Wie Ermittler an Handydaten gelangen
Wie Ermittler an Handydaten gelangen
Für die Polizei gibt es eine Reihe an Möglichkeiten, um auf
Informationen zuzugreifen – auch ohne Sicherheitscode
Digitale Kommunikation ist eine Schatztruhe für Ermittler.
Zahlreiche Smartphones hochrangiger oder ehemals hochrangiger
Politiker und ihrer Bekanntschaften sind in der jüngeren
Vergangenheit sichergestellt worden. Vor allem die Ermittlungen
in der Causa Casinos Austria brachten die Lawine ins Rollen, bei
denen Beamte die vielen Geräte mit brisanten Inhalten
entdeckten. Die Enthüllungen illustrieren zugleich, wie mühelos
digitale Kommunikation von Behörden ausgelesen werden kann,
sofern sie über einen physischen Zugriff verfügen. Ein
Überblick.
Frage: Wann dürfen Handys überhaupt beschlagnahmt werden?
Antwort: Im Regelfall geschieht das im Rahmen einer
Hausdurchsuchung, bei der sämtliche Gegenstände gesichert
werden, die für weitere Ermittlungen von Bedeutung sein könnten.
Eine solche darf die Staatsanwaltschaft nur nach richterlicher
Bewilligung anordnen. Sie wird nur erteilt, wenn es einen
begründeten Verdacht für einen Fund gibt, der die Aufklärung
einer Straftat voranbringen könnte. Ausgenommen, es wird Gefahr
im Verzug vermutet, beispielsweise, die gesuchten Gegenstände
könnten zuvor vernichtet werden. Dann darf die Kriminalpolizei
eine Wohnung oder ein Haus auch ohne richterlichen Befehl
durchsuchen.
Frage: Wie erfolgt der Zugriff?
Antwort: Hier gibt es mehrere Möglichkeiten. So sind Smartphones
üblicherweise mit einem Code gesichert. Zunächst wird die
verdächtigte Person dazu gebeten, diesen freiwillig vorzulegen.
Das steht ihr nämlich frei zu – sie kann also auch ablehnen. Bei
Politikern und parteinahen Verdächtigen wurde dieser Code in der
Vergangenheit im Regelfall zur Verfügung gestellt – wenngleich
die Daten häufig vorher bereinigt wurden. In diesem Fall können
Beamte mit der Durchforstung des Geräts beginnen.
Frage: Wie werden die Daten ausgewertet?
Antwort: Für Strafverfolgungsbehörden sind Produktpaletten wie
jene der Spionagefirmen Cellebrite oder AccessData wie verfrühte
Weihnachten. Die Dienste des erstgenannten Unternehmens werden
auch von der österreichischen Polizei in Anspruch genommen. Sie
bieten unter dem Stichwort "digitale Forensik"
unterschiedlichste Tools zum Eindringen in sämtliche gängige
Betriebssysteme an. Dazu kommen Mittel, um den Speicher auf den
Geräten effektiv zu durchforsten. Dabei werden die verschiedenen
Datensätze etwa übersichtlich zur Verfügung gestellt, um eine
effektivere Sichtung für die Beamten zu ermöglichen. Auch können
Daten, die gelöscht wurden, aber noch im Flash-Speicher
aufzufinden sind, wiederhergestellt werden – wobei das eine
Frage des Glücks (oder Pechs) ist, da neue Daten wahllos
gespeichert werden und dabei manchmal ältere überschreiben.
Frage: Gibt es Daten, die nicht durchsucht werden dürfen?
Antwort: Nein, erklärt die Juristin Angelika Adensamer,
Überwachungsexpertin beim Wiener Zentrum für
sozialwissenschaftliche Sicherheitsforschung (Vicesse). Die
herrschende Rechtsmeinung sei, dass sichergestellte Geräte auch
auf sämtliche Daten untersucht werden dürfen. Was nicht heiße,
dass das unumstritten sei – "schließlich handelt es sich um eine
Form der Überwachung und umgeht die Bestimmungen der
Nachrichtenüberwachung". Wirklich vorausgesetzt – und somit für
die Ermittlungen notwendig – seien nur Chats, die "sehr eng mit
der Tat zusammenhängen", sagt Adensamer. Das wisse man aber
wiederum erst, wenn man alle Daten gesichtet hat. Ein Problem
dabei ist allerdings, wenn Daten unbeteiligter Dritter
ausgewertet werden. Der Jurist Ewald Scheucher ortet eine
fragwürdige Beweismittelverwertung.
Frage: Was ist, wenn der Sicherheitscode nicht zur Verfügung
gestellt wird?
Antwort: Im Grunde genommen können die Tools des Unternehmens
aktuell in jede Betriebssystemversion von iOS und Android
eindringen. Hier werden sogenannte Zero Days genutzt, also
Sicherheitslücken, die von Apple und Android noch nicht entdeckt
und behoben wurden. Der einzige Haken: Da es sich hier um einen
tiefgreifenden Eingriff handelt, der zum Hauptgeschäft
derartiger Firmen gehört, ist dieses Vorgehen nicht gerade
günstig. Mittlerweile dürfte der Preis für den Einbruch in ein
Gerät stark gesunken sein und "nur" im fünfstelligen Bereich
liegen. 2016 kostete die Entsperrung eines einzelnen iPhones das
FBI noch stolze 900.000 Dollar. Daher wird, sofern möglich, von
solchen Eingriffen zunächst abgesehen. Für das
SIM-Karten-Swapping, also das Klonen einer existierenden
SIM-Karte, um laufende Nachrichten auszulesen oder
Zwei-Faktor-Authentifizierungen auszuhebeln, gibt es keine
Rechtsgrundlage.
Frage: Gibt es Alternativen?
Antwort: Ein Beispiel aus der Realität liefern die Daten des
Handys von Öbag-Chef Thomas Schmid – diese waren nicht mehr
vollständig, als die Polizei Zugriff darauf erlangte. Die
Ermittler entdeckten bei einer Hausdurchsuchung allerdings ein
weiteres iPhone-Backup, auf dem noch ältere Informationen
gespeichert waren. Auch das Google Drive oder die iCloud können
rasch zur Schatztruhe für Ermittler werden, da viele Nutzer dort
Backups ihrer Whatsapp-Chats speichern. Anders als der reguläre
Nachrichtenverkehr sind die Sicherungen allerdings nicht
verschlüsselt – weswegen die Kommunikation unbeeinträchtigt
nachgelesen werden kann.
Frage: Apropos verschlüsselte Nachrichten – wie sieht es da aus?
Antwort: Ende-zu-Ende-verschlüsselte Kommunikation ist der
Polizei und Nachrichtendiensten ein Dorn im Auge, da sie
Spionage erschwert. So stellte der populäre, in der
Vergangenheit vom NSA-Whistleblower Edward Snowden empfohlene
Messenger Signal auch die Soko Tape vor Herausforderungen.
Grundsätzlich gilt: Ist ein physischer Zugriff auf das Gerät
möglich, dürften die Daten nicht mehr sicher sein. Schließlich
kann die App einfach geöffnet und die Nachrichten aufgerufen
werden. Der Messenger Signal bietet als Alternative an, die App
nochmals anhand eines Codes zu sichern – doch erst im Dezember
vermeldete etwa Cellebrite, dass man einen Weg gefunden habe,
Nachrichten aus dem verschlüsselten Messenger nach einer lokalen
Übernahme ebenso auszulesen. Tatsächlich auf der sicheren Seite
sind Nutzer daher erst, wenn sie selbstlöschende Nachrichten
aktivieren und so Chats endgültig entfernen.