Das Smartphone ist ein zentraler Alltagsgegenstand auf dem große Datenmengen gespeichert werden und sogar ganze Arbeitsprozesse eines Unternehmens abgewickelt werden können. Da liegt es nahe, dass das Smartphone immer mehr in den Fokus gerät – als Ziel von digitalen Angriffen oder als Mittel zur Umsetzung digitaler Angriffe. Wir erläutern die mögliche Beteiligung eines Smartphones bei digitalen Vorfällen sowie die Vorgehensweise bei der Smartphone Forensik.
Smartphone als Bestandteil digitaler Vorfälle
Ein Smartphone kann auf zwei Arten Teil eines digitalen Vorfalls werden. Entweder es wird als technisches Endgerät mit Malware o. ä. versehen, um so Daten und Informationen zu erlangen oder es wird als Tatbegehungsmittel, z. B. als Kommunikationsmittel eingesetzt.
Um dem entgegen zu wirken und Vorfälle wirksam aufzuklären können Daten ausgelesen und analysiert werden. Die Vielzahl an Herstellern, unterschiedlichen Systemen und Schnittstellen zur Datengewinnung stellen große Herausforderungen für die Entwicklung von forensischen Tools sowie für die Arbeit eines Forensikers dar. Die Hersteller von mobilen Endgeräten verwenden unterschiedliche Betriebssysteme (z.B. Android, iOS, BlackBerry OS), Filesysteme (z.B. HFS, NTFS, Ext) und Speichermethoden, um Daten auf den Geräten zur Verfügung stellen zu können. Betriebssysteme unterliegen zudem ständigen Anpassungen, da festgestellte Schwachstellen geschlossen werden müssen.
Die Smartphone Forensik beschäftigt sich damit Informationen zu erlangen und Antworten zu finden, die eine jeweilige Beteiligung eines Smartphones an einem Vorfall belegen oder eine Beteiligung ausschließen. Sie stellt damit einen Teilbereich der digitalen Forensik dar und folgt denselben Prinzipien.
Die 9 Phasen des Smartphone Forensik Prozesses
Der Smartphone Forensik Prozess kann grundsätzlich in neun Phasen unterteilt werden.
Aufnahme des Geräts
Bevor eine forensische Untersuchung beginnen kann, muss das Gerät mit einem Untersuchungsauftrag eingegangen sein. Der Empfang des Geräts muss bestätigt werden. Aus der Anfrage für die Untersuchung sollte bereits erkennbar sein, um was für ein Gerät es sich handelt und aus welchen Gründen eine forensische Untersuchung beauftragt wird.
Identifizierung
Im zweiten Schritt werden die Gerätespezifikationen (z.B. Hersteller, Seriennummer, Modellnummer, Betriebssystem) festgestellt, sodass das Gerät eindeutig identifiziert werden kann. Zudem muss geprüft werden, ob die rechtlichen Voraussetzungen für eine Untersuchung vorliegen. Die Ziele der Untersuchung müssen geklärt und schriftlich festgehalten werden.
Vorbereitung
Bevor mit der eigentlichen Analyse begonnen werden kann, müssen Vorbereitungen getroffen werden. Es müssen entsprechende forensische Tools und Methoden ausgewählt und vorbereitet werden. Insbesondere ist auf den Einsatz neuester Technologien zu achten.
Isolation
Das Beweisstück muss isoliert werden, damit nach der Sicherstellung des Gerätes keine Daten durch einen Fernzugriff gelöscht, hinzugefügt oder verändert werde können. Dies kann durch das Ausschalten des mobilen Netzwerks, von Bluetooth und WiFi ermöglicht werden.
Verarbeitung
In dieser Phase ist die eigentliche forensische Arbeit anzusiedeln. Daten werden gewonnen und analysiert. Auch findet hier die Suche nach möglicher installierter Malware statt.
Überprüfung
Die Datengewinnung, die Untersuchungen der erlangten Daten und die Untersuchungsergebnisse müssen verifiziert werden.
Dokumentation und Berichterstattung
Arbeitsprozesse und Untersuchungsergebnisse müssen dokumentiert werden. Eine gerichtsverwertbare Dokumentation ist unabdingbar. Die einzelnen Arbeitsschritte und Ergebnisse müssen nachvollziehbar und wiederholbar sein.
Präsentation
Die jeweiligen Beweismittel müssen gerichtsverwertbar aufbereitet sein und die Untersuchungsergebnisse müssen verständlich und nachvollziehbar präsentiert werden.
Archivierung
Die Archivierung der Daten ist in zwei Hinsichten wichtig. Zum einen müssen die gewonnenen Daten aus den Untersuchungen sicher verwahrt werden, sodass sie nicht von Dritten eingesehen oder verändert werden können. Zum anderen muss die Möglichkeit in Betracht gezogen werden, dass die Daten erneuert verwendet werden müssen, z. B. für eine gegebenenfalls erforderliche Nachuntersuchung oder zur Erstellung eines Zweitgutachtens.
Besondere Herausforderung
Die Phasen der Smartphone Forensik ähneln denen der Computer Forensik. Eine Besonderheit stellt die Notwendigkeit der Isolation der mobilen Geräte dar. Die zu untersuchenden Geräte wurden explizit zur Kommunikation mit Netzwerken, Satelliten, per Bluetooth und drahtlosen Netzwerken konzipiert. Die Gefahr des Verlusts oder der Veränderung von Daten ist somit groß und durch Isolation zu verhindern. Eine weitere Herausforderung bei der Smartphone-Forensik stellt die Verschiedenheit der eingesetzten Hard- und Software dar. Kein forensisches Tool findet alle Spuren. Es müssen immer mehrere forensische Tools eingesetzt werden und die Untersuchungsergebnisse müssen manuell verifiziert werden.
Sehr guter Beitrag über Smartphone Forensik