Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 4

(Vierter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Zugriffe auf soziale Netzwerke und Cloud-Dienste

Der Zugriff auf Internetdienste wie z.B. GMail (E-Mail Dienst von Google), Dropbox (Datenablagedienst, Cloud), Facebook (Social Network) oder auch Twitter (Micro-Bloggingdienst) gestaltet sich erfahrungsgemäß als sehr problematisch. Oftmals sind die Benutzernamen oder Passwörter der Accounts von Beschuldigten nicht bekannt. Für Ermittler ist es somit oft schwierig, an Daten zu gelangen, die in solchen Internetdiensten gespeichert werden. Entsprechende Beschlüsse für den Zugriff auf diese Internetdienste bieten den rechtlichen Rahmen, um diese Daten beschlagnahmen zu lassen. Die Umsetzung ist jedoch nicht immer unproblematisch, wenn entsprechende Dienste die Daten außerhalb des Zugriffs der europäischen oder deutschen Justiz vorhalten. In enger Zusammenarbeit mit Ermittlern ist der israelischen Firma Cellebrite Ltd. eine Möglichkeit des Zugriffs auf solche Daten gelungen. Ausgehend von der Fülle der Daten, die z.B. in einem Smartphone gespeichert werden, sollte es somit möglich sein, auch einen Zugriff auf Daten aus sozialen Netzwerken zu erhalten. Ein weiterer Grund für die Entwicklung dieser Software war, dass man mit einem Smartphone einen gegenwärtigen Datenstand erhalten kann, der mit dem ersten Einschalten eines Smartphones beginnt und mit dem Datum der Extraktion endet.

Cloud Analyzer – Timeline
Cloud Analyzer – Timeline

Wie aber verhält es sich, wenn das Smartphone sechs Monate vor dem Extrahieren vollständig zurückgesetzt wurde und keine Daten aus den sozialen Netzen mehr vorhanden sind, weil diese nicht vollständig synchronisiert wurden? Dann ist es zunächst ohne eine Amtsunterstützung von Strafverfolgungsbehörden im Ausland so gut wie unmöglich, auf die vollständigen Daten zuzugreifen. Dies wird natürlich insbesondere dann relevant, wenn eine mögliche Tatbeteiligung oder Tatplanung in einen solchen Zeitraum fällt und dies über soziale Netzwerke getätigt wurde. An dieser Stelle kann nun erneut die neue Softwarelösung ansetzen: Da die Zugangsdaten sehr häufig in Smartphones eingerichtet und über dieses Gerät genutzt werden, wird in diesen Fällen durch den „UFED Cloud Analyzer“ ein Zugriff auf soziale Netzwerke möglich. Aus der Auswertesoftware von Cellebrite „Physical Analyzer“ kann ein so genannter Token der Zugangsdaten extrahiert werden, die auf einem Smartphone vorhanden sind. Dieser Token kann anschließend direkt in den „UFED Cloud Analyzer“ importiert werden, um den Zugriff auf unterschiedliche Internetdienste zu ermöglichen. Die extrahierte Datenmenge wird überschaubarer, indem Datumsbereiche für eine Tatbeteiligung oder Verabredung zu einer Straftat etc. vorher eingegrenzt werden. Je nachdem, welche Straftat vorliegt und welche Daten für eine Auswertung relevant sind, können Messages, Bilder oder auch eine vollständige Timeline dargestellt werden. Je nach Bedarf kann alles zusammen betrachtet werden, oder z.B. nach Bildern separiert werden.

Hinweis zur Beschlagnahme von Cloud-Daten

In einer Abhandlung über die strafprozessualen Möglichkeiten, auf Cloud-Dienste im Rahmen der StPO zugreifen zu können, schrieb Ass. jur. Magda Wicker:
„Daten – auch aus der Cloud – können als unkörperliche Gegenstände gemäß §94 StPO beschlagnahmt werden. Bei der Suche nach beweiserheblichen Daten kann gemäß §102 StPO auf Daten in der Cloud zugegriffen werden. Dies gilt sowohl beim Zugriff über den Account des verdächtigen Cloud-Nutzers als auch bei dem Datenzugriff mithilfe des Cloud-Anbieters.“ (Quelle: „Ermittlungsmöglichkeiten in der Cloud – Vereitelt das Speichern in der Cloud die Zuständigkeit deutscher Ermittlungsbehörden?“ in: Jürgen Taeger (Hrsg.), Law as a Service – Recht im Internet- und Cloud-Zeitalter, Tagungsband der Herbstakademie 2013, Band 2, Edewecht 2013, S. 981-1000.)

Tipp für die Bildauswertung

Sofern eine erfolgreiche Extraktion abgeschlossen ist und die dekodierten Daten dem Ermittler vorliegen, ist insbesondere bei Bildern von Smartphones höchste Sorgfalt von Nöten. So kann möglicherweise ein Bild, welches beweiskräftig ist, auf dem Smartphone vorliegen, aber nicht von diesem Smartphone selbst stammen. Hierzu ist es wichtig, die Details der Bilder anzuschauen (die EXIF-Daten). Darin ist in den meisten Fällen verzeichnet, welches Gerät, wann und eventuell auch wo ein spezifisches Foto aufgenommen hat.

 

Fortsetzung in Teil 5 des Beitrages am kommenden Montag …

 

(Der vollständige Artikel von Herrn Marko Rogge ist in der Printausgabe von „Der Kriminalist“ Ausgabe 06/2015 ab Seite 29 erschienen. Seine hier vorliegende Blogbeitragserie wurde mit freundlicher Genehmigung des Verlags von Herrn Rogge für unseren Blog aufbereitet.)

Informationen zum Autor finden sich unter Teil 1 des Beitrages von Herrn Rogge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code