IT-Forensik: Zugriff von Ermittlungsbehörden auf iPhones

Immer wieder für gewisse Nervosität sorgt die Frage, ob ein iPhone oder iPad nun “sicher” ist, nachdem dieses von Ermittlungsbehörden beschlagnahmt wurde. Spätestens seit dem Februar 2017, in dem ein Bericht über die Nutzung von Cellebrite-Hardware durch deutsche Behörden endgültig klar wurde, ist das Fragezeichen noch Grösse geworden. Nun muss man nicht erst an Cellebrite denken, wo ohnehin der Verdacht im Raum steht ob es letztlich um Jailbreak-Techniken geht – die Angriffsszenarien auf ein iPhone sind mannigfaltig, wenn auch im Detail eher teuer zu bewerkstelligen.

Hinweis: Diesen Beitrag habe ich im Hinblick auf erfolgreiche Zugriffe im Juli 2019 aktualisiert, er wird fortlaufend weiter gepflegt.

Grundsätzliches zu iPhones bei Ermittlungen (bis Mitte 2019)

Jedenfalls bis Mitte 2019 ist in den von mir bearbeiteten Fällen “klassischer Cyberkriminalität” kein auf üblichem Wege gesichertes und verschlüsseltes iPhone ausgelesen worden. Weder Kripo vor Ort noch LKA NRW hatten in von mir verteidigten Fällen auf diese Informationen zugreifen können. Da in mindestens einem Fall zudem auch noch ein Mandant vor dem erfolgreichen Auslesen sein iPhone per Fernzugriff löschen konnte scheint auch sonst das Prozedere hinsichtlich des Auslesens von iPhones eher rudimentär zu geschehen.

Zugriff auf iPhones und iPads mittels Cellebrite (Stand Juli 2019)

Eine Änderung ergab sich im Juli 2019 (aktueller Stand war iOS 12.3), als mir in einem laufenden umfangreichen Strafverfahren bekannt wurde, dass ein laut Mandat wie üblich gesichertes iPad Pro durch die Behörden ausgelesen wurde. Schon vorher gab es Berichte, dass iOS 12.3 nun durch Cellebrite ausgelesen werden kann; Ausweislich der mir vorliegenden Unterlagen genügt der Anschluss eines iPads über ein Kabel und der gesamte interne Speicher kann mittels Cellebrite UFED ausgelesen werden. Bei Telefonen scheint es weitere Möglichkeiten zu geben, insbesondere je nach Telefonmodell verschiedene Anschlussarten und die Möglichkeit sowohl eine Bitweise 1:1 Kopie anzulegen oder einen logischen Auszug vorhandener Dateien zu erzeugen. Dabei werden verschiedene Berichte in verschiedenen Formaten erzeugt.

Zugriff erfolgt offenkundig umfangreich, insbesondere auch auf vorhandene angelegte Notizen und Daten der Benutzerkonten, wohl aber ohne zugehörige Passwörter.

Allgemeine sonstige Risiken

Losgelöst vom unmittelbaren Zugriff auf iPhones und iPads sind die Zugriffsmöglichkeiten nicht zu unterschätzen, insbesondere wenn man in via iCloud oder IMAP synchronisierten Bereichen Inhalte speichert die andere nicht kennen sollen – zu einfach ist es, mit Passwörtern, die irgendwo notiert sind, hierauf Zugriff zu erhalten ohne sich lange am iPhone abzumühen. Falls man nicht ohnehin seinen parallel genutzten Mac/PC so schlecht gesichert hat, dass die Ermittler auf die dort gespeicherten iCloud-Nutzer-Tokens zugreifen und diese kopieren können (dazu unten der zweite Link). Und auch dieses Szenario kenne ich übrigens: Dass man sich alle Mühe gibt mit seinem iPhone, den PIN nirgendwo notiert, aber dann die Zugangsdaten zu den genutzten Diensten irgendwo sonst notiert hat.

Zum Thema: