Auf Spurensuche in Straches Handy

Ist die Spurensicherung am Handy komplizierter als auf Computern?

Ja. Während Macs und Windows-PCs über das Betriebssystem standardisiert sind und daher mit einigen wenigen Werkzeugen geknackt werden können, verhält sich jedes Handymodell anders. Unter Android herrscht ein Wildwuchs an Betriebssystem-Versionen, die von den Herstellern zudem eigenständig adaptiert werden. Auch wie ein Handy Sperrcodes und das Speichern von Daten verwaltet, ist selbst bei Modellen des gleichen Herstellers völlig unterschiedlich.

Was ist die größte Hürde für Ermittler?

„Wenn das Smartphone durch einen Sperrcode vor fremdem Zugriff gesichert ist, hat man bei neueren Geräten fast keine Chance an die verschlüsselten Daten zu kommen“, erklärt der Sachverständige Daniel K. (Name der Redaktion bekannt).

Muss man den Code nicht herausrücken?

Dazu kann rechtlich niemand gezwungen werden. Denn wie ein Beschuldigter oder Verdächtiger die Aussage und Mitarbeit verweigern kann, um sich nicht zu belasten, muss er Ermittlungsbehörden auch nicht die Zugangsdaten zu seinem Mobiltelefon oder Computer geben.

Was tun die Ermittler in so einem Fall?

Abhilfe können dann nur Programme spezialisierter Anbieter wie der israelischen Forensikfirma Cellebrite schaffen, die in vielen Fällen gesperrte Handys knacken können. Diese suchen nach Lücken im Betriebssystem und nutzen diese aus, um die Sicherheitsmaßnahmen zu umgehen.

Was passiert, wenn der Sperrcode nicht geknackt werden kann?

Dann brauchen Ermittler Glück bzw. können auf Zeit spielen. So kann es jederzeit sein, dass eine neue Lücke gefunden und entsprechende Entsperrwerkzeuge neu entwickelt werden. Manche Schwachstellen und Tricks sind auch im Internet auffindbar, wenn man weiß, wo.

Können auch bereits gelöschte Daten rekonstruiert werden?

„Auch wenn man belastende Daten wie einzelne WhatsApp-Nachrichten oder SMS löscht, bleiben diese zunächst im Speicher vorhanden. Sie sind erst dann tatsächlich verschwunden, wenn sie mit neuen Daten überschrieben werden“, erklärt Michael S. Forensiker können diese Informationen aus dem Speicher rekonstruieren.

Wie lange bleiben gelöschte Daten auf dem Handy auffindbar?

„Die Faustregel ist: Je länger der Löschvorgang zurückliegt und je häufiger das Gerät in der Zwischenzeit verwendet wurde, desto schwieriger wird es, solche Daten wiederherzustellen“, sagt Michael S. Wann gelöschte Informationen für immer überschrieben werden, sei reiner Zufall, da neu erzeugte Daten wahllos über den gesamten Flashspeicher verteilt geschrieben werden. Ob Forensiker belastendes Material wiederherstellen können, ist somit ebenfalls zu einem Gutteil Glückssache.

Was verraten Geräte-Back-ups, die über das Internet in der Cloud gespeichert werden?

Bei Apple können über den Zugang zur iCloud die gesamten iPhone-Inhalte wiederhergestellt werden. Je nach Einstellungen des Nutzers können so auch ältere Speicherungen reaktiviert werden, auf denen längst gelöschte Inhalte zu finden sind. Bei Android gehen manche Hersteller einen ähnlichen Weg. So können auch Daten wie Fotos oder E-Mails wiederhergestellt werden, die auf dem Gerät selbst bereits gelöscht wurden.

Wie bekommen Ermittler Zugang zu solchen Cloud-Back-ups?

Dafür ist ein richterlicher Beschluss notwendig. Und während Hersteller wie Google und Apple beim Knacken ihrer Geräte nicht aktiv helfen, kooperieren sie bei entsprechend schwerwiegenden Vergehen wie etwa Kinderpornografie oder Mord mit Behörden, um ihnen Zugang zu solchen Cloud-Back-ups zu verschaffen.

Darüber, welche Daten auf Straches Handy zu finden sein werden – er dürfte ein iPhone verwendet haben – wollten die Forensiker auf KURIER-Nachfrage übrigens nicht spekulieren. Auch Tipps und Tricks, wie man belastendes Material auf dem Handy so löscht, dass es von Ermittlern sicher nicht wiederhergestellt werden kann, wollten sie keine verraten. Sicher sei aber ohnedies nur, dass vor der modernen Forensik nichts wirklich sicher sei.