Digitale ForensikMit diesen sieben Programmen liest die Polizei Smartphone-Daten aus

Deutsche Polizeibehörden haben sieben verschiedene Software-Tools gekauft, um beschlagnahmte Mobilgeräte auszulesen. Das geht aus einer Antwort der Bundesregierung hervor, die wir veröffentlichen. Diese Tools nutzen Sicherheitslücken aus, die der Staat damit bewusst offen lässt – statt sie zu schließen.

Tablet mit zwei angeschlossenen Handys
Tragbares Handy-Auslese-Tool von Cellebrite. Cellebrite

Verkehrsunfall, Demonstration oder Flucht: Immer öfter lesen Behörden Smartphones und andere Geräte von Verdächtigen aus. Der grüne Bundestagsabgeordnete Konstantin von Notz hat die Bundesregierung gefragt, welche Forensik-Tools oder Telefon-Cracker deutsche Behörden einsetzen. Wir veröffentlichen an dieser Stelle die Antwort in Volltext.

Deutsche Polizisten verwenden demnach Software von sieben Herstellern, allem voran von den beiden Marktführern Cellebrite aus Israel und Elcomsoft aus Russland. Bereits vor vier Jahren haben wir berichtet, dass die Polizei mit Software dieser Firmen Passwörter crackt.

Neu hinzugekommen sind Tools der Firma MSAB aus Schweden, mit denen neben Polizei und Zoll auch das Bundesamt für Migration und Flüchtlinge Handys von Geflüchteten ausliest. Weiterhin sind Produkte der US-Firmen Oxygen Forensic, Access Data und Magnet Forensics bei deutschen Polizisten im Einsatz. Die einzige deutsche Firma ist X-Ways aus Nordrhein-Westfalen. Die kürzlich gehypte US-Firma Grayshift für Apple-Geräte ist noch nicht auf der Liste.

Wie oft Handys ausgelesen werden, kann die Bundesregierung nicht sagen – darüber wird keine Statistik geführt. Im Gegensatz zu den Tools der Polizeibehörden will die Bundesregierung nicht sagen, was die Geheimdienste eingekauft haben. Das soll nicht öffentlich werden und ist als Verschlusssache eingestuft.

Wettrennen zwischen Angriff und Verteidigung

All diese Produkte versprechen, die Daten beschlagnahmter oder anderweitig eingesammelter Geräte auszulesen und zu kopieren. Bei älteren Geräten geht das oft problemlos, bei aktuellen verschlüsselten bzw. gesperrten Geräten ist mehr Aufwand notwendig. Technisch kann man beispielsweise Display-Sperren umgehen, Passwörter cracken, alternative Systeme booten oder andere Sicherheitslücken ausnutzen. Wie alles andere im Bereich IT-Sicherheit findet auch hier ein permanentes Wettrennen zwischen Angriff und Verteidigung statt.

Einen absoluten Schutz gibt es auch hier nicht, mit genug Ressourcen kann jedes Gerät ausgelesen werden. Das hat nicht zuletzt die Auseinandersetzung zwischen dem FBI und Apple bewiesen. Das Unternehmen hatte sich geweigert, ein iPhone für die Polizei auszulesen, also haben die Ermittler einfach eins dieser kommerziellen Produkte eingesetzt.

Kriminelle fangen und Kriminellen helfen

Smartphones sind heutzutage ausgelagerte Gehirne – manchmal wissen die digitalen Begleiter mehr über uns als wir selbst. Das Auslesen sämtlicher Daten ist also ein schwerer Eingriff in die Grundrechte, vergleichbar mit einem Lauschangriff im Wohn- oder sogar Schlafzimmer. Deswegen sollte die Handy-Spionage nur bei schwersten Straftaten eingesetzt werden, was aber – siehe BAMF – nicht der Fall ist.

Immerhin bekommt man als Verdächtiger mit, wenn das Handy beschlagnahmt wird. Beim Staatstrojaner werden Geräte heimlich aus der Ferne gehackt, damit ist der Eingriff noch intensiver. Wenn Polizisten die verschlüsselte Kommunikation von Verdächtigen abhören wollen (das Hauptargument für Staatstrojaner), dann sollen sie einfach das Handy beschlagnahmen und die Nachrichten extrahieren. Oft muss die Überwachung nicht heimlich und in die Zukunft erfolgen. Richter, die einen Trojaner-Einsatz genehmigen, erlauben auch die Handy-Beschlagnahme.

Staatstrojaner und Handy-Forensik haben ein gemeinsames Problem: Es müssen Sicherheitslücken ausgenutzt werden, um Schutzmaßnahmen zu überwinden. Damit haben staatliche Behörden einen Anreiz, Sicherheitslücken geheim und offen zu halten – statt sie zu melden und zu schließen. Das gefährdet die Sicherheit aller, wie der Fall WannaCry verdeutlicht hat: Kriminelle haben hunderttausende Rechner in 150 Staaten mit Schadsoftware infiziert, die US-Behörden absichtlich geheimgehalten haben. Um Kriminelle zu fangen, hilft der Staat Kriminellen.

CCC: „Auslesen ausgelagerter Gehirne als Normalfall“

Frank Rieger, Sprecher des Chaos Computer Clubs, kommentiert gegenüber netzpolitik.org:

Offenbar gibt es einen Wildwuchs an Auslese-Tool-Beschaffungen durch die Behörden. Dass es nicht einmal eine Statistik darüber gibt, wie oft und in welchen Fällen sie eingesetzt werden, lässt nur den Schluss zu, dass das Auslesen der ausgelagerten Gehirne in unseren Hosentaschen – ohne Rücksicht auf die Privatsphäre – zum Normalfall wird. Das kann jeden treffen, der ins Visier einer Ermittlung gerät.

Grüne: „Dubiose Firmen auf sensiblem Gebiet“

Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, kommentiert gegenüber netzpolitik.org:

Die Bundesregierung ist noch immer nicht gewillt, im Bereich der IT-Sicherheitspolitik nur einen Jota an ihrer bisherigen Politik zu ändern. Sie arbeitet weiterhin mit einer Vielzahl hochdubioser Firmen auf einem sowohl verfassungs- wie auch menschenrechtlich extrem sensiblen Gebiet. Die zwingend notwendige parlamentarische Kontrolle hebelt sie mit lapidaren Hinweisen auf entsprechende Zusicherungen gegenüber diesen Firmen bewusst aus. Das ist schlicht nicht hinnehmbar. Auch daher klage ich mit der Gesellschaft für Freiheitsrechte und anderen gegen den unkontrollierten Einsatz vor dem Bundesverfassungsgericht.


Hier die Antwort in Volltext ohne PDF:


Schriftliche Frage des Abgeordneten Dr. Konstantin von Notz

2. August 2018

(Monat August 2018, Arbeits-Nr. 8/17)

Frage:

In wie vielen Fällen haben deutsche Behörden nach Kenntnis der Bundesregierung, auch vor dem Hintergrund Ihrer Antworten auf entsprechende Fragen der kleinen Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN auf BT-Drs. 19/1434, bereits Programme der Unternehmen Cellebrite (Israel), Grayshift (USA), MSAB (Schweden) und ggf. andere zur Extraktion von Daten aus Mobiltelefonen eingesetzt (bitte nach einzelnen Anbietern/Programmen und Behörden auflisten)?

Antwort:

Forensische Softwareprodukte zur Extraktion von sichergestellten bzw. beschlagnahmten Mobilfunkgeräten werden gemäß den gesetzlichen Grundlagen verwendet. Für den polizeilichen Bereich werden nachfolgende Produkte zur forensischen Untersuchung verwendet:

  • Cellebrite,
  • MSAB,
  • Elcomsoft,
  • Oxygen Forensic,
  • X-Ways,
  • Access Data und
  • Magnet Forensics

Produkte der Firma Grayshift werden nicht eingesetzt. Eine Aufschlüsselung oder statistische Erfassung hinsichtlich der Nutzung verschiedener, einzelner Produkte der oben aufgeführten Firmen erfolgt nicht. Auch kann es zu Mehrfachnutzungen eines Produktes oder zur Nutzung verschiedener Produkte während einer Untersuchung kommen. Speziell für die Zollverwaltung kommen die Produkte der Firmen MSAB und Cellebrite zum Einsatz.

Das Bundesamt für Migration und Flüchtlinge arbeitet zur Extraktion von Daten aus Mobiltelefonen ausschließlich mit seinem Vertragspartner Atos zusammen. Atos setzt für das IT-Tool u. a. Produkte des Unternehmens MSAB ein.

Die Bundesregierung ist nach sorgfältiger Abwägung der widerstreitenden Interessen zu der Auffassung gelangt, dass eine weitere Beantwortung der Schriftlichen Frage in offener Form teilweise nicht erfolgen kann. Die erbetenen Auskünfte sind schutzbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der Nachrichtendienste und insbesondere deren Aufklärungsaktivitäten und Analysemethoden stehen. Der Schutz vor allem der technischen Aufklärungsfähigkeiten der Nachrichtendienste stellt für die Aufgabenerfüllung von Bundesnachrichtendienst, dem Bundesamt für Verfassungsschutz und dem Bundesamt für den Militärischen Abschirmdienst einen überragend wichtigen Grundsatz dar. Er dient der Aufrechterhaltung der Effektivität nachrichtendienstlicher Informationsbeschaffung durch den Einsatz spezifischer Fähigkeiten und somit dem Staatswohl. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten würde zu einer wesentlichen Schwächung der den Nachrichtendiensten zur Verfügung stehenden Möglichkeiten zur Informationsgewinnung führen. Insofern könnte die Offenlegung entsprechender Informationen die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren Interessen schweren Schaden zufügen. Deshalb sind die entsprechenden Informationen als Verschlusssache gemäß der Allgemeinen Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) als „VS – NUR FÜR DEN DIENSTGEBRAUCH!“ eingestuft und werden als nicht zur Veröffentlichung in einer der Bundestagsdrucksache bestimmten Anlage übermittelt.

21 Ergänzungen

  1. Laut Google Scholar ist der Prozess standardisiert. Die Bezeichnung lautet „Smartphone Forensic Investigation Process Model“ und besteht aus vielen kleinen Einzelschritten in einem Workflow. Der Grund, warum in der IT-Forensik gerne Modelle erstellt werden, hat damit zu tun, dass man darüber eine Gamifikation erzielen kann. Das heißt, man betrachtet die Aufgabe als ein Computerspiel wo man eine möglichst hohe Punktzahl erzielen kann. Gleichzeitig lassen sich Modelle gut verwenden, um Künstliche Intelligenz Agenten darauf zu trainieren, also Deep Learning und ähnliches wo über Statistik-Daten die KI immer besser darin wird, das jeweilige Spiel zu spielen.

    1. Solche Prozessmodelle werden definiert, eben einfach um systematisch und standardisiert zu arbeiten. Das hat mit Gamification nichts zu tun.

      Ja, sie beschreiben das als Spiel („cat and mouse game“), das sie nicht gegen die Nutzer spielen, sondern gegen die Entwickler auf der anderen Seite. Und betroffen sind nur die „really bad guys“. Das ist im Wesentlichen Öffentlichkeitsarbeit, aber mancher muss das auch vor sich selbst rechtfertigen.

      Es geht auch nicht um Machine Learning. Die „Forensiker“ hacken ganz traditionell. Die Daten werden aus der Cloud geholt oder es wird eben Schadsoftware genutzt. Man geht den Weg des geringsten Widerstands, wie in der Physik. ;)

      Da du dich selbst verlinkst: https://trollheaven.blogspot.com/2018/07/physics-is-different-from-computing.html. Leider liegst du mit deinen Ausführungen zur Informatik ziemlich daneben.

  2. Guten Morgen,
    auch ein Smartphone ist, wie der Name schon sagt, ein schlaues Telefon, dessen Nutzer meist stupid (nicht unbedingt, oft aber eben doch) dumm sind.
    Zu den Erkenntnissen einigermaßen intelligenter Menschen der Smart-Zeit sollte die Kernerkenntnis gehören, dass niemals etwas, was den persönlichen Raum eines Rechners (ein Smartphone ist ein Rechner) verlässt, im Ansatz sicher sein kann (eine „freie“ cloud also schon gar nicht).
    Auch der persönliche Raum eines Rechners ist, MINDESTENS bei bestehender Internet-Verbindung kein sicherer Ort.
    Falls es überhaupt einen sicheren Platz für deine Daten gibt, dann ist es der einer versteckten Hardware (Speicher oder Platte), den niemand kennt und den auch die Polizei bei einer möglichen Durchsuchung deiner Wohnung nicht finden kann.
    Den Zugriff auf ein Minimum beschränkt und die Daten auf dem Handy geerdet.
    Dann lass die Idioten ihre Software nutzen.
    Wer Spaß haben will, schreibt ein paar witzige Kleinigkeiten für die Trüffelschweine hinein. Sie sollen dich ja lieb haben…

  3. „Smartphones = ausgelagerte Gehirne“

    Was ist also unter einem Menschen zu verstehen, der Smartphones nutzt, und damit sein Hirn auslagert?

    Antwort: Ein Hirnloser!

    1. „Auslagerung“ ist hier als Anspielung auf „Auslagerungsdatei“ gemeint. (auch: swap file)

      Das wird natürlich leicht von Leuten missverstanden, die weder Ahnung von Computern haben, noch einen Keller oder Dachboden besitzen.

      Ein Computer mit Auslagerungsdatei hat trotzdem RAM, Cache, etc., und letztendlich wandert alles, was in der Auslagerungsdatei liegt, früher oder später wieder durch den Prozessor hindurch. Dafür werden dann andere Dinge, die aktuell nicht wichtig sind, wieder ausgelagert.

    2. „Auslagerung“ ist hier als Anspielung auf „Auslagerungsdatei“ gemeint. Das wird natürlich leicht von Leuten missverstanden, die weder Ahnung von Computern haben, noch einen Keller oder Dachboden besitzen.

      1. Im Übrigen gebe ich dir vollkommen Recht.

        Aber das Übel begann schon damals mit diesen unsäglichen (Papier-)Kalendern! Die Leute sollen ihre Termine gefälligst im Kopf haben und nicht auslagern. Dann würden auch endlich alle pünktlich sein.

        Ach, was sage ich, schon seit der Erfindung des Papiers ging alles bergab. Wozu sollen wir Lesen und Schreiben? Es reicht doch, wenn wir miteinander reden und alles im Gedächnis behalten. Das funktioniert viel besser und führt dazu, dass Leute mehr im Hirn haben, nichts vergessen und immer pünktlich sind.

  4. „Einen absoluten Schutz gibt es auch hier nicht, mit genug Ressourcen kann jedes Gerät ausgelesen werden“ – das ist zwar theoretisch langfristig wahrscheinlich richtig, allerdings deutet bisher alles öffentlich Bekannte darauf hin, dass die Verschlüsselung zumindest bei den iPhones funktioniert.
    Die ganzen Tools zielen darauf ab, den Code möglichst effektiv zu brute-forcen, was bei kurzen numerischen Codes funktioniert, bei komplexeren alphanumerischen Passwörtern allerdings bisher ziemlich hoffnungslos ist. Falls ihr da andere Infos habt, würde ich mich über einen Link o.Ä. freuen :)

      1. Alles was du da gelinkt hast bezieht auf Software von Apple älter als iOS 10.01
        iOS 11 und 12 wurden nach meinem Wissen noch nicht durch solche Firmen gehackt , einige behaupten aus publicity Gründen es geschaft zu haben , bewiesen ist es aber nicht.
        iOS 13 ist leider sehr lückenhaft und macht den Eindruck als würde Apple hier
        den Sicherheitsfaktor auf Grund von Behördendruck nachgeben.

    1. Sandra Admin sagt, 15. August 2018 um 15:44 Uhr
      >> „Einen absoluten Schutz gibt es auch hier nicht, mit genug Ressourcen
      >> kann jedes Gerät ausgelesen werden“

      I’m beginning to understand what the problem really is. The goal is to prevent that the opponent can read the smartphone. At first, my understanding was, that the aim is to investigate an existing smartphone and read all the data. And indeed, it is a problem to decrypt the device (=read the plaintext) if somebody is using a state-of-the-art encryption tool like Speck who was added recently into the Linux kernel and is available by the operating system.

      What you have written (“den Code möglichst effektiv zu brute-forcen … bei komplexeren alphanumerischen Passwörtern allerdings bisher ziemlich hoffnungslos”) is unfortunately right. Brute forcing doesn’t work to decrypt the system, and this is the reason why a total surveillance of the Internet infrastructure is necessary. So it does no matter if somebody has encrypted his private data, because they were read in plain text before scramble them. In the scientific literature this concept is called “peephole decryption” and means to use secondary data to restore the original data.

  5. @Andre, der Artikel lässt ein bisschen vermissen bei: „die der Staat damit bewusst offen lässt – statt sie zu schließen“. Ist der Staat aktiv tätig bei Sicherheitslücken, oder ist nicht die Legislative gefragt? Und wenn ja, wessen? US zuerst?

  6. Für mich stellt sich die Frage nach der Integrität Datenverarbeitender Systeme die lt. Verfassungsgericht gesichert und geschützt ist – somit ist das Auslesen eines Smartphones, welches auch ein Datenverarbeitendes System ist nur unter bestimmten Bedingungen erlaubt. Zumindest kam das mal beim CCC zur Klage gegen den Staatstrojaner und das heimliche Ausspionieren der heimischen Computer

  7. Hallo,
    wie ihr schreibt nutzen die deutschen Behörden zum Auslesen von Mobiltelefonen Software externer Anbieter. Somit kennen, im Gegensatz zu WannaCry, nicht die deutschen Behörden die Sicherheitslücken, sondern die Softwarefirmen. Und die haben natürlich/leider ein wirtschaftliches Interesse daran diese Schwachstellen nicht aufzudecken. Hier sollten also nicht zwei Sachlagen miteinander vermischt werden, um den deutschen Behörden pauschal einen weiteren Böser-Bube-Stempel aufzudrücken. Ihr würdet ja auch niemals alle Migranten als kriminell betiteln, weil ein Bruchteil dies ist.
    Viele Grüße
    Micha

  8. Hallo,

    weiß jemand die Adresse von MSAB Germany (ich würde den Standort gerne digitalisieren)?

    Auf deren Webseite ist für Deutschland nur folgendes angegeben:
    MSAB (Germany)
    Freephone: 0800 1827441

    Falls jemand ein anon. Tel. hat kann man ja mal dort die Adresse anfragen ;-)

    Danke

    1. Da sie für alle anderen Länder eine Adresse angegeben haben, würde ich annehmen, dass sie gar keinen Standort in Deutschland haben.

    1. Zwei Faktoren Absicherung ….ha ha….

      „The built-in Oxygen Forensic® Cloud Extractor acquires data from the most popular cloud services to include: WhatsApp, Telegram, iCloud, Google, Microsoft, Huawei, Samsung, E-Mail (IMAP) Servers and more. Also, various social media services are supported to include but not limited to: Facebook, Twitter, Instagram, and many more. Investigators can use usernames and password combinations or tokens extracted from the mobile device to gain access to a cloud storage even when two-factor authentication is enabled on select services.

      1. Das scheint mir so , als ob da noch ein Patent drauf ist …..oh jeh…..Schnüffel Backdoor Technik
        nur für diese Firma ?
        Kann das mal jemand genauer nachprüfen ?
        Das würde ja bedeuten ,dass Android auch unter voller Kontrolle der NSA steht.

  9. Eine Firma die wirklich ein iPhone x ( FaceID) oder neuer mit iOS12 gehackt hat genießt es und schweigt , dann macht man das Wissen zu Geld und bietet es interessierter Klientel an.
    Es der Presse zu erzählen ist wirklich dumm und bestätigt nur meine Meinung : „ Nicht geschafft“.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.