Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen Geräten zu finden sind, wurden diese Geräte für Ermittler im Strafverfahren zu einem äußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile Endgeräte wie Handy, Smartphones, iPhone, iPad etc. werden zunächst beschlagnahmt wie sonstige bewegliche Sachen und Gegenstände auch, nach den §§ 94 ff. StPO. Anschließend können diese Gegenstände von IT-Forensikern untersucht werden.

 

Live-Analyse

Zunächst kann der Forensiker ein Gerät, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darüber erhält er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des Gerätes den Ermittlern, auch flüchtige Daten (also solche Daten, welche nach Ausschalten des Gerätes gelöscht werden) zu sichern. Da dies ein sehr aufwändiges Verfahren ist und je nach mobilem Endgerät andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende Gerät vom Verdächtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte Endgerät ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen Endgeräten kaum von der Untersuchung von Computerfestplatten.

Zunächst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhängiger – zumeist proprietärer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverständlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die Integrität der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfältigt werden, um als Grundlage für diverse Untersuchungen zu dienen. In diesem Stadium läuft der Prozess von Endgerät zu Endgerät äußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die größte Herausforderung bei der Untersuchung von mobilen Endgeräten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der größten Herausforderungen für den Computerforensiker.

Live Response und Post-Mortem-Analyse

Unterschiedliche Analysemethoden
In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene Ansätze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:

Flüchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)

Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemäßen Zugriff ändern kann.

Temporär zugängliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugänglich sind, z. B. während der Laufzeit einer Anwendung oder Nutzung einer bestimmten Anwendungsfunktionalität.
BSI Maßnahmenkatalog M 6.126

Temporär zugängliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Maßnahme zu deren Veränderung oder Vernichtung führen. Flüchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.

Wann immer möglich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die flüchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flüchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede Tätigkeit am verdächtigen System auch das verdächtige System selbst verändert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdächtigen IT-System laufenden Prozesse auch die für den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemäßem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.BSI Maßnahmenkatalog M 6.126

Bei der späteren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese Möglichkeiten der Veränderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern für auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die Integrität der Daten praktisch nicht mehr gewährleistet ist.

Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren Veränderung bewirkt. Das wäre kein Problem, wenn es eine nicht-kompromittierte Version der Daten gäbe. Denn eine Zerstörung von Beweismaterial durch sachverständige Untersuchung ist nichts ungewöhnliches, man denke an die gaschromatographische Untersuchung von Betäubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerstörung von Zellmaterial zur Durchführung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des ursprünglichen Spurenmaterials erhalten, damit ggf. ein weiterer Sachverständiger die Analyse wiederholen kann, um die Qualität und Richtigkeit der Arbeit des ersten Sachverständigen zu überprüfen.

Ein (weiterer) Sachverständiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverfälschte – Beweismaterial zur Verfügung. Eine Kontrolle durch einen anderen Sachverständigen kann daher nur dann erfolgen, wenn eine minutiöse Dokumentation der Live-Response-Analyse durch den die Beweise sichernden Sachverständigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!