Was diese Plugins gemeinsam haben

Diese sechs Plugins lesen technische Signale, die nicht für Menschen geschrieben wurden, sondern für Maschinen-Maschine-Kommunikation. Genau das macht sie forensisch interessant: Die Daten sind nicht kuratiert, sie sind operativ. Wer sich versteckt, hinterlässt in operativen Daten oft mehr Spuren als in seinen öffentlichen Worten.

Allen Plugins gemeinsam ist auch die Sensibilität: Funkmasten- und Surveillance-Daten berühren Datenschutz und juristische Grenzen. Vor jedem Einsatz gilt die Verantwortung aus Kapitel 32 — was technisch geht, ist nicht automatisch erlaubt.

Celltowers — Funkmasten-Standorte

Das Celltowers-Plugin liefert Standort-Datenbanken von Mobilfunk-Sendern (LTE, 5G, ältere Standards). Quellen sind offene Datenbanken (OpenCelliD, Mozilla Location Service) und behördliche Register. Pro Funkmast werden Position, Frequenzbänder, Provider und ggf. Aktivierungs-Datum geliefert.

Anwendungen:

• Bewegungs-Triangulation — eine Person hat sich in einem Mobilfunk-Bereich bewegt, der nur durch wenige Sender abgedeckt ist. Die Funkmasten-Karte definiert mögliche Aufenthaltsorte.
• Coverage-Analyse — ein angeblicher Anruf an einem Ort, an dem es keinen Funkmast gibt, ist unplausibel.
• Infrastruktur-Veränderungen — neue Sender, plötzlich abgeschaltete Sender (z. B. nach Konflikt-Ereignissen), Anomalien in Provider-Mustern.

In Kombination mit Erreichbarkeits-Isochronen (Kapitel 18) und Bewegungspfaden (Kapitel 4) wird daraus ein Werkzeug, das räumliche Hypothesen prüfen kann: Konnte eine Person sich von A nach B bewegen, ohne dass ihr Mobilgerät den Funkmast wechselte? Falls nicht, müsste ein Wechsel registriert sein.

Certwatch — TLS-Zertifikate

TLS-Zertifikate werden in einem öffentlichen Log (Certificate Transparency) protokolliert. Jedes Zertifikat, das je ausgestellt wurde, ist dort lesbar — mit Domain, Aussteller, Gültigkeit, manchmal Subject Alternative Names.

Forensisch interessant ist das aus mehreren Gründen:

• Phishing-Erkennung — Domains, die einer Marke ähneln (typo-squatting, IDN-Tricks), tauchen unmittelbar nach Zertifikats-Ausstellung im CT-Log auf
• Domain-Tracking — eine Organisation registriert über die Zeit viele Domains; das Plugin macht das Muster sichtbar
• Aktivierungs-Zeitpunkte — wann wurde welche Domain technisch aktiviert? Das ist häufig der erste Spur eines neuen Akteurs.
• Aufgabe-Spuren — Zertifikate, die ablaufen und nicht erneuert werden, signalisieren häufig das Ende einer Aktivität

Konfiguration: Sie geben Suchmuster ein (Domain-Wildcards, Substrings), das Plugin liefert eine Liste von Zertifikats-Treffern mit Zeitpunkten und Ausstellern. Diese Treffer können als Verlaufsgraph (Kapitel 6) zeitlich aufgetragen werden — Ausstellungs-Spitzen sind oft ein Frühwarn-Indikator.

Internet Health — Verfügbarkeit und Zensur

Das Internet-Health-Plugin liest Daten aus öffentlichen Mess-Netzen wie OONI, Cloudflare Radar oder ähnlichen Quellen. Es liefert Antworten auf Fragen wie: Ist eine Website in einem bestimmten Land erreichbar? Gibt es DNS-Manipulationen? Sind bestimmte Protokolle blockiert?

Anwendungsbereiche:

• Zensur-Erkennung — eine Plattform ist in einem Land plötzlich nicht mehr erreichbar; das ist ein politisches Signal
• Infrastruktur-Ausfälle — flächendeckende Verfügbarkeits-Einbrüche markieren Stromausfälle, Konflikt-Ereignisse, ISP-Probleme
• Routing-Anomalien — Traffic, der ungewöhnliche Wege nimmt, oft mit BGP-Hijacking-Verdacht

Im Verlaufsgraphen (Kapitel 6) lassen sich Verfügbarkeits-Zeitreihen mit anderen Quellen synchronisieren — etwa mit Nightlights (Kapitel 11). Beide brechen typischerweise gleichzeitig ein, wenn Infrastruktur fällt.

Traceroute — Routing-Pfade

Traceroute zeigt den Weg, den ein Datenpaket durch das Internet nimmt — Hop für Hop. Das Plugin lässt aktive Traceroute-Messungen aus verschiedenen Standorten zu (über öffentliche Mess-Knoten wie RIPE Atlas) oder liest historische Daten aus.

Was Routing-Pfade verraten:

• BGP-Hijacking — Pakete für eine Domain laufen plötzlich über einen unerwarteten Provider
• Geografische Umleitung — Traffic, der eigentlich direkt sein sollte, läuft über ein Drittland (Zensur, Überwachung)
• Infrastruktur-Lokalisierung — wo physisch steht ein Server, hinter welcher Adresse
• Anomalien gegen Baseline — Routing-Wege, die im Zeitverlauf eines Vorfalls plötzlich anders aussehen

In Verbindung mit Internet Health entsteht ein zweistufiges Bild: Internet Health zeigt was geblockt ist, Traceroute zeigt wie es geblockt wird oder wie es umgeleitet wird.

Surveillance — Kameradaten und Überwachungs-Infrastruktur

Das Surveillance-Plugin liefert Standort-Daten von öffentlich bekannten Überwachungs-Kameras und ähnlicher Infrastruktur. Quellen reichen von Open-Data-Verzeichnissen über kommerzielle Anbieter bis zu ehrenamtlichen Mapping-Projekten.

Forensisch nützlich in Bewegungs-Analysen:

• Sichtbarkeits-Karte — eine Bewegung von A nach B durchquert wahrscheinlich kameraerfasste Bereiche; eine, die das nicht tut, ist ungewöhnlich
• Beweisbedarf-Identifikation — wo gibt es Aufnahmen, die juristisch eingefordert werden können
• Privatsphären-Analyse — wie weit reicht die Überwachungs-Infrastruktur in einer Region

In Kombination mit Erreichbarkeits-Isochronen (Kapitel 18) lässt sich nicht nur fragen Konnte sie da hin?, sondern auch Konnte sie da hin, ohne aufgenommen zu werden?

OSM Changes — was sich auf der Karte ändert

OpenStreetMap ist eine kollaborativ gepflegte Weltkarte. Jede Änderung ist mit Autor und Zeitstempel öffentlich. Das OSM-Changes-Plugin liest diese Edit-Historie für definierte Bereiche.

Was OSM-Edits zeigen können:

• Neue oder verschwundene Strukturen — Gebäude, Straßen, militärische Anlagen, die plötzlich auftauchen oder verschwinden
• Editor-Identität — wer pflegt eine Region, mit welchen Schwerpunkten
• Konflikt-Indikatoren — in Konfliktgebieten ändern sich Karten häufig kurz vor oder während militärischer Operationen
• Zensur-Spuren — strittige Bezeichnungen (Grenzverläufe, Ortsnamen) werden hin- und herrediert

Eine Edit-Welle in einem Gebiet, die Wochen vor einem öffentlich gemachten Vorfall einsetzt, ist ein Frühwarn-Signal. In Verbindung mit Satellitendaten (Kapitel 11) und Nightlights wird daraus ein robustes Indikator-Bündel.

Verbindung dieser Plugins untereinander

Die sechs Plugins verstärken sich gegenseitig:

• Funkmasten + Aircraft (Kapitel 12) → Bewegungs-Korridor mit Coverage-Profil
• Certwatch + Website (Kapitel 14) → Domain-Tracking mit Inhaltskontext
• Internet Health + Traceroute → Zensur-Bild mit technischer Erklärung
• Surveillance + Erreichbarkeits-Isochronen (Kapitel 18) → Bewegungs-Korridore mit Sichtbarkeits-Profil
• OSM Changes + Satellit (Kapitel 11) → Karten-Veränderungen mit Bild-Bestätigung

In komplexen Ermittlungen — geopolitischen Konflikten, Cyber-Vorfällen, Infrastruktur-Sabotage — sind diese Kombinationen häufig die belastbarsten Beweis-Bündel.

Datenschutz und juristische Grenzen

Diese Plugin-Familie berührt Datenschutz besonders direkt. Eine Bewegungs-Triangulation über Funkmasten ist in vielen Ländern nur mit richterlicher Anordnung zulässig. Surveillance-Daten dürfen nicht für Personen-Profile gegen Einzelpersonen verwendet werden, ohne dass eine rechtliche Grundlage besteht.

SpectralQ stellt die technische Möglichkeit bereit. Die rechtliche Bewertung jedes Einsatzes liegt vollständig beim Nutzer. Vor jedem Plugin-Einsatz gilt die Prüfung aus Kapitel 32 — Nutzungsbedingungen, Datenschutz, lokale Rechtslage.