Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen Geräten zu finden sind, wurden diese Geräte für Ermittler im Strafverfahren zu einem äußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.
Mobile Endgeräte wie Handy, Smartphones, iPhone, iPad etc. werden zunächst beschlagnahmt wie sonstige bewegliche Sachen und Gegenstände auch, nach den §§ 94 ff. StPO. Anschließend können diese Gegenstände von IT-Forensikern untersucht werden.
Live-Analyse
Zunächst kann der Forensiker ein Gerät, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darüber erhält er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des Gerätes den Ermittlern, auch flüchtige Daten (also solche Daten, welche nach Ausschalten des Gerätes gelöscht werden) zu sichern. Da dies ein sehr aufwändiges Verfahren ist und je nach mobilem Endgerät andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende Gerät vom Verdächtigen oft in letzter Minute verhindert wird.
Post-mortem-Analyse (Untersuchung eines Speicherabbildes)
Sofern das sichergestellte Endgerät ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen Endgeräten kaum von der Untersuchung von Computerfestplatten.
Zunächst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhängiger – zumeist proprietärer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).
Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverständlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die Integrität der gesicherten Daten.
Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfältigt werden, um als Grundlage für diverse Untersuchungen zu dienen. In diesem Stadium läuft der Prozess von Endgerät zu Endgerät äußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.
Die größte Herausforderung bei der Untersuchung von mobilen Endgeräten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren. Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der größten Herausforderungen für den Computerforensiker.