Üblicherweise ist ein Smartphone durch einen Code gesichert, der aus Zahlen und/oder Buchstaben bestehen kann. Bei Smartphones mit Fingerabdruck- oder Gesichtserkennung ist die Entsperrung mittels Code-Eingabe als sekundäre Option möglich. Ist der Code nicht verfügbar, bestehen unter Umständen technische Möglichkeiten, das Smartphone dennoch zu entsperren. Eine Unlocking-Prozedur ist nicht nur für die Strafverteidiger von Interesse, denn mit der Digitalisierung werden immer mehr Daten und Anwendungen in den virtuellen Raum verschoben und die Unlocking-Prozedur entspricht dem Schlüsseldienst.
In diesem Artikel wird einstweilen die bekannteste Methode des "Passwort-Hackings" beleuchtet: das Bruteforce-Verfahren (von englisch brute force, also"rohe Gewalt"). Unter Bruteforce (auch Exhaustionsmethode) versteht man das einfache Ausprobieren aller möglichen Passwörter. Logischerweise ist bei diesem Vorgehen insbesondere die Passwortlänge und die verfügbaren Zeichen relevant. Bei reinen Zahlenpasswörtern, wie sie bei iOS vorkommen, stehen nur 10 Zeichen zur Verfügung, womit man bei einem 4- oder 6 Passwort eine Anzahl von 10^4 oder 10^6 Passwörtern ausprobieren müsste. Wir landen also bei einem sechsstelligen iPhone-Code bei einer Million möglicher Passwörter. Um der Bruteforce-Methode vorzubeugen, sind iPhones standardmässig so eingestellt, dass nach einer gewissen Anzahl von Falscheingaben eine Deaktivierung des Gerätes erfolgt.
Samsung setzt bei seinen Geräten hingegen auf einen hohen Passwortschutz. So sind etwa beim Samsung Galaxy S8 nicht nur Ziffern, sondern auch Buchstaben erlaubt. Es kommen damit also 26 weitere Zeichen hinzu (ohne ä, ö, ü). Zudem wird zwischen Gross- und Kleinschreibung unterschieden (sog. case-sensitivity), womit weitere 26 Zeichen hinzukommen. Bei der Nutzung von Zahlen, Gross- und Kleinbuchstaben landen wir bei insgesamt 62 verfügbaren Zeichen. Bei einem 6-stelligen Passwort wären es dann nicht 10^6 mögliche Passwörter, wie bei einem blossen Zahlen-Passwort, sondern 62^6, was dann nicht mehr eine Million, sondern 56,8 Milliarden mögliche Passwörter ergibt.
Die Passwortlänge beim iPhone beträgt 6 Zeichen. Beim Samsung Galaxy S8 sind sogar 16 Zeichen erlaubt. Wenn wir nun von einem Samsug Galaxy S8 mit einem Passwort von 14 Zeichen ausgehen (z.B. "GeborenDez1977"), so wären die Anzahl der möglichen Passwörter 62^14, was keine erfassbare Grösse mehr darstellt. Um diese Zahl einigermassen einschätzen zu können, setzen wir sie in eine Relation zur Zeit: Würde man eine unglaubliche Anzahl von 2,15 Milliarden Passwörter in der Sekunde generieren und ausprobieren können, würde das es mehr als 183 Millionen Jahre (genau: 183'124'811,3 Jahre) dauern, bis alle Varianten ausprobiert worden sind. Die Annahme von 2,15 Milliarden Passwörter pro Sekunde ist absurd hoch gegriffen und dient bloss der Veranschaulichung. Die Realität sieht ganz anders aus. Mit dem Produkt "XPin Clip" werden beispielsweise keine 2,15 Mia. Codes pro Sekunde ausprobiert, sondern es dauert dort 6,5 Sekunden für einen einzigen Code.
Das gängigste Tool bei Strafermittlern ist Cellebrite. Daneben gibt es Tools wie Oxygen, XRY, GrayKey, EFT, Octoplus, Odin+TWRP und unzählige Abkömmlinge. Die vorstehenden Ausführungen haben für sämtliche dieser Tool aktuelle Gültigkeit.
Dem Bruteforce-Verfahren kann daher nur bei einfachsten Codes mit bis zu einer Million Möglichkeiten intakte Erfolgschancen attestiert werden. Es kommt hinzu, dass die Anwendung vorerwähnter gängiger Tools keineswegs problemfrei ist. So kommt es durchaus vor, dass unter Umständen mehrere Durchläufe nötig sind, womit zeitliche Prognosen für ein Bruteforce-Verfahren faktisch kaum möglich sind. Ausserdem können die reinen Eingabe-Tools auch zu Veränderungen der Daten auf dem Gerät selber führen. Die Unlocking-Prozedur müsste daher präzis dokumentiert und aufgezeichnet werden, damit sichergestellt werden kann, dass diese Prozedur zu 100% nach dem Goldstandard durchgeführt wurde. Falls dies nicht mit dieser gebotenen Seriosität erfolgt, verlieren die Daten gemäss der hier vertretenen Auffassung ihre Beweiskraft. Diese Frage der Beweiskraft von Daten nach Bruteforce-Verfahren ist unter Experten zu Recht stark umstritten.
In Strafuntersuchungen wird eine noch andauernde Prozedur zur Öffnung und Auswertung des Smartphones gerne und oft als Grund für die Untersuchungshaft angeführt. Ohne verständliche Informationen über die zum Einsatz gelangenden Technik liegt aber bei allen beteiligten Juristen eine mangelhafte Entscheidungsgrundlage vor. Anstelle einer Beschreibung der Unlocking-Prozedur mit nachfolgenden Erwägungen zur Verhältnismässigkeit erfolgt nicht selten eine unzulässige Abkürzung direkt zum Verweis auf die Strafprognose im Urteilsfalle. Die eigentliche Frage wird also mit Verweis auf eine andere Voraussetzung nicht behandelt, womit eine Ermessensunterschreitung und damit ein qualifizierter Ermessensfehler vorliegt.
Die derzeitige Intransparenz bei den Unlocking-Prozeduren ist beispiellos. Es wäre m.E. die Aufgabe der beigezogenen Experten, ihre Arbeit und die zum Einsatz gelangenden Mittel verständlich zu erklären und alle Abläufe detailliert zu protokollieren. Der Verfasser erlebt allerdings die gegenteilige Tendenz, indem anlässlich einer staatsanwaltschaftlichen Einvernahme unter Beizug des polizeilichen Sachbearbeiters (Digitale Forensik/Ermittlungen) der Unlocking-Prozess mit der knappen Information erklärt wurde, dass es im konkreten Fall nur eine Frage der Zeit sei, bis man den richtigen Code finde. Das war mathematisch nicht falsch, doch ergab die Berechnung dieser Zeit mehr als 100 Millionen Jahre.