IT-Forensik: Zugriff von Ermittlungsbehörden auf iPhones

Immer wieder für gewisse Nervosität sorgt die Frage, ob ein iPhone nun “sicher” ist, nachdem dieses von Ermittlungsbehörden beschlagnahmt wurde. Spätestens seit dem Februar 2017, in dem ein Bericht über die Nutzung von Cellebrite-Hardware durch deutsche Behörden endgültig klar wurde, ist das Fragezeichen noch Grösse geworden. Nun muss man nicht erst an Cellebrite denken, wo ohnehin der Verdacht im Raum steht ob es letztlich um Jailbreak-Techniken geht – die Angriffsszenarien auf ein iPhone sind mannigfaltig, wenn auch im Detail eher teuer zu bewerkstelligen.

Jedenfalls in den von mir bearbeiteten Fällen klassischer Cyberkriminalität wurde bisher kein auf üblichem Wege gesichertes und verschlüsseltes iPhone ausgelesen. Weder Kripo vor Ort noch LKA NRW haben in von mir verteidigten Fällen auf diese Informationen zugreifen können. Da in mindestens einem Fall zudem auch noch ein Mandant vor dem erfolgreichen Auslesen sein iPhone per Fernzugriff löschen konnte scheint auch sonst das Prozedere hinsichtlich des Auslesens von iPhones eher rudimentär zu geschehen. Gleichwohl sind die Risiken nicht zu unterschätzen, insbesondere wenn man in via iCloud oder IMAP synchronisierten Bereichen Inhalte speichert die andere nicht kennen sollen – zu einfach ist es, mit Passwörtern, die irgendwo notiert sind, hierauf Zugriff zu erhalten ohne sich lange am iPhone abzumühen. Falls man nicht ohnehin seinen parallel genutzten Mac/PC so schlecht gesichert hat, dass die Ermittler auf die dort gespeicherten iCloud-Nutzer-Tokens zugreifen und diese kopieren können (dazu unten der zweite Link).
Und auch dieses Szenario kenne ich übrigens: Dass man sich alle Mühe gibt mit seinem iPhone, den PIN nirgendwo notiert, aber dann die Zugangsdaten zu den genutzten Diensten irgendwo sonst notiert hat.

Zum Thema: