Nach einer Spontandemonstration in Leipzig hatte die dortige Polizei im Januar mehrere Hundert Personen eingekesselt. Einige der Demonstrierenden hatten sich der Polizei zufolge des Landfriedensbruchs schuldig gemacht. Weil keine einzelnen Beschuldigten ausgemacht werden konnten, leitete die Polizei kurzerhand Ermittlungsverfahren gegen alle 195 festgestellten Personen ein. Dabei wurden sämtliche gefundene elektronische Geräte einkassiert: 150 Mobiltelefone, drei Laptops, sechs SIM-Karten, vier SD- und zwei Mini-SD-Karten (jene in den Telefonen nicht mitgezählt) sowie drei iPods.
Bei der Aktion handelt es sich wohl um eine der größte Massen-Beschlagnahmungen von Kommunikationsgeräten bei politischen Versammlungen. Für die Ermittlungsbehörden eine prima Möglichkeit, sich an den unterschiedlichen Geräten mit diverser Auswertesoftware zu versuchen.
13 Betroffene gaben Zugangsdaten heraus
Die Telefone wurden nach einer Anordnung der Staatsanwaltschaft Leipzig durch die Polizeidirektion einer forensischen Spurensicherung unterzogen. Von Interesse war laut der Polizei, ob sich darauf Fotos befänden, aufgrund derer mögliche StraftäterInnen ausfindig gemacht werden könnten.
Im März hatten wir berichtet, dass sich die ermittelnde Polizeidirektion an 63 Handys bis dahin erfolglos versuchte. Neue Zahlen hat nun die Landtagsabgeordnete Juliane Nagel erfragt. Laut der Antwort auf eine Kleine Anfrage (siehe PDF Datei anhängend) konnten noch immer keine Daten aus 30 Telefonen ausgelesen werden. Zu den Gründen macht die Landesregierung keine Angaben, unter Umständen waren die Inhalte verschlüsselt.
Laut der Antwort hatte die Polizei im Verlauf des Jahres mit insgesamt 42 Personen „zur Zugangserlangung Rücksprache geführt“. Demnach hätten 13 Betroffene die Zugangsdaten zu den jeweiligen Geräten freiwillig herausgegeben, offenbar wurden diese danach den BesitzerInnen zurückgegeben. Acht Mobiltelefone befinden sich zur Zeit (Stand: 21. August) „noch in Auswertung“. Zu vier Mobiltelefonen, zwei SIM-Karten sowie vier Filmen analoger Kameras werde die Rückgabe derzeit geprüft.
38 Personen verzichteten trotz schriftlicher Benachrichtigung darauf, ihre Mobiltelefone und einen iPod wieder abzuholen. Weitere acht Mobiltelefone liegen bei der Polizei, weil eine Zustellung der Benachrichtigung angeblich „nicht erfolgreich“ gewesen sei.
Penetrationstester erklärt Auswerteverfahren
Juliane Nagel hat sich auch nach der bei sächsischen Behörden genutzten Auswertesoftware erkundigt. Wie viele andere Polizeibehörden kommt beim Landeskriminalamt sowie drei Polizeidienststellen Software der israelischen Firma Cellebrite zum Einsatz. Neben dieser Standardanwendung nutzen die Behörden Anwendungen von fünf weiteren Anbietern.
Über die technischen Möglichkeiten hatten Andre Meister und Detlef Borchers vergangenes Jahr berichtet. Ein paar mehr Informationen hat kürzlich der „Cybercrime Blog“ der Fachhochschule der Polizei des Landes Brandenburg veröffentlicht. Der entsprechende Beitrag des Penetrationstesters Marko Rogge erschien zuvor in der Printausgabe der Zeitschrift „Der Kriminalist“ und wurde zur Erhöhung der Spannungskurve in fünf Teile gegliedert. Lesenswert ist der Artikel allemal, enthält er doch außer Details zu forensischen Ermittlungstechniken auch Hinweise auf mögliche Schwachstellen der Behörden.
So können Daten zwar unter Umständen von ihren BesitzerInnen aus der Ferne gelöscht werden. Die ErmittlerInnen packen die beschlagnahmten Geräte deshalb allerdings in sogenannte Faraday-Bags, mit denen diese abgeschirmt vom mobilen Netzwerk transportiert werden können. Auch im Labor werden entsprechende Bedingungen hergestellt.
Zerstörtes Display erschwert die Ermittlungen
Laut dem Beitrag gibt es vier gängige Methoden, elektronische Geräte auszulesen. Mit der „Physical Extraction“ wird eine eins-zu-eins-Kopie des Speicherinhaltes erstellt, wobei dank Flash-Speichern auch gelöschte Daten wiederhergestellt werden können. Mitunter funktioniert das aber nur, wenn der Entsperrcode bekannt ist. Klappt das nicht, kann eine „Filesystem Extraction“ vorgenommen werden. Nicht alle mobilen Endgeräte lassen sich laut Rogge auf diese Weise vollständig auslesen. Bei einer „Advanced Logical Extraction“ können bei iOS-Geräten sowohl logisch vorhandene Daten als auch Teile des Systems ausgelesen werden.
Eine „Logical Extraction“ kann schließlich lediglich die vom Benutzer erstellten Daten extrahieren. Dies funktioniert wiederum nicht bei jenen Daten, die von den BesitzerInnen zuvor gelöscht wurden. Deutlich mehr Schwierigkeiten machen bisweilen kaputte Displays:
Oftmals sind Beschuldigte von einer Durchsuchungsmaßnahme so überrascht, dass diese „versehentlich“ ein Mobiltelefon fallen lassen, um es zu zerstören. Häufig geht dabei das Display zu Bruch und es wird schwierig, aus dem Gerät brauchbare Resultate zu erzielen.
Rogge zufolge können in diesem Fall bei vielen Mobiltelefonen oder Smartphones die Hauptplatinen mit den aufgelöteten Speicherbausteinen ausgebaut und in ein anderes Gerät montiert werden. Über diese Datenschnittstelle erfolgt dann die Extraktion.
Gelöschte Daten wiederherstellen
Auch hier wird wieder der Mythos belebt, dass gelöschte Daten Handys/Smartphones nicht wieder hergestellt werden können. Dies ist faktisch falsch.
In Smartphones, Tabs und gewöhnlichen Handys kommen sogenannte Flash-Speicher zum Einsatz. Im Prinzip sind dies die selben Speicherbausteine wie bei SD-Karten. Technisch auch EEPROM genannt.
Was passiert beim Löschen?
Normalerweise wird nur der Eintrag im Dateisystem gelöscht. Die mit Daten beschriebenen Blöcke bleiben unberührt. Der Controller-Chip übernimmt noch andere Aufgaben: Garbage-Collecting (das Ausklammern defekter Blöcke) und Wear-Leveling (das gleichmäßige Beschreiben aller Blöcke). Man kann mit professionellen Tools relativ leicht, ganze Dateien auf Bit-Ebende wiederherstellen.
Irgendwo habe ich mal gelesen, dass man einen Block mindestens 3 Mal physisch mit Pseudodaten überschreiben müsste, damit ein Datenrettungsunternehmen ernsthafte Schwierigkeiten mit einer Rekonstruktion hätte.
3x (softwareseitig) überschreiben regel gilt nicht immer
bzw. kommt auf art des verwendeten speichers und teils sogar auf das verwendete dateisystem an. bei flash z.b. sind teile der daten unter umständen dennoch rekonstruierbar (da redundanz, d.h. mehr real vorhandener physischer speicher als logisch vorgegaukelt). auch bei manchen dateisystemen kann es passieren dass beim überschreiben nicht physisch an die selben stellen geschrieben wird. (dennoch dürfte überschreiben in vielen fällen die hürde für die behörden höher setzen...)
am besten also: daten garnicht erst produzieren bzw. wenn dann nur auf einem verschüsselten volume (auch bei smartphones mit freier software mittlerweile möglich).
Die Möglichkeiten der Cops nicht überschätzen
Die Frage ist immer auch, welche Möglichkeiten die Cops denn vor Ort haben. Spezialisten sind oft Mangelware und tatsächlich hat die Polizei auch echte Kriminelle zu verfolgen und schlägt sich nicht ewig mit gesperrten, gelöschten, schwer zugänglichen Daten rum, wenn nicht ein gewisser Ermittlungserfolg zu erwarten ist.