Mobile IT-Forensik

Motivation

Mobilfunkgeräte wie Handys, Smartphones, PDAs oder Tablet-PCs (letztlich fallen auch Laptops bzw. Notebooks in diese Kategorie) sind feste Bestandteile unseres Alltags geworden. Durch den rasanten technologischen Fortschritt entwickeln sie sich immer mehr von reinen Telefonen hin zum zentralen Alltagsgegenstand. Wir organisieren unsere Termine und Kontakte mit ihnen, machen Fotos und Videos, schreiben SMS/MMS und E-Mails und können inzwischen gewaltige Datenmengen auf ihnen speichern, darunter auch sehr persönliche. Nahezu täglich kommen neue Geräte auf den Markt, der diese Technik geradezu „gierig“ aufnimmt. Heute sind statistisch gesehen weit über 60 % der Weltbevölkerung mit Mobiltelefonen ausgestattet. Dies weckt Begehrlichkeiten aus allen Richtungen und ist auch von datenschutzrechtlicher Relevanz (nicht zuletzt Brisanz).

Mobiltelefone, speziell deren wachsende Möglichkeiten, sind eine darüber hinaus relativ junge Erscheinung, die bisher nicht umfassend von der klassischen IT-Forensik abgedeckt wird. Es gibt z.Z. nur wenige Sachverständige und Unternehmen, die sich qualifiziert dieses Themas angenommen haben.

Besonders Smartphones sind heute beliebtes Accessoire für Kriminelle. Es ist ein ideales Werkzeug, um Fotos oder Informationen aufzunehmen, sei es für Erpressungszwecke, Stalking, Mobbing, zur Datenspionage oder einfach um mit ihren Aktivitäten anzugeben, also aus bloßem Spaß heraus.

Diese Umstände machen mobile Endgeräte aber auch für Strafermittler, Revisoren oder sonstige mit forensischen Analysen Betraute zu begehrten, potentiellen Beweisstücken. Forensiker können mit den sichergestellten (GPS) Daten mitunter aussagekräftige Persönlichkeits- und Bewegungsprofile erstellen.

Damit gelangen auch immer mehr Unternehmensdaten auf diese Gerätschaften, da mobile Endgeräte in jeder Form zur Grundausstattung eines jeden Mitarbeiters gehören und die Mitarbeiter auch von außen auf zahlreiche Geschäftsprozesse zugreifen können, die Teil interner Netzwerke sind. Die Kommunikationsgewohnheiten verlagern sich zudem zunehmend von schnurgebundenen Anwendungen hin zu drahtlosen Technologien. Zu wissen, was sich von diesen Systemen und Anwendungen auf „unorthodoxen Wegen“ und ohne Einbezug und Hilfe ihres Besitzers auslesen lässt, ist sowohl für die Einschätzung des Gefahrenpotenzials im Verlustfall, als auch für Zwecke der Datenrettung und mögliche interne Ermittlungen bedeutsam. Forensische Analysen können somit auch durchaus prospektiv, ohne Vorliegen eines aktuellen Sicherheitsvorfalls zum Einsatz kommen. Sie bilden somit eine empirische, belastbare Grundlage sowohl für die Anklage, als auch für die Verteidigung.

Dabei ist nahe liegend, dass auch mobile Geräte gezielt zur Spionage, wirtschaftskriminelle Handlungen, Erpressungen und allerlei weitere Straftaten genutzt werden und sei es nur unterstützend. Mit den hierbei verfügbaren Funktionen ist es grundsätzlich möglich, kritische Informationen unauffällig aus Unternehmen, Behörden und Organisationen zu schaffen. Damit werden gleichsam auch die Themen IT-Sicherheit und Datenschutz berührt.

Um Verdachtsfälle und Vorkommnisse dieser Art aufklären zu können, bieten wir Ihnen explizit die Dienstleistung Mobile IT-Forensik an (als Teilgebiet der IT-Forensik). Wenn Sie an Details dieses neuartigen Sachgebietes interessiert sind und wissen wollen, wie Ihnen das von Nutzen sein kann, lesen Sie bitte weiter …

Mobile Endgeräteauswertung – Handy, Smartphone, Tablet-PC, Navigationsgerät und Notebook

Die Computer-Forensik / IT-Forensik und speziell auch die Mobile IT-Forensik, ist ein junges Fachgebiet der Beweissicherung in der EDV/IT. Es ist die Wissenschaft der Wiederherstellung und Sicherung digitaler Beweise und Beweisspuren unter forensisch einwandfreien Bedingungen mittels anerkannter Methoden (forensische Datenanalyse). Bei der Mobilen IT-Forensik handelt es sich um die rückwirkende Aufklärung von Sicherheits-Vorfällen und möglichen Straftaten im Zusammenhang mit mobilen Endgeräten. Hierbei kommen Technologien zum Einsatz, welche häufig auch den direkten Zugriff auf den Hauptspeicher und bereits gelöschte Daten (physikalische Analyse) oder auf Inhalte des Dateisystems, wie Inhalte von Speicherkarten, Dokumente, Programme, Digitalfotos, Videos usw. erlauben (logische Analyse). Multimediale Daten, wie Inhalte von Speicherkarten, Fotos, Videos, usw. können zusätzlich mit den üblichen Werkzeugen der IT-Forensik ausgewertet werden, i.d.R. softwaregestützt. Dadurch wird ein umfassender Blick auf eine mögliche Tat frei und die Aufklärung nachhaltig unterstützt.

Unsere Leistungen als IT-Sachverständige im Bereich Mobile IT-Forensik:

Kosten-/Nutzen-Analysen (lohnt sich der Aufwand?)

Untersuchung aller in mobilen Endgeräten aktuell eingesetzter Betriebssysteme und Apps (Applikationen)

Untersuchung auf Schadprogramme / Malware

Datenrettung (soweit möglich)

Sichern und Identifizieren der Beweismittel

Beweissichere Analyse und Verifikation der gesammelten Daten

Bewertung der Ergebnisse

Dokumentation und Präsentation der Ergebnisse

Erstattung von Gerichts- oder Privatgutachten

Erstellen von Sicherheitskonzepten speziell für mobile Endgeräte

Lauschabwehr

Worin bestehen nun die besonderen Herausforderungen der Mobilen IT-Forensik?

Es besteht die Notwendigkeit spezieller Schnittstellen, sowie Hard- und Software zur Datenextraktion.

Auf der Flash-Technologie basierende Mobiltelefon-Speicher unterscheiden sich von gewöhnlichen PC-Festplatten (HDDs), so dass spezielle Methoden der Datenextraktion und Dekodierung zum Einsatz kommen.

Es besteht eine große Anzahl von Herstellern, Betriebssystemen, Dateisystemen sowie propitärer Schnittstellen.

Sehr hohe Innovationsgeschwindigkeit auf Hardware-, Betriebssystem- und Applikationsseite.

Die Hersteller verwenden die unterschiedlichsten Chipsätze.

Fast täglich neue Telefonmodelle.

Was ist bei mobilen Geräten von Interesse?

Was ist möglich bei der Analyse von mobilen Geräten?

Wo gibt es Einschränkungen?

Abhängig von der genauen Fragestellung sind bei der Analyse mobiler Endgeräte u.a. folgende Fragen und deren Antworten von Interesse:

Um welches Gerät handelt es sich?

IMEI?

ISMI (= International Mobile Subscribe Identity) mit Zuordnung zur SIM-Karte?

Kann das Gerät möglicherweise physikalisch ausgelesen werden (Speicher-Dump)? Können gelöschte Daten wiederhergestellt werden?

Welches Betriebssystem wird verwendet? Android, iOS, Microsoft, usw.

Welche Dateistruktur weist das Endgerät bzw. das Betriebssystem auf? Welche Arten von Dateien befinden sich auf dem Gerät?

Welche Applikationen werden verwendet? Bestehen Anbindungen in andere Netze?

Internet-/E-Mail-Zugang möglich und konfiguriert (WLAN, UMTS, GRPS, WAP etc.)? Wie lauten die Konfigurations-Parameter?

Werden Kontaktdaten verwaltet? Wann ja wie? Synchronisation, wenn ja womit?

Können auf dem Gerät zusätzliche Speicherkarten verwendet werden? Wenn Ja, ist eine Karte eingesetzt? Welchen Typs ist sie? Befinden sich Daten auf der Karte, wenn Ja, welche?

Wurden besondere Sprach- bzw. Regionaleinstellungen vorgenommen (z.B. auch Zeitzone)

Sind Eigentümerinformationen vorhanden (z.B. auch in Form von Aufklebern, wie Equipment-Nummer, Anlagen-Nr.)?

Wurden Notizen aufgezeichnet? Sind evtl. gar Sprachnotizen vorhanden?

Kalender-Informationen vorhanden? Wenn Ja, welche?

GPS-Informationen möglich, eingestellt und vorhanden (Bewegungsdaten)?

Ist eine Kamera vorhanden, Multimediadaten wie Fotos, Videos, Audiodateien auf dem Gerät? Exif-Daten vorhanden?

Enthält das Gerät Schadprogramme, Malware oder Überwachungssoftware?

Sind Favoriten, Bookmarks feststellbar?

Handelt es sich um ein Privatgerät oder ein organisations- bzw. firmeneigenes Gerät?

Welche Telefon-Nr. ist dem Gerät zugeordnet?

Welcher Provider wird genutzt?

Chatverläufe, soziale Netzwerke, wie Facebook, Whatsapp, Snapchat, usw.

Welche Nummern wurden wann angerufen, welche empfangen? Eingehende, ausgehende Anrufe, Anruflisten, usw.?

Wurden Kurzwahlnummern hinterlegt, wenn Ja, welche?

Wurden SMS dauerhaft gespeichert? Welche SMS oder auch MMS wurden wann empfangen oder gesendet? Wurden Templates dabei verwendet?

Können gelöschte Dateien oder Nachrichten ausgelesen werden (Speicher-Dump)?

Zusätzlich können auch noch Abgleiche mit den bei den Mobilfunkprovidern vorliegenden Daten vorgenommen werden. Dazu ist allerdings ein richterlicher Beschluss notwendig.

Prozess der Mobilfunkuntersuchung

Der Ablauf einer jeden Mobilfunkuntersuchung bzw. forensischen Analyse mobiler Endgeräte lässt sich allgemein wie folgt beschreiben:

1. Identifikation (Eigenschaften des Endgerätemodells)

2. Vorbereitung (Auswahl geeigneter Analyse-Werkzeuge)

3. Isolierung („Abschneiden“ des Mobiltelefons vom Netz, z.B. Clone-SIM, Abschaltung)

4.Datenextraktion (Auslesen der Daten vom Endgerät, logisch, Datei-System, physikalisch)

5. Verifikation (Plausibilitätsprüfung, z.B. Vergleich der ausgelesenen Daten mit dem Gerät, weitere Analyse-Tools, Zeitstempel)

6. Dokumentation (Lückenlose Dokumentation der Untersuchungsschritte, Untersuchungsbericht)

7. Archivierung

Basis ist dabei stets die bekannte Regel der Computer-Forensik „Sichern-Analysieren-Präsentieren“ (SAR-Modell).

Eingesetzte Tools bei der Analyse mobiler Endgeräte

Zur Auswertung mobiler Endgeräte können verschiedenste Tools zum Einsatz kommen. Teilweise kann man zum Auslesen von Speicherkarten, die gleichen Tools einsetzen, die auch bei der klassischen IT-Forensik zum Einsatz kommen, z.B. EnCase™ oder X-Ways-Forensics™. Speziell zur Untersuchung von Mobiltelefonen existieren softwaregestützte Werkzeuge wie z.B. die Oxygen Forensic-Suite™ sowie frei zugängliche Werkzeuge.

Die DEGA Unternehmensberatung GmbH nutzt im Regelfall einen „Koffer“ mit einem speziellen Device (Auswertungseinheit) der Firma Cellebrite™ (UFED Touch), zum Auslesen von Daten aus mobilen Endgeräten, die überwiegend auf der Flash-Technologie basieren. Selbstverständlich steht auch die entsprechende Software zur Analyse und Aufbereitung der ausgelesenen Daten zur Verfügung (Physical-Analyser). Der Koffer bietet den zusätzlichen Vorteil, dass auch sämtliche erforderliche Kabel und sonstige nützliche Hardware sowie Accessoires enthalten sind, was sich besonders im Feldeinsatz (am Tatort) bewährt. Häufig ist schnelle Reaktion erforderlich, und die ist mit einem solchen Kit sicher leichter zu realisieren, als mit einem stationären Forensik-Lab (das natürlich weiterhin seine Berechtigung hat). Selbst Clone-SIMs können erstellt werden.

Der UFED Touch nutzt nur den internen Speicher (RAM) zur Zwischenspeicherung ausgelesener Inhalte, bevor diese auf das Zielmedium geschrieben werden. Am Ende des erfolgreichen Extraktionsprozesses, bei Unterbrechung der Stromzufuhr oder nach einer angezeigten, nicht erfolgreichen Extraktion wird der interne Speicher immer gelöscht. Das heißt, die Extraktion erfolgt beweissicher und die Verwendung eines „Write-Blockers“ ist bei diesem Verfahren nicht erforderlich!

Mittels UFED Touch™ können gegenwärtig (Jan 2016) etwa 18.000 mobile Endgeräte ausgewertet werden. Mit jedem Update erhöht sich diese Zahl. Natürlich erweitern sich auch die Möglichkeiten hinsichtlich der Auswertung mittels der Software Physical-Analyser. Beachten Sie hierzu bitte auch die Seite www.experts4handys.de.

Auch mittels der Lösung UFED Touch™ können selbstverständlich nicht alle Geräte analysiert werden. Es gibt, wie in vielen anderen Disziplinen der Analyse, auch hier gewisse Grenzen, letztlich auch hinsichtlich Aufwand und Kosten. Dazu ist der Markt auch zu schnelllebig. Aus diesem Grunde wird die Lösung in regelmäßigen Abständen aktualisiert, es werden regelmäßige Updates aufgespielt.

Sollte es mit dieser Lösung einmal nicht funktionieren, nutzen wir (wenn möglich) die angesprochenen rein softwaregestützten Methoden. Aber auch dann ist es immer noch möglich, dass ein bestimmtes Gerät nicht ausgelesen und damit forensisch analysiert werden kann. Mitunter hilft dann nur noch ein Auslöten des Chips und ein Auswerten auf noch spezielleren Geräten, weshalb man sich dann genau überlegen sollte, ob man eine derartige Analyse dann noch in Auftrag geben sollte. Der Aufwand dafür ist sehr groß und kann den Nutzen um ein Vielfaches übersteigen. Hier wird man dann ein Spezial-Labor einschalten müssen, zu denen wir selbstverständlich ebenso Kontakt halten.

Fazit:

Inzwischen ist es sehr gut möglich, Daten auf mobilen Endgeräten sicherzustellen. Eine pauschale Lösung gibt es dabei jedoch nicht. Vorrangig muss für forensische Analysen, wie üblich, gewährleistet sein, dass keine Daten auf den Geräten verändert werden.

Der fachliche und monetäre Aufwand zur forensischen Untersuchung eines mobilen Endgerätes hängt stark vom vorliegenden System und den zur Verfügung stehenden Werkzeugen ab, sowie dem Aufwand, den man bereit ist einzugehen. Gerade im innovationsfreudigen Mobilfunkmarkt muss notwendiges Wissen nicht selten durch zeitintensives und kostenträchtiges Reverse-Engineering gesammelt werden. Verfügbare Werkzeuge & Methoden sind daher nicht für alle Modelle nutzbar. Es hat sich jedoch gezeigt, dass man durch Verwendung kommerzieller Werkzeuge, mit einer Vielzahl von Modellen zurechtkommt, vor allem, wenn die Updates regelmäßig installiert werden.

Schwierigkeiten ergeben sich häufig auf dem Gebiet der „Wegwerfhandys“ (und nicht nur dort). Überall dort, wo kaum Software und Informationen von den Herstellern zur Verfügung gestellt werden. Dieser Mangel birgt die Gefahr in sich, dass forensische Analysen im Bereich der Mobilen IT-Forensik entweder nicht ordnungsgemäß durchgeführt werden können oder grundlegende Regeln forensischer Analysen gebrochen werden, ohne, dass dies einem Ermittler bewusst werden muss. Dieses Risiko kann jedoch durch Verwendung leistungsfähiger Hard- und Software minimiert werden.

Gleichzeitig zeigen unsere Erfahrungen aber auch, wie schlecht sensitive Daten auf mobilen Endgeräten vor unbefugtem Zugriff geschützt sind. Es ist daher dringend anzuraten, auch auf solchen Geräten bei entsprechendem Schutzbedarf (vor allem bei Firmenhandys/Smartphones) zusätzliche Sicherheitssysteme einzusetzen, wie es im Falle stationärer Systeme schon lange Usus sein sollte, jedoch leider noch immer nicht durchgängig praktiziert wird. Explizit sind hier die Themen IT-Sicherheit, Mobile-Security, Mobile-Device-Managment (MDM) sowie Datenschutz angesprochen.

Zielgruppen

• Staatsanwaltschaften / Strafermittler (im Rahmen von Ermittlungen und Verfahren)

• Gerichte (im Rahmen von Verfahren)

• Kriminalbehörden/Polizei (im Rahmen von Ermittlungen und Verfahren)

• Zollbehörden (im Rahmen von Ermittlungen und Verfahren)

• Privatermittler (im Rahmen von Ermittlungen, Observationen und Verfahren)

• Rechtsanwälte und -Kanzleien (im Rahmen von Ermittlungen und Verfahren, Gegengutachten, Entlastungen von Mandanten)

• Steuerberater (im Rahmen von Ermittlungen und Verfahren, Gegengutachten, Entlastungen von Mandanten, vor allem im Hinblick auf Steuerfahndungen)

• Wirtschaftsprüfer (im Rahmen von Ermittlungen und Verfahren, Unterstützung bei Prüfungen)

• Revisionisten/interne Ermittler (im Rahmen von Ermittlungen und Verfahren, Unterstützung bei Prüfungen, außergerichtliche Ermittlungen, Sicherheits-Lösungen)

• Unternehmen/Organisationen (im Rahmen von Ermittlungen und Verfahren, Gegengutachten, außergerichtliche Ermittlungen, Sicherheits-Lösungen)

• Privatpersonen (im Rahmen von Ermittlungen und Verfahren, Gegengutachten, Entlastungen, Sicherheits-Lösungen)

Wie Sie sehen, sind zahlreiche Anwendungsmöglichkeiten der Mobilen IT-Forensik denkbar, so unterschiedlich sind die Situationen, bei denen sie zum Einsatz kommen kann. Angefangen bei strafrechtlichen Verfahren, bei denen es sowohl um die Belastung, aber auch die Entlastung eines Beschuldigten gehen kann, über privatrechtliche Ermittlungen z.B. im Rahmen der großen Themen „Kriminalität am Arbeitsplatz“ oder „Wirtschaftskriminalität“, der Klärung und Verhinderung von Sicherheitsvorfällen, Wirtschafts-/Datenspionage, Computerbetrug und steuer-/wirtschaftsprüfungsrelevanter Fragestellungen, bis hin zu zivilrechtlichen Auseinandersetzungen wie z.B. Scheidungsverfahren. Diese Aufzählung lässt sich leicht fortsetzen.

Wir unterstützen Sie gerne in allen Phasen der computerforensischen Ermittlung /internen Ermittungen , hier der forensischen Analyse mobiler Endgeräte, von der Beweissicherung vor Ort, bis hin zur Analyse und Präsentation der Ergebnisse. Selbstverständlich erstatten wir auch in diesem Bereich qualifizierte Gutachten, sowohl für Unternehmen, als auch Behörden.

Unser Baustein Mobile IT-Forensik hilft Ihnen entstandene Schäden aufzuklären, Täter zu ermitteln, Taten aufzuklären und Sicherheits-Vorfällen durch gezielte Maßnahmen vorzubeugen. Zudem werden auch Entlastungen im Falle unrechtmäßiger Beschuldigungen und Ansprüche möglich. Dazu steht ein modernes und leistungsfähiges Arsenal an Werkzeugen zur Verfügung. Diese Dienstleistung können Sie nicht „an jeder Ecke“ kaufen. Wir haben keine Kosten und Mühen gescheut, Ihnen diese Leistung anbieten zu können. Deshalb zögern Sie nicht, uns im Fall der Fälle anzusprechen, sinnvollerweise noch bevor ein Sicherheitsvorfall vorliegt, Ermittlungen notwendig werden oder bereits eingeleitet wurden.

Vermeiden Sie unnötige Risiken und volle Asservatenkammern! Lassen Sie Täter nicht frei herumlaufen und arbeiten Sie gleich mit den führenden Profis in Sachen Mobiler IT-Forensik zusammen – Sprechen Sie uns einfach an!