Ein Journalist hatte nach einem Grenzübertritt nach China auf seinem Smartphone eine fremde App gefunden. Sein Verdacht: Grenzbeamte haben sie installiert. Um herauszufinden, was es mit dieser App auf sich hat, hat ein Zusammenschluss von Journalisten (u.a. der Süddeutschen Zeitung) gemeinsam mit IT-Sicherheitsforschern die App genauer untersucht. Beteiligt war auch Fraunhofer SIT-Wissenschaftler York Yannikos, Experte für IT-Forensik.

Was genau haben Sie für die Süddeutsche Zeitung untersucht?

Das Recherche-Team hat mich gebeten, dabei mitzuhelfen, einer Liste von ca. 73.000 kryptografischen Hashes (s. Kasten) die jeweils zugehörigen Dateien zuzuordnen. Diese Liste hatte das Team in der untersuchten App gefunden.

Allein mit den Hashes kann man zunächst nichts anfangen, an ihnen kann man leider in keinster Weise sehen, um was für Dateien oder Dateiinhalte es sich handelt. Allerdings kann man Hash-Datenbanken im Internet durchsuchen und mit der Hash-Liste der chinesischen App abgleichen. Ich habe entsprechend alle 73.000 Hashes auf verschiedenen Hash-Datenbanken abgefragt, um herauszufinden ob die Hashes bereits bekannt sind und sich somit bestimmten bekannten Dateien zuordnen lassen.

Warum war die Hash-Liste in der App hinterlegt?

Die chinesische App hat ihre Hash-Liste mit den Hashes der Dateien abgeglichen, die auf dem ausspionierten Smartphone gespeichert waren. So hat sie quasi nach Inhalten gesucht, die aus Sicht der chinesischen Regierung verdächtig sind.

Nach welchen Inhalten sucht die App?

Wir haben längst nicht alle Hashes in den Hash-Datenbanken gefunden. Aber die, die wir identifizieren konnten, waren größtenteils harmloses Material aus dem Umfeld des Islam, bspw. MP3-Dateien mit Koran-Lesungen, aber auch offensichtlich islamistisches Material, bspw. PDFs vom Islamischen Staat. Auch der Hash eines Textes des Dalai Lama war in der Liste enthalten.

Wie kann die Abteilung Media Security und IT Forensics sonst noch Journalisten unterstützen?

Wir bieten Echtheitsprüfungen von Audio-, Video- und Bildmaterial an, also wir schauen, ob Spuren von Manipulationen in Multimediadaten vorhanden sind. Außerdem untersuchen wir Datenträger, etwa nach versteckten oder gelöschten Dateien, die wir dann wiederherstellen, wir werten Smartphones aus etc. Die Anfragen sind sehr individuell und vielseitig.