RA Koll @Twitter

Artikel-Schlagworte: „post-mortem“

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen GerĂ€ten zu finden sind, wurden diese GerĂ€te fĂŒr Ermittler im Strafverfahren zu einem Ă€ußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile EndgerĂ€te wie Handy, Smartphones, iPhone, iPad etc. werden zunĂ€chst beschlagnahmt wie sonstige bewegliche Sachen und GegenstĂ€nde auch, nach den §§ 94 ff. StPO. Anschließend können diese GegenstĂ€nde von IT-Forensikern untersucht werden.

 

Live-Analyse

ZunĂ€chst kann der Forensiker ein GerĂ€t, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darĂŒber erhĂ€lt er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des GerĂ€tes den Ermittlern, auch flĂŒchtige Daten (also solche Daten, welche nach Ausschalten des GerĂ€tes gelöscht werden) zu sichern. Da dies ein sehr aufwĂ€ndiges Verfahren ist und je nach mobilem EndgerĂ€t andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende GerĂ€t vom VerdĂ€chtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte EndgerÀt ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen EndgerÀten kaum von der Untersuchung von Computerfestplatten.

ZunĂ€chst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhĂ€ngiger – zumeist proprietĂ€rer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverstĂ€ndlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die IntegritĂ€t der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfĂ€ltigt werden, um als Grundlage fĂŒr diverse Untersuchungen zu dienen. In diesem Stadium lĂ€uft der Prozess von EndgerĂ€t zu EndgerĂ€t Ă€ußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die grĂ¶ĂŸte Herausforderung bei der Untersuchung von mobilen EndgerĂ€ten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der grĂ¶ĂŸten Herausforderungen fĂŒr den Computerforensiker.

Live Response und Post-Mortem-Analyse

Unterschiedliche Analysemethoden In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene AnsÀtze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von DatentrÀgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:

FlĂŒchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)

Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemĂ€ĂŸen Zugriff Ă€ndern kann.

TemporĂ€r zugĂ€ngliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugĂ€nglich sind, z. B. wĂ€hrend der Laufzeit einer Anwendung oder Nutzung einer bestimmten AnwendungsfunktionalitĂ€t. BSI Maßnahmenkatalog M 6.126

TemporĂ€r zugĂ€ngliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Maßnahme zu deren VerĂ€nderung oder Vernichtung fĂŒhren. FlĂŒchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.

Wann immer möglich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die flĂŒchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flĂŒchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede TĂ€tigkeit am verdĂ€chtigen System auch das verdĂ€chtige System selbst verĂ€ndert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdĂ€chtigen IT-System laufenden Prozesse auch die fĂŒr den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemĂ€ĂŸem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.BSI Maßnahmenkatalog M 6.126

Bei der spĂ€teren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese Möglichkeiten der VerĂ€nderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern fĂŒr auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die IntegritĂ€t der Daten praktisch nicht mehr gewĂ€hrleistet ist.

Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren VerĂ€nderung bewirkt. Das wĂ€re kein Problem, wenn es eine nicht-kompromittierte Version der Daten gĂ€be. Denn eine Zerstörung von Beweismaterial durch sachverstĂ€ndige Untersuchung ist nichts ungewöhnliches, man denke an die gaschromatographische Untersuchung von BetĂ€ubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerstörung von Zellmaterial zur DurchfĂŒhrung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des ursprĂŒnglichen Spurenmaterials erhalten, damit ggf. ein weiterer SachverstĂ€ndiger die Analyse wiederholen kann, um die QualitĂ€t und Richtigkeit der Arbeit des ersten SachverstĂ€ndigen zu ĂŒberprĂŒfen.

Ein (weiterer) SachverstĂ€ndiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverfĂ€lschte – Beweismaterial zur VerfĂŒgung. Eine Kontrolle durch einen anderen SachverstĂ€ndigen kann daher nur dann erfolgen, wenn eine minutiöse Dokumentation der Live-Response-Analyse durch den die Beweise sichernden SachverstĂ€ndigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!