Vorsicht beim Verkauf von defekten Smartphones

Verfasst von: Kai Pistorio
Das Bild zeigt ein augenscheinlich defektes Smartphone.
Das Bild zeigt ein augenscheinlich defektes Smartphone.  Bild: Kai Pistorio
Wer sein altes, defektes Smartphone verkaufen möchte, sollte es nicht leichtfertig als Bastlergerät oder Teileträger anbieten, weil das Gerät sich nicht mehr starten lässt. Ihre Daten sind in Gefahr! In diesem Artikel erfahren Sie zahlreiche Details, die Sie vermutlich als Nicht-Spezialist sonst in kaum einem anderen Artikel lesen werden. Am Ende des Artikels erhalten Sie einige wichtige Tipps, wie der Verkauf dennoch gelingen kann.

Ältere oder defekte Smartphones lassen sich oft gar nicht mehr starten, oder sie erfordern einen Entsperrcode, der natürlich vergessen wurde. Solche Geräte werden sehr oft als „ungeprüft“, „Defekt für Bastler“ oder Teileträger angeboten. Was soll man als Verkäufer zu befürchten haben? An die Daten kommt man ja schließlich nicht mehr dran, wenn das Gerät streikt. Und sicherlich wird auch keiner so unvernünftig sein, ein altes, total geschrottetes Gerät zu reparieren. Oder? Leider doch. Denn auf solchen Geräten finden sich schon das ein- oder andere mal Daten, die missbraucht werden könnten: Fotos eines Personalausweises mit Vorder- und Rückseite, der Versichertenkarte oder noch schlimmer der Bankverbindung.

Auch die Email-Adresse ist nahezu immer im Gerät gespeichert. Mit etwas Pech das dazugehörige Kennwort ebenfalls. Mit alleine diesen Daten könnte man bereits fast vollständig eine Identität übernehmen. Wer das große Geld wittert, kauft mitunter auch mal Geräte mit der Hoffnung auf Fotos oder Videos, die besser nicht das Handy verlassen sollten. Diese können an illegale Webseiten zum Verkauf angeboten werden. Auch eignen sich diese Daten, um den Verkäufer oder Vorbesitzer des Gerätes erpressen zu können. Auch, wenn Sie sich sicher sind, dass aktuell keine brisanten Inhalte mehr auf dem Gerät gespeichert sind, so ist dennoch Vorsicht geboten. In Datenbanken werden Thumbnails, also verkleinerte Piktogramme der Bilder und Videos, gespeichert.

Selbst nach dem Löschen der Originale werden diese oft entweder gar nicht oder nur schlecht syncronisiert. Im schlechtesten Fall bleiben die Daten erhalten. Ähnlich verhält es sich mit Popup-Nachrichten. Auch diese werden standardmäßig in einer Datenbank gespeichert verbleiben auch dort, wenn die Originalnachricht gelöscht wurde. Unter Android finden Sie diese unter Einstellungen / Benachrichtigungen / App-Benachrichtigungen. Hier können Sie das Speichern übrigens auch abschalten. Bis Android 6 (Ende 2016) waren die Daten in den Geräten meist nicht verschlüsselt gespeichert. Mit der Chip-Off-Technik lässt sich der komplette Speicher einfach auslesen. Dazu wird der Speicherchip ausgelötet und in einem speziellen Lesegerät an den Computer angeschlossen.

Später begann man, die Speicher zu verschlüsseln. An die Daten gelangt man nur noch über das Smartphone selbst, da der Verschlüsselungscode sich aus verschiedenen Werten der verbauten Chips im Gerät zusammensetzt und durch den Entsperrcode ergänzt wird. Um jetzt an die Daten zu kommen, muss das Gerät soweit präpariert werden, dass es sich wieder starten lässt. Ältere Geräte verwenden öfter einen Wischcode, der im Prinzip einfach abgelesen werden kann, wenn man das Display schräg gegen das Licht hält. Einfach der Fettspur des Fingers folgen. Oft werden einfache Standard-PINs verwendet, die sich einfach merken lassen, wie etwa 123123, 1212 oder 2580.

Die häufigsten Entsperrmuster und Codes findet man mit den richtigen Suchbegriffen ganz einfach im Internet. Viele Hersteller versprechen, dass man das Gerät online löschen kann. Einfach einloggen, das Gerät heraussuchen und auf Fernlöschen klicken. Fertig. Die Daten werden augenscheinlich sofort gelöscht und das Gerät kann sicher verkauft werden. Oder? Der Cloudserver versucht einen Löschbefehl an das Handy zu schicken. Damit das Handy auch weiß, dass es sich löschen soll, muss es zunächst den Befehl auch empfangen können. Das erfordert eine aktive Internetverbindung über das Handynetz oder WLAN. Beides scheidet aus, wenn das Gerät tot wirkt.

Die Daten sind also in Wirklichkeit noch immer auf dem Gerät, bis es wieder in Betrieb geht. Da keine SIM-Karte eingelegt ist, wird es versuchen, eine WLAN-Verbindung aufzubauen. Das Gerät kennt aber die WLAN-Schlüssel beim Käufer nicht, kann sich also auch nicht einloggen. Und ein offenes, unverschlüsseltes WLAN ist sehr unwahrscheinlich. Dass jemand, der es ausschließlich auf die Daten abgesehen hat, nun das Gerät nicht im eigenen Netzwerk anmeldet, liegt auf der Hand. iPhones und neuere Android-Geräte sind fest mit der Cloud verbunden. Selbst, wenn sich das Gerät noch soweit bedienen lässt, dass man es zurücksetzen konnte, wird häufig die Anbindung an die Cloud nicht gelöscht.

Das erreicht man bei iPhones dadurch, dass unter „Wo ist“ das eigene Gerät aus der Suche ausgeschlossen wird. Unter Android muss in den Kontoeinstellungen das google- und das Geräteherstellerkonto (z.B. das Samsungkonto) gelöscht werden. Erst danach sollte das Gerät zurückgesetzt werden. Bei älteren Androidgeräten ließ sich das noch mit einer Funktion im Bootmenü umgehen, indem man „Wipe Data“ ausgewählt hatte. Bei den neueren Geräten funktioniert das nicht mehr. Die Factory Reset Protection, kurz FRP, macht hier einen Strich durch die Rechnung. Der Käufer des Gerätes kann mit dem Gerät nun rein gar nichts mehr anfangen. Mit FRP soll verhindert werden, dass gestohlene Geräte wieder in Betrieb genommen werden können.

Sollten Sie sich zum Verkauf des Gerätes entscheiden, hier ein paar Tipps: 1. Reinigen Sie gründlich das Display, um keine Rückschlüsse auf den Entsperrcode oder das Sperrmuster zu ermöglichen. 2. Suchen Sie im Internet nach einer Liste mit den häufigsten Entsperrcodes. Wenn sich auf den ersten 20 Plätzen der von Ihnen verwendete Code finden lässt, ist Vorsicht geboten. 3. Wenn Sie einen befreundeten Bastler kennen, der sich mit Handys auskennt, bitten Sie darum, das Gerät für Sie zu löschen. Da es hier nicht um die Reparatur, sondern nur um das Löschen geht, wird in den meisten Fällen nur ein provisorisches Display und ggf. eine Stromversorgung benötigt, die den Akku ersetzt.

Möglicherweise entstehen hier geringe Kosten, die Sie einkalkulieren sollten. 4. Vorsicht, wenn das Gerät aufquillt: Dieser Effekt tritt ein, wenn ein defekter Akku belastet wird, entweder durch Laden oder Entladen. Belasten Sie den Akku nicht mehr, trennen Sie die Ladeverbindung, schalten Sie das Gerät ab und lassen schnellstens den Akku entfernen. Es besteht Brandgefahr! Im Fachhandel oder im Versandshops gibt es Lithium-Taschen, die im Falle eines Brandes eine Katastrophe verhindern können. Darin sollte das Gerät so lange aufbewahrt werden. 5. Hat das Gerät einen Wasser- oder Flüssigkeitsschaden, wird vermutlich kein seriöser Reparateur den Erfolg versprechen.

Hier ist zumeist nur noch eine Datenrettung sinnvoll. Das hat den einfachen Grund, dass die Flüssigkeit entweder direkt Kurzschlüsse erzeugt, oder im Nachgang durch Korrosion Fehlerströme erzeugt. In beiden Fällen können diverse Schäden an der empfindlichen Elektronik entstehen, die das Gerät unbrauchbar machen können – auch, wenn es zunächst danach aussieht, dass alles funktioniert. Eine einfache Platinenspülung mit Alkohol reicht nicht aus. Das Wasser wird sich auch seinen Weg unter die verlöteten Chips suchen und dort teilweise erhebliche Schäden anrichten. Bei vielen Geräten sind wenigstens CPU und Speicher zusätzlich eingeklebt.

Das erhöht nicht nur die Zuverlässigkeit, sondern kann auch Wasserschäden teilweise entgegenwirken. Einen 100%igen Schutz vor Folgeschäden gibt es aber auch hier nicht. Für Datenrettungen werden die verschlüsselungsrelevanten Chips auf ein anderes Mainboard umgelötet, ein sogenannter „Board-Swap“. Dazu bedarf es allerdings sehr viel Löterfahrung, eine ruhige Hand und das passende Equipment. Eine derartige Datenrettung ist sehr teuer und die letzte Möglichkeit, die Daten noch retten zu können. 6. Versuchen Sie vorrangig, das Gerät an jemanden zu verkaufen, der eine zertifizierte Löschung der Daten anbietet. Sie erhalten dann ein Datenvernichtungszertifikat, sobald die Daten vernichtet wurden.

Suchbegriffe, Druckversion und Feedback

Artikel wurde veröffentlicht: vor PDF erzeugen Inhalt beanstanden
Verwendung des Artikels nur mit schriftlicher Genemigung des Verfassers.  Für den Inhalt des Artikels ist der Verfasser verantwortlich, dem auch das Urheberrecht obliegt. Redaktionelle Inhalte von Reporters.de können auf anderen Webseiten zitiert werden, wenn das Zitat maximal 5% des Gesamt-Textes ausmacht, als solches gekennzeichnet ist und die Quelle benannt und verlinkt wird.