Handys sind enormer Datenfundus für Polizei

Löschen hilft nicht: Handy-Flash speichert sensible Informationen jahrelang

Bei polizeilichen Ermittlungen wird es immer wichtiger, Informationen aus technischen Geräten wie Handys, Smartphones und Computern herauszufiltern. Je komplexer die untersuchten technischen Geräte sind, desto mehr Möglichkeiten hat die IT-Forensik um wichtige Beweise darauf zu finden.

Vor allem Flash-Speicher sind ein guter Tipp um Daten sicherzustellen, die eigentlich vernichtet werden sollten. Oft bei Smartphones verwendet, werden Daten auf diesem Speichermedium erst dann wirklich gelöscht, wenn nicht mehr genug anderer Speicherplatz verfügbar ist und die 'gelöschten' Daten überschrieben werden. Dadurch bleiben Informationen oft jahrelang erhalten.

Auch die SIM-Karte kann Ermittlern vieles verraten. Dort werden die fünf zuletzt gewählten Nummern gespeichert. Das iPhone speichert sogar mehrere hundert und somit fast jede jemals gewählte Nummer. Besonders nützlich ist auch, dass auf der SIM-Karte der letzte Ort, an dem das Telefon benutzt wurde, gespeichert ist. Auch Textnachrichten und Adressbucheinträge werden nicht gleich gelöscht, sondern lediglich als verfügbarer Speicherplatz deklariert. So können Ermittler mit etwas Glück wichtige Informationen aus scheinbar gelöschten SMS herauslesen.

Problematisch für IT-Forensiker ist jedoch, dass sie die Daten im Zuge der Sicherstellung keinesfalls verändern dürfen, da diese vor Gericht sonst nicht verwendet werden können. Bei Computern funktioniert das, indem ein Image des Laufwerks erstellt wird und das Original unberührt bleibt. Schwieriger sind die Untersuchungen von Mobiltelefonen. Dafür ist meist ein Programm nötig, das die Polizei erst auf dem Gerät installieren muss. Bereits diese Installation könnte wichtige Beweise vernichten. Es gibt jedoch auch Möglichkeiten Daten von Handsets herunterzuladen, ohne ein Programm installieren zu müssen, wie beispielsweiße Pandora's Box von Hex-Dump, die sich auf forensische Software spezialisiert haben. (pte/ala)