R v F (2025): Addressing the Defence of Hacking

Diese Fallstudie zu R v F (2025) beleuchtet, wie digitale Forensiker die „Hacking-Verteidigung" durch empirische Beweise und praktische Techniken entkräften können, um die Justiz bei der Unterscheidung zwischen Unschuldigen und Schuldigen zu unterstützen.

Das Wesentliche

🕵️‍♂️ Der Fall R v F: Wenn jemand behauptet, sein Handy wurde gehackt

Stell dir vor, jemand wird beschuldigt, illegale Bilder auf seinem Handy gespeichert zu haben. Die Person sagt: „Ich war das nicht! Mein Handy wurde gehackt, und ein fremder Hacker hat diese Bilder dort hineingepackt."

Im Englischen nennt man diese Ausrede oft die „Trojanisches Pferd"-Verteidigung oder die „SODDI"-Verteidigung (Some Other Dude Did It – „Ein anderer Typ hat es getan").

Dieser wissenschaftliche Artikel beschreibt einen echten Fall aus Großbritannien, in dem genau das passiert ist. Ein Experte für digitale Spuren (der Autor des Papers) hat untersucht, ob diese Ausrede wahr ist oder nur eine Lüge.

1. Das Problem: Die „Geister"-Entschuldigung

In der Vergangenheit gab es viele Fälle, in denen Täter sagten: „Mein Computer war infiziert." Da es kaum echte Fallstudien gab, wie man das beweist, war es für Gerichte schwer zu entscheiden, wer die Wahrheit sagt. Dieser Fall ist besonders, weil er zeigt, wie man diese Behauptung wissenschaftlich widerlegt.

2. Die Ermittlung: Drei Schritte wie ein Detektiv

Der Experte, Dr. Junade Ali, ging nicht einfach nur mit einem Scanner über das Handy. Er nutzte einen dreistufigen Ansatz, den man sich wie das Lösen eines Rätsels vorstellen kann:

• Schritt 1: Der Papier-Check (Die Logik-Prüfung)
  Zuerst schauten sie sich die Papiere an. Die Verteidigung sagte: „Schaut mal, hier ist ein Telefonrechnung, die zeigt, dass das Handy in der Zeit, als der Mann im Gefängnis war, Daten gesendet hat!"
  Die Metapher: Das ist wie wenn jemand sagt: „Mein Auto hat sich selbst gefahren, weil der Tacho gestanden hat." Der Experte erklärte: „Nein, das Telefonrechnungssystem rechnet Daten pauschal ab, nicht pro Klick. Es war also gar keine aktive Nutzung."
  Außerdem: Um das Handy zu hacken, müsste man ein extrem teures, geheimes Werkzeug (ein „Zero-Day"-Hack) benutzen. Dass jemand zwei verschiedene Handys (ein iPhone und ein Android) gleichzeitig mit solch teuren Werkzeugen hackt, ist so unwahrscheinlich, wie wenn jemand zwei verschiedene Autos mit einem einzigen, magischen Schlüssel auf einmal stiehlt.

• Schritt 2: Die digitale Autopsie (Die Spurensuche)
  Dann ging es an die Handys selbst. Der Experte suchte nach Beweisen für Hacker (sogenannte „Indicators of Compromise").

  • Auf dem iPhone: Es gab Spuren von Webseiten, die der Mann besucht hatte. Aber das war wie ein Bibliothekar, der Bücher über Einbrüche liest, nur um zu wissen, wie man nicht eingebrochen wird. Es gab keine Beweise, dass jemand das Handy übernommen hatte.
  • Auf dem Android: Auch hier keine Spuren von „Geister-Software".

• Schritt 3: Das große „Wie" (Die Telegram-Aufklärung)
  Die wichtigste Frage war: Wenn nicht gehackt wurde, wie kamen so viele illegale Bilder auf das Handy?
  Die Metapher: Stell dir vor, du trittst einer WhatsApp-Gruppe bei, in der Leute Videos teilen. Wenn du der Gruppe beitrittst, laden viele Apps die Videos automatisch herunter, damit sie schnell abspielen können. Du musst nicht auf „Download" klicken.
  Der Experte fand heraus: Der Mann war einer Telegram-Gruppe beigetreten. Die App hat automatisch alle Bilder in den „Cache" (einen temporären Speicher) geladen. Der Mann hat also nicht jeden einzelnen Bild aktiv heruntergeladen, aber er hat die Tür geöffnet, durch die sie hereingekommen sind.

3. Der Gerichtssaal: Die Wahrheit siegt

Im Prozess (2025) sagte der Staatsanwalt: „Der Mann hat die Bilder bewusst heruntergeladen." Die Verteidigung versuchte immer noch, auf die „Hacker"-Theorie zu pochen.

Aber dann passierte etwas Interessantes:
Die Jury (die Geschworenen) hatte Fragen. Sie wollten wissen: „Wenn die Bilder automatisch geladen wurden, ist das dann noch eine Straftat?"
Der Richter erklärte ihnen: „Ja, wenn ihr sicher seid, dass er zumindest ein Bild pro Kategorie bewusst heruntergeladen oder gespeichert hat, ist er schuldig."

Der Angeklagte änderte seine Geschichte: „Ich war betrunken, meine Freunde haben es gemacht." Aber das passte nicht zu den Beweisen.
Das Ergebnis: Der Angeklagte wurde in allen Punkten verurteilt. Die Jury glaubte dem Experten, dass kein Hacker im Spiel war.

4. Was wir daraus lernen (Die Moral der Geschichte)

Dieser Fall zeigt, dass man bei solchen Verteidigungen nicht nur auf die offensichtlichen Spuren schauen darf.

• Früher: Man hat nur gescannt: „Ist das Bild da? Ja. Ist es vom Täter? Vielleicht."
• Jetzt: Man muss wie ein Detektiv denken: „Wie könnte ein Hacker das gemacht haben? Passt das technisch? Und was ist die wahrscheinlichste Geschichte, die wirklich passiert ist?"

Der Autor erwähnt noch einen anderen Fall (R v M), in dem ein Tool der Polizei einen Fehler gemacht hatte und jemand fälschlicherweise als Gruppen-Verwalter angezeigt wurde. Auch hier hat eine tiefgehende Analyse die Wahrheit ans Licht gebracht.

Zusammenfassend:
Dieser Artikel ist wie ein Lehrbuch für digitale Ermittler. Es zeigt, wie man die Ausrede „Ein Hacker war es" entlarvt, indem man nicht nur nach Fehlern sucht, sondern die ganze Geschichte rekonstruiert. Es hilft, unschuldige Menschen freizusprechen und schuldige zu überführen, indem man die Technik versteht, statt nur auf sie zu hoffen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „R v F (2025): Addressing the Defence of Hacking" von Junade Ali auf Deutsch:

Problemstellung

Das Paper adressiert die zunehmende Herausforderung in der Strafjustiz durch die sogenannte „Hacking-Verteidigung" (auch bekannt als „Trojan Horse Defence" oder „SODDI" – Some Other Dude Did It). Angeklagte behaupten häufig, ihre Geräte seien gehackt worden, um illegale Inhalte (in diesem Fall kinderpornografisches Material, CSAM) auf ihren Geräten zu platzieren, um so die eigene Täterschaft zu leugnen.
Bisher fehlte es in der wissenschaftlichen Literatur an empirischen Fallstudien, die konkret aufzeigen, wie digitale Forensiker diese Verteidigungsstrategie in der Praxis untersuchen und widerlegen können. Die vorhandene Literatur ist oft veraltet, fehlt an empirischen Beweisen oder bezieht sich nicht auf moderne mobile Umgebungen (iOS/Android), in denen solche Verteidigungen zunehmend vorkommen.

Methodik

Der Autor, Dr. Junade Ali, arbeitete eng mit einem polizeilichen Ermittler zusammen, um einen dreistufigen, hypothesengetriebenen Untersuchungsansatz zu entwickeln:

1. Voruntersuchung (Preliminary Investigation):

   • Analyse der Verteidigungsbehauptungen auf Basis von Akten (z. B. Mobilfunkrechnungen, Benachrichtigungen über kompromittierte Zugangsdaten).
   • Widerlegung technischer Missverständnisse: Die Verteidigung behauptete, ungewöhnliche Netzwerkaktivitäten während der Haftzeit deuten auf Hacking hin. Die Analyse zeigte jedoch, dass dies auf die aggregierte Abrechnung von Mobilfunkdaten zurückzuführen war und mit Hintergrundaktivitäten konsistent war.
   • Bewertung der Plausibilität von Zero-Day-Exploits: Da zwei verschiedene, moderne Betriebssysteme (iOS und Android) betroffen waren, wäre der Einsatz von extrem teuren Zero-Day-Schwachstellen (Millionen von Dollar) notwendig gewesen, um Sandboxes zu durchbrechen und Privilegien zu eskalieren. Dies wurde als höchst unwahrscheinlich eingestuft.

2. Forensische Untersuchung (Forensic Investigation):

   • Datenerfassung: Erstellung forensischer Images der Geräte (iPhone und Android) mittels Cellebrite UFED und Magnet Forensics Graykey.
   • Indikatoren für Kompromittierung (IOCs): Manuelle Untersuchung und Einsatz des Mobile Verification Toolkit (MVT) von Amnesty International zur Suche nach „Ghostware" oder Command-and-Control-Verbindungen.
   • Ergebnisse der IOC-Analyse:
     • Auf dem iPhone wurden IOCs gefunden, die jedoch ausschließlich auf das Safari-Favicon-Modul zurückzuführen waren (Forschung zu Cybersicherheit durch den Nutzer), nicht auf eine aktive Malware-Infektion. Kein Jailbreak, keine Backdoors.
     • Auf dem Android-Gerät gab es keine Anzeichen für Root-Zugriff, Debugging-Funktionen oder verdächtige Berechtigungen.
   • Analyse der Datenherkunft: Da keine Malware gefunden wurde, wurde der Ursprung der CSAM-Daten analysiert. Es wurde festgestellt, dass der Großteil der Daten im Cache der Messaging-App Telegram lag. Telegram lädt Medien automatisch herunter (Vorschau-Cache oder Vollständiger Download bei kleinen Dateien), sobald ein Nutzer einer Gruppe beitritt. Dies erklärte das Vorhandensein großer Datenmengen ohne manuellen Download jedes einzelnen Elements.

3. Peer-Review und gemeinsame Stellungnahme:

   • Die Ergebnisse wurden vom Ermittler und dem Autor gemeinsam geprüft.
   • Es wurde eine gemeinsame Stellungnahme („Joint Statement") erstellt, die die forensischen Befunde und die Widerlegung der Hacking-These bestätigte.

Wichtige Beiträge

• Praktischer Leitfaden: Das Paper liefert den ersten detaillierten Fallbericht, der zeigt, wie digitale Forensiker die Hacking-Verteidigung in einem modernen Strafverfahren empirisch entkräften können.
• Ganzheitlicher Ansatz: Es betont, dass reine Artefakt-Extraktion (Parsing) nicht ausreicht. Stattdessen ist eine Kombination aus theoretischer Computerwissenschaft (Einschätzung der Machbarkeit von Exploits), forensischer IOC-Suche und kontextueller Analyse der Datenherkunft (z. B. App-Caching-Mechanismen) notwendig.
• Kritik an Automatisierung: Das Paper hebt hervor, dass automatisierte Tools allein nicht ausreichen, um plausible technische Hypothesen zu testen. Ein Beispiel aus einem anderen Fall (R v M (2026)) zeigt, wie Parsing-Fehler in Tools zu falschen Zuordnungen führen können, die nur durch tiefgehende manuelle Analyse (SQLite-Datenbanken, Timeline-Analyse) korrigiert werden konnten.
• Ethische Transparenz: Der Autor betont die Notwendigkeit, solche Fälle zu dokumentieren, um Fehlurteile zu verhindern, ohne dabei operative Details preiszugeben, die für Gegenforensik missbraucht werden könnten.

Ergebnisse

• Gerichtsverhandlung: Der Angeklagte (F) wurde in einer Krongerichtssitzung in England verurteilt.
• Widerlegung der Verteidigung: Die Verteidigung versuchte, auf Hacking zu pochen, änderte ihre Strategie jedoch, als die forensischen Beweise vorlagen, und behauptete stattdessen, Freunde hätten die Geräte genutzt.
• Schlüsselbeweis: Die Jury wurde aufgeklärt über den automatischen Download-Mechanismus von Telegram. Der Richter instruierte die Jury, dass für eine Verurteilung der Vorsatz (Mens Rea) für den Download mindestens eines Bildes pro Kategorie nachgewiesen werden muss.
• Urteil: Da der Großteil der Daten automatisch heruntergeladen wurde, aber der Angeklagte aktiv einer Gruppe beigetreten war und einige Inhalte manuell kopiert hatte, wurde er in allen Anklagepunkten für schuldig befunden. Die Jury akzeptierte die forensische Schlussfolgerung, dass kein Hacking stattgefunden hatte.

Bedeutung

Dieser Fall unterstreicht die kritische Rolle von digitalen Forensikern, die über reine Datenauswertung hinausgehen müssen. Er demonstriert, wie durch eine gestufte Hypothesenprüfung (Theorieprüfung -> Forensische IOC-Suche -> Kontextanalyse) die Lücke zwischen technischen Verteidigungsbehauptungen und empirischen Beweisen geschlossen werden kann.
Die Arbeit zeigt, dass die Kombination aus moderner Tooling-Nutzung (wie MVT), manuellem Verständnis von App-Architekturen (Telegram-Caching) und theoretischem Wissen über Exploit-Kosten (Zero-Days) entscheidend ist, um die Unschuldsvermutung für Unschuldige zu wahren und Täter zu überführen. Zudem wird die Dringlichkeit betont, dass solche Fallstudien dokumentiert werden müssen, da Expertenaussagen und Prozessergebnisse oft nicht öffentlich zugänglich sind, was den Wissensaustausch in der Forensik einschränkt.