Handy-„Durchsuchungen“ sind in den USA ein übliches Instrument der Strafverfolgung, bisher war jedoch wenig darüber bekannt, welche Menge an sensiblen Informationen dadurch gewonnen wird. Chris Soghoian und Naomi Gilens von der American Civil Liberties Union berichten von einem Dokument, das im Rahmen eines Strafverfahrens vor Gericht vorgelegt wurde. Dieses Dokument bietet eine seltene Bestandsaufnahme der Daten, die Bundesbeamte aus beschlagnahmten iPhones mit Hilfe forensischer Analyse-Tools erlangen können. Das iPhone wurde im vergangenen Herbst bei einer Wohnungsdurchsuchungen gefunden, bei der Ermittlung ging es um Drogen. Die Liste (PDF) der von der Behörde gewonnenen Daten aus dem Smartphone enthält eine Menge persönlicher Daten:
- Anrufe
- Telefonbuchverzeichnis
- Gespeicherte Sprach- und SMS-Nachrichten
- Fotos und Videos
- Apps
- Acht verschiedene Passwörter
- 659 Lokalisierungspunkte, darunter 227 Mobilfunkmasten und 403 WiFi Netzwerke, mit denen das Handy mal verbunden war
Die beiden Autoren fordern in ihrem Artikel, das Handy-Durchsuchungen nur mit richterlicher Anordnung und nur bei außergewöhnlichen Umständen geschehen dürften.
Before the age of smartphones, it was impossible for police to gather this much private information about a person’s communications, historical movements, and private life during an arrest. Our pockets and bags simply aren’t big enough to carry paper records revealing that much data. We would have never carried around several years’ worth of correspondence, for example—but today, five-year-old emails are just a few clicks away using the smartphone in your pocket. The fact that we now carry this much private, sensitive information around with us means that the government is able to get this information, too.
Die Durchsuchung in dem geschilderten Fall geschah durch das United States Immigration and Customs Enforcement (ICE), eine Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit mit Sitz in Washington, D.C. Die hatte einen Durchsuchungsbefehl für die Wohnung und beschlagnahmte im Zuge der Durchsuchung auch das iPhone. Dann erhielten sie eine zweite richterliche Anordnung für die Durchsuchung des Smartphones, basierend auf einem ‘hinreichenden Verdacht’ (plausible cause). Soghoian und Gilens schreiben, dass die Gerichte uneinig darüber seien, ob ein solcher richterlicher Beschluss überhaupt nötig ist. Es gebe daher viele Situationen, in denen die Polizei keinerlei Ermächtigung brauche, um ein Handy zu durchleuchten.
Zudem werde es immer einfacher, Smartphones zu durchsuchen. Die Firma Cellebrite produziert beispielsweise mobile Forensiksysteme, die Kopien von “existing, hidden, and deleted phone data, including call history, text messages, contacts, images, and geotags” eines iPhones in wenigen Minuten runterladen können. Solche Produkte sind laut Autoren allen möglichen Sicherheitsbehörden zugänglich.
Da das amerikanische Recht keinen ausreichenden Schutz sensibler Daten biete, blieben zumindest die technischen Schutzmöglichkeiten: PIN oder Passwortschutz könne eine Untersuchung erschweren, vielleicht sogar verhindern.
Und wie sieht es in Deutschland aus?
Wie Nach deutschem Recht sind Mobilfunkgeräte ebenfalls kaum wirksam gegen Durchsuchungen geschützt. Das Bundesverfassungsgericht hat bereits 2006 entschieden, dass das Fernmeldegeheimnis (Art. 10 Abs. 1 Grundgesetz) keine Daten schützt, die auf einem Handy nach Ende eines Telekommunikationsvorgangs gespeichert bleiben. Hier greift also nur das Recht auf informationelle Selbstbestimmung („Datenschutz“, Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 Grundgesetz), das aber keine besonderen Hürden für Eingriffe kennt. Zwar hat das Bundesverfassungsgericht in seiner Entscheidung zur Online-Durchsuchung ein spezielles „Computer-Grundrecht“ geschaffen – das gilt aber wohl nur für heimliche Maßnahmen, also nicht bei „offener“ Beschlagnahme und späteren Auswertung eines Handys.
Auch in Deutschland schützt das Recht also leider kaum vor staatlicher Schnüffelei. Wenn überhaupt hilft hier nur Selbstschutz. Im Falle des iPhones konkret gilt, dass eine PIN keinen sinnvollen Schutz bietet, weil sie sich bereits in wenigen Minuten knacken lässt. Einen gewissen Schutz bietet allenfalls ein vernünftiges, insbesondere langes und komplexes Passwort – und eine automatische Sperre nach kurzer Zeit.
Außerdem sollte man Cloud-Dienste mit größter Vorsicht nutzen: Google etwa gibt mitunter komplette Nutzerkonten inklusive aller Kalendereinträge, eMails und Kontakte auf einfache Anforderung der Polizei heraus, also ganz ohne richterlichen Beschluss. Alleine 2012 gab es 3083 „Ersuchen“ an Google, rund 40% waren aus Sicht der Polizei erfolgreich. Da hilft dann auch das beste iPhone-Passwort nichts mehr: Wenn Wachtmeister Müller gerne wissen möchte, wen man so im Adressbuch stehen hat, schickt er einfach ein Fax nach Mountain View.
Vielen Dank an Ulf Buermeyer für seine Hilfe bei dem Jurafoo :)