Smartphone Entschlüsselung

Jetzt kommen wir zur Verfassungsbeschwerde von Hendrik Thorner, das ist ein Journalist, den haben wir und auch RSF in der ersten Instanz zusammen unterstützt in einer Beschwerde vom Landgericht. Das Landgericht hat uns nur teilweise Recht gegeben und genau dann haben wir als GFF Hendrik Thorner auch noch bei der Verfassungsbeschwerde unterstützt. Hier muss man auch noch vielleicht kurz anmerken, dass das Handy auch von der SRF forensisch untersucht wurde.

Da kann Victor uns gleich nochmal ein paar Details nennen, das war sehr aufschlussreich. Aber jetzt erstmal kurz zum Sachverhalt. Im September 2023 hat Hendrik eine Demo begleitet.

Im Anschluss an der Demo hat er gesehen, wie eine Polizeimaßnahme gegen andere durchgeführt wurde. Er hat mit seinem Handy eine Sprachnachricht gemacht und die Polizei dabei aufgezeichnet, das Handy wurde beschlagnahmt. Drei Monate später wurde das Handy entsperrt, alle Daten ausgelesen und die Daten wurden auch ausgewertet.

Die Auswertung betraf zum einen die Chatnachrichten vom Tag der Demo, um die eine Sprachnachricht zu finden. Aber dann, was interessant ist und eigentlich auch sehr besorgniserregend, gab es noch einen zweiten Ermittlungsbericht. Dort wurden nämlich alle politischen Aktivitäten und Zugehörigkeiten von ihm mitdokumentiert.

Es wurden auch zahlreiche private Bilder und Videos und auch Kommunikationsinhalte gespeichert, also eigentlich ein politisches Profil angefertigt. Das hatte mit dem Strafverwurf wohl gar nichts mehr zu tun und ist rechtswidrig. Das Verfahren wurde dann tatsächlich auch knapp ein Jahr später eingestellt.

Der Grund war aber auch wieder etwas Formelles, und zwar, was man hier vielleicht wissen muss, das war wieder ein Vorwurf der Verletzung der Vertraulichkeit des Wortes und dafür müsste der betroffene Polizeibeamte eigentlich einen Strafantrag stellen. Innerhalb von drei Monaten, das hatte versäumt. Das ist wohl niemandem aufgefallen, deshalb wurde das Handy einfach noch weitere acht Monate einbehalten und dann erst zurückgegeben.

Kurz zum gerichtlichen Verfahren. Wir haben dann Beschwerde eingereicht. Das Landgericht hat uns nur teilweise Recht gegeben.

Das Landgericht hat genau die Sachen mit dem Strafantrag gesehen und die späteren acht Monate für rechtswidrig erklärt, aber die ersten drei Monate, also die ursprüngliche Beschlagnahme und auch den Datenzugriff für rechtmäßig. Im Juli 2025 haben wir dann Hendrik bei seiner Verfassungsbeschwerde unterstützt und diese eingereicht. Jetzt noch mal kurz die Kernargumente in der Verfassungsbeschwerde, ganz kurz, weil die Zeit uns davon läuft.

Die Frage war, ob diese Vorschrift aus dem Jahr 1877 ausreicht. Die Antwort ist definitiv nein. Es braucht eine eigenständige gesetzliche Grundlage mit gesetzlichen Schranken, die das Handeln von Polizei und Staatsanwaltschaft angemessen begrenzen.

Denn sonst würde ein tiefer Eingriff in die Privatsphäre immer da liegen und die Datenauswertung wird ja gerade auch sehr intransparent durchgeführt. Es gibt eine hohe Missbrauchsgefahr. Es gibt auch keine Beschränkungen auf schwere Straftaten, z.B. bei ähnlich schweren Maßnahmen wie dem Aufspielen vom Staatstrohnjagdner, bei einer Online-Durchsuchung, bei geheimen Überwachungsmaßnahmen.

Es gibt einen Straftatenkatalog im Gesetz. Bei der Beschlagnahme und der Datenauswertung fehlt das. Es gibt auch keinen Schutz besonders sensibler und privater Daten, z.B. wenn du sehr vertraulich mit Familienangehörigen kommunizierst oder auch tagebuchähnliche Aufzeichnungen oder Notizen hast.

Diese Daten werden auch nicht ausreichend geschützt. Das passt da gar nicht so richtig gut rein. Ich wollte nur ergänzen, wir haben uns das Handy forensisch angeguckt.

Im Polizeibericht stand schon drin, dass sie das mit Celebrite aufgemacht haben, das haben wir dann auch gesehen. Was vielleicht ganz interessant ist, was man da auch sieht, ist, dass das nicht nur ein Read-Only-Zugriff ist. Man konnte z.B. zeigen, dass die Einstellungen an dem Gerät durch diesen Prozess verändert wurden, was natürlich nochmal was ganz anderes ist, als dieses Symbol von, da war ein Zettel, den habe ich mir mal angeguckt.

Ich habe mal das Handy reingeguckt, weil das natürlich noch ein viel tieferer Eingriff ist und das vermutlich das auch schwieriger machen würde, wenn diese Person später nochmal mit anderer Spionagesoftware angegriffen wurde, das dann aufzuklären, weil hierdurch schon Spuren von so einer Kompromittierung entstanden sind. Das hat uns auch überrascht und war sehr spannend. Wir haben das in einem Bericht aufgeschrieben, der ist auf unserer Website, kann man sich den angucken.

Ich gebe dann später noch einen Ausblick, aber zusammenfassend kann man eigentlich genau sagen, dass es aktuell keine Rechtsgrundlage für diese Praxis gibt und die dann damit verfassungswidrig wäre. Jetzt noch zu ein paar internationalen Fällen. Ich dachte, wir bringen hier vielleicht noch ein paar, um das ein bisschen größer in größeren Kontext einzuordnen.

Es gibt einen Trend aktuell international, über die Beschlagnahmung von Geräten nicht nur an die Daten ranzukommen, sondern auch gerne das dann im nächsten Schritt Spionagesoftware aufzuspielen und da wollte ich euch jetzt einfach nochmal ein paar Fälle zeigen. Ein Fall war das Dinovi-Spy-Angriff, das ist in Serbien passiert. Das lief so ab, dass Leute in der Polizeiwache waren und dann wurde das Gerät beschlagnahmt und durch diesen Zugriff, der mit Celebrite entstanden ist, wurde da die Spyware installiert.

Das haben die Leute von Amnesty aufgearbeitet und veröffentlicht. Ein kleines bisschen anders sieht es bei dieser App aus. Ich glaube, mit Assistant spricht man das aus.

Da gab es ein Report von Lookout, das sind Android-Apps, das wurde von der Polizei installiert, um möglichst viele Daten aus dem Gerät rauszuziehen. Also es ist vielleicht so eine Art Celebrite-Lite, aber es ist auch wieder das Ding, die Polizei hat das Gerät, installiert da irgendwas und holt da Daten raus und anscheinend bleibt diese App auch oft auf den Geräten und hat relativ weitreichende Permissions. Das ist ein Angriff, den das Citizen Lab dokumentiert hat, auch gar nicht so lange her, ungefähr ein Jahr.

Das war ein Evil Twin von einer legitimen App eigentlich, die auf einmal aber ganz viele mehr Permissions hat, von einer russischen Firma entwickelt wurde, eingesetzt wird vom FSB und auch während einer Beschlagnahmung installiert wurde und das waren wir. Wir haben vor zwei Wochen veröffentlicht, dass wir eine Spyware vom KGB in Belarus, das ist ein Geheimdienst, gefunden haben und konnten auch das ganze Netzwerk zeigen, also welche anderen Samples wir gesehen haben, wo die C2-Server sind. Auch hier liegt es so, dass keine Sicherheitslücken ausgenutzt wurden, sondern die Polizei, der Geheimdienst, den PIN-Code kannte und damit in der Lage war, diese Android-App zu installieren und was ich eine insgesamt spannende Entwicklung finde, dass sich da wie so eine zweite Tier an Staatstreinern und Spyware aufmacht, die halt viel billiger in der Entwicklung sind, weil man einfach nur eine App schreiben muss und nicht dieses ganze Sicherheitslücken kaufen, das ganze Spiel spielen muss.

Die Zugriffe sind aber trotzdem sehr massiv, auf Android kann man über einen Accessibility-Service an sehr viele Daten rankommen und das ist auch hier genau passiert, gibt es auch einen Bericht online. Für den Ausblick. Jetzt kommt erstmal der juristische Ausblick.

Zusammenfassend kann man sagen, dass diese Praxis flächendeckend in Deutschland die Grundrechte gefährdet, vor allem sind das Eigentumsrecht betroffen und die Privatsphäre, aber es kann auch Chilling-Effekts beziehungsweise bezüglich der Meinungsfreiheit oder Versammlungsfreiheit haben, wenn Menschen sich nicht mehr darauf vertrauen können, dass sie vertraulich kommunizieren können, dass ihre Daten, auch sehr sensible Daten, von der Polizei ausgewertet und eingesehen werden können. Das hat auch der Europäische Gerichtshof erkannt. In einem österreichischen Fall hat er letztes Jahr entschieden, dass es für solche Datenzugriffe eine sehr ausdifferenzierte Rechtsgrundlage gibt.

Unter anderem müssen zum Beispiel die Straftaten auch gesetzlich festgeschrieben werden, bei denen es erlaubt sein soll, wo wir schon von Österreich sprechen. Dort hat auch letztes Jahr das Verfassungsgericht die dortigen Beschlagnahmevorschriften für Datenträger für verfassungswidrig erklärt. Dann gab es eine umfassende Neuregelung vom Nationalrat.

Dort wird inzwischen sehr detailliert geregelt, in welchen Fällen genau auf die Daten zugegriffen werden dürfen. Es gibt auch viele Dokumentationspflichten. Zum Beispiel müssen die Suchparameter ja auch dokumentiert werden.

Man kann auf jeden Fall aber auch sagen, dass auch diese Reform nicht ganz ausreichend ist im Prinzip, weil zum Beispiel der Datenzugriff bei sehr leichten Straftaten immer noch erlaubt wird. Vielleicht noch ein paar praktische Tipps. Ich hoffe, ihr kommt nicht in diese Situation.

Aber wenn, dann seid ihr auf jeden Fall richtig nicht verpflichtet, eure PIN herauszugeben, auch wenn die Polizei Druck macht, wenn es vorher keine gerichtliche Anordnung gibt, weil es zum Beispiel ein Eilfall war, dann solltet ihr auf jeden Fall der Beschlagnahme widersprechen und eine gerichtliche Entscheidung herbeiführen. Falls es eine gerichtliche Anordnung gab, dann kann man Beschwerde einlegen und man kann auch einen Antrag auf Herausgabe des Geräts stellen. Dort kann man sich vor allem auf zwei Sachen berufen.

Einmal, dass die Maßnahme an sich unverhältnismäßig war und auch, dass die Dauer zu lang ist und das Handy zügig zurückgegeben werden muss. Ja, ein Ausblick in die technische Zukunft und Gesamtsituation. Es kommt der Android Advanced Protection Mode.

Das ist ein Feature auf Android-Geräten. Das ist sowas wie der Lockdown-Mode auf iOS-Geräten, was zusätzliche Sicherheitsfeatures einschaltet. Da sind die gerade dabei, neue Features zu implementieren.

Und da kommen in Zukunft auch Sachen, die besser vor solchen Angriffen schützen. Prinzipiell, wie da schon steht, würden wir euch primär empfehlen, GrapheneOS zu benutzen, wenn es irgendwie geht. Und sonst, wenn es ein Android-Gerät sein soll, diesen Modus anzuschalten, weil dann der Schutz vor solchen Angriffen besser wird.

Und wenn ihr betroffen seid oder wenn ihr jemanden kennt, wo solche Tools angewendet wurden wie Celebrite, sagt denen gerne, dass sie sich bei Research Labs melden sollen, weil vielleicht finden wir auch raus, welche Sicherheitslücken da benutzt wurden und dann kann man die schließen und dann haben wir alle einen guten Tag. Prinzipiell kann man sagen, wenn es irgendwie geht, und das geht halt bei GrapheneOS, ist es eine sehr gute Idee, eine Zwei-Faktor-Kombination aus einem biometrischen Merkmal und einem Pin zu benutzen, weil dann kann zum einen, wenn euch jemand filmt, während ihr den Pin eingebt, kommt die Person nicht an das Handy ran. Und zum Zweiten, wenn jemand deinen Finger nimmt und da drauf hält, kommt die Person auch nicht an das Handy ran.

Deshalb ist das eigentlich, was wir wollen. Und der Obligatorische natürlich, meldet ZeroDays. Das ist ein Unding, Schwachstellen in Geheimen zu halten.

Und wenn ihr Freunde habt, die da auf den falschen Pfad geraten, guckt ihnen in die Augen und bringt sie auf den richtigen. Vielen Dank. Herzlichen Dank.

Erstmal herzlichen Dank. Und jetzt an den Mikrofonen. Ich sehe schon, dort stehen die Ersten am Mikrofon Nummer 3. Ja, danke.

Signal hat ja mal auch angekündigt, dass sie bei Celebrite eine Zero-Day-Lücke gefunden haben und sich vorgehalten, dort Dateien zu hinterlegen, die diese Lücke ausnutzen. Habt ihr davon nochmal was gehört? Nee, also ich würde mal davon ausgehen, dass Celebrite das jetzt gefixt hat. Vielleicht, vermutlich, keine Ahnung.

Das ist natürlich auch durchaus plausibel, dass in diesem Forensik-Tool Sicherheitslücken sind. Da weiß ich jetzt nichts Konkreteres zu. Danke.

So, dann Mikrofon Nummer 1, bitte. Erstmal danke für den Talk. Sind euch Fälle von Anwendungen von Greykey in Deutschland bekannt? Und wenn ja, was für Gerätetypen waren das? Mir so spontan keine.

Janik, weißt du was? Nee. Alles klar. Dankeschön.

Dann Mikrofon Nummer 4. Ja, vielen Dank für den interessanten Vortrag. Ich hätte eine Frage zu den Konsequenzen, wenn denn die Unrechtmäßigkeit der Beschlagnahme festgestellt wird. Es sind aber Daten schon gespeichert und ausgelesen.

Wie kann ich denn, also kann ich da überhaupt irgendwas gegen machen? Dürfen diese Daten trotzdem verwendet werden im Verfahren gegen mich? Und kann ich da zivilrechtlich vielleicht auch gegen Vorgehen, also Ersatzzahlung oder Entschädigung oder sowas, einklagen? Genau, also es gibt auf jeden Fall Löschungsansprüche und ja, grundsätzlich auch Schadensersatzansprüche. Da sind die Anforderungen aber ja etwas höher. Also da, genau, muss dann schon eindeutig verstehen, dass dann auch die Beschlagnahme genau von Anfang an rechtswidrig war.

Und die Daten an sich, genau, es kommt so ein bisschen drauf an. Also zum Beispiel dürfen die Strafverfolgungsbehörden eigentlich auch Zufallsfunde, die sie finden, auch weiterverwenden. Und genau nur, wenn sozusagen diese Daten dann nicht mehr akut für ein Strafverfahren gebraucht werden, müssten die dann gelöscht werden.

Dankeschön. Dann Mikrofon Nummer drei, bitte. Ja, danke.

Kurze Frage. Ich habe relativ viel jetzt über Android, Graphene OS und so gehört. Nicht, dass ich hinwechseln würde, aber wie ist es denn mit iOS schrägstrich iPhone? Also man weiß natürlich jetzt zum Beispiel von Celebrite, kennt man diese Support-Matrizen immer nur, wenn sie mal wieder frisch geleakt wurden.

Prinzipiell würde ich davon ausgehen, dass aktuelle iPhones da trotzdem aufgemacht werden können. Also das ist alles, was ich immer gehört habe. Bei Celebrite, die haben irgendwie so verschiedene Feature-Modelle und da gibt es irgendwie Advanced Services und Celebrite Premium.

Und aber prinzipiell, also würde ich davon ausgehen, dass die aktuelle iPhones aufkriegen. Wir haben noch Zeit für zwei Fragen. Ihr werdet ja im Nachgang gleich hier vorne noch für Fragen zur Verfügung stehen.

Ja, genau. Also ich meine, das müsst ihr auch eh sagen, aber ich glaube in diesem Saal passiert danach nichts. Wenn ihr neue wollt, kommt gerne gleich noch hier zu uns, wenn ihr irgendwie noch weitere Fragen habt.

Dann machen wir es wie folgt. Ich sehe da hinten kommt was aus dem Internet. Dann lasst uns kurz die Frage vom Internet schon mal vorziehen, weil ihr habt das Glück, ihr könnt gleich die Fragen stellen hier vorne.

Das Internet, wir wissen, was passiert, wenn man bei einer Beschlagnahme den Cops, den Durespin von Graphene OS zum Beispiel unterjubelt. Gibt es da rechtliche Konsequenzen? Das ist eine juristische Frage. Ich glaube, dazu kann ich jetzt konkret noch nichts sagen.

Achso, noch fünf Minuten. Ja, super. Dann einmal hinten, bitte.

Ja, meine Frage ist zum Signal Client Molly oder dem Fork von Signal Client. Ob der mehr zu empfehlen ist wie Signal, weil man da noch mal eine extra Verschlüsselung einstellen kann oder kann Signal das mittlerweile auch selber? Kann ich leider nichts zusagen. Sorry.

Dann darf noch mal das Internet rein, Gretchen. Das Internet will wissen, wenn Programme wie Celebrite nicht nur Read-Only Zugang zu kompromittierten Daten haben, zu kompromittierten Devices haben, verfälschen sie da nicht ihre eigenen Beweise? Kannst du die Frage noch mal vorlesen? Sorry. Wenn Programme wie Celebrite nicht nur Read-Only Zugang haben, kompromittieren sie damit nicht ihre eigenen Beweise? Ja, das ist das klassische Problem.

Die alte Denke der Forensik ist, ich habe da irgendeinen Datenträger und wir machen ein Image und wir fassen das nicht an. Und das funktioniert natürlich mit Handys gar nicht. Und das ist auch eine Sache, die man eigentlich massiv kritisieren könnte, sollte, müsste.

Das ist eigentlich sehr wackelig, wie das alles gebaut ist. Weil man benutzt irgendein Third-Party-Tool von irgendwo, von dem du nicht den Source-Code gesehen hast. Und da fällt eine ZIP-Datei raus.

Und dann muss man glauben, dass diese ZIP-Datei tatsächlich auch das Abbild von den Daten auf dem Handy sind. Aber wenn es was anderes wäre, hast du als betroffene Person keine Chance, das nachzuvollziehen, nachzuweisen. Und ja, das ist eigentlich großer Quatsch.

Ja, genau. Und das ist tatsächlich auch im Strafverfahren relevant. Genau, weil das ist eigentlich dann eine Blackbox, was konkret die Polizei mit den Daten macht, ob die Daten, die sie dann am Ende als Beweis verwerten will, wirklich eins zu eins dann wirklich so übereinstimmen und ob man denen so sehr vertrauen kann.

Ja, dann letzte Frage, Mikrofon 1, bitte. Ja, danke für den Vortrag. Eine Frage jetzt für die Praktiker.

Also, wenn ich das richtig mitnehme, das Handy ausschalten hilft, eine komplexe PIN haben hilft und nach vielleicht 10 Fehleingaben, dass das Handy sich selber wiped, hilft. Hilft irgendwas anderes? Ja, das hängt total vom Handy ab. Also, was ich vielleicht noch kurz sagen kann, es gibt unterschiedliche Ansätze von Forensik-Software, um die Sicherheitsmechanismen von Handys zu brechen.

Ein Ansatz kann sein, dass Sie das Handy zum Beispiel aufschrauben und die Geschwindigkeitsbeschränkung, wie oft man neue PINs raten darf, ausschalten und dann ganz schnell PINs durchprobieren können. Da hilft dann eventuell eine komplexe PIN. Das hängt vom Handy ab.

Das war jetzt der Vortrag von Davy Wang und Viktor Schlüter. Verschlüsselung brechen durch physischen Zugriff. Smartphonebeschlagnahme durch die Polizei.

Gehalten haben sie den am 39C3, also am Chaos Communication Congress. Ihr könnt unsere komplette Sendung nachhören auf unserer Webseite politopiamagazin.de. Dort findet ihr auch weitere Links, unter anderem einen Link zu dem Originalvideo des Vortrags. Wir freuen uns, dass ihr dabei wart und zugehört habt.

Wir hören uns wieder nächste Woche, Mittwoch, 16 Uhr, bei Radio X, dem Frankfurter Bürgerradio. Bis dann!