IT Forensics

Verfahren und Software zur Erkennung von illegalen Multimediadaten

Ermittler sind heute bei der IT-forensischen Analyse von Datenträgern und bei der Suche nach illegalen Inhalten wie z.B. kinderpornographischen Inhalten stark überlastet. Speicherplatz ist sehr günstig und deshalb massiv vorhanden, sodass die Suche nach illegalen Inhalten oft einer Nadel im Heuhaufen gleichkommt. Es gibt zwar Lösungen zur automatisierten Durchsuchung von Datenbeständen und Identifikation illegaler Inhalte, jedoch funktionieren diese bei der Ermittlung nur, wenn die Straftäter keine Gegenmaßnahmen ergriffen haben.

Beispiel Bildersuche: Derzeit wird kinderpornographisches Material in Datensammlungen nur dann automatisch erkannt, wenn es den Ermittlern bereits bekannt ist und als exakt identische Kopie in einer entsprechenden Datenbank vorliegt. Entsprechendes Material wird dann mittels eines kryptographischen Vergleichswertes (Hash) dem bekanntem Material zugeordnet. Die Schwäche dieses Ansatzes ist, dass selbst minimale Veränderungen in den Daten den Hash verändern und so keine Identifizierung mehr möglich ist. Dies kann beispielsweise bei der Umwandlung in ein anderes Dateiformat oder gegebenenfalls nur durch das Öffnen und Speichern in einem Bildbetrachter (Rekompression) geschehen. Das bedeutet insbesondere, dass Ermittler bei Verwendung von Standardwerkzeugen nicht in der Lage sind, einer bewusst durchgeführten Verschleierung des Materials entgegenzutreten.

Neue robuste und effiziente Verfahren

Zur Verbesserung der Suche hat das Fraunhofer SIT deshalb Alternativen zu den bestehenden Verfahren auf Basis robuster Hashes entwickelt, bei denen die Inhalte auch dann erkannt werden können, wenn sie gezielt manipuliert wurden. So sind Inhalte selbst dann noch sicher zu erkennen, wenn veränderte Daten vorliegen, zum Beispiel durch Größenänderungen, gezielte Inhaltsmanipulationen, Formatwandelungen oder Spiegelungen.

Robuste Hashes vom Fraunhofer SIT können ohne eine Änderung der restlichen Infrastruktur bei der Verfolgung beispielsweise kinderpornographischen Materials als Ergänzung und Alternative zu bisher verwendeten Hashes herangezogen werden. Sie ermöglichen so eine höhere Effizienz bei der Sichtung von großen Datenmengen und erlauben die Automatisierung der Suche nach einschlägigem Material, wodurch die Ermittlungsarbeit effizienter wird.

Fraunhofer SIT bietet Software zur robusten und effizienten Erkennung ähnlicher Bilder an. Es besteht die Möglichkeit zur Lizenzierung oder zur Integration der Software in andere IT-Forensik-Produkte. Die Software zur Erkennung von ähnlichen Videos oder Ausschnitten von Videos ist in Entwicklung und wird in der zweiten Jahreshälfte 2012 zur Verfügung stehen.