr eine rein vorsorgliche Beschlagnahme, z. B. die Beschlagnahme der
Festplatte eines Computers, auf der sich verdachtsunabhängig „rein theoretisch“ Hinweise auf eine Straftat finden lassen könnten, grundsätzlich unzulässig13 (s. aber § 20a
BKAG sowie § 5 ATDG zur vorbeugenden Terrorismusbekämpfung, Abschn. 10.13). Ein
Gegenstand, der als Beweismittel in Betracht kommt, kann nach § 94 StPO in Verwahrung
genommen oder in anderer Weise sichergestellt, d. h. in amtliche Verwahrung genommen
10
Hartmann und Schmidt [16, S. 135 Rdz. 418]; Michalke [31, S. 287 (291)].
Instruktiv zum Anfangsverdacht: Kohlmann [25, S. 164 ff., 173 ff.]; zum Tatverdacht im Rahmen einer Beschlagnahme gemäß § 94 StPO: Hartmann und Schmidt [16, S. 137 Rdz. 421] sowie
BVerfG, 2BvR9/10, Kriminalistik 2015, S. 100.
12
Roxin und Schünemann [38, S. 274].
13
Hartmann und Schmidt [16, S. 137 Rdz. 421].
11
268
F. Czerner
werden. Erst wenn diese Gegenstände von dem Betroffenen nicht freiwillig herausgegeben werden, ist eine sogenannte Beschlagnahme, d. h. Wegnahme eines Gegenstandes
gegen den Willen des Betroffenen, durch die Strafverfolgungsbehörden, d. h. auch durch
die Polizei, zulässig. Nach dieser Norm kann z. B. ein kompletter Rechner sichergestellt
bzw. beschlagnahmt werden, um beispielsweise auf der Festplatte, der externen Festplatte
oder auf anderen Speichermedien be- oder auch entlastendes Material zu entdecken.
10.3 Beschlagnahme und Durchsuchung bei E-Mails, SMS etc.
Etwas komplexer als im vorgenannten Abschn. stellt sich die rechtliche Lage bei E-Mails,
Sprachnachrichten, SMS, Faxen etc. dar, die beim Provider zwischengespeichert sind.14
Wenn und solange der Empfänger der betreffenden Nachricht (E-Mails/SMS) (noch) keinen unmittelbaren Zugriff auf diese Nachrichten hat und somit die E-Mails beim Provider weder aufrufen, noch lesen, noch bearbeiten und jene lediglich auf sein privates
Telekommunikationsgerät abrufen kann, gilt der Telekommunikationsvorgang, also ein
dynamischer15 Prozess der Nachrichtenübermittlung, als noch nicht abgeschlossen, und
der Zugriff der Strafverfolgungsbehörden richtet sich nach den Telekommunikationsüberwachungsregularien des § 100a StPO.16 Der Grund für die Anwendbarkeit von § 100a
StPO liegt im laufenden Telekommunikationsprozess, unter welchem nach Ansicht der
Rechtsprechung17 gemäß des § 3 Nr. 22 und Nr. 23 TKG (Telekommunikationsgesetz)
das Aussenden, Übermitteln und Empfangen von Nachrichten aller Art unter Verwendung
technischer Einrichtungen zu verstehen ist, welche die Nachricht z. B. in elektromagnetische oder optische Signale umformen18 , also alle modernen Kommunikationsformen.19
Dass diese Legaldefinition der Telekommunikation primär aus technischer Perspektive
formuliert wurde, während § 100a StPO primär auf Kommunikation zugeschnitten ist,
welche beobachtet werden soll, ist für die Brauchbarkeit dieser Legaldefinition letztlich
unerheblich20 , weil sich die Vorschrift des § 100a StPO ebenfalls sehr eng an den telekommunikationsrechtlichen Regularien orientiert. Zudem spricht die systematische Auslegung
von § 3 Nr. 22 TKG und von § 100a StPO für eine Zugrundelegung der TKG-Definition.
Vereinzelt wird bzgl. dieser Phase das Gegebensein einer Datenübertragung jedoch ab14
Hartmann und Schmidt [16, S. 135 Rdz. 418].
So die zutreffende Beschreibung durch Klein [24, S. 2996].
16
Hartmann und Schmidt [16, S. 135 Rdz. 418].
17
BGH-NJW 1997, S. 1934.
18
Siehe Hartmann und Schmidt [16, S. 186 Rdz. 579]; siehe auch Weiß [45, S. 99 f.].
19
Bär [5, S. 218 (220)].
20
Anders hingegen Paa [35, S. 109], welcher die Legaldefinition des § 3 Nr. 22 TKG in Bezug
auf § 100a StPO für nicht anwendbar hält und stattdessen die – wesentlich ungenauere – allgemeine Schutzzweckbestimmung aus dem Post- und Fernmeldegeheimnis aus Art. 10 I GG bemühen
will. Eine Präzisierung des Telekommunikationsvorganges wird hierdurch freilich nicht erreicht,
nur das Ergebnis bereits vorweggenommen, welches erzielt werden soll. Problematisierend auch
Gercke [13, § 100a Rdz. 9].
15
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 269
gelehnt, weil die Daten nur zwischengespeichert würden, ohne dass Signale ausgesendet
oder übermittelt würden.21 Bei isolierter Betrachtung dieser Phase ist diese Auffassung
zutreffend, doch ist gerade für den Prozess der Telekommunikation entscheidend, dass
auch datenübermittlungsfreie Zwischenphasen den Gesamtprozess letztlich nicht unterbrechen. Zutreffend wird auf die Einheitlichkeit des Übermittlungsvorgangs hingewiesen,
welche zudem nicht zu einer Umgehung der (im Vergleich zu §§ 94 ff. StPO) erhöhten
Voraussetzungen des § 100a StPO führen soll.22 Solange allerdings die Signale in diesem
Stadium noch nicht an den Empfänger weitergeleitet worden sind, also noch nicht empfangen wurden, dauert der Telekommunikationsvorgang gemäß § 3 Nr. 22 TKG noch an,
und hierauf basierend gestattet § 100a StPO die Überwachung und Aufzeichnung der Telekommunikation, wenn bestimmte Tatsachen den Verdacht begründen, dass jemand als
Täter oder Teilnehmer (= Mittäter, Anstifter oder Gehilfe) eine in Absatz 2 bezeichnete
schwere Straftat begangen hat bzw. versucht hat zu begehen.
Ist demgegenüber ein Zwischenspeicher auf einem Server des Providers eingerichtet, auf welchen der Nutzer passwortgeschützt über das Internet unmittelbaren Zugriff
hat und somit Nachrichten lesen, schreiben und löschen kann, ohne die Nachrichten auf
ein permanentes Speichermedium seines PC oder Telekommunikationsgerät herunterladen zu müssen, wie z. B. bei gmx.de, web.de und hotmail.com, ist die Beschlagnahme der
in einem derartigen Postfach beim Provider gespeicherten E-Mails nach Auffassung des
BGH23 auf der Basis von § 99 StPO (nicht § 100a StPO) zulässig.24
Zudem hat das BVerfG25 festgestellt, dass zugangsgesicherte E-Mail-Postfächer unter
dem Schutz des Post- und Fernmeldegeheimnisses nach Art. 10 I GG stehen, weil der verfassungsrechtliche Schutzbereich des Art. 10 I GG nicht auf telekommunikationsgesetzlicher Ebene des § 3 Nr. 22 TKG definiert und hierdurch möglicherweise eingeschränkt
wird, sondern an die grundrechtliche Schutzbedürftigkeit des Betroffenen anknüpfe: Wenn
Dritte in diesem Kommunikationsvorgang einbezogen würden, sei die Schutzbedürftigkeit auch bzw. vor allem bei einer Zwischenspeicherung der Kommunikationsinhalte bei
einem Provider gegeben.26 Erst wenn die Daten vom Empfänger abgerufen/gelesen bzw.
auf seinem Endgerät abgespeichert sind, ist der Telekommunikationsvorgang i. S. d. § 3
Nr. 22 TKG abgeschlossen und somit die Regelung des § 100a StPO nicht mehr auf ihn
anwendbar.
21
Korge [26, S. 78] unter Berufung auf eine wörtlich-restriktive Auslegung der Begriffs der „Nachrichtenübertragung“ und „Telekommunikation“, zustimmungswürdig i. E. jedoch auf [26, S. 80, 83]
sowie [26, S. 157 These II 7 ]; ähnlich auch Neuhöfer [33, S. 48 f.].
22
Paa [35, S. 112]; Neuhöfer [33, S. 50 ff., 58 m. w. N.].
23
BGH-NJW 2009, S. 1828.
24
Klein [24, S. 2996]; Hartmann und Schmidt [16, S. 135 Rdz. 418].
25
BVerfGE NJW 2009, S. 2431 f.
26
Hartmann und Schmidt [16, S. 135 Rdz. 418].
270
F. Czerner
10.4 Kopieren von Daten (Image) als eingriffsschwächeres
Äquivalent zur Beschlagnahme eines Rechners?
Teilweise wird die Ansicht vertreten, eine mildere Maßnahme als die Beschlagnahme
nach den §§ 94 ff. StPO stelle das Kopieren der Daten27 des Beschuldigten dar, sofern
dies mit einem Herausgabeverlangen nach § 95 StPO von nach konkreten Kriterien zusammengestellten Einzeldaten in Kopie auf separaten Datenträgern kombiniert werden
kann. Unter den Begriff der Beschlagnahme i. S. d. §§ 94 ff. StPO soll daher nach – nicht
unumstrittener28 Ansicht der höchstrichterlichen Rechtsprechung auch die Anfertigung
von Sicherungskopien zu verstehen sein, weil nur die Kopie des Datenbestandes eine
Beschlagnahme ersetzen könne.29 Hier ist aus historischen Gründen zu berücksichtigen,
dass dem damaligen Reichsgesetzgeber bei der Verabschiedung der Strafprozessordnung
im Jahr 1877 die heutigen Möglichkeiten der Informationstechnologie nicht ansatzweise
bekannt sein konnten, sodass vorliegend eine unbeabsichtigte und damit planwidrige Regelungslücke vorliegt, welche im Wege einer Analogie geschlossen werden kann.30 Die
Auffassung, das Kopieren stelle eine mildere Maßnahme gegenüber einer Beschlagnahme
des ganzen Rechners dar, ist insofern zutreffend, als der Gegenstand „Rechner“, „CD“
etc. hierbei beim Beschuldigten verbleibt und ihm nicht weggenommen wird, allerdings
können auch durch das „bloße“ Kopieren hochsensible Daten und Informationen an die
Strafverfolgungsbehörden gelangen, und der Rechner ist während des gesamten Kopiervorgangs für den Betroffenen nicht nutzbar, sodass sich – je nach Umfang des Kopierens
unter Verhältnismäßigkeitsgesichtspunkten die Frage stellt, welche Maßnahme sich nach
ihren Auswirkungen letztlich als eingriffsintensiver (und damit stärker rechtfertigungsbedürftig) erweist. Im Schrifttum31 findet sich die Ansicht, die gesamte Festplatte sei
schreibgeschützt auszulesen und eine Kopie in Form eines identischen Abbildes (1:1Kopie, „Image“) anzufertigen. Das „Image“ eines Datenträgers beinhaltet mehr als die
bloße Kopie von Dateien, es „spiegelt“ den ganzen Datenträger auch mit seinen gelöschten oder überschriebenen Dateien auf einen anderen Datenträger.32 Über diese Imagekopie
werde eine kryptographische Prüfsumme („Hash“) berechnet, welche zu dokumentieren
sei. Erst danach würden an der Imagekopie – niemals an dem Originaldatenträger – ebenfalls dokumentationspflichtige inhaltliche Untersuchungen vorgenommen: Die Nichtver27
BVerfG-NStZ-RR 2003, S. 176 f.; Kemper [22, S. 538 (540, dort auch in Fn. 21)]; Obenhaus [34,
S. 651 f., 653]; Korge [26, S. 61 f., 158, dort These 9]; Zimmermann [46, S. 321 f.]; Roxin und Schünemann [38, S. 274 m. w. N.]; Gercke [13, § 94 Rdz. 21].
28
Zur Nicht-Beschlagnahmefähigkeit der Daten als solcher: Kemper [22, S. 538 (541)].
29
Kemper [22, S. 538 (540, dort Fn. 29)]; so auch Korge [26, S. 95, 125].
30
Hierauf weist berechtigt Rux [39, S. 285 (290), dort auch m. w. N. in Fn. 32] mit insoweit
zutreffender Kritik an Kemper [22, S. 538 ff.] und an Hofmann [18, S. 121], hin. Zu den inhaltlichmethodischen Voraussetzungen analoger Rechtsanwendung, insbesondere zur Feststellung der
Planwidrigkeit einer Regelungslücke siehe Czerner [8, S. 182 (188)].
31
Kemper [22, S. 538 (540 ff, dort auch in Fn. 21, 29 und 47, 543 f.)]; Hansen und Pfitzmann [15,
S. 225].
32
Kemper [22, S. 538 (542, dort in Fn. 48)].
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz
271
änderung der sichergestellten Originaldatenträger sei damit wesentliche Voraussetzung
für die Verlässlichkeit sowie für die Revisionsfestigkeit dieser Untersuchungsmethode.
Eine Verletzung der Urheberrechte sei durch den Kopiervorgang nicht gegeben, weil § 45
UrhG eine Vervielfältigung von Werken für Verfahrenszwecke ausdrücklich gestatte.33
Zu beachten ist beim Sichten und Kopieren von Datenbeständen, dass auch vom Nutzer
gelöschte Dateien von den Ermittlungsbehörden aufgefunden und rekonstruiert werden
können, z. B. über vom Dienstanbieter angefertigte Sicherungskopien, die dem Nutzer
zwar nicht angezeigt werden, aber ggf. langfristig gespeichert werden können.34
10.5 Problem der Begrenzung von Durchsuchung und
Beschlagnahme auf verfahrensrelevante Datenbestände
versus Amtsermittlungsgrundsatz im Strafprozess
Ein weiteres Problem unter Verhältnismäßigkeitsgesichtspunkten, so wenig wie möglich
in die Rechte des Betroffenen einzugreifen, stellt die Beschränkung der Beschlagnahme
auf relevante Daten(bestände) dar. Werde festgestellt, dass sich auf dem Datenträger keine
verfahrenserheblichen Daten befinden können, wäre die Sicherstellung des Datenträgers
bereits ungeeignet und somit unzulässig.35 Der Zugriff auf Daten, die für das Verfahren bedeutungslos seien, müsse möglichst vermieden werden und nicht gebrauchte Daten
müssten herausgegeben bzw. gelöscht werden.36 Eine Trennung von relevanten bzw. nicht
relevanten Daten ist bei der Beschlagnahme eines Mediums jedoch nicht ohne Weiteres
möglich, weil das Speichermedium physisch nicht teilbar ist37 und weil auch unverdächtig
anmutenden Dateinamen nicht der Inhalt der Dateien anzusehen ist. Der Betroffene kann
durch technische Maßnahmen die gesuchten Daten verschleiern, vermischen, verschlüsseln, unsichtbar machen oder löschen.38 Auch nur halbwegs umsichtige Täter werden es
in der Regel vermeiden, für die Strafverfolgungsbehörden interessante Daten mit einem
eindeutigen Titel zu versehen, der Aufschluss über seinen Inhalt gibt.39 Insofern ist nur
schwerlich nachzuvollziehen, warum elektronisch gespeicherte Daten nicht alleine deshalb eingesehen werden dürften, weil sie versteckt, verschlüsselt oder gelöscht waren40 ,
sofern sie nicht zuvor auf ihre potentielle Beweiserheblichkeit für das konkrete Verfahren
überprüft worden sind. Solange die Datenspeicher nicht eingesehen werden, dürfte die
33
So Bär [5, S. 218 (220)].
Brodowski [6, S. 402 f., 404, 406].
35
BVerfG-NJW 2005, S. 1917 (1920); Kutzner [28, S. 2652 f.].
36
Vgl. BVerfGE 113, S. 29 (53, 55); BVerfG-NJW 2005, S. 1917, 1921, 1923; Jahn [20, S. 255
(262)]; Hartmann und Schmidt [16, S. 140 Rdz. 431].
37
Korge [26, S. 128].
38
Korge [26, S. 148].
39
Kohlmann [25, S. 46].
40
So aber Korge [26, S. 149]. Gelöschte Dateien sind für den „normalen“ Anwender nicht mehr
lesbar, sie sind aber, soweit dieser Bereich im Speicher nicht mit anderen Daten überschrieben wird,
noch vorhanden und mithilfe spezieller Software wieder rekonstruierbar (Weiß [45, S. 22]).
34
272
F. Czerner
potentielle Beweisbedeutung von bestimmten Daten/Dateien im Vorfeld nur schwer zu
bewerten sein, denn es lässt sich nur schwer vorhersagen, ob Daten aufgefunden werden,
welche im Zusammenhang mit Straftaten stehen (können) oder welche berufliche oder nur
private Angelegenheiten betreffen41 . Dazu müsste letztlich jede Datei zumindest gesichtet
werden, um aus der Fülle an Material Wesentliches von Unwesentlichem zu trennen und
hiervon diejenigen Dateien herauszufiltern, die mit dem Tatvorwurf in Zusammenhang
stehen (können)42 und um z. B. gelöschte oder versteckte Dateien überhaupt entdecken
und untersuchen zu können.43 Um einen „Kompromiss“ zwischen möglichst umfassender Sachverhaltsaufklärung einerseits und möglichst niedrigschwelligem Eingriff beim
Beschuldigten andererseits auszutarieren, kann die Durchsuchung und Beschlagnahme
auf bestimmte Absender- oder Empfängerangaben limitiert, in inhaltlicher Perspektive
oder durch Suchbegriffe im Mailtext beschränkt44 und/oder auf einen bestimmten Zeitraum begrenzt werden.45 Dabei gilt es primär zu klären, welche Daten und Informationen
für das (weitere) Verfahren von Bedeutung sind bzw. sein können.46 Damit ist zwangsläufig nicht auszuschließen, dass zahlreiche bzw. die allermeisten Daten und Dateien
im Strafverfahren letztlich keine Verwendung finden, zumal ihre Einbeziehung im Rahmen eines das Prozessstadium einleitenden Ermittlungsverfahrens unter einem (ersten)
Anfangsverdacht, der bloßen Möglichkeit des Vorliegens einer Straftat, gekennzeichnet
ist.47 Angesichts der häufig vorzufindenden Datenmengen wurde jedoch vonseiten der
Praxis bereits vor zehn Jahren eingewendet, es sei schlichtweg „unmöglich, unrealistisch
und lebensfremd“48 , jede einzelne kopierte Datei aufzuzeichnen; allenfalls die gesicherten Verzeichnisstrukturen könnten ausgedruckt werden. Vor diesem Hintergrund stößt die
genuine Verpflichtung der Strafverfolgungsbehörden wie auch der Gerichte zur Erfassung der Beweisaufnahme auf alle Tatsachen und Beweismittel, die für die Entscheidung
von Bedeutung sind (§ 244 II StPO), infolge faktisch-technischer Hindernisse an ihre
Grenzen. Damit steigt zugleich das Risiko einer möglichen Revisibilität einer auf eine
lediglich fragmentarische Beweisaufnahme beruhenden Aburteilung (Verurteilung oder
Freispruch), weil die gerichtliche Entscheidung möglicherweise anders ausgefallen wäre,
wenn alle Dateien aus der Imagekopie in die Beweiswürdigung mit einbezogen worden
wären (vgl. den relativen Revisionsgrund in § 337 StPO). Begrüßenswert ist vor diesem
Hintergrund die Nichtbeanstandung einer vollständigen Kopie sämtlicher sichergestell41
Vgl. Obenhaus [34, S. 651 f.], dort jedoch im Zusammenhang mit dem Problem der Datensichtung beim Cloud Computing (Abschn. 10.14), wobei strukturell die gleichen Schwierigkeiten des
verdachtgestützten Vermutens über verfahrensrelevante Datenbestände bestehen.
42
Berthel et al. [3, S. 70]; Korge [26, S. 126, 146]; Rogge [36, S. 29].
43
Kemper [22, S. 538 (540, dort in Fn. 21, 542)]; Korge [26, S. 52].
44
Kasiske [21, S. 228 (232)]; Brodowski [6, S. 402 (410)].
45
BVerfGE 113, S. 29 (56); BGH-NJW 2010, S. 1297 f.; dem berechtigt folgend: Zimmermann [46,
S. 321 f.].
46
Berthel et al. [3, S. 70].
47
Dies wurde berechtigt vom BVerfG-NJW S. 1995, 2839 f. festgestellt.
48
So der gewichtige Einwand von Kemper [22, S. 538 (541, dort auch in Fn. 45)].
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz
273
ter E-Mails durch das Bundesverfassungsgericht.49 Im Zusammenhang mit dem Kopieren
von Datenbeständen wird allerdings auf das Risiko technisch bedingter Fehlerquellen hingewiesen: Beispielsweise können im Originalspeichermedium versteckte oder gelöschte
Dateien beim Kopieren nicht mit übertragen werden, wobei derartige Fehler i. d. R. nur
von Spezialisten erkannt werden können.50 Der Beweiswert kopierter Datenbestände soll
daher hinter dem Beweiswert der Originaldatei als geringer einzustufen sein.51
10.6 Durchsuchung und Beschlagnahme von Daten
und der „Kernbereich privater Lebensgestaltung“
Rechtsprechung52 und Teile der Literatur53 sind sich dem Grunde nach einig darüber,
dass der (etwas hochtrabend formulierte) „Kernbereich privater Lebensgestaltung“54 als
ein „letzter unantastbarer Bereich menschlicher Freiheit, der der Einwirkung der öffentlichen Gewalt entzogen ist“ (höchstpersönliche, intime Gedanken, Gefühlsäußerungen)
ausreichend geschützt wird. Bedeutung erlangt die Bezugnahme auf den „Kernbereich
privater Lebensgestaltung“ insofern, als der PC nicht lediglich als „Edelvariante“ einer
elektrischen Schreibmaschine, als „Rechenknecht“ oder bloßes Portal zum Internet dient,
sondern zunehmend auch als Adressbuch, Archiv, Bibliothek und auch als Tagebuch fungiert.55 Ob Computer allerdings automatisch und zwangsläufig deshalb dem Zugriff der
Behörden entzogen bleiben müssen bzw. ob gefordert werden kann, Daten aus diesem
geschützten „Kernbereich privater Lebensgestaltung“ sollten erst gar nicht erhoben werden56 , ist fraglich, zumal sich infolge unterschiedlichster Dateien auf einem Rechner, die
von mehreren Personen genutzt werden können, teilweise private und teilweise weniger
private Inhalte finden lassen werden – jene Unterschiede gilt es im Wege der Durchsuchung zunächst herauszufiltern. Aus diesem Grunde statuierte der Gesetzgeber ein spezielles Beweisverbot in § 100a IV 1 StPO und die daraus ableitbare Unzulässigkeit der
gerichtlichen Nutzung bestimmter Erkenntnisse, wenn diese allein aus dem „Kernbereich
privater Lebensgestaltung“ stammen. In der Regel ist jedoch nicht vorhersehbar, welchen Inhalt die erhobenen Daten haben57 , und dem jeweiligen Speichermedium ist der
49
BVerfG-NJW 2009, S. 2431, Rdz. 108 ff.
Korge [26, S. 126, 158, dort These 9].
51
Korge [26, S. 130, 152].
52
Substantiell bereits in BVerfGE 6, S. 32 (41); BVerfGE 109, S. 279 (313 ff.).
53
Zum Beispiel Roßnagel [37, S. 225 (230)]; Zimmermann [46, S. 321 (327)].
54
Hierzu ausführlich Paa [35, S. 52 ff., 119 ff., 149 ff.]; Kohlmann [25, S. 120 ff., 229]; Weiß [45,
S. 193 ff., 275]; Gercke [13, vor §§ 94 ff. Rdz. 18, 19 sowie § 100a Rdz. 32].
55
Rux [39, S. 285, 291]; Kohlmann [25, S. 107, dort Fn. 450].
56
Rux [39, S. 285, 291, dort in Fn. 37 f. mit Hinweis auf BVerfGE 80, S. 367 (373, Tagebuch), der
Diktion nach BVerfGE 109, 279 (großer Lauschangriff); BVerfGE 113, S. 348 (390 ff.)].
57
So berechtigt gesehen vom BVerfG-NJW 2008, S. 822 (834) mit Hinweis auf BVerfGE 113,
S. 348 (392) = NJW 2005, S. 2603 (2612).
50
274
F. Czerner
Informationsgehalt nicht ohne Weiteres anzusehen58 (s. o., Abschn. 10.5), sodass eine umfangreiche Erhebung grundsätzlich geboten sein wird. Hier offenbart sich die Schwäche
des Kernbereichsarguments zumindest für die Durchsicht bestimmter Datenbestände auf
verfahrensrelevante Informationen: Die Gewissheit, ob sich überhaupt relevante Dateien
auf dem Rechner befinden, wird erst und nur durch die heimliche Überwachungsmaßnahme ermöglicht – dann aber ist bereits in den möglichen „Kernbereich“ eingegriffen worden – ,der Schutz der Menschenwürde greife daher erst und nur nach ihrer Verletzung.59
Folgerichtig wird eine Beeinträchtigung der Menschenwürde und damit ein Verstoß gegen Art. 1 I GG nicht schon bei einer bloßen Kenntnisnahme von „kernbereichsrelevanten“
Informationen durch die Strafverfolgungsorgane gegeben sein; vielmehr müssen weitere
Umstände hinzutreten, die insgesamt eine Missachtung der Subjektqualität des Menschen
erkennen lassen.60
Auch ist bei dieser zweifelsohne wichtigen, aber nicht selten gebetsmühlenartig wiederholten Formulierung „Kernbereich privater Lebensgestaltung“ zu beachten, dass zunächst in jedem Einzelfall sehr genau geprüft werden muss, ob, wann und wodurch genau
(Kausalität!) überhaupt in den Kernbereich privater Lebensgestaltung eingegriffen wird,
zumal diese Formulierung sehr gerne als „argumentatives Totschlagsargument“ dazu genutzt wird, um notwendige staatliche Ermittlungsbefugnisse (Abschn. 10.12.2) weitgehend zu minimieren und dadurch (unbewusst oder bewusst) dem Täterschutz im Bereich
der Schwerkriminalität bzw. der schwer aufzuklärenden Kriminalität Vorschub zu leisten.
Zutreffend verwehrte das BVerfG61 einem Beschuldigten die Verhinderung der Beschlagnahme von Unterlagen, obwohl jener sie als „Verteidigungsunterlagen“ bezeichnete, um
durch diese Schutzbehauptung der Beschlagnahme zu entgehen. Vor allem das Strafverfahrensrecht sieht sich durch die Zuerkennung von Vetorechten der Gefahr einer Hypertrophie der Beschuldigtenrechte ausgesetzt, wodurch unverzichtbare Ermittlungsmaßnahmen
ausgeschaltet bzw. umgangen werden können.62 Freilich bewegt sich die Frage nach der
Reichweite staatlicher Eingriffsbefugnisse auf dem Grat zwischen Sicherheit und Freiheit und der Frage, wie viel der Mensch von sich aus preisgeben muss, damit der Staat
effektiv Sicherheit gewährleisten kann.63 Der Schutz der Privatsphäre, eine große Errungenschaft des freiheitlich-demokratischen Rechtsstaates, darf jedoch weder als „Schonraum“ für Straftäter vor Strafverfolgung, noch als Alibi für eine unzureichende Ermittlung
von Straftaten dienen. Andernfalls bestünde die Gefahr, worauf der Tübinger Abgeordnete des Parlamentarischen Rates, Carlo Schmid (1896-1979) bei den Vorarbeiten zum
Grundgesetz hingewiesen hatte, dass die Grundrechte die Voraussetzungen für ihre eige58
Korge [26, S. 1].
Hierauf machten die Richterinnen Jaeger und Hohmann-Dennhardt in ihrem Sondervotum zu
BVerfGE 109, S.279 (383 f.) berechtigt aufmerksam; siehe hierzu auch Paa [35, S. 60, dort Fn. 287].
60
Paa [35, S. 61].
61
BVerfG-NJW 2002, S. 1410.
62
Für den Bereich rechtsmedizinisch indizierter Sektionen untersucht von Czerner [9, S. 1 f., 7 ff.].
63
Siehe die lesens- und diskussionswürdige, konzise Aufbereitung dieser Abwägungsproblematik
von Di Fabio [10, S. 421].
59
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz
275
ne Abschaffung liefern könnten. Berechtigt schränkte das BVerfG64 einerseits den „nur“
grundsätzlich zu gewährenden „Kernbereichsschutz“ selbst bei (stets höchstpersönlichen)
Tagebuchaufzeichnungen ein, wenn jene einen unmittelbaren Bezug zu einer konkreten
Straftat aufweisen (z. B. Geständnis). Unverständlich ist daher, weshalb das BVerfG65
später in seiner Entscheidung zur akustischen Wohnraumüberwachung den „Kernbereich
privater Lebensgestaltung“ für unabwägbar hielt und selbst nach Maßgabe des Verhältnismäßigkeitsgrundsatzes keinerlei Eingriff zulassen möchte. Davon abgesehen, dass der
Kernbereichsschutz – entgegen seinem eigentlichen Ziel des Schutzes höchstpersönlicher
Geheimhaltungsinteresses – sich hierdurch auch zu einem faktisch wie rechtlichen strafverfolgungsfreien Schonraum für Straftäter entwickeln würde, ist die Gleichsetzung des
Kernbereichsschutzes mit der unabwägbaren Menschenwürde gemäß Art. 1 I GG, dem
absoluten, niemals einschränkbaren Recht, nicht nachvollziehbar. Allein ihr gebührt die
Unantastbarkeit, nicht aber einem, wenn auch mit ihr zusammenhängenden abgeleiteten
Recht. Für die Reglungen zum Schwangerschaftsabbruch hat das BVerfG in seinen zwei
Entscheidungen66 die mit tangierte Menschenwürde in Verbindung mit dem allgemeinen
Persönlichkeitsrecht für abwägbar und somit einschränkbar erachtet – wenn dies schon
für das irreversibel zerstörbare Lebensrecht gilt, muss dies erst recht für den insoweit
schwächeren Kernbereichsschutz gelten, zumal diesem (auch gebotenen) Schutz durch
eine restriktive Handhabung sowie durch Implementierung verfahrensrechtlicher Hürden
Rechnung getragen werden kann, um dem Staat nicht zu starke Überwachungs- und Kontrollmechanismen zu gewähren.
Einen weiteren Aspekt im Rahmen dieser strafprozessualen grundrechtlichen Eingriffsmaßnahme gilt es unter Verhältnismäßigkeitsgesichtspunkten zu beachten: Wenn problemverkennend und reduktionistisch nur die Wahrscheinlichkeit der Rechtsgutsverletzung umso höher sein müsse, je intensiver der Grundrechtseingriff67 ist, dann muss in
diese Verhältnismäßigkeitsprüfung neben der bloßen Wahrscheinlichkeit68 , dass es zu einer Rechtsgutsverletzung kommt, ebenso mit einbezogen werden, um welches geschütztes
Rechtsgut es sich handelt, zu deren Zweck eine Durchsuchung bzw. Beschlagnahme auch
allein aus Beweisgründen angeordnet werden sollte. Der allgemeine Rechtfertigungsgrund
des § 34 StGB hat die wesentlichen Abwägungsparameter genannt, wobei diese Norm
die erforderliche Gefahrenlage für weniger schützenswerte Rechtsgüter (z. B. Eigentum)
als höher einstuft als die Gefahrenlage für ein höchst schützenswertes Rechtsgut wie das
menschliche Leben.
64
BVerfGE 80, S. 367 (374 f.); BVerfG-NJW 2012, S. 833 (837); BGHSt 34, S. 397 (400 f.).
BVerfGE 109, S. 279 (314).
66
BVerfGE 39, S. 1 ff. und BVerfGE 88, S. 203 ff.
67
Vgl. die eindimensionale Sichtweise z. B. von Roßnagel [37, S. 225 (230)].
68
Siehe die kluge Anmerkung zum Wahrscheinlichkeitsbegriff von Kohlmann [25, S. 163, dort
Fn. 728].
65
276
F. Czerner
10.7 Durchsuchung und Beschlagnahme
auch bei Nichtbeschuldigten?
Eine besondere Ausprägung erfährt der Verhältnismäßigkeitsgrundsatz, wenn es sich um
die Sicherstellung bzw. Beschlagnahme von Gegenständen, also Rechnern, Festplatten,
CDs etc., bei Nichtbeschuldigten handelt69 , zumal die Beschlagnahmevorschriften gemäß
§§ 94 ff. StPO stets den Beschuldigtenstatus voraussetzen, d. h. eine bestimmte Person,
gegen welche zumindest ein Anfangsverdacht – oder im Rahmen der Telekommunikationsüberwachung sogar ein dringender Tatverdacht bestehen muss, d. h. die hohe Wahrscheinlichkeit, dass der Betreffende die Tat wirklich begangen hat und deshalb höchstwahrscheinlich verurteilt werden wird, wenn sich dies in der Hauptverhandlung bestätigen
lässt. Die Durchsuchung bei Dritten erfordert neben dem Verdacht einer Straftat, dass
der einfache Verdacht besteht, beim Dritten könnten konkret bestimmte und bezeichnete Spuren einer Straftat, beschlagnahmefähige Gegenstände oder der Beschuldigte selbst
gefunden werden.70
10.8
Formalia bei der Anordnung und Durchführung
von Durchsuchung und Beschlagnahme
Die Anordnung der Beschlagnahme erfolgt gemäß § 98 I StPO durch das Gericht, wobei
die Inverwahrungnahme des Gegenstandes von jedem Polizeibeamten durchgeführt werden kann.71 Die gerichtliche Beschlagnahmeanordnung ergeht als Beschluss, der schriftlich zu fixieren und zu begründen ist (§ 34 StPO); der Betroffene ist nach § 98 II 5 StPO
über seine Rechtsschutzmöglichkeiten zu belehren.72 Bei Gefahr in Verzug sind die Staatsanwaltschaft und ihre Ermittlungspersonen anordnungsbefugt.73
10.9 Telekommunikationsüberwachung gemäß § 100a StPO
Eine (heimliche) Überwachung der Telekommunikation (zur Legaldefinition der Telekommunikation Abschn. 10.3) stellt einen Eingriff in das durch Art. 10 GG geschützte Postund Fernmeldegeheimnis und zudem einen Eingriff in das allgemeine Persönlichkeitsrecht
nach Art. 2 I i. V. m. Art. 1 I GG dar und bedarf wegen des Gesetzesvorbehalts in Art. 10
GG einer (bundes- oder landes-)gesetzlichen Regelung – diese ist mit der Norm des § 100a
StPO geschaffen worden.74 § 100a StPO gilt gemäß § 3 Nr. 22 und Nr. 23 Telekommunika69
OLG Koblenz, NStZ 2007, S. 285 f.; Hartmann und Schmidt [16, S. 140 Rdz. 431].
Kühne [23, S. 319 § 29 Rdz. 497].
71
Hartmann und Schmidt [16, S. 142 Rdz. 435].
72
Hartmann und Schmidt [16, S. 142 Rdz. 438, S. 144 Rdz. 444].
73
Hartmann und Schmidt [16, S. 144 Rdz. 444].
74
Hartmann und Schmidt [16, S. 185 Rdz. 578].
70
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz
277
tionsgesetz (TKG) einerseits für analoge und digitale Signale, für die leitungsgebundene
Übermittlung und den Mobilfunk, andererseits auch für den Fernschreib- und Telefaxdienst; für Telegramme gilt § 99 StPO als speziellere Regelung.75 § 100a StPO erfasst alle
Formen des „Abhörens“ der Inhalte von Telekommunikation, auch Chatdienste, Internettelefonie („Voice over IP“ – Sprachübertragung in Echtzeit mittels Internetprotokoll76 –
und E-Mail77 ), mithin jegliche Art der Nachrichtenübermittlung.78 Diese Norm gestattet
die Überwachung und Aufzeichnung der Telekommunikation, wenn bestimmte Tatsachen
den Verdacht begründen, dass jemand als Täter oder Teilnehmer (= Mittäter, Anstifter oder
Gehilfe) eine der in Absatz 2 bezeichneten schweren Straftaten begangen bzw. versucht
hat zu begehen.
10.9.1 Rechtliche Qualifizierung einzelner Phasen im E-Mail-Verkehr
Die Telekommunikationsüberwachung in Bezug auf E-Mails wird in rechtlicher Perspektive kontrovers diskutiert, und es werden je nach Phase der E-Mail-Bearbeitung durch den
Absender bzw. den Adressaten unterschiedliche rechtliche Regelungen zugrunde gelegt,
welche nachfolgend angesichts der Komplexität in stichpunktartiger Darstellung vorgestellt werden:79
Phase 1: Schreiben der E-Mail
1a: Sonderkonstellation des Entwurfsstadiums beim Webmail-Service
Phase 2: Absenden der E-Mail und Übermittlung über Mail-Provider des Absenders an Mailprovider des Empfängers
Phase 3: Zwischenspeicherung der noch ungelesenen Mail beim Empfängerprovider
Phase 4: Abruf der E-Mail durch Empfänger: Herunterladen oder speichern der
Mail mit Webmailservice, z. B. gmx
Phase 5: Herunterladen und Speichern der (gelesenen) Mail durch den Adressaten
Phase 6: Endspeicherung beim Mailprovider des Empfängers
75
Hartmann und Schmidt [16, S. 187 Rdz. 580].
Bär [5, S. 218 (220)].
77
BGH-NJW 1997, S. 1934.
78
BGH-NStZ 1997, S. 247.
79
Diese Übersicht orientiert sich maßgeblich an dem inhaltlich wie didaktisch vorzüglichen
Übersichtsartikel von Zimmermann [46, S. 321 ff.] sowie an der Rechtsprechung. Ein anderes Phasenmodell findet sich beispielsweise bei Gercke [11, S. 624], bei Brodowski [6, 402 f. (7 Phasen)]
sowie bei Klein [24, S. 2996 f.]; Kasiske [21, S. 228 (3 Phasen)]; Neuhöfer [33, S. 27 ff.]; Paa [35,
S. 111 (ebenfalls 3 Phasen)]; Korge [26, S. 68 f., 157, dort These II 6].
76
278
F. Czerner
Phase 1 und 5
Phase 1 – noch kein Telekommunikationsvorgang
Phase 5 – bereits abgeschlossene Telekommunikation
Folglich ist in beiden Fällen das Fernmeldegeheimnis gemäß Art. 10 GG nicht betroffen
Offener Zugriff: Strafverfolgungsbehörden können die Speichermedien gemäß §§ 94 ff.
StPO sicherstellen bzw. beschlagnahmen; Durchsicht des gesamten Mailbestands auf
verfahrensrelevante E-Mails gemäß § 110 I StPO; bei Speicherung der Mails auf externen Servern können Ermittler vom Rechner des Beschuldigten die andernorts gespeicherten Nachrichten aufrufen – falls jene passwortgeschützt sind, besteht gemäß
§§ 95, 110 III, 100j I 2 StPO i. v. m. § 113 I 2, IV 1 TKG für den Provider (sofern er
TK-Dienstleister ist) eine Auskunftspflicht zur Bekanntgabe des Passworts, andernfalls
„Knacken“ des Passworts; Problem bei im Ausland befindlichen Servern: Geltung des
Übereinkommens über Computerkriminalität, BGBl. 2008 II S. 1242, ggf. vorläufige
Datensicherung i. V. m. einem Rechtshilfeersuchen an den betreffenden Staat (hierzu
Abschn. 10.15)
Verdeckter (heimlicher) Zugriff auf die Festplatte des Beschuldigten von außerhalb
mittels Spionagesoftware im Wege einer Online-Durchsuchung (Abschn. 10.12):
§ 100a StPO hierbei nicht anwendbar, weil eine Telekommunikation noch bzw. nicht
mehr gegeben ist; keine Rechtsgrundlage zugunsten einer Online-Durchsuchung und
Beweisverwertungsverbot, falls doch Daten erhoben wurden; Mindermeinung: §§ 102
StPO80 soll auch Online-Durchsuchung gestatten
Phase 1a
Obwohl erst im Entwurfsstadium, wird die serverbasiert entworfene Mail beim
Absender-E-Mailprovider als Entwurf zwischengespeichert – liegt hier beim Absenderverbleib der E-Mail bereits/dennoch ein Telekommunikationsvorgang vor?
– Falls der Entwurfsordner auf dem Server des E-Mail-Providers als externe Festplatte eines lokalen Rechners angesehen werden würde, könnte ein Telekommunikationsvorgang (noch) verneint werden81 : Der Entwurf wäre genau wie unter (1)
beschrieben als Offline-Entwurf zu betrachten –> (offene) Beschlagnahme gemäß
§ 94 i. V. m. § 110 III StPO möglich; Zugriff auf den Entwurfsordner könnte (auch)
mittels einer Durchsuchung beim Mail-Provider gemäß § 103 StPO und einer anschließenden Beschlagnahme seines Inhalts erfolgen82
– Postbeschlagnahme, § 99 StPO analog: Ähnlich wie der BGH in Phase 3 wird die
heimliche Beschlagnahme gemäß § 99 StPO für zulässig erachtet, weil eine Mail
im Entwurfsordner wie eine bei der Post „zwischengelagerte“ Karte anzusehen sei,
80
Zur Anwendbarkeit von § 102 StPO siehe Kohlmann [25, S. 54 ff.]; Weiß [45, S. 57 f., 60, 63,
67 f.].
81
Brodowski [6, S. 402 (405)].
82
So der Lösungsvorschlag von Hermann/Soiné [17, S. 2922 (2924)].
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 279
welche der Post unter dem Vorbehalt anvertraut worden ist, sie bis zur endgültigen Entscheidung des Absenders zurückzuhalten, abzuschicken oder zu vernichten.
Dieser Vergleich ist insofern unzulässig, als die Post keine Karten/Briefe unter Vorbehalt des Weitersendens „zwischenlagert“; infolge des Ruhens der Telekommunikation handelt es sich nicht um einen TK-Vorgang83
– Überwiegende Ansicht: TKÜ: Die im Entwurf-Ordner abgelegte Mail sei bereits
Teil eines TK-Vorgangs, zumal eine Datenübermittlung gemäß § 3 Nr. 22 TKG (vom
Rechner des Nutzers zum Server) stattgefunden hat, die Mail potentiell an einen bestimmten Adressaten gerichtet sei und sie einem Dritten (Provider) anvertraut sei,
sodass die vom BVerfG beschriebene „Gefährdungslage“ bestehe –> Lösung wie
in Phase 3: entweder (offene) Beschlagnahme gemäß § 93 ff. StPO oder verdeckter/heimlicher Zugriff gemäß § 100a StPO
– Telekommunikation in der Cloud (Abschn. 10.14): bloßes „Ablegen“ von (passwortgeschützten) Daten auf dem Server des Providers kann dann einen TK-Vorgang
darstellen, wenn ein Dritter berechtigten Zugriff auf die Daten haben kann. Ungeklärt ist die Frage, ob die Nutzung von Cloud-Storage-Diensten wie dropbox als
überwachte TK gemäß § 100a StPO anzusehen ist: Nutzen Personen die Cloud zu
Kommunikationszwecken, indem sie die Zugangsdaten teilen und Dateien mit darin enthaltenen Nachrichten hochladen oder online verändern, sei dies genauso zu
bewerten wie bei der Entwurfsordner-Konstellation. Das Praxisproblem bestehe jedoch darin, dass der Cloudanbieter in der Regel nicht als TK-Diensteanbieter i. S. d.
§ 3 Nr. 24 i. V. m. § 110 I 1 TKG anzusehen und daher nicht gemäß § 110b III 1
StPO zur TKÜ-Mitwirkung verpflichtet sei
Phase 2 und 4
In beiden Phasen befindet sich die Mail im Telekommunikationsvorgang (§ 3 Nr. 22
TKG) und unterliegt somit dem Fernmeldegeheimnis; TKÜ gemäß § 100a StPO möglich; Beweisverwertungsverbot in § 100a IV StPO
Phase 3
Umstritten, auf welcher Rechtsgrundlage ein Zugriff auf die noch ungelesenen E-Mails
beim Provider zulässig ist
– BGH (2009): Postbeschlagnahme gemäß §§ 99 ff. StPO, obwohl der TKÜ-Vorgang
gemäß § 100a StPO jetzt bereits abgeschlossen ist; ungelesene Mail sei mit Postkarte vergleichbar, die bei der Post auf ihren Weiterversand/Zustellung „wartet“; die
bei § 99 StPO fehlende Zwangsbefugnis gegenüber. TK-Anbieter lasse sich aus § 95
II StPO analog herleiten84 ; Vorteil gegenüber. der TKÜ gemäß § 100a StPO: Anfangsverdacht genügt, keine Anforderung an Schwere der Straftat, keine explizite
83
84
Anders jedoch BVerfGE 124, S. 43 (55 ff.).
BGH-StV 2009, S. 623 (v.31.3.2009); BGH-NStZ 2009, S. 397 f.
280
F. Czerner
Nennung des privaten Kernbereichsschutzes; kann auch heimlich erfolgen (§ 101
IV 2 Nr. 2 StPO) mit nachträglicher Information des Betroffenen; Sichtung dieser
E-Mails nur durch Gericht und Staatsanwaltschaft, nicht durch polizeiliche Ermittlungsbeamte (§ 100 III StPO)
– Überwiegende Ansicht: TKÜ gemäß § 100a StPO, obwohl der Telekommunikationsvorgang gemäß § 3 Nr. 22 TKG jetzt bereits abgeschlossen ist, jedoch sei TKÜDefinition für die StPO nicht (!) maßgeblich85 ; Art. 10 I GG spreche nicht vom
Fernmeldeverkehr, sondern von Fernmeldegeheimnis –> Bei Vorliegen einer richterlichen Anordnung gemäß § 100a StPO wäre TK-Anbieter zur Herausgabe der
ungelesenen E-Mails verpflichtet (Katalogtat erforderlich)
– Bundesverfassungsgericht86 : entscheidend sei, ob der Zugriff auf die ungelesene EMail offen oder verdeckt (= heimlich) erfolge; Fernmeldegeheimnis gemäß Art. 10
I GG gelte auch hier;
–> bei offenem Zugriff: Beschlagnahme gemäß § 94 StPO i. V. m. Durchsicht des
Speichers gemäß § 110 StPO –> Beschlagnahme könne gegenüber. E-MailProvider angeordnet werden
–> bei verdecktem Zugriff: wegen hoher Eingriffsintensität nur unter den TKÜVoraussetzungen von § 100a StPO zulässig87 , welche nicht durch die „einfache“
Postbeschlagnahme umgangen werden dürften; Zugriff auf den Server des Providers sei auch heimlich zulässig, vgl. § 110 III StPO (mit nachträglicher Benachrichtigungspflicht gemäß § 33 StPO)
– Mindermeinung: keine Rechtsgrundlage und damit unzulässig, weil sich TKÜ
(§ 100a StPO) und Beschlagnahme (§§ 94 ff. StPO) nicht miteinander kumulieren
lassen88 –> massive Beeinträchtigung einer effizienten Strafverfolgung
Phase 6
Telekommunikationsvorgang ist jetzt beendet, Rechtsgrundlage umstritten:
– Überwiegende Ansicht: Auch die beim Provider endgespeicherten E-Mails unterliegen dem Fernmeldegeheimnis nach Art. 10 I GG89 , weil sie nach wie vor dem
Zugriff Dritter preisgegeben sind; Lösung nach Vorgabe des BVerfG wie bei Phase
3 bei ungelesenen Mails:
Beschlagnahme gemäß § 94 StPO bei offenem Zugriff
TKÜ gemäß § 100a StPO bei verdecktem/heimlichem Zugriff – gilt auch, wenn
der Absender die Mail dauerhaft in seinem Gesendet-Ordner serverbasiert gespeichert hat
85
Dann ist allerdings fraglich, wie das Prinzip der Einheit der Rechtsordnung gewahrt bleiben soll,
wenn die systematische Konnexität beliebig (willkürlich?) angenommen oder auch abgelehnt werden kann.
86
BVerfGE 124, S. 43, 55, 58, 60 m. Anmerkung von Klein [24, S. 2996].
87
Vgl. BVerfGE 124, S. 43 (62 f.).
88
So BGHSt 51, S. 211 (219).
89
BVerfGE 124, S. 43 (56).
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz
281
– Mindermeinung: (Post-)Beschlagnahme gemäß § 94 StPO (offen) bzw. § 99 StPO
(heimlich) –> Problem bei heimlicher Maßnahme: Es ist praktisch schwer feststellbar, ob eine auf dem Provider gespeicherte Mail noch auf ihren Abruf beim
Empfänger „wartet“ – vgl. Phase 3, dann TKÜ gemäß § 100a StPO einschlägig,
oder ob sie bereits gelesen90 wurde, dann Phase 6 gemäß § 99 StPO
Um den verfassungsrechtlich garantierten Schutzbereich von Art. 10 GG möglichst weit
zu spannen, unterliegen nicht nur das jeweilige Gespräch bzw. die übermittelte Nachricht
dem Grundrechtsschutz, sondern auch flankierend die Verbindungs- bzw. sogenannten
Verkehrsdaten (hierzu Abschn. 10.11) gemäß § 3 Nr. 30 i. V. m. § 96 TKG bzw. § 100g III
StPO. Diese Daten enthalten Informationen zu einem konkreten Kommunikationsvorgang
mit den beteiligten Rufnummern, Datum, Uhrzeit sowie beim Mobilfunk auch den Standort (= Funkzelle, vgl. § 100i StPO) und bei Internetnutzung auch die jeweilige dynamische
IP-Adresse.91 Der Schutz des Post- und Fernmeldegeheimnisses von Art 10 GG und der
strafprozessualen Vorschrift des § 100a StPO endet, wenn die Daten auf dem Gerät des
Nutzers, an den sie adressiert wurden, gespeichert sind – dann unterliegen sie einerseits
den Durchsuchungsregularien der §§ 102, 103 StPO und andererseits der Beschlagnahmeregelung des § 94 StPO.92 Erst wenn der Telekommunikationsvorgang abgeschlossen
ist, greifen diese Telekommunikationsregelungen nicht mehr ein, und es verbleiben nur
noch das seit 1983 anerkannte grundrechtsgleiche Recht auf informationelle Selbstbestimmung93 sowie der Schutz des „Kernbereichs privater Lebensgestaltung“, z. B. wenn
ein Mobiltelefon mit den darauf gespeicherten persönlichen Daten beschlagnahmt wird.94
10.9.2 Voraussetzungen und Möglichkeiten der
Telekommunikationsüberwachung gemäß § 100a StPO
Die Regelung des § 100a StPO enthält in Absatz 2 einen numerus clausus, einen abgeschlossenen Katalog, in welchen Fällen von einer „schweren Straftat“ auszugehen ist;
eine erweiternde Auslegung ist nicht zulässig, auch nicht unter Berufung auf den allgemeinen strafrechtlichen Rechtsfertigungsgrund des Notstandes gemäß § 34 StGB.95 Diese
Ansicht kann sich auf den Wortlaut der Regelung berufen, weil in § 100a II StPO eine feststehende Definition formuliert worden ist: „Schwere Straftaten [. . . ] sind“. § 100a
90
Für Brodowski [6, S. 402 (405)] bedeutet es keinen Unterschied, ob die E-Mail bereits gelesen
worden ist oder noch nicht, da sich das Fernmeldegeheimnis nach Art. 10 I GG nicht lediglich auf
den Kommunikationsvorgang, sondern auch auf dessen Inhalte beziehe.
91
Bär [5, S. 218 f.].
92
Nachweise in Neuhöfer [33, S. 18, dort Fn. 11]; Hartmann und Schmidt [16, S. 187 Rdz. 580].
93
Statuiert vom BVerfG in BVerfGE 65, S. 1 ff.
94
BVerfG-NJW 2006, S. 976, 978 f.; Hartmann und Schmidt [16, S. 185 Rdz. 578].
95
Hartmann und Schmidt [16, S. 185 Rdz. 578, S. 188 Rdz. 582]; Meyer-Goßner und Schmitt [30,
§ 100a Rdz. 15].
282
F. Czerner
StPO wurde durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung erheblich umgestaltet, wobei u. a. der Straftatenkatalog neu geregelt und nun in Absatz 2
zusammengefasst ist.96 In diesem Zusammenhang führte der Gesetzgeber in Absatz 2 die
„schwere Straftat“ als eine neue straf(verfahrens)rechtliche Kategorie ein, bei welcher die
Höchststrafe, mit der eine „schwere Straftat“ gesühnt werden kann, mindestens fünf Jahre Freiheitsstrafe betragen muss.97 Um die Bestimmung des § 100a StPO nicht zu weit
auszulegen, genügt es nicht, dass eine Straftat, z. B. ein Raub gemäß § 249 StGB, hier
i. V. m. § 100a II Nr. 1k StPO, grundsätzlich, sondern auch in dem jeweiligen Einzelfall,
in welchem ermittelt wird, schwer wiegen muss (§ 100a I Nr. 2 StPO).98 Ein nicht zu einer Maßnahme nach § 100a StPO berechtigender Raub würde z. B. vorliegen, wenn beim
Entwenden einer Geldbörse der Arm nur kurz festgehalten wird, um sie aus der Hand
zu reißen. Allerdings kann die Tat dann schwer wiegen, wenn die Tatfolgen für das Opfer so gravierend sind, dass sie den Einsatz der Telekommunikationsüberwachung zur
Aufklärung dieser Tat rechtfertigen.99 Diese viktimodogmatische Handhabung des § 100a
StPO verdient Zustimmung, weil die berechtigten Opferinteressen nicht unter pauschaler Berufung auf den Schutz der Persönlichkeitssphäre des Tatverdächtigen hinter dessen
Interessen zurücktreten dürfen. Insgesamt ist für die Auslegung des § 100a I StPO jedoch von zentraler Bedeutung, dass alle in den drei dort genannten Nummern genannten
Voraussetzungen kumulativ vorliegen müssen, um eine restriktive Handhabung der Norm
durch die Strafverfolgungsbehörden sicherstellen zu können. Im Zuge der Reform dieses
Paragrafen wurden einige Delikte, die den erforderlichen Schweregrad nicht erreichen,
aus dem Katalog gestrichen, wobei insgesamt die Delikte, bei deren (mutmaßlicher) Begehung eine Überwachung der Telekommunikation zulässig ist, deutlich vermehrt wurden.
Bemerkenswert ist in diesem Zusammenhang, dass nicht alle Delikte mit einer Mindesthöchststrafe von fünf Jahren Freiheitsstrafe im Katalog des § 100a II StPO aufgelistet
sind. Beispielsweise fehlen die §§ 224 – 227, 221 III StGB.100 Die Begrenzung auf den
derzeit geltenden Katalog von § 100a II StPO ist auf das kriminalpolitische Interesse an
der Aufklärung [nur] bestimmter Delikte zurückzuführen: Die nicht genannten Delikte
stellen somit keine schweren Straftaten dar oder es fehlt das rechtstatsächliche Bedürfnis, diese Taten im Katalog des § 100a II StPO beizubehalten.101 Ungeachtet dessen sei
die deutliche Zunahme der Überwachungsanordnungen nach den Forschungsergebnissen
des Max-Planck-Instituts für internationales und ausländisches Strafrecht in Freiburg i.
Br.102 nicht auf eine erhöhte Kontrolldichte zurückzuführen, sondern beruhe einerseits auf
96
Hartmann und Schmidt [16, S. 186 Rdz. 579]. Ausführlich zu den einzelnen Änderungen: Paa [35,
S. 114 ff.] sowie mit einem diskussionswürdigen Vorschlag zur Neufassung von § 100a StPO auf [35,
S. 249 ff.].
97
Hartmann und Schmidt [16, S. 186 Rdz. 579].
98
Hartmann und Schmidt [16, S. 188 Rdz. 582].
99
Hartmann und Schmidt [16, S. 188 Rdz. 582].
100
Paa [35, S. 33].
101
BT-Drs. 16/5846, S. 40 f.; Paa [35, S. 33].
102
Albrecht et al. [1]; gut dargestellt auch in Paa [35, S. 117 ff.].
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 283
einem sprunghaftem Anstieg der Nutzung von Telekommunikationsmitteln und andererseits auf dem Versuch der Täter, Überwachungsmaßnahmen durch Nutzung zahlreicher
Anschlüsse und Geräte zu unterlaufen.103
Der Tatverdacht für die Telekommunikationsüberwachung gemäß § 100a StPO muss
weder dringend, noch hinreichend sein104 ; es genügt also der Anfangsverdacht, d. h. zureichende tatsächliche Anhaltspunkte i. S. d. § 152 II StPO. Nach Ansicht des Bundesgerichtshofes105 müssen bestimmte Tatsachen vorliegen, die den Verdacht einer Katalogtat
i. S. von § 100a II StPO begründen und zumindest ein gewisses Maß an Konkretisierung
erreicht haben, wobei kriminalistische Erfahrungen mit berücksichtigt werden dürfen.
Auch muss die Schwere des Eingriffs durch die Überwachung der Telekommunikation
in angemessenem Verhältnis zum intendierten Zweck stehen, wie es die Subsidiaritätsklausel des § 100a I Nr. 3 StPO als kumulative Ermittlungsvoraussetzung zwingend vorschreibt. Somit darf die Telekommunikationsüberwachung nur angeordnet werden, wenn
ansonsten, d. h. bei Einsatz eines milderen Mittel, also einer weniger eingriffsintensiven
Maßnahme, die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes
des Beschuldigten aussichtslos oder zumindest erheblich erschwert wäre. Aussichtslos
ist die Maßnahme, wenn andere Aufklärungsmittel nicht vorhanden sind oder mit hoher Wahrscheinlichkeit keinen Erfolg versprechen.106 Eine wesentliche Erschwerung der
Sachverhaltsaufklärung liegt vor, wenn die Erfolgsaussichten anderer Maßnahmen als erheblich geringer einzustufen sind, z. B. wenn die anderen Ermittlungsmaßnahmen einen
erheblich höheren Zeitaufwand erfordern und das Verfahren hierdurch wesentlich verzögert würde, oder wenn ein deutlich erhöhter Personal- und/oder Materialaufwand gegeben
wäre, dass hierdurch die Sachverhaltsermittlung insgesamt beeinträchtigt wäre107 ; ein
zusätzlicher Kostenfaktor als solcher ohne weitere Folgen genügt hierfür nicht.108 Dass
hierbei entgegen der vorgenannten Auffassung des BGH zwangsläufig auf kriminalistisches Erfahrungswissen zurückgegriffen werden muss (und nicht nur darf), drängt sich
geradezu auf und kann auch bereits aus dem Amtsermittlungsgrundsatz nach §§ 160,
244 II StPO abgeleitet werden. Die Angemessenheit der Telekommunikationsüberwachung wird von der Rechtsprechung109 bejaht, wenn aufgrund bestimmter Tatsachen, wie
§ 100a I Nr. 1 StPO voraussetzt, im jeweiligen Einzelfall durch Einsatz dieses Mittels
konkrete (und nicht lediglich abstrakt-theoretische) Erfolgsaussichten bestehen. Eine weitere Einschränkung der Anwendbarkeit dieser Norm folgt aus § 100a IV StPO, wonach
die Telekommunikationsüberwachung unzulässig ist, wenn mit ihr allein Erkenntnisse
aus dem „Kernbereich privater Lebensgestaltung“ erlangt würden. Hierdurch soll das
im Strafverfahrensrecht wie im Verfassungsrecht hinsichtlich der Reichweite umstritte103
Hartmann und Schmidt [16, S. 186 Rdz. 579].
BGHSt 41, S. 30 (33); contra legem: dringender Tatverdacht: Kühne [23, S. 334 § 30 Rdz. 521.2].
105
BGHSt 41, S. 30 (34).
106
Vgl. Hartmann und Schmidt [16, S. 188 Rdz. 584].
107
Meyer-Goßner/Schmitt [30, § 100a Rdz. 13].
108
Hartmann und Schmidt [16, S. 188 Rdz. 584].
109
BVerfG-NJW 2007, S. 2752 f.
104
284
F. Czerner
ne Persönlichkeitsrecht des/der Betroffenen gegenüber staatlicher Ausforschung gewahrt
werden, wie dies grundlegend in der fundamentalen Volkszählungsentscheidung des Bundesverfassungsgerichts vom Dezember 1983110 mit dem grundrechtsgleichen Recht auf
informationelle Selbstbestimmung statuiert wurde. Werden durch diese Ermittlungsmaßnahme dennoch Erkenntnisse aus dem „Kernbereich privater Lebensgestaltung“ erlangt,
dürfen diese nach § 100a IV 3 StPO im Strafverfahren nicht verwertet werden (= Beweisverwertungsverbot)111 ,und entsprechende Aufzeichnungen hierüber sind zu löschen, und
dieses wiederum muss dokumentiert werden. Das anordnende Gericht hat gemäß § 100b II
Nr. 3 StPO Art, Umfang und Dauer der Telekommunikationsüberwachung schriftlich anzugeben. Die Telekommunikationsüberwachung darf sich nach § 100a III StPO einerseits
gegen den Beschuldigten, d. h. eine Person, gegen die ein strafrechtliches Ermittlungsverfahren durch Erstattung einer Strafanzeige oder eines Strafantrages gemäß § 158 StPO in
Gang gesetzt wurde, andererseits allerdings auch gegen Nichtverdächtige richten, wenn
aufgrund bestimmter Tatsachen (und nicht nur infolge vager Vermutungen) anzunehmen
ist, dass sie für den Beschuldigten Mitteilungen entgegennehmen oder weiterleiten oder
dass der Beschuldigte ihren Anschluss benutzt, selbst wenn dies dem betreffenden nichtverdächtigen Anschlussinhaber nicht bekannt ist. Für Nichtverdächtige gilt demnach systemkonform derselbe (Anfangs-)Tatverdacht wie für den Tatverdächtigen (= „zureichende
tatsächliche Anhaltspunkte“).
10.9.3 Anordnung und Durchführung der
Telekommunikationsüberwachung
Die Telekommunikationsüberwachung gemäß § 100a StPO kann gemäß § 100b StPO
grundsätzlich nur vom Gericht auf Antrag der Staatsanwaltschaft angeordnet werden, bei
Gefahr in Verzug auch vom Gericht, ohne die Staatsanwaltschaft zuvor zu fragen (§ 165
StPO), bzw. auch nur von der Staatsanwaltschaft, wobei die gerichtliche Entscheidung
schnellstmöglich (binnen drei Tagen, § 43 II StPO) nachzuholen ist. Eine Anordnung der
Telekommunikation durch Ermittlungspersonen der Staatsanwaltschaft (§ 152 GVG) ist
unzulässig. Vor der Anordnung werden weder der Betroffene (Beschuldigter wie Nichtverdächtigter), noch das auskunftspflichtige Telekommunikationsunternehmen gehört, um
den Zweck und den Überraschungseffekt dieser Maßnahme nicht zu gefährden (§ 33 IV 1
StPO); des Weiteren steht dem Telekommunikationsunternehmen keine Überprüfung der
Rechtmäßigkeit der Überwachungsmaßnahme zu.112 Die Personen, welche die Überwachung durchführen, werden in der Anordnung weder bezeichnet, noch bestimmt.113
110
BVerfGE 65, S. 1 ff. vom Dezember 1983.
Siehe BVerfG-NJW 2001, S. 3793 f.
112
Hartmann und Schmidt [16, S. 190 Rdz. 588].
113
Meyer-Goßner und Schmitt [30, § 100b Rdz. 5 a. E.].
111
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 285
§ 100b II Nr. 2 StPO gestattet eine Anordnung bezogen auf eine Gerätekennung
(IMEI114 ), wenn diese nur einmal vergeben ist; hierdurch soll eine lückenlose Überwachung ermöglicht werden, wenn Täter die SIM-Karten ihres Mobiltelefons laufend
umtauschen.115 Nach § 100b II Nr. 3 StPO sind hierbei Art, Umfang und Dauer der
Maßnahme unter Benennung des Endzeitpunktes zu benennen.
Zulässige Maßnahmen sind die Überwachung und Aufzeichnung der Telekommunikation. Adressat dieser Maßnahme sind in der Regel jedoch nicht zwingend Telekommunikationsdienstleister (vgl. § Nr. 24 TKG); vielmehr zählen hierzu auch Mobilfunkbetreiber,
Online-Dienste, Mailbox-Betreiber, Internet-Access-Provider etc.116 Die Maßnahme kann
auch der Überwachung von Firmen- und Behördenintranets dienen oder von der Polizei
ohne Unterstützung der Dienstleister durchgeführt werden, sofern das technisch möglich
ist.117 Die Höchstdauer für die einzelne Anordnung beträgt drei Monate und die Anordnung kann mehrfach um jeweils max. drei weitere Monate verlängert werden, wie § 100b
I S. 4 und 5 StPO regeln.
Die Durchführung der Telekommunikationsüberwachung obliegt nach § 36 II StPO
der Staatsanwaltschaft, welche den Telekommunikationsunternehmen eine Ausfertigung
bzw. beglaubigte Abschrift der Anordnung übergibt. In Eilfällen kann dies auch mündlich erfolgen, muss aber schnellstmöglich schriftlich nachgeholt werden. In technischer
Hinsicht geschieht die TKÜ i. d. R. über eine vom TK-Anbieter den Strafverfolgungsbehörden zur Verfügung zu stellende Standardschnittstelle (§ 110 VI TKG.118 ) Mit der
technischen Durchführung werden normalerweise die Polizeidienststellen beauftragt.119
Gemäß § 100b III StPO i. V. m. § 110 TKG i. V. m. der TKÜV müssen die Telekommunikationsdienstleister die technische Umsetzung dieser Maßnahme ermöglichen. Um
dies auch tatsächlich garantieren zu können, bezieht sich § 100b III 3 StPO auf § 95
II StPO, welcher wiederum auf die strafprozessualen Zwangsmittel Ordnungsgeld und
Ordnungshaft nach § 70 StPO120 verweist, allerdings verbietet das Prinzip der Selbstbelastungsfreiheit (Art. 14 III g IPBPR) die Anwendung dieser Zwangsmittel auf den
Beschuldigten, so das z. B. der Arbeitgeber des Beschuldigten zur Passwortoffenbarung
gezwungen werden kann.121 Gegen die Anordnung des Gerichts über die Durchführung
der Telekommunikationsüberwachung steht den Betroffenen, die in ihren Rechten beeinträchtigt worden sein können, die Beschwerde gemäß § 304 StPO zur Verfügung. Die
114
Michalke [31, S. 287, dort Fn. 3]: IMEI = International Mobile Station Equipment Identity, eine
15-stellige Seriennummer, anhand derer jedes GSM- oder UMTS-Endgerät (Mobilstation) eindeutig
identifiziert werden kann; siehe auch Korge [26, S. 88, dort Fn. 474].
115
Hartmann und Schmidt [16, S. 190 Rdz. 589].
116
Hartmann und Schmidt [16, S. 190 Rdz. 590].
117
Hartmann und Schmidt [16, S. 190 Rdz. 590].
118
Details hierzu in der TKÜV sowie in Anlage F der hierzu ergangenen Richtlinie des Bundesnetzagentur (TR TKÜV, Ausgabe 6.2), ausführlich zur TKÜV: Kohlmann [25, S. 33 ff.];
Zimmermann [46, S. 321 (323, dort Fn. 51)].
119
Hartmann und Schmidt [16, S. 191 Rdz. 591].
120
Zimmermann [46, S. 321 (323)].
121
Zimmermann [46, S. 321 f.].
286
F. Czerner
Staatsanwaltschaft kann sich demgegenüber bei Ablehnung des Antrags bzw. bei Ablehnung der Bestätigung nach § 100b I 3 StPO beschweren. Gegen die Art und Weise der
Durchführung der Maßnahme ist ein Antrag analog § 98 II 2 StPO möglich.122 Es besteht
hierbei allerdings keine Pflicht zur Inanspruchnahme des TK-Dienstleisters bei der Überwachung, sodass die Strafverfolgungsbehörden auch selbstständig tätig werden können,
z. B. bei der WLAN-Überwachung.123
10.10 Quellen-Telekommunikationsüberwachung
Von der soeben dargestellten Maßnahme der Telekommunikationsüberwachung zu unterscheiden ist die sogenannten Quellen–Telekommunikationsüberwachung (Quellen-TKÜ),
bei welcher von den Strafverfolgungsbehörden ein Programm auf den zu überwachenden Computer installiert wird, welches die Sprache bei der Internettelefonie (z. B. Skype) an der „Quelle“ abfängt, bevor sie für den Transport via Internet kodiert wird, weil
nach der Kodierung eine Entschlüsselung durch die Strafverfolgungsbehörden nicht mehr
sicher möglich ist.124 Es handelt sich also um eine Überwachung von Telefongesprächen, die nicht über das klassische Telefonnetz geführt werden, sondern über das Internet
durch Sprachübertragung mittels IP (Voice-over-IP-Kommunikation).125 Ähnlich wie bei
der Online-Durchsuchung (Abschn. 10.12) erfolgt der verdeckte Eingriff in vier Schritten126 :
1. Einspielen einer sogenannten Remote Forensic Software,127 (RFS – „Bundestrojaner“)
2. heimliche Übernahme der Administratorenrechte, d. h. Kontrolle über das Zielsystem,
3. Ausnutzen dieser Rechte zur Übermittlung der noch unverschlüsselten Daten aus dem
Zielsystem via Internet an staatliche Stellen, wo sie gespeichert und ausgewertet werden,
4. spurenfreie Deinstallation und Löschung der RFS.
Die Quellen-TKÜ soll bislang die einzig funktionierende, öffentlich bekannte Form
der Online-Durchsuchung darstellen.128 Von der Online-Durchsicht und der OnlineÜberwachung unterscheidet sich die Quellen-TKÜ dadurch, dass die abgegriffenen Daten
stets einem Kommunikationsvorgang zuzuordnen und im Begriffe sind, den Herrschaftsbereich des Nutzers zu verlassen.129 Ob die Quellen-TKÜ auf die Regelung des § 100a
122
Hartmann und Schmidt [16, S. 192 Rdz. 598].
Zimmermann [46, S. 321 (323)].
124
Vogel und Brodowski [42, S. 630 (632)]; Hartmann und Schmidt [16, S. 187 Rdz. 580].
125
Birkenstock [4, S. 219].
126
Vogel und Brodowski [42, S. 630 (633)] sowie Brodowski [6, S. 402 f.].
127
Dazu Birkenstock [4, S. 100 f., 198 f.]; Kohlmann [25, S. 28].
128
Vogel und Brodowski [42, S. 630 (633 m. w. N. dort in Fn. 10)].
129
Vogel und Brodowski [42, S. 630 (633)].
123
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 287
StPO gestützt werden kann, ist umstritten: Während eine beachtliche Kommentaransicht130 dies bejaht, verneinen Teile der Rechtsprechung131 und der Literatur132 dies und
fordern eine eigenständige gesetzliche Ermächtigungsgrundlage für derartige Eingriffe.
Das Gespräch wird also zweimal kodiert und via Internet sowohl zum Gesprächspartner
als auch zu einem Account der Strafverfolgungsbehörden geleitet; entsprechendes gilt für
die Sprachdaten, die vom Gesprächspartner eingehen.133 Sofern sich die Überwachung
ausschließlich auf die Daten eines laufenden Telekommunikationsvorganges beschränken, was durch technische Vorkehrungen und rechtliche Vorgaben gewährleistet sein
muss, ist diese Ermittlungsmaßnahme zulässig.134 Demgegenüber ist die Auswertung frei
zugänglicher Daten aus dem Internet nach der allgemeinen Ermittlungsgeneralklausel der
§§ 161, 163 StPO statthaft.135
10.11 Speicherung von Verkehrsdaten für eine spätere
Strafverfolgung
Die anlasslose Speicherung von Verkehrsdaten der Telekommunikation bei den Telekommunikationsdienstleistern für einen eventuellen späteren Abruf durch die Ermittlungsbehörden, wie dies durch die Bestimmung des § 100g StPO geregelt wurde, ist vom Bundesverfassungsgericht – nach hier vertretener Ansicht nicht nachvollziehbar – für verfassungswidrig und nichtig erklärt worden.136 Verkehrsdaten sind nach § 3 Nr. 30 TKG
i. V. m. § 96 I TKG Daten, die bei der Erbringung eines Telekommunikationsdienstes
erhoben, verarbeitet oder genutzt werden, um die Gerätekennung, die Teilnehmeridentifikationsnummer, die IP-Adresse137 sowie IMSI und IMEI eines Computers zu ermitteln.138
Weil Verkehrsdaten auf den Endgeräten nichts mehr mit der laufenden Telekommunikation zu tun haben, können sie grundsätzlich nach der allgemeinen Regelung des § 94 II
StPO beschlagnahmt werden.139
130
Meyer-Goßner und Schmitt [30, § 100a Rdz. 7a].
HansOLG StV 2009, S. 630 f.; BVerfGE 120, S. 274 (308 f.).
132
Vogel und Brodowski [42, S. 630 (634)].
133
Hartmann und Schmidt [16, S. 187 Rdz. 580].
134
Siehe Becker und Meinicke [2, S. 50]; Hartmann und Schmidt [16, S. 187 Rdz. 580].
135
Bär [5, S. 218 (221)]; Hartmann und Schmidt [16, S. 187 Rdz. 580].
136
BVerfG-NJW 2010, S. 833 ff., Urteil vom 02.03.2010.
137
Zu IP-Daten: Birkenstock [4, S. 113 ff., 274] – IP-Daten als Verkehrsdaten behandeln.
138
Korge [26, S. 88]; ausführlich zu den konkreten Daten: Paa [35, S. 141 ff.].
139
Korge [26, S. 96].
131
288
F. Czerner
10.12 Online-Durchsuchungen zugunsten effektiver
Strafverfolgung?
10.12.1 Online-Durchsuchung im geltenden Strafprozess
Derzeit existiert (noch) keine strafprozessrechtliche Grundlage für die Durchführung von
heimlichen „Online-Durchsuchungen“140, der Suche nach verfahrensrelevanten Inhalten
auf Datenträgern (Computern oder auch Mobiltelefonen sowie elektronischen Terminkalendern141 ), die sich nicht in direktem physikalischen Zugriff der Strafverfolgungsbehörden befinden, sondern nur über Kommunikationsnetze erreichbar sind142 , also dem heimlichen Ausspionieren von Computerdaten durch heimliches Installieren einer Entschlüsselungssoftware143 /Kopierprogramm (Trojanisches Pferd – kurz „Trojaner“144 , „BackdoorProgramm“145 ) über das Internet, beispielsweise durch Überwinden einer Zugangssperre.
Trojaner verfügen über eine sehr ausgedehnte Funktionsvielfalt, wobei z. B. Computersysteme durch Fernsteuerung manipuliert und sensible Daten wie Passwort, Kreditkartennummer, Zugangsdaten etc. ausgespäht werden können.146 Mit deren Hilfe können die
Ermittler via Internet auf den Rechner zugreifen und die auf dem System vorhandenen Daten auslesen oder sogar auch verändern147 und nicht zuletzt das Surfverhalten des Nutzers
auch über längere Zeit beobachten148 – allerdings funktioniert dies technisch nur, wenn
der Rechner online149 ist. Der unbestreitbare Vorteil der heimlichen Überwachung besteht
darin, dass der Betroffene sich unbeobachtet fühlt und einer etwaigen Verdunkelungsgefahr entgegengewirkt wird, indem vermieden werden kann, dass wichtige Hinweise gelöscht oder eventuelle Mittäter gewarnt werden oder (weiteres) Beweismaterial vernichtet
wird.150 Hierbei ist jedoch nicht auszuschließen, dass neben dem Nutzer und den Ermittlern auch weitere Dritte, z. B. durch Installation eines weiteren Trojanischen Pferdes,
ggf. sogar gleichzeitig Kontrolle über den Rechner ausüben und gezielt Manipulationen
140
Neben dem Fehlen einer ausdrücklichen Rechtsgrundlage für diese Maßnahme auf dem Gebiet
der Strafverfolgung siehe auch BGHSt 51, S. 211 f.; BGH-NJW 2007, S. 930 f.; detailliert: Birkenstock [4, S. 95 ff., 273]; Roxin und Schünemann [38, S. 282 (Rdz. 2)]; Hartmann und Schmidt [16,
S. 177 Rdz. 547, S. 187 Rdz. 580].
141
Paa [35, S. 239].
142
So lautet die parlamentarische Definition der Online-Durchsuchung in BT-Drs. 16/3231, S. 11
(Frage/Antwort Nr. 21); Vogel und Brodowski [42, S. 630 (632)]; Brodowski [6, S. 402 (411)];
Weiß [45, S. 6 ff.].
143
HansOLG StV 2009, S. 630; Kohlmann [25, S. 25].
144
Hierzu: Birkenstock [4, S. 99 ff.]; Kohlmann [25, S. 25]; Weiß [45, S. 18 f.].
145
Siehe Kohlmann [25, S. 23, 29]; Weiß [45, S. 20 f.].
146
Marberth-Kubicki [29, S. 212 f.].
147
Hansen und Pfitzmann [15, S. 225 (228)].
148
Paa [35, S. 239].
149
Warntjen [44, S. 581, dort m. w. N. in Fn. 7, S. 585]; Birkenstock [4, S. 15, 251]; Hofmann [18,
S. 121].
150
Birkenstock [4, S. 91 f.].
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 289
an den Datenbeständen vornehmen können.151 Zudem ist nicht auszuschließen, dass die
Zielperson, der Adressat, die Durchführung dieser Maßnahme entdeckt, weil die Menge
der übertragenen Daten auffallen kann.152 Auch kann er das Trojanische Pferd entfernen
und damit die Maßnahme vorzeitig beenden oder gezielt unverdächtiges Datenmaterial
versenden, um die Ermittler zu täuschen. Sogar eine Ausforschung des Rechners der Ermittler soll mittels des beim Beschuldigten eingeschleusten Trojaners möglich sein.153
Daher sollten diese Maßnahmen, ihre Zulässigkeit vorausgesetzt, so verdeckt wie möglich
und hinsichtlich der Datenübertragung allein aus kriminalistischen Gründen nur in geringem Umfang durchgeführt werden. In diesem Zusammenhang ist zu beachten, dass die
Online-Durchsuchung entweder einmalig erfolgen kann oder sich über einen bestimmten Zeitraum erstrecken kann.154 Schließlich muss berücksichtigt werden, dass die per
Online-Durchsuchung gewonnenen Daten nicht annähernd so verlässlich sind wie Daten,
die im Wege der Beschlagnahme von einem Rechner erlangt worden sind155 , sodass deren Beweiswert in Zweifel gezogen wird156 , denn sowohl die zugreifende Stelle als auch
Dritte, die eventuell das Zugriffsprogramm missbrauchen, können aufgrund der Infiltration des Zugriffsrechners Datenbestände „versehentlich“ bzw. durch gezielte Manipulation
löschen, verändern oder neu anlegen, was den Beschuldigten zu Unrecht belasten kann.157
Online-Durchsuchungen können auch zu Datenverlust beim Betroffenen oder zu sonstigen Schäden in dem durchsuchten System führen.158 Auch ist nicht auszuschließen, dass
der Betroffene dieses Programm [unwissentlich] an Dritte weiterleitet, deren Computersysteme ebenfalls geschädigt werden können.159
Das (nach wie vor bestehende) Verbot einer strafprozessualen Online-Durchsuchung ist
in verfassungsrechtlicher Perspektive im Wesentlichen auf das vom Bundesverfassungsgericht weiterentwickelte grundrechtsgleiche Recht auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer Systeme160 zurückzuführen.
Die Ablehnung der für die Wohnungsdurchsuchung konzipierten §§ 102 ff. StPO161
durch die höchstrichterliche Rechtsprechung wird primär mit der Heimlichkeit der Maßnahme begründet, gegen welche sich der Betroffene, im Unterschied zur offen durchgeführten Durchsuchung und ggf. Beschlagnahme, mangels Kenntnis hiervon nicht zur Wehr
setzen könne. Die Argumentation des BGH162 hierzu vermag nur bedingt zu überzeugen:
151
Hansen und Pfitzmann [15, S. 225 (228)]; Rogge [36, S. 26 (30)].
Hansen und Pfitzmann [15, S. 225 (228)].
153
Hansen und Pfitzmann [15, S. 225 (228)].
154
Weiß [45, S. 21].
155
Hansen und Pfitzmann [15, S. 225 (228)].
156
Birkenstock [4, S. 280].
157
BVerfG-NJW 2008, S. 822 (830).
158
So BVerfGE 120, S. 274 (325 f.); Paa [35, S. 241]; Birkenstock [4, S. 100]; Kohlmann [25,
S. 26 f.].
159
BVerfG-NJW 2008, S. 822 (830).
160
BVerfGE 120, S. 274 ff.; Kutscha [27, S. 1042]; Roxin und Schünemann [38, S. 282 dort Fn. 2].
161
So aber noch der Generalbundesanwalt in BGH-NJW 2007, S. 930.
162
BGH-NJW 2007, S. 930 mit Hinweis auf BVerfGE 115, S. 166, 185 ff.
152
290
F. Czerner
Freilich vermag sich ein Betroffener mangels Kenntnis von einer gegen ihn gerichteten Maßnahme nicht zur Wehr zu setzen, doch dass dies bei offenen Durchsuchungsund Beschlagnahmemaßnahmen der Fall sein soll, wie der BGH behauptet, ist in den
meisten Fällen nicht zutreffend: Gegen die richterlich angeordnete Durchsuchung sowie
gegen die Beschlagnahme bestimmter Gegenstände i. S. d. §§ 94 ff. StPO kann zwar richterliche Entscheidung beantragt werden, einen Suspensiveffekt bzw. eine grundsätzliche
Aussetzung dieser Maßnahme, wollen sich die Ermittler bzw. Ermittlungsbehörden nicht
zum willfährigen Spielball des Beschuldigten machen, wird dies ebenso wenig auslösen
können wie eine Verhinderung der Durchsuchung bzw. der Herausgabepflicht. Immerhin
kann dieses Informationsdefizit durch eine nachträgliche Benachrichtigung kompensiert
werden, zumal die Informierung über verdeckte Ermittlungsmaßnahmen zu den wesentlichen Erfordernissen eines effektiven Grundrechtsschutzes gehört.163 Ein wesentliches
Argument wurde allerdings vom BGH und dem Schrifttum übersehen: Wenn die Anwendung von § 102 StPO unzulässig sein soll, hätte dies mit dem Wortlaut der Norm
begründet werden können, zumal sich diese Norm auf Wohnungen bezieht, nicht auf
Rechner bzw. auf (sich wo auch immer befindende) Speicherplätze bzw. Server, sodass
diese Regelung aufgrund des anderen Regelungsgehalts hätte für nicht einschlägig erklärt werden können. Andererseits lässt sich hiergegen wiederum einwenden, dass die
Online-Durchsuchung eines Rechners im Regelfall mangels Betretens der Wohnung einen
wesentlich geringeren Eingriff beinhaltet, auch und vor allem hinsichtlich der verfassungsrechtlich grundsätzlich garantierten Unverletzlichkeit der Wohnung gemäß Art 13
GG, sodass im Wege eines erst-recht-Schlusses eine Online-Durchsuchung als mildere
Maßnahme gegenüber der Wohnungsdurchsuchung nach § 102 StPO statthaft sein müsste. Jedoch wird der BGH diese zumindest diskussionswürdige Lösungsoption „übersehen“
haben, weil er im Ergebnis die Online-Durchsuchung nach wie vor als unzulässig beurteilen will. Demgegenüber verneint der BGH164 aus formalen Gründen zutreffend die
Anwendbarkeit von § 100a StPO in Bezug auf Online-Durchsuchungen, weil die Tatbestandsvoraussetzungen für eine Telekommunikation (vgl. § 3 Nr. 22 und Nr. 23 TKG),
nicht gegeben sind: Es werde nicht die Telekommunikation zwischen dem Tatverdächtigen
und einem Dritten überwacht, sondern zielgerichtet eine umfassende Übermittlung der auf
dem Zielcomputer vor Beginn des Kommunikationsvorgangs gespeicherten Daten an die
ermittelnde Stelle zum Zwecke der Suche nach Beweismitteln oder weiteren möglichen
Ermittlungsansätzen ausgelöst – der Datenfluss während des Online-Status werde lediglich aus technischen Gründen zum Zwecke der Übertragung der in den Speichermedien
abgelegten Dateien benutzt. Ebenso lehnt der BGH165 zwecks Rechtfertigung des Verbots
der Online-Durchsuchung den Rückgriff auf die Regelungen zur akustischen Wohnraumüberwachung166 (sogenannten Lauschangriff) gemäß § 100c StPO ab, wobei sich jene
163
Berechtigt BVerfG-NJW 2012, S. 833 (835 m. w. N.).
BGH-NJW 2007, S. 930 ff. = BGHSt 51, S. 211 ff. unter Bezugnahme auf Hofmann [18, S. 121
(123)].
165
BGH-NJW 2007, S. 930 (932).
166
BVerfGE 109, S. 279 ff.
164
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz
291
Norm auf das Abhören und die technische Aufzeichnung des (nichtöffentlich) gesprochenen Wortes in der Wohnung bezieht, wobei jedoch strukturelle Parallelen zwischen diesen
beiden Maßnahmen bestehen.167 Schließlich greife die Datennutzungsklausel des § 161
StPO bei verdeckten Ermittlungen nur in den Fällen ein, in denen keine spezielle Eingriffsermächtigung der Strafprozessordnung existiere und in welchen nur geringfügig die
Grundrechte des Betroffenen beeinträchtigt werden.168 Während die erste Voraussetzung,
eine fehlende spezialgesetzliche Regelung zugunsten der Online-Durchsuchung, gegeben
ist, kann vorliegend nicht von einem lediglich geringfügigen Eingriff in die Grundrechte
des von dieser Maßnahme Betroffenen ausgegangen werden, weil durch das Kopieren aller möglichen Dateien auch persönliche Geheimnisse betroffen seien, sodass § 161 StPO
ebenfalls nicht Abhilfe schaffen kann. § 161 StPO ist im Falle stärkerer Grundrechtseingriffe kein Ersatz für fehlende Einzeleingriffsermächtigungen.169
10.12.2 Notwendigkeit einer Legitimierung von Online-Durchsuchungen
im Strafverfahren
Sowohl für Täter als auch für Ermittler bietet der technologische Fortschritt neue Möglichkeiten. Deshalb bedienen sich Terroristen, Mitglieder krimineller Vereinigungen und
nicht zuletzt Wirtschaftsstraftäter zur Planung und Durchführung ihrer Taten dieser Techniken.170 Das Internet kann sowohl als Tatmittel als auch als Tatort dienen; auch kann
die reine Vorbereitung von Delikten via Internet erfolgen und es lassen sich weltweit
kriminelle Netzwerke aufbauen171 . Massenkommunikationsmittel wie das Internet oder
Mobilfunk führen nicht nur zu einer immer dichter werdenden Vernetzung der Menschen, sondern auch zu einer Verbesserung der Infrastruktur für Kriminelle.172 Wenn den
Strafverfolgungsbehörden – korrespondierend zu den technischen Weiterentwicklungen –
ein modernes Ermittlungsinstrumentarium zur Verfügung stehen soll, das die Durchsetzung des staatlichen Strafanspruchs unter den Rahmenbedingungen der technologisierten
Welt möglich macht und so die Funktionsfähigkeit der Strafrechtspflege gewährleistet,173
dann muss der Gesetzgeber im Falle von Gesetzeslücken entsprechende Rechtsgrundlagen schaffen, um eine effiziente Strafverfolgung garantieren zu können. Dies ist der
Staat infolge des Gewaltmonopols seinen Bürgern schuldig. Den Ermittlungsbehörden
sind dieselben Maßnahmen an die Hand zu geben, mit denen sie dieselbe Technik nutzen
167
So auch Warntjen [44, S. 581].
BGH-NJW 2007, S. 930 (932); Zimmermann [46, S. 321], beide m. Hinweis auf Meyer-Goßner
und Schmitt [30, § 161 Rdz. 1].
169
Kohlmann [25, S. 75].
170
Vgl. Neuhöfer [33, S. 16]; Kohlmann [25, S. 19]; Rogge [36, S. 29]; Vollmar [43, S. 132 (134)],
dort auch zur Erpressung durch Verschlüsselungs- oder Sperrtrojaner (Ransomware) sowie zur Erlangung von Kreditkarten (sogenannten Carding).
171
Birkenstock [4, S. 2]
172
Paa [35, S. 24 f.].
173
Paa [35, S. 20, 245].
168
292
F. Czerner
dürfen, die auch die Täter verwenden174 – freilich impliziert dies auch die Anordnung und
Durchführung heimlicher.175 Ermittlungsmaßnahmen, wenn sich die Strafverfolgungsorgane nicht gänzlich dem beweismittelvernichtenden Zuvorkommen durch gut informierte
Kriminelle aussetzen wollen. Andernfalls besteht die Gefahr einer Verschärfung der Bedrohungslagen, wenn der Staat versucht, diese Bedrohungsszenarien unter beschwichtigendem Hinweis auf die uneinschränkbare Freiheit seiner Bürger zu ignorieren176 . Zutreffend wird auf das Verbot des Unterschreitens des Mindestmaßes an Schutz zugunsten
der Bürger hingewiesen.177 Ein lediglich fragmentarischer Strafrechtsschutz darf kein
Freibrief für technisch versierte Straftäter sein, die gezielt diese Lücken für ihre Taten
aussuchen. Nicht zuletzt ist an das Gebot eines effektiven Opferschutzes zu erinnern, wobei vor allem in dem hier in Rede stehenden Deliktsbereich auch von Schwerstkriminalität
mit zahlreichen Todesopfern ausgegangen werden muss.178 Ebenso wenig ist auch nur annähernd einsichtig, wieso der Beschuldigte durch diese heimliche Ermittlungsmaßnahme
„eo ipso zum bloßen Objekt“ herabgewürdigt werden soll179 , zumal eine Beeinträchtigung
der Menschenwürde gemäß Art. 1 I GG bekanntlich etwas mehr voraussetzt als lediglich
eine effektive Strafverfolgungsmaßnahme. Hier sind zahlreiche noch offene Fragen zu
klären, denen sich der Gesetzgeber im Interesse einer effektiven Verbrechensbekämpfung
und der Rechtssicherheit zugunsten der Betroffenen staatlich angeordneter Eingriffe in
grundrechtssensible Bereiche baldmöglichst stellen sollte.
Eine Orientierung am Maßstab der Katalogtaten von § 100a II StPO, welcher vom
BVerfG180 als verfassungskonform beurteilt wurde, wäre hierfür sinnvoll, aber auch aus
ermittlungstaktischen Gründen notwendig, zumal die Strafverfolgungsbehörden nach zutreffender parlamentarischer181 Ansicht die geeigneten und erforderlichen Mittel zur Verfolgung schwerer und schwer ermittelbarer Kriminalität erhalten müssen. Gegen ein Zuviel an staatlicher Kontrolle schützen neben dem Richtervorbehalt,182 dem „Garanten für
eine neutrale, objektive Kontrolle“, die Kumulierung der drei Voraussetzungen in Abs. 1
dieser Norm, die einzeln benannten Straftaten in dem Katalog183 sowie ein Tatverdacht,
174
Kohlmann [25, S. 324 f.].
Strafverfahrensrechtler, welche die StPO lediglich als Schon- und Schutzraum für Straftäter,
nicht aber als ein Instrumentarium zur effektiven Strafverfolgung ansehen, sprechen in diesem Kontext gerne von „metastasierenden geheimdienstlichen Komponenten“, so z. B. Schünemann [40,
S. 314 (316)].
176
In dieser wünschenswerten Klarheit: Kohlmann [25, S. 18].
177
Absolut berechtigt: Kohlmann [25, S. 19].
178
Die Aufgabe des Rechtsgüterschutzes, vornehmlich des Opferschutzes, verkennt Schünemann [40, S. 314 (320, dort Fn. 35)], wenn er polemisierend und verächtlich vom „Allerweltsargument“ des Opferschutzes spricht.
179
So aber die zumindest eine latente Täterfreundlichkeit offenbarende Argumentation von Schünemann [40, S. 314 (323)].
180
BVerfG-NJW 2012, S. 833 (836 f.).
181
Bundestagsdrucksache 16/5846, S. 40.
182
Hierzu speziell BVerfG-NJW 2008, S. 822 (832 ff.).
183
Zur Fassung von Straftatenkatalogen: Kohlmann [25, S. 319 f.].
175
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 293
der sich auf „bestimmte Tatsachen“, also schon konkretisierte Verdachtsmomente gründen
muss, wodurch eine restriktive Handhabung der Durchsuchung und Beschlagnahme und
somit ein hinreichend vertretbarer Schutz des „Kernbereichs privater Lebensgestaltung“
sichergestellt werden kann. Flankiert wird dieser Schutz, wie durch das BVerfG gefordert
und vom Gesetzgeber genauestens umgesetzt, zudem durch das Beweiserhebungsverbot
sowie durch das Verwertungsverbot in § 100a IV 1, 2 StPO. Es verbleibt bei dem Appell
an den Gesetzgeber, eine spezielle Norm mit klar definierten Eingriffsvoraussetzungen
und begrenzungen zur grundsätzlichen Wahrung zugunsten der Online-Durchsuchung zu
schaffen. Dabei wird sich der Gesetzgeber angesichts der Intensität dieses Grundrechtseingriffs an die Vorgabe des BVerfG184 halten müssen, dass die heimliche Infiltration
eines informationstechnischen Systems, mittels dessen die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, nur dann verfassungsgemäß
ist, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges
Rechtsgut (Leib, Leben, Freiheit der Person, Güter der Allgemeinheit, deren Bedrohung,
die Grundlagen oder den Bestand des Staates) berührt. Gerade in einem Rechtsstaat ist
die Heimlichkeit staatlicher Ermittlungen die Ausnahme und bedarf besonderer Rechtfertigung.185 Jedoch können, je nach Zwecksetzung durch die beteiligten Behörden, die
Eingriffsvoraussetzungen im Bereich der strategischen Telekommunikationsüberwachung
anders bestimmt werden als im Polizei- und im Strafprozessrecht, wobei nicht immer
für jeden Fall tatsächliche Anhaltspunkte für bestimmte bevorstehende Straftaten gefordert werden müssen186 , also im (gut zu begründenden) Ausnahmefall sogar unterhalb
der Schwelle des sogenannten Anfangsverdachts Überwachungsmaßnahmen zulässig sein
können. Das BVerfG187 fordert zutreffend, der jeweilige Eingriff müsse in einem angemessenen Verhältnis zur der Schwere der Straftat und der Stärke des Tatverdachts stehen.
Zudem stellte das BVerfG fest, dass der Einsatz der Online-Durchsuchung auch zur Strafverfolgung gerechtfertigt sein kann.188
10.13 Online-Durchsuchung zur terroristischen Gefahrenabwehr:
Ermittlungsbefugnisse nach dem BKAG und dem ATDG
Eine präventiv-gefahrenabwehrrechtliche Online-Durchsuchung ist nach Ansicht des
Bundesverfassungsgerichts189 nur dann verfassungsgemäß, wenn tatsächliche Anhaltspunkte (vgl. § 152 II StPO = Anfangsverdacht) dafür bestehen, dass ein überragend
184
BVerfG-NJW 2008, S. 822.
BVerfG-NJW 2008, S. 822 (830).
186
BVerfG-NJW 2008, S. 822 (832).
187
BVerfG-NJW 2005, S. 1917 (1922).
188
BVerfGE 120, S. 274 (315). Vor diesem Hintergrund ist unverständlich, warum beispielsweise
Paa [35, S. 242, 245] sich im Ergebnis für einen Verzicht auf die Online-Durchsuchung ausspricht
und dies zudem als „rechtsstaatlichen Gewinn“ bezeichnet. Es würde sich dabei eher um einen
Gewinn zugunsten besserer Tatgelegenheitsstrukturen für Straftäter handeln.
189
BVerfGE 120, S. 274 ff., 315.
185
294
F. Czerner
wichtiges Rechtsgut (Leben, Leib, Freiheit der Person und Güter der Allgemeinheit, die
Grundlagen oder der Bestand des Staates oder die Grundlagen der Existenz der Menschen) bedroht ist. In präventiver Perspektive wurde für den Bereich der Gefahrenabwehr
zur Terrorismusbekämpfung im Jahr 2008 eine (spätestens zum 30.06.2018 wegen Verfassungswidrigkeit außer Kraft tretende) Rechtsgrundlage zur Online-Durchsuchung in
§ 20k BKAG190 geschaffen. Die an sich nach § 20v V Nr. 3 BKAG mögliche Übermittlung der dabei (präventiv) erlangten Daten zur (repressiven) Beweisverwertung in einem
Strafverfahren soll, solange die Strafprozessordnung keinerlei Regularien zur OnlineDurchsuchung aufweist, an der Vorschrift des § 161 II StPO scheitern.191 Jedoch dürfen
gemäß § 161 II StPO nach anderen Gesetzen erlangte personenbezogene Daten ohne
Einwilligung des Betroffenen zu Beweiszwecken im Strafverfahren nur zur Aufklärung
solcher Straftaten verwendet werden, zu deren Aufklärung eine solche Maßnahme nach
diesem Gesetz (hier BKAG) hätte angeordnet werden dürfen. Diese Limitierung schränkt
bestimmte Strafverfolgungsmaßnahmen erheblich ein, weil beispielsweise die Gestattung
derartiger Maßnahmen bei Implementierung eines abschließenden, d. h. keine erweiternde
Auslegung gestattenden Straftatenkataloges, z. B. nach dem Vorbild von § 100a II StPO
oder § 100c StPO, zu diskutieren ist, um ein spezifisches Feld computergestützter Kriminalität auch auf repressiver Ebene besser bekämpfen zu können, zumal es sich gerade
hierbei um schwerwiegende Delikte handelt, welche mit hoher krimineller Energie und
oftmals massiven und bleibenden Schäden beim Tatopfer einhergehen. Ein Argument
für die hier favorisierte Ausdehnung von Ermittlungsbefugnissen in § 161 II StPO findet
sich in der Ansicht, dass zwar eine Entsprechung in der Art der Maßnahme, nicht jedoch bei den jeweiligen Eingriffsvoraussetzungen gegeben sein müsse.192 Begründet wird
diese Restriktion auf ein bestimmtes Gesetz mit dem datenschutzrechtlichen Zweckbindungsgrundsatz und dem Bedenken, dass zu schwerwiegende Eingriffe in das Recht auf
informationelle Selbstbestimmung erfolgen könnten. Zweifelsohne können schwerwiegende Beeinträchtigungen in grundrechtlich geschützte Positionen erfolgen, allerdings
steht jeder Eingriff unter dem Verdikt eines oder mehrerer verfassungsrechtlich ebenso
geschützter bzw. schützenswerter Rechtfertigungsgründe, welche nicht unter pauschaler Berufung auf einen vorrangigen Täterschutz unterlaufen werden dürfen. Etwaige
Beeinträchtigungen im Nachhinein nachweislich Unschuldiger bzw. Dritter, d. h. nichtverdächtiger Personen, können durch Löschungspflichten, wie sie z. B. in § 100a IV 3,
4 StPO für die Telekommunikation verankert sind, kompensiert werden. Immerhin sei
190
Eine vorzügliche Diskussion der Verfassungskonformität von § 20k BKAG haben Schwarz/Colussi [41, S. 199 ff.] vorgelegt. Siehe aktuell die (nach hier vertretener Ansicht unter dem Aspekt
eines effektiven Gefahrenabwehrrechts bedenkliche) Entscheidung des Bundesverfassungsgerichts
vom 20.04.2016 zur Unvereinbarkeit von § 20k BKAG sowie zahlreicher weiterer Reglungen der
§§ 20 g, h, v BKAG mit dem Grundgesetz und die Höchstbegrenzung der Geltungsdauer dieser Normen bis zum 30.06.2018: https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/
DE/2016/04/rs20160420_1bvr096609.html
191
Roxin und Schünemann [38, S. 282 dort Fn. 1].
192
Griesbaum [14, § 161 Rdz. 35] mit Hinweis auf Bundestagsdrucksache 16/5846, S. 40.
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 295
allerdings nach dem Ermittlungs- bzw. Spurenansatz eine mittelbare Auswertung dieser
präventiv erlangten Daten in einem Strafverfahren zulässig, ebenso zur Ermittlung des
Aufenthaltsortes des Beschuldigten, wenn die Daten also nicht zu Beweiszwecken genutzt
werden.193 Daher dürfen Daten, die nach § 20k BKAG (Online-Durchsuchung) und nach
§ 20h BKAG (akustische und visuelle Wohnraumüberwachung) erhoben worden sind,
gemäß § 20v V Nr. 3 BKAG als Ermittlungsansatz für die Strafverfolgung genutzt werden.194 Das BVerfG195 vertritt die insoweit zutreffende Ansicht, dass Zufallserkenntnisse
aus einer rechtmäßig durchgeführten Maßnahme, welche zwar nicht Katalogtaten betreffen, aus den o. g. Gründen nicht zu Beweiszwecken verwertet werden dürfen, immerhin
als Grundlage zu weiteren Ermittlungen zur Gewinnung neuer Beweismittel dienen können. Nicht nachvollziehbar ist allerdings, warum jene Zufallserkenntnisse nicht auch
zu Beweiszwecken genutzt werden dürfen, zumal der Betroffene ohnehin ins Visier der
Strafverfolgung geraten und eine zulässige Ermittlungshandlung erfolgt ist, in deren Zusammenhang weitere, zuvor nicht bekannte mögliche Beweismittel aufgetaucht sind. Ein
ausdrückliches Verbot der Nutzung von Zufallsfunden besteht lediglich auf der Ebene des
§ 108 II StPO („lex Theissen“), also muss im Wege des Umkehrschlusses mangels eines
expliziten Verbots und vor dem Hintergrund des Legalitätsprinzips gemäß § 152 II, 160
I, 163 StPO196 ein solcher Zufallsfund auch als Beweismittel genutzt werden dürfen. Die
Voraussetzungen zur Datenerhebung und -auswertung zum Zweck der Aufklärung und
Bekämpfung des internationalen Terrorismus mit Bezug zur Bundesrepublik Deutschland
finden sich im Gesetz zur Errichtung einer standardisierten zentralen Antiterrordatei von
Polizeibehörden und Nachrichtendiensten von Bund und Ländern – Antiterrordateigesetz
(ATDG).197 Die betreffenden Tätergruppen werden in § 2 ATDG normiert; § 3 ATDG. § 5
ATDG enthält Bestimmungen darüber, wann die beteiligten Behörden die in der Antiterrordatei gespeicherten Daten nutzen dürfen. Aufgrund ihrer inhaltlichen Bestimmtheit,
ihres sehr eng umrissenen Anwendungsbereiches unter Beachtung des Subsidiaritätsgrundsatzes und der Dokumentationspflicht ist § 5 ATDG verfassungskonform.
10.14 Die rechnerexterne Datenspeicherung im World Wide Web:
Cloud Computing
Beim sogenannten Cloud Computing, dem Datenspeichern nicht auf der (eigenen) Festplatte, sondern im Internet, stellt sich die Rechtslage demgegenüber anders dar. Hierbei
werden (mit Ausnahme von E-Mails) die Daten nicht mehr lokal auf dem eigenen Rech193
Meyer-Goßner und Schmitt [30, § 161 Rdz. 18e]; Griesbaum [14, § 161 Rdz. 36]; Roxin und
Schünemann [38, S. 282 dort Fn. 1]; zum Spuren- bzw. Ermittlungsansatz s. Paa [35, S. 166, dort
auch Fn. 773 mit w. N.]; Birkenstock [4, S. 153].
194
Griesbaum [14, § 161 Rdz. 36].
195
BVerfG-NJW 2005, S. 2766.
196
Dieses Argument wird von Korge [26, S. 136] zwar zutreffend eingebracht, im Ergebnis jedoch
verworfen.
197
Bundesgesetzblatt I 2006, S. 3409; Bundesgesetzblatt I 2014, S. 2318.
296
F. Czerner
ner oder auf externen Festplatten bzw. USB-Sticks gespeichert, welche sich in der eigenen
Wohnung befinden, sondern es laufen alle Anwendungen im Web ab, d. h., alle Programme und vor allem die Daten lagern auf den Anbieterservern und werden nach Bedarf
geladen.198 Damit ist es möglich, straftatrelevante Daten an verschiedenen Orten/Servern zu platzieren und den Strafverfolgungsbehörden den Zugriff zu erschweren.199 Auf
dieses Problem der dezentralisierten bzw. dezentralisierbaren Daten hat der Gesetzgeber
zum Jahresbeginn 2008 mit der Einfügung von § 110 III StPO reagiert, womit der Zugriff auf externe Speichermedien, z. B. auf andere Server, die physisch vom Rechner des
Betroffenen entfernt sind, unter bestimmten Voraussetzungen erlaubt ist. Durch die Regelung des § 110 III StPO ist es zulässig, die Durchsicht elektronischer Datenträger auch
auf räumlich getrennte Speichereinheiten (z. B. Speicherplatz auf Servern im Internet) zu
erstrecken, soweit auf jene vom unmittelbar betroffenen Speichermedium aus eine berechtigte Zugriffsmöglichkeit besteht, weil andernfalls der Verlust der gesuchten Daten zu
befürchten ist und der Zugriff von dem durchsuchten Zugangsgerät (i. d. R. der PC des Beschuldigten) möglich ist.200 Der Zugriff muss gemäß § 110 III StPO berechtigt sein, weil
mit dieser Norm ausdrücklich nicht die heimliche Online-Durchsuchung erlaubt werden
sollte.201 Diese Zugriffsmöglichkeit erhält mit der Ausbreitung des Cloud Computing eine
zunehmende Bedeutung.202 Solange die Durchsicht andauert, ist die Durchsuchung noch
nicht abgeschlossen, und es kann dagegen analog § 98 II StPO das Gericht angerufen werden.203 Jedoch muss zunächst bekannt sein, dass überhaupt Daten in einer Cloud, d. h.
rechnerextern, gespeichert sind, wo sie sich befinden und ob sie möglicherweise auf Servern außerhalb des Hoheitsgebietes der Bundesrepublik Deutschland gespeichert sind204 ,
womit weitere praktische wie rechtliche Probleme aufgeworfen werden (Abschn. 10.15).
Weil beim Cloud Computing weder die Anwendungsdaten noch die Anwendungsprogramme auf dem lokalen Rechner gespeichert werden, können die Ermittlungspersonen
nicht damit rechnen, auf dem betreffenden Rechner beweiserhebliche Informationen zu
entdecken bzw. Informationen aufzufinden, die auf das Vorhandensein verfahrenserheblicher Daten/Dateien in einer Cloud hinweisen.205 Kann bei der Durchsicht des lokalen
Rechners des Betroffenen auf das Netzwerk – und somit auf die Daten – zugegriffen werden, ist die Datenspeicherung grundsätzlich vom Durchsuchungsbeschluss gedeckt und
nach § 110 III 2 StPO eröffnet.206 Mit der Regelung des § 110 III StPO, mit welcher ein
punktueller Zugriff in Form einer Durchsicht, jedoch keine längerfristige Überwachung
198
Obenhaus [34, S. 651].
Obenhaus [34, S. 651].
200
Roxin und Schünemann [38, S. 285 Rdz. 14]; Hartmann und Schmidt [16, S. 174 f. Rdz. 531].
201
Bundestagsdrucksache 16/5846, S. 64.
202
Roxin und Schünemann [38, S. 285 Rdz. 14]; Obenhaus [34, S. 651 ff.].
203
BVerfG-NStZ-RR 2002, S. 144, dem folgend: Roxin und Schünemann [38, S. 285 Rdz. 14].
204
Obenhaus [34, S. 651 f.].
205
Obenhaus [34, S. 651 f.].
206
Siehe Meyer-Goßner und Schmitt [30, § 110 Rdz. 6, 7b]; Obenhaus [34, S. 651 f.].
199
10
Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz 297
auch neu erstellter bzw. gespeicherter Daten erlaubt sei207 , sollte Art. 19 der sogenannten
Cyber-Crime-Convention, das Übereinkommen des Europarates über Computerkriminalität vom 23.11.2001, in innerstaatliches Recht umgesetzt werden.208 Bei elektronischen
Speichermedien ist zu beachten, dass der Datenträger mit dem jeweiligen Zugangsgerät
keine räumlich-gegenständliche Einheit bilden muss und dass u. U. eine Beschlagnahme des Zugangsgerätes in diesen Fällen zwecklos ist: Beim Cloud Computing kann der
Dateninhaber jene über eine Internetverbindung auf Datenspeicher auslagern, die er bei
einem Dienstleistungsunternehmen angemietet oder z. B. kostenlos zur Verfügung gestellt
bekommen hat, z. B. durch eine Dropbox.209 Wo sich der betreffende Datenspeicher physikalisch befindet, entzieht sich zumeist der Kenntnis des Dateninhabers.210 Wenn räumlich
entfernte Datenbestände zeitlich verzögert durchgesehen werden müssten, bestünde die
Gefahr, dass zwischenzeitlich bestimmte beweiserhebliche, also vermutlich belastendes
Datenmaterial, schnell gelöscht werden. Zahlreiche Nutzer von Computern können sich
die Zugangsdaten von Webdiensten nicht merken und setzen Lesezeichen im Webbrowser
und nutzen auf dem Rechner installierte Programme, die Kennwörter und Zugangsdaten speichern, sodass dem Ermittler entweder der Zugang zur aufgerufenen Webseite
versperrt ist oder der Zugang zum Kennwort-Verwaltungsprogramm.211 Da sich der Beschuldigte nicht selbst zu belasten braucht (Art. 14 III g IPBPR), braucht er an seiner
Überführung nicht mitzuwirken, und er ist somit nicht herausgabepflichtig.212 Das Dekodieren/„Knacken“ des Zugangscodes entspricht dem gewaltsamen Öffnen einer Tür oder
eines Tresors und ist über § 105 StPO zulässig.213
10.15 Daten auf Servern außerhalb des Hoheitsgebietes
der Bundesrepublik Deutschland
Bereits im Jahr 2004 war in ca. 80 % der Fälle, in denen das Internet als Medium bei
der Begehung oder Durchführung von Straftaten genutzt wurde, ein Zugriff auf im Ausland gespeicherte Daten erforderlich.214 Für die Sichtung von Daten auf Servern im Ausland fehlt es an einem direkten Recht zum Zugriff; ohne Zustimmung des Beschuldigten
können die Daten nur im Wege eines internationalen Rechtshilfeersuchens an den betreffenden Staat gerichtet werden, in welchem sich der/die jeweiligen Server befinden.215
Den inländischen Ermittlungsbehörden stehen im Ausland grundsätzlich keine Hoheits207
So restriktiv Brodowski [6, S. 402 (408)].
Hartmann und Schmidt [16, S. 173 Rdz. 531]; BGBl 2008 II, S. 1242.
209
Hartmann und Schmidt [16, S. 174 Rdz. 531].
210
Hartmann und Schmidt [16, S. 174 Rdz. 531].
211
Obenhaus [34, S. 651 f.].
212
Obenhaus [34, S. 651 (653)].
213
Vgl. Meyer-Goßner und Schmitt [30, § 105 Rdz. 13].
214
Gercke [12, S. 271 dort m. w. N. in Fn. 9].
215
Kasiske [21, S. 228 (234)]; Hartmann und Schmidt [16, S. 173 Rdz. 531 m. w. N. dort in Fn. 907];
ausführlich zum Zugriff auf im Ausland gespeicherte Daten: Weiß [45, S. 244-257].
208
298
F. Czerner
befugnisse zu.216 Dies soll selbst dann gelten, wenn den Behörden die Kennungsdaten des
Accountinhabers bekannt sind, sodass ein Zugriff über die Regelung des § 110 III StPO
möglich wäre, allerdings wäre ein direkter Zugriff deutscher Behörden auf Daten eines
ausländischen Herrschaftsbereichs ein völkerrechtlicher Eingriff in fremde Hoheitsrechte217 , sodass § 110 III StPO infolge seiner intranationalen Geltung hierfür nicht anwendbar
ist.218 Im Völkerrecht gilt der Grundsatz, dass die territoriale Souveränität in Bezug auf
das Staatsgebiet mit der Souveränität der rechtsprechenden Gewalt dieses Staates einhergeht219 . Innerhalb der Europäischen Union ist eine Beweissicherung durch die Europäische Sicherstellungsanordnung (vgl. § 94 IRG) erleichtert; im Geltungsbereich des Übereinkommens über Computerkriminalität stehen dessen vorläufige Sicherungsmaßnahmen
zur Verfügung.220 Zu beachten sind auch die Vorgaben der Cybercrimekonvention des
Europarates221 , durch welche in Art. 19 die Verpflichtung statuiert ist, dass jede Vertragspartei den Behörden ermöglichen muss, Zugriff auf Computersysteme bzw. Datenträger
nehmen zu können. Nicht zuletzt stellt sich die Frage, welche rechtlichen Schritte gegen aus dem Ausland begangene Rechtsverletzungen im Internet vor deutschen Gerichten
möglich sind.222
Literatur
1. Albrecht, H.J., Dorsch, C., Krüpe, C.: Rechtswirklichkeit und Effizienz der Überwachung der
Telekommunikation nach den §§ 100a, 100b, StPO und anderer verdeckter Ermittlungsmaßnahmen (2003). https://www.mpicc.de/files/pdf1/fa-tue.pdf. Zugegriffen: 17.01.2017
2. Becker, C., Meinicke, D.: Die sog. Quellen-TKÜ und die StPO - Von einer „herrschenden Meinung“ und ihrer fragwürdigen Entstehung. Strafverteidiger (StV) S. 50–52 (2011)
3. Berthel, R., Mentzel, T., Schröder, D., Spang, T., Clages, H., Neidhardt, K.: Grundlagen der
Kriminalistik/Kriminologie, Lehr- und Studienbriefe Kriminalistik/Kriminologie, Bd. 1, 3. Aufl.
Verlag Deutsche Polizeiliteratur (2008)
4. Birkenstock, L.D.: Zur Online-Durchsuchung: Zugang zu einem informationstechnischen System und Infiltration zur Datenerhebung im Strafverfahren: Unter besonderer Berücksichtigung
des Urteils des Bundesverfassungsgerichts vom 27.02. 2008, 1. Aufl. Verlag Dr. Kovac (2013)
5. Bär, W.: EDV-Beweissicherung im Strafverfahren bei Computern. Deutsche Richterzeitung
(DRiZ) S. 218–221 (2007)
6. Brodowski, D.: Strafprozessualer Zugriff auf E-Mail-Kommunikation. Juristische Rundschau
(JR) (10), 402–412 (2009)
7. on Cybercrime, C.C.: Übereinkommen über Computerkriminalität (2001). http://conventions.
coe.int/Treaty/GER/Treaties/Html/185.htm
216
Obenhaus [34, S. 651 (654)].
Kasiske [21, S. 228 (234)].
218
Gercke [12, S. 271 f.].
219
Vgl. Epping in: Ipsen [19, § 5 II, S. 50 Rdz. 3].
220
Brodowski [6, S. 402 (411, dort m. w. N. in Fn. 115)].
221
Übereinkommen über Computerkriminalität [7].
222
Moos [32, S. 208].
217
Literatur
299
8. Czerner, F.: Legitimierung von Behandlungsabbrüchen durch § 1904 BGB? Kritische Vierteljahressschrift für Gesetzgebung und Rechtswissenschaft (KritV) S. 182–196 (2004)
9. Czerner, F.: Strafprozessuale Verdachtsgraduierung, Verhältnismäßigkeitsrestriktionen und
Veto-Optionen bei rechtsmedizinisch indizierten Sektionen. Archiv für Kriminologie S. 1–23
(2010)
10. Di Fabio, U.: Sicherheit in Freiheit. Neue Juristische Wochenschrift (NJW) S. 421–425 (2008)
11. Gercke, B.: Anm. zu BGH-StV 2009, 623, Beschl. v. 31.03.2009. Strafverteidiger (StV) S. 623
(624) (2009)
12. Gercke, B.: Zur Zulässigkeit sog. Transborder Searches: Der strafprozessuale Zugriff auf im
Ausland gespeicherte Daten. Strafverteidiger-Forum (StraFo) S. 271–274 (2009)
13. Gercke, B., Julius, K.P., Temming, D., Zöller, M.A., Ahlbrecht, H., Brauer, J., Kurth, H.J.,
Pollähne, H., Posthoff, K.H., Rautenberg, E.C., Schmidt, E.C., Weißer, B.: Heidelberger Kommentar zur Strafprozessordnung, 5. Aufl. C.F. Müller (2012)
14. Hannich, R., Appl, E., Barthe, C., Bruns, M., Diemer, H., Fischer, T., Gericke, J., Gieg, G.,
Gmel, D., Graf, J.P., Greger, A., Greven, M., Griesbaum, R., Jakobs, S., Krehl, C., Kuckein,
J.D., Laufhütte, H., Maul, H., Maur, L., Mayer, H., Moldenhauer, G., Ott, Y., Paul, C., Schädler,
W., Scheuten, F.K., Schmidt, W., Schneider, H., Schultheis, U., Senge, L., Spillecke, K., Wenske, M., Willnow, G., Zabeck, A.: Karlsruher Kommentar zur Strafprozessordnung: mit GVG,
EGGVG, EMRK, 7. Aufl. C.H.Beck (2013)
15. Hansen, M., Pfitzmann, A., Roßnagel, A.: Online-Durchsuchung. Deutsche Richterzeitung
(DRiZ) (8), 225–228 (2007)
16. Hartmann, A., Schmidt, R.: Strafprozessrecht: Grundzüge des Strafverfahrens, 6. Aufl. Grasberg
bei Bremen (2016)
17. Hermann, K., Soiné, M.: Durchsuchung persönlicher Datenspeicher und Grundrechtsschutz.
Neue Juristische Wochenschrift (NJW) S. 2922–2928 (2011)
18. Hofmann, M.: Die Online-Durchsuchung - staatliches „Hacken“ oder zulässige Ermittlungsmaßnahme? Neue Zeitschrift für Strafrecht (NStZ) S. 121–125 (2005)
19. Ipsen, K.: Völkerrecht, 6. Aufl. C.H. Beck (2014)
20. Jahn, M.: Strafprozessuale Eingriffsmaßnahmen im Lichte der aktuellen Rechtsprechung des
BVerfG. Neue Zeitschrift für Strafrecht (NStZ) S. 255–265 (2007)
21. Kasiske, P.: Neues zur Beschlagnahme von E-Mails beim Provider. Strafverteidiger-Forum
(StraFo) S. 228–235 (2010)
22. Kemper, M.: Die Beschlagnahmefähigkeit von Daten und E-Mails. Neue Zeitschrift für Strafrecht (NStZ) S. 538–544 (2005)
23. Kühne, H.H.: Strafprozessrecht: Eine systematische Darstellung des deutschen und europäischen Strafverfahrensechts, 9. Aufl. C.F. Müller (2015)
24. Klein, O.: Offen und (deshalb) einfach: Zur Sicherstellung und Beschlagnahme von E-Mails
beim Provider. Neue Juristische Wochenschrift (NJW) S. 2996–2999 (2009)
25. Kohlmann, D.: Online-Durchsuchungen und andere Maßnahmen mit Technikeinsatz, 1. Aufl.
Nomos Verlag (2012)
26. Korge, T.: Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von
Berufsgeheimnissen. Schriftenreihe der Juristischen Fakultät der Europa-Universität Viadrina
Frankfurt (Oder). Springer Verlag (2009)
300
F. Czerner
27. Kutscha, M.: Mehr Schutz von Computerdaten durch ein neues Grundrecht? Neue Juristische
Wochenschrift (NJW) S. 1042–1044 (2008)
28. Kutzner, L.: Die Beschlagnahme von Daten bei Berufsgeheimnisträgern. Neue Juristische Wochenschrift (NJW) S. 2652–2654 (2005)
29. Marberth-Kubicki, A.: Internet und Strafrecht. Deutsche Richterzeitung (DRiZ) S. 212–217
(2007)
30. Meyer-Goßner, L., Schmitt, B.: Strafprozessordnung: StPO, 59. Aufl. C.H. Beck (2016)
31. Michalke, R.: Staatlicher Zugriff auf elektronische Medien. Strafverteidiger-Forum (StraFo) S.
287–292 (2008)
32. Moos, F.: Möglichkeiten und Grenzen der Sanktionierung von Rechtsverletzungen im Internet
vor deutschen Gerichten. Deutsche Richterzeitung (DRiZ) S. 208–211 (2007)
33. Neuhöfer, D.: Der Zugriff auf serverbasiert gespeicherte E-Mails beim Provider: Verfassungsrechtliche Anforderungen an eine strafverfahrensrechtliche Ermächtigungsgrundlage, 1. Aufl.
Verlag Dr. Kovac (2011)
34. Obenhaus, N.: Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und
Rechtsanwaltschaft. Neue Juristische Wochenschrift (NJW) S. 651–655 (2010)
35. Paa, B.: Der Zugriff der Strafverfolgungsbehörden auf das Private im Kampf gegen schwere
Kriminalität. C.F. Müller (2013)
36. Rogge, M.: Moderne mobile Forensik für Strafverfolgungsbehörden. der kriminalist Bd. 6 S.
29–34 (2015)
37. Roßnagel, A.: Verfassungspolitische und verfassungsrechtliche Fragen der OnlineDurchsuchung. Deutsche Richterzeitung (DRiZ) S. 229–230 (2007)
38. Roxin, C., Schünemann, B.: Strafverfahrensrecht, 28. Aufl. C.H. Beck (2014)
39. Rux, J.: Ausforschung privater Rechner durch die Polizei- und Sicherheitsbehörden S. 285–295
(2007)
40. Schünemann, B.: Prolegomena zu einer jeden künftigen Verteidigung, die in einem geheimdienstähnlichen Strafverfahren wird auftreten können. Goltdammer’s Archiv (GA) S. 314–334
(2008)
41. Schwarz, R., Colussi, M.: Polizeiliche Gefahrenabwehr in Fällen des internationalen Terrorismus. Kriminalistik S. 199–202 (2015)
42. Vogel, J., Brodowski, D.: Anmerkung zu Hans. OLG Hamburg, Beschl. v. 12.11.2007, Az. 6
Ws 1/07. Strafverteidiger (StV) S. 630 (632) (2009)
43. Vollmar, K.: Die Bedeutung von Kreativität und Innovation im Kontext der Bekämpfung von
Cybercrime. Kriminalistik S. 132–136 (2015)
44. Warntjen, M.: Die verfassungsrechtlichen Anforderungen an eine gesetzliche Regelung der
Online-Durchsuchung. Jura S. 581–585 (2008)
45. Weiss, A.: Online-Durchsuchungen im Strafverfahren, 1. Aufl. Verlag Dr. Kovac (2009)
46. Zimmermann, T.: Der strafprozessuale Zugriff auf E-Mails. Juristische Arbeitsblätter (JA) S.
321–327 (2014)
Ausgewählte Rechtsnormen (Auszug)
1 Strafprozessordnung – StPO
§ 94 I und II Sicherstellung und Beschlagnahme von Gegenständen zu
Beweiszwecken
(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können,
sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.
(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht
freiwillig herausgegeben, so bedarf es der Beschlagnahme.
§ 100a Telekommunikationsüberwachung
(1) Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden, wenn
1. bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in Fällen, in denen der
Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat vorbereitet hat,
2. die Tat auch im Einzelfall schwer wiegt und
3. die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.
(2) Schwere Straftaten im Sinne des Absatzes 1 Nr. 1 sind:
1. aus dem Strafgesetzbuch:
(a) Straftaten des Friedensverrats, des Hochverrats und der Gefährdung des demokratischen Rechtsstaates sowie des Landesverrats und der Gefährdung der äußeren
Sicherheit nach den §§ 80 bis 82, 84 bis 86, 87 bis 89a, 89c Abs. 1 bis 4, 94 bis
100a,
© Springer-Verlag GmbH Deutschland 2017
D. Labudde, M. Spranger (Hrsg.), Forensik in der digitalen Welt,
DOI 10.1007/978-3-662-53801-2
301
302
Ausgewählte Rechtsnormen (Auszug)
(b) Bestechlichkeit und Bestechung von Mandatsträgern nach § 108e,
(c) Straftaten gegen die Landesverteidigung nach den §§ 109d bis 109h,
(d) Straftaten gegen die öffentliche Ordnung nach den §§ 129 bis 130,
(e) Geld- und Wertzeichenfälschung nach den §§ 146 und 151, jeweils auch in Verbindung mit § 152, sowie nach § 152a Abs. 3 und § 152b Abs. 1 bis 4,
(f) Straftaten gegen die sexuelle Selbstbestimmung in den Fällen der §§ 176a, 176b,
177 Abs. 2 Nr. 2 und des § 179 Abs. 5 Nr. 2,
(g) Verbreitung, Erwerb und Besitz kinder- und jugendpornographischer Schriften
nach § 184b Abs. 1 und 2, § 184c Abs. 2,
(h) Mord und Totschlag nach den §§ 211 und 212,
(i) Straftaten gegen die persönliche Freiheit nach den §§ 232 bis 233a, 234, 234a, 239a
und 239b,
(j) Bandendiebstahl nach § 244 Abs. 1 Nr. 2 und schwerer Bandendiebstahl nach
§ 244a,
(k) Straftaten des Raubes und der Erpressung nach den §§ 249 bis 255,
(l) gewerbsmäßige Hehlerei, Bandenhehlerei und gewerbsmäßige Bandenhehlerei
nach den §§ 260 und 260a,
(m)Geldwäsche und Verschleierung unrechtmäßig erlangter Vermögenswerte nach
§ 261 Abs. 1, 2 und 4,
(n) Betrug und Computerbetrug unter den in § 263 Abs. 3 Satz 2 genannten Voraussetzungen und im Falle des § 263 Abs. 5, jeweils auch in Verbindung mit § 263a
Abs. 2,
(o) Subventionsbetrug unter den in § 264 Abs. 2 Satz 2 genannten Voraussetzungen und
im Falle des § 264 Abs. 3 in Verbindung mit § 263 Abs. 5,
(p) Straftaten der Urkundenfälschung unter den in § 267 Abs. 3 Satz 2 genannten Voraussetzungen und im Fall des § 267 Abs. 4, jeweils auch in Verbindung mit § 268
Abs. 5 oder § 269 Abs. 3, sowie nach § 275 Abs. 2 und § 276 Abs. 2,
(q) Bankrott unter den in § 283a Satz 2 genannten Voraussetzungen,
(r) Straftaten gegen den Wettbewerb nach § 298 und, unter den in § 300 Satz 2 genannten Voraussetzungen, nach § 299,
(s) gemeingefährliche Straftaten in den Fällen der §§ 306 bis 306c, 307 Abs. 1 bis 3,
des § 308 Abs. 1 bis 3, des § 309 Abs. 1 bis 4, des § 310 Abs. 1, der §§ 313, 314,
315 Abs. 3, des § 315b Abs. 3 sowie der §§ 316a und 316c,
(t) Bestechlichkeit und Bestechung nach den §§ 332 und 334,
2. aus der Abgabenordnung:
(a) Steuerhinterziehung unter den in § 370 Abs. 3 Satz 2 Nr. 5 genannten Voraussetzungen,
(b) gewerbsmäßiger, gewaltsamer und bandenmäßiger Schmuggel nach § 373,
(c) Steuerhehlerei im Falle des § 374 Abs. 2,
3. aus dem Arzneimittelgesetz: Straftaten nach § 95 Abs. 1 Nr. 2a unter den in § 95 Abs. 3
Satz 2 Nr. 2 Buchstabe b genannten Voraussetzungen,
4. aus dem Asylverfahrensgesetz:
Ausgewählte Rechtsnormen (Auszug)
303
(a) Verleitung zur missbräuchlichen Asylantragstellung nach § 84 Abs. 3,
(b) gewerbs- und bandenmäßige Verleitung zur missbräuchlichen Asylantragstellung
nach § 84a,
5. aus dem Aufenthaltsgesetz:
(a) Einschleusen von Ausländern nach § 96 Abs. 2,
(b) Einschleusen mit Todesfolge und gewerbs- und bandenmäßiges Einschleusen nach
§ 97,
6. aus dem Außenwirtschaftsgesetz: vorsätzliche Straftaten nach den §§ 17 und 18 des
Außenwirtschaftsgesetzes,
7. aus dem Betäubungsmittelgesetz:
(a) Straftaten nach einer in § 29 Abs. 3 Satz 2 Nr. 1 in Bezug genommenen Vorschrift
unter den dort genannten Voraussetzungen,
(b) Straftaten nach den §§ 29a, 30 Abs. 1 Nr. 1, 2 und 4 sowie den §§ 30a und 30b,
8. aus dem Grundstoffüberwachungsgesetz: Straftaten nach § 19 Abs. 1 unter den in § 19
Abs. 3 Satz 2 genannten Voraussetzungen,
9. aus dem Gesetz über die Kontrolle von Kriegswaffen:
(a) Straftaten nach § 19 Abs. 1 bis 3 und § 20 Abs. 1 und 2 sowie § 20a Abs. 1 bis 3,
jeweils auch in Verbindung mit § 21,
(b) Straftaten nach § 22a Abs. 1 bis 3,
10. aus dem Völkerstrafgesetzbuch:
(a) Völkermord nach § 6,
(b) Verbrechen gegen die Menschlichkeit nach § 7,
(c) Kriegsverbrechen nach den §§ 8 bis 12,
11. aus dem Waffengesetz:
(a) Straftaten nach § 51 Abs. 1 bis 3,
(b) Straftaten nach § 52 Abs. 1 Nr. 1 und 2 Buchstabe c und d sowie Abs. 5 und 6.
(3) Die Anordnung darf sich nur gegen den Beschuldigten oder gegen Personen richten,
von denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben
oder dass der Beschuldigte ihren Anschluss benutzt.
(4) Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme
nach Absatz 1 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt
würden, ist die Maßnahme unzulässig. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch eine Maßnahme nach Absatz 1 erlangt wurden, dürfen nicht
verwertet werden. Aufzeichnungen hierüber sind unverzüglich zu löschen. Die Tatsache
ihrer Erlangung und Löschung ist aktenkundig zu machen.
304
Ausgewählte Rechtsnormen (Auszug)
§ 110 III Durchsicht von Papieren und elektronischen Speichermedien
(3) Die Durchsicht eines elektronischen Speichermediums bei dem von der Durchsuchung
Betroffenen darf auch auf hiervon räumlich getrennte Speichermedien, soweit auf sie von
dem Speichermedium aus zugegriffen werden kann, erstreckt werden, wenn andernfalls
der Verlust der gesuchten Daten zu besorgen ist. Daten, die für die Untersuchung von
Bedeutung sein können, dürfen gesichert werden; § 98 Abs. 2 gilt entsprechend.
§ 160 Pflicht zur Sachverhaltsaufklärung
(1) Sobald die Staatsanwaltschaft durch eine Anzeige oder auf anderem Wege von dem
Verdacht einer Straftat Kenntnis erhält, hat sie zu ihrer Entschließung darüber, ob die öffentliche Klage zu erheben ist, den Sachverhalt zu erforschen.
(2) Die Staatsanwaltschaft hat nicht nur die zur Belastung, sondern auch die zur Entlastung dienenden Umstände zu ermitteln und für die Erhebung der Beweise Sorge zu tragen,
deren Verlust zu besorgen ist.
(3) Die Ermittlungen der Staatsanwaltschaft sollen sich auch auf die Umstände erstrecken, die für die Bestimmung der Rechtsfolgen der Tat von Bedeutung sind. Dazu kann
sie sich der Gerichtshilfe bedienen.[. . . ]
§ 161 Allgemeine Ermittlungsbefugnis der Staatsanwaltschaft
(1) Zu dem in § 160 Abs. 1 bis 3 bezeichneten Zweck ist die Staatsanwaltschaft befugt,
von allen Behörden Auskunft zu verlangen und Ermittlungen jeder Art entweder selbst
vorzunehmen oder durch die Behörden und Beamten des Polizeidienstes vornehmen zu
lassen, soweit nicht andere gesetzliche Vorschriften ihre Befugnisse besonders regeln. Die
Behörden und Beamten des Polizeidienstes sind verpflichtet, dem Ersuchen oder Auftrag
der Staatsanwaltschaft zu genügen, und in diesem Falle befugt, von allen Behörden Auskunft zu verlangen.
(2) Ist eine Maßnahme nach diesem Gesetz nur bei Verdacht bestimmter Straftaten zulässig, so dürfen die auf Grund einer entsprechenden Maßnahme nach anderen Gesetzen
erlangten personenbezogenen Daten ohne Einwilligung der von der Maßnahme betroffenen Personen zu Beweiszwecken im Strafverfahren nur zur Aufklärung solcher Straftaten
verwendet werden, zu deren Aufklärung eine solche Maßnahme nach diesem Gesetz hätte
angeordnet werden dürfen. § 100d Abs. 5 Nr. 3 bleibt unberührt.
(3) In oder aus einer Wohnung erlangte personenbezogene Daten aus einem Einsatz technischer Mittel zur Eigensicherung im Zuge nicht offener Ermittlungen auf polizeirechtlicher Grundlage dürfen unter Beachtung des Grundsatzes der Verhältnismäßigkeit zu
Beweiszwecken nur verwendet werden (Art. 13 Abs. 5 des GG), wenn das Amtsgericht
(§ 162 Abs. 1), in dessen Bezirk die anordnende Stelle ihren Sitz hat, die Rechtmäßigkeit
Ausgewählte Rechtsnormen (Auszug)
305
der Maßnahme festgestellt hat; bei Gefahr im Verzug ist die richterliche Entscheidung
unverzüglich nachzuholen.
§ 163 Aufgaben der Polizei im Ermittlungsverfahren
(1) Die Behörden und Beamten des Polizeidienstes haben Straftaten zu erforschen und alle
keinen Aufschub gestattenden Anordnungen zu treffen, um die Verdunkelung der Sache
zu verhüten. Zu diesem Zweck sind sie befugt, alle Behörden um Auskunft zu ersuchen,
bei Gefahr im Verzug auch, die Auskunft zu verlangen, sowie Ermittlungen jeder Art vorzunehmen, soweit nicht andere gesetzliche Vorschriften ihre Befugnisse besonders regeln.
(2) Die Behörden und Beamten des Polizeidienstes übersenden ihre Verhandlungen ohne
Verzug der Staatsanwaltschaft. Erscheint die schleunige Vornahme richterlicher Untersuchungshandlungen erforderlich, so kann die Übersendung unmittelbar an das Amtsgericht
erfolgen.[. . . ]
2 Telekommunikationsgesetz – TKG
§ 3 Begriffsbestimmungen
Im Sinne dieses Gesetzes ist oder sind
1.
„Anruf“ eine über einen öffentlich zugänglichen Telekommunikationsdienst aufgebaute Verbindung, die eine zweiseitige Sprachkommunikation ermöglicht;
2. „Anwendungs-Programmierschnittstelle“ die Software-Schnittstelle zwischen Anwendungen, die von Sendeanstalten oder Diensteanbietern zur Verfügung gestellt
werden, und den Anschlüssen in den erweiterten digitalen Fernsehempfangsgeräten
für digitale Fernseh- und Rundfunkdienste;
3. „Bestandsdaten“ Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden;
6. „Diensteanbieter“ jeder, der ganz oder teilweise geschäftsmäßig
(a) Telekommunikationsdienste erbringt oder
(b) an der Erbringung solcher Dienste mitwirkt;
7. „digitales Fernsehempfangsgerät“ ein Fernsehgerät mit integriertem digitalem Decoder oder ein an ein Fernsehgerät anschließbarer digitaler Decoder zur Nutzung digital
übertragener Fernsehsignale, die mit Zusatzsignalen, einschließlich einer Zugangsberechtigung, angereichert sein können;
19. „Standortdaten“ Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des
306
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
Ausgewählte Rechtsnormen (Auszug)
Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben;
„Teilnehmer“ jede natürliche oder juristische Person, die mit einem Anbieter von
öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat;
„Teilnehmeranschluss“ die physische Verbindung, mit dem der Netzabschlusspunkt
in den Räumlichkeiten des Teilnehmers mit den Hauptverteilerknoten oder mit einer
gleichwertigen Einrichtung in festen öffentlichen Telefonnetzen verbunden wird;
„Telekommunikation“ der technische Vorgang des Aussendens, Übermittelns und
Empfangens von Signalen mittels Telekommunikationsanlagen;
„Telekommunikationsanlagen“ technische Einrichtungen oder Systeme, die als
Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können;
„Telekommunikationsdienste“ in der Regel gegen Entgelt erbrachte Dienste, die ganz
oder über-wiegend in der Übertragung von Signalen über Telekommunikationsnetze
bestehen, einschließlich Übertragungsdienste in Rundfunknetzen;
„telekommunikationsgestützte Dienste“ Dienste, die keinen räumlich und zeitlich
trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird;
„Telekommunikationslinien“ unter- oder oberirdisch geführte Telekommunikationskabelanlagen einschließlich ihrer zugehörigen Schalt- und Verzweigungseinrichtungen, Masten und Unterstützungen, Kabelschächte und Kabelkanalrohre;
„Telekommunikationsnetz“ die Gesamtheit von Übertragungssystemen und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitigen Ressourcen,
einschließlich der nicht aktiven Netzbestandteile, die die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetzen, festen, leitungs- und paketvermittelten
Netzen, einschließlich des Internets, und mobilen terrestrischen Netzen, Stromleitungssystemen, soweit sie zur Signalübertragung genutzt werden, Netzen für Hörund Fernsehfunk sowie Kabelfernsehnetzen, unabhängig von der Art der übertragenen Information;
„Übertragungsweg“ Telekommunikationsanlagen in Form von Kabel- oder Funkverbindungen mit ihren übertragungstechnischen Einrichtungen als Punkt-zu-Punktoder Punkt-zu-Mehrpunktverbindungen mit einem bestimmten Informationsdurchsatzvermögen (Bandbreite oder Bit-Rate) einschließlich ihrer Abschlusseinrichtungen;
„Unternehmen“ das Unternehmen selbst oder mit ihm im Sinne des § 36 Abs. 2 und
§ 37 Abs. 1 und 2 des Gesetzes gegen Wettbewerbsbeschränkungen verbundene Unternehmen;
„Verkehrsdaten“ Daten, die bei der Erbringung eines Telekommunikationsdienstes
erhoben, verarbeitet oder genutzt werden;
Ausgewählte Rechtsnormen (Auszug)
307
30a. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung,
Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten
führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der
Bereitstellung öffentlich zugänglicher Telekommunikationsdienste verarbeitet werden sowie der unrechtmäßige Zugang zu diesen; [. . . ]
3
Bundeskriminalamtgesetz – BKAG
§ 20a Allgemeine Befugnisse
(1) Das Bundeskriminalamt kann zur Erfüllung seiner Aufgabe nach § 4a Abs. 1 Satz 1
die notwendigen Maßnahmen treffen, um eine Gefahr abzuwehren, soweit nicht dieses
Gesetz die Befugnisse des Bundeskriminalamtes besonders regelt. Die §§ 15 bis 20 des
Bundespolizeigesetzes gelten entsprechend.
(2) Gefahr im Sinne dieses Unterabschnitts ist eine im Einzelfall bestehende Gefahr für
die öffentliche Sicherheit im Zusammenhang mit Straftaten gemäß § 4a Abs. 1 Satz 2.
§ 20k Verdeckter Eingriff in informationstechnische Systeme
(1) Das Bundeskriminalamt darf ohne Wissen des Betroffenen mit technischen Mitteln
in vom Betroffenen genutzte informationstechnische Systeme eingreifen und aus ihnen
Daten erheben, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass eine Gefahr
vorliegt für
1. Leib, Leben oder Freiheit einer Person oder
2. solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand
des Staates oder die Grundlagen der Existenz der Menschen berührt.
Eine Maßnahme nach Satz 1 ist auch zulässig, wenn sich noch nicht mit hinreichender
Wahrscheinlichkeit feststellen lässt, dass ohne Durchführung der Maßnahme in näherer
Zukunft ein Schaden eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch
bestimmte Personen drohende Gefahr für eines der in Satz 1 genannten Rechtsgüter hinweisen. Die Maßnahme darf nur durchgeführt werden, wenn sie für die Aufgabenerfüllung
nach § 4a erforderlich ist und diese ansonsten aussichtslos oder wesentlich erschwert wäre.
(2) Es ist technisch sicherzustellen, dass
1. an dem informationstechnischen System nur Veränderungen vorgenommen werden,
die für die Datenerhebung unerlässlich sind, und
308
Ausgewählte Rechtsnormen (Auszug)
2. die vorgenommenen Veränderungen bei Beendigung der Maßnahme soweit technisch
möglich automatisiert rückgängig gemacht werden.
Das eingesetzte Mittel ist nach dem Stand der Technik gegen unbefugte Nutzung zu schützen. Kopierte Daten sind nach dem Stand der Technik gegen Veränderung, unbefugte
Löschung und unbefugte Kenntnisnahme zu schützen.
(3) Bei jedem Einsatz des technischen Mittels sind zu protokollieren
1. die Bezeichnung des technischen Mittels und der Zeitpunkt seines Einsatzes,
2. die Angaben zur Identifizierung des informationstechnischen Systems und die daran
vorgenommenen nicht nur flüchtigen Veränderungen,
3. die Angaben, die die Feststellung der erhobenen Daten ermöglichen, und
4. die Organisationseinheit, die die Maßnahme durchführt.
Die Protokolldaten dürfen nur verwendet werden, um dem Betroffenen oder einer dazu
befugten öffentlichen Stelle die Prüfung zu ermöglichen, ob die Maßnahme nach Absatz 1
rechtmäßig durchgeführt worden ist. Sie sind bis zum Ablauf des auf die Speicherung folgenden Kalenderjahres aufzubewahren und sodann automatisiert zu löschen, es sei denn,
dass sie für den in Satz 2 genannten Zweck noch erforderlich sind.
(4) Die Maßnahme darf sich nur gegen eine Person richten, die entsprechend § 17 oder
§ 18 des Bundespolizeigesetzes verantwortlich ist. Die Maßnahme darf auch durchgeführt
werden, wenn andere Personen unvermeidbar betroffen werden.
(5) Die Maßnahme nach Absatz 1 darf nur auf Antrag des Präsidenten des Bundeskriminalamtes oder seines Vertreters durch das Gericht angeordnet werden.
(6) Die Anordnung ergeht schriftlich. In ihr sind anzugeben
1. die Person, gegen die sich die Maßnahme richtet, soweit möglich, mit Name und Anschrift,
2. eine möglichst genaue Bezeichnung des informationstechnischen Systems, in das zur
Datenerhebung eingegriffen werden soll,
3. Art, Umfang und Dauer der Maßnahme unter Benennung des Endzeitpunktes sowie
4. die wesentlichen Gründe.
Die Anordnung ist auf höchstens drei Monate zu befristen. Eine Verlängerung um jeweils
nicht mehr als drei weitere Monate ist zulässig, soweit die Anordnungsvoraussetzungen
unter Berücksichtigung der gewonnenen Erkenntnisse fortbestehen. Liegen die Voraussetzungen der Anordnung nicht mehr vor, sind die auf Grund der Anordnung ergriffenen
Maßnahmen unverzüglich zu beenden.
(7) Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch die Maßnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die
Maßnahme unzulässig. Soweit möglich, ist technisch sicherzustellen, dass Daten, die den
Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Erhobene Daten
Ausgewählte Rechtsnormen (Auszug)
309
sind unter der Sachleitung des anordnenden Gerichts nach Absatz 5 unverzüglich vom
Datenschutzbeauftragten des Bundeskriminalamtes und zwei weiteren Bediensteten des
Bundeskriminalamtes, von denen einer die Befähigung zum Richteramt hat, auf kernbereichsrelevante Inhalte durchzusehen. Der Datenschutzbeauftragte ist bei Ausübung dieser
Tätigkeit weisungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Abs. 3 des Bundesdatenschutzgesetzes). Daten, die den Kernbereich privater Lebensgestaltung betreffen,
dürfen nicht verwertet werden und sind unverzüglich zu löschen. Die Tatsachen der Erfassung der Daten und der Löschung sind zu dokumentieren. Die Dokumentation darf
ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen,
wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt.
4 Antiterrordateigesetz – ATDG
§ 3 Zu speichernde Datenarten
(1) In der Antiterrordatei werden, soweit vorhanden, folgende Datenarten gespeichert:
1. zu Personen nach § 2 Satz 1 Nummer 1 und 2
(a) der Familienname, die Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, das Geschlecht, das Geburtsdatum, der
Geburtsort, der Geburtsstaat, aktuelle und frühere Staatsangehörigkeiten, gegenwärtige und frühere Anschriften, besondere körperliche Merkmale, Sprachen, Dialekte, Lichtbilder, die Bezeichnung der Fallgruppe nach § 2 und, soweit keine
anderen gesetzlichen Bestimmungen entgegenstehen und dies zur Identifizierung
einer Person erforderlich ist, Angaben zu Identitätspapieren (Grunddaten),
(b) folgende weitere Datenarten (erweiterte Grunddaten):
aa). eigene oder von ihnen genutzte Telekommunikationsanschlüsse und Telekommunikationsendgeräte,
bb). Adressen für elektronische Post,
cc). Bankverbindungen,
dd). Schließfächer,
ee). auf die Person zugelassene oder von ihr genutzte Fahrzeuge,
ff). Familienstand,
gg). Volkszugehörigkeit,
hh). Angaben zur Religionszugehörigkeit, soweit diese im Einzelfall zur Aufklärung oder Bekämpfung des internationalen Terrorismus erforderlich sind,
ii). besondere Fähigkeiten, die nach den auf bestimmten Tatsachen beruhenden
Erkenntnissen der beteiligten Behörden der Vorbereitung und Durchführung
terroristischer Straftaten nach § 129a Abs. 1 und 2 des Strafgesetzbuchs die-
310
Ausgewählte Rechtsnormen (Auszug)
nen können, insbesondere besondere Kenntnisse und Fertigkeiten in der Herstellung oder im Umgang mit Sprengstoffen oder Waffen,
jj). Angaben zum Schulabschluss, zur berufsqualifizierenden Ausbildung und
zum ausgeübten Beruf,
kk). Angaben zu einer gegenwärtigen oder früheren Tätigkeit in einer lebenswichtigen Einrichtung im Sinne des § 1 Abs. 5 des Sicherheitsüberprüfungsgesetzes oder einer Verkehrs- oder Versorgungsanlage oder -einrichtung, einem
öffentlichen Verkehrsmittel oder Amtsgebäude,
ll). Angaben zur Gefährlichkeit, insbesondere Waffenbesitz oder zur Gewaltbereitschaft der Person,
mm). Fahr- und Flugerlaubnisse,
nn). besuchte Orte oder Gebiete, an oder in denen sich in § 2 Satz 1 Nr. 1 und 2
genannte Personen treffen,
oo). Kontaktpersonen zu den jeweiligen Personen nach § 2 Satz 1 Nr. 1 Buchstabe a oder Nr. 2,
pp). die Bezeichnung der konkreten Vereinigung oder Gruppierung nach § 2
Satz 1 Nr. 1 Buchstabe a oder b,
qq). der Tag, an dem das letzte Ereignis eingetreten ist, das die Speicherung der
Erkenntnisse begründet,
rr). auf tatsächlichen Anhaltspunkten beruhende zusammenfassende besondere
Bemerkungen, ergänzende Hinweise und Bewertungen zu Grunddaten und
erweiterten Grunddaten, die bereits in Dateien der beteiligten Behörden gespeichert sind, sofern dies im Einzelfall nach pflichtgemäßem Ermessen geboten und zur Aufklärung oder Bekämpfung des internationalen Terrorismus
unerlässlich ist, und
ss). von der Person betriebene oder maßgeblich zum Zweck ihrer Aktivitäten
nach § 2 Satz 1 Nummer 1 oder Nummer 2 genutzte Internetseiten,
2. Angaben zur Identifizierung der in § 2 Satz 1 Nummer 3 genannten Vereinigungen,
Gruppierungen, Stiftungen, Unternehmen, Sachen, Bankverbindungen, Anschriften,
Telekommunikationsanschlüsse, Telekommunikationsendgeräte, Internetseiten oder
Adressen für elektronische Post, mit Ausnahme weiterer personenbezogener Daten,
und
3. zu den jeweiligen Daten nach den Nummern 1 und 2 die Angabe der Behörde, die über
die Erkenntnisse verfügt, sowie das zugehörige Aktenzeichen oder sonstige Geschäftszeichen und, soweit vorhanden, die jeweilige Einstufung als Verschlusssache.
(2) Kontaktpersonen nach Absatz 1 Nummer 1 Buchstabe b Doppelbuchstabe oo sind Personen, bei denen tatsächliche Anhaltspunkte vorliegen, dass sie mit den in § 2 Satz 1
Nummer 1 Buchstabe a oder Nummer 2 genannten Personen nicht nur flüchtig oder in
zufälligem Kontakt in Verbindung stehen und durch sie weiterführende Hinweise für die
Aufklärung oder Bekämpfung des internationalen Terrorismus zu erwarten sind. Angaben
zu Kontaktpersonen dürfen ausschließlich als erweiterte Grunddaten nach Absatz 1 Num-
Ausgewählte Rechtsnormen (Auszug)
311
mer 1 Buchstabe b Doppelbuchstabe oo mit folgenden Datenarten zur Identifizierung und
Kontaktaufnahme gespeichert werden: der Familienname, die Vornamen, frühere Namen,
andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, das Geschlecht,
das Geburtsdatum, der Geburtsort, der Geburtsstaat, die aktuelle Staatsangehörigkeit, die
gegenwärtige Anschrift, Lichtbilder, eigene oder von ihnen genutzte Telekommunikationsanschlüsse sowie Adressen für elektronische Post, sonstige Angaben zur beruflichen
Erreichbarkeit.
(3) Soweit zu speichernde Daten aufgrund einer anderen Rechtsvorschrift zu kennzeichnen sind, ist diese Kennzeichnung bei der Speicherung der Daten in der Antiterrordatei
aufrechtzuerhalten.
(4) Das Bundeskriminalamt legt die Kriterien und Kategorien für die zu speichernden Datenarten in den Fällen des Absatzes 1 Nummer 1 Buchstabe b Doppelbuchstabe gg, hh, ii,
kk und nn in einer Verwaltungsvorschrift fest. Diese ist in der jeweils aktuellen Fassung
im Bundesanzeiger zu veröffentlichen. Das Bundeskriminalamt kann Kriterien für die zu
speichernden Datenarten in den weiteren Fällen des Absatzes 1 in derselben Verwaltungsvorschrift vorsehen.
§ 5 Zugriff auf die Daten
(1) Die beteiligten Behörden dürfen die in der Antiterrordatei gespeicherten Daten im
automatisierten Verfahren nutzen, soweit dies zur Erfüllung der jeweiligen Aufgaben zur
Aufklärung oder Bekämpfung des internationalen Terrorismus erforderlich ist. Im Falle
eines Treffers erhält die abfragende Behörde Zugriff
1. (a) bei einer Abfrage zu Personen auf die zu ihnen gespeicherten Grunddaten oder
(b) bei einer Abfrage zu Vereinigungen, Gruppierungen, Stiftungen, Unternehmen,
Sachen, Bankverbindungen, Anschriften, Telekommunikationsanschlüssen, Telekommunikationsendgeräten, Internetseiten oder Adressen für elektronische Post
nach § 2 Satz 1 Nummer 3 auf die dazu gespeicherten Daten, und
2. auf die Daten nach § 3 Abs. 1 Nr. 3.
Auf die zu Personen gespeicherten erweiterten Grunddaten kann die abfragende Behörde
im Falle eines Treffers Zugriff erhalten, wenn die Behörde, die die Daten eingegeben hat,
dies im Einzelfall auf Ersuchen gewährt. Die Entscheidung hierüber richtet sich nach den
jeweils geltenden Übermittlungsvorschriften. Wenn die abfragende Behörde ohne Angabe
eines Namens nach § 3 Absatz 1 Nummer 1 Buchstabe a mittels Angaben in den erweiterten Grunddaten sucht, erhält sie im Falle eines Treffers lediglich Zugriff auf die Daten
nach § 3 Absatz 1 Nummer 3 Satz 5 gilt entsprechend, wenn die Suche trotz Angabe eines
Namens mehrere Treffer erzeugt.
(2) Die abfragende Behörde darf im Falle eines Treffers unmittelbar auf die erweiterten Grunddaten zugreifen, wenn dies aufgrund bestimmter Tatsachen zur Abwehr einer
312
Ausgewählte Rechtsnormen (Auszug)
gegenwärtigen Gefahr für Leib, Leben, Gesundheit oder Freiheit einer Person oder für
Sachen von erheblichem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, unerlässlich ist und die Datenübermittlung aufgrund eines Ersuchens nicht rechtzeitig erfolgen
kann (Eilfall). Ob ein Eilfall vorliegt, entscheidet der Behördenleiter oder ein von ihm besonders beauftragter Beamter des höheren Dienstes. Die Entscheidung und ihre Gründe
sind zu dokumentieren. Der Zugriff ist unter Hinweis auf die Entscheidung nach Satz 3 zu
protokollieren. Die Behörde, die die Daten eingegeben hat, muss unverzüglich um nachträgliche Zustimmung ersucht werden. Wird die nachträgliche Zustimmung verweigert, ist
die weitere Verwendung dieser Daten unzulässig. Die abfragende Behörde hat die Daten
unverzüglich zu löschen oder nach § 11 Abs. 3 zu sperren. Sind die Daten einem Dritten
übermittelt worden, ist dieser unverzüglich darauf hinzuweisen, dass die weitere Verwendung der Daten unzulässig ist.
(3) Innerhalb der beteiligten Behörden erhalten ausschließlich hierzu ermächtigte Personen Zugriff auf die Antiterrordatei.
(4) Bei jeder Abfrage müssen der Zweck und die Dringlichkeit angegeben und dokumentiert werden und erkennbar sein.
Glossar
Alterungstheorie lassen sich in Evolutions- und Schadenstheorien einteilen. Die Schadenstheorien befassen sich dabei mit dem Umstand wie ein Organismus altert, die evolutionsbezogenen Theorien hingegen warum er altert.
Anatomische Weichteilmarker auch bekannt als Landmarken, repräsentieren definierbare durchschnittliche Weichteildicken an wesentlichen anatomischen Punkten des Schädels.
Antemortal bedeutet „vor dem Tode“.
Blender ist eine Open-Source-Software, die den gesamten Workflow vom Modellieren
über das Texturieren bis hin zur Animation und zum Rendering von 3D-Modellen abdeckt.
Daktyloskopie ist ein Verfahren zur Auswertung von Fingerabdrücken.
Dermis ist die zweite Hautschicht. Bei dieser handelt es sich um eine 2–4 mm dicke,
kollagenreiche Bindegewebsschicht, die sich unterhalb der Epidermis befindet und hauptsächlich aus Fibroblasten besteht.
Epidermis auch Oberhaut genannt, ist ein externes Epithel frei von Blut- oder Nervenversorgung mit einer Größe von etwa 5–100 µm, das eine Grenzschicht zwischen Körper
und Umwelt darstellt.
Extrinsische Hautalterung ist der Alterungsprozess der Haut durch lebenslang einwirkende Umweltprozesse. Zu den extrinsischen Einflüssen zählen vor allem die ultraviolette
(UV) Strahlung, Nikotinkonsum, Infrarotstrahlung und Ozon.
313
314
Glossar
Gesichtsweichteilrekonstruktion ist eine Variante der Auswertung von vorgefundenen
biologischen Spuren und dem daraus abgeleiteten Versuch das äußere Erscheinungsbild
eines unbekannten Toten in einem möglichst realen und lebensnahen Modell nachzubilden.
Hautpigmentierung ist der Schutzmechanismus der Haut vor ultravioletten Strahlen
(UV-A: 320–400 nm und UV-B: 280–320 nm), welche die Haut schädigen können.
Hausdorff-Distanz dient dem Vergleich von zwei Modellen durch Berechnung der Distanz zwischen diesen.
Hypodermis ist die letzte Schicht der Haut, die auch Subkutis genannt wird. Die Hypodermis ist eine lockere Bindegewebsschicht, die die Haut mit darunterliegendem Gewebe
verbindet.
Intrinsische Hautalterung sind natürliche, genetisch determinierte Prozesse die zu dieser führen. Wie bei dem Alterungsprozess des gesamten Organismus spielen auch bei der
Alterung der Haut verschiedene Theorien wie die der freien Radikale sowie die begrenzte
Teilungsmöglichkeit von Zellen durch die Verkürzung der Telomere eine entscheidende
Rolle.
Melanin ist ein Pigment, dass beim Menschen für die Färbung der Haare, Haut und Aderhaut verantwortlich ist.
Melaninsynthese nutzt als chemische Grundsubstanz die Aminosäure Tyrosin. Diese
wird zu Dihydroxiphenylalanin (DOPA) hydrolyisert, welches anschließend zu DOPAquinon oxidiert wird. Beide Reaktionen werden dabei durch das Enzym Tyrosinase katalysiert
und laufen in Phäo- und Eumelanosomen äquivalent ab.
MeshLab ist eine portable und erweiterbare Software für die Verarbeitung und Editierung von unstrukturierten 3D-Punktwolken.
Mimische Muskulatur Der individuelle Charakter eines Gesichtes wird wesentlich
durch die Aktivität der mimischen Muskulatur bestimmt. Die mimischen Muskeln stellen
die oberflächliche Schicht der Muskeln im Gesichtsbereich dar und lassen sich in die
obere und tiefere Schicht gliedern.
Morphognostik ist die Beurteilung von Knochen anhand der sichtbaren Einzelmerkmale.
Glossar
315
Neurocranium auch bekannt als Gehirnschädel besteht aus sieben teils unregelmäßigen
Einzelknochen und dient dem Schutz des Gehirns. Anatomisch lässt dieses sich weiter in
Schädeldach (lat. Calvaria) und Schädelbasis (lat. Basis cranii) unterteilen.
Odontostomatologie ist die Lehre von Struktur, Entwicklung und Anomalien der Zähne.
Im forensischen Kontext wird diese unter anderem für die Identifikation unbekannter Toter
eingesetzt.
Osteologie ist die Lehre von den Knochen. Der Begriff der forensischen Osteologie
bezieht sich auf die Untersuchung und Beurteilung aufgefundener Knochen und Knochenfragmente.
Osteometrie befasst sich mit der Charakterisierung der Form von Knochen durch quantifizierbare Maßzahlen.
Viscerocranium auch bekannt als Gesichtsschädel besteht aus 15y Einzelknochen und
stellt die Grundlage des Gesichtes dar. Der Gesichtsschädel formt die Augen-, Nasen- und
Mundhöhle und bildet somit die Grundlage des Gesichtes. Die Knochen des Gesichtsschädels bestimmen in großem Maß das Aussehen eines Menschen.
VisualSfM ist ein Open-Source-Softwarepaket mit dem aus Mehrbildfotoaufnahmen eines Objektes eine 3D-Punktwolke berechnet und aus diesem ein 3D-Modell erstellt werden kann. Die Bezeichnung Visual ist auf die verfügbare graphische Oberfläche zurückzuführen, Structure from Motion (SfM) hingegen bezeichnet den automatischen Prozess, der
die räumliche Struktur der Objekte aufgrund von korrespondierenden Merkmalen in den
Aufnahmen erkennt.
Sachverzeichnis
3D-Modell, 61, 66, 67, 70, 74–77, 79–81, 85,
86
3D-Punktwolke, 66, 67, 71, 72
3D-Rekonstruktion, 3
3D-Szenen, 15
A
Abhören, 277
Abstammungsanalyse, 94
abtastorientierte Codierung, 221
AccessData, 130
Accountinhaber, 298
Administratorenrechte, 286
Adressbuch, 273
Adware, 202
AFF-Format, 129
Affinity Propagation, 253
AFIS, 40
Ähnlichkeit, 241
akustische Forensik, 215
Allel, 93
Allelfrequenz, 98
allgemeines Persönlichkeitsrecht, 275, 276
Amelogenin, 91
Amtsermittlungsgrundsatz, 283
Anbieterserver, 296
Anfangsverdacht, 267, 276, 279, 293
Anhaltspunkte, 293
zureichende tatsächliche, 267
Anklageschrift, 21
Annährungsort, 8
Anonymität, 163
Anti-Debugging, 209
Antiterrordatei, 265, 295
Antiterrordateigesetz, 295
Anubis, 206
Archiv, 273
ARPANET, 4
Assoziationsanalyse, 243
Assoziationslernen, 244
Audibility Analysis, 217
Audioforensik, 215
audioforensische Identifikation, 215
Audiosignale, 215
Aufzeichnung der Telekommunikation, 285
Auskunftspflicht, 278
Ausland, 278
Authentifizierung, 32
B
Backdoor, 201
Backdoor-Programm, 288
Bacteria, 201
Benachrichtigungspflicht, 280
Beschlagnahme, 266, 278, 279
Beschlagnahme von Gegenständen, 276
Beschluss, 276
Beschuldigte, 276, 278
Beschuldigtenrecht, 274
Beweis, 20
Beweisaufnahme, 272
Beweisbedeutung, 272
Beweislastverteilung, 20
Beweismaterial, 288
Beweismittel, 265–267, 272, 290, 295
Beweissicherung, 298
Beweisverbot, 273
Beweisverwertung, 294
Beweisverwertungsverbot, 278, 279
Beweiswert, 273, 289
Beweiswürdigung, 272
Beweiszweck, 295
317
318
Bibliothek, 273
Big Data, 12
Biometrie, 26
Bitcoin, 156
Bitcoinnetzwerk, 156
bitgenaue Kopie, 118
BKA, 52
Black-Hats, 4
Blender, 15
Blockchain, 158
Blocksynchronisation, 235
Bootstrapping, 183
Bot, 202
Botnet, 202
Brief-, Post- und Fernmeldegeheimnis, 266
Browser-Cache, 143, 145
Bundestrojaner, 286
Bundesverfassungsgericht, 280, 287
C
Canny-Algorithmus, 33
Carving, 137
Chat-Dienste, 277
chemischer Fingerabdruck, 51
Clarke-Winkel, 35
Clickbaiting, 202
Cloud, 279
Cloud Computing, 295, 296
Cloudanbieter, 279
Cloudspeicher, 147
Cloud-Storage-Dienst, 279
Cluster, 136
Clusteralgorithmus
Affinity Propagation, 253
c-Means, 245
fuzzy, 251
Neural Gas (NG), 246
protoypbasiert, 245
Self-Organizing Map (SOM), 248
vektoriell, 245
Clustern, 240
c-Means, 245
Code Transposition, 209
Cohens Virus, 199
cold cases, 89
Cold-Booting, 121
Command-and-Control-Server, 203
Computerforensik, 113
computergestützte Kriminalität, 294
Sachverzeichnis
Computerkriminalität, 297, 298
Cracking, 4
Creeper, 199
CSI-Effekt, 2, 25
Cuckoo, 206
Cybercrime, 2
Cyber-Crime-Convention, 297
Cybercrimedelikt, 10
Cybercrimekonvention des Europarates, 298
Cybermobbing, 3
Cyberspace, 3, 8
D
Daktyloskopie, 40
Dateinamen, 271
Dateisignatur, 140
Daten
-analyse, 126
elektronische, 266
-kategorien, 136, 140
Kommunikation, 266
kopieren, 270, 271, 273, 291
nichtvektoriell, 241, 258
-rekonstruktion, 141
-remanenz, 121
-sicherung, 127
-sicherungsprozess, 119, 132
-spur, 115
-übertragung, 268
unstrukturiert, 170
vektoriell, 240, 258
Datenähnlichkeit, 240
Datenanalyse, 243
Datenbank, 94
AFIS, 54
DAD, 52
dbGaP, 102
DBGV, 102
dbSNP, 102
Eurodac, 55
GWAS Central, 102
IBIS, 53
NCBI, 102
PDQ, 53
SoleMate, 54
TreadMate, 54
ViCLAS, 52
YHRD, 101
Datenbanken, 52
Sachverzeichnis
Dateninhaber, 297
Datenschutz, 266
Datenspeicherung, 296
Datenstrukturen, 240
Datenträger, 266
CD, 266, 276
Disketten, 266
DVD, 266
Festplatte, 266–268, 270, 276, 278, 295
extern, 268, 278, 296
Memory Sticks, 266
separat, 270
-sicherung, 129
Speicherkarten, 266
USB, 266
USB-Stick, 296
Datenübermittlung, 279
Datenverlust, 289
Datenvisualisierung, 250
Daugman-Algorithmus, 38
dd, 130
ddrescue, 130
dead analysis, 125
Dead-Code Insertion, 209
Debug Interrupts, 209
Decryptor Loop, 207
Dekodieren, 297
Dellingers Virii, 199
Dependency Walker, 211
dezentralisierbare Daten, 296
dezentralisiert, 296
digitale Signalsynthese, 226
digitale Spur, 114, 116
digitalisierte Spuren, 3
Distanz
euklidische (quadr.), 242
euklidische (skaliert), 242
Informationsdistanz, 242
Levenshtein, 242
DNA
allgemein, 89
degradierte, 97
Intelligenz, 95
low-template, 97
Marker, 92
mtDNA, 91
Profil, 90
Satelliten, 94
Dokumentationspflicht, 295
319
DOS/Cascade, 207
Doyle, 19
Draper, 3
dringender Tatverdacht, 276
Drive-Slack, 132
Drohne, 81
Dropbox, 148, 279, 297
Dropper, 202
Dropzone, 203
DumpIt, 122
Durchsicht, 278
Durchsuchung, 266
Durchsuchung bei Dritten, 276
Durchsuchungsbeschluss, 296
E
einfache Verdacht, 276
Eingriffsbefugnisse, 274
Eingriffsvoraussetzung, 293, 294
elektronische Speichermedien, 297
elektronische Terminkalender, 288
elektronischer Datenträger, 296
Elektropherogramm, 91
Elk Cloner, 199
E-Mail, 268, 277, 295
E-Mail-Postfach, 269
E-Mail-Verkehr, 277
Endgerät, 269, 287
GSM, 285
UMTS, 285
Entropie, 138, 208
Entschlüsselungssoftware, 288
Entwurf-Ordner, 278
Entwurfstadiums, 277
ePass, 31
Ereignisort, 8
Erfahrungswissen, 283
Ermittlungsansatz, 295
Ermittlungsbefugnisse, 294
Ermittlungsbehörden, 271, 287, 290, 291, 297
Ermittlungsgeneralklausel, 287
Ermittlungspersonen, 276
euklidische Distanz
quadratisch, 242
skaliert, 242
Europäische Union, 298
Europarates, 297
EVCs, 103
Event Sequence Analysis, 218
320
EWF-Format, 129
ewfquire, 131
externe Server, 278
externe Speichermedien, 296
F
Fahrzeughacks, 12
Fax, 268
Fernmeldegeheimnis, 278–280
Fernmeldeverkehr, 280
Fernschreibdienst, 277
File-Slack, 132
Fingerabdruck, 39
CCD-Sensor, 41
Minutien, 43, 48
Offline-System, 41
Online-System, 41
Papillarlinien, 40
Siliziumsensoren, 41
Ultraschallwellsensoren, 42
FKTImager, 130
FLARE Toolkit, 211
FLIRT, 211
flüchtige Spuren, 9
Forensic Science, 5
forensically sound, 120
Forensik, 5, 92
forensische Dateiformate, 128
forensische Wissenschaft, 1
Fork-Bomb, 202
Formantanalyse, 225
Formantfrequenzen, 229
Formspuren, 28
Fotogrammetrie, 16
Fouriersynthese, 226
fragmentarischer Strafrechtsschutz, 292
Freefloat FTP, 205
Frequency Domain Scrambling, 231
Frequenzspektrum, 223
Funktion
identische Funktion, 257
Sigmoidfunktion, 257
Transferfunktion, 257
Funkzelle, 281
Fußabdruck, 33
Fuzzy-Methoden, 239, 251
G
Gefahr in Verzug, 276
Sachverzeichnis
Gefahrenabwehr, 265, 267
Gegenstandsspuren, 28
Geheimhaltungsinteresse, 266
Gennat, 3
Genotypisierung, 90
Genvarianten, 100
Gerätekennung, 285, 287
Gericht, 280
gerichtliche Beschlagnahmeanordnung, 276
Gesetzesvorbehalt, 276
Gesichtsmerkmale, 67, 70, 74, 77, 79
Gesichtsweichteilrekonstruktion, 62, 64
computergestützt, 61, 66, 69, 71, 79
Definition, 59, 60
klassisch, 61, 65, 79
Prozessüberblick, 70
Geständnis, 275
Grey-Hat, 4
Grundrechte, 274, 291
Grundrechtseingriff, 291
grundrechtsgleiche Recht auf Gewährleistung
der Vertraulichkeit und Integrität
informationstechnischer Systeme, 289
grundrechtsgleiche Recht auf informationelle
Selbstbestimmung, 281, 284
Grundrechtsschutz, 281, 290
guymager, 131
H
Hacker, 3
Hackerattacke, 3
Hacking, 3
Haplogruppe, 101
Haplotyp, 101
Hardware Damaging Malware, 202
Hash, 270
Hashfunktion, 126
Hash-Verfahren, 13
Hauptverhandlung, 276
heimliche Ermittlungsmaßnahmen, 292
heimliche Überwachungsmaßnahme, 274
heimlicher Zugriff, 278
Herausgabe, 280
Herausgabeverlangen, 270
Herunterladen, 277
Hoheitsbefugnisse, 298
Hoheitsgebiet der Bundesrepublik Deutschland,
296
Hör- und Sprachverständlichkeit, 217
Sachverzeichnis
Hype-Cycles, 12
Hypothesenzyklus, 11
I
IDA Pro, 211
Identifikation, 26
identische Funktion, 257
Identitätsklau, 3
If-A-New Infektion, 210
Image, 13, 270
IMEI, 285, 287
IMSI, 287
In Code Integration, 209
Indizien, 21
Information
elektronisch gespeichert, 266
informationelle Selbstbestimmung, 294
Informationsdistanz, 242
Informationsextraktion, 177
Definition, 173
ontologiebasiert, 173
Informationsgehalt, 274
informationstechnisches System, 293
Informationstechnologie, 270
Inhalte
private, 273
INPOL, 52
Instant-Messaging, 150
Instruction Substitution, 209
internationale Terrorismus, 295
Internet, 291
Internetprotokoll, 277
Internettelefonie, 277, 286
intranationale Geltung, 298
Inverwahrungnahme, 276
IP-Adresse, 281, 287
Iris, 36
Code, 38
Iriserkennung, 36
Irismuster, 36
IT-Forensik, 114, 117
J
John Aycock, 201
juristischen Wissenschaft, 17
K
Kapillarelektrophorese, 91
Katalogtat, 267, 280
321
Kategorizierung
Text, 182
Ken Thompson, 202
Kennungsdaten, 298
Kernbereich privater Lebensgestaltung,
273–275, 283, 284, 293
Kernbereichsschutz, 280
Klassifikation
Learning Vector Quantization (LVQ), 256
prototypbasiert, 255
Support-Vektor-Maschine (SVM), 260
vektoriell, 255
Klassifikationslernen, 243, 258
Klassifikationsmodell, 243, 255
Klassifizieren, 240
kodiert, 287
Kollisionsresistenz, 126
Kolmogorov-Komplexität, 242
Kommunikationsvorgang, 281, 286
Konversation
Bewertung, 193
Detektion, 190
Kopierbarkeit, 9
Kopierprogramm, 288
Korrelationsähnlichkeit, 242
Kreditkartennummer, 288
Kriminalistik, 5
Kriminalprävention, 6
Kriminaltaktik, 5
Kriminaltechnik, 6
Kriminalwissenschaft, 5
kriminelle Netzwerke, 291
kriminelle Vereinigungen, 291
Kriminologie, 6
künstliche Neuronale Netze, 239
KY-Index, 35
L
Längenpolymorphismen, 94
STR, 91
Lauschangriff, 290
Learning Vector Quantization (LVQ), 256
leitungsgebundene Übermittlung, 277
Lempel-Ziv-Algorithmus, 243
Levenshtein-Distanz, 242
LIME, 122
Live-Response-Analyse, 119
Locard, 2, 18
Locard’sche Prinzip, 28
322
Logic Bomb, 201
lokale Rechner, 278
Lokus, 91
Löschungspflichten, 294
M
Mailbestand, 278
Mailbox-Betreiber, 285
Mailpot, 205
Maltego, 154, 155
Malware Builder, 203
Manipulation, 289
Manipulierbarkeit, 9
Massenkommunikationsmittel, 291
Maßnahme
mildere, 270, 290
Materialspuren, 28
MD5, 126
Menschenwürde, 274, 275, 292
Messengerdienst, 150
Metamorphie, 206
Mikrocontroller, 235
MIT, 3
Mixer, 164
Mobile Network Analyzer, 188
Mobilfunk, 277, 281, 291
Mobilfunkbetreiber, 285
Mobiltelefon, 266, 285, 288
Molekulargenetik, 89
Morphotyp, 100
Morris-Wurm, 199
Multilingualismus, 175
Mustererkennung, 240
N
Nachrichtendienst, 295
Nachrichtenübermittlung, 268
Vorgang, 269
Namenskonventionen für Malware, 205
Netzwerk, 296
Neural Gas (NG), 246
neuronale Netze (künstliche), 239
NGS, 91
Nichtbeschuldigten, 276
nichtvektorielle Daten, 241, 258
Nichtverdächtige, 284
Nullhypothese, 14
numerus clausus, 281
Sachverzeichnis
O
Obfuscation, 208
Odroid, 205
Offener Zugriff, 278
Offline-Entwurf, 278
Oligomorphie, 206
Online-Dienste, 285
Online-Durchsuchung, 21, 265, 278, 286, 288,
290, 293, 294, 296
Ontologie, 172, 179
Open-Source-Software, 13, 16, 61, 66, 69, 70,
78–81
Blender, 67, 74, 75, 77, 79–81
CMPMVS, 66, 71, 72, 80
MeshLab, 66, 67, 74
Oberflächenrekonstruktion, 66, 71, 72, 74
VisualSfM, 66, 71, 72, 80
Order of Volatility, 117
Ordnungsgeld, 285
Ordnungshaft, 285
Organisationssystem, 19
OSINT, 154
P
Partition-Slack, 134
Partitionstabelle, 134
Passwort, 288
passwortgeschützt, 278, 279
Payload, 201
PCR, 89
PEdump, 210
Peer-to-Peer, 156
persistente Daten, 9
PEview, 210
Phänotyp, 95
HIrisplex, 97
IrisPlex, 96
Physiognomie, 33
Physische Medienanalyse, 132
Polizeibeamte, 276
polizeiliche Ermittlungsbeamte, 280
Polymorphie, 206
Popper, 18
Post- und Fernmeldegeheimnis, 268, 276
Postbeschlagnahme, 278–280
Post-mortem-Analyse, 125
präventiv-gefahrenabwehrrechtliche
Online-Durchsuchung, 293
Predictive Policing, 2, 13
Sachverzeichnis
Process Monitor, 206
Processexplorer, 206
Profiling, 2
Prototyp, 240, 244
prototypbasierte Klassifikation, 255
prototypbasierte Methoden, 240, 244
prototypbasierter Clusteralgorithmus, 245
Prototypenadaption, 244
Provider, 268, 269, 278–281
E-Mail, 277, 278, 280
Internet-Access, 285
Prüfsumme
kryptographische, 270
Q
quadratische euklidische Distanz, 242
Quellen–Telekommunikationsüberwachung,
286
R
Rabbit, 201
RAM-Slack, 132, 133
randotypisch, 31
Ransomware, 202
Rat, 201
Raub, 282
RAW-Format, 128
Rechner, 266
Rechtshilfeersuchen, 278, 297
Rechtsmittel, 21
Rechtsschutzmöglichkeiten, 276
Rechtsstaat, 293
Rechtssystem, 17
Register Reassignment, 209
Regressionsanalyse, 243
Regressionslernen, 244
Relevanzlernen, 258
Relevanzprofil, 259
Remote Forensic Software, 286
Richtervorbehalt, 292
Rootkit, 201
Ruhen der Telekommunikation, 279
S
Sachverhaltsermittlung, 283
SAP, 10
Scalpel, 139
schwere Straftat, 277, 281
Schwerkriminalität, 274
323
Schwerstkriminalität, 292
Script Kiddies, 4
Selbstbelastungsfreiheit, 285
Self-Organizing Map (SOM), 248
Semantik, versteckt, 172, 179
semipersistente Daten, 9
Sequenzpolymorphismen, 94
Server, 280, 290
SHA1, 126
SHA2, 126
Sicherstellen, 278
Sicherstellung, 267
Sicherstellungsanordnung, 298
Sicherung digitaler Spuren, 118
Sicherungskopien, 270, 271
Sicherungsstrategie, 120
SIFT, 66, 72
Sigmoidfunktion, 257
SIM-Karte, 285
Singularitäten, 43
Delta, 43
Schleife, 43
Wirbel, 43
Situtionsspuren, 28
Skype, 286
Slackbereich, 133
Sleuth Kit, 134
Smartphones, 266
SMS, 186, 268
inkriminiert, 187
SNPs, 91
AISNPs, 94
IISNPs, 94
LISNPs, 94
PISNPs, 95
Speicherabbild, 118, 120
Speichermedien, 278, 293
Speichern, 277
Spektrogramm, 223
Spionage-Software, 278
Sprachnachrichten, 268
Sprachübertragung, 286
Spur, 8, 17
Spurenansatz, 295
Spurenkunde, 90
Spyware, 202
SQLite, 144, 152
staatliche Kontrolle, 292
Staatsanwaltschaft, 20, 276, 280, 285
324
Standardschnittstelle, 285
Strafantrag, 284
Strafanzeige, 284
strafrechtliches Ermittlungsverfahren, 284
Straftat
schwere, 269, 282
Straftatenkatalog, 282
Strafverfahren, 20
Strafverfolgung, 267, 280, 293, 295
Strafverfolgungsbehörde, 278, 285, 291
Stuxnet, 202
Subroutine Reordering, 209
Subsidiaritätsgrundsatz, 295
Subsidiaritätsklausel, 283
Support-Vektor-Maschine (SVM), 260
Surfverhalten, 288
Sysinternals Suite, 206, 210
Systemdaten, 9
T
Tagebuch, 273
Tagebuchaufzeichnungen, 275
tamper-evident, 119
Tatablaufsimulation, 14, 19
Tatbegehung, 20
Täter, 269, 271, 277, 283, 285, 291, 292
Täterschaft, 20
Täterschutz, 274, 294
Tatmittel, 291
Tatort, 2, 7, 113, 291
Tatortrekonstruktion, 79–81
computergestützt, 79, 80
Tatrekonstruktion, 14
Tatverdacht, 292
Anfangs-, 284
Tatverdächtiger, 266
Tatvorwurf, 272
Teilnehmer, 269, 277
Anstifter, 269, 277
Gehilfe, 269, 277
Mittäter, 269, 277, 288
Teilnehmeridentifikationsnummer, 287
Telefaxdienst, 277
Telegramme, 277
Telekommunikation, 278
Gerät, 268
Vorgang, 268, 269, 278–281, 287
Telekommunikationsdienst, 287
Telekommunikationsdienstleister, 285
Sachverzeichnis
Telekommunikationsgesetz, 277
Telekommunikationsüberwachung, 276, 293
Telekommunikationsunternehmen, 284, 285
territoriale Souveränität, 298
Terrorismusbekämpfung, 267, 294
Terroristen, 291
Text
forensisch, 172
inkriminiert, 170
TK-Diensteanbieter, 279
TK-Dienstleister, 278
TK-Vorgang, 279
Top-Down-Prozess, 16
Topic Map, 175
Totanalyse, 125
Transferfunktion, 257
Trojaner, 201, 288
Trojanisches Pferd, 288
Trowing Star LAN Adapter, 204
Typisierung, 91
U
UAV, 12
Übereinkommen über Computerkriminalität,
278
Überführung, 297
überragend wichtiges Rechtsgut, 294
überwachtes Lernen, 244
Überwachungsmaßnahme, 283
Unähnlichkeit, 241
unsauberer Jump, 210
Unschuldsvermutung, 267
unüberwachtes Lernen, 244
Unverletzlichkeit der Wohnung, 290
unverschlüsselte Daten, 286
UPX, 207
Urheberrecht, 271
V
vektorielle Daten, 240, 258
vektorielle Klassifikation, 255
vektorieller Clusteralgorithmus, 245
Vektorquantisierung, 244, 255
Verbrechen, 7
verdeckter Zugriff, 280
Verdunkelungsgefahr, 288
verfahrensrelevante Informationen, 274
Verhältnismäßigkeitsgesichtspunkt, 270, 271,
275
Sachverzeichnis
Verhältnismäßigkeitsgrundsatz, 267, 275, 276
Verhältnismäßigkeitsprüfung, 275
Verifikation, 26
Verkehrsdaten, 281, 287
Vernehmungsmethode, 22
verschlüsseln, 271
Vertragspartei, 298
viktimodogmatisch, 282
Virtualisierung, 121
virtuelle Spuren, 8
Virus, 201
Virus-Total, 205
Visualisierung, 248
Voice over IP, 277
Voice-over-IP-Kommunikation, 286
Vokaltrakt, 228
Volatility Framework, 123
völkerrechtlich, 298
Vorbereitungsort, 8
vorläufige Datensicherung, 278
W
Wahrscheinlichkeit, 17
Wandboard, 205
Webdienst, 297
Webmail-Service, 277
Weichteilmarker
anatomische, 61, 62, 65, 68, 74, 77
325
Weysflog-Index, 35
WhatsApp, 151, 152
White-Hats, 4
WikiLeaks, 4
Wirtschaftsstraftäter, 291
Wissenschaft, 17
Wohnraumüberwachung
akustische, 275, 290, 295
visuelle, 295
Wohnungsdurchsuchung, 289
Wurm, 201
X
Xbox-Kinect, 16
Xerox Worms, 199
Z
Zeittransposition, 233
Zeus Trojaner, 203
Zufallserkenntnisse, 295
Zugangsdaten, 288
Zugangsgerät, 297
Zugangskode, 297
Zugangssperre, 288
zureichende tatsächliche Anhaltspunkte, 284
zwischengespeichert, 278
Zwischenspeicher, 269, 277
springer.com
Willkommen zu den
Springer Alerts
••
Unser Neuerscheinungs-Service für Sie:
aktuell *** kostenlos *** passgenau *** flexibel
Springer veröffentlicht mehr als 5.500 wissenschaftliche Bücher jährlich in
gedruckter Form. Mehr als 2.200 englischsprachige Zeitschriften und mehr
als 120.000 eBooks und Referenzwerke sind auf unserer Online Plattform
SpringerLink verfügbar. Seit seiner Gründung 1842 arbeitet Springer
weltweit mit den hervorragendsten und anerkanntesten Wissenschaftlern
zusammen, eine Partnerschaft, die auf Offenheit und gegenseitigem
Vertrauen beruht.
Die SpringerAlerts sind der beste Weg, um über Neuentwicklungen im
eigenen Fachgebiet auf dem Laufenden zu sein. Sie sind der/die Erste,
der/die über neu erschienene Bücher informiert ist oder das Inhaltsverzeichnis des neuesten Zeitschriftenheftes erhält. Unser Service ist
kostenlos, schnell und vor allem flexibel. Passen Sie die SpringerAlerts
genau an Ihre Interessen und Ihren Bedarf an, um nur diejenigen Information zu erhalten, die Sie wirklich benötigen.
Mehr Infos unter: springer.com/alert
A14445 | Image: Tashatuvango/iStock
Jetzt
anmelden!