Zutaten investigativer Techrecherche
Acht Open Source Geschichten, die einen bleibenden Eindruck hinterlassen, werden auf ihre Erfolgsrezepte hin untersucht.
Die Prinzregententorte zählt sicher zu den bekanntesten und beliebtesten Torten im Süden Deutschlands. Sie ist zart und elegant, und hinterlässt bei manch einem Genießer des süßen Gifts (wie dem Autor dieses Posts) einen bleibenden Eindruck.
Unter den Münchner Torten ist sie ein Star. Sie wurde von Heinrich Georg Erbshäuser, ein Konditoreigründer und Meister des 19. Jahrhundert zu Ehren von Prinzregent Luitpold, kreiert. Dann dauerte es nicht lange bis sie zum regelrechten Dauerbrenner wurde. Heutzutage ist sie in den meisten teuren Cafés, Kuchenläden oder Pâtisserien nicht mehr wegzudenken.
Erbshäuser, 1890 zum königlich-bayerischen Hoflieferanten von Prinz Ludwig ernannt, stapelte sieben dünne, mit Schokoladencreme verbundene Sandteig-Böden aufeinander. Die Architektur der Torte, das Wechselspiel zwischen Böden und Buttercreme, ist der zentrale Bestandteil der Erfolgstinktur. Damit wurde die Torte zum Schlager. Bis heute beschweren sich Torten und Backliebhaber einerseits darüber, wie schwierig es ist, die Prinzregententorte backtechnisch richtig hinzubekommen. Andererseits, schwärmen viele davon, wie sich die heikle Arbeit doch für diesen speziellen Genuss lohnt.
Wozu all das Gerede über Backen und Torten? Genauso wie die Zutatenarchitektur der Prinzregententorte (die sie so einzigartig lecker macht, das ist purer Meinungsjournalismus) haben Investigativgeschichten auch technische Zutaten, die zum Erfolg führen.
Breit gefasst können das sichere auch Geheimdokumente, Datenleaks, Gerichtsakten etc. aber auch zumal Interviews mit Quellen sein, an die keiner so einfach herankommt. Manchmal jedoch ist es die Summe technischen Werkzeuge, die bei einer Recherche zum Einsatz kommen.
Für den technischen Teil heißt das im Detail zu analysieren was den “Durchbruch” in einer Recherche bringt. Immer häufiger ist der entscheidende Teil neue Erkenntnisse die auf Daten aus dem Internet beruht, sogenanntes Open Source Intelligence, kurz OSINT.
So ist der Bereich des OSINT Journalismus in den letzten Jahren explodiert. Denn gerade er liefert oft, an kritischen Stellen, wichtige Resultate, die Journalisten weiterhilft. Oft passiert das genau dann, wenn der Chefredakteure gerade entscheidet, ob die Recherche weiterlaufen soll oder nicht.
Da gibt es Informationen und Datenquellen die wie eine geheime Tinktur in einem Backrezept zusammenwirken. Sie lassen eine Geschichte funktionieren, oder eben nicht. Sicher: Mit neuen technischen Mitteln sind ganz neue Rechercheansätze möglich. Viele denken fälschlicherweise dass wer OSINT kann, der hats eh leicht. Aber wie beim Backen gilt. Es reicht oft nicht die Zutat nur zu besitzen. Man muss auch wissen wie man sie am besten in den Teig einarbeitet.
Im Anschluss also eine Auswahl von 8 technischen Geschichten, die offene Daten und digitale forensische Werkzeuge verwenden und einige wichtige Lehren offenlegen. Einiger Journalisten sind da mehr, andere weniger erfolgreich (wie im Beispiel Bamberger Hörnla). Die Auswahl basiert auf der Qualität der Rechercheansätze, aber auch auf der Vielfalt und Extravaganz in der Anwendung der OSINT Quellen.
Auch wichtig: Dass die Erkenntnisse, die durch online-forensischen Arbeit gewonnen wird, kein Nebenschauplatz darstellen sollte. Diese Geschichten nutzen OSINT als Hauptbestandteil der Beweisführung. Ohne diese Arbeit gäbe es also keine Geschichten.
Wir fragen: Warum und wieso funktionieren diese Geschichten überhaupt? Was ist die entscheidende Zutat, der technische Teil, den die Journalisten weitergebracht hat und warum?
Dazu gibt es jeweils ein Backrezept, ein Vorschlag eines Desserts passend zum Standort der Geschichte.
Guten Hunger und Happy Investigating!!!
1. QATLAMA/Afghanistan
Das Team der New York Times Visual Investigations publizierte im September letzten Jahres eine tragische Geschichte aus dem Krisengebiet Afghanistan: Wie konnte es dazu kommen, dass ein amerikanischer Drohnenangriff einen unschuldigen Zivilisten in Afghanistan tötet?
Hier nun einer der wichtigsten Zutaten: Die Recherche kann von bis dato ungesehenen Videomaterial von Sicherheitskameras profitieren. So können die entscheidende Momente kurz vor dem Anschlag analysiert werden.
Die Aufnahmen alleine wären sicher wertlos gewesen, hätten die Journalisten nicht den Fall durch Interviews mit Kollegen der Person und durch weitere technischen Verifizierung unabhängig bestätigen können. Sie verwenden zum Beispiel Satellitenbilder vom fraglichen Tag des Anschlags um die Echtheit der Videoaufnahmen aufzuzeigen. Wie auf den Luftaufnahmen, sehen so Zuschauer die gleichen Fahrzeuge wie auf den Videos. Hier ist Liebe zum Detail gefragt. Sie ist nicht nur wichtig für die Stichhaltigkeit. Sie macht auch das Stroytelling selber zum Erfolg.
Vielleicht würden viele Journalisten gar nicht so weit gehen und sich die Arbeit machen. Die New York Times “goes the extra mile” für ihre Leser und Zuschauer. Diese finden es toll und danken mit hohen YouTube Einschaltquoten und hohen internationalen Leserzahlen.
Was der getötete kurz vor dem Anschlag macht, das wird genau im Detail Schritt für Schritt erklärt. Die Erzählweise ist typisch für dieses Medium. Die Timeline ist schlüssig und Fallhöhe wird bis zum Dronenanschlag aufgebaut. Das macht zwar die Geschichte länger. Wer aber genug Interesse hat und das Medium kennt, bleibt dran. Länge ist hier auch eine Zutat: Nicht zu lang, nicht zu kurz. Der analytische Zuschauer schaut sich gern die ganzen 11 Minuten bis zum Ende an.
Fazit: Der Schlüssigkeit der Beweisführung macht es Spaß zuzuschauen. Gezielt wird in die Tiefe anstatt in die Breite recherchiert. Nur kurz wird auf die politischen Umstände in Afghanistan und Amerikas Kampf gegen den Terror, eingegangen. Was zähl, ist die Geschichte eines Mannes der unrechtmäßig vom amerikanischen Staat regelrecht exekutiert wird. Das lässt sich visuell gut darstellen. Zwar sind noch mehr Zivilisten durch den Angriff gestorben. Dennoch wirkt die fokussierte Empathie auf eine einzige Person erzählerisch besser als das Leid der Massen zu beschreiben.
Solche tragischen Geschichten werden oft nach dem Einfluss (und etwaigen Änderungen oder Zugeständnisse) bemessen. Die Story schlug mit fast 5 Millionen Aufrufen nicht nur Wellen auf Online Video Plattform YouTube. Sie brachte auch das Pentagon dazu, einen gravierenden Fehler einzugestehen. Tolle Arbeit, mit entscheidenden Zutaten, die diese Investigativgeschichte erfolgreich macht, unten nochmal im Detail wie ein Rezept aufgedröselt.
Zutaten:
- Exklusiver Zugang zu Material der Sicherheitskameras die den getöteten Mann filmten
- Beantwortung der Frage “ist das Material echt”, mit Hilfe von Satellitendaten
- Befragung der Kollegen des Getöteten
- Frame-by-Frame Bildanalyse des Behälters den der Getötete bei sich hatte um die Schuldfrage zu klären
2. Ekmek Kataifi/Griechenland
Sicherlich einer der beeindruckendsten Geschichten des Investigativ Outfits Bellingcat für Europa, stellt diese Story die Schuldfrage an die Grenztruppe Frontex und illegalen Pushbacks (Bellingcat verfasste mehrere Storys zu dem Thema. Wir gehen auf zwei ein). Um zu bestimmen, wie Frontex sich an den illegalen Pushbacks durch die Schiffe der Europäische Grenztruppen beteiligte, werden zwei wichtige Datenquellen als Zutaten vermischt.
Offenen Quellen kommen zum Einsatz, die Frontex-Mitarbeiter aktiv an einem Pushback-Zwischenfall an der griechisch-türkischen Seegrenze in der Ägäis zeigen. Bei einem weiteren Fall war Frontex Schiffe anwesend. In weiteren vier Fallen sind die in “unmittelbarer Nähe”. Zielführend war: Die AIS Daten der Schiffe auszuwerten, die bei den Pushbacks Vorort waren. Journalisten konnten so den Schiffen der Europäische Agentur für die Grenz- und Küstenwache nachweisen, wie nachteilig sie sich gegenüber Migranten auf See verhielten.
Einschub: Eine weitere Zutat (nicht in dieser Pushbackgeschichte, sondern einer anderen Bellingcat Story zum Thema): Wichtige Daten können auch direkt von Social Media, von Twitter oder Facebook stammen. Migranten posten ihre Erlebnisse auf Social Media, Handyvideos mit Updates ihrer gefährlichen Reise nach Europa. Journalisten konnten so wichtige Details zu den Pushbacks offenlegen.
Hilfe haben auch Twitter Profile angeboten, Menschen mit Zugang zu teuren Schifftracking Databasen (wie der Account YorukIsik, den man unbedingt in diesem Zusammenhang folgen sollte). Diese Accounts sind zwar keine Journalisten, sind aber sehr aktiv und oft hilfbereit. Für die Pushback Geschichte scheinen solche Quellen zu einem gewissen Grad hilfreich gewesen zu sein, besonders um Dinge loszutreten. Den Journalisten reichte das aber nicht. Um Frontex Schiffen genau auf die Finger zu schauen zu können, benötigten sie weitaus mehr Daten.
Sie griffen auf kommerzielle Partner zurück. AIS- und Transponderdaten die sie im Zuge der Recherche einfach kauften. Zwr gibt es öffentlich zugängliche Informationen, die den Standort bestimmter Schiffe oder Flugzeuge ausweisen. Webseiten von Marine Traffic oder Flight Radar 24 sind hier zu nennen. Es stellte sich jedoch bald heraus, dass viele der von den Kollegen identifizierten Schiffe keine öffentlich zugänglichen Informationen teilten. Ein Grund war: Viele hatten ihren Transponder ausschaltet — sicherlich etwas das ein eigenes Sicherheitsrisiko darstellt.
Leicht war es nicht die Schiffe zu tracken. Selbst bei den Schiffen, die ihr AIS Signal zum Teil anbehalten haben, gab es Probleme. Sie stellten jedoch den weitaus größten Hoffnungsschimmer dar, Frontex zu überführen. Das Erfolgszutat waren also diese Schiffe zu lokalisieren. Von den Schiffen, die sich mit AIS zu erkennen gaben, haben sie dann Daten von Firmen gekauft: “Detailliertere Daten von Schiffs- und Flugverfolgungsunternehmen zu den Daten, an denen Pushbacks gemeldet worden waren”, hieß es.
Bereits öffentlichen Berichte zu Pushbacks hab es. Diese seien von Nichtregierungsorganisationen, mit einem Interesse daran, gesammelt und geteilt worden.
Ausgestattet mit den Koordinaten, brauchten die Journalisten jetzt nur noch loslegen, die zwei Quellen miteinander zu vereinen, Einzelheiten verifizieren, Opfer befragen, und Schuldige bestätigen.
Das Thema Flüchtlinge auf See bleibt relevant. Erst kürzlich müssen Hunderten Flüchtlingen an Bord von Schiffen privater Seenotretter auf dem Mittelmeer ausharren weil die Regierungen in Italien und Malta sie nicht an Land ließen.
Zutaten:
- AIS Trackingdaten einiger Frontex Schiffe
- Käuflich erworben
- Vereint mit Daten bei denen Pushbacks von Migranten und Organisationen gemeldet wurden (NGOs)
- Auswertung von Social Media Posts
- Geoanalyse einer Pushback situation, zeitlich und räumlich analysiert.
3. Esterházytorte/Österreich
Benannt nach dem Diplomaten Paul III. Anton Esterházy, wurde die Torte, nachdem sie von Budapester Konditoren kreiert wurde, zu einem (Wiener) Dauerbrenner der regionalen Mehlspeisen-Küche. Österreich und Ungarn haben nicht nur Sissi und jede Menge kreativer Backrezepte zu bieten. Die Länder - in diesem Fall Österreich — hausen auch ein weites Spektrum an Online Hetzern und rechtsradikale Stimmen im Internet.
Zum Fall des C. K. habe ich mich kürzlich in einem OSINT Blog Post zu Wort gemeldet. Dabei habe ich lediglich die Verifikation der Analyse betrieben, nicht jedoch die ursprüngliche Recherchearbeit. Spannend war es trotzdem.
Jahrelang war der Account Hartes Geld auf mehreren sozialen Plattformen unterwegs. Der Mann hinter den Accounts ist ein Anwalt mit dem Wohnort nahe Linz und sitz sogar bei Organisationen im Vorstand.
Seit Jahren ist er zentraler Verbreiter von Impflügen und Hetzkampagnen, Neuerdings, seit dem russischen Angriffskrieg gegen die Ukraine, werden Pro-russischen Propagandakampagnen gepusht. Ihm konnte nun, so weit man das annehmen kann, das Handwerk gelegt werden.
Seit Anfang November schweigen die viele der Accounts weitestgehend. Nur fair, finden viele die von dem Account eingeschüchtert wurde. Mit tausenden von Follower, hat er einige Personen oft gezielt in Bedrängnis getrieben. Manchmal hat er Leute gedoxxt. Nun wurde sein eigener Name, Stand und Adresse von online Aktivisten mitgeteilt.
Einschub: Ein ganz wichtiger Punkt bei SOCINT Geschichten, wie dieser, die einen radikalen anonymen Account aufdeckt, ist: Beachtung der allgemeinen Anti-Doxxing Regeln. Die Person soll nicht zum Ziel weiteren Hasses, Hetzte oder Gewalt werden.
Wer steckt hinter dem Profil, der sich als libertärer Anwalt aus Österreich selbst betitelt? Besonders spannend an der Recherche ist die Breite der Social Media Recherche.
Der Kerngedanke rundum die Analyse des Mannes hinter dem Account Hartes_Geld, besteht darin, den allerersten bekannten Social-Media Account von Hartes Geld auf VK zu finden.
Den Zugang zum Account hat der Nutzer wahrscheinlich verloren, denn circa ein Jahr nachdem er diesen nicht mehr nutze, wird ein zweiter VK Account erstellt. Selber Namen, selbe Beschreibung. Nun ist der erste, alte Account interessanter. Der Nutzer ist unvorsichtiger als heute. Das können OSINT Ermittler ausnützen.
Im Account finden sie persönliche Indizien die auf einen Österreichischen Anwalt schließen lassen. Dabei werden Freunde in der Kontaktliste des alten Accounts geprüft. Sie deuten auf das Familiennetzwerks des Nutzers hin. In den Freundeslisten findet sich die Ehefrau des Bruders.
Eine Todesanzeige hilft, das Familiennetzwerk der Zielperson weiter aufzudröseln und Namen, die im VK Account auftauchten, zu bestätigen. Mit einer Google Suche stößt man schnell auf eine Todesnachricht des Vaters der Person. Dort angegeben ist ein gewisser C. als Ehemann. Der Vater stribt im Mai 2018. Auffallend ist dabei: In dem Zeitraum schreibt Hartes_Geld weniger als sonst. So verdichtet sich das Netz der Hinweise immer weiter.
Posts, besonders mit Fotos auf Twitter, können noch mehr Details liefern. Einige Aussagen können mit dem Résumé der Person abgeglichen werden. Sie bestätigen die Identität. Hartes_Geld schreibt zum Beispiel, dass er in Salzburg studiert habe. In Lebenslauf des Mannes mit einem Magister finden wir die gleiche Beschreibung.
Bildanalyse der Posts des Account war sicher bei der Analyse eine zentrale Zutat. Hartes Geld gibt an er habe im Juli 2016 einen privaten “Schwimmteich” besessen. Analysen der Wasserpflanze die dort abgebildet war, eine Nelumbo Lucifera, ist in Österreich heimisch. Ein Teich wird bei der Adresse der Person auch gefunden.
Das Ristorante Pizzeria Bar La Canottieri ist ein Lokal, das die Person hinter dem Account regelmäßig besucht. Dazu schreibt er auch etwas auf Twitter. Zu der verdächtigten Person, passt das ins Bild.
Weitere online Recherchen besagen dass er für eine Stiftung, der FABASOFT PRIVATSTIFTUNG — mit Verbindung zu der FABASOFT AG, einem Softwarehersteller und Cloud-Dienstleister mit Sitz in Linz — im Vorstand sitz. Der Standort der Organisation liegt nur ein halbe Stunde Fahrt vom Büro von C.K.
So arbeitet man Indiz für Indiz ab und verifiziert was vorliegt. Seitdem bekannt wurde wer hinter dem Account steckt, bleiben die Kanäle des Anwalts weitestgehend stumm. Für viele im Netz, gerade auf Twitter, heißt das aufatmen. Eine Aktivistin die sich gegen Hass im Netz starkmacht (auch im Fall Kellermayer), erzählt wie der Account sie regelrecht transitiert habe.
Zwar gibt es noch weitere dieser Hateaccounts auf Twitter. Dennoch scheint es ein kleiner Sieg gegen online Hetze, rechtem Hass und Pro-russischer Desinformation zu sein.
Zutaten:
- Ein vorheriger/alter VK Account, in der die Person sein Familiennetzwerk preisgibt
- Online Todesanzeige des Vaters
- Abgleich des Familiennetzwerks durch Social Media Analyse (SOCINT)
- Geolocation Verifikation eines Posts die zur Zielperson führt
- Suche nach Abschlussarbeiten der Zielperson (nicht zielführend, trotzdem spannend)
- Fotoabgleich: Ein Teich, den man so auch an der Adresse der Person findet
4. Kyiv Cake
Mit einer Recherche schafften es Journalisten von Bellingcat und Spiegel einige Militäringenieure “mit der Ausbildung und deren beruflichen Hintergrund in der Programmierung von Langstreckenraketen” zu identifizieren. Diese Langstreckenraketen töten auch Zivilisten, wie ich hier ausführlich erklärte. Es ist ein gewaltiges Kriegsverbrechen.
Die Identifizierung dieser geheimen Gruppe innerhalb des Verteidigungsministeriums wurde zu einem großen Open Source Intelligence Spektakel. Den Erfolgt liefert die Analyse von Open-Source-Daten Tausender Absolventen der führenden russischen Militäreinrichtungen, die sich mit Raketentechnik und -programmierung befassen. Insbesondere zu der Militärakademie für strategische Raketentruppen in Balaschicha in der Nähe von Moskau und des Militärisch-Navaltechnischen Instituts im Vorort Puschkin von St. Petersburg werden Hinweise gefunden.
Die Ausgangshypothese war dass diese führenden Militäreinrichtungen als Ausbildungsstätte dienen. Zumindest für einige der Offiziere, die derzeit Russlands modernste Langstreckenraketen steuern.
Geleakte Beschäftigungs- oder Telefon Metadaten dieser Hochschulabsolventen werden im russischen Darknet Datenmärkte erworben. Auf diese Weise bestätigen Journalisten , dass einige dieser Personen in Telefonkontaktlisten als Mitarbeiter der GVC oder des Hauptrechenzentrums der russischen Streitkräfte geführt wurden.
Zielführend war auch die Abfrage von Personendaten aus Datenbanken. Telegram-Bots wie Glaz Boga und HimeraSearch helfen dabei.
Zutaten:
- Telegram Lookup Daten, um die Identität der Personen zu finden, die eine bestimmte Adresse aufweisen
- Cell tower Metadaten: Telefonlisten: Bellingcat hat Telefon-Metadaten eines ranghöchsten Person der Institution erworben. Daten werden von Brokern gekauft, die solche Dienste anbieten. Der russische Schwarzmarkt ermöglichte es für Daten Journalisten und Aktivisten in den letzten Jahren in zahlreiche wichtige Untersuchungen über das Militär und die Geheimdienste des Landes Recherchen anzustellen.
- Interviews mit den Beschuldigten am Telefon (surprise!)
5. Tamriyeh/Palästina
Der Tod von Shireen Abu Akleh war eine Tragödie, hatte aber großartige Recherchearbeit zur Folge. “The Extrajudicial Killing of a Journalist”, der Organisation Forensic Architecture (FA), ist sicherlich eine dieser bahnbrechenden Recherchen der letzten Jahre. FA glänzt in der Art und Weise eine Timeline zu erstellen und sie visuell darzustellen. Dabei waren die neuen Videoaufnahmen der Journalisten zentraler Bestandteil der Beweisführung. Ohne sie, wäre die Recherche wohl kaum möglich gewesen.
Ungesehenes Filmmaterial liefert neue Beweise für die Ermordung der Journalistin. Scharfschützen der israelischen Besatzungstruppen nehmen sie als Ziel ins Visier und bringen sie gezielt um. Also kein unglücklicher Zufallsschuss? Die Ermittler beantworten das mit einem klaren Nein.
Was heraussticht: Die Untersuchung nützt präzise, digitale Rekonstruktionsmethoden um den Vorfall zu untersuchen. Mithilfe fortschrittlicher Raum- und Audioanalysen verfolgen Kollegen den Standort und die Bewegungen der verschiedenen Hauptakteure während des gesamten Vorfalls — von den Journalisten, Zivilisten, bis hin zu den Militärfahrzeugen.
Geheime Zutat: Durch die Geolokalisierung einzelner Bilder (Frames) aus den von der Redaktion beschafften Videos, platzieren Ermittler sie in ein digitales Modell, mit genaue Position von Shireen und den anderen Journalisten während des Vorfalls sowie die Position der Militärfahrzeuge, alle im Verhältnis zur Getöteten.
Photogrammetry heißt diese Zauberei. Es ist die Arbeit Gegenstände in ein 3D model einzuscannen und dann zu analysieren. Dies scheint kompliziert zu sein. Lediglich etwas für Experten? Ganz und gar nicht! Denn jeder der ein modernes Android oder IOS Smartphone in der Tasche trägt, kann mitmachen die Umwelt in 3D wahrzunehmen.
Erschwinglich ist Photogrammetry auch noch. Apps wie PIX4Dcatch, KIRI Engine, oder WIDAR können einfach umsonst herunterladen werden. Gerade im Ukrainekrieg haben so Leute vorort, ausgestattet mit einem Smartphone, wichtige Archivarbeit betrieben. Sie scannten Panzer bis hin zu zerstörten Wohngebäude. Auf der Platform Sketchfab können die 3D Modelle geteilt und kommentiert werden.
Einige Plattformen berechnen die Modelle sogar nur auf der Grundlage von eingespielten Videos oder Bild Frames. Einfacher, so zeigt ein Selbstversuch, ist es jedoch selbst Vorort die Umwelt zu scannen.
Kleiner Tipp an dieser Stelle: Um generell Videos herunterzuladen, diese zu archivieren und mit ihnen zu arbeiten, empfiehlt sich das Tool des Citizen Evidence Labs, genannt Citizen Evidence Online Video Wrangler (gutes Tutorial zu Youtube-dl hier) zu nutzen. Es ist Open Source, also frei verfügbar, und kann so von Journalisten auf der ganzen Welt genutzt werden.
Um Zeitdaten darzustellen, ist das Tool Timemap eine geeignete Wahl. Timemap ist eine Open-Source-Software zur Visualisierung von geografischen Ereignissen in einer interaktiven Plattform. FA aktualisiert die Codebasis ständig, um neue Funktionen und Datentypen zu unterstützen, aber die aktuelle Version sieht in etwa so aus wie FAs Plattform zur Dokumentation der russischen Militärpräsenz in der Ostukraine.
Zutaten:
- Beschaffung von “neuem” Videomaterial
- Tool um die genauen Standorte der Täter und der Journalisten Zeitgerecht einzutragen
6. Kıbrıs Tatlısı/Zyperns Dessertkuchen
Wie kommen wir auf Zypern? Es ist die Firmenrecherche zu XHamster, eine Pornoseite, die Revenge Porn und Ausbeutung von Frauen zuließ.
Die Geschichte wurde vom Investigativteam STRG-F publiziert. Sie startete mit einem Frontmann, Alex Hawkins, und der Firma, die angeblich im Hintergrund agieren soll, Hammy Media. Diese habe aber einen lächerlichen Umsatz seit 2009 von nur 700,000 Euro (Entnahme der Daten aus dem zyprischen Handelsregister). Die Journalist:innen werden misstrauisch und graben tiefer.
Den Durchbruch schaffen sie als die Daten zu einer Domainanmeldung der Xhamster Seite geprüft wird. Dort finden sie eine E-Mailadresse und einen Namen. Den des Russen “Oleg Popov” (in Wirklichkeit Netepenko), und die Email tigus1@gmail.com.
Der Abgleich zwischen Domain Registrierungsdaten und Oleg Netepenkos anderen Firmen, besonders der Firma Wisebits, ist am Ende zielführend. Diese forensische Vorarbeit wird dann im Ramen eines Besuches bei einem Treffens mit Mitarbeiter und Partnern der Firma genutzt. Verdachtsfälle der Persönlichkeiten hinter XHamster (wer verdient das ganze Geld mit dem schmutzigen Geschäft das hier betrieben wird?) bestätigen sie mit weiteren Interviews.
Zutaten
- Prüfung der Domain Registrierung
- Analyse von Dokumenten und Daten des Zyprisches Handelsregisters
- Xhamster Profil Analytics
- Gespräch mit Betroffenen
- Gespräch mit Kollegen/Mitarbeitern die mit der Firma Wisebits zu tun haben
7. Afrikanische Leckereien aus Malawi: Mbatata Cookies
Forensische Digitalanalyse der BBC, durch das Programm BBC African Eye zeigt das Netzwerk chinesischer Produzenten von rassistischen Videos in Afrika. Die Journalistin kann das Netzwerk der Hinterleute offenlegen. Dabei kommt GEOINT, eine Form des OSINTs, zum Einsatz.
Geheime Zutat: In einem der Videos taucht ein Firmenlogo einer afrikanischen Firma auf. Journalisten konsultieren im Anschluss Facebook und finden ein Ex-Mitarbeiter, der ihnen den Standort der Firma verrät.
Zutaten
- Social Media Video analyse
- Geolocating des Standortes
- Finde Firma in einem der Videos
8. Bamberger Gebäck/Bamberg-Germany
Ein Bamberger — oder Bamberger Hörnla — und nicht zu verwechseln mit der alten Kartoffelsorte aus Franken, ist ein Plundergebäck, ein bisschen wie das Französische Croissants. Regional bekannt in Oberfranken und auch Mittelfranken, ist es unter dem Namen Bamberger bekannt geworden. In Bamberg selbst wird es aber meistens Hörnla genannt.
Die Verbindung zu Online Forensics, bitte! Seit 2015 besteht bei der Generalstaatsanwaltschaft Bamberg die Zentralstelle Cybercrime Bayern (ZCB). Experten diese Behörde wurden für eine Geschichte in Deutschland, für das WISO Magazin, konsultiert.
Bankdrop Recherche des Magazins WISO behandelt die Abzocke mit Geisterkosten. Bankdropbeschaffer bringen ahnungslose Kunden dazu Konten zu eröffnen, sogenannte Finanzagenten, die für kriminelle Einnahmen für Fakeshops genützt werden. Fakeshop Betreiber teilen sich den Erlös mit Bankdropbeschaffern, und schieben Geld über Kryptowährungen und Bitcoin Mixxer hin und her. Die Strafverfolgung ist wahnsinnig kompliziert. Dennoch kann ein OSINT Experte einige Hinweise ausgraben.
Geisterkonten benötigen Kriminelle für Geld aus Ebay- oder Fake-Shop-Betrügereien. Für die Konten benutzen die Abzocker häufig gestohlene Identitäten: Die persönlichen Daten ihrer Opfer erbeuten sie u.a. mit Hilfe vorgetäuschter Jobangebote.
WISO Crime wollte daher wissen: Wer sind die Cyberkriminellen, die mit Geisterkonten Millionen machen? Und wie kommen die Betrüger an solche Konten? Die Kollegen machen dazu Informanten aus dem Darknet ausfindig und können mithilfe eines IT-Forensikers verfolgen, wie die Kriminellen ihre illegalen Einnahmen vor den Strafverfolgungsbehörden in Sicherheit zu bringen versuchen. Das geht aber nur mit den Daten der Opfer. Journalisten überzeugen sie, ihnen alle Informationen weiterzugeben.
Eine der Email Adressen der Betrüger wird mit einem E-Mail Tracker versehen und verschickt. Öffnet der Nutzer die Email, erhalten die Journalisten die IP Adresse. Das klappt. Mit einer IP-Adresse des Internetzugangs, Standortanalyse, Geolookup, lässt sich dann so der Standort erahnen. Es ist eine Deutsche IP. Die Organisation ist aber nicht involviert, nutzt den benannten Server gar nicht mehr. Eine Sackgasse? Nicht ganz, aber fast. Die IP Adresse taucht im Internet auf einer Blackliste zu Betrügereien auf. Also nicht der Erste Fall. Ein kleiner Sieg.
Immer wieder verlaufen so Spuren der Journalisten im Sande. Dann wird noch ein Nutzername auf Social Media Portalen geprüft, der in Metadaten eines Schulungsdokuments der Täter auftaucht. Leider wieder nichts. Selbst die Kryptowährung Transaktionsdaten finden wenig. Was den Journalisten jedoch nicht vorgeworfen werden kann, ist, dass sie es nicht versucht haben, mit allen Mitteln mehr über die Täter zu erfahren.
Spezielle Zutat: Die Dokumente, E-Mails und Nachrichten der Opfer, die durch die gefakten Jobportale zu Mittätern wurden, werden geteilt. Ohnen ihnen kann die Arbeit der Experten gar nicht starten. Nur mit Ihnen kann überhaupt etwas in Erscheinung gebracht werden.
Um Metadaten aus PDFs und anderen Filetypen zu lesen, bietet metadata2go.com einen online Tool an. Eine IP-Adresse, die Ermittler durch einen Email Tracker (Tool: https://hunter.io/mailtracker oder https://www.readnotify.com) finden, tauchen auf einer Blacklist der Seite Cleantalk (IP Blacklist: https://cleantalk.org/blacklists) auf.
In Metadaten eines PDF Dokuments zur Schulung der Finanzagenten, eine Anleitung für Bankdropbeschaffer, findet sich der Name Croewley, damit können Journalisten Usernamen auf Social Media Plattformen (mit Hilfe eines Lookup Tools) abgleichen.
Vom Opfer bekommen sie auch Zugang zu den Kryptowährungskonten, die sie für die Täter erstellt haben. Mit den Transaktionsadressen geht’s zum Forensiker. Vom Konto geht es in einen sogenannten BitcoinMixxer, um Transaktionen zu verschleiern. Wer hinter den Adressen steckt, kann auch Jakob Hasse, der Experte, nicht bestimmen. Ein Crypto Account wurde jedoch auch auf der Seite Crymenetwork verwendet. Diese wird für den Handel vom Bankdropaccounts genutzt.
Leider ist mein Fazit zu der Geschichte ähnlich wie der fade Geschmack des Bamberger Hörnla, im Vergleich zum französischen Croissant. Zwar werden allerlei mögliche Herangehensweisen aufgezeigt. Dabei kommt aber leider nur wenig heraus. Schade!
Zutaten
- Darknet Recherche zu Crimenetwork
- IP Adresse der Täter durch Email tracker
- IP Adressenabgleich mit Blacklisten (hier Auktionshilfe.info, hier wurde gewarnt, ein Treffer also)
- Profilanalyse der Metadaten eines PDFs zu Schulung der Finanzagenten, von Täter an Opfer geschickt (mit NameChecker)
- Domain Registrierung der gefälschten Job Seite die Leute anwirbt, (Fehlanzeige da durch Anonymisierungsdienst)
- Telephonenummeranalyse der Betrüger die in den Emails mit Opfer genannt wurden (Sackgasse)
- Krypto Adressenanalyse: Geld das von Opferkonten an Täter gesendet wurden (keine Namen, aber man findet die Höhe der Einnahmen und das BitcoinMixing)
Fazit: Leckere Backrezepte lassen sich mit der dunklen Wirklichkeit des Investigativjournalismus doch irgendwie vereinen. Wenn euch das gefallen hat, dann folgt mir auf Twitter (Techjournalisto) — oder wenn ihr kein Fan des Elon Musks seid, schreibt eine Email an meine Zeitung.
Die Prinzregententorte ist und bleibt mein absolutes Liebling unter den Desserts. Der Trick mit der Buttercreme ist übrigens: Die Butter mit dem Mixer geschmeidig rühren und den erkalteten Pudding esslöffelweise unterrühren, und unbedingt dabei darauf achten, dass Butter und Pudding Zimmertemperatur behalten, da die Buttercreme sonst gerinnt.
PS: Mit den richtigen Backformen arbeiten:
Nur mit der richten Backform wird das was mit der heiklen Kuchenarbeit. Ist diese zu flach, kann sich die Backzeit verkürzen. Ähnlich ist das auch bei den online-forensischen Journalismus Geschichten. Um OSINT Geschichten backformgerecht zu machen, habe ich einige Modelle entwickelt wie man diese strukturieren könnte. Das gibt es ‘The chain’, ‘The Pivot’, “The Verification” und “The pattern”. Einfach mal hier reinlesen.
