Frische USB-Sticks mit alten Daten
In neuen USB-Sticks steckt recycelter Flash-Speicher, wie Funde von Datenresten belegen.
Flash-Speicher in billigen USB-Sticks stammt im Allgemeinen aus der letzten Kette der Flash-Verwertung. Wenn der Speicher weder für SSDs noch für Smartphones oder Speicherkarten gut genug ist, lassen sich immer noch USB-Sticks daraus bauen. Der Speicher kann aber ebenfalls aus recycelten Smartphones stammen.
Im vergangenen Herbst fand ein schwedischer Laptop-Besitzer auf einem neuen USB-Stick das Foto eines chilenischen Führerscheins. Über Umwege gelangte die Information zu einem Sicherheitsforscher des schwedischen Forensik-Unternehmens MSAB, der eine Erklärung parat hatte: Der Speicher stamme wohl aus einem alten Smartphone. Zum gleichen Ergebnis kam eine Mitarbeiterin der National Police Agency Japan. Sie konnte anhand der Chip-Seriennummern den Weg des Speichers zurückverfolgen, wie sie auf der Sicherheitskonferenz DFRWS 2017 (Digital Forensic Research Workshop) Ende März erläuterte.
eMMC-Speicher aus Smartphones
Flash-Speicher kommt in Smartphones häufig in Form sogenannter eMMC-Chips zum Einsatz. Diese sind eigentlich Chip-Stapel und enthalten nicht nur den Flash-Speicher, sondern auch den Controller. Es handelt sich dabei um "Managed Flash", bei dem der Controller die eigentlichen NAND-Flashes verbindet und auch (ECC-)Fehlerkorrektur und Reservesektoren verwaltet. eMMC-Chips lassen sich mit Hilfe eines einfachen Lesegerätes auslesen – so hatten wir etwa im Rahmen unseres Datenrettungsschwerpunktes in c't 24/14 den Speicherinhalt eines defekten Nokia N8 retten können.
Sicherheitsbewusste Anwender setzen ihr Smartphones beim Verkauf auf den Werkszustand zurück – doch es ist nicht sicher, dass dabei keine Datenreste im Flash verbleiben. Zudem kann der Controller defekte Bereiche, die bei Flash üblich sind und keinen Grund zur Sorge bieten, nicht mehr löschen. Daher empfiehlt sich Vollverschlüsselung. Für hoch sensible Daten schreibt der Gesetzgeber sogar die Vernichtung des Datenträgers vor, etwa durch Schreddern.
eMMC zu USB
Es ist recht einfach, aus alten eMMC-Chips einen USB-Stick zu bauen; dazu ist lediglich ein eMMC-USB-Umsetzer notwendig, ähnlich einem Kartenleser für SD-Karten. Die Hersteller müssten die "neuen" USB-Sticks dennoch eigentlich noch einmal komplett löschen, aber das unterbleibt wohl in einigen Fällen.
Doch selbst wenn die Hersteller den Stick frisch formatieren, können theoretisch Datenreste aus dem Smartphone übrigbleiben. Forensiker mit entsprechender Ausstattung können die Chips öffnen und auf den rohen Flash-Speicher zugreifen und diese Reste so auslesen.
Rechtliche Probleme
Abgesehen vom technischen Problem – der Flash-Speicher könnte durchaus schon am Ende seiner Lebensdauer angekommen sein – wirft das Recycling aber auch rechtliche Probleme auf. So könnten sich Strafverfolgungsbehörden etwa nicht mehr sicher sein, dass auf einem USB-Stick gefundene Reste von illegalem Material, beispielsweise Kinderpornografie, auch wirklich vom aktuellen Nutzer des USB-Sticks stammen.
Mit einigem Aufwand lässt sich der Weg des eMMC-Chips manchmal zurückverfolgen, in einigen Fällen hilft die Seriennummer des Controllers weiter. Und so lässt sich eventuell der Besitzer eines "neuen" USB-Sticks entlasten, auf dessen Stick die Strafverfolgungsbehörden belastendes Material gefunden haben.
(ll)
