Verbinden   

Header-Bild



Kontakt/Status
 Index  Zurück   Suche   Projekt 

Index

Zurück

Suche

Projekt

Galerie

Blog

Language

Kontakt


Change Language Bild-Forensik
Mehr erfahren...
 
Error Level Analyse

2


Einleitung

Eines der Problemfelder im Rahmen der digitalen Bildforensik ist die Erklärung von technischen Sachverhalten, die für Laien jedoch kaum verständlich sind. Auch wenn der Nachweis einer Manipulation völlig eindeutig ist, sind rein technische Abhandlungen für die breite Masse nicht nachvollziehbar. Es besteht dabei die Gefahr, dass mit ausufernd komplizierten Beschreibungstexten die Akzeptanz für derartige Erklärungen verloren geht. Im schlechtesten Fall kann dies eine offensiv ablehnende Haltung hervorrufen.

Die bislang am ehesten akzeptierte und weitläufig verständliche Methode, die auch für Laien viele Ansatzpunkte liefert, ist das Aufspüren von simplen Bildkompositionen, die sich mittels der umgekehrten Bildsuch-Funktion der großen Suchmaschinen-Anbieter auffinden lassen. Zu sehen, wo genau und auf welche Weise eine Manipulation durchgeführt wurde, wird allgemeinhin am ehesten als eindeutiger Nachweis akzeptiert.

Für Aufklärungsarbeiten, die die Allgemeinheit mit einbeziehen, ist Visualisierung eines der wirksamsten Mittel. Sie muss aber nicht die Beste sein. Eine visuelle Methode, die in der Bildforensik Einzug gefunden ist die sog. Error-Level-Analyse. Allerdings besteht hier die Gefahr einer fehlerhaften Anwendung. Der Einsatz der ELA-Methodik muss stets überlegt sein.



Die ELA-Analyse

Die Error-Level-Analyse setzt auf die Eigenschaft jener Bildformate auf, die auf verlustbehafteter Bildkompression beruhen. Mithilfe dieser Methode können Bereiche eines Bildes hervorgehoben werden, die unterschiedliche Kompressionsgrade aufweisen. Vor allem beim JPEG-Format, einem der meist genutzten Bildformate im Internet, lässt sich die Methode besonders gut anwenden. Die Vorgehensweise ist dabei überraschend einfach.

Zum besseren Verständnis ist es nötig, die Funktionsweise bei der Erzeugung von Bildern im JPEG-Format zu verstehen. JPEG verwendet eine verlustbehaftete Bilddaten-Kompression. Jeder erneut durchgeführte Kodierungsvorgang (Neues Abspeichern) am Bild führt zu weiteren Qualitätverlusten des Bildes. Der JPEG-Algorithmus fusst dabei auf einem 8x8 Pixelgitter. Jedes der 8x8 Quadratgitter wird dabei separat für sich behandelt und komprimiert. Wenn das Bild völlig unberührt ist, dann weisen all diese 8x8 Quadradgitter dasselbe Fehlerstufen-Potential auf.

Wird ein JPEG Bild erneut abgespeichert, dann sollte sich jedes Quadrat um ungefähr dasselbe Niveau weiter "reduzieren". Beim ELA-Verfahren wird die zu untersuchende Bildvorlage bei einem bestimmten JPEG Qualitäts-Level (z.B. bei 75%) abgespeichert. Das erneute Abspeichern führt zu einem bekannten Kompressionsgrad, das sich über das gesamte Bild erstreckt. Das neu abgespeicherte Bild wird dann mit dem ursprünglichen Bild verglichen. Das menschliche Auge würde allerdings kaum eine Veränderung feststellen. Deswegen visualisiert die ELA-Darstellung im Speziellen nur die Differenz zwischen beiden Bilder. Damit zeigen sich auf dem resultierenden ELA-Bild die unterschiedlich stark ausgeprägten Kompressionspotentiale.

Bild
Zum Vergrößern auf das Bild klicken

Als Methode zum Aufspüren von Manipulationen in JPG-Bildern steht die Idee, dass wenn ein Bild verändert wurde, dann auch jedes 8x8-Quadrat, dass von der Änderung betroffen ist, ein höheres Fehlerstufen-Potential aufweist, als der Rest des Bildes.

Der Begriff Error Level lässt sich nicht direkt übersetzen und bezeichnet im Grunde auch keine Fehlerstufen, sondern unterschiedliche Stufen von Abweichungen. Im deutschen Sprachgebrauch findet sich dennoch häufig die Bezeichnung "Fehlerstufen". Dies ist allerdings missverständlich und sollte so besser nicht verwendet werden. Was man im Endergebnis sieht, ist eine visuelle Hervorhebung jener Bereiche, die unterschiedliche Kompressionspotentiale aufweisen.



Fallbeispiele

Auch ohne Manipulationen an einem Bild weist die ELA-Ansicht bei Originalbildern unterschiedlichste Merkmale auf, die sehr deutlich zum Vorschein treten. Mit diesen natürlichen Merkmalen muss man vertraut sein, will man später in der Lage sein, auf diese Weise Manipulationen nachzuweisen. (Dass die Error-Level-Analyse jedoch auch Limitierungen besitzt, wird in den nachfolgenden Kapiteln erläutert.)

Die ELA-Darstellung hebt die unterschiedlichen Kompressionspotentiale in einem Bild hervor. Bereiche mit einheitlicher Farbgebung, wie etwa ein wolkenfreier blauer Himmel oder eine strahlend weiße Wand zeigen ein dunkles ELA-Ergebnis gegenüber stark kontrastreichen Kantenbereichen, die sehr viel heller in Erscheinung treten.

Bild
Zum Vergrößern auf das Bild klicken

Homogene Bildbereiche, wie etwa der Himmel auf dem Beispielphoto mit dem Kolosseum, lassen sich effizient komprimieren. Aufgrunddessen ist das Kompressionspotential bei einem erneuten Kompressionsdurchlauf bzw. bei einem neuen Abspeichern nur noch gering und resultiert in einer dunkleren Farbgebung auf einer ELA-Darstellung. Hingegen enthalten unregelmäßige Muster, feine Konturen und komplexe Farb- und Helligkeitsverläufe nur wenige Redundanzen, die sich nicht so gut zusammenkürzen lassen.

Das wiederholte Abspeichern eines JPG-Bildes entfernt die hoch-frequenten Anteile eines Bildes und verringert die Unterschiede zwischen stark kontrastreichen Kanten, Texturen und Flächen. Ein JPG-Bild, dass in niedrigster Qualitätsstufe gespeichert wird, erscheint dementsprechend noch sehr viel dunkeler als bei höheren Qualitätsstufen.

Bild
Zum Vergrößern auf das Bild klicken

Eine JPEG-Datei, die aufgrund statistischer Auswertung des jeweiligen Bildinhaltes eine maßgefertigte Huffman-Tabelle erzeugt, bezeichnet man als optimierte JPEG. Die von Digitalkameras erzeugten Aufnahmen sind allerdings nicht auf diese Weise optimiert. Originalaufnahmen von Digitalkameras sollten stets nach einem erneuten Abspeichern einen hohen Grad von Veränderungen aufweisen und damit relativ helle Bereiche in der ELA-Darstellung besitzen. Die sehr dunkle ELA-Darstellung im Beispiel mit der Kolosseumaufnahme, die in geringer Qualitätsstufe abgespeichert wurde, ist ein klar erkennbarer Hinweis darauf, dass dies in keinem Fall eine originale JPEG-Datei sein kann, die direkt von der Kamera geladen wurde.

Die folgende Beispielserie zeigt exemplarisch, wie ein eindeutiger Manipulationsnachweis mittels ELA-Methodik aussehen kann. Auch ohne im Besitz des Originalbildes (A1) zu sein, lässt sich durch die ELA-Darstellung aufzeigen, wo im Bild eine Manipulation stattgefunden hat (A4).

Bild
-
A1. Originalaufnahme von einem Regal mit verschiedenen DVD-Titeln.
-
A2. Die aus dem Originalbild abgeleitete ELA-Darstellung. Diese zeigt hier ein sehr gleichmäßiges und helles Bildrauschen auf. So wie man es bei einem Originalbild mit einem solchen Motiv erwarten kann.
-
A3. In der oberen Mitte wurde ein quer liegender DVD-Titel mit dem fiktiven Cover von Rambo 5000 eingesetzt.
-
A4. ELA-Ergebnis der manipulierten Foto-Aufnahme. Die manipulierte DVD-Hülle sticht mit einem anderen Komprimierungspotenial deutlich aus der Menge der benachbarten Hüllen hervor. Es gibt natürlichen keinen Grund, warum dieses DVD-Cover so dunkel erscheint. Es existieren auch andere vergleichbare Cover-Titel, die dennoch ein einheitliches helles Bildrauschen vorweisen. Die Manipulation am Bild lässt sich hier sehr klar nachweisen.

Zum Vergrößern einen der Bildausschnitte anklicken

JPG-Bilder, die in niedrigster Qualitätsstufe (bzw. mit maximaler Kompression) abgespeichert werden, erscheinen in der ELA-Darstellung sehr dunkel (Beispiel B2). Fügt man in ein solches Bild kopierte Elemente aus einer Bildvorlage ein, die in höherer Qualitätsstufe vorlagen, dann wird dies in der ELA-Darstellung (B4) durch die sehr viel helleren Bereiche überaus deutlich. Diese kopierten Elemente weisen in der ELA-Darstellung ein deutlich höheres Kompressionspotential im Gegensatz zum Rest des Bildes auf.

Bild
-
B1. Diese Bildversion ist eine erneut abgespeicherte Kopie des DVD-Set-Beispiels, allerdings mit geringer Qualitätsstufe.
-
B2. Die ELA-Ansicht präsentiert sich hier wesentlich dunkler, gegenüber den ELA-Ansichten aus der Bildserie A.
-
B3. In diesem Bild wurden im rechten Teil zwei kopierte DVD-Cover über vorhandene Cover gelegt. Die kopierten Elemente stammen aus einer anderen Vorlage, die jedoch mit höherer Qualitätsstufe abgespeichert wurde.
-
B4. ELA-Ergebnis der manipulierten Foto-Aufnahme. Die manipulierte DVD-Hülle sticht mit einem anderen Komprimierungsgrad deutlich aus der Menge der benachbarten Hüllen hervor.

Zum Vergrößern einen der Bildauschnitte anklicken

Manipuliert - ja oder nein? Nicht immer lässt sich eine klare Antwort geben. Beispielbilder, wie die oben gezeigten, weisen die gezielte Manipulation am Bild klar auf. Doch nur in speziellen Fällen wie diesen vermag die ELA-Methodik ihre Stärken aufzuzeigen. Allerdings lassen sich auch sehr schnell ihre Grenzen aufzeigen.



Der Fall Bellingcat

Ein Vorfall, der beispielhaft aufzeigt, wie die ELA-Methodik in manchen Fällen zu leichtfertig eingesetzt werden kann, zeigt der Bellingcat-Report Externer Link, der Beweise zur Manipulation von Fotos zum Absturz des "Malaysia Air"-Fluges MH17 von Seiten Russlands vorlegen will. Am ersten Juni 2015 hatte die Nachrichten-Seite Spiegel.de als Titelaufmacher einen Artikel Externer Link mit den Ergebnissen aus dem Bellingcat-Report veröffentlicht.

Schon kurz danach musste die Spiegel-Redaktion nach heftiger Kritik eine relativierende Gegendarstellung Externer Link veröffentlichen und Fehler bei der journalistischen Recherchearbeit eingestehen. Unter anderem fliesst in dem Artikel die Bewertung des deutschen Bildforensiker Jens Krise mit ein, der in einem entsprechenden Interview Externer Link sich sehr kritisch zum Bellingcat-Report äussert.

Auch der amerikanische Forensik-Experte Dr. Neal Krawetz (Gründer des Online-Dienstes FotoForensics.com) wird zu diesem Fall mit der Aussage zitiert, dass Bellingcat Kaffeesatzleserei betreibt. Was genau ist am Bellingcat-Report zu kritisieren?

Der Bellingcat-Report basiert auf mehr als nur den Deutungen der ELA-Ergebnis-Darstellungen. Wesentliche Bestandteile der Analyse gehen auf die nachvollziehbare Veränderung von Vegetation-Spuren auf den verschiedenen Satellitenfotos ein, sowie auf Unstimmigkeiten, zu der dazu gehaltenen russischen Pressekonferenz.

Nachweisen lässt sich, dass die herausgebenen Satellitenfotos falsch datiert sind und durch die Software Adobe Photoshop CS5 digital verändert wurden. Letzteres ist allerdings eine logisch zwingende Folge, da auf den veröffentlichten Aufnahmen erklärende Texte und Markierungen eingefügt wurden. Für diese Einsetzungen ist es nun mal notwendig ein Bildbearbeitungsprogramm einzusetzen.

Wie nun der Bellingcat-Report insgesamt in seinen Schlussfolgerungen zu bewerten ist, ist dem Leser zu überlassen. Der Bellingcat-Report wird hier nur hinsichtlich des Umgangs mit der ELA-Methodik betrachtet, die einen wesentlichen Anteil des Reports ausmachen. Gezeigt werden soll, dass Darstellungsresultate, die mittels ELA-Methodik erzeugt werden, sehr leicht zu kritischen Fehldeutungen und Überinterpretation der Ergebnisse führen können.

In den Ausführungen des Bellingcat-Reports werden mittels Error-Level-Analyse aus einem der veröffentlichten Satellitenfotos die Bereiche, die unterschiedliche Komprimierungsgrade aufweisen, mit Buchstaben markiert (A bis E). Insbesondere soll damit auch auf die unterschiedlichen Komprierungsgrade der rechten Wolkenformation (Bereich D) und den sichtenbaren Bodenmerkmalen in der Mitte (Bereich C) hingewiesen werden. Diese Unterschiede werden dadurch erklärt, dass nachträglich eine Wolkenformationen in die Aufnahme eingesetzt wurde, um kompromittierende Inhalte zu verdecken. Die Abbildung zeigt im linken Abschnitt die von der Webseite des russischen Verteidigungsministeriums veröffentlichte Satellitenaufnahme und rechts das Darstellungsresultat durch die Error-Level-Analyse.

Bild
Zum Vergrößern auf das Bild klicken

Zitat aus dem Bellingcat-Report (aus der deutschen Version, S.11):
"Der Unterschied im Fehlerniveau zwischen den Bereichen D und C lässt sich mit dem Bildinhalt nicht erklären. Die Wolken im rechten Bereich haben teilweise scharf abgegrenzte Strukturen, so dass das Fehlerniveau in diesem Bereich keine signifikanten Abweichungen zum mittleren Bildteil aufweisen sollte."

Eine solche Schlussfolgerung ist im Zuge einer Error Level Analyse völlig subjektiv. Das gilt auch für die Aussage, dass die Unterschiede sich mit dem Bildinhalt gesamtheitlich nicht erklären lassen. Die Ausprägung des Fehlerniveaus, dass auf einer solchen Aufnahme erwartet wird, soll mit einem anderen Vergleichsbild aus Google Earth mit ähnlicher Bewölkung in einem anderen Gebiet belegt werden.

Bild
Zum Vergrößern auf das Bild klicken

Zitat aus dem Bellingcat-Report (aus der deutschen Version, S.11):
"Dieses Vergleichsfoto zeigt, dass die Bewölkung in ähnlicher Situation keine signifikanten Fehlerstufenänderungen bewirkt. Daraus lässt sich mit hoher Wahrscheinlichkeit ableiten, dass die Bewölkung im „Bild 4“ kein Teil des ursprünglichen Bildinhaltes ist und nachträglich hinzugefügt wurde."

Es ist allerdings so, das die ELA-Methodik von sich aus keine statistische Aus- und Bewertungsmöglichen für Wahrscheinlichkeiten bietet. Auf welche Weise soll eine hohe Wahrscheinlichkeit abgeleitet werden? Dies ist gar nicht möglich. Dementsprechend gibt es auch keine mathematische Beschreibung, die die Wertung einer unbestimmt "hohen Wahrscheinlichkeit" erklärt. Subjektiv ist ebenso die Wertung des Vergleichsbilds. Eine als nicht-signifikant zu bewertende Fehlerstufenänderung liegt stets im Auge des Betrachters. An welchem Messwert eine relevante Signifikanz abgelesen wird? Auch dies ist eine unbestimmte Größe.

Die Analyse einer offensichtlich redaktionell bearbeiteten Aufnahme mittels ELA ist an dem Punkt sinnfrei. Es lässt sich bereits im Voraus ableiten, dass zahllose Bearbeitungschritte vorlagen, die das finale Bild elementar beeinflusst haben. So wird die ursprüngliche Satellitenaufnahme in einem anderen Bildformat vorgelegen haben und für die Veröffentlichung im Internet in eine verlustbehaftete JPG-Datei konvertiert worden sein. Dieses Bild wurde nachweislich verkleinert und zudem mit Balken, Markierungen und Textfeldern versehen. Im Zuge solcher Bearbeitungen ist auch eine Kontrast- und Helligkeitsanhebung zu bedenken. Es ist ebenso denkbar, dass für Präsentationszwecke ausgewählte Teilbereiche der Aufnahme in Kontrast und Helligkeit verändert wurden. Das sind legitime Bildbearbeitungen, die nicht zwangsläufig eine manipulierende Fälschungsabsicht nachweisen. Dass nun im Zuge einer Error-Level-Analyse sich ein uneinheitliches Fehlerstufen-Abbild auf einer derartigen Bildvorlage darstellt, ist kaum verwunderlich und ein erwartbares Phänomen. Hier wurde das falsche Analyse-Werkzeug am falschen Untersuchungsobjekt angewendet.



Fallstricke

Es ist entscheidend zu wissen, aus welcher Quelle ein Bild stammt und wie diese einzuordnen ist. Ein kritischer Fehler im Umgang mit der ELA-Methodik, der sich auch im Bellingcat-Report zeigt, ist die Verwendung einer offensichtlich aufbereiteten Aufnahme und nicht einer originalen Satellitenaufnahme.

Erzwungene Antworten
Im Fallbeispiel Bellingcat wäre man besser beraten gewesen, wenn man sämtliche Ausführungen aus dem Report ausgelassen hätte, die mit der Verwendung der ELA-Methodik einher gingen. Die ELA-Darstellungsresultate haben schlussendlich keinerlei Beweiswert. Stattdessen verleiten die subjektiven Bewertungen zu jenen klassischen Fehlern, die bei derartigen Untersuchungen eine erwartete Schlussfolgerung als einzig mögliche Lösung festlegt. Es gehört jedoch leider auch dazu, dass sich eben keine Beweise noch verwertbare Hinweise für, als auch gegen, eine mutwillig durchführte Manipulation am Bildmaterial finden lassen. Ein Ja oder ein Nein sind nicht die einzigen Antwort-Optionen.

Real oder authentisch?
Die Error-Level-Analyse vermag bei Fällen, in denen man nichts über die Entstehung des untersuchten Bildmaterial weiß, kaum eine verbindliche Aussage darüber geben, ob ein Bild nicht echt oder authentisch ist. Die logische Unterscheidung dieser zwei Fälle wird in Verbindung mit Interpretationen von ELA-Ergebnissen allzu häufig außer Acht gelassen. Lassen sich Hinweise auf Veränderungen entdecken, muss dies im Gesamtkontext betrachtet werden. Gezielt durchgeführte grafische Bearbeitungen am Bildmaterial könnten auch einfach nur dazu gedient haben, diese visuell besser erkennbar zu machen, ohne dabei den allgemeinen Sachverhalt zu verfälschen. Die ELA-Methodik allein kann diese Unterscheidung nicht auflösen.

Limitierungen
Kompromittierende Spuren manipulativer Bildbearbeitungen lassen sich äußerst einfach wieder entfernen, um vor der ELA-Methodik gefeit zu sein. Eindeutige Überführungen mittels der Error-Level-Analyse sind im Grunde auch der Nachweis für amateurhafte Handwerksarbeit seitens des Fälschers vergleichbar mit dem Hinterlassen von Fingerabdrücken des Täters am Tatort.

Bildmaterial aus sozialen Plattformen
Bildmaterial, das größtenteils von diversen sozialen Plattformen (z.B. Facebook, Twitter, u.a.) stammt, ist für forensische Untersuchungen, im speziellen für ELA-Untersuchungen, unbrauchbar. Beim Hochladen der Bilder werden diese von den meisten Online-Diensten nicht 1 zu 1 übernommen, sondern es wird eine neue Kopie mit geringerer Qualitätsstufe erstellt. Durch den erneuten Kodierungsdurchlauf werden die vorhandenen Kompressionspotentiale weiter reduziert.

Bild
Zum Vergrößern auf das Bild klicken

Darüber hinaus geschieht allerdings noch mehr. Sämtliche Meta-Informationen, die in den ursprünglich hochgeladenen Bildern vorhanden waren, werden nicht übernommen. Damit fallen gleich mehrere unterschiedliche forensische Untersuchungskriterien weg. Zumindest lässt sich anhand der Datenstruktur und auch am ELA-Ergebnis deutlich ablesen, dass solche Bilder keine Kamerabild-Originaldateien darstellen.



Fazit

Die Error-Level-Analyse kann unter bestimmten Voraussetzungen eindeutig aufzeigen, ob und wo Manipulationen am Bild vorgenommen wurden. Diese Eindeutigkeit ist jedoch nur in wenigen Fällen gegeben. In den überwiegenden Fällen professioneller forensischer Bildanalysen wird die ELA-Methode nur als eines von vielen möglichen Analyse-Werkzeugen eingesetzt, um Hinweise zu gewinnen, denen man im Nachhinein gezielt mit anderen Methoden nachgeht.

Abgesehen von jenen Fällen, bei denen eine Eindeutigkeit mittels ELA klar ersichtlich wird, kann sie in allen anderen Fällen nicht zur Beweisführung angeführt werden. Im Fazit einer ernsthaften bildforensischen Analyse wird man nicht mit mutmaßlichen Hinweise argumentieren. Entweder es gelingt der eindeutige Nachweis einer Manipulation oder man enthält sich, mangels verwertbarer Daten, einer verbindlichen Aussage. Wer es trotzdem tut, entwertet die eingesetzen Methoden und vor allem Dingen sich selber als Analysten, durch fehlerträchtige und fahrlässige Vorgehensweisen.



Verweise





Wenn Sie möchten, können Sie einen anonymen Kommentar zu diesem Bericht direkt an das Analyse-Team schicken.
Hier zum Onlineformular.