Anzeige
Tech

Wie ein gephotoshoppter Fisch einen Darknet-Pädophilen überführte

Ein Fall aus Minnesota zeigt, wie weit Ermittler selbst bei schweren Straftaten mit Hilfe von einfacher Software kommen.

von Joseph Cox
28 Juni 2016, 5:00am

Foto mit freundlicher Genehmigung der DHS

Foto mit freundlicher Genehmigung der DHS

Erfahrene Ermittler wissen: Jedes noch so kleine oder unwichtige Detail kann extrem wichtig sein, um einen Straftäter zu überführen. Selten wurde das so deutlich wie bei Ermittlungen gegen einen Nutzer, der im Schutze des Darknets Kinderpornographie teilte und anschaute. Es war ein unschuldiges Urlaubsfoto von einer Frau und einem Kind, die der Kamera stolz einen frisch gefangenen Fisch präsentierten, das schließlich den entscheidenden Hinweis lieferte.

Die Ermittler fanden das Bild im Cache eines Rechners, der voll von illegalem, eindeutigem Material war. Die Indizien auf dem Computer brachten schließlich den Durchbruch in dem Fall: Sie führten die ermittelnden US-Polizisten zu einem Campingplatz in Richville, Minnesota, und ermöglichten sowohl die Rettung des missbrauchten Kindes als auch die Verurteilung des Täters im Dezember 2012.

Bevor den Beamten ihr Coup gelingen konnte, mussten sie jedoch herausfinden, wo das Foto aufgenommen wurde—genau an dieser Stelle wurde Photoshop zum wichtigen Werkzeug. Die Ermittler schnitten die Fische aus dem Foto heraus, erhöhten die Bildauflösung des Bildausschnitts und schickten ihn zur Identifizierung an Forscher von der Cornell University, wie der Polizeibeamte Jim Cole gegenüber Motherboard erklärt.

Den Wissenschaftlern gelang es in dem Bildausschnitt, den sie von der Polizei erhalten hatten, die Fischspezies zu bestimmen—mit einem für die Ermittler erfreulichen Ergebnis: Die Analyse ergab, dass diese Gattung nur in einer bestimmten Region vorkommt.

In einem nächsten Schritt nutzten die Ermittler den Bildausschnitt, der die beiden Personen zeigte und legten es mehreren Campingplatz-Betreibern in der Region vor, wie Cole, der die Abteilung zur Opferidentifizierung der amerikanischen Zollbehörde leitet, berichtete. Das Ergebnis war ein Volltreffer: Einer der Campingplatz-Betreiber konnte identifizieren, wo das Bild geschossen wurde.

Als die Ermittler schließlich den fraglichen Campingplatz besuchten, fanden sie das exakt gleiche Foto an der Pinnwand in der Rezeption vor.

„Wir versuchen, den Heuhaufen so gut wie möglich einzugrenzen, um die Nadel finden zu können", beschreibt Cole die Vorgehensweise der Behörde.

Der Fall der Pädophilen-Verurteilung von Minnesota ist nur ein Beispiel dafür, wie Polizeibehören Standardsoftware wie Photoshop benutzen, um Fälle von Kinderpornografie aufzuklären.

Dieses Foto aus einer Kinderpornografie-Ermittlung liefert nur auf den ersten Blick keinerlei Hinweise.

Die Non-Profit-Organisation National Center for Missing & Exploited Children, die FBI-Beamte und auch Interpol bei Ermittlungen unterstüzt, hat allein in diesem Jahr bereits durchschnittlich 500.000 verdächtige Dateien pro Woche überprüft, um wichtige Informationen in laufenden Fällen zu sammeln. Die unfassbar große Datenmenge ergibt sich unter anderem aus den Daten, die in laufenden Ermittlungen anfallen, durch die Zusammenarbeit mit anderen Non-Profit-Organisationen und auch durch Hinweise aus der Bevölkerung.

Auch Cole selbst musste aufgrund seines Berufs schon viele der traumatisierenden Bilder betrachten. Wie auch andere seiner Kollegen, die täglich mit solchem Material konfrontiert sind, ist er den Bildern gegenüber mittlerweile ein wenig abgestumpft. „Es gibt aber immer noch Fotos und Videos, die mich schockieren", sagt er.

Wenn Cole und seine Leute ein Bild erhalten, ist es im ersten Schritt wichtig, festzustellen, ob das darauf zu sehende Opfer vorher schon identifiziert wurde. Ein Vergleich der Hash-Daten oder anderer digitaler Zusatzinformationen, die in den Dateien stecken, mit vorhandenem Material kann hierbei bereits erste Antworten liefern.

„Doch hundertprozentig zuverlässig sind diese Methoden nicht", räumt Cole ein. Pornografische Bilder können bereits mehrere tausend Mal geteilt und in unterschiedlichen Versionen auf Sharing-Seiten hochgeladen worden sein. Es reicht aus, dass ein Pixel anders ist, ein Teil der Metadaten verändert wurde oder die Datei anders komprimiert wurde, und schon stimmen die Hashwerte nicht mehr überein.

In solchen Fällen kann Cole jedoch auf Photo DNA zurückgreifen, eine von Microsoft entwickelte Technik, die einen „Fingerabdruck" des Bildes erstellt. Die entsprechenden Behörden können diesen dann mit ähnlichen Fotos vergleichen—vielleicht mit solchen, deren Größe verändert oder die anderweitig manipuliert wurden—und trotz der Veränderungen eine Übereinstimmung finden. Wurde das Opfer vorher noch nicht identifiziert, laden die Ermittler das Material in die Interpol Kinderpornographie-Bilddatenbank, die International Child Sexual Exploitation image database, hoch.

Doch mit ein paar gekonnten Handgriffen in Photoshop ist ein Logo auf dem Pulli des Mannes zu erkennen.

Ein Logo auf einem Bild kann den entscheidenden Hinweis liefern.

Wenn es hingegen darum geht, auf einem bestimmten Foto oder in einem Video nach Hinweisen zu suchen, bedient sich Cole in den jeweils unterschiedlichen Ermittlungsphasen unzähliger unterschiedlicher Programme.

Zum einen gibt es Analyze DI, eine Software, die es laut Cole erleichtert, zu entscheiden, welche Fotos für die Ermittlungen von Bedeutung sein könnten. Diese öffnet er dann mit Photoshop, wo er sie vergößern und ihre Auflösung erhöhen kann. Dann gibt es noch Adobe Premiere für Videos und Adobe Audition für Audiodateien—weit verbreitete Programme, mit denen auch reguläre Nutzer vertraut sein dürften. Die weiteren Produkte, die die Ermittler verwenden, sind weniger bekannt, wie beispielsweise Amped Five oder Forensics Image Analysis System (FIAS), die zur Verbesserung der Qualität von Videos angewendet werden.

„Photoshop ist jedoch das Programm, mit dem wir am häufigsten arbeiten", so Cole. Der Ermittler arbeitet dabei eng mit Adobe zusammen, hat dem Unternehmen in der Vergangenheit sogar Vorschläge für neue Features gemacht und bekommt häufig früher als reguläre Nutzer Zugriff auf neue Tools.

„Wir zerlegen das gesamte Bild in seine Einzelteile und ich schaue mir jedes Element ganz genau an", fügte er hinzu. Dabei geht es nicht nur um das, was auf dem Bild zu sehen ist, sondern auch um die Metadaten der Exif-Daten, die einen Hinweis darauf liefern können, was für eine Kamera benutzt wurde.

Bei Fotos aus dem Internet, deren Urheber nicht bekannt ist, kann selbst eine Tabletten-Dose im Bildhintergrund eine Ermittlung voranbringen.

Im Fall des Campingplatz-Fotos hielten die Bilder noch weitere wichtige Informationen für die Ermittler bereit: In einer Reihe von Bildern, auf denen zwei Opfer zu sehen waren, trug der Verdächtige beispielsweise einen grauen Kapuzenpulli mit einem schwer erkennbaren, dunkelblauen Logo auf der linken Seite, erzählte Cole. Um den Text erkennen zu können, erhöhte Cole die Belichtung, doch das war noch nicht ausreichend. Er reduzierte also zusätzlich die Unschärfe, legte einen Schärfefilter auf das Bild und benutzte dann ein Tool, um den Farbverlauf zu verändern. Nach zahlreichen Bearbeitungsschritten kam schließlich ein Logo zum Vorschein, das zu einem Heiz-, Sanitär- und Elektrotechnikunternehmen in Maryland gehört. Und tatsächlich: Der Verdächtige war ein ehemaliger Mitarbeiter der Firma. Wie Cole erklärte, konnten vier weitere potentielle Opfer infolge der Festnahme und Verurteilung des Täters vor einem zukünftigem Missbrauch gerettet werden.

In anderen Fällen konnten Ermittler wichtige Details auf einer Dose rezeptpflichtiger Tabletten erkennen, oder das regionale Fast Food-Logo auf zwei Getränkebechern im Bildhintergrund identifizieren. Doch jeder Fall ist anders, betonte Cole. Manch einer kann in wenigen Stunden gelöst werden, andere sind auch noch über ein Jahrzehnt später offen.

Tatsächlich bedienen sich einige Verdächtige sogar der gleichen Programme wie die Ermittler, um ihre Spuren zu verwischen—oder, wie Cole es beschreibt, „um zu verhindern, dass das Opfer identifiziert werden kann." In manchen Darknet-Foren tauschen Kinderpornografen untereinander Tips und Tricks aus, wie man gängige Software am besten nutzen könne.

„Es gibt da zum Beispiel ein Tutorial, in dem gezeigt wird, wie das Tracking-Feature von Premiere Pro funktioniert, mit dem man im Wesentlichen sein eigenes Gesicht [in einem Video] unkenntlich machen kann", berichtet Cole.

Die Fälle, mit denen Cole es zu tun hat, haben häufig ihren Ausgangspunkt im Darknet. Cole hat bereits Material von Playpen ausgewertet, einer großen Kinderpornografie-Seite im Darknet, die im Februar letzten Jahres vom FBI beschlagnahmt und im Anschluss mit Malware versehen wurde, um die Nutzer auszuforschen.

„Jedes Mal, wenn ich denke, mich kann nichts mehr schocken, kommt ein Fall, der mir das Gegenteil beweist."