Vorgehensweise und Herausforderungen bei der Smartphone Forensik

Fachbeitrag

Das Smartphone ist ein zentraler Alltagsgegenstand auf dem große Datenmengen gespeichert werden und sogar ganze Arbeitsprozesse eines Unternehmens abgewickelt werden können. Da liegt es nahe, dass das Smartphone immer mehr in den Fokus gerät – als Ziel von digitalen Angriffen oder als Mittel zur Umsetzung digitaler Angriffe. Wir erläutern die mögliche Beteiligung eines Smartphones bei digitalen Vorfällen sowie die Vorgehensweise bei der Smartphone Forensik.

Smartphone als Bestandteil digitaler Vorfälle

Ein Smartphone kann auf zwei Arten Teil eines digitalen Vorfalls werden. Entweder es wird als technisches Endgerät mit Malware o. ä. versehen, um so Daten und Informationen zu erlangen oder es wird als Tatbegehungsmittel, z. B. als Kommunikationsmittel eingesetzt.

Um dem entgegen zu wirken und Vorfälle wirksam aufzuklären können Daten ausgelesen und analysiert werden. Die Vielzahl an Herstellern, unterschiedlichen Systemen und Schnittstellen zur Datengewinnung stellen große Herausforderungen für die Entwicklung von forensischen Tools sowie für die Arbeit eines Forensikers dar. Die Hersteller von mobilen Endgeräten verwenden unterschiedliche Betriebssysteme (z.B. Android, iOS, BlackBerry OS), Filesysteme (z.B. HFS, NTFS, Ext) und Speichermethoden, um Daten auf den Geräten zur Verfügung stellen zu können. Betriebssysteme unterliegen zudem ständigen Anpassungen, da festgestellte Schwachstellen geschlossen werden müssen.

Die Smartphone Forensik beschäftigt sich damit Informationen zu erlangen und Antworten zu finden, die eine jeweilige Beteiligung eines Smartphones an einem Vorfall belegen oder eine Beteiligung ausschließen. Sie stellt damit einen Teilbereich der digitalen Forensik dar und folgt denselben Prinzipien.

Die 9 Phasen des Smartphone Forensik Prozesses

Der Smartphone Forensik Prozess kann grundsätzlich in neun Phasen unterteilt werden.

Aufnahme des Geräts

Bevor eine forensische Untersuchung beginnen kann, muss das Gerät mit einem Untersuchungsauftrag eingegangen sein. Der Empfang des Geräts muss bestätigt werden. Aus der Anfrage für die Untersuchung sollte bereits erkennbar sein, um was für ein Gerät es sich handelt und aus welchen Gründen eine forensische Untersuchung beauftragt wird.

Identifizierung

Im zweiten Schritt werden die Gerätespezifikationen (z.B. Hersteller, Seriennummer, Modellnummer, Betriebssystem) festgestellt, sodass das Gerät eindeutig identifiziert werden kann. Zudem muss geprüft werden, ob die rechtlichen Voraussetzungen für eine Untersuchung vorliegen. Die Ziele der Untersuchung müssen geklärt und schriftlich festgehalten werden.

Vorbereitung

Bevor mit der eigentlichen Analyse begonnen werden kann, müssen Vorbereitungen getroffen werden. Es müssen entsprechende forensische Tools und Methoden ausgewählt und vorbereitet werden. Insbesondere ist auf den Einsatz neuester Technologien zu achten.

Isolation

Das Beweisstück muss isoliert werden, damit nach der Sicherstellung des Gerätes keine Daten durch einen Fernzugriff gelöscht, hinzugefügt oder verändert werde können. Dies kann durch das Ausschalten des mobilen Netzwerks, von Bluetooth und WiFi ermöglicht werden.

Verarbeitung

In dieser Phase ist die eigentliche forensische Arbeit anzusiedeln. Daten werden gewonnen und analysiert. Auch findet hier die Suche nach möglicher installierter Malware statt.

Überprüfung

Die Datengewinnung, die Untersuchungen der erlangten Daten und die Untersuchungsergebnisse müssen verifiziert werden.

Dokumentation und Berichterstattung

Arbeitsprozesse und Untersuchungsergebnisse müssen dokumentiert werden. Eine gerichtsverwertbare Dokumentation ist unabdingbar. Die einzelnen Arbeitsschritte und Ergebnisse müssen nachvollziehbar und wiederholbar sein.

Präsentation

Die jeweiligen Beweismittel müssen gerichtsverwertbar aufbereitet sein und die Untersuchungsergebnisse müssen verständlich und nachvollziehbar präsentiert werden.

Archivierung

Die Archivierung der Daten ist in zwei Hinsichten wichtig. Zum einen müssen die gewonnenen Daten aus den Untersuchungen sicher verwahrt werden, sodass sie nicht von Dritten eingesehen oder verändert werden können. Zum anderen muss die Möglichkeit in Betracht gezogen werden, dass die Daten erneuert verwendet werden müssen, z. B. für eine gegebenenfalls erforderliche Nachuntersuchung oder zur Erstellung eines Zweitgutachtens.

Besondere Herausforderung

Die Phasen der Smartphone Forensik ähneln denen der Computer Forensik. Eine Besonderheit stellt die Notwendigkeit der Isolation der mobilen Geräte dar. Die zu untersuchenden Geräte wurden explizit zur Kommunikation mit Netzwerken, Satelliten, per Bluetooth und drahtlosen Netzwerken konzipiert. Die Gefahr des Verlusts oder der Veränderung von Daten ist somit groß und durch Isolation zu verhindern. Eine weitere Herausforderung bei der Smartphone-Forensik stellt die Verschiedenheit der eingesetzten Hard- und Software dar. Kein forensisches Tool findet alle Spuren. Es müssen immer mehrere forensische Tools eingesetzt werden und die Untersuchungsergebnisse müssen manuell verifiziert werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.