Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 1

Nachdem der Beitrag „Digitale Ermittlungen“ von Marko Rogge am 23. Februar diesen Jahres so gut bei unseren Lesern angekommen ist, hat sich Herr Rogge bereit erklärt, seinen Einblick in das Feld der digitalen Forensik mit einer Serie von Beiträgen für unseren Blog zu erweitern. Diese werden ab heute wöchentlich erscheinen:

Die mobile Forensik ist eine junge und herausfordernde Form der IT-Forensik. Je weitreichender und detaillierter ein Beschluss z.B. zur Beschlagnahme von EDV-Geräten und mobilen Geräten gefasst ist, umso erfolgreicher ist in der Regel das Ergebnis einer mobilen Forensik-Maßnahme. Meine Serie von Beiträgen befasst sich in diesem Kontext zum größten Teil mit den grundlegenden forensischen Arbeitsmöglichkeiten für Strafverfolgungs- und Ermittlungsbehörden. Auf rein technischer Ebene sind zwar noch deutlich mehr Möglichkeiten gegeben, um Daten aus mobilen Endgeräten zu erlangen – jene Methoden sind bislang aber noch nicht von den Gerichten anerkannt.

Mobile Endgeräte wie Smartphones, Tablets aber auch Navigationsgeräte sind heutzutage aus dem alltäglichen Leben nicht mehr wegzudenken. In der Strafverfolgung spielen aber auch herkömmliche Mobiltelefone (z.B. Pre-Paid-Handys) weiterhin eine wesentliche Rolle bei der Aufklärung von Straftaten.

Mobile Forensik

Planung und Verabredungen zu Straftaten werden dabei häufig noch über herkömmliche Kommunikationswege getätigt, wie z.B. über Kurzmitteilungen (SMS). Sehr wichtig sind daher bei den diversen Deliktsbereichen immer noch Anruflisten, da diese deutlich zeigen, wer mit wem in Kontakt stand. In den europäischen Breitengraden werden nach wie vor SIM-Karten in mobilen Geräten eingesetzt, was allerdings nicht mehr überall auf der Welt der Fall ist. Auch diese enthalten eine Fülle an Daten, die für Ermittler von enormer Bedeutung sein können. Für eine Auswertung ist es dabei natürlich wichtig, dass Rufnummern zuverlässig einem Beschuldigten zugeordnet werden können.

Weiterlesen