Ausspionieren von Smartphones:Der Zeuge in der Hosentasche

Mit spezieller Ausrüstung lassen sich Smartphones intimste Geheimnisse entlocken. Dagegen helfen keine Passwörter, sondern höchstens Verschlüsselung und professionelles Löschen.

Helmut Martin-Jung

Das Schlimmste, sagt Bernhard Pawlak, sind die chinesischen Kopien von westlichen Handys. Und langt in einen Koffer. Auch wenn ein Handy noch so exotisch ist, für die meisten dieser Geräte findet sich darin ein passender Stecker. Der Koffer gehört zu einem Gerät, das mit seinen verstärkten und gummierten Kanten aussieht wie einer jener Laptops, denen es wenig ausmacht, wenn sie einmal herunterfallen oder wenn man sie im strömenden Regen benutzt. Doch brisant ist vor allem sein Inhalt, genauer: die rund 70 verschiedenen Adapter und Kabel.

auto

Spurensuche: Mit einem Minicomputer lassen sich von fremden Handys juristisch verwertbare Informationen gewinnen - auch für Steuerfahnder.

(Foto: dpa)

Ist ein Handy erst einmal damit verbunden, bleibt den Ermittlern kaum mehr ein Geheimnis verborgen. Denn das ist die Aufgabe des Ufed, wie der Minicomputer heißt: Juristisch verwertbare Informationen von fremden Handys zu liefern. Die bekommt man aber nicht einfach so, sagt Pawlak, Deutschland-Chef des Herstellers Cellebrite, keine Privatleute jedenfalls, "nur Geheimdienste, das Militär, Gutachter oder Steuerfahnder können ihn kaufen". Um die 5000 Euro muss man für das Gesamtpaket aus Gerät und Software rechnen.

Forensik, das gerichtsverwertbare Sichern von Beweisen, ist sozusagen ein Nebenprodukt der ursprünglichen Idee von Cellebrite. Bis heute baut die Firma unter anderem Geräte, die nur dazu da sind, ein altes Ärgernis der Handywelt aus der Welt zu schaffen: Wie man die Adressdaten und Kurznachrichten von seinem alten auf ein neues Handy bringt.

Anstatt die ganzen Daten mühsam von Hand anzutippen, verbindet man das alte Handy auf der einen Seite mit dem Gerät, das neue auf der anderen, und in wenigen Augenblicken werden die Daten übertragen. Das funktioniert bei so gut wie allen handelsüblichen Geräten. Die Kunst der Ingenieure liegt dabei darin, dass die Informationen wieder an der richtigen Stelle landen, nicht etwa die Telefonnummern bei den Vornamen.

Kritiker sprechen von mobilen Ortungswanzen

Als Polizisten in Großbritannien das sahen, fragten sie bei Cellebrite nach, ob es nicht auch Geräte gebe, mit denen sich Handy-Inhalte auf einem Computer speichern ließen. Denn bisher, so die Beamten, müsse man immer alles abschreiben oder mühsam einzeln fotografieren. Das war die Geburtsstunde des Ufed und das neue, mittlerweile wichtigste Standbein der Firma. Das war auch gut so, denn mit dem Aufkommen von Smartphones werden die meisten Informationen auf einem Handy entweder online gespeichert oder wenigstens auf einem Computer. Bei einem Windows-Phone oder einem Android-Gerät genügt es, sich mit seiner Kennung anzumelden, und in wenigen Minuten sind alle Informationen überspielt, eine Datenübertragung ist nicht mehr nötig.

Diese modernen Handys aber können noch viel mehr Informationen speichern - Informationen, die für Ermittler von großer Bedeutung sein können: Wer hat wen wann angerufen oder eine Nachricht geschickt? Fotos, Videos, der Verlauf des Browsers, ortsbezogene Daten - es hat schon seinen Grund, dass der Chaos Computer Club Smartphones als mobile Ortungswanzen bezeichnet, so viele Daten erfassen diese Geräte.

Auch Navigationsgeräte lassen sich ausspionieren

Am Ufed angesteckt, offenbaren fast alle von ihnen ihre tiefsten Geheimnisse, denn der gesamte Inhalt der Speicherchips wird im Rohformat (Dump) heruntergeladen. Das kann je nach Speichergröße schon mal ein bis zwei Stunden dauern, schließlich fassen manche Smartphones bis zu 64 Gigabyte an Daten. Was viele Nutzer nicht wissen: Auch Daten, die sie schon glauben gelöscht zu haben, sind dabei oft auffindbar. Wegen einer Besonderheit des in Handys verbauten Speichers ist dies sogar gar nicht so selten.

Der sogenannte Flashspeicher, wie er auch in USB-Sticks oder Speicherkarten verwendet wird, schafft pro einzelner Speicherzelle nur eine begrenzte Anzahl Schreib- und Löschvorgänge, danach geht die Zelle kaputt. Um das hinauszuzögern, wenden die Hersteller ein "Wear Levelling" genanntes Verfahren an, das die Belastung möglichst gleichmäßig auf alle Zellen verteilt. Deshalb finden sich meist auch im unbenutzten Teil des Speichers Daten - solche, die der Nutzer gelöscht hat. Diese werden aber bloß mit einem Vermerk versehen, wirklich gelöscht werden sie nicht. Um die Extraktion der Rohdaten zu ermöglichen, wird auf das Handy zunächst eine Software gespielt, die es erlaubt, das Betriebssystem und mögliche Passwortsperren des Handys zu umgehen und das Handy mit der eigenen Software zu starten.

Doch die 120 Entwickler, die in Israel für Cellebrite arbeiten, stehen immer wieder vor neuen Herausforderungen, "das ist ein Hase-und-Igel-Spiel". Und manchmal sind auch sie machtlos. "Wenn man einen Blackberry ordentlich wiped, wird es schwierig, Daten wiederherzustellen", sagt Pawlak. Mit "wipen", englisch für wegwischen, ist professionelles Löschen gemeint. Und es gibt auch spezielle Handys, an deren Daten man nicht herankommt, weil sie sofort verschlüsselt werden. Da hilft dann höchstens noch, die Chips von der Platine des Handys löten, aber das beherrschen nur wenige Spezialisten zum Beispiel bei den Geheimdiensten.

Daten werden gegen Manipulation gesichert

Für normale Ermittlungen jedoch reicht in der Regel, was auf den Handys zu finden ist. Wichtig für die Ermittler ist, dass die Software aus den Rohdaten einen Bericht erzeugt, der es dann ermöglicht, sich einzelne Punkte, etwa das Protokoll der letzten Anrufe, noch einmal genauer anzusehen. Datensätze, die bestimmten Dateiarten wie beispielsweise Fotos zugeordnet werden können, werden entsprechend abgespeichert und lassen sich ansehen. Die Daten werden bei der Extraktion aber auch gegen Manipulation gesichert. Andernfalls wären sie vor Gericht als Beweismittel gar nicht zulässig.

Doch nicht nur Handys lassen sich auswerten, neuerdings kommen auch Navigationsgeräte dazu. Denn die kleinen Kästchen für die Windschutzscheibe speichern ebenfalls viele Daten ab, die wertvolle Indizien liefern können. Auch hier wird zunächst der gesamte Speicher ausgelesen und dann von einer speziellen Software analysiert. Besonders die sogenannten "Trip Logs", automatisch erzeugte Aufzeichnungen von Fahrten, interessieren dabei die Fahnder. Wie bei den Handys wird das Gerät per Kabel mit dem Ufed verbunden, dieser wiederum mit einem handelsüblichen PC oder Laptop. Auf dem PC landen dann schließlich die Daten, die per Software zum Bericht aufbereitet werden.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: