Die Extraktion wichtiger Daten von Android-Smartphones mithilfe einer App für Triage, Jannik Marwin Neth

Jannik Marwin Neth

Kurzfassung

Smartphones haben eine große Bedeutung für die digitale Forensik. Wegen der Fülle an mögli-chen Beweismitteln ist ein Smartphone, welches in einen Kriminalfall verwickelt ist, eines der interessantesten Ziele für einen Ermittler. Aber genau diese großen Mengen an Daten werden zunehmend problematischer: Hunderte Gigabyte pro Gerät sind heutzutage üblich. Das sorgt da-für, dass die Extraktion und die Analyse der Daten immer länger dauern. Mit steigenden Beweis-mittel Mengen steigt auch automatisch das Risiko, Beweise zu übersehen oder zwecks Mangel an Zeit nicht untersuchen zu können. Hierbei hilft die forensische Triage: Sie wird vor der voll-ständigen Extraktion eines Smartphones durchgeführt, um im Voraus bestimmen zu können, bei welchen Geräten sich die Untersuchung lohnt bzw. welche besonderen (Daten-)Bereiche dieser Geräte ermittlungstechnisch relevant sein könnten. Dieser wegweisende Effekt der Triage be-schleunigt die nachfolgenden Untersuchungen und kann besonders bei zeitkritischen Fällen zu entscheidenden Erfolgen führen. Deshalb soll im Rahmen dieser Arbeit für das LKA NRW (Lan-deskriminalamt Nordrhein-Westfalen) ermittelt werden, welche und wie viele Daten eines And-roid-Smartphones dem Forensiker direkt zugänglich gemacht werden können. Dazu wird eine App entwickelt, die die Daten in einem menschen- und maschinenlesbaren Format unmittelbar auf die forensische Workstation ausgibt. Unterschieden und verglichen wird dabei zwischen ei-nem gerooteten und einem nicht gerooteten Gerät.

Schlagwörter: Android, digitale Triage, Forensik, Live Forensik, Datenextraktion, Root, Triage-App

Abstract

Smartphones have a great importance for digital forensics. A large amount of potential evidence can be found on a smartphone involved in a criminal case, making them a prime target for inves-tigators. However, it is exactly these large amounts of data that are causing problems to arise: It is common for a smartphone’s memory to have capacities of hundreds of gigabytes. This means extracting and examining the data is going to take a longer time. With increasing amounts of evidence, the risk of overlooking information or not being able to examine it due to lack of time also increases. Forensic triage can provide help in this case: It is performed before fully extracting all the data from the smartphone to determine in advance which devices are worth investigating or which kinds of data could be relevant to the examination. Triage can accelerate subsequent investigations and is especially useful in cases where time is of the essence. Therefore, the aim of this bachelor thesis is to determine for the LKA NRW (Landeskriminalamt Nordrhein-Westfalen) which and how much data from an Android-smartphone can be made directly accessible to the forensic investigator. For this purpose, an app will be developed that outputs the extracted data immediately to the forensic workstation in a human- and machine-readable format. In this process, a differentiation and comparison will be made between a rooted and a non-rooted device.

Keywords: Android, digital triage, forensics, live forensics, data extraction, root, triage-app