Kategorien
Cybercrime allgemein

Handyauswertung durch die Polizei: Wie Ermittlungsbehörden arbeiten

Betroffene fallen regelmäßig aus allen Wolken, wenn Sie erstmals merken, welche technischen Möglichkeiten es gibt. Dabei hatte man sich doch extra wie die Profis verhalten, was übersetzt heisst: Wie in diesen schlechten Filmen, bei denen Profis das Fremdschämen neu lernen. So hilft es weder, die SIM-Karte zu wechseln, noch sie vor einem Wechsel zu veröden (sieht in der Kameraeinstellung aber toll aus). Und vor dem Hineindeuten in Nachrichten auf dem Handy ist ohnehin keiner geschützt.

IMEI – unterschätztes Risiko

Erschreckend ist, wie unbekannt bis heute die IMEI ist. Bei dieser einmalig jedem Handy vergebenen Seriennummer handelt es sich um ein Merkmal, das bei jeder Kommunikation mit an den Provider übertragen wird. Das bedeutet, man kann auch im Nachhinein in den Kommunikationsdaten des Providers suchen, ob und wann sowie in welchem Rahmen eine IMEI Verwendung gefunden hat. Das führt regelmäßig zu zwei sehr bestimmten Ermittlungsszenarien:

Gestohlenes Handy

Dieses Szenario ist bei mir inzwischen absoluter Alltag: Es wird ein Handy gestohlen, etwa im Zusammenhang mit einem Überfall, so dass regelmäßig ein Raub vorliegt, also eine schwere Straftat. Das Tatopfer sucht in seinen Unterlagen, findet die Rechnung mit IMEI, gibt diese an die Polizei und man erwirkt einen richterlichen Beschluss bei Providern nach der Verwendung der IMEI anzufragen. Regelmäßig nach kurzer Zeit findet man dann jemanden:

  1. Man glaubt gar nicht, wie strunzdoof viele Täter sind, die ernsthaft selber das erbeutete Handy benutzen. Dies ist das einfachere Szenario.
  2. Erheblich schlimmer ist es, wenn das Handy (was häufiger vorkommt) an einen “Handyshop” verkauft wurde. Bis dahin wurde es ohne SIM-Karte betrieben, es kamen also keine Daten beim Provider an. Auch im Shop wird es ohne SIM-Karte getestet (oder mit einer ausländischen SIM-Karte) und dann verkauft. Der arglose Käufer dann wiederum nutzt es normal und wird dann später aufgegriffen. Die meisten behalten die Rechnung vom Handyshop, so dass sie schnell aus der Nummer raus sind, aber auch ohne Handy da stehen, weil man an gestohlenen Sachen keinen Eigentum erwerben kann (die Polizei kassiert es ein und gibt es später dem Geschädigten wieder). Bei dem Handyshop kann man dann zumindest versuchen sein Geld zurück zu bekommen, die Polizei wiederum wird beim Handyshop nach dem Verkäufer ermitteln, wobei die Handyshops aus gutem Grund regelmäßig Personalausweise der Verkäufer kopieren.

SIM-Karte-Wechseldich

Aber natürlich sind die meisten heute viel schlauer und machen das, was man im Fernsehen sieht: Man wechselt regelmäßig die SIM-Karte, das gibt eine Menge gefühlter Sicherheit und es kann ja nichts passieren.

Die Praxis sieht aber so aus: Man sucht nach der Handynummer in den Beständen des Providers. Hier tauchen dann aus der Zeit vor dem Wechsel Daten mit IMEI auf. Die IMEI wird nun als gesondertes Datum durch die Ermittlungsbehörden gespeichert und als nächstes fragt man bei den Providern nach Datensätzen mit der IMEI an. Auf dem Weg ermittelt man die aktuelle Rufnummer und abgesehen vom Mehraufwand hat der SIM-Kartenwechsel nichts gebracht.

Auswertung von Ortsdaten

Bei Einbrecherbanden übrigens sind die Funkzellendaten von besonderem Interesse: Wenn jemand, der dort nicht wohnt, einmal oder auch zweimal zum Zeitpunkt eines Einbruchs in der passenden Funkzelle eingeloggt ist, mag das einen Verdacht begründen. Seltsam wird es, wenn er keinerlei Bezug zu diesen Orten hat, es um Orte im hintersten Eifelbereich ist und man dort um 2 Uhr morgens herum lief. Wenn es aber eine Einbruchsserie gab und man bei 20 Einbrüchen, die nach dem gleichen Muster begangen wurden, immer rein zufällig in der passenden Funkzelle eingeloggt war, wird es schwer mit Erklärungen. Speziell bei Einbruchsdelikten und Raubserien gehen die Behörden daher nachvollziehbar dazu über, sich auf Funkzellendaten zu konzentrieren um aus auffälligen Mustern Rückschlüsse auf mögliche Täter zu ziehen.

Auswertung von Daten auf dem Handy

Wenn einmal das Handy bei der Polizei ist steht die Auswertung der Daten auf dem Handy an. Das ist weniger technisch als mit menschlichen Problemen zu sehen: Es werden die SMS ausgelesen, Kontaktdaten sowieso, um dann in die erlangten Informationen etwas hineinzudeuten. Wer regelmäßig zu bekannten Dealern Kontakt hat, der bekommt dann pauschal und plump den Vorhalt, dass man ja keinen anderen Grund als Drogengeschäfte für einen Kontakt sieht.

Wie abstrus das werden kann zeigt ein älterer Fall von mir: Mein Mandant (der später freigesprochen wurde) fand sich vollkommen überraschend in einem Verfahren wieder, weil er mit einem Dealer in regelmäßigem Kontakt stand. So fand man auch eine SMS, wo der Dealer fragte, ob mein Mandant “noch 1 oder 2 Säcke Zement” hätte. Ausserdem bräuchte er noch “10 von den 8ern”. Später gab es eine weitere SMS wo er um weitere Pakete fragte, auch mal um “Werkzeug”.

Für die Behörden war die Sache klar: Das waren Drogenbestellungen, mein Mandant war eindeutig der Lieferant für einen Dealer der einen gesamten ländlichen Raum belieferte. Quasi Escobar vom Land. Es war eine Heidenarbeit, überhaupt einmal zu erreichen, dass man sich das Haus des Freundes genau ansah, zu dem man eben wegen der Freundschaft in stetem Kontakt stand. Und als man dann endlich einmal genau hinsah, die Baustelle des selbst gebauten Wintergartens auch endlich fotografisch festhielt und feststellte, dass mein Mandant (Handwerker und Heimwerker) in seiner Garage tatsächlich nicht nur Zement auf Vorrat hielt sondern u.a. diverse 8er Dübel, womit er seinem Freund ausgeholfen hatte, wurde klar, dass das mit dem grossen Fang nix war.

Fazit

Das Handy und die damit zusammenhängenden Kommunikationsdaten sind eine Goldgrube, die sich auch regelmäßig als hilfreicher Ermittlungsansatz zeigt. Zugleich bietet sich aber auch häufig das Risiko von fehlerhaften Ansätzen aus denen “Normalsterbliche” unheimlich schwer wieder zu befreien sind wenn sich die Ermittlungsbehörden einmal festgebissen haben. Durch die inzwischen reaktivierte Vorratsdatenspeicherung dürfte sich dies in Zukunft weiter verstärken. Insgesamt mag sich jeder selber überlegen, ob man wirklich bei jeder Aktivität in seinem Alltag ein Handy dabei haben muss.

Hinweis: Die hier beschriebenen Szenarien sind nicht theoretisch oder ausgedacht, ich habe lediglich beschrieben, was ich in zahlreichen Ermittlungsakten lesen konnte. Ich habe mich dabei ganz bewusst auf aktuell sehr verbreitete Szenarien beschränkt, wer sich für mehr Überwachungsmöglichkeiten interessiert sollte auf jeden Fall folgendes kennen:

mm

Von Strafverteidiger & Fachanwalt für IT-Recht Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht spezialisiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeit: IT-Recht, IT-Vertragsrecht & Softwarerecht künstliche Intelligenz, Datenschutzrecht, Medienrecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.