Wegen des „Lockdown Mode“ auf dem iPhone konnte das FBI das iPhone einer Washington-Post-Reporterin nicht entsperren

• Aus Gerichtsdokumenten geht hervor, dass das FBI ein beschlagnahmtes Gerät einer Reporterin nicht forensisch auswerten konnte, weil auf dem iPhone der Lockdown Mode aktiviert war
• Das iPhone der Washington-Post-Reporterin war zum Zeitpunkt der Beschlagnahmung eingeschaltet, konnte wegen des Lockdown Mode jedoch nicht ausgelesen werden
• In Regierungsunterlagen wird ausdrücklich festgehalten, dass das Computer Analysis Response Team (CART) des FBI keine Daten von dem iPhone extrahieren konnte
• Der Lockdown Mode wurde ursprünglich zum Schutz vor hochgradig zielgerichteter Spyware entwickelt, es zeigte sich jedoch auch, dass er physischen forensischen Zugriff einschränkt
• Der Fall zeigt, dass fortgeschrittene Sicherheitsfunktionen von Apple digitalen Zugriff durch Strafverfolgungsbehörden blockieren können, und verdeutlicht das Spannungsverhältnis zwischen stärkerer mobiler Sicherheit und forensischen Möglichkeiten von Ermittlungsbehörden

Überblick über den Vorfall

• Das Haus der Washington-Post-Reporterin Hannah Natanson wurde im Januar 2026 vom FBI im Rahmen von Ermittlungen wegen eines Leaks geheimer Informationen durchsucht
• Die Ermittlungen stehen im Zusammenhang mit dem Vorwurf, dass der Regierungsauftragnehmer Aurelio Perez-Lugones geheime Informationen besessen und weitergegeben habe
• Die Regierung geht davon aus, dass Perez-Lugones die Quelle war, die Natanson geheime Informationen geliefert hat

Beschlagnahmte Geräte und Ergebnis des Zugriffs

• Zu den beschlagnahmten Geräten gehörten ein iPhone 13, zwei MacBook Pro, eine externe Festplatte und ein Aufnahmegerät
• Das iPhone war eingeschaltet, wurde geladen, und auf dem Bildschirm war der Hinweis „Lockdown Mode“ zu sehen
• Laut Gerichtsdokumenten heißt es ausdrücklich: „Wegen des Lockdown Mode konnte CART dieses iPhone nicht auslesen.“
• Auch mehr als zwei Wochen nach der Beschlagnahmung hatte das FBI weiterhin keinen Zugriff auf das iPhone

Die technische Bedeutung des Lockdown Mode

• Der Lockdown Mode beschränkt Nachrichtenanhänge, Web-Rendering und FaceTime-Verbindungen, um die Angriffsfläche von iOS zu minimieren
• Bei Verbindungen mit externen Geräten ist zwingend eine Entsperrung des Geräts erforderlich
• Dadurch werden wichtige Zugriffswege forensischer Tools auf Basis physischer Verbindungen wie Graykey und Cellebrite blockiert
• Der CEO des Digital-Forensik-Unternehmens Garrett Discovery sagte, dass „viele fortgeschrittene Ermittlungsmethoden durch den Lockdown Mode blockiert werden“

Biometrische Authentifizierung und rechtlich erzwungene Entsperrung

• Der Durchsuchungsbefehl umfasste die Befugnis, das Gerät per Fingerabdruck- oder Gesichtserkennung zwangsweise zu entsperren
• Natanson nutzte auf ihrem iPhone jedoch keine biometrische Authentifizierung, und im Lockdown Mode wäre ein solcher Versuch ohnehin nicht möglich gewesen
• Beim zweiten MacBook Pro gelang die Entsperrung dagegen per Fingerabdruck

Daten, auf die zugegriffen werden konnte

• Das FBI sicherte vom entsperrten MacBook Pro Fotos und Sprachaufnahmen aus Unterhaltungen in der Signal-App
• Allerdings konnte selbst von diesem Notebook noch kein vollständiges physisches Abbild (full physical image) erstellt werden

Sicherheitswettlauf zwischen Ermittlungsbehörden und Plattformen

• Berichten zufolge hat Apple 2024 ebenfalls geändert, dass sich iPhones nach längerer Inaktivität automatisch neu starten
• Dadurch wechselt das Gerät in den Zustand BFU (Before First Unlock), was die forensische Auswertung erschwert
• Dieser Fall gilt als Beispiel dafür, dass verstärkte Software-Sicherheitsmaßnahmen in realen Ermittlungen tatsächlich wirksam sind

Offizielle Stellungnahmen

• Apple und die Washington Post reagierten nicht auf Anfragen nach einer Stellungnahme
• Das FBI lehnte eine offizielle Stellungnahme zu dem Fall ab