RA Koll @Twitter

Artikel-Schlagworte: „Forensik“

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen GerĂ€ten zu finden sind, wurden diese GerĂ€te fĂŒr Ermittler im Strafverfahren zu einem Ă€ußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile EndgerĂ€te wie Handy, Smartphones, iPhone, iPad etc. werden zunĂ€chst beschlagnahmt wie sonstige bewegliche Sachen und GegenstĂ€nde auch, nach den §§ 94 ff. StPO. Anschließend können diese GegenstĂ€nde von IT-Forensikern untersucht werden.

 

Live-Analyse

ZunĂ€chst kann der Forensiker ein GerĂ€t, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darĂŒber erhĂ€lt er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des GerĂ€tes den Ermittlern, auch flĂŒchtige Daten (also solche Daten, welche nach Ausschalten des GerĂ€tes gelöscht werden) zu sichern. Da dies ein sehr aufwĂ€ndiges Verfahren ist und je nach mobilem EndgerĂ€t andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende GerĂ€t vom VerdĂ€chtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte EndgerÀt ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen EndgerÀten kaum von der Untersuchung von Computerfestplatten.

ZunĂ€chst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhĂ€ngiger – zumeist proprietĂ€rer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverstĂ€ndlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die IntegritĂ€t der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfĂ€ltigt werden, um als Grundlage fĂŒr diverse Untersuchungen zu dienen. In diesem Stadium lĂ€uft der Prozess von EndgerĂ€t zu EndgerĂ€t Ă€ußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die grĂ¶ĂŸte Herausforderung bei der Untersuchung von mobilen EndgerĂ€ten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der grĂ¶ĂŸten Herausforderungen fĂŒr den Computerforensiker.