"Im August durchsuchte die baden-württembergische Polizei die Wohnungen von fünf Personen. Sie sollen angeblich ein Archiv auf linksunten.indymedia.org betreiben und eine verbotene Vereinigung weiterführen. Ein Betroffener berichtet nun von den Versuchen der Ermittelnden, beschlagnahmte Geräte auszuwerten." - Ein Gastartikel bei Netzpolitik.org, den wir hier dokumentieren. Er steht unter der Lizenz Creative Commons BY-NC-SA 4.0.

"Am 2. August 2023 weckte mich das Geräusch meiner zersplitternden Wohnungstür. Sechs Jahre nach dem Verbot von linksunten.indymedia.org war die Polizei dieses Mal auf der Suche nach den Betreiber:innen des Archivs der linksradikalen Nachrichtenplattform. Wir Verdächtigen hätten uns „wegen der Aufrechterhaltung des organisatorischen Zusammenhalts dieser verbotenen Vereinigung strafbar gemacht“.

Beschlagnahmt wurden bei mir und vier weiteren Freiburger Linken rund 180 Asservate – etwa Computer, Handys, Tablets und Speichermedien. Darunter befand sich auch ein MacBook Pro mit Apple Silicon-Chip, das im ausgeschalteten Zustand mitgenommen wurde. Die nachfolgenden Versuche, auf dieses Gerät zuzugreifen, demonstrieren, welche Probleme die Polizei offenbar im Umgang mit aktueller Verschlüsselungstechnik hat.

Selbst im angeschalteten Zustand wäre das MacBook durch den Blockierungsmodus geschützt gewesen. Dieser spezielle Modus verhindert unter anderem, dass sich der Computer mit anderen Geräten verbindet, solange er nicht entsperrt ist. Obendrein aber waren die Daten sogar durch Apples Festplattenverschlüsselung gesichert.

Da der Mac nicht per Apple-ID entsperrt werden konnte und ich mir aus gutem Grund auch den Wiederherstellungsschlüssel nicht gemerkt hatte, gab es außer mit dem Passwort keine Möglichkeit, die Daten zu entsperren. Die Polizei bekam aber keine Antwort auf ihre Frage nach den Passwörtern und es klebte kein sprichwörtliches gelbes Post-It unter der Tastatur, was jedoch geflissentlich überprüft wurde.

Ausbau der Festplatte zerstört das Gerät

Einige Tage nach der Durchsuchung fragte das Stuttgarter Landeskriminalamt erneut nach Passwörtern, da sie die Daten von rund 40 der beschlagnahmten Asservate nicht einmal kopieren konnten, darunter auch die des MacBooks. Sollten wir uns weigern, die Passwörter herauszugeben, drohte das LKA mit Kontaktaufnahme zu unseren Arbeitgeber:innen. Am nächsten Tag wurde einem ebenfalls beschuldigten Kollegen und mir gekündigt, wir waren beide in der Probezeit. Ob die Polizei sich dieses Mal tatsächlich bei unseren Arbeitsstellen gemeldet hat, wissen wir nicht. Vor sechs Jahren hat sie es jedenfalls getan.

Das LKA drohte damit, die Geräte, deren Daten sie nicht kopieren konnten, zu zerstören. Nicht als Rachemaßnahme, sondern weil die Zerstörung eine unvermeidliche Folge des Ausbaus der internen SSD-Festplatte ist. Denn die Polizei wollte unbedingt eine Kopie der Daten, um diese anschließend per Brute Force zu entschlüsseln. Doch damit wären die Ermittelnden keinen Schritt weiter gekommen, sie hätten lediglich das sündhaft teure Gerät für immer unbrauchbar gemacht.

Hier bewahrt das LKA Baden-Württemberg eines der beschlagnahmten Geräte auf.

Um die Zerstörung zu verhindern, schickte mein Anwalt der Karlsruher Staatsanwaltschaft einen Link zu einer Apple-Support-Seite, die Informationen zu FileVault enthält, wie Apple seine Festplattenverschlüsselung nennt. Dort konnte der ermittelnde Staatsanwalt sich über Folgendes informieren:

Ohne gültige Anmeldeinformationen oder einen kryptografischen Wiederherstellungsschlüssel bleibt das interne APFS-Volume verschlüsselt und vor unbefugtem Zugriff geschützt, selbst wenn das physische Speichergerät entfernt und an einen anderen Computer angeschlossen wird.

Keine gerechtfertigte Ermittlungsmaßnahme

Auf einer weiteren Hilfeseite wurde ihm die Funktionsweise von Secure Enclave erklärt, einem vom restlichen System isolierten Koprozessor für Verschlüsselungsaufgaben:

Dies bewirkt, dass nicht auf die Dateien zugegriffen werden kann, wenn die Speicherchips physisch von einem Gerät in ein anderes verschoben werden.

Mit der Realität konfrontiert, musste das baden-württembergische LKA eingestehen, dass die Zerstörungspläne im Fall des MacBooks mit Sicherheit erfolglos bleiben würden. Somit stellte der Ausbau der SSD keine Ermittlungsmaßnahme dar, denn eine solche muss wenigstens eine minimale Aussicht auf Erfolg haben. Daraufhin wurde der Mac verschlüsselt und unkopiert Ende September herausgegeben.

Alle anderen Computer und Datenträger lagern weiterhin beim LKA. Bereits im Zuge des Vereinsverbots 2017 hatten die Behörden zahlreiche Computer und Speichermedien beschlagnahmt. Entschlüsselt wurde davon kein einziges. Die damaligen Ermittlungen wegen angeblicher „Bildung einer kriminellen Vereinigung“ waren eingestellt worden.

* Name geändert

Der SWR berichtet hier über das Thema. Auf Anfrage des SWR wollte die Staatsanwaltschaft Fragen zu dem Sachverhalt nicht kommentieren."