Beispiel zur Datenanalyse: Fahrtroutenrekonstruktion nach Fahrerfluchtverdacht

automoti-ven Beispielszenarios, wie ein IT-forensischer Prozess durch fahrzeugbezogene Daten aus einem (im Rahmen der Strategischen Vorbereitung installierten) FFDS profitieren kann.

Im betrachteten Szenario wird der Verursacher eines schweren Unfalls gesucht, der Fahrer-flucht begangen hat. Anhand von Berichten zu Fahrzeugmodell und -farbe gerät ein Fahr-zeugbesitzer in Verdacht. Dieser beteuert seine Unschuld und gibt an, zum fraglichen

Zeit-raum zwar gefahren, sich aber an einem anderen Ort befunden zu haben. Zwar ist sein Fahrzeug mit einem FFDS ausgestattet und neben dem persönlichen Fahrtenbuch auch das Profil für IT-Forensiker aktiviert, jedoch hatte er aus Datenschutzbedenken jeweils keine GPS-Koordinaten loggen lassen, so dass in den Logdaten keine explizit ortsbezogenen In-formationen vorliegen. Um den Verdacht zu entkräften, stimmt er einer IT-forensischen Un-tersuchung der FFDS-Protokolldaten zu und liefert den Ermittlern bereitwillig Angaben zu der ihm zufolge gefahrenen Route.

Bzgl. dieses in der eigenen Publikation [HKKD12] ausführlicher behandelten Beispielszena-rios wird im Folgenden eine Auswertung der protokollierten Fahrzeugdaten kompakt illustriert.

Aufgrund der gegebenen Randbedingung, dass die analysierten Logdaten keine expliziten geographischen Informationen umfassen, erlauben die auszuwertenden Daten einem Dritten kein direktes Ablesen der Fahrzeugposition(en). Durch die Kooperationsbereitschaft des verdächtigten Fahrzeugbesitzers können die Ermittler jedoch die von ihm angegebene Stre-cke mit Hilfe der vorliegenden Daten auf ihre Plausibilität überprüfen. Im Folgenden werden hierzu ein manuell durchzuführender sowie ein teil-automatisierbarer Ansatz vorgestellt, für die lediglich eine Angabe des Fahrzeugbesitzers zum vorgeblichen Startpunkt vorliegen muss. Sofern diese zutrifft, kann der untersuchende Ermittler die Fahrtroute auf Basis vor-handener Log-Informationen zum Geschwindigkeitsverlauf und erfolgten Lenkbewegungen rekonstruieren. Der folgenden Illustration beider Ansätze liegen reale Loginformationen zu-grunde, die im Rahmen einer Testfahrt im Magdeburger Stadtgebiet protokolliert wurden.

Manuelle Fahrtroutenrekonstruktion

Ausgangspunkt für diesen Ansatz ist der protokollierte Geschwindigkeitsverlauf, der im obe-ren Teil von Abbildung 49 als Kurve angetragen ist. Zeitpunkte, zu denen das Fahrzeug wäh-rend der Fahrt verlangsamte oder zum Stehen kam, sind als lokale Minima der Kurve gut ersichtlich. Entsprechend lassen sich über die zugehörigen Integrale die (in Abbildung 49 teils angetragenen) Distanzen der jeweiligen Streckenabschnitte ermitteln.

Ausgehend von einer bekannten Position (hier: die Startposition) kann der restliche Verlauf über iterative Plausibilitätsprüfungen rekonstruiert werden. Nach jeder dem Kartenmaterial entnehmbaren Verzweigung ist folglich jede möglichen Anschluss-Teilstrecke separat zu plausibilisieren. Eine vermutete Teilstrecke kann insbesondere dann begründet ausge-schlossen werden, wenn sich markante Punkte der Streckenführung (z.B. Kurven), die typi-scherweise mit einem Bremsvorgang einhergehen, im Geschwindigkeitsverlauf nicht wider-spiegeln. In diesem Kontext ist zu beachten, dass zusätzlich beobachtbare Bremsvorgänge auch aufgrund der Verkehrslage (z.B. Stau, kreuzende Fußgänger etc.) begründet sein kön-nen – also auch beim Auftreten auf einem geraden Abschnitt der vermuteten Teilstrecke kein Ausschlusskriterium darstellen müssen. Die manuell rekonstruierte Route des vorliegenden Anwendungsbeispiels ist in der Karte im unteren Teil von Abbildung 49 angetragen.

281m

399m

719m

Abbildung basiert auf Kartenmaterial des OpenStreetMap Projekts

(www.openstreetmap.org)

© OpenStreetMap und Mitwirkende, CC-BY-SA (www.creativecommons.org)

Abbildung 49: Manuelle Routenrekonstruktion auf Basis des Geschwindigkeitsverlaufs

Teil-automatisierte Routenrekonstruktion

Vergleichbare Strategien zur Nachverfolgung einer Fahrzeugposition sind bereits in vielen integrierten Navigationssystemen implementiert. Diese nutzen aktuelle Sensordaten (z.B.

Geschwindigkeit und Lenkwinkel oder Gyrometerwerte) um auf Basis des vorhandenen Kar-tenmaterials die angezeigte Fahrzeugposition durchgehend zu aktualisieren. Entsprechende Algorithmen sind einerseits bei gestörtem GPS-Empfang erforderlich (z.B. in Tunneln), wer-den aber auch gezielt zur Energieeinsparung eingesetzt (reduzierte Verwendung des GPS-Moduls). Mit ihrer Hilfe kann eine störungsfreie Navigation ohne GPS-Empfang aus Praxiser-fahrungen teils über mehrere hundert Kilometer hinweg aufrechterhalten werden.

Entsprechende Geräte können auch den IT-Forensiker bei der Durchführung einer Routen-rekonstruktion unterstützen. Folgende Schritte sind erforderlich:

1. Das verwendete Gerät ist in isolierter Umgebung in Betrieb zu nehmen, d.h. von GPS-Antenne und (realem) Fahrzeug-Bussystem zu trennen.

2. Es ist auf die angenommene Startposition zu konfigurieren, einige Geräte bieten hierfür vorgesehene Menüfunktionen. Ein Beispiel ist das in Abbildung 50 dargestellte Menü, in dem die Entfernung des Fahrzeugs zu einer anzugebenden Kreuzung und dessen Aus-richtung anzugeben sind.

3. Die Routenverfolgung wird gestartet, indem das Gerät mit den zu analysierenden Sen-sorinformationen versorgt wird. Erwartet das Gerät diese über ein digitales Feldbussys-tem, muss der Untersuchende die Daten zuvor ggf. noch an die vom Gerät erwartete Syntax der verarbeiteten Busnachrichten anpassen. Einige ältere Geräte (wie das in Ab-bildung 50 dargestellte) werden über analoge Signaleingänge mit den entsprechenden Informationen versorgt – um diese für die Routenrekonstruktion verwenden zu können, sind ggf. geeignete Signalgeneratoren erforderlich.

4. Die als Ergebnis erhaltene resultierende Route sollte abschließend auf ihre Plausibilität hin überprüft werden. Mögliche Kriterien für eine wahrscheinliche Übereinstimmung mit der real gefahrenen Route sind z.B. ob die ermittelte Route der schnellsten oder kürzes-ten Verbindung zwischen Start- und Zielpunkt entspricht. Auch sollte der Geschwindig-keitsverlauf zu der Streckenführung der ermittelten Route passen (s.o. zum manuellen Ansatz).

Abbildung 50: Teilautomatisierte Routenrekonstruktion: Konfiguration der Startposition

Abbildung 51: Teilautomatisierte Routenrekonstruktion: Bildschirmfotos aus dem Testverlauf

Als Ergebnis der teilautomatisierten Routenrekonstruktion am Beispiel der o.g. Testfahrt in Magdeburg konnte ausgehend von den eingespielten Logdaten und der angegebenen Start-position die korrekte Route und das korrekte Ziel ermittelt werden. Die Illustration in Abbil-dung 51 zeigt einige Bildschirmfotos bzw. -ausschnitte. Als eine Schwierigkeit des hierzu verwendeten Testgeräts zeigte sich, dass es vom CAN-Bus zwar die Geschwindigkeit ein-liest, die Lenkbewegungen jedoch selbst über ein integriertes Gyrometer ermittelt. Da kein weiteres Testgerät vorlag, das beide Eingabewerte busseitig einliest, mussten die Übergabe der protokollierten Lenkbewegungen im Test daher durch manuelles Drehen des Gerätes simuliert werden.

Bezugnehmend auf das Beispielszenario wären beide vorgestellte Verfahren im Rahmen der Datenanalyse des IT-forensischen Prozesses geeignet, um Indizien zu sammeln, die die Entlastung des der Fahrerflucht verdächtigten Fahrzeugführers unterstützen. Durch die Ko-operation des Fahrzeugbesitzers stellen die im Rahmen der strategischen Vorbereitung pro-tokollierten Daten somit im vorliegenden Fall auch ohne die enthaltenen Geokoordinaten ein wertvolles Hilfsmittel für die IT-forensische Untersuchung des vermuteten Vorfalls dar.