Zahlreiche Smartphones hochrangiger oder ehemals hochrangiger Politiker und ihrer Bekanntschaften sind in der jüngeren Vergangenheit sichergestellt worden. Vor allem die Ermittlungen in der Causa Casinos Austria brachten die Lawine ins Rollen, bei denen Beamte die vielen Geräte mit brisanten Inhalten entdeckten. Die Enthüllungen illustrieren zugleich, wie mühelos digitale Kommunikation von Behörden ausgelesen werden kann, sofern sie über einen physischen Zugriff verfügen. Ein Überblick.

Frage: Wann dürfen Handys überhaupt beschlagnahmt werden?

Antwort: Im Regelfall geschieht das im Rahmen einer Hausdurchsuchung, bei der sämtliche Gegenstände gesichert werden, die für weitere Ermittlungen von Bedeutung sein könnten. Eine solche darf die Staatsanwaltschaft nur nach richterlicher Bewilligung anordnen. Sie wird nur erteilt, wenn es einen begründeten Verdacht für einen Fund gibt, der die Aufklärung einer Straftat voranbringen könnte. Ausgenommen, es wird Gefahr im Verzug vermutet, beispielsweise, die gesuchten Gegenstände könnten zuvor vernichtet werden. Dann darf die Kriminalpolizei eine Wohnung oder ein Haus auch ohne richterlichen Befehl durchsuchen.

Frage: Wie erfolgt der Zugriff?

Antwort: Hier gibt es mehrere Möglichkeiten. So sind Smartphones üblicherweise mit einem Code gesichert. Zunächst wird die verdächtigte Person dazu gebeten, diesen freiwillig vorzulegen. Das steht ihr nämlich frei zu – sie kann also auch ablehnen. Bei Politikern und parteinahen Verdächtigen wurde dieser Code in der Vergangenheit im Regelfall zur Verfügung gestellt – wenngleich die Daten häufig vorher bereinigt wurden. In diesem Fall können Beamte mit der Durchforstung des Geräts beginnen.

Frage: Wie werden die Daten ausgewertet?

Antwort: Für Strafverfolgungsbehörden sind Produktpaletten wie jene der Spionagefirmen Cellebrite oder AccessData wie verfrühte Weihnachten. Die Dienste des erstgenannten Unternehmens werden auch von der österreichischen Polizei in Anspruch genommen. Sie bieten unter dem Stichwort "digitale Forensik" unterschiedlichste Tools zum Eindringen in sämtliche gängige Betriebssysteme an. Dazu kommen Mittel, um den Speicher auf den Geräten effektiv zu durchforsten. Dabei werden die verschiedenen Datensätze etwa übersichtlich zur Verfügung gestellt, um eine effektivere Sichtung für die Beamten zu ermöglichen. Auch können Daten, die gelöscht wurden, aber noch im Flash-Speicher aufzufinden sind, wiederhergestellt werden – wobei das eine Frage des Glücks (oder Pechs) ist, da neue Daten wahllos gespeichert werden und dabei manchmal ältere überschreiben.

Frage: Gibt es Daten, die nicht durchsucht werden dürfen?

Antwort: Nein, erklärt die Juristin Angelika Adensamer, Überwachungsexpertin beim Wiener Zentrum für sozialwissenschaftliche Sicherheitsforschung (Vicesse). Die herrschende Rechtsmeinung sei, dass sichergestellte Geräte auch auf sämtliche Daten untersucht werden dürfen. Was nicht heiße, dass das unumstritten sei – "schließlich handelt es sich um eine Form der Überwachung und umgeht die Bestimmungen der Nachrichtenüberwachung". Wirklich vorausgesetzt – und somit für die Ermittlungen notwendig – seien nur Chats, die "sehr eng mit der Tat zusammenhängen", sagt Adensamer. Das wisse man aber wiederum erst, wenn man alle Daten gesichtet hat. Ein Problem dabei ist allerdings, wenn Daten unbeteiligter Dritter ausgewertet werden. Der Jurist Ewald Scheucher ortet eine fragwürdige Beweismittelverwertung.

Frage: Was ist, wenn der Sicherheitscode nicht zur Verfügung gestellt wird?

Antwort: Im Grunde genommen können die Tools des Unternehmens aktuell in jede Betriebssystemversion von iOS und Android eindringen. Hier werden sogenannte Zero Days genutzt, also Sicherheitslücken, die von Apple und Android noch nicht entdeckt und behoben wurden. Der einzige Haken: Da es sich hier um einen tiefgreifenden Eingriff handelt, der zum Hauptgeschäft derartiger Firmen gehört, ist dieses Vorgehen nicht gerade günstig. Mittlerweile dürfte der Preis für den Einbruch in ein Gerät stark gesunken sein und "nur" im fünfstelligen Bereich liegen. 2016 kostete die Entsperrung eines einzelnen iPhones das FBI noch stolze 900.000 Dollar. Daher wird, sofern möglich, von solchen Eingriffen zunächst abgesehen. Für das SIM-Karten-Swapping, also das Klonen einer existierenden SIM-Karte, um laufende Nachrichten auszulesen oder Zwei-Faktor-Authentifizierungen auszuhebeln, gibt es keine Rechtsgrundlage.

Frage: Gibt es Alternativen?

Antwort: Ein Beispiel aus der Realität liefern die Daten des Handys von Öbag-Chef Thomas Schmid – diese waren nicht mehr vollständig, als die Polizei Zugriff darauf erlangte. Die Ermittler entdeckten bei einer Hausdurchsuchung allerdings ein weiteres iPhone-Backup, auf dem noch ältere Informationen gespeichert waren. Auch das Google Drive oder die iCloud können rasch zur Schatztruhe für Ermittler werden, da viele Nutzer dort Backups ihrer Whatsapp-Chats speichern. Anders als der reguläre Nachrichtenverkehr sind die Sicherungen allerdings nicht verschlüsselt – weswegen die Kommunikation unbeeinträchtigt nachgelesen werden kann.

Frage: Apropos verschlüsselte Nachrichten – wie sieht es da aus?

Antwort: Ende-zu-Ende-verschlüsselte Kommunikation ist der Polizei und Nachrichtendiensten ein Dorn im Auge, da sie Spionage erschwert. So stellte der populäre, in der Vergangenheit vom NSA-Whistleblower Edward Snowden empfohlene Messenger Signal auch die Soko Tape vor Herausforderungen. Grundsätzlich gilt: Ist ein physischer Zugriff auf das Gerät möglich, dürften die Daten nicht mehr sicher sein. Schließlich kann die App einfach geöffnet und die Nachrichten aufgerufen werden. Der Messenger Signal bietet als Alternative an, die App nochmals anhand eines Codes zu sichern – doch erst im Dezember vermeldete etwa Cellebrite, dass man einen Weg gefunden habe, Nachrichten aus dem verschlüsselten Messenger nach einer lokalen Übernahme ebenso auszulesen. Tatsächlich auf der sicheren Seite sind Nutzer daher erst, wenn sie selbstlöschende Nachrichten aktivieren und so Chats endgültig entfernen.

Frage: Kann die Polizei ohne Handydurchsuchung auf Daten zugreifen?

Antwort: Einerseits ist es den Ermittlern möglich, sich selbst an die Plattformanbieter zu wenden – etwa an den Anbieter einer Cloud oder aber an einen Chatdienst, sofern die Nachrichten nicht verschlüsselt werden. Hierfür ist ebenso eine richterliche Bewilligung notwendig. Mobilfunker können zudem zu einer Inhaltsüberwachung verpflichtet werden, erklärt Adensamer. Diese muss allerdings im Vorhinein angeordnet werden und kann bis zu ein Jahr lang andauern. Dabei werden die SMS und Telefonate von Verdächtigen gespeichert und abgehört. Davon abgesehen speichern Telekomanbieter Stammdaten, die für die Verrechnung notwendig sind, sagt Adensamer. Das sind etwa der Name, die Anschrift und die Teilnehmernummer. Dabei können auch Zugangsdaten wie die IP-Adresse erfragt werden, sofern diese noch gespeichert sind. Statische IP-Adressen sind eindeutig zuordenbar, dynamische werden hingegen mehreren Teilnehmern zugewiesen, weswegen keine eindeutige Identifizierung möglich ist. Stattdessen sammeln Ermittler mehrere Indizien und gleichen sie ab – etwa den Browserverlauf am Smartphone.

Frage: Was ist nicht gestattet?

Antwort: Eine flächendeckende Vorratsdatenspeicherung gibt es nicht mehr, nachdem diese mehrfach vom EuGH gekippt wurde. Dabei handelt es sich um die verpflichtende längerfristige Speicherung bestimmter Daten wie Anrufprotokolle, Standortdaten und Einordnungen der genutzten IP-Adresse zu einem bestimmten Zeitpunkt – und die Weitergabe dieser Informationen an Behörden. Allerdings bemühen sich mehrere EU-Mitglieder auf EU-Ebene um eine Neuauflage der umstrittenen Überwachungsmethode. Ebenso fordern Staaten Hintertüren für Ermittler bei verschlüsselten Messengern, um Nachrichten auslesen zu können. Die ÖVP will zudem seit Jahren einen Bundestrojaner, also eine Spionagesoftware, die auf den Geräten von Verdächtigen installiert werden soll, einführen. Damit ist sie zuletzt 2019 vor dem Verfassungsgerichtshof gescheitert. (Muzayen Al-Youssef, 6.4.2021)