Prozess der Mobiltelefon Forensik
Der Prozess der Mobiltelefon Forensik ist grundsätzlich der gleiche wie bei anderen forensischen Wissenschaften. Die zusätzliche Herausforderung der Isolierung von Mobiltelefonen, da diese für die Kommunikation mit Mobilfunknetzen, Satelliten, drahtlosen Netzwerken und über Bluetooth entwickelt wurden, ist in den Prozess zu integrieren. Alle forensischen Anwendungen, mit denen gearbeitet werden soll, erfordern Zuverlässigkeit, Integrität und Wahrhaftigkeit, unabhängig davon, ob die Forensik der Einhaltung von Richtlinien, Informationsbeschaffung, Informationssicherheit, Reaktion auf IT-Sicherheitsvorfälle, Wiederherstellung, Forschung oder für strafrechtliche oder zivilrechtliche Untersuchungen dient. Untersuchungen und deren Ergebnis müssen wiederholbar, für Dritte nachvollziehbar und unanfechtbar sein.
Beweisaufnahme Bevor eine forensische Untersuchung beginnen kann, muss das Gerät mit einem Untersuchungsauftrag eingegangen sein. Der Empfang des Geräts muss bestätigt werden. Aus der Anfrage für die Untersuchung sollte bereits erkennbar sein, um was für ein Gerät es sich handelt und aus welchen Gründen eine forensische Untersuchung beauftragt wird. Sollte das Mobiltelefon vor Ort entgegengenommen werden, sollte von der Örtlichkeit und dem Zustand des Gerätes ein Lichtbild gefertigt werden.
Identifikation Im zweiten Schritt werden die Gerätespezifikationen (z.B. Hersteller, Seriennummer, Modellnummer, Betriebssystem) festgestellt, sodass das Gerät eindeutig identifiziert werden kann. Wechseldatenspeicher und externe Datenspeicher sind zu identifizieren und gegebenenfalls mit zu sichern. Zudem muss geprüft werden, ob die rechtlichen Voraussetzungen für eine Untersuchung vorliegen. Auch muss bedacht werden, dass ein Mobiltelefon eine gute Oberfläche für Fingerabdrücke und andere biometrische Daten bietet. Diese Beweise sind vor der forensischen Untersuchung zu sichern. Die Ziele der Untersuchung müssen geklärt und schriftlich festgehalten werden.
Vorbereitung Bevor mit der eigentlichen Analyse begonnen werden kann, müssen Vorbereitungen getroffen werden. Es müssen entsprechende forensische Tools und Methoden ausgewählt und vorbereitet werden. Insbesondere ist auf den Einsatz neuester Technologien zu achten.
Isolation Das Beweisstück muss isoliert werden, damit nach der Sicherstellung des Gerätes keine Daten durch einen Fernzugriff gelöscht, hinzugefügt oder verändert werden können. Dies kann durch das Ausschalten des mobilen Netzwerks, von Bluetooth und WiFi ermöglicht werden.
Verarbeitung In dieser Phase ist die eigentliche forensische Arbeit anzusiedeln. Daten werden gewonnen und analysiert. Auch findet hier die Suche nach möglicher installierter Schadsoftware statt. Es ist auf anerkannte Methodik zu achten.
Überprüfung Die Datengewinnung, die Untersuchungen der erlangten Daten und die Untersuchungsergebnisse müssen verifiziert werden. Dies sollte durch den Einsatz mehrerer forensischer Programme geschehen. Erlangte Ergebnisse sollten verglichen und händisch verifiziert werden.
Dokumentation und Berichterstellung Arbeitsprozesse und Untersuchungsergebnisse müssen dokumentiert werden. Eine gerichtsverwertbare Dokumentation ist unabdingbar. Die einzelnen Arbeitsschritte und Ergebnisse müssen nachvollziehbar und wiederholbar sein.
Präsentation Die jeweiligen Beweismittel müssen gerichtsverwertbar aufbereitet sein und die Untersuchungsergebnisse müssen verständlich und nachvollziehbar präsentiert werden.
Archivierung Die Archivierung der Daten ist in zwei Hinsichten wichtig. Zum einen müssen die gewonnenen Daten aus den Untersuchungen sicher verwahrt werden, sodass sie nicht von Dritten eingesehen oder verändert werden können. Zum anderen muss die Möglichkeit in Betracht gezogen werden, dass die Daten erneut verwendet werden müssen, z. B. für eine gegebenenfalls erforderliche Nachuntersuchung oder zur Erstellung eines Zweitgutachtens.
