http://www.faz.net/-gy9-8xtyy
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER
F+ Icon
F.A.Z. PLUS
abonnieren

Veröffentlicht: 17.05.2017, 15:14 Uhr

Recycling Rätselhafte Daten auf fabrikneuen USB-Sticks

Elektronik-Recycling bringt manche Überraschung mit sich. Auf fabrikneuen USB-Sticks sind häufiger alte Daten zu finden. Das hat sogar Auswirkungen auf die Beweisführung in Prozessen.

von Peter Welchering
© Colourbox.com Was ist drauf auf den USB-Sticks?

Viele Kriminalbeamte und Staatsanwälte stehen vor einem Problem: Auf USB-Sticks sichergestellte Fotos und Dokumente können nicht mehr ohne weiteres als Beweismaterial in einem Gerichtsprozess verwendet werden. Zu oft sind auf fabrikneuen USB-Sticks nämlich alte Daten. Und von denen ahnt der Besitzer des USB-Sticks nicht einmal etwas.

Es passierte im Herbst 2016 in Stockholm: Ein schwedischer Laptop-Besitzer machte eine erstaunliche Entdeckung. Auf dem USB-Stick mit den Hochzeitsbildern seiner Tochter war unter anderem auch der Führerschein eines chilenischen Staatsbürgers zu sehen. Der chilenische Führerscheinbesitzer konnte aber diesen USB-Stick ganz bestimmt nicht in seinen Händen gehabt haben. Denn der Stick war fabrikneu. Der Laptop-Besitzer erzählte in seinem Bekanntenkreis von diesem seltsamen Datenfund.

Auf diese Weise hörte auch Martin Westman, Speicherexperte und digitaler Forensiker beim Stockholmer Sicherheitsunternehmen MSAB, davon. Er forschte nach, was dahintersteckt. Die Lösung: Bei der Produktion von USB-Sticks werden alte Smartphone-Speicherchips recycelt. Und so gelangen Daten von alten Handys auf die fabrikneuen USB-Sticks.

Es wäre schade, die Elektronik zu verschrotten

Zur selben Zeit beschäftigte sich auch Aya Fukami von der National Police Agency Japan mit diesem Phänomen. Sie kam zum selben Schluss wie Martin Westman. Beide haben darüber kürzlich auf einer internationalen Forensiker-Tagung in Überlingen berichtet. „Es ist klar nachweisbar, dass die Daten von wiederverwendeten Speicherchips stammen, die zuvor in Smartphones eingebaut waren“, berichtet Aya Fukami. Sie und Kollegen konnten das anhand der Seriennummern der Chips zurückverfolgen.

Smartphones werden in der Regel nach zwei bis drei Jahren gegen neue Modelle ausgetauscht. Aber die Prozessoren, Speicherchips und Controller sind noch völlig in Ordnung. Es wäre also schade, die Elektronik zu verschrotten. Deshalb kaufen Hersteller von USB-Sticks die Speicherchips für wenig Geld auf, die zuvor in Smartphones steckten. So gelangen Daten von alten Smartphones in fabrikneue USB-Sticks.

Das müssten Staatsanwälte, Ermittlungsbeamte und externe digitale Forensiker bei ihren Ermittlungen viel stärker berücksichtigen, fordert Professor Holger Morgenstern. Sie können nicht mehr sicher sein, dass auf einem USB-Stick gefundene Bilder und Dokumente auch wirklich vom Besitzer des Sticks stammen. Deshalb reicht zum Beispiel beim Fund von kinderpornographischem Material die bisher oftmals vorgetragene forensische Indizienkette nicht mehr aus.

Metadaten der gefundenen Bilder auswerten

Da muss nun vielmehr ganz kritisch untersucht werden, ob sichergestelltes Material etwa über recycelte Speicherchips auf beschlagnahmte Datenträger gelangt sein könnte. „Die digitalen Forensiker müssen ihren eigenen Ergebnissen stärker misstrauen“, fordert Professor Felix Freiling von der Friedrich-Alexander-Universität in Erlangen, einer der führenden Experten für digitale Forensik in Deutschland. Die Forensiker arbeiten hier an weitergehenden Analysemethoden. So müssen auf jeden Fall die Metadaten der gefundenen Bilder ausgewertet werden. Unerlässlich ist es auch, deren Speichergeschichte ganz genau zu rekonstruieren.

Außerdem kann über die Seriennummer des Controllers in vielen Fällen ermittelt werden, in welchem Smartphone der Speicherchip zuvor seinen Dienst getan hat. Über die Gerätenummer des Smartphones lässt sich dann in der Regel der Vorbesitzer des Speicherchips ermitteln. Dabei müssen digitale Forensiker und Ermittlungsbeamte eng zusammenarbeiten, um aufzuklären, ob der Vorbesitzer des Speicherchips mit dem sichergestellten Material in Verbindung gebracht werden kann. Unter anderem sind dafür Ermittlungen in den vom Vorbesitzer genutzten Clouds der Mobilfunkprovider und Gerätehersteller sowie Analysen seiner Smartphonenutzung nötig.

Doch hier sind noch viele rechtliche Fragen offen. Zudem erfordern solche Ermittlungen internationale Zusammenarbeit, die durch unterschiedliche rechtliche Rahmenbedingungen in den verschiedenen Ländern oft nicht einfach ist.

Mehr zum Thema

Der Gesetzgeber ist also in mehrfacher Hinsicht gefordert. Außer den rechtlichen Rahmenbedingungen für eine stärkere internationale Harmonisierung in der Cloud-Forensik muss er sich auch um einen besseren Schutz für die Käufer von USB-Sticks kümmern. Denn der Kunde kann sich bisher nicht davor schützen, dass ihm beim Kauf eines Datenträgers gleich alte Daten mit untergeschoben werden. Das ließe sich nur mit einer gesetzlich geregelten Löschpflicht der Hersteller vermeiden.

Doch die argumentieren, dass eine Löschpflicht die Produktion der Sticks verteuern würde. Es wäre ja ein zusätzlicher Arbeitsschritt vonnöten. Das würde sich direkt auf die Preise der USB-Sticks auswirken, warnt die Hersteller-Fraktion eindringlich. Die Argumentation wirkte. Denn erste Überlegungen für eine solche Löschpflicht in der EU-Kommission wurden rasch wieder fallengelassen. Bleibt also einstweilen nur, sichergestelltes Material auf beschlagnahmten USB-Sticks zusätzlichen forensischen Analysen zu unterziehen, um den Urheber wirklich feststellen zu können. Noch aber hat sich dieses Erfordernis nicht in allen Staatsanwaltschaften und Gerichten herumgesprochen.

Speicher-Recycling betreiben im Übrigen nicht nur Stick-Hersteller im unteren Preissegment. Es geht dabei offenbar durchaus auch um Markenprodukte. Auf der Überlinger Forensiker-Konferenz galt eine Liste mit Herstellernamen allerdings als Geheimsache. So sollen rechtliche Auseinandersetzungen vermieden werden.

No Noreply

Von Michael Spehr

Einer der fleißigsten E-Mail-Versender hat stets dieselbe Absenderadresse: Noreply. Er arbeitet zudem in unterschiedlichen und nahezu allen deutschen Unternehmen. Mehr 3 25

Zur Homepage