Da mobile Geräte mittlerweile allgegenwärtig sind, müssen Anwälte zunehmend Informationen von diesen Geräten sammeln, um sie in Gerichtsverfahren zu verwenden. Aufgrund der besonderen Herausforderungen bei der Datenerfassung durch diese Geräte hat sich die „Forensik mobiler Geräte” zu einem eigenen Fachgebiet entwickelt, in dem viele Forensiker Fachwissen aufgebaut haben.

Mobile Geräte 101: Sicherheit und Speicherung

können, sind sie anfällig für Verlust oder Diebstahl, was zu erhöhten Sicherheitsbedenken führt. Mit diesen erhöhten Bedenken geht ein größerer Bedarf an Sicherheit einher, was wiederum die Datenerfassung erschwert.

Mit zunehmendem Datenvolumen steigt auch die Schwierigkeit, solch große Datenmengen auf einem kleinen und tragbaren Gerät zu speichern. Dies hat zur Entwicklung mobiler Geräte mit exponentiell größeren Speicherstrategien geführt. Dies ist einer der Gründe, warum es mittlerweile üblich ist, Daten in der Cloud zu speichern und nur bei Bedarf von einem mobilen Gerät aus auf diese Daten zuzugreifen. Die Cloud bietet nahezu unbegrenzte Speicherkapazität und ist weniger anfällig für Datenverluste, sodass wir nicht alles auf unserem mobilen Gerät speichern müssen; wir benötigen das mobile Gerät lediglich, um diese Informationen anzuzeigen, wenn wir sie sehen möchten.

Dies hat es für Anwälte sehr schwierig gemacht, zu verstehen, wo sich wichtige Daten befinden, und zu wissen, wie diese Daten auf die zeitnahste und kostengünstigste Weise erfasst werden können.

Aus diesem Grund sollten Anwälte sich bewusst sein, dass nicht alles, was Sie auf einem Mobilgerät sehen, auch tatsächlich darauf gespeichert ist. Selbst bei Daten, die sich auf einem Mobilgerät befinden, kann es effizienter sein, sie aus einer Cloud-Quelle zu sammeln als vom Gerät selbst. Schließlich sind einige Anwendungen „sicherheitsorientiert“, sodass die Möglichkeiten zur Erfassung solcher Daten im Vergleich zu ähnlichen Anwendungen begrenzt sind. Die Erfassung aus diesen Anwendungen ist schwieriger, zeitaufwändiger und teurer, als ein Anwalt zunächst erwarten würde.

In den folgenden Abschnitten werden gängige Strategien zum Sammeln von Daten aus verschiedenen Anwendungstypen beschrieben.

Apps, die ihre Daten auf dem Mobilgerät speichern – meist

Bei iPhones ist der einfachste Weg, an die auf dem Gerät selbst vorhandenen Daten zu gelangen, ein Tool, das ein iPhone-Backup sammelt und verarbeitet. Oberflächlich betrachtet scheint dieser Prozess einfach zu sein, aber in der Praxis gibt es mehrere Hindernisse.

Zunächst müssen die Daten auf dem iPhone vorhanden sein, was jedoch nicht immer der Fall ist. Beispielsweise befinden sich iMessages auf dem iPhone, wenn der Verwalter seine Nachrichten nicht mit iCloud synchronisiert. Einige Nutzer synchronisieren ihre Nachrichten mit iCloud, damit sie diese auf jedem von ihnen verwendeten Gerät sehen und auf jedem ihrer Geräte darauf antworten können. Die Nachrichten bleiben synchronisiert, d. h., wenn eine Nachricht auf einem Gerät erstellt oder beantwortet wird, wird sie auf allen Geräten als erstellt oder beantwortet angezeigt. Wenn ein Verwahrer seine Geräte jedoch auf diese Weise konfiguriert, befinden sich seine Nachrichten und die Anhänge zu diesen Nachrichten in iCloud und nicht auf dem iPhone, iPad oder Mac, das er verwendet. Wenn wir also versuchen, Nachrichten von einem Gerät zu sammeln, können einige Daten fehlen.

Um solche Nachrichten von einem einzelnen Gerät zu sammeln, müssen wir alle Nachrichten auf dieses Gerät umleiten und sie dann herunterladen. Unter bestimmten Umständen kann es jedoch vorkommen, dass Apple einige Anhänge in iCloud speichert und nicht herunterlädt. In diesen Fällen würde die Sammlung zwar die Nachricht erfassen, aber der Anhang könnte „fehlen”, da er sich weder auf dem Telefon noch in der Sicherung befand. Ein weiterer „Haken” für Anwälte besteht darin, dass es bei einer großen Anzahl von Nachrichten eines Verwahrers sehr lange dauern kann, die Nachrichten aus iCloud auf das iPhone herunterzuladen, um sie zu sammeln. Wenn wir also nicht lange genug warten, bis der Download abgeschlossen ist, erhalten wir möglicherweise nur eine unvollständige Sammlung. Kurz gesagt: Bei der Nachrichten-Synchronisierung von Apple kann es erforderlich sein, sowohl die iCloud-Nachrichtendaten als auch das lokale Telefon und das iCloud-Backup mehrfach zu sammeln.

Apps, die ihre Daten in der Cloud speichern

Einige Apps befinden sich auf einem Gerät und sehen aus wie jede andere App, speichern ihre Daten jedoch immer in der Cloud. Im Grunde genommen handelt es sich bei der App um einen ausgeklügelten Webbrowser, der cloudbasierte Daten in der App auf dem Gerät anzeigt, diese jedoch nicht lokal speichert oder nur einige zwischengespeicherte Inhalte vorübergehend speichert. Gute Beispiele hierfür sind Banking-Apps, Webmail-Apps (z. B. Gmail) und Unternehmens-Apps wie Teams und Slack. Bei solchen Apps erfolgt die beste Erfassung aus der Cloud-Quelle (z. B. Microsoft 365, Gmail usw.) und nicht vom Mobilgerät.

Apps, die ihre Daten verschlüsselt auf dem Gerät speichern und keine Sicherung zulassen

Während viele Apps ihre Daten auf dem iPhone speichern, lassen einige Apps keine Sicherung ihrer Daten durch iTunes oder iCloud zu. Darüber hinaus sind die App-Daten in der Regel verschlüsselt, und die zur Entschlüsselung der Daten erforderlichen Schlüssel werden auf einem Apple-Gerät im Schlüsselbund des Benutzers oder auf einem Android-Gerät im Keystore gespeichert. Beispiele hierfür sind kurzlebige Messaging-Apps wie Signal und Telegram. Bei diesen Apps muss ein Forensiker spezielle Tools verwenden, um das gesamte Dateisystem (einschließlich des Schlüsselbunds oder Keystores) zu erfassen, anstatt sich auf die Analyse von Daten aus einer Sicherung zu verlassen. Auf diese Weise können Kommunikationen aus Apps wie Signal abgerufen werden. Cellebrite und Magnet Forensics verfügen über Tools, die das gesamte Dateisystem und den Schlüsselbund oder Keystore für Signal erfassen. Telegram-Daten können jedoch teilweise in einem verschlüsselten Container zwischengespeichert sein, während sich der vollständige Datensatz in der Cloud befindet. Bei Telegram ist es wie bei anderen Apps, die Daten in der Cloud speichern, am besten, die Daten direkt aus dem Online-Konto statt vom Mobilgerät zu erfassen.

Apps, die keine lokalen Backups erstellen

Standardmäßige forensische Tools basieren in der Regel auf der Backup-Anwendungsprogrammierschnittstelle des Herstellers. Im Falle von Android Backup können Drittanbieter-App-Entwickler ihren Code so schreiben, dass die Anwendungsdaten nicht enthalten sind. Viele Android-App-Entwickler schließen ihre Daten aus Backups aus, weshalb die meisten forensischen Standard-Erfassungstools keine Daten aus Apps von Drittanbietern erfassen und analysieren können. Selbst Google schließt einen Großteil seiner Standard-Apps, wie Drive und Messages, aus Android-Backups aus. In diesen Android-Fällen muss der forensische Prüfer auf andere validierte Methoden zurückgreifen, wie z. B. eine vollständige Dateisystemerfassung, um Daten aus Apps von Drittanbietern zu erfassen.

Apps, die Daten mit Computern synchronisieren

Einige Messaging-Apps ermöglichen es Benutzern, eine Computeranwendung oder einen Webbrowser zu registrieren, um ihre Daten zu „synchronisieren“ und so die Messaging-App auf ihrem Computer oder Browser zu nutzen. Während Benutzer auf ihre Daten sowohl auf einem Computer als auch auf ihrem Mobilgerät zugreifen können, gibt es keinen „zentralen Server“, auf dem diese Daten gehostet werden. Das Mobilgerät ist die primäre Quelle für die App-Daten, während die autorisierten Computer nur eine untergeordnete Rolle spielen und nur die Daten empfangen, die das Mobilgerät an sie weiterleitet. Im Fall von WhatsApp kann ein Benutzer seinen Computer mit einem QR-Code registrieren, wodurch er seinen aktuellen Nachrichtenverlauf auf dem registrierten Computer einsehen und Nachrichten senden oder empfangen kann. Nachrichten und Threads, die vor der Registrierung des Computers existierten, werden nicht synchronisiert. Wenn wir also nach älteren Nachrichten suchen, müssen wir dies berücksichtigen. Einige forensische Tools nutzen diese Funktion von WhatsApp, um Daten aus der Ferne zu sammeln, wodurch die letzten Nachrichtendaten gespeichert werden. Allerdings umfasst dies wahrscheinlich nicht den gesamten WhatsApp-Nachrichtenverlauf. Nur das Telefon verfügt über den vollständigen Satz an Nachrichtendaten, wodurch das Telefon die beste Quelle für WhatsApp-Daten ist.

Fazit

Dies sind nur einige Beispiele für Probleme bei der Datenerfassung, die bei einigen der heute gängigen Apps auftreten. Wie bei allem im Wettlauf um neue Technologien zur Verbesserung der Benutzerfreundlichkeit und Sicherheit gilt auch hier, dass das, was heute gilt, morgen schon nicht mehr gelten muss, da jeder technologische Fortschritt darauf abzielt, das eine oder andere zu verbessern.
Anwälte, die wichtige Daten übersehen, können mit nachteiligen Folgen für ihre Ermittlungen und Rechtsstreitigkeiten rechnen. Fehler können zu negativen Ergebnissen führen, wie z. B. der Notwendigkeit einer erneuten Datenerfassung (manchmal im Ausland), Zeit- und Geldverschwendung, Nichteinhaltung von Offenlegungsvorschriften und -anordnungen sowie negativen Auswirkungen auf den Fall, wie z. B. Abweisungen, summarische Urteile, nachteilige Schlussfolgerungen der Geschworenen und natürlich allgemeine Unzufriedenheit der Mandanten.

Wenn Sie wichtige Daten für Ihre Ermittlungen oder Rechtsstreitigkeiten benötigen und nicht sicher sind, wo sich diese befinden oder wie sie am besten erhoben werden können, wenden Sie sich an Ihren Spezialisten für forensische Datenerhebung und entwickeln Sie gemeinsam eine Strategie.



Jason Paroff, Senior Director, Leiter der Forensikabteilung, Epiq
Jason Paroff ist Senior Director und Leiter der Forensikabteilung bei Epiq. In dieser Funktion leitet Herr Paroff die Forensik- und Datenerfassungsabteilung in den USA und koordiniert Ressourcen und Dienstleistungen weltweit. Zusätzlich zu seiner Führungsrolle hat Herr Paroff zahlreiche Computer und Computersysteme auf Hinweise auf Betrug, Diebstahl von Geschäftsgeheimnissen, Belästigung und andere unzulässige zivil- und strafrechtliche Handlungen untersucht. Er ist Fellow der American Academy of Forensic Sciences und derzeit Mitglied des Vorstands der Akademie (dreijährige Amtszeit – 2025-2028) sowie ehemaliger Vorsitzender der Abteilung für Digital- und Multimediawissenschaften (2020-2022). Herr Paroff hat als Sachverständiger vor einem Bundesbezirksgericht ausgesagt und war Referent auf Konferenzen sowie Gastdozent an der Columbia University School of Business. Herr Paroff hat außerdem Fortune-500-Unternehmen, Rechtsanwälten und Mitgliedern ausländischer Polizei- und Geheimdienste Kenntnisse im Bereich der digitalen Forensik vermittelt.

Herr Paroff ist zugelassener Rechtsanwalt und darf in New York, Connecticut und den Bundesbezirksgerichten des südlichen und östlichen Bezirks von New York als Anwalt tätig sein.




Andrew Crouse, Direktor, Forensik, eDiscovery-Lösungen, Epiq
Andrew Crouse ist Direktor für digitale Forensik bei Epiq, wo er digitale forensische Untersuchungen, Beratungsaufträge, die Erbringung von Dienstleistungen und forensische Praxisanforderungen leitet. Crouse leitet ein Team von Beratern, Analysten und Laborpersonal für die US-Geschäfte von Epiq. Er verfügt über umfangreiche Erfahrung in der Leitung komplexer digitaler forensischer und eDiscovery-Projekte für Fortune-500-Unternehmen auf der ganzen Welt sowie in der Entwicklung, Implementierung und Prüfung von Qualitätskontrollverfahren in digitalen Forensiklabors. Er ist ein anerkannter Experte in den Bereichen DOMEX, Computerforensik, mobile Forensik und eDiscovery-Datenrisikomanagement und verfügt über eine Top-Secret-Sicherheitsfreigabe des DHS. Crouse hat als Sachverständiger vor Bundes- und Landesgerichten ausgesagt.