Ein Mitarbeiter verlässt das Unternehmen, ein Diensthandy taucht nach einem Außentermin mit leerem Akku auf oder ein Firmengerät war unbeaufsichtigt in einem Hotelzimmer. Solche Situationen klingen banal, können aber den Auftakt zu einem ernsthaften Datenleck bilden. Mobile Forensik ist die systematische Methode, um in diesen Fällen Klarheit zu schaffen, bevor Spekulationen den Schaden vergrößern.
Was mobile Forensik bedeutet und was sie von IT-Sicherheit unterscheidet
Mobile Forensik bezeichnet die gerichtsverwertbare Sicherung, Extraktion und Analyse digitaler Daten von mobilen Endgeräten. Entscheidend ist das Wort „gerichtsverwertbar“: Eine einfache Datensicherung durch die interne IT-Abteilung reicht nicht aus, wenn die Erkenntnisse später in einem arbeitsrechtlichen oder strafrechtlichen Verfahren verwendet werden sollen. Die Forensik arbeitet mit dokumentierten Hashwerten, lückenlosen Chain-of-Custody-Protokollen und zertifizierten Werkzeugen wie Cellebrite UFED oder Oxygen Forensic Detective.
Der Unterschied zur klassischen IT-Sicherheit liegt im Ziel. Während Sicherheitssoftware Angriffe abwehren soll, rekonstruiert die Forensik, was bereits geschehen ist. Beide Disziplinen ergänzen sich, ersetzen sich aber nicht gegenseitig.
Typische Anzeichen für ein kompromittiertes Gerät
Nicht jeder ungewöhnliche Akkuverlust deutet auf Spionagesoftware hin. Dennoch gibt es Muster, die eine genauere Untersuchung rechtfertigen:
- Unbekannte Prozesse, die dauerhaft im Hintergrund laufen und Mobilfunk- oder WLAN-Verbindungen aufbauen
- Unerklärlicher Datenverbrauch von mehreren Hundert Megabyte pro Tag ohne aktive Nutzung
- Das Gerät wird warm, obwohl der Bildschirm ausgeschaltet ist
- Nachrichten werden als gelesen markiert, bevor der Nutzer sie geöffnet hat
- Kamera-LED leuchtet kurz auf, ohne dass eine App bewusst gestartet wurde
Keines dieser Signale ist für sich allein ein Beweis. Sie sind Hinweise, die den Anfangsverdacht für eine forensische Untersuchung begründen können. Gerade Stalkerware und kommerzielle Überwachungssoftware sind darauf ausgelegt, unauffällig zu bleiben, weshalb viele Infektionen Monate unbemerkt bleiben.
Der forensische Prozess Schritt für Schritt
Eine seriöse Untersuchung folgt einem klaren Ablauf. Abweichungen davon können die Beweissicherheit zerstören.
Gerät sichern, ohne es zu verändern
Als erstes wird das Smartphone in einem Faraday-Beutel isoliert. Dieser schirmt alle Funksignale ab, sodass keine Fernlöschung oder Fernsteuerung möglich ist. Danach erstellt der Forensiker einen bit-genauen Image-Klon des Gerätespeichers. Alle weiteren Analysen laufen ausschließlich gegen dieses Image, nie gegen das Originalgerät.
Datenextraktion und Auswertung
Je nach Gerätehersteller, Betriebssystem und vorhandenen Sicherheitsfunktionen stehen verschiedene Extraktionsmethoden zur Verfügung: von der logischen Extraktion über die Dateisystem-Extraktion bis hin zur physischen Extraktion auf Chipebene. Letztere ist aufwändig, liefert aber auch gelöschte Daten, die das Betriebssystem nicht mehr anzeigt. Dabei können Kommunikationsdaten, App-Logs, Standortverläufe, Zugangsdaten im Keystore und installierte Profile ausgewertet werden.
Einen strukturierten Überblick über digitale Beweismittel und deren rechtlichen Rahmen bietet das Wikipedia-Artikel zur digitalen Forensik, der auch mobile Systeme behandelt.
Rechtliche Rahmenbedingungen in Deutschland
Forensische Untersuchungen an Mitarbeitergeräten sind rechtlich heikel. Arbeitgeber dürfen nicht unbegrenzt auf Diensthandys zugreifen, auch wenn sie Eigentümer der Hardware sind. Entscheidend ist, ob das Gerät ausschließlich dienstlich oder auch privat genutzt werden durfte. Erlaubt die Unternehmensrichtlinie private Nutzung, unterliegt das Gerät einem stärkeren Schutz, und der Arbeitgeber bewegt sich schnell im Bereich des Paragrafen 202a Strafgesetzbuch, der das Ausspähen von Daten unter Strafe stellt.
Kluge Unternehmen regeln den Umfang möglicher Gerätekontrollen bereits im Arbeitsvertrag oder in einer Betriebsvereinbarung. Der Betriebsrat muss bei der Einführung technischer Überwachungsmaßnahmen einbezogen werden. Eine forensische Untersuchung ohne diese Grundlagen kann im Ernstfall als Beweisverwertungsverbot enden und das Verfahren gefährden.
Externe Spezialisten und Abwehrmaßnahmen kombinieren
Viele mittelständische Unternehmen verfügen intern nicht über das nötige Fachwissen für mobile Forensik. Die Beauftragung externer Spezialisten ist in solchen Fällen sinnvoller als ein improvisierter Eigenzugang. Besonders in Regionen mit dicht gedrängter Unternehmensstruktur, etwa im Großraum Stuttgart, gibt es auf Unternehmensschutz spezialisierte Dienstleister: Wer konkrete Beratung vor Ort sucht, kann beispielsweise nach Abhörschutz Sindelfingen suchen, um sowohl forensische Untersuchung als auch präventive Abwehrmaßnahmen aus einer Hand zu erhalten.
Forensik und Prävention gehören zusammen. Ein kompromittiertes Gerät zeigt meist, dass an anderer Stelle eine Schutzlücke bestand, etwa durch fehlende Mobile Device Management (MDM) Systeme, schwache Bildschirmsperren oder das Fehlen von App-Whitelists.
Präventive Maßnahmen, die Forensik-Aufwand reduzieren
Wer vorausschauend handelt, spart im Ernstfall Zeit und Kosten. Folgende Maßnahmen gelten in der Praxis als Basisstandard für Firmengeräte:
- MDM-Lösung mit Remote-Wipe-Funktion, die sofort nach Verlustmeldung greift
- Verschlüsselung des gesamten Gerätespeichers, bei aktuellen Android- und iOS-Versionen standardmäßig vorhanden
- Konsequente App-Kontrolle: nur genehmigte Apps aus unternehmenseigenem App-Katalog
- Regelmäßige Überprüfung installierter Konfigurationsprofile, besonders nach Reisen in Risikoländer
- Schulungen für Mitarbeiter zu Phishing-SMS (Smishing) und gefälschten QR-Codes
Das Bundesamt für Sicherheit in der Informationstechnik gibt hierzu praktische Empfehlungen heraus. Die Grundschutz-Bausteine des BSI decken mobile Endgeräte gesondert ab und sind für Unternehmen jeder Größe kostenlos zugänglich.
Fazit: Verdacht allein reicht nicht
Ein kompromittiertes Geschäftshandy ist kein Kavaliersdelikt. Es kann Geschäftsgeheimnisse, Kundendaten und persönliche Informationen preisgeben, für die das Unternehmen nach der DSGVO haftet. Gleichzeitig sind vorschnelle Maßnahmen ohne forensischen Standard kontraproduktiv: Wer Beweise unsauber sichert, kann sie im Verfahren nicht verwenden.
Der richtige Ansatz verbindet sofortiges Handeln mit methodischer Sorgfalt. Gerät isolieren, Experten hinzuziehen, rechtliche Grundlagen prüfen und anschließend die Erkenntnisse für bessere Schutzmaßnahmen nutzen. Dieser Dreischritt aus Erkennen, Untersuchen und Absichern ist keine Einmalaufgabe, sondern ein laufender Prozess in jedem Unternehmen, das mobile Geräte im Einsatz hat.
