Was ist KI-Forensik und worin unterscheidet sie sich von klassischer IT-Forensik?

KI-Forensik umfasst zwei Disziplinen: Erstens den Einsatz von KI-Werkzeugen zur Unterstützung klassischer forensischer Analysen – etwa zur automatisierten Log-Auswertung, Anomalieerkennung oder beschleunigten Malware-Klassifikation. Zweitens die Untersuchung von KI-Systemen selbst – also die forensische Analyse von Large Language Models (LLMs), KI-generierten Inhalten (Deepfakes) und KI-Infrastrukturen auf Sicherheitslücken, Compliance-Verstöße oder kriminellen Missbrauch.

Können KI-generierte Deepfakes forensisch nachgewiesen und vor Gericht verwendet werden?

Ja, unter bestimmten Voraussetzungen. Die forensische Deepfake-Analyse nutzt GAN-Artefakt-Erkennung, biometrische Liveness-Signale (rPPG), Metadaten-Forensik und KI-spezifische Bildanalyse. Das Ergebnis wird als Wahrscheinlichkeitsaussage formuliert, nicht als Absolutbeweis – wie es dem forensischen Standard entspricht. Ein gerichtsverwertbares Gutachten dokumentiert eingesetzte Methoden, Erkennungstools und bekannte Fehlerquoten. Rechtliche Grundlage für strafrechtliche Ermittlungen: §§ 94 ff. StPO in Verbindung mit §§ 185 ff., §201a, §269 StGB.

Für wen ist ein EU AI Act Compliance-Audit relevant?

Seit August 2024 gilt der EU AI Act (VO 2024/1689) für alle, die KI-Systeme in der EU entwickeln, in Verkehr bringen oder betreiben. Hochrisiko-KI-Systeme – darunter KI in der Strafverfolgung, im Personalwesen, in der Kreditvergabe und in kritischer Infrastruktur – müssen bis August 2026 nachweislich konform sein. Ein Compliance-Audit identifiziert die Risikoklasse des Systems, prüft technische Dokumentation, Transparenzpflichten und menschliche Aufsichtsmechanismen und erstellt einen auditfähigen Bericht.

Wie lange dauert eine forensische Analyse und wie läuft sie ab?

Eine forensische Grundanalyse dauert typischerweise 3–7 Werktage. Der Ablauf: (1) Auftragserteilung und rechtliche Klärung, (2) forensisch korrekte Beweissicherung mit Hash-Verifikation und Chain of Custody, (3) Analyse auf isoliertem Forensik-System, (4) Erstellung des Gutachtens mit Methodik, Befunden und Bewertung, (5) Übergabe. Für Incident Response bieten wir Soforteinsatz innerhalb von 24 Stunden. KI-spezifische Analysen (Deepfake, LLM-Audit) werden individuell nach Komplexität kalkuliert.

Zwei Disziplinen. Ein Sachverständiger.

Q: Was umfasst ein LLM-System-Audit?

Ein LLM-System-Audit prüft ein KI-System auf Basis der OWASP LLM Top 10 (2025): Prompt Injection (LLM01), Informationslecks (LLM02), Datenvergiftung (LLM04), Excessive Agency (LLM06) und weitere Risiken. Zusätzlich wird die Systemarchitektur auf Sicherheitslücken, die Datenverarbeitung auf DSGVO-Konformität und das Gesamtsystem auf Anforderungen des EU AI Act (VO 2024/1689) geprüft. Das Ergebnis ist ein strukturiertes Gutachten mit Risikobewertung und Maßnahmenempfehlungen.

Forensische Informatik nutzt KI als Analysewerkzeug — und KI-Systeme selbst werden zum Untersuchungsgegenstand. Als gerichtlich bestellter Sachverständiger (EU DE/9348) biete ich beides: forensische Analysen mit KI-Unterstützung und unabhängige Gutachten zu KI-Systemen, LLMs und KI-generierten Inhalten.

KI-gestützte Forensik Deepfake-Analyse LLM-System-Audit EU AI Act Compliance Incident Response Sachverständigengutachten

Sachverständiger EU DE/9348 · OWASP LLM Top 10 · ISO/IEC 27037 · EU AI Act VO 2024/1689

Bereich 01

Forensische Informatik
mit KI-Unterstützung

Klassische digitale Forensik — verstärkt durch KI-Werkzeuge für schnellere Analyse, tiefere Mustererkennung und automatisierte Bedrohungskorrelation. Alle Befunde werden menschlich verifiziert und gutachterlich dokumentiert.

💻 Server-Forensik

Forensische Analyse von Linux- und Windows-Servern. KI-gestützte Auswertung von Logfiles, Dateisystem-Artefakten, Prozessspuren und Netzwerkaktivitäten. Anomalieerkennung durch ML-Musterabgleich beschleunigt die Timeline-Rekonstruktion erheblich.

☁️ Cloud-Forensik

Untersuchung von AWS-, Azure- und GCP-Umgebungen. KI-gestützte Korrelation von CloudTrail-, Azure AD- und GCP-Audit-Logs. Automatisierte Erkennung von Lateral Movement, Privilege Escalation und Datenexfiltration in Cloud-Infrastrukturen.

🔍 Incident Response

Soforteinsatz bei aktiven Sicherheitsvorfällen. KI-gestützte Triage priorisiert Indikatoren und verkürzt die Mean Time to Detect (MTTD). Strukturierte Vorgehensweise nach NIST SP 800-61: Eindämmung, Beseitigung, Wiederherstellung und Lessons Learned.

🦠 Malware-Analyse

Statische und dynamische Analyse von Schadsoftware. KI-klassifizierte Malware-Familienzuordnung, automatisierte IOC-Extraktion und Sandbox-gestützte Verhaltensanalyse. Disassembling und Reverse Engineering für unbekannte Bedrohungen.

🌐 Network Forensik

Analyse von Netzwerkverkehr, PCAP-Dateien und NetFlow-Daten. KI-gestützte Erkennung von C2-Kommunikation, DNS-Tunneling und verdeckten Datenkanälen. Rekonstruktion von Angriffspfaden aus verteilten Netzwerkprotokollen.

📲 Mobile Forensik

Extraktion und Analyse von Smartphones und Tablets (iOS/Android). Logische und physische Extraktion, App-Daten-Analyse, gelöschte Datei-Wiederherstellung. KI-gestützte Kategorisierung großer Datensätze aus Messenger-Apps und Cloud-Diensten.

Bereich 02

Untersuchung von
KI- & LLM-Systemen

KI-Systeme sind nicht nur Werkzeug — sie werden zum Tatmittel, zum Beweisobjekt und zur Compliance-Pflicht. Diese neue forensische Disziplin erfordert tiefes Verständnis von Machine Learning, LLM-Architektur und digitalem Recht.

NEU

🎬 Deepfake-Forensik

Erkennung und forensische Analyse KI-generierter Bild-, Video- und Audioinhalte. Untersuchung auf GAN- und Diffusionsmodell-Artefakte, biometrische Liveness-Signale (rPPG), Metadaten-Integrität und C2PA-Signaturen. Gerichtsverwertbares Gutachten mit Wahrscheinlichkeitsaussage nach forensischem Standard.

NEU

🔐 LLM-System-Audit

Sicherheitsprüfung von Large-Language-Model-Anwendungen nach OWASP LLM Top 10 (2025). Untersuchung auf Prompt Injection (LLM01), Informationslecks (LLM02), Datenvergiftung (LLM04), Excessive Agency (LLM06) und unkontrollierten Ressourcenverbrauch (LLM10). Systemarchitektur- und Datenflussanalyse.

NEU

📄 KI-Content-Attribution

Forensischer Nachweis KI-generierter Texte, Bilder und Dokumente. Statistische Textanalyse (Perplexität, Burstiness), stilometrische Untersuchung, Metadaten-Forensik und Software-Marker-Analyse. Einsetzbar bei Plagiats-, Urheberrechts- und Betrugsermittlungen sowie im akademischen Kontext.

NEU

⚖️ EU AI Act Compliance

Unabhängige Prüfung von KI-Systemen nach EU-Verordnung 2024/1689. Bestimmung der Risikoklasse (inakzeptabel / hoch / begrenzt / minimal), Analyse der Hochrisiko-Anforderungen (Art. 9–16), Prüfung von Transparenzpflichten, menschlicher Aufsicht und technischer Dokumentation. Auditfähiger Bericht für Betreiber und Hersteller.

NEU

📉 Trainingsdaten-Forensik

Untersuchung von ML-Trainingsdatensätzen auf Herkunft, Copyright-Verstöße, eingeschleuste Backdoors (Data Poisoning) und Bias-Indikatoren. Relevant bei Streitigkeiten über Urheberrecht an KI-Modellen, bei der Prüfung von Open-Source-Modellen und bei der Compliance-Bewertung nach EU AI Act Art. 10 (Datenqualität).

NEU

⚖️ KI-Beweismittel vor Gericht

Gutachterliche Bewertung der Gerichtsverwertbarkeit KI-generierter oder KI-ausgewerteter Beweise. Einordnung nach StPO (§§ 94 ff.), Abgrenzung von echten und manipulierten Inhalten (§ 269 StGB), Bewertung der Zuverlässigkeit KI-gestützter Erkennungssysteme. Sachverständigenaussage und schriftliches Gutachten für Straf- und Zivilverfahren.

Leistungen & Preise

Klassische IT-Forensik

Forensische Grundanalyse

Forensisch korrekte Beweissicherung
Chain of Custody Dokumentation
Timeline-Erstellung
Gerichtsverwertbares Gutachten

ab 800 €

Incident Response

Soforteinsatz (24/7)
Schnelle Vor-Ort- oder Remote-Analyse
Containment-Maßnahmen
Wiederherstellungsplan & Bericht

ab 1.500 €

Malware-Analyse

Statische & dynamische Analyse
Sandbox-Verhaltensanalyse
IOC-Extraktion
Reverse Engineering

ab 1.200 €

KI & LLM-Forensik

NEU

Deepfake & KI-Content

Bild-, Video- und Audio-Analyse
Artefakt- & Metadaten-Forensik
KI-Text-Attributionsanalyse
Gutachten mit Wahrscheinlichkeitsaussage

ab 650 €

NEU

LLM-System-Audit

OWASP LLM Top 10 Prüfung
Prompt Injection & Jailbreak-Tests
DSGVO-Datenfluss-Analyse
Strukturiertes Sicherheitsgutachten

ab 2.500 €

NEU

EU AI Act Compliance

Risikoklassen-Bestimmung
Hochrisiko-Anforderungsprüfung
Technische Dokumentations-Audit
Auditfähiger Compliance-Bericht

ab 3.200 €

Alle Preise netto zzgl. MwSt. Individuelle Projekte auf Anfrage. Für Gerichte und Staatsanwaltschaften: Gutachten im Rahmen der gesetzlichen Sachverständigenvergütung (JVEG).

Häufige Fragen

Was ist KI-Forensik?

KI-Forensik umfasst zwei Disziplinen: den Einsatz von KI als forensisches Analysewerkzeug sowie die Untersuchung von KI-Systemen selbst. Als Sachverständiger biete ich beides — von der KI-gestützten Log-Auswertung bis zur forensischen Bewertung von Deepfakes und LLM-Sicherheitslücken.

Sind Deepfake-Gutachten gerichtsverwertbar?

Ja. Das Gutachten dokumentiert eingesetzte Methoden, bekannte Fehlerquoten und formuliert das Ergebnis als Wahrscheinlichkeitsaussage — forensischem Standard entsprechend. Rechtliche Grundlagen: §§ 94 ff. StPO, §§ 185 ff., §201a und §269 StGB.

Was umfasst ein LLM-System-Audit?

Prüfung nach OWASP LLM Top 10 (2025) auf Prompt Injection, Informationslecks, Datenvergiftung und weitere Risiken. Zusätzlich DSGVO-Konformität der Datenverarbeitung und — sofern relevant — EU AI Act Anforderungen nach VO 2024/1689.

Für wen ist EU AI Act Compliance relevant?

Für alle, die KI-Systeme in der EU entwickeln oder betreiben. Hochrisiko-KI (Strafverfolgung, HR, Kredit, kritische Infrastruktur) muss bis August 2026 nachweislich konform sein. Ein Audit identifiziert Risikoklasse, Lücken und Maßnahmen.

Wie läuft eine forensische Untersuchung ab?

Auftragserteilung → forensisch korrekte Beweissicherung mit Hash-Verifikation und Chain of Custody → Analyse auf isoliertem Forensik-System → Gutachten mit Methodik, Befunden und Bewertung → Übergabe. Dauer: 3–7 Werktage. Incident Response: Soforteinsatz < 24 h.

Welche Regionen werden abgedeckt?

Deutschland, Österreich und die Schweiz. Remote-Analysen sind europaweit möglich. Vor-Ort-Einsätze primär in Bayern und Baden-Württemberg, auf Anfrage bundesweit. Gerichtsbestellungen DE/AT werden bevorzugt bearbeitet.

Kontakt

📍 Adresse

Elisabethenstraße 24
97274 Leinach
Deutschland

📧 E-Mail

weijers@cyberprofis.de

📲 Telefon / WhatsApp

+49 15679 618671

💼 Gerichte & Behörden

Sachverständigengutachten nach JVEG. Bestellungsnummer: EU DE/9348