© APA/ROLAND SCHLAGER / ROLAND SCHLAGER

Netzpolitik
08/26/2019

Was Ermittler mit Straches Handy anstellen können

Forensiker haben viele Tricks auf Lager. Auch bereits gelöschte WhatsApp-Nachrichten und SMS können rekonstruiert werden.

von Martin Stepanek

Mutmaßlicher Postenschacher und andere fragwürdige Deals rund um die Casinos Austria: Um potenzielle Hinweise darauf zu finden, wurde bekanntermaßen im Rahmen einer Hausdurchsuchung auch das Smartphone von Ex-Vizekanzler Heinz-Christian Strache beschlagnahmt. Doch während Behörden und Ministerien die vergangenen Tage darüber stritten, wer das Handy durchsuchen darf, blieben einige Fragen bisher unbeantwortet.

Wie kommt man eigentlich an die Handydaten, falls das Gerät mit einem Code geschützt ist? Können Spezialisten gelöschte Nachrichten, Fotos und anderes potenziell belastendes Material wiederherstellen? Und dürfen Behörden über Backups in der Cloud auf persönliche Handydaten zugreifen, wenn das Telefon nicht entsperrt werden kann? Die futurezone hat mit Sachverständigen und Forensikern gesprochen, die Behörden bei der Spurensicherung und Datenauswertung von Computern und Handys helfen. Sie wollten anonym bleiben.

Vollständige Sicherung

„Im ersten Schritt geht es darum, eine möglichst vollständige Sicherung aller verfügbaren Daten durchzuführen. Jeder kann sich vorstellen, wie viele Textnachrichten, Fotos, Videos und Kontaktdaten über mehrere Jahre auf einem Handy anfallen. Aus dieser riesigen Menge an Daten genau die für die Ermittlungen relevanten Informationen herauszufiltern, ist enorm aufwändig und nur mithilfe von intelligenter Software machbar“, erklärt Michael S. (Name der Red. bekannt) im futurezone-Interview.

Computer vs Handy

Doch das, was einfach klingt – nämlich die Handydaten überhaupt zu sichern – gestaltet sich in der Praxis weitaus komplizierter, als man annehmen würde. Denn während Macs und Windows-Computer über das jeweilige Betriebssystem standardisiert sind und folglich mit einigen wenigen Werkzeugen geknackt werden können, verhält sich fast jedes Handymodell anders.

Zum einen herrscht unter Android ein Wildwuchs an Betriebssystem-Versionen, die noch dazu oft von den Herstellern eigenständig adaptiert werden. Aber auch, wie ein Gerät Sperrcodes und die Speicherung von Dateien verwaltet, ist selbst bei Modellen des gleichen Herstellers völlig unterschiedlich.

Ohne Code geht nichts

Die größte Hürde für Ermittler ist zunächst einmal der Code, mit dem die meisten Nutzer ihr Handy vor fremdem Zugriff schützen. Denn auch wenn die Polizei die eigene Wohnung stürmt und das Smartphone mitnimmt – zur Herausgabe des Codes kann rechtlich niemand gezwungen werden. Denn wie ein Beschuldigter oder Verdächtiger die Aussage und Mitarbeit verweigern kann, um sich nicht zu belasten, muss er Ermittlungsbehörden auch nicht den Zugang zu seinem Computer oder Mobiltelefon geben.

„Ohne Code hat man bei neueren Geräten praktisch keine Chance, an die verschlüsselten Daten zu kommen“, sagt Forensiker Daniel K. (Name der Redaktion bekannt) zur futurezone. Abhilfe können Programme von spezialisierten Firmen wie des israelischen Forensikunternehmens Cellebrite schaffen, die in vielen Fällen in der Lage sind, gesperrte Handys zu knacken. Diese suchen nach Schwachstellen im Betriebssystem und nutzen diese aus, um die Sicherheitsmaßnahmen zu umgehen.

Ermittler benötigen auch Glück. Denn selbst wenn man bei einem Gerät ansteht, kann es sein, dass ein paar Wochen später eine Lücke gefunden und entsprechende Entsperr-Werkzeuge verfügbar sind. Manche Lücken und Tricks sind zwar auch im Internet auffindbar. Durch die Vielzahl der Modelle sind heimische Forensiker im Normalfall aber auf Firmen wie Cellebrite angewiesen, deren Programme sie meist um teures Geld zukaufen müssen.

Gelöschte Daten wiederherstellen

Haben sich die Forensiker erst einmal Zugang zum Handy geschafft, können auch vermeintlich gelöschte Daten rekonstruiert werden. Denn nur weil man als Nutzer einige eventuell kompromittierende WhatsApp-Nachrichten oder SMS gelöscht hat und auch selber nicht mehr wiederherstellen kann, sind diese noch lange nicht aus dem Telefonspeicher verschwunden.

FILE PHOTO: WhatsApp and Facebook messenger icons are seen on an iPhone in Manchester , Britain.

„Auch wenn man Daten löscht, bleiben diese zunächst im Speicher vorhanden. Sie werden erst tatsächlich gelöscht, wenn sie mit neuen Daten überschrieben werden“, erklärt Michael S. Wann das geschieht, sei aber reiner Zufall, da neu erzeugte Daten wahllos über den gesamten Flashspeicher verteilt abgelegt werden.

Ob Forensiker belastende Nachrichten oder Fotos wiederherstellen können, die vom Beschuldigten gelöscht wurden, ist somit ein wenig Glückssache. „Die Faustregel ist: Je länger der Löschvorgang zurückliegt und je häufiger das Gerät in der Zwischenzeit verwendet wurde, desto schwieriger wird es, solche Daten wiederherzustellen“, sagt Michael S.

Umweg über die Cloud

Als weitere Möglichkeit können Ermittler versuchen, Zugang zu Geräte-Backups zu erhalten, die über das Internet in der Cloud gespeichert wurden. Bei Apple etwa können über die iCloud die gesamten iPhone-Inhalte wiederhergestellt werden. Je nach Einstellungen des Nutzers können so auch ältere Speicherungen reaktiviert werden, auf denen mitunter belastendes Material gefunden wird.

Bei Android gehen manche Hersteller einen ähnlichen Weg. So können auch Daten wie Fotos oder E-Mails wiederhergestellt werden, die auf dem Gerät selbst bereits gelöscht wurden.

Um Zugang zu derartigen Cloud-Backups zu erlangen, ist aber ein gesonderter richterlicher Beschluss notwendig. Und während Hersteller wie Google und Apple beim Knacken ihrer Geräte nicht aktiv helfen, kooperieren sie bei entsprechend schwerwiegenden Vergehen wie etwa Kinderpornografie oder Mord mit Behörden, um ihnen Zugang zu solchen Cloud-Backups zu verschaffen. Welche Daten, aber auch der Zeitraum, in dem Daten durchsucht und analysiert werden dürfen, richtet sich ebenfalls nach den richterlichen Vorgaben.

Keine Tipps fürs Löschen

Tipps und Tricks, wie man belastendes Material auf dem Handy so löschen kann, dass es von Ermittlern sicher nicht mehr wiederhergestellt werden kann, wollten die Forensiker übrigens auf Nachfrage der futurezone keine verraten. Sicher sei ohnedies nur, dass vor der modernen Forensik nichts wirklich sicher sei.