IT-Sachverständiger Neumann

IT-Sachverständiger Neumann, EDV-Gutachten und IT-Forensik in Mainz, Wiesbaden, Frankfurt, Rheinhessen, Rhein-Main
GPS Standortdaten in der Mobilen Forensik - richtig interpretieren. Christoph Neumann in Mainz, Wiesbaden, Frankfurt, Rhein-Main.

Standortdaten in der Mobilgeräte-Forensik

Quellen, Artefakte und Fehlinterpretationen

Datum: 18.11.2025, Christoph Neumann, Forensik-Blog

 1. Einleitung – Bedeutung und Relevanz von Standortdaten
Die Rekonstruktion von Aufenthaltsorten gehört zu den komplexeren Bereichen der Mobilgeräte-Forensik. Smartphones erzeugen und speichern eine Vielzahl von Koordinaten, die in forensischen Tools häufig als eindeutige Standortpunkte dargestellt werden. Diese Visualisierungen können jedoch irreführend sein, da viele Koordinaten nicht auf physischen Bewegungen des Geräteinhabers beruhen.
Der folgende Beitrag beschreibt die wichtigsten Quellen für Standortdaten auf iOS- und Android-Geräten, zeigt typische Fehlerquellen auf und erläutert, wie Koordinaten korrekt interpretiert werden sollten.

2. Primäre, bewegungsbasierte Standortdaten
Diese Daten beruhen auf realen Ortsbewegungen des Nutzers und sind am ehesten geeignet, tatsächliche Aufenthaltsorte abzubilden.

2.1. GPS-Positionen

Erzeugt durch:

- GPS-Modul

- Assisted GPS (A-GPS)

- Sensorfusion (Bewegung + Satelliten)


Quellen:

- iOS: locationd, consolidated.db, Significant Locations

- Android: Fused Location Provider, location.db


Diese Daten enthalten in der Regel:

- präzise Zeitstempel

- Genauigkeitswerte

- Sensorherkunft
 

Sie bilden die hochwertigste Klasse von Standortdaten.

 

2.2. WLAN- und Mobilfunk-Triangulation

Standpunkte können anhand von:

- WLAN-SSIDs / BSSIDs

- GSM / UMTS / LTE / 5G Cell-Towern
rekonstruiert werden.


Auch wenn diese Daten ungenauer sind als GPS, geben sie oft belastbare Informationen über Bewegungsmuster.

 

2.3. Sensor- und Aktivitätsdaten

iOS und Android speichern zusätzliche Informationen:

- Geh-, Auto- oder Radfahrbewegungen

- Schrittzählung

- Bewegungsrichtung


Diese Daten können genutzt werden, um GPS-Koordinaten zu bestätigen oder falsche Koordinaten auszuschließen.

3. Sekundäre, nutzungsbasierte Standortdaten

Diese Quellen erzeugen Koordinaten, obwohl sich der Nutzer nicht an dem dargestellten Ort aufgehalten hat.
 

3.1. Google Maps Such- und Routenhistorie

Koordinaten entstehen durch:

- Suchanfragen

- angezeigte Kartenbereiche

- geplante Routen (auch ohne tatsächliche Navigation)

- gespeicherte Orte und Pins


Diese „virtuellen“ Koordinaten werden von forensischen Tools ggfls. als Standortpunkte visualisiert, obwohl sie nur aus der App-Nutzung stammen.

 

3.2. Kartenausschnitte und Map Tile Caches

Alle in Google Maps oder Apple Karten betrachteten Bereiche erzeugen interne Daten:

- Tile-Koordinaten

- Bounding Boxes

- Kartenzentroiden


Auch diese Koordinaten können als reale Standorte missverstanden werden.

 

3.3. App-bezogene Standortartefakte

Viele Apps speichern ebenfalls Ortsdaten/Koordinaten, ohne dass der Nutzer physisch dort war, z.B.:

- Wetter-Apps (Stadt-Koordinaten)

- Social Media (verwendete Orte, Posts mit Standortangaben)

- Navigations-Apps (Zieleingaben, Favoriten)


Diese Koordinaten spiegeln häufig nur Interaktionen wider, keine Bewegungen.

 

4. Externe Bilder als Fehlerquelle: GPS-EXIF-Daten fremder Geräte

Eine häufig übersehene, aber gravierende Fehlerquelle sind von anderen Personen gesendete Bilder, die GPS-Metadaten enthalten.
 

4.1. Empfangene Bilder können fremde GPS-Daten enthalten

EXIF-Daten umfassen u. a.:

- GPS-Koordinaten

- Aufnahmezeit

- Kompassrichtung

- Höhenmeter


Wenn ein Nutzer ein solches Bild empfängt (via WhatsApp, Telegram, iMessage, E-Mail, etc.), werden diese Koordinaten auf dem Gerät gespeichert, obwohl sie nichts mit seinem eigenen Aufenthaltsort zu tun haben. 

Es sei hierbei jedoch angemerkt, dass einige Messanger-Apps (z.B. WhatsApp und Signal) EXIF-Daten aufgrund von Datenreduktion entfernen, während andere die Daten beibehalten  (z.B. bei Versand per eMail oder iMessage). 

Ohne Prüfung des Dateipfades bzw. der Quelle der Koordinaten-Angabe kann dies als vermeintlicher Aufenthaltsort fehlinterpretiert werden. 

4.2. Erkennen fremder EXIF-Daten

Wichtige Indikatoren, fremde EXIF-Daten zu erkennen sind u.a.:
 - Dateipfad: z. B. Messenger-Medienordner

- Erstellungsdatum des Bildes ≠ Download-Datum

- Geolokation passt nicht zu Bewegungsprofil des Nutzers

- Chat-Kontext bestätigt externen Ursprung


Diese Schritte sind essenziell, um Fehlinterpretationen zu vermeiden.

5. Weitere nicht-bewegungsbasierte Quellen

Es existieren noch eine Vielzahl anderer Quellen für Koordinaten, z.B.:
- Foto-Metadaten eigener Bilder

- Browser-basierte Geolocation-Abfragen

- Fahrdienste (Uber, FreeNow, Carsharing)

- Logdateien (teilweise nur WiFi-Umgebungen, keine GPS-Daten)

 

6. Warum forensische Tools Koordinaten fehlerhaft darstellen können

Moderne Forensiktools aggregieren alle verfügbaren Koordinaten. Neben einer Listenaufstellung jeder einzelner Koordinate und ihrer Quelle visualisieren sie diese als Karte, ggfls. erstellen Sie auch über einen Zeitstrahl ein Bewegungsprofil auf der Karte:

GPS-Position Google-Map Pin

GPS-Einzelposition

GPS-Koordinaten in der Map-Übersicht

Kartenansicht aller Koordinaten

In solch einer Kartenansicht werden oftmals Herkunft und Bedeutung der Punkte zunächst nicht sauber getrennt und müssen gefiltert werden. Für den Forensiker bedeutet dies: 

Ohne detaillierte Kontextanalyse ist die Gefahr groß, dass virtuelle oder fremde Koordinaten als Aufenthaltsorte gedeutet werden.

7. Verlässliche Bewertung: Wie man echte Aufenthaltsorte erkennt

Ein Standortpunkt ist nur dann als realer Aufenthaltsort zu werten, wenn folgende Kriterien erfüllt sind:
 

Zeitstempel ist plausibel und konsistent

Quelle ist eindeutig (GPS, WiFi, Cell → nicht Search History oder EXIF)

Sensor- und Bewegungsdaten passen zum Koordinatenpunkt

Mehrere unabhängige Quellen bestätigen ihn (ideal!)


Einzelpunkte aus Tools haben für sich allein keine Aussagekraft.

 

8. Fazit

Smartphones erzeugen eine große Menge geolokalisierbarer Daten, doch nur ein Teil davon entspricht tatsächlichen Aufenthaltsorten. Besonders Google Maps und externe Medien können Koordinaten hinterlassen, die in forensischen Tools irreführend dargestellt werden. Eine sachgerechte Analyse muss daher immer die Quelle jeder Koordinate identifizieren

und zwischen bewegungsbasierten und nutzungsbasierten Daten unterscheiden. Fremde EXIF-Daten sollten erkannt und ausgeschlossen werden. Im Idealfall: mehrere Quellen einen Datenpunkt bestätigen bzw. mit anderen Punkten korrelieren. Einzelne Datenpunkte für sich genommen sind mit Vorsicht zu betrachtet.
 

Nur durch eine solche differenzierte Betrachtung ist eine gerichtsverwertbare Interpretation möglich.

Kurzprofil des Autors
Christoph Neumann ist IT-Forensiker und Sachverständiger für digitale Beweismittel aus Mainz. Er befasst sich mit der Sicherung, Analyse und Bewertung digitaler Daten im Auftrag von Unternehmen, Gerichten und Behörden. 

Bei Fragen, Anregungen oder weiterführende Informationen schreiben Sie mir gerne eine Nachricht:

KONTAKT.

IT-Sachverständiger Neumann - Sachverständiger, Gutachter und IT Forensiker

Telefon: +49 6732 607 9976

Fax: +49 6732 607 9731

E-Mail: info@it-sachverstaendiger-neumann.de

Wilhelm-Theodor-Römheld-Straße 14

55130 Mainz

Ich bin damit einverstanden, dass diese Daten zum Zweck der Kontaktaufnahme gespeichert und verarbeitet werden. Mir ist bekannt, dass ich meine Einwilligung jederzeit widerrufen kann.*

* Kennzeichnet erforderliche Felder
Ich danke Ihnen! Wir werden uns so schnell wie möglich bei Ihnen melden.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.