Sowohl im Privatleben als auch im Beruf nutzen wir fast täglich unser Smartphone. Auch Tablets und Smartwatches sind ein wichtiger Teil des Alltags geworden. Daher haben sie auch in der Forensik an Relevanz gewonnen. Insbesondere in der Strafverfolgung nutzt die sogenannte mobile Forensik Smartphone und Co, um Rechtsstreits beizulegen und Fälle aufzuklären.
Mobile Forensik: Was ist das eigentlich?
Laut dem NIST (National Institute of Standards of Technology) ist die mobile Forensik die Wissenschaft der Wiederherstellung digitaler Beweise. Das bedeutet: Sie befasst sich damit, Informationen von mobilen Geräten zu extrahieren, die als juristische Beweismittel dienen können. Solche Geräte sind insbesondere Smartphone oder Handy, iPad oder Tablets und Apple Watch oder Smartwatches. Damit ist die mobile Forensik ein Teilgebiet der digitalen Forensik.
Die mobile Forensik wird auch als Smartphone-Forensik oder Handy-Forensik bezeichnet. Diese Begriffe sind jedoch nicht ganz zutreffend. Denn es gibt noch viele weitere mobile Geräte. Neben Smartphone oder Handy können auch iPad oder Tablets, Apple Watch oder Smartwatches von einem mobilen Forensiker analysiert werden.
Für die mobile Forensik sind beispielsweise App- und GPS-Daten, Textnachrichten, Anrufprotokolle und gelöschte Dateien relevant. Auch Fotos, Videos, Notizdateien und Browser-Cookies können genutzt werden. In vielen Fällen bringt die mobile Forensik Erfolg. Die Ergebnisse können empirische Beweise liefern, die die Grundlage für eine Be- oder Entlastung im Strafprozess darstellen können. Die hohen Anforderungen, die die mobile Forensik an Präzision und Sicherheit stellt, sorgen für die Integrität vor Gericht.
Die mobile Forensik wird von einem damit vertrauten Forensiker durchgeführt. So stellen wir beispielsweise bei der LB Detektive GmbH gerichtsverwertbare Auswertungen für Smartphones und andere mobile Geräte bereit. Als EU-weit anerkanntes Sachverständigenbüro bei zivil- und strafrechtlichen Auseinandersetzungen unterstützen.
So läuft die mobile Forensik ab
Für die mobile Forensik müssen alle Daten unter forensisch einwandfreien Bedingungen gesammelt werden. Das bedeutet, während der Ermittlungen dürfen die Daten nicht verändert oder zerstört werden – weder aus Versehen noch mit Absicht. Für die Erfassung, Analyse und Speicherung der Daten gibt es gesetzliche Vorgaben, die alle Beteiligten einhalten müssen. Daher erfordert die mobile Forensik ein besonderes juristisches und technisches Fachwissen.
Die mobile Forensik umfasst mehrere Arbeitsschritte. Nach der Vorbereitung des Geräts werden die darauf gespeicherten Daten erfasst und analysiert. Es folgt die Präsentation der Daten in einem genauen Bericht. Manche forensischen Labore bieten ihren Kunden auch an, die Daten in ein Format zu bringen, indem sie sie selbst für weitere Analysen nutzen können.
Der erste Schritt ist das Sammeln von Informationen. Welche rechtliche Grundlage besteht für die Durchsuchung des Geräts? Wer ist der Hersteller, wer der Netzbetreiber? Auch die Modell- und Telefonnummer sind von Bedeutung. In dieser Phase legen wir außerdem fest, welches Ziel die mobile Forensik verfolgen wird.
Mit all diesen Daten können wir im Anschluss entscheiden, welche Methoden und Werkzeuge für die mobile Forensik zum Einsatz kommen sollen. Bei dieser Entscheidung müssen wir das Ziel und alle vorhandenen Speichermöglichkeiten berücksichtigen. Dann können wir uns um die Bereitstellung aller benötigten Geräte und der Software für die mobile Forensik kümmern. Hierzu zählen beispielsweise passende Kabel, Treiber und Extraktionssoftware.
Zwar konzentriert sich die mobile Forensik vorrangig auf die Daten in einem Gerät. Es ist jedoch auch unsere Aufgabe, Daten in der Cloud zu analysieren, die unsere Ermittlung unterstützen können.
Um ein Gerät untersuchen zu können, fertigen wir zunächst eine digitale Kopie an. Dieser Vorgang wird auch als Imaging (deutsch: Erfassung) bezeichnet. Er dient der gerichtsverwertbaren Beweissicherung. Da die mobile Forensik besondere Sicherheits- und Genauigkeitsanforderungen stellt, vergleichen wir das Duplikat und das Original noch einmal. So garantieren wir, dass es sich tatsächlich um eine vollständige Kopie handelt.
Im Anschluss richten wir auf dem Originalgerät eine Schreibsperre ein. Das bedeutet, dass die Daten und der Speicher, in dem sie sich befinden, nicht mehr verändert werden können. Alle folgenden Analysen und Untersuchungen für die mobile Forensik führen wir mit der digitalen Kopie durch.
Häufig konzentriert sich die mobile Forensik darauf, versteckte oder gelöschte Daten zu finden. Ein anderes Ziel kann es sein, eine bestimmte Hypothese zu bestätigen – beispielsweise einen Netzwerkangriff oder eine Straftat. Dafür kommen spezielle Methoden zum Einsatz. Denn neben dem zugänglichen Speicher können sich die relevanten Daten auch im gelöschten Speicher in der Cloud oder im Cache des Mobilgeräts befinden.
Zuletzt dokumentieren wir alle Beweise, die wir finden konnten, in einem Befundbericht. Die Resultate, die die mobile Forensik ergeben hat, können Sie beispielsweise in einem Gerichtsverfahren, einem Rechtsstreit oder als Stütze für eine Zeugenaussage nutzen.
Einsatzgebiete für die mobile Forensik
Am bekanntesten ist die mobile Forensik aus der Strafverfolgung. Oftmals sind die Daten, die Forensiker von Smartphones, Tablets oder anderen Geräten extrahieren, letztendlich entscheidend für die Beweisführung. Dabei können sie sowohl der Anklage als auch der Verteidigung dienen. Üblicherweise helfen die Daten, die die mobile Forensik sammelt, jedoch bei der Überführung eines Straftäters. Dienlich sind hier beispielsweise seine Anrufhistorie, die Standortverfolgung des Smartphones und Nachrichten aus Messenger-Apps.
Die mobile Forensik ist besonders dann von Bedeutung, wenn der Verdächtige bereits versucht hat, seine Spuren zu verwischen. So kann die mobile Forensik beispielsweise für Zugriff auf verschlüsselte Daten sorgen, gelöschte Dateien wiederherstellen oder beschädigte Geräte so weit reparieren, dass die Daten wieder erfasst werden können.
Auch bei Gerichtsverfahren im Zivilrecht kommt die mobile Forensik zum Einsatz. Hier kann es sich beispielsweise um den Diebstahl geistigen Eigentums handeln, um Vertragsverletzungen, Scheidungen oder Streitigkeiten um das Sorgerecht.
Zuletzt können Ermittler durch die mobile Forensik einen Cyber-Angriff rekonstruieren. Mobile Geräte zählen zu den Punkten, die Cyberkriminelle am häufigsten für den Einstieg in ein fremdes Netzwerk nutzen. Durch forensische Prozesse können wir prüfen, ob ein Gerät oder Netzwerk angegriffen wurde und was genau während der Attacke geschehen ist. Wurden beispielsweise Daten weitergegeben oder gelöscht, können wir den Weg der Dateien nachvollziehen und/oder sie wiederherstellen.
WICHTIG: Bitte haben Sie Verständnis, das wir grundsätzlich Internetermittlungen nur bei Vorliegen eines berechtigen, Interesses durchführen, außer es handelt sich hier um ihre eigene Person.
Diese Werkzeuge nutzen Ermittler für die mobile Forensik
Für den Abruf, die Sicherung und die Analyse der Daten greifen Forensiker auf unterschiedliche Tools zurück. Um das geeignete Werkzeug zu bestimmen, verwenden wir das Mobile Forensik Tool Leveling System (deutsch: Bewertungssystem der Werkzeuge für die mobile Forensik). Je höher die Ebene ist, auf der sich ein Werkzeug in diesem System befindet, desto invasiver, teurer und anspruchsvoller ist es.
Allein für die Datenextraktion kennt die mobile Forensik verschiedene Ansätze. Bei der logischen Extraktion verbinden wir das Mobilgerät über ein Hardwarekabel oder eine Bluetooth-Verbindung mit einer forensischen Arbeitsstation. Der Ablauf ist schnell und unkompliziert, jedoch weniger umfangreich und effektiv als die physische Extraktion. Hierbei wird der Flash-Speicher des Systems aufs Bit genau kopiert.
In vielen Fällen ist die Wiederherstellung gelöschter Dateien ein bedeutsames Hilfsmittel für die mobile Forensik. Diese Technik wird auch als Data Carving oder File Carving bezeichnet. Wir durchsuchen das System und den Speicher nach Fragmenten von Dateien, die der Nutzer im Grunde gelöscht hat. Sie haben jedoch an anderen Spuren wie beispielsweise im Cache flüchtige Daten hinterlassen. Aus diesen Spuren lassen sich die Dateien möglicherweise wiederherstellen.
Mobile Forensik ist nicht dasselbe wie Computerforensik
Wie die Computerforensik ist auch die mobile Forensik ein Teilzweig der digitalen Forensik. Beide Spezialgebiete gehen üblicherweise Hand in Hand. Denn die Welt, in der wir leben, ist hochgradig vernetzt. Forensisch relevante Daten befinden sich meist nicht nur auf einem Gerät. Zusätzlich ist die mobile Forensik mit der Netzwerkforensik und der Malware-Analyse verbunden. Obgleich sie ähnliche Prinzipien und Werkzeuge nutzen, unterscheiden sich die Computer- und die mobile Forensik wesentlich voneinander.
Die Computerforensik arbeitet ausschließlich mit Computergeräten. Früher galt der Begriff als Synonym für die digitale Forensik. Heute nehmen mobile Geräte wie Smartphone oder Handy, iPad oder Tablets sowie Apple Watch oder Smartwatches einen so großen Teil unseres Lebens ein, dass sie einen eigenen Branchenzweig verdienen. Dieser wird als mobile Forensik bezeichnet.
Einer der wichtigsten Unterschiede zwischen der Computer- und der mobilen Forensik ist die Art des Systems. Computer stellen statische Speicher dar, die nicht aktualisiert werden müssen. Im Vergleich hierzu arbeitet die mobile Forensik mit dynamischen Speichern. Denn Handys, Tablets und Co stehen durch ein- und ausgehende Signale in ständiger Wechselwirkung mit ihrer Umwelt.
Fazit: Mobile Forensik
Die mobile Forensik ist ein Teilgebiet der digitalen Forensik. Ihr Ziel ist es, Informationen von mobilen Geräten wie Smartphones oder Tablets zu extrahieren und zu analysieren. Diese Informationen können vor Gericht als Beweismittel genutzt werden. Daher ist es für die mobile Forensik besonders wichtig, dass alle Abläufe in gesetzlich zulässiger, sicherer Weise erfolgen.
Die mobile Forensik führt ihre Untersuchungen mithilfe einer digitalen Kopie des Geräts durch. Auf dem Original wird eine Schreibsperre eingerichtet und es werden keine Daten verändert. Derweil werden die Daten auf der Kopie erfasst und analysiert. Werden Beweise gefunden, dokumentiert der Forensiker sie in einem detaillierten Befundbericht und / oder Sachverständigen Gutachten.
Die meisten Menschen halten die mobile Forensik für ein Verfahren aus der Strafverfolgung. Sie wird jedoch auch für Privat- und Unternehmensermittlungen, Militäreinsätze und Fälle aus der Cybersicherheit eingesetzt. Auch Sie können sich bei juristischen Schwierigkeiten auf die mobile Forensik verlassen. Die LB Detektive GmbH unterstützt Sie zuverlässig bei der Beweisfindung.
Nehmen Sie gern unverbindlich Kontakt zu uns auf – wir freuen uns auf Sie!