Im Rahmen der Auswertung mobiler Endgeräte wie Handy, Smartphone & Tablet-PC besteht häufig das Erfordernis, vermeintlich „gelöschte“ Informationen wiederherzustellen: Dateidatenwiederherstellung genannt. Dies ist meist einer der wichtigsten Vorgänge der Computer-Forensik allgemein. Damit das funktioniert, sollte das mobile Endgerät jedoch nicht vor der Auswertung auf die „Werkseinstellungen“ zurückgesetzt werden, jedenfalls nicht, was die Inhalte anlangt (auf den meisten mobilen Endgeräten kann man zwischen „Einstellungen zurücksetzen und „mit Inhalten zurücksetzen“ wählen).

Werden die Endgeräte (auch Notebook und PC) mitsamt Inhalten auf die Werkseinstellungen zurückgesetzt, so werden dabei die entsprechenden Bereiche der Festplatte (Notebook & PC) oder des Flash-Speichers mehrfach überschrieben, was bedeutet, dass sie dann mit den heute bestehenden technischen Methoden meist nicht mehr ausgelesen und damit wiederhergestellt werden können. Dies wiederum bedeutet, dass wir dann auch als Forensiker in diesen Fällen nichts mehr machen können. Das ist bitter, aber es ist nun mal so.

Wir konnten schon häufig Dateidaten aller Art wiederherstellen, aber diese Geräte waren allesamt eben nicht auf die Werkseinstellungen zurückgesetzt. Wir haben dies nachvollzogen an einem Samsung Galaxy S3: Das Gerät war gut gefüllt mit Daten aus allen Bereichen (wie Anrufhistorie, SMS, Videos, Fotos, etc.). Nach vollständigem Zurücksetzen auf die Werkseinstellungen, wurde es physikalisch mittels Cellebrite UFED Touch ausgewertet und voila, außer den üblichen Werkseinstellungen war tatsächlich alles weg. Aus diesem Grund weisen wir in unseren Verträgen auch immer darauf hin, dass eine Auswertung nicht mehr möglich ist, wenn das Gerät auf die Werkseinstellungen zurückgesetzt wurde.

Nebenbei bedeutet dies aus Sicht des Mobile Device Management (MDM) und des Datenschutzes, dass man ein mobiles Endgerät, stets auf Werkseinstellungen zurücksetzt, bevor man das Gerät weitergibt und möglicherweise auf diversen Internet-Plattformen zum Verkauf anbietet. Unternehmen, die auf mobilen Endgeräten auch sensible Informationen verarbeiten, sei empfohlen, Festspeicher und mobile Endgeräte physikalisch zu zerstören: mein weiß nie, ob nicht doch noch jemand ein Hintertürchen bezüglich der Dateidatenwiederherstellung offen hat, oder ob dass Gerät die Funktion „Auf Werkseinstellungen zurücksetzen“ wirklich korrekt ausgeführt hat. Auch das ist angewandte IT-Sicherheit & Datenschutz.

Wenn Sie also bereits wissen, dass Sie Ihr mobiles Endgerät möglicherweise noch einmal zur Beweissicherung oder sonstigen Gründen auswerten lassen möchten, überlegen Sie sich genau, ob Sie es auf die Werkseinstellungen zurücksetzen. Manchmal will man die Daten ja nicht unbedingt vernichten, man will sie einfach haben, weil sie einem nutzen können. Daraus folgt: In der Computerei stets das Hirn einschalten und Backup ziehen. Das ist immer eine gute Idee!

Kommentare geschlossen.