Kürzlich bestand die Gelegenheit aufgrund eines Ermittlungsverfahrens und dem damit verbundenen Akteneinsichtrecht des Betroffenen einen Einblick in die digitale Ermittlungsarbeit der Polizei zu bekommen. Die daraus gewonnen Erkenntnisse, wie man seine technischen Geräte vor dem Zugriff durch Strafverfolgungsbehörden absichern kann, werden im Folgenden mit zahlreichen Ergänzungen und weiteren Ideen vorgestellt.
- Passwörter sollten (auch wenn sie „unwichtig“ sind) in keinem Fall als bloße Textdatei gespeichert werden. Die Ermittlungsbehörden können dadurch eventuell Rückschlüsse auf wichtigere Passwörter treffen (z.B. ähnliche Muster), außerdem besteht die Gefahr, dass ein unwichtiges Passwort über Umwege doch zu einem Treffer für die Behörden führt, etwa weil sich im Nachhinein eine winzige Information als Schlüssel für etwas ganz anderes darstellt oder, weil aufgrund eines Versehens z.B. Passwörter für andere Email-Accounts zurückgesetzt werden können. Passwörter sollten entgegen gängiger Empfehlungen z.B. fürs Online-Banking auch nicht auf Papier (z.B. in einem Safe) aufbewahrt werden, da sie dort auch in die Hände der Ermittler fallen können. Auch das Speichern der Passwörter im Browser ohne zusätzliche Absicherung durch „Master-Passwörter“ bringt enorme Risiken mit sich, da der Zugriff hürdenlos möglich ist. Im Idealfall hat man seine sicheren Passwörter im Kopf, was wohl den wenigsten gelingen wird. Aus diesem Grund ist es empfehlenswert Passwortmanager zu verwenden.
- Große Datenarchive sind problematisch. Es ist auch bei einem vollverschlüsselten Gerät sinnvoll Daten, die man selten benötigt in einem gesonderten, verschlüsselten Container oder auf einer verschlüsselten externen Festplatte abzulegen. Damit kann vermieden werden, dass der Zugriff auf diese Datenbestände durch ein eingeschaltetes und damit angreifbares Gerät möglich ist (Die Möglichkeit „mal eben“ den Stecker zu ziehen oder das Gerät in Anwesenheit der Beamten auszuschalten, wird nicht in jedem Fall bestehen!). Geräte sollten zusätzlich nach Möglichkeit immer ausgeschaltet sein, wenn man nicht daran arbeitet, das minimiert das Risiko „auf frischer Tat“ erwischt zu werden.
- Handykommunikation ist und bleibt eine gefährliche Angelegenheit. Es gibt zwar Möglichkeiten sein Gerät komplett zu Verschlüsseln und sichere Messenger wie Signal zu verwenden (dringend nutzen!). Dennoch bleibt ein hohes Restrisiko wegen ständiger Sicherheitslücken wie z.B. dem Stagefright bestehen. Daher sollten auf dem Handy keine sensiblen Daten gespeichert werden. Dabei ist zu beachten, dass die Installation des Facebook-Messengers den Ermittlungsbehörden im Zweifelsfall Zugriff auf das Facebook-Konto einräumt. Ähnliches gilt z.B. für den Abruf von Emails oder Zugriff auf Kalender und Cloud-Services, sofern die Zugangsdaten auf dem Gerät gespeichert sind. Auf dem Smartphone gespeicherte Kommunikationsinhalte (z.B. SMS oder Messenger-Nachrichten) und Verbindungsdaten (z.B. letzte Anrufe) sollten regelmäßig gelöscht werden, damit im Falle des Falles der Zugriff zumindest nicht ganz so einfach ist.
Fazit: Alles mit starken Passwörtern verschlüsseln, eigene Fehler und unglückliche Geschehensabläufe einplanen und es sich nicht zu bequem machen (Rechner ausschalten, Daten löschen) sind ein wirksamer Schutz.
Update – 18.12.15: Kontakte sollten nicht auf der SIM-Karte sondern auf dem verschlüsselten Speicher des Telefons gespeichert werden, da Ermittlungsbehörden über über den so genannten PUK (Personal Unblocking Key), der beim Provider hinterlegt ist, einfach Zugriff auf die SIM-Karte bekommen können (weitergehend: Marko Rogge, „Digitale Ermittlungen: Tipp für die mobile Forensik„, Cybercrime_Blog der Fachhochschule der Polizei Brandenburg).