© Michael Gruber / EXPA / picturedesk.com/Michael Gruber/EXPA/Picturedesk.com

Politik Inland
08/25/2019

Auf Spurensuche in Straches Handy

Wie Ermittler an die Daten kommen und auch gelöschte Informationen wiederherstellen können.

von Martin Stepanek

Während die Behörden noch streiten, wer das Handy von Ex-Vizekanzler Heinz-Christian Strache durchsuchen darf, um Hinweise auf mutmaßlichen Postenschacher und andere mögliche fragwürdige Deals zu finden, blieben einige Fragen bisher unbeleuchtet.

Wie kommen die Ermittler eigentlich an die Handydaten, falls das Gerät mit einem Code geschützt ist? Können Spezialisten gelöschte Nachrichten, Fotos und anderes potenziell belastendes Material wiederherstellen? Und dürfen Behörden über Back-ups in der Cloud auf persönliche Handydaten zugreifen, wenn das Telefon nicht entsperrt werden kann?

Der KURIER hat mit Sachverständigen und Forensikern gesprochen, die Behörden bei der Spurensicherung und Datenauswertung von Computern und Handys helfen. Auch wenn sie im aktuellen Fall rund um Strache nicht beigezogen wurden, wollten sie aus Sicherheitsgründen nicht namentlich genannt werden.

Was ist die Aufgabe eines Forensikers?

"Im ersten Schritt geht es um die möglichst vollständige Sicherung aller Daten“, erklärt Forensiker Michael S. (Name der Redaktion bekannt). Danach gehe es darum, aus der Unmenge an Textnachrichten, Fotos, Videos und Kontaktdaten, die sich über die Jahre auf einem Handy ansammeln, die für die Ermittlungen relevanten herauszufiltern. „Das ist extrem aufwendig und nur mithilfe von intelligenter Software machbar.“

FILE PHOTO: A customer tests a smartphone during the launch of the new iPhone XS and XS Max sales at a shop in Moscow

Ist die Spurensicherung am Handy komplizierter als auf Computern?

Ja. Während Macs und Windows-PCs über das Betriebssystem standardisiert sind und daher mit einigen wenigen Werkzeugen geknackt werden können, verhält sich jedes Handymodell anders. Unter Android herrscht ein Wildwuchs an Betriebssystem-Versionen, die von den Herstellern zudem eigenständig adaptiert werden. Auch wie ein Handy Sperrcodes und das Speichern von Daten verwaltet, ist selbst bei Modellen des gleichen Herstellers völlig unterschiedlich.

Was ist die größte Hürde für Ermittler?

„Wenn das Smartphone durch einen Sperrcode vor fremdem Zugriff gesichert ist, hat man bei neueren Geräten fast keine Chance an die verschlüsselten Daten zu kommen“, erklärt der Sachverständige Daniel K. (Name der Redaktion bekannt).

Muss man den Code nicht herausrücken?

Dazu kann rechtlich niemand gezwungen werden. Denn wie ein Beschuldigter oder Verdächtiger die Aussage und Mitarbeit verweigern kann, um sich nicht zu belasten, muss er Ermittlungsbehörden auch nicht die Zugangsdaten zu seinem Mobiltelefon oder Computer geben.

Was tun die Ermittler in so einem Fall?

Abhilfe können dann nur Programme spezialisierter Anbieter wie der israelischen Forensikfirma Cellebrite schaffen, die in vielen Fällen gesperrte Handys knacken können. Diese suchen nach Lücken im Betriebssystem und nutzen diese aus, um die Sicherheitsmaßnahmen zu umgehen.

SONDERSITZUNG NATIONALRAT: STRACHE

Was passiert, wenn der Sperrcode nicht geknackt werden kann?

Dann brauchen Ermittler Glück bzw. können auf Zeit spielen. So kann es jederzeit sein, dass eine neue Lücke gefunden und entsprechende Entsperrwerkzeuge neu entwickelt werden. Manche Schwachstellen und Tricks sind auch im Internet auffindbar, wenn man weiß, wo.

Können auch bereits gelöschte Daten rekonstruiert werden?

„Auch wenn man belastende Daten wie einzelne WhatsApp-Nachrichten oder SMS löscht, bleiben diese zunächst im Speicher vorhanden. Sie sind erst dann tatsächlich verschwunden, wenn sie mit neuen Daten überschrieben werden“, erklärt Michael S. Forensiker können diese Informationen aus dem Speicher rekonstruieren.

Wie lange bleiben gelöschte Daten auf dem Handy auffindbar?

„Die Faustregel ist: Je länger der Löschvorgang zurückliegt und je häufiger das Gerät in der Zwischenzeit verwendet wurde, desto schwieriger wird es, solche Daten wiederherzustellen“, sagt Michael S. Wann gelöschte Informationen für immer überschrieben werden, sei reiner Zufall, da neu erzeugte Daten wahllos über den gesamten Flashspeicher verteilt geschrieben werden. Ob Forensiker belastendes Material wiederherstellen können, ist somit ebenfalls zu einem Gutteil Glückssache.

Was verraten Geräte-Back-ups, die über das Internet in der Cloud gespeichert werden?

Bei Apple können über den Zugang zur iCloud die gesamten iPhone-Inhalte wiederhergestellt werden. Je nach Einstellungen des Nutzers können so auch ältere Speicherungen reaktiviert werden, auf denen längst gelöschte Inhalte zu finden sind. Bei Android gehen manche Hersteller einen ähnlichen Weg. So können auch Daten wie Fotos oder E-Mails wiederhergestellt werden, die auf dem Gerät selbst bereits gelöscht wurden.

Wie bekommen Ermittler Zugang zu solchen Cloud-Back-ups?

Dafür ist ein richterlicher Beschluss notwendig. Und während Hersteller wie Google und Apple beim Knacken ihrer Geräte nicht aktiv helfen, kooperieren sie bei entsprechend schwerwiegenden Vergehen wie etwa Kinderpornografie oder Mord mit Behörden, um ihnen Zugang zu solchen Cloud-Back-ups zu verschaffen.

Darüber, welche Daten auf Straches Handy zu finden sein werden – er dürfte ein iPhone verwendet haben – wollten die Forensiker auf KURIER-Nachfrage übrigens nicht spekulieren. Auch Tipps und Tricks, wie man belastendes Material auf dem Handy so löscht, dass es von Ermittlern sicher nicht wiederhergestellt werden kann, wollten sie keine verraten. Sicher sei aber ohnedies nur, dass vor der modernen Forensik nichts wirklich sicher sei.