Handy-Forensik: Ablauf, Beweissicherung und Methoden (2025)

CyberLord Forensics Team

Handy-Forensik: Ablauf, Beweissicherung und Methoden (2025)

In unserer Hosentasche tragen wir unser ganzes Leben spazieren. E-Mails, Chatverläufe, GPS-Standorte, Fotos – ein Smartphone ist heute das wichtigste Beweisstück bei fast jedem Kriminalfall oder zivilrechtlichen Streit.

Doch was passiert, wenn man genau diese Beweise benötigt, sie aber "gelöscht" wurden?

Hier kommt die Mobile IT-Forensik ins Spiel. Anders als im Fernsehen, wo ein Nerd in 30 Sekunden "drin" ist, ist echte Forensik eine Wissenschaft. Sie erfordert spezialisierte Hardware, juristisches Know-how und strikte Prozesse, damit die Beweise vor Gericht (oder im Scheidungsverfahren) Bestand haben.

Dieser Leitfaden erklärt, was 2025 technisch möglich ist, wie eine Untersuchung abläuft und welche rechtlichen Hürden in Deutschland gelten.

Was ist Mobile Forensik eigentlich?

Mobile Forensik ist der Prozess der Sicherung, Analyse und Dokumentation von digitalen Beweisen auf mobilen Endgeräten (Smartphones, Tablets, GPS-Geräte).

Der entscheidende Unterschied zur "Datenrettung" ist die Gerichtsverwertbarkeit.

  • Ein Datenretter will Ihnen nur Ihre Urlaubsfotos zurückgeben.
  • Ein Forensiker muss beweisen: Wann wurde das Foto gemacht? Mit welchem Gerät? Wurde es nachträglich manipuliert? Wer hat es versendet?

Die 3 Goldenen Regeln der Forensik

  1. Verändere niemals direkt das Original: Es wird immer eine exakte Kopie (Image) erstellt.
  2. Dokumentiere jeden Schritt: Wer hat das Gerät wann berührt? (Chain of Custody).
  3. Reproduzierbarkeit: Ein anderer Experte muss mit den gleichen Methoden zum gleichen Ergebnis kommen.

Welche Daten können (wirklich) wiederhergestellt werden?

Die Technologie 2025 ermöglicht uns tiefe Einblicke. Selbst wenn ein Nutzer auf "Löschen" drückt, sind die Daten oft noch da.

1. Gelöschte Kommunikation

  • WhatsApp / Telegram / Signal: Wir analysieren die lokalen SQLite-Datenbanken auf dem Gerät. Oft finden wir sogenannte "tote Datensätze" (gelöscht, aber noch nicht überschrieben) im freien Speicherplatz.
  • SMS & Anruflisten: Diese sind oft am einfachsten wiederherzustellen, da sie tief im System verankert sind.

2. Standortdaten (Geotracking)

Auch wenn GPS ausgeschaltet war, speichert das Telefon oft Standorte:

  • WLAN-Verbindungen: Das Telefon merkt sich, wo es zuletzt eingeloggt war.
  • Foto-Metadaten (EXIF): Jedes Foto hat meist einen Geotag.
  • Systemprotokolle: Apple iOS und Android protokollieren im Hintergrund "Signifikante Orte".

3. Multimedia

  • Gelöschte Fotos und Videos (auch aus dem "Zuletzt gelöscht" Ordner).
  • Sprachnachrichten.

4. Internetaktivität

  • Browserverlauf (auch Inkognito-Spuren im RAM oder Cache).
  • Google-Suchanfragen.
  • App-Nutzungszeiten (Wann wurde Tinder geöffnet?).

Die 3 Stufen der Extraktion

Nicht jede Untersuchung ist gleich tief. Je nach Gerätetyp (iPhone vs. Android) und Budget gibt es drei Methoden.

Level 1: Logische Extraktion (Schnell)

Hierbei "fragt" die Forensik-Software das Betriebssystem höflich nach den Daten.

  • Was man bekommt: Kontakte, SMS, vorhandene Bilder.
  • Was fehlt: Gelöschte Daten.
  • Dauer: 2-4 Stunden.

Level 2: Dateisystem-Extraktion (Mittel)

Wir nutzen Sicherheitslücken im Betriebssystem (Exploits), um vollen Lesezugriff auf alle Dateien zu bekommen.

  • Was man bekommt: Datenbanken von Apps (WhatsApp), Systemlogs.
  • Vorteil: Man sieht auch versteckte Dateien.

Level 3: Physikalische Extraktion (Tief)

Die Königsklasse. Wir kopieren den rohen Speicherchip (Bit-für-Bit).

  • Was man bekommt: ALLES. Auch Fragmente von Daten, die vor Monaten gelöscht wurden.
  • Nachteil: Sehr zeitaufwendig und technisch bei modernen iPhones (aufgrund starker Verschlüsselung) oft unmöglich, wenn der PIN-Code unbekannt ist.

Rechtliche Aspekte in Deutschland (DSGVO & Co.)

Technisch können wir vieles. Aber dürfen wir es auch?

Fall A: Das Handy gehört Ihnen

Sie haben das volle Recht, Ihr eigenes Eigentum untersuchen zu lassen, egal ob Sie gelöschte Fotos suchen oder wissen wollen, ob Spyware installiert ist.

Fall B: Firmentelefon (Mitarbeiterüberwachung)

Hier wird es heikel.

  • Private Nutzung verboten? Wenn im Arbeitsvertrag steht, dass das Handy ausschließlich beruflich genutzt werden darf, darf der Arbeitgeber (bei Verdacht auf Straftaten) oft zugreifen.
  • Private Nutzung erlaubt? Dann gilt das Fernmeldegeheimnis. Der Arbeitgeber darf nicht einfach E-Mails oder Chats lesen, selbst wenn das Gerät der Firma gehört. Das wäre eine Straftat (§ 206 StGB).
    • Lösung: Sie brauchen die schriftliche Einwilligung des Mitarbeiters oder müssen die Betriebsvereinbarung genau prüfen.

Fall C: Partner / Ehegatte

Einen Partner "heimlich" forensisch zu untersuchen, um Ehebruch zu beweisen, ist in Deutschland illegal (Ausspähen von Daten, § 202a StGB). Wir führen solche Aufträge ohne Eigentumsnachweis nicht durch.

Ablauf einer Untersuchung bei Cyberlord

Wenn Sie uns ein Gerät zur Analyse übergeben, folgt der Prozess strikten Standards.

  1. Vorgespräch: Was suchen wir? (Betrug, Malware, Untreue-Beweise legaler Art?).
  2. Chain of Custody (Beweiskette): Das Gerät wird eingecheckt, fotografiert und in einen "Faraday-Beutel" (blockiert Funksignale) gepackt, damit niemand von außen Daten löschen kann (Remote Wipe).
  3. Klonen: Wir erstellen eine 1:1 Kopie. Die Analyse findet an der Kopie statt, das Original bleibt unberührt.
  4. Analyse: Unsere zertifizierten Experten (Cellebrite / Oxygen Certified) durchsuchen den Datensatz.
  5. Bericht: Sie erhalten einen verständlichen Abschlussbericht (PDF) und auf Wunsch alle extrahierten Daten auf einem USB-Stick.

Wann lohnt sich eine Forensik?

Professionelle Forensik kostet Geld (oft ab 1.500 € aufwärts). Wann ist es das wert?

  1. Wirtschaftsspionage: Ein Mitarbeiter verlässt die Firma und nimmt Kundenlisten mit zu Konkurrenz. Forensik kann beweisen, wann er die Daten auf einen USB-Stick kopiert hat.
  2. Stalking / Cybermobbing: Beweissicherung von Drohnachrichten für eine polizeiliche Anzeige.
  3. Erbstreitigkeiten: Klärung des digitalen Nachlasses.
  4. Malware-Verdacht: Wenn Sie glauben, dass Ihr Handy mit professioneller Spyware (z.B. Pegasus) infiziert ist. Virenscanner finden diese oft nicht, Forensiker schon.

Fazit

Handy-Daten sind flüchtig. Wenn Sie einen Vorfall vermuten:

  1. Schalten Sie das Gerät in den Flugmodus. (Verhindert Fernlöschung).
  2. Ändern Sie nichts. Versuchen Sie nicht, selbst "nachzuschauen". Jeder Start einer App verändert Zeitstempel und zerstört Beweise.
  3. Kontaktieren Sie Experten.

Bei Cyberlord kombinieren wir modernste forensische Tools mit juristischer Expertise, um Ihnen Gewissheit zu verschaffen – diskret und gerichtsfest.

Jetzt unverbindliche Beratung anfordern

Überblick

Wichtige Entscheidungen, Risiken und Umsetzungsmaßnahmen zu diesem Thema.