Einleitung
Eines der Problemfelder im Rahmen der digitalen Bildforensik ist die
Erklärung von technischen Sachverhalten, die für Laien jedoch kaum verständlich sind. Auch wenn der Nachweis einer
Manipulation völlig eindeutig ist, sind rein technische Abhandlungen für die breite Masse nicht nachvollziehbar.
Es besteht dabei die Gefahr, dass mit ausufernd komplizierten Beschreibungstexten die Akzeptanz für
derartige Erklärungen verloren geht. Im schlechtesten Fall kann dies eine offensiv ablehnende Haltung hervorrufen.
Die bislang am ehesten akzeptierte und weitläufig verständliche Methode, die auch für Laien viele Ansatzpunkte
liefert, ist das Aufspüren von simplen Bildkompositionen, die sich mittels der umgekehrten Bildsuch-Funktion der
großen Suchmaschinen-Anbieter auffinden lassen. Zu sehen, wo genau und auf welche Weise eine Manipulation durchgeführt
wurde, wird allgemeinhin am ehesten als eindeutiger Nachweis akzeptiert.
Für Aufklärungsarbeiten, die die Allgemeinheit mit einbeziehen, ist Visualisierung eines der wirksamsten Mittel.
Sie muss aber nicht die Beste sein. Eine visuelle Methode, die in der Bildforensik Einzug gefunden ist die sog.
Error-Level-Analyse. Allerdings besteht hier die Gefahr einer fehlerhaften Anwendung. Der Einsatz der ELA-Methodik
muss stets überlegt sein.
Die ELA-Analyse
Die Error-Level-Analyse setzt auf die Eigenschaft jener Bildformate auf, die auf verlustbehafteter Bildkompression beruhen.
Mithilfe dieser Methode können Bereiche eines Bildes hervorgehoben werden, die unterschiedliche Kompressionsgrade aufweisen.
Vor allem beim JPEG-Format, einem der meist genutzten Bildformate im Internet, lässt sich die Methode besonders gut anwenden.
Die Vorgehensweise ist dabei überraschend einfach.
Zum besseren Verständnis ist es nötig, die Funktionsweise bei der Erzeugung von Bildern im JPEG-Format zu verstehen.
JPEG verwendet eine verlustbehaftete Bilddaten-Kompression. Jeder erneut durchgeführte Kodierungsvorgang (Neues Abspeichern)
am Bild führt zu weiteren Qualitätverlusten des Bildes. Der JPEG-Algorithmus fusst dabei auf einem 8x8 Pixelgitter.
Jedes der 8x8 Quadratgitter wird dabei separat für sich behandelt und komprimiert. Wenn das Bild völlig unberührt ist,
dann weisen all diese 8x8 Quadradgitter dasselbe Fehlerstufen-Potential auf.
Wird ein JPEG Bild erneut abgespeichert, dann sollte sich jedes Quadrat um ungefähr dasselbe Niveau weiter "reduzieren".
Beim ELA-Verfahren wird die zu untersuchende Bildvorlage bei einem bestimmten JPEG Qualitäts-Level (z.B. bei 75%) abgespeichert.
Das erneute Abspeichern führt zu einem bekannten Kompressionsgrad, das sich über das gesamte Bild erstreckt.
Das neu abgespeicherte Bild wird dann mit dem ursprünglichen Bild verglichen. Das menschliche Auge würde allerdings
kaum eine Veränderung feststellen. Deswegen visualisiert die ELA-Darstellung im Speziellen nur die Differenz zwischen
beiden Bilder. Damit zeigen sich auf dem resultierenden ELA-Bild die unterschiedlich stark ausgeprägten
Kompressionspotentiale.
Zum Vergrößern auf das Bild klicken
Als Methode zum Aufspüren von Manipulationen in JPG-Bildern steht die Idee, dass
wenn ein Bild verändert wurde, dann auch jedes 8x8-Quadrat, dass von der Änderung betroffen ist, ein höheres
Fehlerstufen-Potential aufweist, als der Rest des Bildes.
Der Begriff Error Level lässt sich nicht direkt übersetzen und bezeichnet im Grunde auch keine Fehlerstufen, sondern
unterschiedliche Stufen von Abweichungen.
Im deutschen Sprachgebrauch findet sich dennoch häufig die Bezeichnung "Fehlerstufen". Dies ist allerdings missverständlich
und sollte so besser nicht verwendet werden. Was man im Endergebnis sieht, ist eine visuelle Hervorhebung jener Bereiche, die
unterschiedliche Kompressionspotentiale aufweisen.
Fallbeispiele
Auch ohne Manipulationen an einem Bild weist die ELA-Ansicht bei Originalbildern unterschiedlichste Merkmale auf, die sehr
deutlich zum Vorschein treten. Mit diesen natürlichen Merkmalen muss man vertraut sein, will man später in der Lage sein,
auf diese Weise Manipulationen nachzuweisen. (Dass die Error-Level-Analyse jedoch auch Limitierungen besitzt, wird in den nachfolgenden
Kapiteln erläutert.)
Die ELA-Darstellung hebt die unterschiedlichen Kompressionspotentiale in einem Bild hervor. Bereiche mit einheitlicher Farbgebung,
wie etwa ein wolkenfreier blauer Himmel oder eine strahlend weiße Wand zeigen ein dunkles ELA-Ergebnis gegenüber
stark kontrastreichen Kantenbereichen, die sehr viel heller in Erscheinung treten.
Zum Vergrößern auf das Bild klicken
Homogene Bildbereiche, wie etwa der Himmel auf dem Beispielphoto mit dem Kolosseum, lassen sich effizient komprimieren.
Aufgrunddessen ist das Kompressionspotential bei einem erneuten Kompressionsdurchlauf bzw. bei einem neuen Abspeichern nur
noch gering und resultiert in einer dunkleren Farbgebung auf einer ELA-Darstellung. Hingegen enthalten unregelmäßige Muster,
feine Konturen und komplexe Farb- und Helligkeitsverläufe nur wenige Redundanzen, die sich nicht so gut zusammenkürzen lassen.
Das wiederholte Abspeichern eines JPG-Bildes entfernt die hoch-frequenten Anteile eines Bildes und verringert die
Unterschiede zwischen stark kontrastreichen Kanten, Texturen und Flächen. Ein JPG-Bild, dass in niedrigster Qualitätsstufe
gespeichert wird, erscheint dementsprechend noch sehr viel dunkeler als bei höheren Qualitätsstufen.
Zum Vergrößern auf das Bild klicken
Eine JPEG-Datei, die aufgrund statistischer Auswertung des jeweiligen Bildinhaltes eine maßgefertigte Huffman-Tabelle erzeugt,
bezeichnet man als optimierte JPEG.
Die von Digitalkameras erzeugten Aufnahmen sind allerdings nicht auf diese Weise optimiert.
Originalaufnahmen von Digitalkameras sollten stets nach einem erneuten Abspeichern einen hohen Grad von Veränderungen aufweisen
und damit relativ helle Bereiche in der ELA-Darstellung besitzen. Die sehr dunkle ELA-Darstellung im Beispiel mit der
Kolosseumaufnahme, die in geringer Qualitätsstufe abgespeichert wurde, ist ein klar erkennbarer Hinweis darauf, dass dies in
keinem Fall eine originale JPEG-Datei sein kann, die direkt von der Kamera geladen wurde.
Die folgende Beispielserie zeigt exemplarisch, wie ein eindeutiger Manipulationsnachweis mittels ELA-Methodik aussehen kann.
Auch ohne im Besitz des Originalbildes (A1) zu sein, lässt sich durch die ELA-Darstellung aufzeigen, wo im Bild eine Manipulation stattgefunden hat (A4).
Zum Vergrößern einen der Bildausschnitte anklicken
JPG-Bilder, die in niedrigster Qualitätsstufe (bzw. mit maximaler Kompression) abgespeichert werden, erscheinen in der ELA-Darstellung sehr dunkel (Beispiel B2).
Fügt man in ein solches Bild kopierte Elemente aus einer Bildvorlage ein, die in höherer Qualitätsstufe vorlagen, dann wird dies in der ELA-Darstellung (B4) durch
die sehr viel helleren Bereiche überaus deutlich. Diese kopierten Elemente weisen in der ELA-Darstellung ein deutlich höheres Kompressionspotential
im Gegensatz zum Rest des Bildes auf.
Zum Vergrößern einen der Bildauschnitte anklicken
Manipuliert - ja oder nein? Nicht immer lässt sich eine klare Antwort geben.
Beispielbilder, wie die oben gezeigten, weisen die gezielte Manipulation am Bild klar auf.
Doch nur in speziellen Fällen wie diesen vermag die ELA-Methodik ihre Stärken aufzuzeigen.
Allerdings lassen sich auch sehr schnell ihre Grenzen aufzeigen.
Der Fall Bellingcat
Ein Vorfall, der beispielhaft aufzeigt, wie die ELA-Methodik in manchen Fällen zu leichtfertig eingesetzt werden kann,
zeigt der
Bellingcat-Report  ,
der Beweise zur Manipulation von Fotos zum Absturz des "Malaysia Air"-Fluges MH17 von Seiten Russlands vorlegen will.
Am ersten Juni 2015 hatte die Nachrichten-Seite Spiegel.de als Titelaufmacher einen
Artikel
mit den Ergebnissen aus dem Bellingcat-Report veröffentlicht.
Schon kurz danach musste die Spiegel-Redaktion nach heftiger Kritik eine relativierende
Gegendarstellung
veröffentlichen und Fehler bei der journalistischen Recherchearbeit eingestehen. Unter anderem fliesst in dem Artikel die Bewertung des deutschen Bildforensiker
Jens Krise mit ein, der in einem entsprechenden
Interview
sich sehr kritisch zum Bellingcat-Report äussert.
Auch der amerikanische Forensik-Experte Dr. Neal Krawetz (Gründer des Online-Dienstes FotoForensics.com) wird zu diesem Fall mit der Aussage zitiert,
dass Bellingcat Kaffeesatzleserei betreibt. Was genau ist am Bellingcat-Report zu kritisieren?
Der Bellingcat-Report basiert auf mehr als nur den Deutungen der ELA-Ergebnis-Darstellungen. Wesentliche Bestandteile der Analyse gehen auf
die nachvollziehbare Veränderung von Vegetation-Spuren auf den verschiedenen Satellitenfotos ein, sowie auf Unstimmigkeiten, zu der dazu
gehaltenen russischen Pressekonferenz.
Nachweisen lässt sich, dass die herausgebenen Satellitenfotos falsch datiert sind und durch die Software Adobe Photoshop CS5 digital verändert wurden.
Letzteres ist allerdings eine logisch zwingende Folge, da auf den veröffentlichten Aufnahmen erklärende Texte und Markierungen eingefügt wurden. Für
diese Einsetzungen ist es nun mal notwendig ein Bildbearbeitungsprogramm einzusetzen.
Wie nun der Bellingcat-Report insgesamt in seinen Schlussfolgerungen zu bewerten ist, ist dem Leser zu überlassen.
Der Bellingcat-Report wird hier nur hinsichtlich des Umgangs mit der ELA-Methodik betrachtet, die einen wesentlichen Anteil des Reports ausmachen.
Gezeigt werden soll, dass Darstellungsresultate, die mittels ELA-Methodik erzeugt werden, sehr leicht zu kritischen Fehldeutungen und
Überinterpretation der Ergebnisse führen können.
In den Ausführungen des Bellingcat-Reports werden mittels Error-Level-Analyse aus einem der veröffentlichten Satellitenfotos
die Bereiche, die unterschiedliche Komprimierungsgrade aufweisen, mit Buchstaben markiert (A bis E). Insbesondere soll damit auch
auf die unterschiedlichen Komprierungsgrade der rechten Wolkenformation (Bereich D) und den sichtenbaren Bodenmerkmalen in der
Mitte (Bereich C) hingewiesen werden.
Diese Unterschiede werden dadurch erklärt, dass nachträglich eine Wolkenformationen in die Aufnahme
eingesetzt wurde, um kompromittierende Inhalte zu verdecken. Die Abbildung zeigt im linken Abschnitt die von der Webseite des russischen
Verteidigungsministeriums veröffentlichte Satellitenaufnahme und rechts das Darstellungsresultat durch die Error-Level-Analyse.
Zum Vergrößern auf das Bild klicken
Zitat aus dem Bellingcat-Report (aus der deutschen Version, S.11):
"Der Unterschied im Fehlerniveau zwischen den Bereichen D und C lässt sich mit dem Bildinhalt nicht erklären.
Die Wolken im rechten Bereich haben teilweise scharf abgegrenzte Strukturen, so dass das Fehlerniveau in
diesem Bereich keine signifikanten Abweichungen zum mittleren Bildteil aufweisen sollte."
Eine solche Schlussfolgerung ist im Zuge einer Error Level Analyse völlig subjektiv. Das gilt auch für die Aussage, dass
die Unterschiede sich mit dem Bildinhalt gesamtheitlich nicht erklären lassen. Die Ausprägung des Fehlerniveaus,
dass auf einer solchen Aufnahme erwartet wird, soll mit einem anderen Vergleichsbild aus Google Earth mit ähnlicher Bewölkung
in einem anderen Gebiet belegt werden.
Zum Vergrößern auf das Bild klicken
Zitat aus dem Bellingcat-Report (aus der deutschen Version, S.11):
"Dieses Vergleichsfoto zeigt, dass die Bewölkung in ähnlicher Situation keine signifikanten Fehlerstufenänderungen bewirkt.
Daraus lässt sich mit hoher Wahrscheinlichkeit ableiten, dass die Bewölkung im „Bild 4“ kein Teil des ursprünglichen
Bildinhaltes ist und nachträglich hinzugefügt wurde."
Es ist allerdings so, das die ELA-Methodik von sich aus keine statistische Aus- und Bewertungsmöglichen für Wahrscheinlichkeiten
bietet. Auf welche Weise soll eine hohe Wahrscheinlichkeit abgeleitet werden? Dies ist gar nicht möglich. Dementsprechend gibt
es auch keine mathematische Beschreibung, die die Wertung einer unbestimmt "hohen Wahrscheinlichkeit" erklärt.
Subjektiv ist ebenso die Wertung des Vergleichsbilds. Eine als nicht-signifikant zu bewertende Fehlerstufenänderung liegt stets
im Auge des Betrachters. An welchem Messwert eine relevante Signifikanz abgelesen wird? Auch dies ist eine unbestimmte Größe.
Die Analyse einer offensichtlich redaktionell bearbeiteten Aufnahme mittels ELA ist an dem Punkt sinnfrei.
Es lässt sich bereits im Voraus ableiten, dass zahllose Bearbeitungschritte vorlagen, die das
finale Bild elementar beeinflusst haben.
So wird die ursprüngliche Satellitenaufnahme in einem anderen Bildformat vorgelegen haben und für die Veröffentlichung
im Internet in eine verlustbehaftete JPG-Datei konvertiert worden sein. Dieses Bild wurde nachweislich
verkleinert und zudem mit Balken, Markierungen und Textfeldern versehen. Im Zuge solcher Bearbeitungen ist auch eine
Kontrast- und Helligkeitsanhebung zu bedenken. Es ist ebenso denkbar, dass für Präsentationszwecke ausgewählte Teilbereiche
der Aufnahme in Kontrast und Helligkeit verändert wurden. Das sind legitime Bildbearbeitungen, die nicht zwangsläufig
eine manipulierende Fälschungsabsicht nachweisen. Dass nun im Zuge einer Error-Level-Analyse sich ein
uneinheitliches Fehlerstufen-Abbild auf einer derartigen Bildvorlage darstellt, ist
kaum verwunderlich und ein erwartbares Phänomen. Hier wurde das falsche Analyse-Werkzeug am falschen
Untersuchungsobjekt angewendet.
Fallstricke
Es ist entscheidend zu wissen, aus welcher Quelle ein Bild stammt und wie diese einzuordnen ist.
Ein kritischer Fehler im Umgang mit der ELA-Methodik, der sich auch im Bellingcat-Report zeigt, ist die
Verwendung einer offensichtlich aufbereiteten Aufnahme und nicht einer originalen Satellitenaufnahme.
Erzwungene Antworten
Im Fallbeispiel Bellingcat wäre man besser beraten gewesen, wenn man sämtliche Ausführungen aus dem Report ausgelassen hätte,
die mit der Verwendung der ELA-Methodik einher gingen. Die ELA-Darstellungsresultate haben schlussendlich keinerlei Beweiswert.
Stattdessen verleiten die subjektiven Bewertungen zu jenen klassischen Fehlern, die bei derartigen Untersuchungen eine
erwartete Schlussfolgerung als einzig mögliche Lösung festlegt. Es gehört jedoch leider auch dazu, dass sich eben keine Beweise
noch verwertbare Hinweise für, als auch gegen, eine mutwillig durchführte Manipulation am Bildmaterial finden lassen. Ein Ja oder
ein Nein sind nicht die einzigen Antwort-Optionen.
Real oder authentisch?
Die Error-Level-Analyse vermag bei Fällen, in denen man nichts
über die Entstehung des untersuchten Bildmaterial weiß, kaum eine verbindliche Aussage darüber geben, ob ein Bild
nicht echt oder authentisch ist. Die logische Unterscheidung dieser zwei Fälle wird in Verbindung mit Interpretationen
von ELA-Ergebnissen allzu häufig außer Acht gelassen. Lassen sich Hinweise auf Veränderungen entdecken, muss dies
im Gesamtkontext betrachtet werden. Gezielt durchgeführte grafische Bearbeitungen am Bildmaterial könnten auch einfach
nur dazu gedient haben, diese visuell besser erkennbar zu machen, ohne dabei den allgemeinen Sachverhalt zu verfälschen.
Die ELA-Methodik allein kann diese Unterscheidung nicht auflösen.
Limitierungen
Kompromittierende Spuren manipulativer Bildbearbeitungen lassen sich äußerst einfach wieder entfernen, um vor der ELA-Methodik
gefeit zu sein. Eindeutige Überführungen mittels der Error-Level-Analyse sind im Grunde auch der Nachweis für amateurhafte
Handwerksarbeit seitens des Fälschers vergleichbar mit dem Hinterlassen von Fingerabdrücken des Täters am Tatort.
Bildmaterial aus sozialen Plattformen
Bildmaterial, das größtenteils von diversen sozialen Plattformen (z.B. Facebook, Twitter, u.a.) stammt, ist für forensische
Untersuchungen, im speziellen für ELA-Untersuchungen, unbrauchbar. Beim Hochladen der Bilder werden diese von den meisten
Online-Diensten nicht 1 zu 1 übernommen, sondern es wird eine neue Kopie mit geringerer Qualitätsstufe erstellt. Durch den
erneuten Kodierungsdurchlauf werden die vorhandenen Kompressionspotentiale weiter reduziert.
Zum Vergrößern auf das Bild klicken
Darüber hinaus geschieht allerdings noch mehr. Sämtliche Meta-Informationen, die in den ursprünglich hochgeladenen Bildern
vorhanden waren, werden nicht übernommen. Damit fallen gleich mehrere unterschiedliche forensische Untersuchungskriterien weg.
Zumindest lässt sich anhand der Datenstruktur und auch am ELA-Ergebnis deutlich ablesen, dass solche Bilder keine
Kamerabild-Originaldateien darstellen.
Fazit
Die Error-Level-Analyse kann unter bestimmten Voraussetzungen eindeutig aufzeigen, ob und wo Manipulationen am Bild vorgenommen wurden.
Diese Eindeutigkeit ist jedoch nur in wenigen Fällen gegeben. In den überwiegenden Fällen professioneller forensischer Bildanalysen wird
die ELA-Methode nur als eines von vielen möglichen Analyse-Werkzeugen eingesetzt, um Hinweise zu gewinnen, denen man im Nachhinein gezielt
mit anderen Methoden nachgeht.
Abgesehen von jenen Fällen, bei denen eine Eindeutigkeit mittels ELA klar ersichtlich wird, kann sie in allen anderen Fällen nicht zur
Beweisführung angeführt werden. Im Fazit einer ernsthaften bildforensischen Analyse wird man nicht mit mutmaßlichen Hinweise argumentieren.
Entweder es gelingt der eindeutige Nachweis einer Manipulation oder man enthält sich, mangels verwertbarer Daten, einer verbindlichen Aussage.
Wer es trotzdem tut, entwertet die eingesetzen Methoden und vor allem Dingen sich selber als Analysten, durch fehlerträchtige und fahrlässige
Vorgehensweisen.
Verweise
|
