Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Weiterlesen