Was sind Funkzellen?
Eine Funkzelle ist der Bereich, in dem das von einer Sendeeinrichtung eines Mobilfunknetzes gesendete Signal empfangen und fehlerfrei decodiert werden kann. jede Funkzelle hat eine Cell-ID.
Funkzellen sind planmäßig Sechsecke (Hexagone). Die reale Ausdehnung einer Funkzelle hängt jedoch von örtlichen Faktoren ab. Jede Funkzelle besitzt einen Sendemast mit mehreren Antennen. Jede dieser Antennen versorgt einen Teil der Funkzelle.
Was sind Netzbetreiber?
Netzbetreiber (engl. MNO) errichten und betreiben die notwendige Infrastruktur für ein eigenes Mobilfunknetz. Mit dem Netz können sich mobile Endgeräte verbinden und Daten austauschen. Sie besitzen Lizenzen und erworbene Rechte zur Nutzung bestimmter Funkfrequenzen. Sie sind demnach gleichzeitig Mobilfunkanbieter und stellen die auf Basis ihres Mobilfunknetzes realisierten Leistungen ihren Endkunden zur Verfügung.
Beschreibe die Teilnehmeridentifikation bei SIM-Karten, Telefonnummern und IMEI.
Die SIM-Karte (Subscriber Identity Module) identifiziert den Teilnehmer gegenüber den Netzbetreibern. Die programmierbare eSIM löst langfristig die klassische SIM-Karte ab.
Die Telefonnummer identifiziert den Teilnehmer gegenüber anderen Telefonnetzteilnehmern.
Die IMEI identifiziert das Endgerät gegenüber dem Netz.
Was sind IMSI, IMEI, ICCID und MSISDN?
IMEI: International Mobile Equipment Identity - Eindeutige Identifikationsnummer von Endgeräten
IMSI International Mobile Subscriber Identity - Eindeutige ID eines Mobilfunk-teilnehmers, wird auf der SIM-Karte gespeichert
ICCID Integrated Circuit Card ID - Seriennummer der SIM-Karte
MSISDN Mobile Station ISDN Number – die weltweit eindeutige Rufnummer, jeweils einer SIM-Karte zugeordnet
Welche Daten fallen an, wenn ein Gerät in der Funkzelle aktiv ist? (aktiv/passiv und weitere)
aktiv: Telefonat, Kurznachricht
passiv: automatische Aktualisierung von Apps
Verkehrsdaten und Standortdaten
Wie werden Standortdaten abgefragt bei bekanntem/ unbekanntem Täter?
Täter bekannt: Abfrage, ob oder in welcher Telefon- oder Gerätenummer in der Funkzelle befand
Täter unbekannt: Funkzellenabfrage zur Erlangung von ersten Informationen
Welche Maßnahmen werden zur Handyortung eines aktiven Teilnehmers getroffen?
· Ermittlung Funkzelle (COO: Cell of origin)
· Dezernat 25 beim LKA verständigen
· Falls Mobilfunknummer (MSISDN) bekannt = Mobilfunknetz ermittelbar
· Per Faxvordruck wird anschließend über den Mobilfunknetzbetreiber Standort ermittelt
· Firmen mit Nutzungsrechten am Mobilfunknetz (z.B. Aldi Talk) sind nicht relevant
Welche Maßnahmen werden zur Handyortung eines nicht-aktiven Teilnehmers getroffen?
Stille SMS
Was ist die sogenannte „Stille SMS“?
SMS ohne Text, die für den Empfänger unerkannt bleibt. Falls das Endgerät eingeschaltet wird, erhält der Mitarbeiter TKÜ-CC (Dez. 25) sofort eine Empfangsbestätigung.
Falls das Endgerät ausgeschaltet ist, wird die SMS im SMS-C zwischengespeichert und beim Einschalten erfolgt die Empfangsbestätigung.
Faxvordruck an Netzbetreiber zur Standortabfrage, Ergebnis: LAC + Cell-ID.
Eingabe in FIS = Bereich in dem sich Handy zu Zeitpunkt des Empfangs der Stillen SMS befand. Wiederholung des Verfahrens: Bewegungsprofil
Bei Standort des Mobiltelefons im Ausland = Auskunft über Staat und ausländisches Netz.
Welche Nachteile gibt es bei einer stilllen sms?
· Ausgeschaltete Mobiltelefone können nicht geortet werden
· Größe der Funkzelle
· Abstand zw. Mobiltelefon und BTS könnte mit sog. Time-Advance Parameter genauer abgeschätzt werden, wird aber in Deutschland nicht angewendet.
Erkläre die Funktionsweise des IMSI-Catchers.
· IMSI-Catcher wird in Bereich der Funkzelle verlegt
· Funkzelle mit hoher Sendeleistung wird generiert.
· Mobiltelefone in der Umgebung (Radius ca. 500m ländlicher Bereich) versuchen Zellwechsel zu IMSI-Catcher Funkzelle
· Alle IMSIs außer die der vermissten Person werden abgewiesen
· Mobiltelefon mit gesuchter IMSI wird Anmeldung erlaubt.
· Zellwechsel zum eigentlichen Mobilfunknetz wird durch Steuerbefehle verhindert.
· Ständige, nicht angezeigte Verbindung wird zwischen IMSI-Catcher und Mobiltelefon aufgebaut und Signalstärke wird gemessen à Annäherung an Mobiltelefon auch mittels Peilung
Welche Voraussetzungen müssen für den Einsatz vorliegen?
· IMSI, IMEI oder Mobilfunkrufnummer muss bekannt sein (Angehörige)
· Mobiltelefon muss eingeschaltet sein (Stille SMS)
· Keine aktive Verbindung des Teilnehmers
· Ungefährer Aufenthaltsort muss bekannt sein. (Ortung Funkzelle)
Welche Nachteile hat der IMSI-Catcher?
· Während „Blind Call“ keine Verbindung des Mobiltelefons möglich (auch nicht für Notruf)
· Geringe Reichweite des IMSI-Catchers à lange Ortung in großen Funkzellen
· Personen, die sich schnell fortbewegen (Auto) können nicht geortet werden.
· AKKULAUFZEIT in heutigen Smartphones begrenzt!
Nenne die 10 grundlegenden Maßnahmen im Ablauf.
1. Einwirken auf Beteiligte, die Mobilfunknummer nicht mehr anzurufen
2. Kontaktdaten feststellen (Mobilfunknummer, IMEI, IMSI)
3. Wer ist der zuständige Netzbetreiber (T-Mobile, O2 oder Vodafone)?
4. Anruf der Mobilfunknummer durch die Eltern in unserem Beisein (letztmalig)
5. Beim zuständigen Amtsgericht Beschluss erwirken i.d.R. telefonisch (alt. LvD)
6. Wenn Gerät NICHT eingebucht ist: Stille SMS über Dezernat 25 / LKA – per Formular im Intrapol beantragen
7. Anfrage beim zuständigen Netzbetreiber durch den PvD per Tel./Fax – Bei welcher Mobilfunk Basis-Station ist das Mobiltelefon aktuell/war zuletzt eingebucht?
8. Netzbetreiber liefert die GEO-Koordinaten
9. Ausdehnung der Funkzelle feststellen à FIS.rlp (durch den PvD)
10. Ggfs. Einsatz IMSI Catcher anfordern
Welche Maßnahmen können getroffen werden bei Warenbetrug auf unbekannter Verkaufsplattform?
· WHOIS Abfrage beim Betreiber der TLD
· Ermitteln der IP-Adresse des Rechners, der die Webseite bereitstellt.
· Welcher Hosting Provider betreibt die Webseite bzw. stellt diese bereit?
· Ermitteln der IP-Adresse des Server von fairmondo.de (DNS-Lookup)
· Zu welchem Hosting Provider gehört die IP -Adresse?
Was ist der DDOS-Schutz und welche Schwierigkeiten gibt es hierbei anhand von Cloudflare?
Anbieter wie Cloudflare bieten als Dienstleistung einen sogenannten DDoS-Schutz. Der eigenen Webserver soll so vor Angriffen wie Distributed Denial of Service geschützt werden. Hierzu wird der Domain-Eintrag vom eigenen Server auf die Firewall von Cloudflare umgeleitet.
Alle Anfragen an den Server enden an der Firewall von Cloudflare – es sieht so aus als würde die Firewall die Anfrage direkt beantworten. Tatsächlich wird die Anfrage unsichtbar an den tatsächlichen Server weitergeleitet. Die IP-Adresse des Servers von Interesse ist daher nur Cloudflare bekannt.
Serviceanbieter wie Cloudflare halten eine sogenannte Abuse-Adresse für Beschwerden und Anfragen von Ermittlungsbehörden bereit.
Welche Probleme treten bei Bestandsdatenabfragen beim Hosting-Provider auf?
· Das Endgerät verbindet sich mit dem eigenen Router im Heimnetz. Alle Haushalte des Ortsnetzwerks verwenden für einen Internetzugriff die öffentliche IP des Ortsnetz. Die Adressumsetzung von der privaten zur öffentlichen IP wird mittels NAT bewerkstelligt. Eine Bestandsdatenabfrage bringt hierbei nur die Daten des Ortsnetzproviders und nicht des Benutzers.
· Beachte: Bei der Abfrage des Hosting Provider neben IP-Adresse und Zeitpunkt des Zugriff auch den Port mit abfragen!
Wie ist die Verschlüsselung zwischen Nutzer und VPN-Provider aufgebaut?
· Aufbau eines verschlüsselten Datentunnels über ein Netzwerk
· Nutzer und VPN-Provider besitzen einen kryptografischen Schlüssel für geschützte Verbindung über das Internet
· VPN-Provider bietet dem Nutzer Zugriff auf das Internet über seinen Netzwerkknoten unter neuer Provider IP-Adresse
· IP-Adresse und Lokalisation des Nutzers ist nur dem VPN-Provider bekannt
· Zugriffe des Nutzers im Internet können nur bis zum VPN-Provider verfolgt werden
Erkläre die Funktionsweise von „HidemyAss“.
· HideMyAss besitzt einen Adresspool von etwa 116.000 IP-Adressen für ihre VPN-Kunden
· Nutzer kann aus diesem Pool schöpfen und über eine IP-Adresse des VPN-Providers auf Internetdienste zugreifen.
· Zur Erschwerung der Nachvollziehbarkeit können die IP-Adressen periodisch gewechselt werden.
· HideMyAss bietet „Secure IP Bind“: Verhindern, dass bestehende Internetverbindungen (z.B. bei Filesharing) nach Abreißen der VPNVerbindung direkt über den Internetzugang des Nutzers laufen und somit seine eigentliche Adresse preisgeben
Was sind TK-Daten und TK-Spuren?
Daten i.S.d TKG/TMG: Bestandsdaten, Verkehrsdaten, Nutzungsdaten, Inhaltsdaten
= Speicherort beim Anbieter
Spuren: Anruflisten, Kontakte, Bilder/Videos, Kurznachrichten, Standortdaten, „einige“ E-Mails
= Daten der Kommunikation sind auch in Endgeräten gespeichert, aber in anderer Form als beim Anbieter
Beschreibe den Prozess der Sicherung bis zur Auswertung eines Mobilgerätes.
· Sicherung: Forensische Sicherung der Daten
· Aufbereitung: Vorbereitung und Reduktion der gesicherten Daten für den Container
· Bereitstellung: reduzierte Daten im Container
· Auswertung: Sichtung und Bewertung der Daten durch den Sachbearbeiter
Welche Auswertetools werden genutzt?
· Cellebrite: Smartphone, SIM-Karte, Tablets, Navigationsgeräte, Cloud-Daten
Auswertung von Datenspuren der Mobilgeräte einschl. SD-Karte sowie über das Gerät gesicherter Cloud-Daten
· Magnet Forensics: Laptop, PC, Festplatte, SSD, Speicherkarte, USBStick, Cloud-Daten
Auswertung von Datenspuren mit Schwerpunkt der Datenspuren durch Internetnutzung
· X-Ways Software Technology AG: Laptop, PC, Festplatte, SSD, SD-Karte, USB-Stick
Sichtung und Auswertung von Dateiinhalten, wie Dokumente, E-Mail, Bilder, Videos usw.
Welche Daten können mit dem Cellebrite Reader ausgewertet werden?
· Anruflisten
· Bild-/Video-Audio-Dateien
· Messenger-Kommunikation Chat, E-Mail, SMS und MMS
· verschiedene Dateien
Zuletzt geändertvor 2 Jahren