von Benedikt Lorch, Patrick Mullan und Franziska Schirrmacher.
Bei der Aufnahme eines Fotos speichern digitale Kameras neben dem Bildinhalt eine Vielzahl weiterer Informationen ab. Zu diesen Informationen zählen die Aufnahmezeit des Bildes, das Kameramodell sowie technische Details zur Rekonstruktion des Bildinhalts, der überlicherweise komprimiert gespeichert wird. All diese Informationen werden als Metadaten bezeichnet. Die Metadaten werden gemeinsam mit dem Bildinhalt in einen Container verpackt, die Bilddatei. Die Bilddatei sorgt dafür, dass der Bildinhalt und die zugehörigen Informationen beim Kopieren der Bilddatei verbunden bleiben. In diesem Artikel wollen wir uns zuerst die Organisation von Bildmetadaten genauer ansehen und anschließend einige Einsatzmöglichkeiten für Metadatenanalyse beschreiben.
Technische Organisation von Metadaten
Im Folgenden beschränken wir uns auf JPEG-Bilder, da dieses Format am weitesten verbreitet ist. Ähnliche Ansatzpunkte gelten aber genauso für andere Bildformate.
Was sind JIF, JFIF und EXIF?
Zum Austausch von Bilddateien definiert der JPEG-Standard in Annex B das „JPEG Interchange Format“ (JIF) [1]. Wenn man von einem JPEG-Bild spricht, dann ist typischerweise ein mit dem JPEG-Algorithmus komprimiertes Bild gemeint, das in einer Variante des JIF-Formats abgelegt ist. Die JIF-Spezifikation lässt dem Hersteller relativ viel Freiraum bei der genauen Implementierung, sodass es in der Vorgangenheit immer wieder zu Problemen mit inkompatiblen Anzeigeprogrammen kam.
Mit dem „JPEG File Interchange Format“ (JFIF) wurde im Jahr 1991 eine Variante von JIF spezifiziert, welche einige unnötig komplexen Funktionen des JIF-Formats konkretisiert und JIF zudem um weitere Funktionen ergänzt. Neben JFIF wurde 1995 mit dem „Exchangible Image File Format“ (EXIF) ein weitere Variante von JIF vorgestellt.
Heute findet das JIF-Format in seiner ursprünglichen Form keine Verwendung mehr. Dagegen sind die Erweiterungen EXIF und JFIF weit verbreitet.
Allgemein ist eine JIF-Datei — und damit auch die Varianten JFIF und EXIF — aus mehreren Segmenten aufgebaut. Jedes Segment beginnt mit einem Marker, einer vordefinierten Folge von Bytes. Einige dieser Segmente beinhalten Informationen zum Rekonstruieren des Bilds. Dazu zählen beispielsweise die mit dem DQT bzw. DHT-Marker beginnenden Quantisierungs- und Hufmann-Tabellen, welche von der Kamera gewählt werden. Der eigentliche Bildinhalt ist komprimiert abgelegt und beginnt mit dem SOS-Marker (Start of Scan). Einige Marker können auch ohne weiteren Inhalt stehen. So definiert der SOI-Marker den Anfang einer Bilddatei (Start Of Image) und der EOI-Marker zeigt das Ende der Bilddatei an (End Of Image).
Darüber hinaus erlaubt der JIF-Standard anwendungsspezifische Marker. Eine JFIF-Datei erkennt man daran, dass sie ein APP0-Segment beginnend mit dem APP0-Marker enthält. Eine EXIF-Datei hingegen beinhaltet ein APP1-Segment nach dem APP1-Marker. Laut ihrer Spezifikation muss bei einer JFIF-Datei auf den SOI-Marker unmittelbar der APP0-Marker folgen [2], bei einer EXIF-Datei hingegen muss nach dem SOI-Marker der APP1-Marker kommen [3]. Auch wenn sich die beiden Dateiformate damit theoretisch ausschließen, betten viele Kameras sowohl ein APP0-Segment als auch ein APP1-Segment in die Bilddatei ein.
Die meisten interessanten Informationen finden sich im APP1-Segment (EXIF). Insofern spielt es aus praktischer Sicht eine untergeordnete Rolle, zwischen einer JFIF-Datei mit zusätzlichem APP1-Segment oder einer EXIF-Datei mit oder ohne zusätzlichem APP0-Segment zu unterscheiden.
Das APP0-Segment enthält Informationen zur Umrechnung von Pixeln in Zoll oder Zentimeter. Der Großteil relevanter Metadaten für eine forensische Untersuchung findet sich allerdings im APP1-Segment, dem EXIF-Segment. Das APP1-Segment wird im EXIF-Standard beschrieben und kann eine Vielzahl von Informationen enthalten. Diese Informationen sind als Schlüssel-Wert-Paare abgelegt. Die Schlüssel werden auch als EXIF-Tags bezeichnet und werden in mehrere logische Gruppen struktuiert, den sogenannten „Image File Directories“ (IFD):
Name des Image File Directories (IFDs) | Inhalte des IFDs (Auszug) |
---|---|
IDF0 | Informationen über das Bild, z.B. Breite, Höhe, Orientierung |
IFD1 | Kleines Vorschaubild |
ExifIFD | Photometrische Informationen, z.B. Belichtungszeit, Blende, Blitz, aber auch Informationen zur Kamera, z.B. Hersteller, Kameramodell und Objektiv |
GPS | Aufnahmeort |
Interoperability | Informationen zu Kompatibilität zur Anzeige eines Bildes auf einer anderen Kamera |
MakerNotes | Herstellerspezifische Zusatzinformationen |
Beispiel
Die folgende Tabelle zeigt einen Auszug aus den Metadaten zu einem Fotos aus unserem Büro. Der Auszug stammt vom Kommandozeilenprogramm Exiftool [4].
IFD | Name | Inhalt |
---|---|---|
IFD0 | Make | NIKON CORPORATION |
IFD0 | Camera Model Name | NIKON D800 |
IFD0 | Software | Adobe Photoshop Lightroom Classic 7.5 (Windows) |
IDF0 | Modify Date | 2018:10:11 17:02:25 |
ExifIFD | Date/Time Original | 2018:10:11 06:54:08 |
ExifIFD | Create Date | 2018:10:11 06:54:08 |
ExifIFD | Shutter Speed Value | 1/80 |
ExifIFD | Aperture Value | 5.0 |
ExifIFD | Flash | Off, Did not fire |
ExifIFD | CFA Pattern | [Red,Green][Green,Blue] |
IFD1 | Compression | JPEG |
IFD1 | Thumbnail Offset | 1024 |
IFD1 | Thumbnail Length | 15978 |
Verwendung von Metadaten in Forensischen Untersuchungen
Einzelfallanalysen
In vielen Anwendungsfällen geht es darum, den Ursprung eines Bildes zu identifzieren oder zumindest einzugrenzen. Nachdem Metadaten sehr leicht und schnell ausgelesen werden können und leicht zu interpretieren sind, bieten Metadaten einen ersten Anhaltspunkt für die forensische Analyse einzelner Bilddateien. EXIF-Tags wie der Aufnahmezeitpunkt, der Aufnahmeort oder das Kameramodell können wertvolle Informationen über die Herkunft des Bildes enthalten.
Darüber hinaus können Abweichungen zwischen verschiedenen Zeitstempeln oder der Name eines Bildbearbeitungsprogramm im EXIF:Software Tag auf eine Veränderung des ursprünglichen Bilds hinweisen. Um die Plausibiltät der abgebildeten Szene zu überprüfen, können Zeitstempel und Ortsangabe mit anderen Informationen abgeglichen werden, z.B. mit dem Sonnenstand und Schattenfall im Bild, mit der abgebildeten Umgebungung oder mit einer Funkzellenabfrage bei Aufnahmen von Smartphones. Bei einem älteren Bildbearbeitungsprogramm kam es vor, dass das Vorschaubild beim Speichern nicht aktualisiert wurde, sodass Unterschiede zwischen dem Vorschaubild und dem eigentlichen Bildinhalt ebenfalls eine Manipulation erkennen lassen.
Sind einige der Metadaten wie das Kameramodell nicht vorhanden, so kann man möglicherweise auch aus anderen, weniger offensichtlichen Metadaten Spuren gewinnen, um ein Foto mit einem bestimmten Kamerahersteller, Kameramodell oder eine bestimmten Software in Verbindung zu bringen. Beispielsweise können technische Details wie die Auflösung mit einer Datenbank von bekannten Kameras abgeglichen werden, um eine mögliche Übereinstimmung mit einem bekannten Kameramodell zu identifizeren. Ein Bild anhand von Metadaten zu einem einzelnen Kameragerät zuzuordnen, ist allerdings nicht möglich, da die meisten Kameras des gleichen Modells ähnliche Bildinformationen einbetten. Nach aktuellen Studien bieten die Wahl der Quantisierungstabelle und die Anzahl der Einträge in jedem IFD eine gute Grundlage, um das Kameramodell zu identifizeren [5, 6]. Genauer gesagt: Herkömmliche Kameras betten eine bestimme Anzahl an Einträgen pro IFD in ein Bild ein. Stimmt die Anzahl der gespeicherten Einträge pro IFD nicht mit der erwarteten Anzahl für eine bekannte Kamera überein, ist dies ein Hinweis auf eine nachträgliche Veränderung der Bilddatei.
Seit einigen Jahren läuft das Smartphone der klassischen Digitalkamera den Rang ab. Im Gegensatz zu klassischen Digitalkameras oder Spiegelreflexkameras basieren Smartphones auf einer reichhaltigen Softwareplattform, die regelmäßig Updates erhalten. Den Anwendern steht eine breite Auswahl verschiedener Kamera-Apps zur Verfügung. Durch diverse Softwarekomponenten, welche auf dem gleichen Gerät laufen können, wird es zunehmend schwierigier, ein Bild anhand von Metadaten zu einem bestimmten Smartphone-Modell zuzuordnen. Gleichzeitig verraten Metadaten mehr über die Version des Betriebssystems und die verwendete Kamera-App. So kann ein Bild möglicherweise mit der verwendeten Software assoziiert werden.
Skalierbare Vorsortierung von Massendaten
In vielen Anwendungen fällt eine große Menge an Bildmaterialien an, die überprüft werden sollen. Während die forensische Analyse des Bildinhalts in der Regel viele Vorkenntnisse und aufwendige Einzelfallanalysen erfordert, können Metadaten automatisch mit geringem Aufwand auch aus größeren Datenmengen ausgelesen werden. Bei der forensische Untersuchung einer Festplatte werden möglicherweise tausende an Bildern und Videos gefunden, deren Sichtung viel Zeit in Anspruch nimmt. Hier können Metadaten helfen, diese Menge an Bildern räumlich und zeitlich vorzuortieren und die Sichtung zu erleichtern.
Schwachstellen von Metadaten: Fehlende Metadaten und die Manipulierbarkeit
Über die Herkunft eines Bildes können Metadaten vieles verraten, sofern sie vorhanden sind. Abgesehen von einigen technischen Informationen wie den Kodierungsparametern (z.B. Huffmann-und Quantisierungstabellen), welche zum Anzeigen des Bildinhalts benötigt werden, ist es dem Hersteller oder der Softwarebibliothek überlassen, wie viele Zusatzinformationen gespeichert werden. So kann es vorkommen, dass möglicherweise interessante Informationen wie z.B. Geoinformationen nicht von jeder Kamera gespeichert werden. Andererseits können diese Unterschiede einen Hinweis auf den Hersteller oder das Kameramodell geben.
Viele Bilder und Videos werden über Messenger oder Soziale Medien verbreitet. Bei der Übertragung wird der Bildinhalt in der Regel neu komprimiert und die Metadaten teilweise oder komplett gelöscht.
Allerdings haben wir beobachtet, dass einige Messenger bei der erneuten Speicherung eine bestimmte Kombination an Kompressionsparametern verwenden. Beobachtet man diese Kombination, kann man möglicherweise identifizieren, über welchen Messenger-Dienst ein Bild verschickt wurde.
Neben dem Auslesen bieten Programme wie Exiftool auch die Möglichkeit die Metadaten gezielt zu verändern. Das Hinzufügen, Löschen oder auch Überschreiben von Metadaten erfordert nur geringen Aufwand. Beispielsweise fügen Berufsfotografen gerne einen Copyright-Hinweis hinzu. Das Entfernen von Metadaten kann wünschenswert sein, um die GPS-Informationen aus einem Bild vor dem Hochladen auf eine Internetplattform zu entfernen. Genauso könnte ein Krimineller Metadaten bewusst verändern, um einen Ermittler in die Irre zu führen.
Zusammenfassend lässt sich sagen, dass Metadaten leicht ausgelesen werden, aber ebenso leicht geändert werden können. Insofern sind Metadaten immer mit Vorsicht zu betrachten.
Zusammenfassung
Bei der Aufnahme eines Bildes werden neben dem Bildinhalt eine Vielzahl von weiteren Details gespeichert. Aufgrund ihrer leichten Zugänglichkeit bieten Metadaten einen ersten Anhaltspunkt für eine forensische Analyse und können die Auswertung von größeren Datenmengen erleichtern. Wird ein Bild wiederholt gespeichert, z.B. beim Versenden über Messenger-Apps oder Verbreitung über soziale Medien, bleiben Metadaten oftmals nicht erhalten.
Referenzen
[1] ISO/IEC 10918-1: https://www.w3.org/Graphics/JPEG/itu-t81.pdf
[2] JPEG File Interchange Format: https://www.w3.org/Graphics/JPEG/jfif3.pdf
[3] EXIF-Standard: http://cipa.jp/std/documents/download_e.html?DC-008-Translation-2019-E
[4] Exiftool: https://exiftool.org/
[5] Kee et al. „Digital Image Authentication from JPEG Headers“, IEEE Transactions on Information Forensics and Security, 2013.
[6] Mullan et al. „Forensic Source Identification using JPEG Image Headers – The Case of Smartphones“, DFRWS EU, 2019.