Nach einer Spontandemonstration in Leipzig hatte die dortige Polizei im Januar mehrere Hundert Personen eingekesselt. Einige der Demonstrierenden hatten sich der Polizei zufolge des Landfriedensbruchs schuldig gemacht. Weil keine einzelnen Beschuldigten ausgemacht werden konnten, leitete die Polizei kurzerhand Ermittlungsverfahren gegen alle 195 festgestellten Personen ein. Dabei wurden sämtliche gefundene elektronische Geräte einkassiert: 150 Mobiltelefone, drei Laptops, sechs SIM-Karten, vier SD- und zwei Mini-SD-Karten (jene in den Telefonen nicht mitgezählt) sowie drei iPods.

Bei der Aktion handelt es sich wohl um eine der größte Massen-Beschlagnahmungen von Kommunikationsgeräten bei politischen Versammlungen. Für die Ermittlungsbehörden eine prima Möglichkeit, sich an den unterschiedlichen Geräten mit diverser Auswertesoftware zu versuchen.

13 Betroffene gaben Zugangsdaten heraus

Die Telefone wurden nach einer Anordnung der Staatsanwaltschaft Leipzig durch die Polizeidirektion einer forensischen Spurensicherung unterzogen. Von Interesse war laut der Polizei, ob sich darauf Fotos befänden, aufgrund derer mögliche StraftäterInnen ausfindig gemacht werden könnten.

Im März hatten wir berichtet, dass sich die ermittelnde Polizeidirektion an 63 Handys bis dahin erfolglos versuchte. Neue Zahlen hat nun die Landtagsabgeordnete Juliane Nagel erfragt. Laut der Antwort auf eine Kleine Anfrage konnten noch immer keine Daten aus 30 Telefonen ausgelesen werden. Zu den Gründen macht die Landesregierung keine Angaben, unter Umständen waren die Inhalte verschlüsselt.

Laut der Antwort hatte die Polizei im Verlauf des Jahres mit insgesamt 42 Personen „zur Zugangserlangung Rücksprache geführt“. Demnach hätten 13 Betroffene die Zugangsdaten zu den jeweiligen Geräten freiwillig herausgegeben, offenbar wurden diese danach den BesitzerInnen zurückgegeben. Acht Mobiltelefone befinden sich zur Zeit (Stand: 21. August) „noch in Auswertung“. Zu vier Mobiltelefonen, zwei SIM-Karten sowie vier Filmen analoger Kameras werde die Rückgabe derzeit geprüft.

38 Personen verzichteten trotz schriftlicher Benachrichtigung darauf, ihre Mobiltelefone und einen iPod wieder abzuholen. Weitere acht Mobiltelefone liegen bei der Polizei, weil eine Zustellung der Benachrichtigung angeblich „nicht erfolgreich“ gewesen sei.

Penetrationstester erklärt Auswerteverfahren

Juliane Nagel hat sich auch nach der bei sächsischen Behörden genutzten Auswertesoftware erkundigt. Wie viele andere Polizeibehörden kommt beim Landeskriminalamt sowie drei Polizeidienststellen Software der israelischen Firma Cellebrite zum Einsatz. Neben dieser Standardanwendung nutzen die Behörden Anwendungen von fünf weiteren Anbietern.

Über die technischen Möglichkeiten hatten Andre Meister und Detlef Borchers vergangenes Jahr berichtet. Ein paar mehr Informationen hat kürzlich der „Cybercrime Blog“ der Fachhochschule der Polizei des Landes Brandenburg veröffentlicht. Der entsprechende Beitrag des Penetrationstesters Marko Rogge erschien zuvor in der Printausgabe der Zeitschrift „Der Kriminalist“ und wurde zur Erhöhung der Spannungskurve in fünf Teile gegliedert. Lesenswert ist der Artikel allemal, enthält er doch außer Details zu forensischen Ermittlungstechniken auch Hinweise auf mögliche Schwachstellen der Behörden.

So können Daten zwar unter Umständen von ihren BesitzerInnen aus der Ferne gelöscht werden. Die ErmittlerInnen packen die beschlagnahmten Geräte deshalb allerdings in sogenannte Faraday-Bags, mit denen diese abgeschirmt vom mobilen Netzwerk transportiert werden können. Auch im Labor werden entsprechende Bedingungen hergestellt.

Zerstörtes Display erschwert die Ermittlungen

Laut dem Beitrag gibt es vier gängige Methoden, elektronische Geräte auszulesen. Mit der „Physical Extraction“ wird eine eins-zu-eins-Kopie des Speicherinhaltes erstellt, wobei dank Flash-Speichern auch gelöschte Daten wiederhergestellt werden können. Mitunter funktioniert das aber nur, wenn der Entsperrcode bekannt ist. Klappt das nicht, kann eine „Filesystem Extraction“ vorgenommen werden. Nicht alle mobilen Endgeräte lassen sich laut Rogge auf diese Weise vollständig auslesen. Bei einer „Advanced Logical Extraction“ können bei iOS-Geräten sowohl logisch vorhandene Daten als auch Teile des Systems ausgelesen werden.

Eine „Logical Extraction“ kann schließlich lediglich die vom Benutzer erstellten Daten extrahieren. Dies funktioniert wiederum nicht bei jenen Daten, die von den BesitzerInnen zuvor gelöscht wurden. Deutlich mehr Schwierigkeiten machen bisweilen kaputte Displays:

Oftmals sind Beschuldigte von einer Durchsuchungsmaßnahme so überrascht, dass diese „versehentlich“ ein Mobiltelefon fallen lassen, um es zu zerstören. Häufig geht dabei das Display zu Bruch und es wird schwierig, aus dem Gerät brauchbare Resultate zu erzielen.

Rogge zufolge können in diesem Fall bei vielen Mobiltelefonen oder Smartphones die Hauptplatinen mit den aufgelöteten Speicherbausteinen ausgebaut und in ein anderes Gerät montiert werden. Über diese Datenschnittstelle erfolgt dann die Extraktion.