Wenn es um digitale Beweissicherung geht, zählt vor allem eines eine lückenlose und rechtssichere forensische Sicherung. Wir übernehmen für Sie die professionelle Datenextraktion von Smartphones und Tablets sei es zur Vorbereitung rechtlicher Schritte zur internen Aufklärung oder im Rahmen gerichtlicher Verfahren. Unsere Spezialisten extrahieren Informationen wie Nachrichten Kontakte Medien App-Daten oder Standortverläufe selbst von gesperrten beschädigten oder manipulierten Geräten. Dabei arbeiten wir mit modernsten forensischen Tools sichern Daten bitgenau und dokumentieren jeden Schritt nachvollziehbar und gerichtsfest.
In unserem Institut wurde ein Auftrag zur forensischen Sicherung und Auswertung eines Mobilgeräts erteilt. Hintergrund war ein laufendes Ermittlungsverfahren wegen Bestechung im öffentlichen Dienst. Ein leitender Angestellter einer kommunalen Behörde stand im Verdacht vertrauliche Informationen gegen Geld an Dritte weitergegeben zu haben. Im Rahmen einer Wohnungsdurchsuchung wurde unter anderem ein Smartphone sichergestellt das als zentrales Beweisstück betrachtet wurde.
Unsere Aufgabe bestand darin sämtliche relevanten Daten auf dem Mobilgerät zu sichern und auszuwerten ohne dabei die Originaldaten zu verändern oder zu gefährden. Das Gerät wurde in einem abgeschirmten Laborumfeld vorbereitet um jegliche externe Kommunikation zu unterbinden. Anschließend erfolgte die forensische Sicherung über ein spezialisiertes Extraktionssystem das logische und physikalische Datenzugriffe unterstützt. Dabei konnten Nachrichtenverläufe Anruflisten E-Mails Kalendereinträge sowie Dateien aus Apps und Messenger-Diensten extrahiert werden.
Besonders wertvoll war die Wiederherstellung gelöschter Inhalte. Durch eine tiefgehende Analyse konnte unser Team auch zuvor entfernte Nachrichten und Dateien rekonstruieren die für die Beweislage von hoher Bedeutung waren. Zusätzlich wurden die Standortdaten ausgewertet um Bewegungsmuster und mögliche Treffpunkte mit anderen Beteiligten zu identifizieren.
Alle gesicherten Informationen wurden sorgfältig dokumentiert und mit einer nachvollziehbaren Prüfsumme versehen um die Integrität des Untersuchungsmaterials jederzeit nachweisen zu können. Die Auswertung erfolgte anschließend durch unsere Spezialisten in enger Zusammenarbeit mit den Ermittlungsbehörden. Jedes relevante Detail wurde in einem forensischen Bericht zusammengefasst und verständlich dargestellt.
Durch die strukturierte Sicherung und Auswertung des Mobilgeräts konnte unser Institut entscheidende Hinweise zur Klärung des Sachverhalts liefern. Der Verdacht auf unerlaubte Informationsweitergabe erhärtete sich durch die Auswertung der Kommunikationsdaten und Terminabsprachen auf dem Gerät. Unsere Analyse wurde in das Ermittlungsverfahren aufgenommen und trug wesentlich zur weiteren juristischen Bewertung bei.
Digitale Spuren in der Cloud sind heute oft der Schlüssel zur Klärung von Streitfällen und sicherheitsrelevanten Vorfällen. Ob Google Drive iCloud Dropbox oder OneDrive wir analysieren Cloud Daten forensisch rekonstruieren Zugriffe Datenänderungen gelöschte Dateien und identifizieren unbefugte Aktivitäten. Unsere Leistungen richten sich an Unternehmen Anwaltskanzleien und Privatpersonen die Klarheit in digitalen Fragestellungen benötigen. Jede Cloud Analyse erfolgt nach höchsten Datenschutzstandards und wird vollständig dokumentiert,um in juristischen Verfahren verwendbar zu sein.
In unserem Institut wurde eine forensische Untersuchung von Cloud Daten im Zusammenhang mit einem schwerwiegenden Verdacht auf unbefugte Datenexfiltration durchgeführt. Ein mittelständisches Unternehmen aus dem Technologiesektor wandte sich an uns, nachdem Hinweise aufgetaucht waren, dass vertrauliche Entwicklungsunterlagen unbefugt aus dem firmeneigenen Cloudspeicher abgerufen und möglicherweise weitergegeben wurden. Der Verdacht richtete sich gegen einen ehemaligen Mitarbeiter aus der Entwicklungsabteilung der das Unternehmen wenige Wochen zuvor verlassen hatte.
Unsere Aufgabe bestand darin die Zugriffsprotokolle und gespeicherten Inhalte des betroffenen Cloudkontos zu sichern auszuwerten und auf digitale Spuren wie Datenmanipulation oder unberechtigte Downloads zu analysieren. Zu Beginn wurde gemeinsam mit dem IT-Dienstleister ein forensisches Abbild der Cloud Umgebung erstellt das sämtliche Protokolle Dateiversionen Nutzerzugriffe und Metadaten zu Dateiänderungen Freigaben und Synchronisationen enthielt.
Von besonderer Bedeutung war die vollständige Dokumentation der Zugriffshistorie. Es zeigte sich, dass mehrere sensible Dateien zu ungewöhnlichen Zeiten heruntergeladen wurden zum Teil von Geräten mit unbekannter Gerätekennung und aus Regionen die nicht dem normalen Nutzungsmuster des Unternehmens entsprachen. Unsere Spezialisten analysierten auch gelöschte Dateien und archivierte Versionen und stellten fest, dass bestimmte Informationen gezielt entfernt und verschleiert wurden. Diese Aktivitäten ließen sich zeitlich mit den letzten Arbeitstagen des verdächtigen Mitarbeiters verknüpfen.
Ein Abgleich mit den bekannten Geräten und Benutzerkonten ergab, dass der Zugriff nicht autorisiert war und mutmaßlich über ein noch aktives Benutzerkonto des Verdächtigen erfolgte das nach seinem Ausscheiden nicht deaktiviert worden war. Mithilfe von Metadaten wie IP-Adressen Zeitstempeln und Geräteinformationen konnte die Kette der verdächtigen Aktivitäten genau rekonstruiert und einem spezifischen Nutzerprofil zugeordnet werden.
Unser Institut erstellte einen vollständigen Bericht über die festgestellten Unregelmäßigkeiten und stellte diesen sowohl dem betroffenen Unternehmen als auch den Ermittlungsbehörden zur Verfügung. Die Auswertung der Cloud Daten spielte eine zentrale Rolle bei der rechtlichen Bewertung des Vorfalls und bildete die Grundlage für arbeitsrechtliche sowie strafrechtliche Schritte gegen die verantwortliche Person.
Durch die strukturierte Cloud Analyse und die rechtssichere Sicherung digitaler Spuren konnte unser Institut entscheidende Beweise liefern und gleichzeitig aufzeigen wie wichtig klare Zugriffsregelungen und das rechtzeitige Sperren von Benutzerkonten nach dem Ausscheiden von Mitarbeitenden sind.
Wenn Daten aus PCs, Laptops oder externen Speichern gesichert werden müssen, stehen wir Ihnen mit fundierter IT-forensischer Expertise zur Seite. Unsere Fachleute extrahieren Inhalte selbst aus beschädigten oder teilgelöschten Systemen und stellen strukturierte, belastbare Informationen bereit ideal zur Beweissicherung bei zivil- oder strafrechtlichen Auseinandersetzungen, internen Untersuchungen oder Datenschutzverstößen. Selbstverständlich erhalten Sie auf Wunsch eine vollständige forensische Dokumentation oder ein Gutachten.
In einem wirtschaftsrechtlichen Ermittlungsverfahren wurde unser forensisches Institut mit der Extraktion und Auswertung von digitalen Daten beauftragt. Hintergrund war der Verdacht auf systematische Unterschlagung von Firmengeldern durch einen leitenden Mitarbeiter eines internationalen Logistikunternehmens. Die interne Revision hatte Unregelmäßigkeiten in der Buchhaltung festgestellt und im Zuge erster Recherchen Hinweise auf möglicherweise manipulierte Finanzdaten auf einem dienstlich genutzten Laptop entdeckt.
Unser Institut übernahm die forensisch einwandfreie Sicherung des betreffenden Geräts unmittelbar nach dessen Übergabe durch die Ermittlungsbehörden. Dabei stand die vollständige und unveränderte Extraktion aller relevanten Daten im Vordergrund. Der Computer wurde in einer gesicherten Laborumgebung analysiert. Nach einem Abbild des Datenträgers wurden sämtliche Benutzerverzeichnisse, temporäre Dateien, Systemprotokolle sowie versteckte und gelöschte Inhalte untersucht.
Besondere Aufmerksamkeit galt der Analyse von lokal gespeicherten Office-Dokumenten und Tabellenkalkulationen, die im Rahmen der Buchführung verwendet wurden. Durch die Wiederherstellung von Dateiversionen, die oberflächlich gelöscht worden waren, konnten mehrere manipulierte Dokumente identifiziert werden. In diesen Dateien waren Summen und Buchungstexte nachträglich verändert worden, um fiktive Ausgaben zu verschleiern. Die Metadatenanalyse zeigte, dass die Veränderungen gezielt kurz vor internen Prüfungen vorgenommen wurden.
Zusätzlich konnten durch die Analyse von E-Mail-Clients und Browserdaten Hinweise auf externe Kontakte gesichert werden, mit denen der Beschuldigte offenbar in regelmäßigem Austausch stand. Der Abgleich mit den internen Zugriffszeiten und Protokollen belegte, dass die Eingriffe ausschließlich über das sichergestellte Gerät vorgenommen wurden. Eine detaillierte Timeline der Aktivitäten konnte rekonstruiert werden und lieferte eine lückenlose Darstellung des Vorgehens über mehrere Monate hinweg.
Unser Institut stellte die Ergebnisse in einem gerichtsfesten Gutachten zusammen. Dabei wurde die gesamte Beweismittelkette nachvollziehbar dokumentiert und mit Prüfsummen gesichert. Die durchgeführte Analyse der Computerdaten war ein zentraler Bestandteil der Ermittlungen und trug wesentlich zur Klärung des Sachverhalts bei. Der Fall zeigt exemplarisch, wie digitale Spuren durch gezielte forensische Methoden aufgedeckt und zu einem belastbaren Gesamtbild zusammengeführt werden können.
Moderne Fahrzeuge speichern detaillierte Bewegungs- und Ereignisdaten ein wertvoller Informationsschatz bei Unfällen oder strittigen Fahrvorgängen. Wir lesen Daten aus Steuergeräten und Fahrzeugsystemen aus und rekonstruieren objektiv relevante Abläufe wie Bremsverhalten, Geschwindigkeit, Lenkbewegungen oder Airbag-Auslösungen. Die Auswertung erfolgt unabhängig vom Hersteller und wird rechtssicher dokumentiert für Sachverständige, Anwälte oder Versicherungen.
Ein regional ansässiges Versicherungsunternehmen beauftragte unser forensisches Institut mit der Analyse der Ereignisdaten eines Fahrzeugs im Zusammenhang mit einem Verkehrsunfall. Der Unfall hatte sich auf einer gut ausgebauten Landstraße ereignet als ein Mittelklassefahrzeug in einer langgezogenen Kurve die Fahrspur verlassen hatte und in eine Böschung geraten war. Die Beteiligten blieben unverletzt jedoch entstanden am Fahrzeug erhebliche Schäden. Aufgrund widersprüchlicher Angaben zum Hergang des Unfalls bestand der Wunsch nach einer objektiven technischen Rekonstruktion durch die Analyse elektronisch gespeicherter Fahrzeugdaten.
Nach der Anlieferung des betroffenen Fahrzeugs in unser Labor wurde zunächst die Energieversorgung des Fahrzeugs sichergestellt, um eine verlustfreie Datensicherung zu ermöglichen. Anschließend erfolgte die forensische Auslesung der im Fahrzeug verbauten Steuergeräte insbesondere des Event Data Recorders. Mittels eines zertifizierten Auslesesystems wurden relevante Fahrparameter der letzten Sekunden vor dem Ereignis extrahiert und analysiert.
Die gesicherten Daten zeigten, dass das Fahrzeug in der Phase unmittelbar vor dem Unfall mit konstanter Geschwindigkeit unterwegs war wobei keine Bremsung und keine plötzliche Lenkbewegung verzeichnet wurden. Erst unmittelbar vor dem Abkommen von der Straße registrierten die Systeme einen plötzlichen Lenkeingriff sowie ein leichtes Blockieren der Räder, was auf eine verzögerte Reaktion des Fahrers hindeutete. Die Auswertung des elektronischen Stabilitätsprogramms sowie weiterer Assistenzsysteme bestätigte, dass keine technischen Mängel oder Systemfehler vorlagen.
Zusätzlich wurden die Daten der Airbag-Steuereinheit analysiert, obwohl es nicht zu einer Auslösung kam. Dennoch konnten daraus Informationen zum Gurtstatus und zur Sitzbelegung gewonnen werden, die mit den Aussagen des Fahrers übereinstimmten. Die Analyse ergab ferner, dass keine ungewöhnlichen oder sicherheitsrelevanten Fehlermeldungen im Speicher abgelegt waren und das Fahrzeug zum Zeitpunkt des Unfalls voll funktionsfähig war.
Auf Grundlage der gesicherten Fahrzeugdaten konnte unser Institut eine neutrale und nachvollziehbare Einschätzung zum Fahrverhalten sowie zu den Umständen des Unfallverlaufs geben. Der abschließende Bericht wurde dem Versicherungsunternehmen übermittelt und diente dort als Entscheidungsgrundlage für die Regulierung des Schadens. Der Fall unterstreicht wie digitale Fahrzeugsysteme in Verbindung mit forensischer Auswertung dazu beitragen können Sachverhalte objektiv zu bewerten und vermeidbare Streitfragen effizient zu klären.
In SIM-Karten stecken oft entscheidende Hinweise. Wir analysieren Kommunikationsdaten, Rufnummern, Kontakte, Netzverläufe und gespeicherte SMS auch bei Dual-SIM oder anonymen Prepaidkarten. Unsere Analysen helfen, Identitäten zuzuordnen, Nutzungsverhalten nachzuvollziehen oder Manipulationen aufzudecken – alles unter Einhaltung der geltenden rechtlichen Vorgaben und vollständig gerichtsverwertbar dokumentiert.
Ein mittelständisches Unternehmen aus dem Dienstleistungssektor trat mit der Bitte an unser Institut heran, um einen möglichen Verstoß gegen eine interne Vertraulichkeitsvereinbarung zu untersuchen. Im Zentrum des Verdachts stand ein ehemaliger Mitarbeiter, der sensible Geschäftsinformationen an ein konkurrierendes Unternehmen weitergegeben haben soll. Da dieser Mitarbeiter in den letzten Wochen seiner Tätigkeit ein dienstliches Mobiltelefon mit aktiver SIM-Karte nutzte, bestand die Annahme, dass relevante Kommunikation über diese Verbindung erfolgt sein könnte.
Unser Institut übernahm die forensisch gesicherte Analyse der betreffenden SIM-Karte, nachdem das Mobiltelefon im Rahmen der ordnungsgemäßen Rückgabe durch den Mitarbeiter an die IT-Abteilung des Unternehmens ausgehändigt wurde. Die Karte wurde unter Laborbedingungen in ein spezialisiertes Lesegerät eingesetzt, um sämtliche gespeicherten Informationen verlustfrei auszulesen und auszuwerten.
Im Zuge der Analyse konnten die gespeicherten Kontakte Kurznachrichten Standortinformationen sowie Informationen zu zuletzt genutzten Netzen und Einwahldaten extrahiert werden. Besonders relevant waren dabei die auf der SIM-Karte gespeicherten Kurzmitteilungen, die trotz des Löschversuchs teilweise wiederhergestellt werden konnten. Diese Nachrichten beinhalteten Hinweise auf eine geplante Weitergabe firmeninterner Informationen sowie auf mögliche Absprachen mit einem externen Geschäftspartner.
Zudem ließen sich anhand der auf der Karte gespeicherten Netzverbindungen bestimmte Aufenthaltsorte rekonstruieren die mit bekannten Kontaktpunkten des konkurrierenden Unternehmens übereinstimmten. Auch die auf der SIM gespeicherten Anruflisten und Kurzwahlkontakte konnten mit weiteren bereits bekannten Kommunikationsmustern abgeglichen werden.
Die forensische Auswertung wurde in einem strukturierten Bericht zusammengefasst und diente dem Unternehmen als Grundlage für arbeitsrechtliche sowie zivilrechtliche Schritte. Darüber hinaus bot der Fall Anlass für eine unternehmensinterne Überprüfung der Mobilfunkrichtlinien und den zukünftigen Umgang mit dienstlichen SIM-Karten. Das Fallbeispiel zeigt wie aus einem unscheinbaren Datenträger durch gezielte forensische Methoden aussagekräftige Informationen gewonnen werden können die für die Klärung komplexer Sachverhalte von entscheidender Bedeutung sind.
In komplexen Fällen sind nicht alle relevanten Daten durch eigene Verfahren zugänglich. Deshalb integrieren wir bei Bedarf auch die Ergebnisse externer Spezialisten und Drittanbieter-Tools in unsere Analysen. Wir prüfen und verifizieren die Datenqualität und stellen sicher, dass auch diese Informationen technisch wie rechtlich belastbar nutzbar sind. So entstehen ganzheitliche Auswertungen für komplexe digitale Sachverhalte.
Ein international tätiges Unternehmen im Bereich der Medizintechnik kontaktierte unser forensisches Institut, nachdem es im Rahmen eines internen Audits zu Auffälligkeiten im Zugriff auf zentrale Geschäftsdaten gekommen war. Die Verdachtsmomente richteten sich nicht gegen interne Mitarbeiter, sondern gegen einen externen IT-Dienstleister, der im Rahmen eines laufenden Wartungsvertrags mit administrativen Rechten auf bestimmte Systeme ausgestattet war. Aufgrund vertraglicher Vereinbarungen wurden alle Systemeingriffe des Dienstleisters dokumentiert dennoch fehlten ausgerechnet für den betreffenden Zeitraum mehrere Protokolleinträge, die unter normalen Umständen automatisch hätten erzeugt werden müssen.
Unsere Aufgabe bestand darin die verfügbaren Systemdaten des Unternehmens mit Logdateien und Berichten des externen Dienstleisters zusammenzuführen und auf forensisch belastbare Weise auszuwerten. Dafür wurden zunächst sämtliche im Unternehmen gesicherten Serverlogs Firewalleinträge und Zugriffsprotokolle analysiert. Parallel dazu stellte der Drittanbieter ein vollständiges Archiv seiner Fernwartungsprotokolle zur Verfügung das jedoch Lücken und Unstimmigkeiten im Zeitverlauf aufwies.
Durch die strukturierte Gegenüberstellung beider Datenquellen konnte unser Team zunächst feststellen, dass es zu mehreren Systemzugriffen in einem Zeitraum kam in dem laut Dienstleister keine Arbeiten stattgefunden hatten. Diese Zugriffsmuster wurden mit weiteren Protokollen etwa aus Backup-Systemen und Zeitsynchronisierungen abgeglichen. So konnte mit hoher Genauigkeit nachgewiesen werden, dass bestimmte Dateien im Bereich der Entwicklungsabteilung verändert und einzelne Benutzerkonten temporär administrativ hochgestuft worden waren, ohne dass diese Änderungen offiziell dokumentiert wurden.
Eine besondere Herausforderung bestand in der heterogenen Systemlandschaft da die Drittanbieterlösungen auf unterschiedlichen Plattformen arbeiteten und teils proprietäre Formate verwendeten. Mit speziell entwickelten Analysemodulen konnten auch diese Daten auf einheitliche Zeitachsen übertragen und für die forensische Bewertung nutzbar gemacht werden. Die dadurch gewonnene Transparenz ermöglichte es eine vollständige Ereigniskette zu rekonstruieren, die sowohl den Zeitpunkt als auch den technischen Ablauf der kritischen Zugriffe nachvollziehbar machte.
Das Ergebnis unserer Untersuchung wurde in einem detaillierten Bericht zusammengefasst der sowohl intern zur Klärung des Vorfalls als auch im Rahmen eines juristischen Nachverfahrens verwendet wurde. Darüber hinaus konnte das Unternehmen mit unserer Unterstützung klare Richtlinien für den zukünftigen Umgang mit externen IT-Partnern etablieren einschließlich erweiterter Protokollierungs- und Kontrollmechanismen. Der Fall unterstreicht die Bedeutung einer sorgfältig konzipierten forensischen Integration von Drittanbieterdaten, wenn es darum geht komplexe digitale Vorgänge vollständig aufzuklären.
Wir setzen modernste Technologien zur automatisierten Beweissuche ein, um große Datenmengen effizient zu analysieren. Durch intelligente Filter, Mustererkennung und Algorithmen identifizieren wir relevante Inhalte schneller sei es in E-Mails, Dokumenten oder Protokolldaten. Unsere IT-Forensiker validieren und interpretieren die Ergebnisse und sichern diese rechtskonform – ideal für Mandanten mit hohem Zeit- und Präzisionsbedarf.
Ein mittelständisches Produktionsunternehmen wandte sich an unser forensisches Institut, nachdem im Rahmen eines internen Kontrollverfahrens der Verdacht aufgekommen war, dass ein Mitarbeiter gezielt Daten in einem Qualitätssicherungssystem manipuliert haben könnte. Ziel war es offenbar fehlerhafte Produktionschargen unbemerkt durch die Endkontrolle zu schleusen. Da täglich eine große Anzahl an Datensätzen verarbeitet wurde, war eine manuelle Durchsicht aller Vorgänge weder zeitlich noch wirtschaftlich realisierbar. Das Unternehmen bat daher um eine automatisierte forensische Analyse zur gezielten Identifikation auffälliger Muster und möglicher Beweisspuren.
Nach der forensischen Sicherung der relevanten Systeme wurde ein vollständiges Abbild der betroffenen Server erstellt das sowohl strukturierte Datenbanken als auch Logdateien und Anwendungsdaten enthielt. Im Anschluss daran entwickelten wir für diesen Fall ein spezielles Analyseverfahren das auf regelbasierten Filtern sowie heuristischen Modellen basierte, um potenziell manipulierte Einträge automatisiert zu identifizieren. Dabei wurden insbesondere zeitliche Auffälligkeiten ungewöhnliche Verteilungsmuster sowie Abweichungen von typischen Eingabeprofilen berücksichtigt.
Bereits in der ersten Auswertungsphase konnten mehrere hundert Datensätze mit auffälligen Änderungen identifiziert werden, deren zeitlicher Ursprung außerhalb der üblichen Arbeitszeiten lag. Ergänzend dazu zeigte die Analyse von Benutzerzugriffsprotokollen, dass ein bestimmtes Benutzerkonto wiederholt in Verbindung mit diesen verdächtigen Einträgen stand. Durch die Korrelation verschiedener Datenquellen etwa aus dem Zugriffsmanagement der Software der Systemzeit und den Änderungshistorien gelang es ein präzises Bild der Manipulationen zu zeichnen.
Ein wesentlicher Bestandteil der Untersuchung war die Validierung der automatischen Treffer durch manuelle Einzelfallprüfung. Diese ergab, dass in einer Vielzahl der Fälle Produktions-kritische Toleranzwerte überschrieben worden waren, ohne dass dies dokumentiert oder freigegeben wurde. Parallel dazu ließ sich nachweisen, dass auf dem Rechner des betreffenden Mitarbeiters gezielt technische Hilfsmittel eingesetzt worden waren, um Spuren zu verschleiern, darunter Skripte zur automatisierten Datenänderung.
Das Ergebnis der Untersuchung wurde in einem umfassenden forensischen Gutachten zusammengefasst das sowohl die automatisierte Beweissuche als auch deren manuelle Validierung nachvollziehbar dokumentierte. Der Fall veranschaulicht wie moderne IT-forensische Verfahren in Kombination mit intelligenter Automatisierung eine effiziente und gerichtsfeste Aufklärung komplexer digitaler Sachverhalte ermöglichen. Zugleich wurde das betroffene Unternehmen durch unsere Empfehlungen in die Lage versetzt präventive Kontrollmechanismen und Warnsysteme zu etablieren, um ähnliche Vorfälle in Zukunft frühzeitig zu erkennen.
Mobile Anwendungen enthalten häufig sensible Informationen. Wir extrahieren und analysieren App-Daten wie Chatverläufe, GPS-Standorte, Nutzeraktivitäten oder gespeicherte Inhalte sowohl bei populären Anwendungen wie WhatsApp oder Facebook als auch bei branchenspezifischer Software. Unsere Auswertungen liefern verwertbare Ergebnisse für juristische oder interne Fragestellungen nachvollziehbar dokumentiert und datenschutzkonform.
Ein Unternehmen aus dem Bereich der Logistik wandte sich mit dem Verdacht an unser forensisches Institut, dass ein Mitarbeiter betriebliche Kommunikationswege über eine nicht autorisierte Messenger-App genutzt haben könnte, um sensible Informationen weiterzugeben. Die interne IT hatte Hinweise auf ungewöhnlichen Datenverkehr festgestellt, der mit einem dienstlich ausgegebenen Smartphone in Verbindung stand. Ziel der Untersuchung war es die auf dem Gerät gespeicherten App-Daten forensisch zu sichern und auszuwerten um etwaige Verstöße gegen interne Richtlinien nachvollziehen zu können.
Das betroffene Mobilgerät wurde unserem Institut unter Beachtung der geltenden Beweissicherungsstandards übergeben und in einer abgeschirmten Umgebung analysiert. Unter Einsatz eines spezialisierten forensischen Extraktionstools wurden sämtliche verfügbaren Anwendungsdaten ausgelesen darunter sowohl lokal gespeicherte Inhalte als auch zwischengespeicherte Serverdaten. Die Extraktion erfolgte physikalisch, sodass auch gelöschte oder versteckte Informationen rekonstruierbar waren.
Besonderes Augenmerk lag auf der Messenger-App die nicht zu den offiziell zugelassenen Kommunikationsmitteln des Unternehmens gehörte. Durch die Analyse der Anwendungsdaten konnten Nachrichtenverläufe Metadaten Kontaktlisten sowie Dateianhänge extrahiert werden. Ein Teil der Nachrichten war zuvor gelöscht worden konnte jedoch durch tiefgreifende Speicheranalyse teilweise wiederhergestellt werden. Die Auswertung ergab, dass dienstliche Informationen darunter Fahrpläne und Kundenanfragen wiederholt über private Kontakte ausgetauscht wurden, was einen klaren Verstoß gegen die betrieblichen Vorgaben darstellte.
Zusätzlich wurde untersucht, ob weitere Anwendungen für unerlaubte Kommunikation oder Datentransfer genutzt wurden. Dabei wurden unter anderem Hinweise auf das Nutzen von Cloudspeichern und alternativen E-Mail-Diensten gefunden, die nicht zentral protokolliert waren. Die Zeitstempel und GPS-Metadaten aus den App-Daten ermöglichten darüber hinaus die Zuordnung einzelner Kommunikationsereignisse zu konkreten Aufenthaltsorten was zur Bewertung der Nutzungssituation beitrug.
Alle Ergebnisse wurden in einem forensischen Bericht dokumentiert der sowohl technische Details als auch juristisch verwertbares Untersuchungsmaterial enthielt. Das Unternehmen nutzte die Analyse als Grundlage für interne Maßnahmen und zur Nachschärfung seiner Mobile-Device-Management-Strategie. Der Fall zeigt eindrucksvoll wie moderne Mobilgeräte forensisch untersucht werden können um auf Anwendungsebene klare und gerichtsfeste Aussagen über Nutzerverhalten und mögliche Richtlinienverstöße zu ermöglichen.
E-Mail- und Kalendersysteme wie Microsoft 365 oder Google Workspace liefern wichtige Informationen zu Kommunikation und Organisation. Wir analysieren Inhalte, Empfänger, Zeitstempel sowie Kalendereinträge und rekonstruieren so ganze Abläufe. Auch gelöschte oder verschlüsselte Inhalte können wir sichern und auswerten. Unsere Ergebnisse sind gerichtsfest und bieten eine verlässliche Grundlage für Ihre Entscheidungen.
Im Zuge eines gerichtlichen Verfahrens wandte sich der bestellte Nachlassverwalter eines kürzlich verstorbenen Unternehmers an unser forensisches Institut mit dem Anliegen die digitalen Kommunikations- und Termindaten des Erblassers auf mögliche Unregelmäßigkeiten hin zu überprüfen. Hintergrund war ein eskalierender Streit unter den Erben über die Echtheit einer geschäftlich relevanten Entscheidung, die kurz vor dem Tod des Unternehmers getroffen worden sein soll. Dabei ging es um die Übertragung von Unternehmensanteilen an einen einzelnen Begünstigten, die durch eine E-Mail sowie einen digitalen Kalendereintrag bestätigt worden war.
Da der Verstorbene geschäftlich eine Cloud-basierte E-Mail und Kalenderlösung nutzte, stellte der Nachlassverwalter in Abstimmung mit den Erben den rechtlichen Zugang zu diesen Daten sicher. Unsere Aufgabe bestand in der forensischen Sicherung und Analyse sämtlicher E-Mails Kalenderdaten Sitzungsprotokolle und Metadaten. Die Daten wurden vollständig aus dem Cloud-Konto extrahiert in einer geschützten Umgebung analysiert und hinsichtlich Authentizität und möglicher Manipulationen untersucht.
Im Rahmen der Analyse stellte sich heraus, dass die betreffende E-Mail zwar über das Benutzerkonto des Erblassers verschickt worden war jedoch technische Abweichungen aufwies. Die IP-Adresse des Versandvorgangs unterschied sich auffällig von bisherigen Zugriffen ebenso wie die verwendete Gerätekennung. Die Zeitstempel der E-Mail und der zugehörige Kalendereintrag ließen sich mithilfe forensischer Methoden als rückdatiert identifizieren. Besonders auffällig war ein untypischer Login aus einer fremden Region kurz vor dem Versanddatum der mit keinem der bekannten Aufenthaltsorte des Unternehmers korrelierte.
Zusätzlich zeigte die Analyse der Synchronisationsprotokolle, dass einzelne Kalenderdaten offenbar gezielt verändert worden waren, ohne dass diese Änderungen wie sonst üblich automatisch auf den verbundenen Geräten des Erblassers aktualisiert wurden. Dieser Befund deutete auf eine manuelle Bearbeitung über die Weboberfläche der Cloud-Anwendung hin was wiederum Rückschlüsse auf die Art und Weise der Manipulation ermöglichte.
Das Ergebnis der Untersuchung wurde in einem detaillierten Gutachten dokumentiert, dass dem Nachlassverwalter zur Vorlage beim Nachlassgericht diente. Auf Grundlage der forensischen Beweise konnte plausibel dargelegt werden, dass die geschäftlich relevante Entscheidung mit hoher Wahrscheinlichkeit nicht mehr vom Verstorbenen selbst getroffen, sondern nachträglich durch Dritte über sein Benutzerkonto vorgenommen worden war. Der Fall belegt wie entscheidend die digitale Forensik bei der Klärung von Erbangelegenheiten sein kann insbesondere, wenn moderne Cloud-Dienste genutzt wurden und der digitale Nachlass Bestandteil der rechtlichen Bewertung ist.
Mit dem Einsatz der GrayKey-Technologie erhalten wir Zugriff auf gesperrte oder verschlüsselte Mobilgeräte insbesondere iPhones und erstellen eine vollständige, forensische Datenkopie. So können wir auch unter schwierigen Bedingungen entscheidende Inhalte sichern. Alle Maßnahmen erfolgen unter strikter Einhaltung der gesetzlichen Rahmenbedingungen und forensischer Standards.
Eine mittelgroße Immobilienfirma beauftragte unser forensisches Institut mit der Analyse eines dienstlichen Smartphones, das von einem ehemaligen leitenden Angestellten genutzt worden war. Anlass der Untersuchung war der Verdacht, dass während der Vertragslaufzeit interne Geschäftsinformationen an ein konkurrierendes Unternehmen weitergegeben worden sein könnten. Erste Hinweise aus dem E-Mail-Verkehr sowie interne Gesprächsprotokolle deuteten auf einen möglichen Verstoß gegen Verschwiegenheitsverpflichtungen und Wettbewerbsabsprachen hin. Da der Mitarbeiter sich weigerte, das Gerät freiwillig zu entsperren wurde in enger Abstimmung mit der Rechtsabteilung des Unternehmens eine forensische Extraktion mit GrayKey veranlasst.
Nach der rechtlich abgesicherten Übergabe des Geräts wurde im geschützten Laborumfeld die Extraktion durchgeführt. GrayKey ermöglichte in diesem Fall den Zugang zu einem gesperrten iPhone durch die Ausnutzung systemseitiger Schwachstellen. Im Anschluss konnte ein umfassendes Abbild der im Gerätespeicher enthaltenen Daten erstellt werden. Dabei wurden sowohl aktive Inhalte als auch gelöschte Dateien Chatverläufe Metadaten von Anwendungen sowie Internetaktivitäten berücksichtigt.
Die Analyse konzentrierte sich insbesondere auf Messenger-Dienste Kalenderdaten Cloud-Synchronisationen und Dateianhänge. Es zeigte sich dass über eine verschlüsselte Messaging-App mehrfach vertrauliche Objektinformationen einschließlich Standortdetails und Vertragsinhalte an eine private Kontaktperson übermittelt worden waren. In mehreren Fällen war der Zeitrahmen dieser Kommunikation auffällig nah an unternehmensinternen Entscheidungsprozessen zur Projektvergabe. Zudem ergab die Auswertung der Kalendereinträge, dass mehrere nicht autorisierte persönliche Treffen mit einem externen Geschäftspartner stattgefunden hatten, die nicht im offiziellen System dokumentiert waren.
Ein weiterer Aspekt der Untersuchung war die Wiederherstellung gelöschter Dateien die durch GrayKey extrahiert und mit speziellen Analysewerkzeugen rekonstruiert wurden. Darunter befanden sich auch Präsentationen und Vertragsvorlagen die aus internen Projekten stammten und auf die es ohne Zugriffsrechte keinen legalen Zugriff hätte geben dürfen. Die gesicherten Inhalte belegten eindeutig, dass der Mitarbeiter gezielt Daten aus dem Unternehmen exportiert hatte mit dem offensichtlichen Ziel diese extern zu nutzen.
Die Ergebnisse der Untersuchung wurden in einem forensischen Gutachten dokumentiert, dass dem Unternehmen als Entscheidungsgrundlage für weitere rechtliche Schritte diente. Gleichzeitig wurden Empfehlungen zur Absicherung mobiler Endgeräte sowie zur Überwachung sensibler Kommunikationskanäle ausgesprochen. Der Fall verdeutlicht wie wichtig moderne Extraktionswerkzeuge wie GrayKey in der digitalen Beweissicherung sein können insbesondere, wenn sensible Informationen über mobile Endgeräte unrechtmäßig weitergegeben werden.
Unser Volume Copy Shadow Service ermöglicht es, große Datenbestände während des laufenden Betriebs sicher zu sichern. Ohne die Systeme zu unterbrechen, erstellen wir präzise Schattenkopien von Servern und Speichermedien, die sich sowohl zur forensischen Analyse als auch zur Wiederherstellung eignen. Ideal für Unternehmen, die Datensicherheit und Betriebsfähigkeit gleichzeitig gewährleisten möchten.
Eine große Bildungseinrichtung trat an unser forensisches Institut heran, nachdem festgestellt worden war, dass sensible Verwaltungsdaten aus dem Netzwerk eines Fachbereichs gelöscht worden waren. Die betroffenen Daten betrafen unter anderem Prüfungsdokumentationen und interne Protokolle zur Studienorganisation. Es bestand der Verdacht, dass die Löschung absichtlich erfolgt war da die betroffenen Dateien zuvor im Rahmen eines internen Konflikts zwischen zwei Mitarbeitenden mehrfach verändert worden waren. Ziel der Untersuchung war die Wiederherstellung der Daten sowie die Klärung des zeitlichen Ablaufs und möglicher Manipulationen.
Bei der ersten Analyse zeigte sich, dass die Originaldateien nicht mehr auf den betroffenen Systemen vorhanden waren und auch aus dem Netzwerkspeicher entfernt worden waren. Eine Untersuchung der lokalen Arbeitsstationen ergab ebenfalls keine verwertbaren Kopien. Im weiteren Verlauf der Sicherung wurde jedoch festgestellt, dass das System auf mehreren beteiligten Rechnern regelmäßig automatische Schattenkopien über den Volume Shadow Copy Service erstellt hatte. Diese versteckten Sicherungsversionen enthielten frühere Zustände der gelöschten Dateien und konnten über ein speziell angepasstes forensisches Werkzeug extrahiert werden.
Nach der Extraktion der Schattenkopien erfolgte eine chronologische Auswertung der Dateiversionen. Dabei ließ sich feststellen, dass die betroffenen Dokumente über mehrere Wochen hinweg mehrfach bearbeitet und zuletzt innerhalb eines sehr kurzen Zeitraums vollständig gelöscht worden waren. Durch den Abgleich der Zeitstempel mit den Benutzerkonten und den Logdaten des Betriebssystems konnte eindeutig festgestellt werden welcher Nutzer zu welchem Zeitpunkt welche Änderungen vorgenommen hatte. In mehreren Fällen war die Manipulation gezielt darauf ausgerichtet Dokumentinhalte unkenntlich zu machen bevor die Dateien anschließend gelöscht wurden.
Die durch den Volume Shadow Copy Service geretteten Versionen ermöglichten es die ursprünglichen Inhalte der gelöschten Prüfungsunterlagen vollständig zu rekonstruieren. Darüber hinaus ließen sich auch Metadaten wiederherstellen die Informationen zu Entstehungszeitpunkt Bearbeitungsdauer und Dateipfaden enthielten. Diese Daten spielten eine entscheidende Rolle bei der Rekonstruktion des Vorfalls und der internen Aufarbeitung durch die Leitung der Bildungseinrichtung.
Die Ergebnisse wurden in einem ausführlichen forensischen Bericht dokumentiert der neben der Wiederherstellung auch eine technische Bewertung der internen Sicherungs- und Zugriffskonzepte beinhaltete. Der Fall zeigt eindrücklich wie der Volume Shadow Copy Service als stille Sicherheitsfunktion eine zentrale Rolle in der forensischen Analyse spielen kann und wie durch frühzeitige und strukturierte Datensicherung potenziell kritische Informationsverluste erfolgreich aufgefangen werden können.
Browserverläufe und Internetaktivitäten geben tiefe Einblicke in das digitale Verhalten eines Nutzers. Wir analysieren Suchverläufe, Cookies, besuchte Seiten und Formulareingaben – lokal wie cloudbasiert und rekonstruieren so relevante Abläufe. Besonders hilfreich bei der Aufklärung von Datenschutzverstößen, Cybercrime oder internen Vorfällen.
Im Rahmen eines umfangreichen Ermittlungsverfahrens wurde unser forensisches Institut von einer zuständigen Behörde mit der Analyse verschiedenster sichergestellter Asservate beauftragt. Im Zentrum der Untersuchung standen mehrere IT-Systeme darunter stationäre Computer Laptops und mobile Endgeräte die im Zuge einer koordinierten Maßnahme sichergestellt worden waren. Ziel war es festzustellen in welchem Umfang und mit welcher Intensität die betroffenen Geräte für den Zugriff auf bestimmte internetbasierte Inhalte genutzt worden waren.
Ein wesentlicher Bestandteil der Untersuchung war die forensische Auswertung der Webbrowser-Verkaufsdaten auf allen relevanten Geräten. Dabei wurde systematisch geprüft ob und in welchem Zeitraum gezielte Internetaktivitäten stattgefunden hatten, die im Zusammenhang mit den eingeleiteten Ermittlungen standen. Mithilfe spezieller Analysewerkzeuge wurden Browserverläufe aus unterschiedlichen Quellen extrahiert darunter temporäre Dateien Datenbanken des Browsers und systeminterne Artefakte wie Prefetch-Dateien und DNS-Cacheeinträge.
Die Herausforderung bestand darin unterschiedliche Browsertypen und Versionen auf verschiedensten Betriebssystemen auszuwerten und auch gelöschte beziehungsweise manipulierte Daten wieder sichtbar zu machen. In mehreren Fällen war der Browserverlauf manuell entfernt, jedoch konnten durch die tiefgreifende Analyse über Schattenkopien und Speicherfragmente frühere Aktivitäten rekonstruiert werden. Diese enthielten detaillierte Informationen über besuchte Webseiten Zeitstempel Suchbegriffe Verweildauer und Nutzung bestimmter Webdienste.
Besonders aufschlussreich war die Korrelation zwischen den zeitlichen Mustern des Surfverhaltens und der parallelen Nutzung anderer Anwendungen auf den Geräten. Dadurch ließ sich das individuelle Nutzerverhalten präzise rekonstruieren und in den Kontext des laufenden Verfahrens einordnen. In mehreren Fällen konnten wiederkehrende Zugriffsmuster auf spezifische Inhalte identifiziert werden die sowohl thematisch als auch zeitlich mit anderen forensisch gesicherten Informationen aus Chats E-Mails und Dateiablagen in Verbindung standen.
Die vollständige Analyse wurde in einem gerichtsverwertbaren Gutachten dokumentiert, das als Grundlage für die weiteren Ermittlungen diente. Durch die gezielte Extraktion und Auswertung der Webbrowser-Verkaufsdaten konnten entscheidende Einblicke in das Verhalten und die Absichten der untersuchten Personen gewonnen werden. Der Fall unterstreicht die Bedeutung browserbasierter Spuren für die digitale Forensik insbesondere im Rahmen komplexer behördlicher Verfahren, bei denen die Nutzung des Internets eine zentrale Rolle spielt.
Neben der Analyse des Webbrowser-Verlaufs beinhaltete die forensische Gesamtuntersuchung eine umfassende Auswertung aller lokal und extern gespeicherten Dateien. Dabei wurde geprüft ob Dateien mit bestimmten Inhalten vorhanden verändert oder gelöscht worden waren und in welchen Zeiträumen Zugriffe erfolgten. Ein besonderer Fokus lag auf der Wiederherstellung gelöschter Dateien aus unstrukturierten Speicherbereichen wie freiem Speicher und temporären Ablagen.
Ein weiterer Schwerpunkt der Untersuchung war die Analyse von Kommunikationsdaten. Dazu gehörte die Auswertung von E-Mail-Konten Messenger-Diensten und Chatverläufen, einschließlich der zugehörigen Metadaten. Ziel war es Kommunikationsmuster zu erkennen Netzwerke zwischen beteiligten Personen aufzuzeigen und gegebenenfalls Zusammenhänge mit anderen digitalen Spuren herzustellen.
Darüber hinaus wurden Protokolldateien des Betriebssystems und installierter Anwendungen systematisch gesichert und untersucht. Diese Logdaten lieferten Hinweise auf das An- und Abmeldeverhalten der Nutzer systeminterne Warnungen sowie externe Speicherzugriffe und erlaubten Rückschlüsse auf die Nutzung von USB-Geräten und Cloud-Diensten.
Ein wesentlicher Teil der Untersuchung betraf die Analyse installierter Software und potenziell eingesetzter Tarn- oder Löschwerkzeuge. Dabei wurde geprüft ob Programme zur Verschlüsselung zur Anonymisierung oder zur gezielten Datenlöschung installiert und verwendet wurden. Diese Bewertung erfolgte stets im Zusammenhang mit dem ermittelten Nutzerverhalten und den Gesamtbefunden der anderen Analysebereiche.
Schließlich wurde auch das Nutzerverhalten im Netz unter Berücksichtigung zeitlicher und inhaltlicher Zusammenhänge eingehend bewertet. Dazu zählte etwa die Analyse von Suchbegriffen Verweildauern auf bestimmten Plattformen und die Nutzung sozialer Medien. Alle Erkenntnisse wurden in einem konsistenten Bericht gebündelt, der das Gesamtbild der digitalen Nutzung über die untersuchten Systeme hinweg darstellte und so eine fundierte Bewertung möglicher Regel- oder Gesetzesverstöße ermöglichte.
Wenn Daten durch Ransomware oder Verschlüsselung blockiert sind, helfen wir mit unserem Know-how bei der Wiederherstellung. Wir analysieren Verschlüsselungstechniken, identifizieren Schwachstellen und stellen sofern möglich den ursprünglichen Datenzugang wieder her. Dabei prüfen wir auch, ob die Inhalte unverändert geblieben sind, und dokumentieren alle Schritte lückenlos.
Ein renommiertes wissenschaftliches Institut wandte sich in einer akuten Notlage an unser forensisches Institut, nachdem über Nacht der Zugriff auf einen Teil des zentralen Datenspeichers mit einem Gesamtvolumen von über siebzig Terabyte nicht mehr möglich gewesen ist. Die betroffenen Systeme umfassten Forschungsdaten aus mehreren Fachbereichen die über viele Jahre hinweg aufgebaut worden waren und deren Verlust schwerwiegende Folgen für laufende Projekte und internationale Kooperationen gehabt hätte. Erste Analysen der internen IT ließen vermuten, dass es sich um einen gezielten Angriff mit anschließender Verschlüsselung handelte.
Unsere forensischen Spezialisten begannen unmittelbar nach der Übernahme des Falles mit der strukturierten Sicherung aller betroffenen Systeme und der Erstellung unveränderlicher Abbilder der kompromittierten Server. Die Analyse konzentrierte sich zunächst auf verdächtige Prozesse kryptografische Artefakte sowie Hinweise auf die eingesetzte Schadsoftware. In den temporären Speicherbereichen und Logdateien konnten mehrere verdächtige Binärdateien identifiziert werden die auf den ersten Blick keine bekannten Muster aufwiesen. Um erste Hinweise auf Ursprung und Funktionsweise des Angriffs zu erhalten wurden spezialisierte YARA-Regeln eingesetzt die auf typische Eigenschaften von Schadsoftwarefamilien und Verschlüsselungstools trainiert waren.
Durch die Anwendung dieser YARA-Regeln konnten bestimmte Codeabschnitte identifiziert werden die charakteristisch für eine bekannte Ransomware-Gruppe waren die bereits in mehreren Fällen weltweit ähnliche Angriffe verübt hatte. Die Analyse der Funktionsweise des Codes sowie die erkannten Verhaltensmuster wie etwa das gezielte Umbenennen von Dateiendungen und die Generierung verschlüsselter Schlüsseldateien halfen dabei die Arbeitsweise der Angreifer nachvollziehbar zu rekonstruieren. Parallel wurden die betroffenen Dateisysteme auf verbliebene unverschlüsselte Fragmente untersucht und Protokolldaten analysiert, um zeitliche Abläufe des Angriffs zu ermitteln.
Besonderes Augenmerk galt der Frage, ob sich Teile des Verschlüsselungsprozesses durch Schwächen in der Implementierung rückgängig machen ließen. In enger Abstimmung mit internationalen Partnern wurden Vergleichsfälle analysiert und bekannte Entschlüsselungsansätze getestet. In mehreren Bereichen gelang es mithilfe von Speicherabbildern und rekonstruierten Schlüsselinformationen einzelne Datenbereiche wieder lesbar zu machen. Zwar konnte das Gesamtsystem nicht vollständig entschlüsselt werden jedoch ermöglichte die gezielte Rekonstruktion einzelner Sektoren die Wiederherstellung besonders sensibler und wertvoller Forschungsdaten.
Insgesamt gelang es unserem Institut rund fünfundneunzig Prozent der verschlüsselten Daten erfolgreich wiederherzustellen, ohne auf Erpresserforderungen einzugehen. Die kompromittierten Daten konnten so größtenteils rekonstruiert werden und standen dem Institut nach Abschluss der Arbeiten wieder für den regulären Forschungsbetrieb zur Verfügung. Aufgrund des außergewöhnlich hohen Datenvolumens sowie der Komplexität der Systemlandschaft erstreckte sich die vollständige Bearbeitung des Falls über einen Zeitraum von vier Monaten. Die Wiederherstellung erforderte neben tiefgehender forensischer Analyse auch eine engmaschige Koordination zwischen unterschiedlichen Fachbereichen und Partnerinstitutionen.
Abschließend wurden alle Erkenntnisse in einem umfassenden Gutachten zusammengefasst, das sowohl die technische Analyse als auch Empfehlungen zur Verbesserung der IT-Sicherheitsarchitektur des Instituts enthielt. Der Einsatz von YARA-Regeln war dabei ein zentraler Baustein in der schnellen und zielgerichteten Identifikation des Angriffsvektors und der anschließenden forensischen Bewertung. Der Fall verdeutlicht eindrücklich wie entscheidend spezialisierte Erkennungsmethoden und strukturiertes Vorgehen für die Wiederherstellung kompromittierter Datenbestände in hochkomplexen digitalen Umgebungen sind.
Hinter jedem Foto oder Video verbergen sich Metadaten, die wichtige Hinweise liefern: Wann und wo wurde die Datei erstellt, mit welchem Gerät, und wurde sie bearbeitet? Wir analysieren diese Informationen präzise, prüfen auf Manipulationen und bereiten die Ergebnisse so auf, dass sie juristisch verwertbar sind ideal für Klärungen rund um Urheberschaft, Echtheit oder Entstehungskontext.
Ein mittelständisches Ingenieurbüro wandte sich an unser forensisches Institut, nachdem Unstimmigkeiten bei der Dokumentation von Baufortschritten auf mehreren Baustellen festgestellt worden waren. Im Rahmen eines internen Qualitätssicherungsverfahrens hatte die Geschäftsführung Hinweise darauf erhalten, dass einzelne Fotodokumentationen nicht zum tatsächlichen Projektverlauf passten. Da die Fotos von Mitarbeitenden mit dienstlich bereitgestellten Mobilgeräten aufgenommen wurden sollte überprüft werden ob Manipulationen vorlagen oder ob die Bilder korrekt und zum angegebenen Zeitpunkt entstanden waren.
Unsere forensischen Fachkräfte erhielten mehrere Mobilgeräte zur Untersuchung auf potenziell relevante Bilddateien. Nach der datenschutzkonformen Sicherung wurden die gesicherten Inhalte extrahiert und einem strukturierten Analyseprozess unterzogen. Im Fokus stand dabei die Auswertung der Metadaten der Bilddateien insbesondere jener Informationen der Aufschluss über Aufnahmedatum Uhrzeit GPS-Koordinaten und Geräteeinstellungen gaben. Die Analyse dieser Metadaten erfolgte mit speziell entwickelten Tools die auch Veränderungen oder Unstimmigkeiten in der Metadatenstruktur sichtbar machen können.
In mehreren Fällen konnten deutliche Abweichungen zwischen dem angegebenen Aufnahmedatum im internen Bericht und den tatsächlichen Metadaten der Bilddateien festgestellt werden. Darüber hinaus wiesen einzelne Dateien Hinweise auf nachträgliche Bearbeitung oder Manipulation auf was sich unter anderem in untypischen Metadatenfeldern und Zeitstempeln äußerte. Anhand der exakten GPS-Daten ließ sich zudem rekonstruieren, dass bestimmte Aufnahmen nicht auf der jeweiligen Baustelle, sondern an einem ganz anderen Ort aufgenommen worden waren.
Besonders brisant wurde die Situation als das Ingenieurbüro von einem Auftraggeber mit einem erheblichen Schadensersatzanspruch konfrontiert wurde. Grundlage des Anspruchs war ein fehlerhaft dokumentierter Bauzustand der zur Verzögerung eines Projekts geführt hatte. Zudem war ein Versicherungsschaden geltend gemacht worden, bei dem die eingereichte Fotodokumentation als Beleg für ordnungsgemäße Bauausführung dienen sollte. Die forensische Analyse ermöglichte es die tatsächlichen Umstände anhand der Metadaten objektiv darzustellen und so eine fundierte Beurteilung der Haftungsfrage vorzunehmen.
Durch unsere Untersuchung konnte nachgewiesen werden, dass die eingereichten Fotos nicht den dokumentierten Zustand widerspiegelten was maßgeblich zur Klärung der Verantwortlichkeiten beitrug. Das Ingenieurbüro konnte sich auf dieser Basis gezielt mit seinen Vertragspartnern auseinandersetzen und gegenüber der Versicherung transparent nachweisen welche Nachlässigkeiten tatsächlich aufseiten des Unternehmens lagen und welche nicht. Der Fall zeigt eindrücklich wie die Auswertung von Fotometadaten in komplexen wirtschaftlichen und rechtlichen Zusammenhängen eine entscheidende Rolle spielen kann insbesondere bei der Abwehr oder Durchsetzung von Schadensansprüchen.
Die Extraktion erfolgt mittels write-blocking Hardware und spezialisierter Imaging-Software. Ziel ist die Erstellung eines forensisch einwandfreien 1:1-Abbilds (z. B. im E01- oder RAW-Format), welches als Grundlage für die weitere Analyse dient.
Ein Unternehmen aus dem Bereich der Produktentwicklung wandte sich an unser forensisches Institut mit der Bitte um die Analyse einer internen Datenmanipulation. Im Zentrum stand ein Arbeitsplatzrechner eines langjährigen Mitarbeiters der nach seinem Ausscheiden aus dem Unternehmen im Verdacht stand vertrauliche Konstruktionsdaten unerlaubt kopiert oder verändert zu haben. Die interne IT-Abteilung hatte erste Unregelmäßigkeiten festgestellt, konnte jedoch nicht mit der notwendigen Beweissicherheit nachvollziehen welche konkreten Daten betroffen waren und wie die Datenabflüsse stattgefunden hatten.
Nach der Übernahme des betroffenen Rechners durch unser Institut erfolgte zunächst die forensisch einwandfreie Sicherung des Festplatteninhalts. In einer geschützten Laborumgebung wurde ein vollständiges Abbild der Festplatte erstellt um sämtliche vorhandenen Daten einschließlich gelöschter Dateien temporärer Speicherbereiche sowie versteckter Systeminformationen untersuchen zu können. Dabei kam ein spezielles Prüfverfahren zum Einsatz das die Integrität der Daten während des gesamten Analyseprozesses gewährleistete.
Die Auswertung ergab, dass mehrere sensible Projektverzeichnisse in den Tagen vor dem Ausscheiden des Mitarbeiters intensiv bearbeitet worden waren. Es konnten eindeutige Hinweise auf externe Datenträgernutzung festgestellt werden darunter die wiederholte Verbindung eines nicht im System registrierten USB-Sticks sowie umfangreiche Kopiervorgänge zu ungewöhnlichen Tageszeiten. Zusätzlich wurden Hinweise auf das manuelle Löschen von Verzeichnissen und Protokolldateien gefunden, die möglicherweise dazu dienen sollten, Spuren zu verwischen. Diese Dateien konnten durch spezielle Wiederherstellungsverfahren teilweise rekonstruiert und analysiert werden.
Besonders aufschlussreich waren die Zeitstempel und Dateiverlaufsinformationen die ein exaktes Bild der Abläufe ermöglichten. So ließ sich der zeitliche Zusammenhang zwischen bestimmten Dateiänderungen und dem Anschluss externer Geräte exakt nachvollziehen. Darüber hinaus konnte nachgewiesen werden, dass bestimmte sicherheitsrelevante Logdateien kurz nach der letzten bekannten Systemnutzung manuell verändert wurden, was eine gezielte Vertuschung vermuten ließ.
Unser Institut dokumentierte sämtliche Ergebnisse in einem gerichtsverwertbaren Gutachten, das dem Unternehmen als Grundlage für die rechtliche Bewertung des Vorfalls diente. Der Fall zeigte exemplarisch wie selbst komplexe Manipulationsversuche durch präzise digitale Spurensicherung und systematische Analyse aufgedeckt werden können. Die anschließende Beratung durch unsere IT-Forensik ermöglichte dem Unternehmen darüber hinaus konkrete Maßnahmen zur Optimierung der internen Datensicherheit und zur besseren Überwachung kritischer Arbeitsplätze.