Rechtsunsicherheit durch Datenreste auf neuen USB-Sticks

Flash-Speicher in billigen USB-Sticks stammt im Allgemeinen aus der letzten Kette der Flash-Verwertung. Wenn der Speicher weder für SSDs noch für Smartphones oder Speicherkarten gut genug ist, lassen sich immer noch USB-Sticks daraus bauen. Der Speicher kann aber ebenfalls aus recycelten Smartphones stammen, wie Funde von Datenresten nun belegen.

Im vergangenen Herbst fand ein schwedischer Laptop-Besitzer auf einem neuen USB-Stick das Foto eines chilenischen Führerscheins. Über Umwege gelangte die Information zu einem Sicherheitsforscher des schwedischen Forensik-Unternehmens MSAB, der eine Erklärung parat hatte: Der Speicher stamme wohl aus einem alten Smartphone. Zum gleichen Ergebnis kam eine Mitarbeiterin der National Police Agency Japan. Sie konnte anhand der Chip-Seriennummer den Weg des Speichers zurückverfolgen, wie sie auf der Sicherheitskonferenz DFRWS 2017 (Digital Forensic Research Workshop) Ende März erläuterte.

eMMC-Speicher kommt nicht nur in Smartphones zum Einsatz, sondern in vielen Geräten – etwa dem hier gezeigten HDMI-Stick.

Flash-Speicher kommt in Smartphones häufig in Form sogenannter eMMC-Chips zum Einsatz. Diese sind eigentlich Chip-Stapel und enthalten nicht nur den Flash-Speicher, sondern auch den Controller. Es handelt sich dabei um „Managed Flash“, bei dem der Controller die eigentlichen NAND-Flashes verbindet und auch (ECC-)Fehlerkorrektur und Reservesektoren verwaltet. eMMC-Chips lassen sich mit Hilfe eines einfachen Lesegerätes auslesen.

Sicherheitsbewusste Anwender setzen ihr Smartphones beim Verkauf auf den Werkszustand zurück – doch es ist nicht sicher, dass dabei keine Datenreste im Flash verbleiben. Zudem kann der Controller defekte Bereiche, die bei Flash üblich sind und keinen Grund zur Sorge bieten, nicht mehr löschen. Daher empfiehlt sich Vollverschlüsselung für jedes Smartphone und Tablet.

Es ist recht einfach, aus alten eMMC-Chips einen USB-Stick zu bauen; dazu ist lediglich ein eMMC-USB-Umsetzer notwendig, ähnlich einem Kartenleser für SD-Karten. Die Hersteller müssten die „neuen“ USB-Sticks dennoch eigentlich noch einmal komplett löschen.

Doch selbst wenn die Hersteller den Stick frisch formatieren, können theoretisch Datenreste aus dem Smartphone übrig bleiben. Forensiker mit entsprechender Ausstattung können die Chips öffnen und auf den rohen Flash-Speicher zugreifen und diese Reste so auslesen.

Das Recycling von eMMC-Chips ist zum einen ein technisches Problem, denn der Flash-Speicher könnte schon am Ende seiner Lebensdauer angekommen sein. Es wirft aber auch rechtliche Fragen auf. So könnten sich Strafverfolgungsbehörden etwa nicht mehr sicher sein, dass auf einem USB-Stick gefundene Reste von illegalem Material, beispielsweise Kinderpornografie, auch wirklich vom aktuellen Nutzer des USB-Sticks stammen. Forensikern und IT-Sicherheitsexerten ist das bekannt, aber bei der Polizei und den Staatsanwälten dürfte dazu noch etwas Überzeugungsarbeit notwendig sein.

Mit einigem Aufwand lässt sich der Weg des eMMC-Chips manchmal zurückverfolgen, in einigen Fällen hilft die Seriennummer des Controllers weiter. Und so lässt sich eventuell der Besitzer eines „neuen“ USB-Sticks entlasten, auf dessen Stick die Strafverfolgungsbehörden belastendes Material gefunden haben. (ll@ct.de)