Mobile IT-Forensik

Daten von mobilen Endgeräten auswerten

Mit den richtigen IT-Forensik-Tools lassen sich Smartphones und andere mobile Geräte entschlüsseln. Das hilft Behörden bei der Aufklärung von Straftaten und Unternehmen bei der Untersuchung interner Verdachtsfälle. 
Doch es gibt auch Schattenseiten.

Nicht nur internatinale Unternehmen und Geheimdienste haben die Möglichkeit Daten von mobilen Endgeräten auszulesen, die mobile IT-Forensik widmet sich dieser Methode ganz legal.

Die mobile IT-Forensik ist ein Fachgebiet der Beweissicherung in der IT. „Es ist die Wissenschaft der Wiederherstellung und Sicherung digitaler Beweise und Beweisspuren unter forensisch einwandfreien Bedingungen mittels anerkannter Methoden“, erklärt der IT-Sachverständige und Forensik-Experte Guido Hartmann von Experts4handys.de. „Bei der mobilen IT-Forensik handelt es sich um die rückwirkende Aufklärung von Sicherheitsvorfällen und möglichen Straftaten im Zusammenhang mit mobilen Endgeräten. Hierbei kommen Technologien zum Einsatz, welche häufig auch den direkten Zugriff auf den Hauptspeicher und bereits gelöschte Daten (physikalische Analyse) oder auf Inhalte des Dateisystems, wie Inhalte von Speicherkarten, Dokumente, Programme, Digitalfotos, Videos usw. erlauben (logische Analyse).“

Sowohl um einen äußeren Angriff über ein Smartphone nachvollziehen zu können als auch um einen Innentäter zu überführen – bei einer forensischen Untersuchung sind zahlreiche Daten auf den verdächtigen Smartphones und Tablets relevant. Sehr aufschlussreich sind Systemprotokolle, verwendete Netzwerke, Positionsdaten, eventuell erst wiederherzustellende E-Mails, SMS, immer häufiger Chat-Protokolle innerhalb von Apps, außerdem Anruflisten und Adressbücher. Von Interesse sind zudem die multimedialen Daten auf den zu untersuchenden mobilen Geräten. Nicht selten werden Smartphones nämlich als externe Speichermedien genutzt, auch um geschütztes Material unbemerkt zu kopieren. Einmal zugänglich, können Inhalte von Speicherkarten, z.B. Fotos, Videos oder Dokumente, mit den üblichen Werkzeugen der IT-Forensik ausgewertet werden. Dadurch wird ein umfassender Blick auf eine mögliche Straftat frei und deren Aufklärung nachhaltig unterstützt.


Die im folgenden vorgestellten Techniken zur Durchleuchtung mobiler Geräte werden von Polizei, Staatsanwaltschaften und anderen Behörden in Ermittlungsverfahren und von beauftragten Forensik-Experten eingesetzt. Diese können von Verteidigern zur Entlastung ihrer Mandanten kontaktiert werden. Aber auch Unternehmen wenden sich an diese Spezialisten, um interne Vorfälle aufzuklären.

„Viele Fälle, die wir in der Vergangenheit betreut haben, befassen sich mit Datenlecks, IP-Diebstahl, Piraterie von Softwarelösungen, dem Handel mit Insiderinformationen oder mit Fällen angeblicher Wirtschaftsspionage“, gibt  Günter Degitz, Managing Director beim internationalen Beratungsunternehmen AlixPartners einen Einblick in die Bandbreite der Arbeit mobiler Forensiker.


Ermittlungen im Top-Management

Nicht selten sind die Fälle in den oberen Etagen angesiedelt: „Insbesondere Probleme im Zusammenhang mit dem Durchsickern von geheimen Informationen von Privatpersonen oder Unternehmen aus dem Vorstand oder anderen „Insider“-Quellen ist ein sehr gängiges Thema, bei dem gründliche Ermittlungen notwendig werden. Es ist auch ein Tatbestand, der rechtlich notwendig ist, damit die Unternehmen Ermittlungen einleiten dürfen.“ Degitz verweist speziell auf den Handel mit Insiderinformationen oder Klientendatenlecks. In diesen Fällen ist es die größte Herausforderung, die Quelle des Lecks auch über mobile Kommunikation zu finden und damit den Datenfluss nachzuweisen. An genau diese be- oder entlastenden Informationen heranzukommen ist das Spezialgebiet der mobilen Forensik.

Forensikexperten verfügen über ausgereifte mobile Hardware- und Softwarelösungen. Die Hardware-Lösungen, z.B. von Cellebrite oder Paraben, sind notwendig, um bei jedem Gerätetypus und jedem Verschlüsselungsverfahren erfolgreich vorgehen zu können und um in „nicht-manipulativer“ Form auf Daten von mobilen Endgeräten zuzugreifen. Das „UFED Touch“ der Firma Cellebrite kann tausende mobile Endgeräte auslesen, die anschließend mittels Software ausgewertet und analysiert werden.

Liegt ein Verdacht bezüglich eines Angriff von außen oder gegen einen Innentäter vor, gibt es gute Gründe, sich an Experten zu wenden. Denn grundlegende Anforderung ist es, Geräte und Daten so zu sichern, dass alle gesammelten Daten in Ermittlungen oder als Beweismittel vor Gericht eingesetzt werden können. „Soll ein Gerichtsgutachten erstellt werden oder will man aus definierbaren Gründen ein Privatgutachten, sind externe Sachverständige als Experten immer nötig. Nur so besteht die Gewähr, dass auch wirklich alle Informationen ausgelesen werden, die für eine Entscheidung notwendig sind“, rät der Datensachverständige Lutz Ressmann. Besteht der begründete Verdacht auf Missbrauch oder Spionage mithilfe mobiler Geräte, oder ist ein Angriff über ein Smartphone eines Mitarbeiters erfolgt, muss als erste Maßnahme das betroffene Geräte eingezogen werden. „Es darf auf keinen Fall weiterverwendet werden, denn dann können Spuren verwischt werden“, erklärt Guido Hartmann.

Bei Verdachtsfällen von Datendiebstahl oder -spionage können Unternehmen eine externe Anwaltskanzlei einbeziehen, die rechtliche Orientierungshilfe bieten. Die Kanzlei oder das Unternehmen sollte sich dann immer an Forensikexperten wenden, um Beweismittel von mobilen Geräten zu sammeln und diese zu analysieren.

Liegt kein richterlicher Beschluss vor und will ein Unternehmen, bzw. ein beauftragter Experte erst einmal auf eigene Faust ermitteln, müssen bestimmte Voraussetzungen erfüllt sein. „Zunächst sollte der Datenschutzbeauftragte und der Betriebsrat beigezogen werden, wenn es gegen eine bestimmte Person geht. Insbesondere Datenschutz- und Telekommunikationsgesetz müssen eingehalten werden. Sonst gerät man selbst in die „gesetzliche Falle“ und die Informationen sind am Ende nicht verwertbar. Dann könnte sogar ein Beweiserhebungsverbot ausgesprochen werden“, warnt Guido Hartmann.

Experten sind nötig

Dies bestätigt auch Günter Degitz: „Es ist absolut zentral, mit externen Experten zusammenzuarbeiten, um sicherzustellen, dass die rechtlichen Anforderungen für eine erfolgreiche Ermittlung erfüllt werden und dass die vertraulichen Informationen als Beweismittel gesammelt werden, die den Anforderungen von Gerichtsverhandlungen genügen.“

Die rechtlichen Bestimmungen für Unternehmen hinsichtlich des Auslesens mobiler Daten sind in Deutschland sehr streng (Bundesdatenschutz- und Telekommunikationsgesetz). Aus diesem Grund werden Unternehmen nicht umhin kommen, den Datenschutzbeauftragten und Rechtsberater in jegliche Ermittlung im Zusammenhang mit mobilen Endgeräten einzubeziehen, bei der der Besitzer nicht explizit seine Zustimmung abgegeben hat.
Die goldenen Regeln (siehe unten) für Ermittlungsfälle mit mobilen Endgeräten berücksichtigen diesen Aspekt und nehmen eine klare Trennung vor zwischen reiner Datengewinnung und der Überprüfung der relevanten Daten.

Eine vorschriftenkonforme Ermittlung im Zusammenhang mit mobilen Daten von Individuen ist eine sensible Angelegenheit. In kritischen Fällen müssen Unternehmen mithilfe spezialisierter Forensikexperten und externer Datenschutzberatung umsichtig, entschieden und schnell vorgehen. Denn nur das hilft allen Betroffenen und schafft Klarheit. „Der heikelste Fall war der, in dem wir nachgewiesen haben, ob es sich um einen Fall “sexueller Belästigung” handelte und als wir im Zusammenhang eines Kindesmissbrauchsvorwurfs festgestellt haben, ob die angeklagte Partei sich dessen schuldig gemacht hatte oder unschuldig war. Der Fall war insbesondere deswegen heikel, weil es absolut entscheidend war, auf der höchsten Vertraulichkeitsstufe vorzugehen; jegliche Interaktion war im höchsten Maß heikel, da die Anschuldigungen sich gegen ein Mitglied der oberen Managementebene des Unternehmens richteten“, berichtet Günter Degitz.

Die Schattenseite

„Man darf nicht vergessen, dass auch Kriminelle an solche Lösungen herankommen und wie schnell ein Smartphone eines Vorstandsvorsitzenden verloren geht oder gestohlen werden kann. Ich kenne einige Unternehmen – große Konzerne – die durchaus solche Forensik-Tools einsetzen. Leider ist die Sensibilisierung der Smartphone-Nutzer auch in Vorstandsbereichen sehr gering und die Gefahr eines Verlustes wird massiv unterschätzt“, gibt Rolf Haas, Principal Security Engineer bei McAfee zu bedenken.

Mit dieser Frage konfrontiert, betont Peter Warnke, Sales Direktor Forensik bei Cellebrite: „Unsere Produkte werden nur an autorisierte Stellen verkauft. Zu den rechtlichen Rahmenbedingungen und Voraussetzungen für den Einsatz unserer Lösungen verweisen wir auf die jeweiligen Gesetzeslagen. Ein Auslesen des Telefons in einem unbeobachteten Moment ist mittels unserer Produkte nicht möglich. Das Telefon muss dafür zunächst wissentlich aus der Hand gegeben und mit unseren Extraktionsgeräten per Kabel verbunden werden.“

Spezielle Hardware-Geräte kommen laut Haas auch bei den Einreise- und Grenzkontrollen einiger Länder zum Einsatz. Geschäftsreisende, z.B. in die Vereinigten Staaten, sollten darauf vorbereite sein, dass ihre mobilen Geräte am Flughafen auch mit forensischen Methoden durchleuchtet werden. Unternehmen, deren Mitarbeiter häufiger Grenzen überschreiten, sollten für einen solchen Fall Handlungsanweisungen vorbereiten und festlegen, was überhaupt auf Smartphones und Laptops gespeichert werden darf.

 

Die goldenen Regeln in Fällen von Datendiebstahl, -missbrauch oder -spionage.

  • Der erste Schritt: Den Datenschutzbeauftragten und die Rechtsabteilung informieren und den Fall als vertraulichen Fall von anderen abschirmen.
  • Der zweite Schritt: Eine Datenermittlung für den Fall einleiten und dokumentieren sowie mit einer externen Anwaltskanzlei und kriminaltechnischen Anbietern zusammenarbeiten.
  • Dritter „wichtiger“ Schritt: Eine forensische Kopie von allen involvierten Beweismitteln (Geräten) erstellen, bevor die Daten manipuliert oder gelöscht werden können.
  • Vierter Schritt: Die Beschaffung und Analyse der Informationen unter Beachtung der lokalen datenschutzrechtlichen Bestimmungen.

Quelle: Alix

 

www.cellebrite.com

www.mcafee.com

www.accessdata.com

Bildquelle: Thinkstock/ iStockphoto

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok