IT-Sicherheit

Jäger der verborgenen Smartphone-Daten

Längst sind Smartphones unsere Begleiter im Alltag. Ob privat oder beruflich – die Annehmlichkeiten „mobiler Endgeräte“ liegen auf der Hand und lassen sich nicht mehr wegdenken. Das gilt selbstredend auch für Straftäter. Und so wundert es nicht, dass Smartphones immer häufiger für kriminelle Handlungen genutzt werden. Die stetig wachsende Ansammlung von Daten und Informationen sowie immer größere Speichereinheiten stellen damit auch die Kriminalistik vor neue Herausforderungen bei der Ermittlungsarbeit.

Eine Auswertung der Conturn AIG GmbH zeigt, dass in rund 84 Prozent aller bearbeiteten Verfahren Smartphones oder andere mobile Endgeräte eine wichtige Rolle für Aufklärung und Beweissicherung spielten. Dabei ist ein geflügeltes Wort aus der analogen Welt wohl noch das beste Bild, um die Herausforderung zu illustrieren, die die Beweissicherung von Smartphone-Daten mit sich bringt: Es geht um nicht weniger als die Suche nach der „Nadel im Heuhaufen“. Aber es gibt Mittel und Wege: Mit geeigneter Software lassen sich beispielsweise Handy-Daten extrahieren und nach bestimmten Stichworten durchsuchen.

Nehmen wir an, ein Mitarbeiter wird verdächtigt, geheime Unterlagen seines Unternehmens an einen Wettbewerber zu veräußern. Sein Arbeitgeber setzt einen Ermittler auf die Sache an. Der könnte bei seiner software-gestützten Ermittlung nun die Begriffe „vertraulich“ oder „geheim“ als relevant einstufen. Diese Stichwörter findet man möglicherweise in E-Mails, Chats oder SMS-Nachrichten. Sind mehrere Personen beteiligt, lassen sich auch diese durch eine forensische Analyse identifizieren. (Die juristische Betrachtung bleiben an dieser Stelle unberücksichtigt.)

In unserem Beispiel wird nun auch das Smartphone eines weiteren Tatverdächtigen sichergestellt, ebenfalls Zweitgeräte der als erstes beschuldigten Person. Der Ermittler kann nun all die Geräte in eine Analysesoftware für mobile Forensik einlesen und auswerten. Gezielt können alle vorhandenen Geräte mit einer Suchwortliste entsprechend durchsucht werden. Es ist nun zu verifizieren, ob die beiden Personen sich beispielsweise via SMS zur Straftat verabredet oder die Tat gemeinschaftlich geplant und durchgeführt haben.

Unberücksichtigt blieb bisher, ob es möglicherweise noch weitere Personen gibt, die an der Tat beteiligt sind. Die Firma Cellebrite hat dazu eigens eine Analysesoftware entwickelt, die auf diese Anwendungsgebiete spezialisiert ist. UFED Link Analysis ist ein durchaus mächtiges Werkzeug, mit dem es Ermittlern, ganz gleich ob Strafverfolgungsbehörde oder in der Privatwirtschaft, möglich ist, Verbindungen von Gesprächen, Personen, Nachrichten, Orten und Vieles mehr sichtbar zu machen. Die Verbindungen einzelner Personen werden visualisiert und vereinfachen die Darstellung der Geschehnisse enorm.

Entscheidend ist die umfängliche Daten- Sicherstellung der mobilen Endgeräte. Vollumfänglich lässt sich für den Ermittlungsprozess schneller feststellen, ob sich die einer Tat verdächtigen Personen zeitgleich an einem Ort aufgehalten haben. Sofern die Extraktion der sichergestellten Daten auch Geo-Daten beinhaltet, kann zusätzlich anhand einer Zeitleiste auch die entsprechende Reiseroute festgestellt und visualisiert werden. Hinzu kommen feine Details, die Methoden zu Standortdaten liefern und sich erfassen lassen – bekanntlich kann dies auf unterschiedliche Art und Weise erfolgen.

Eine Zoom-Funktion innerhalb der geografischen Karte kann darüber hinaus sehr hilfreich sein, um den Standort noch weiter einzugrenzen. Nicht uninteressant bei dieser Form der Ermittlung in den Smartphones Beschuldigter ist auch die Gewinnung von gelöschten Daten, die von großer Bedeutung sein können. Was nun folgen kann, ist das Einlesen von Daten aus den Smartphones weiterer Beteiligter.

Die grafische Darstellung macht sichtbar, welche Verbindungen zwischen den eingelesenen mobilen Geräten existieren, und gibt Aufschluss über die genaue Anzahl der einzelnen Verbindungen. Darin enthalten sind alle Informationen aus SMS, Kontakten, E-Mails, Geo-Positionen und Vieles mehr. Der Ermittler kann so zielgenau von einer zur anderen Person navigieren und hat alle Verbindungen visualisiert vorliegen. Die gewonnenen Informationen können nun, zur vereinfachten Veranschaulichung, entsprechend angeklickt werden. Sichtbar wird beispielsweise, wie sich zwei Personen im gleichen Zeitraum an ein und demselben Ort aufgehalten haben. Dies kann für die Beschuldigten sowohl ent- als auch belastende Fakten liefern.

Ermittler haben darüber hinaus die Möglichkeit, einen Filter so zu setzen, dass man sich differenzierter nur die SMSNachrichten anzeigen lässt, die in der Folge visualisiert dargestellt werden und verdeutlichen, wer mit wem wie viele und wann in welcher Verbindung Nachrichten ausgetauscht hat. Auch Skype- und WhatsApp-Nachrichten lassen sich so besser darstellen. Ein weiterer Vorzug ist die Möglichkeit zur Darstellung einzelner Kontakt-Verknüpfungen; für Ermittler könnte dies von Interesse sein, wenn noch nicht alle Tatverdächtigen bekannt sind.

Dass natürlich auch darüber wesentlich einfacher und schneller ein möglicher Tatort bestimmt oder ein der Mittäterschaft Verdächtiger entlastet werden kann, ist genauso interessant wie die Erhärtung des Tatvorwurfs durch erbrachte Datenermittlung und Fakten aus mobilen Endgeräten. Technisch bietet Cellebrite mit UFED Link Analysis Importmöglichkeiten für Daten im *.xml-, *.txt-, *.ufd-, *.xls- oder auch *.csv- Format, die auch die reinen Kontaktdaten aus anderen Programmen beispielsweise einbinden und auswerten lassen.

Bildquelle: pixabay, Gerd Altmann

Redaktion Prosecurity

Die ProSecurity Publishing GmbH & Co. KG ist einer der führenden deutschen Sicherheitsfachverlage. Wir punkten mit fachlicher Kompetenz, redaktioneller Qualität und einem weit gespannten Netzwerk von Experten und Branchenkennern.

Kommentieren

Hier klicken, um ein Kommentar zu schreiben