Datum: 23.12.2025, Christoph Neumann, Forensik-Blog

 1. Einleitung – Messenger und deren Bedeutung
WhatsApp zählt neben anderen Messengern (z.B. Telegram)  zu den am häufigsten genutzten Kommunikationsdiensten und spielt dementsprechend eine zentrale Rolle in zivil- und strafrechtlichen Verfahren. Die Erwartung, Chatverläufe vollständig rekonstruieren zu können, ist dabei weit verbreitet. Diese Erwartung steht jedoch zunehmend im Widerspruch zur technischen Realität moderner Mobilgeräte. 

Entscheidend hierfür ist die Möglichkeit des Zugriffs auf eine unverschlüsselte Message-Datenbank (primär msgstore.db bei Android oder ChatStorage.sqlite bei iOS).

Die Möglichkeiten des kompletten Datenbankzugriffs unterscheiden sich deutlich zwischen den beiden großen Plattformen:

iOS:
 Hier können WhatsApp-Daten im Rahmen eines verschlüsselten iTunes-Backups in der Regel extrahiert und die Datenbankdatei anschließend unverschlüsselt ausgelesen werden, sofern das Backup-Passwort bekannt ist. Dies ermöglicht häufig einen logischen Zugriff auf die Chat-Daten, selbst wenn das Gerät gesperrt ist. 
 

Android: 
Auf Android-Geräten ist der Zugriff auf die für WhatsApp benötigten Schlüsseldateien deutlich restriktiver. Der Zugriff auf die Datenbank (verschlüsselt als crypt14 oder crypt15) erfordert in der Regel entweder Root-Rechte auf dem Gerät oder die Erstellung eines physikalischen Images inklusive der Systempartition. Ohne diese Maßnahmen bleibt der direkte Datenbankzugriff meist verwehrt, je nach Android- und WhatsApp-Version.
 

 In der Praxis wird dies häufig gleichgesetzt mit dem Fehlschlagen einer forensischen Analyse. 

Diese Schlussfolgerung greift jedoch zu kurz, da auch sekundäre Artefakte wie Mediendateien, Thumbnails, Cache-Daten oder Benachrichtigungsprotokolle wertvolle Hinweise liefern können.


2. Sekundäre Artefakte als forensische Beweisquelle

Auch ohne direkten Zugriff auf die Chat-Datenbank hinterlässt WhatsApp eine Vielzahl sogenannter sekundärer Artefakte auf dem Mobilgerät. Diese entstehen außerhalb der verschlüsselten Datenbank und können unabhängig von ihr ausgewertet werden.

Ziel der Analyse ist dabei nicht die vollständige Rekonstruktion eines Chatverlaufs, sondern die indiziengestützte Bewertung von Kommunikationsereignissen.

 

3. Mediendateien und Metadaten

WhatsApp speichert empfangene und gesendete Medien in vielen Konfigurationen außerhalb der eigentlichen Chat-Datenbank. Dazu zählen insbesondere Bild-, Video- und Audiodateien, übermittelte Dokumente oder Vorschaubilder (Thumbnails)

Diese Dateien enthalten regelmäßig Dateisystem-Zeitstempel (Erstellung, Änderung, Zugriff) und WhatsApp-typische Dateinamensschemata oder sonstige Metadaten (EXIF-Daten werden jedoch bei WhatsApp in der Regel aufgrund von Datenkompressionen nicht übermittelt)

Die Existenz solcher Dateien belegt objektiv, dass ein Medienaustausch über WhatsApp stattgefunden hat, auch wenn der zugehörige Textverlauf nicht mehr zugänglich ist.

 

4. Dateinamenschemata als Kontextinformation

WhatsApp verwendet standardisierte Dateinamensmuster, beispielsweise:

IMG-20240115-WA0007.jpg VID-20240203-WA0012.mp4 PTT-20240301-WA0004.opus 

Diese erlauben die eindeutige Zuordnung zur Applikation WhatsApp und eine zeitliche Einordnung (mindestens tagesgenau) sowie die Ableitung einer relativen Reihenfolge mehrerer Dateien.

Zwar ersetzen diese Informationen keine exakten Versand- oder Empfangszeiten, sie stellen jedoch ein belastbares Kontextmerkmal dar, das in der Gesamtschau forensisch durchaus verwertbar ist.

 

5. Thumbnails und Cache-Artefakte

Thumbnails und Cache-Dateien sind Dateien, die WhatsApp für die Anzeige von Medien im Chat verwendet. Sie bleiben häufig erhalten, selbst wenn die Originaldateien gelöscht oder verschlüsselt wurden, und stellen daher ein wertvolles sekundäres Artefakt dar.

5.1 Funktionsweise und Speicherorte

Thumbnails werden meist in Unterordnern wie /WhatsApp/Media/.Thumbnails/ oder /Android/data/com.whatsapp/cache/ gespeichert.

Sie enthalten verkleinerte Versionen von Bildern oder Videos, die zur schnelleren Anzeige in der App dienen.

App-Caches speichern temporäre Kopien von Medien und Statusbildern, die ebenfalls ausgelesen werden können.

Die Daten sind in der Regel nicht verschlüsselt, was ihre forensische Analyse erleichtert.
 

5.2 Forensische Relevanz

Thumbnails und Cache-Dateien können genutzt werden, um:
 

- Existenz und Nutzung von Medien zu belegen (selbst wenn Originaldateien gelöscht wurden)

- zeitliche Einordnung von Medienereignissen anhand der Dateisystem-Zeitstempel (Erstellung, Änderung, Zugriff) vorzunehmen

Thumbnails lassen sich häufig eindeutig einem konkreten WhatsApp-Medienobjekt zuordnen, da sie denselben Dateinamensstamm wie die Originaldatei verwenden. In Kombination mit Speicherort, Zeitstempeln und weiteren Artefakten (z. B. Benachrichtigungsprotokollen oder Screenshots) kann daraus ein belastbarer Kontext zu bestimmten Chats oder Kommunikationsereignissen abgeleitet werden.

Diese Artefakte können somit indiziengestützte Beweise liefern, die vor Gericht genutzt werden können, wenn ihre Herkunft und Integrität korrekt dokumentiert sind.
 

5.3 Einschränkungen

Thumbnails ersetzen nicht die Originalmedien – sie liefern meist nur Miniaturansichten.

Zeitstempel geben nicht zwangsläufig den Versandzeitpunkt wieder, sondern können sich auf das Herunterladen oder die Anzeige in der App beziehen.

Bei gerätespezifischen App-Updates oder automatischen Cache-Löschungen können Thumbnails fehlen oder unvollständig sein.
 

5.4 Forensische Nutzung

Durch systematische Sicherung der Cache- und Thumbnail-Ordner können Experten nachvollziehen, welche Medien auf dem Gerät existierten und wann sie zuletzt angezeigt wurden.

In Kombination mit Mediendateien, Benachrichtigungen oder Screenshots lässt sich ein belastbarer Kontext zur Kommunikation rekonstruieren.

6. Benachrichtigungsprotokolle als unabhängige Quelle

Auf Android-Geräten stellen Benachrichtigungsprotokolle eine besonders wertvolle ergänzende Datenquelle dar. Sofern vorhanden, enthalten diese regelmäßig:

- Absenderinformationen

- Ausschnitte des Nachrichteninhalts

- präzise Zeitstempel

- eine eindeutige App-Zuordnung

Da diese Daten unabhängig von der WhatsApp-Datenbank entstehen, können sie auch dann ausgewertet werden, wenn ein direkter Zugriff auf WhatsApp-Daten nicht möglich ist. Informationen zu Benachrichtigungen sind jedoch in der Regel extrem zeitkritisch, sodass eine Analyse und Korrelation zu anderen sekundären Artefakten meist schwierig bis unmöglich ist.

 

7. Screenshots als ergänzendes Beweismittel

Screenshots von WhatsApp-Chats sind isoliert betrachtet kein beweissicheres Artefakt, da sie grundsätzlich manipulierbar sind. Die Bewertung hängt stark von Art und Entstehung des Screenshots ab:
 

7.1 Manuelle Screenshots

Klassische Bildschirmfotos, die der Nutzer erstellt, sind leicht manipulierbar und grundsätzlich nicht als alleiniges Beweismittel nutzbar. Die gerichtliche Aussagekraft ist extrem eingeschränkt und kann höchstens als visuelle Unterstützung in Kombination mit anderen Artefakten dienen.
 

7.2 Forensisch erstellte Screenshots (z. B. mit MOBILedit Forensics)

Forensische Werkzeuge wie MOBILedit ermöglichen neben der forensischen Erfassung von App-Inhalten direkt aus dem Dateisystem oder durch logische Extraktion auch das (ggfls. automatisierte) Anfertigen von Screenshots.

Die Verwendung eines solcher Tools zur Erstellung von Chat-Screenshots hat diverse Vorteile gegenüber manuellen Screenshots:
 

Integrität gesichert: 
Tools erzeugen Prüfsummen (Hashes) und protokollieren den Erstellungszeitpunkt.
 

Vollständigkeit: 
Inhalte werden systematisch erfasst.
 

Dokumentierte Herkunft: 
Jeder Screenshot ist nachvollziehbar und dem konkreten Gerät zugeordnet was die Beweiswürdigkeit erhöht.
 

Forensisch erzeugte Screenshots gelten als belastbarer Kontext, da ihre Integrität und Herkunft dokumentiert ist. Sie ersetzen jedoch nicht die Analyse primärer Artefakte (Datenbank, Medien, Notification Logs).

Screenshots sind somit stets ergänzende Artefakte, keine Primärquelle. Die Beweiskraft steigt, wenn sie mit Prüfsummen versehen sind, systematisch mit forensischen Tools erstellt wurden und idealerweise mit anderen Artefakten (Dateien, Notifications, Thumbnails) korreliert werden.
 

Transparente Dokumentation und Beschreibung der Entstehung sind entscheidend für die gerichtliche Anerkennung.


8. Kontextbildung durch Korrelation mehrerer Artefakte

Ohne Datenbank-Zugriff ist eine vollständige Chat-Rekonstruktion ausgeschlossen. Die forensische Bewertung erfolgt daher über die Korrelation verschiedener Artefaktklassen, etwa:

- Mediendateien und deren Zeitstempel

- Vorschaubilder und Cache-Daten

- Benachrichtigungsprotokolle

- Screenshots als visuelle Kontextquelle

Durch diese Kombination lässt sich ein zeitlicher und sachlicher Zusammenhang herstellen, der gerichtsfest dokumentiert werden kann.

 

9. Grenzen der Analyse

Eine fachlich korrekte Bewertung erfordert die transparente Benennung der bestehenden Grenzen. Ohne Datenbank oder Backup sind regelmäßig nicht möglich:

- Rekonstruktion vollständiger Chatverläufe

- exakte Versand- und Empfangszeiten einzelner Textnachrichten

- Aussagen zu Lesebestätigungen

- die Rekonstruktion gelöschter Textnachrichten
 

Die explizite Benennung dieser Einschränkungen erhöht die Nachvollziehbarkeit und Glaubwürdigkeit des Gutachtens.
 
 

10. Fazit
Der fehlende Zugriff auf die WhatsApp-Datenbank stellt keinen Abbruch der forensischen Analyse dar, sondern erfordert eine angepasste methodische Herangehensweise. Sekundäre Artefakte ermöglichen auch ohne Chat-Datenbank eine belastbare Bewertung von Kommunikationsereignissen, sofern sie fachlich korrekt gesichert, ausgewertet und dokumentiert werden. Forensische Tools helfen hier, sekundäre Artefakte zu sammeln und zu extrahieren und die Beweiswürdigung insbesondere bei Screenshots zu erhöhen.

Kurzprofil des Autors
Christoph Neumann ist IT-Forensiker und Sachverständiger für digitale Beweismittel aus Mainz. Er befasst sich mit der Sicherung, Analyse und Bewertung digitaler Daten im Auftrag von Unternehmen, Gerichten und Behörden.

Bei Fragen, Anregungen oder weiterführende Informationen schreiben Sie mir gerne eine Nachricht: