Apple hat mit iOS 18 offenkundig eine neue Sicherheitsfunktion eingeführt, die sowohl für Endnutzer als auch für Ermittler erhebliche Auswirkungen hat. Der sogenannte Inaktivitäts-Neustart (Inactivity Reboot) sorgt dafür, dass iPhones nach 72 Stunden ohne Entsperrung automatisch neu starten. Dies bringt sowohl Sicherheitsvorteile als auch neue Herausforderungen mit sich.
Was ist der Inaktivitäts-Neustart?
Ab iOS 18 rebooten iPhones automatisch, wenn sie 72 Stunden lang nicht entsperrt wurden. Der Neustart versetzt das Gerät in den Before First Unlock (BFU)-Zustand, in dem sämtliche Daten durch die Secure Enclave vollständig verschlüsselt bleiben. Erst nach Eingabe des Gerätecodes werden Daten teilweise zugänglich.
Laut Magnet Forensics wurde diese Funktion ohne öffentliche Ankündigung eingeführt und ist unabhängig von Netzwerk- oder Ladezuständen des Geräts. Dies bedeutet, dass weder Flugmodus noch Isolation in Faraday-Behältern den Neustart verhindern können.
Warum ist das relevant?
- Verbesserte Sicherheit für Endnutzer
Der automatische Neustart erschwert den Zugriff durch Diebe oder unerlaubte Dritte erheblich. Im BFU-Zustand sind selbst mit fortschrittlichen Forensik-Tools wie denen von Cellebrite kaum Daten zugänglich. - Problem für Strafverfolger
Ermittler stehen vor neuen Hürden. Einmal im BFU-Zustand, wird der Zugriff auf beschlagnahmte iPhones praktisch unmöglich, es sei denn, der Gerätecode ist bekannt. Dies betrifft insbesondere iPhones, die in einem „After First Unlock“ (AFU)-Zustand konfisziert wurden, da hier normalerweise mehr Daten zugänglich wären.
Unklare Dokumentation und Hypothesen
Apple selbst hat die Funktion bislang nicht offiziell bestätigt. Dies hat zu Verwirrung geführt – insbesondere bei US-Ermittlern, die zunächst spekulierten, dass andere iPhones den Neustart auslösen könnten. Diese Hypothese wurde jedoch widerlegt, da der Neustart auch in abgeschirmten Umgebungen wie Faraday-Boxen auftritt.
Herausforderungen für die Forensik
Die Forensik-Community muss sich anpassen:
- Zeitdruck bei der Datensicherung: Ermittler müssen Geräte schnellstmöglich analysieren, bevor sie in den BFU-Zustand wechseln.
- Erhöhte Komplexität der Analyse: Der Reboot wird in Log-Dateien dokumentiert, was Rückschlüsse auf den Zeitpunkt ermöglicht. Dennoch sind viele vorher zugängliche Daten verloren.
Ausblick
Mit der Einführung des Inaktivitäts-Neustarts setzt Apple seine Strategie fort, die Privatsphäre und Sicherheit seiner Nutzer zu stärken – mit erheblichen Auswirkungen auf die digitale Forensik. Die Funktion unterstreicht den wachsenden Konflikt zwischen Technologieunternehmen und Strafverfolgungsbehörden, bei dem es um den Schutz der Privatsphäre einerseits und die Sicherstellung von Beweismitteln andererseits geht.
Ermittler stehen vor der Herausforderung, neue Methoden zur Datenextraktion zu entwickeln, während Apple weiter daran arbeitet, seine Geräte und die Daten seiner Nutzer abzusichern.
- Steuerhinterziehung und Einziehung im Kontext von Cum-Ex-Geschäften - 2. Dezember 2024
- Abrechnungsbetrug und Scheingestaltungen - 2. Dezember 2024
- Verwertung der dienstlichen Erklärung der Sitzungsvertreterin der Staatsanwaltschaft - 2. Dezember 2024