Digitale Ermittlungen: Tipp für die mobile Forensik

Der folgende Blogbeitrag von Herrn Marko Rogge bietet einen kleinen Einblick in das weite Feld der digitalen Forensik. Herr Rogge beschreibt darin eine Möglichkeit, im Rahmen von Ermittlungen auf Daten zugreifen zu können, die sich auf SIM-Karten von Mobiltelefonen befinden – auch wenn die PIN-Nummer nicht bekannt ist:

Eine besondere Stellung in der Kriminalistik nimmt zweifelsfrei der Bereich der digitalen Ermittlungen ein. Insbesondere die stark zunehmende Verkleinerung der Technik macht es immer häufiger notwendig, spezielle Technologien einzusetzen, um digitale Ermittlungen voran zu treiben. Eine besondere Form dieser Problematik spiegelt die mobile Forensik wieder. Smartphones werden immer mehr zu Allroundern im Alltag, haben immer umfassendere technische Möglichkeiten und können immer größere Mengen an Daten speichern. Viele Nutzer wissen die immer vielfältiger werdende Einsatzmöglichkeiten der mobilen Wegbegleiter zu schätzen – aber auch Straftäter sind durchaus in der Lage, dieses Potential zu erkennen.

Die Praxis zeigt, dass Straftäter häufig ältere Handymodelle nutzen, die leicht ausgetauscht werden können. Dabei werden SMS und Anruflisten oft direkt auf die SIM-Karte gespeichert. Deren Speichermenge ist zwar überschaubar, doch benötigen SMS und Anruflisten auch nur wenig Speicherplatz und können mit der SIM-Karte leicht von einem Handy zum nächsten mitgenommen werden. Die SIM-Karte ist allerdings meist mit einer PIN-Nummer gesichert, sodass der Weg zu den relevanten Daten ohne Kenntnis der PIN-Nummer zunächst versperrt ist.

Bildschirm des UFED Touch von Cellebrite – Eingabe der neuen PIN nach erfolgreicher Eingabe des PUK.
Bildschirm des UFED Touch

Verfügt man im Rahmen der Strafverfolgung – unter Voraussetzung der entsprechenden gesetzlichen Ermächtigungsgrundlagen – über den so genannten PUK (Personal Unblocking Key) der betroffenen SIM-Karte, kann dieses Problem umgangen werden. Der PUK ist stets beim jeweiligen Provider der SIM-Karte hinterlegt und dient dazu, eine PIN-gesperrte SIM-Karte entsperren zu können. Dazu muss allerdings entsprechende Hardware benutzt werden, die von speziellen Firmen (z.B. Cellebrite UFED System, Dekart) bereitgestellt wird. Zur Übermittlung des PUK ist es dabei notwendig, über die eindeutige Nummer der jeweiligen SIM-Karte zu verfügen. Nur über diese eindeutige Nummer (ICCID – Integrated Circuit Card Identifier) kann der Provider den PUK zuordnen und an die Strafverfolgungsbehörde übermitteln.

Mitunter ist diese Nummer allerdings nicht mehr auf der SIM-Karte abgedruckt, daher wird es für den Ermittler erheblich erschwert, an die eindeutige SIM-Kartennummer zu gelangen. In solchen Fällen hilft ein kleiner Trick, der zumindest mit der Hardware von Cellebrite, dem UFED Touch Ultimate, zum Erfolg führt: die SIM-Karte kann hiermit auch ohne vorhandene PIN oder PUK ausgelesen werden, wenn gesperrte Speicherbereiche übersprungen werden, die zu diesem Zeitpunkt nicht relevant sind. Dies ist möglich, da die ICCID nicht auf einem geschützten Speicherbereich abgelegt ist, sondern ohne Eingabe der PIN ausgelesen werden kann. Wurde die ICCID auf diese Weise erfolgreich identifiziert, kann sie an den Provider übergeben und der PUK der SIM-Karte angefordert werden.

Nachdem der PUK vom Provider an die Strafverfolgungsbehörde übermittelt wurde, kann die betroffene SIM-Karte nun vollständig ausgelesen werden. Es muss lediglich der korrekte PUK eingegeben und anschließend die PIN-Nummer geändert werden. Unmittelbar danach wird die SIM-Karte inklusive eventuell gelöschter Daten extrahiert und die zugänglich gemachten Daten können genutzt werden.

 

Informationen zum Autor:
Marko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namenhafte Konzerne. Teile seiner Ausbildung erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Seit Anfang 2016 arbeitet er als „Leiter IT-Forensics & Investigations Lab“ bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite mobile Forensiker. Marko Rogge arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch fachspezifisch im Bereich mobile Forensik Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden, aber auch Zoll und Steuerfahndungseinheiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code