Zertifizierung unbefugter Konto-Zugriffe mit IP | FEDIS

Grundlegende Voraussetzungen für die Zertifizierung

Die Zertifizierung unbefugter Zugriffe ist möglich nur wenn:

• Sie die Kontrolle zurückgewonnen haben (Passwort geändert, Hacker ausgeschlossen);
• Die Aktivitätsprotokolle zugänglich sind (Activity Log, Zugriffsverlauf, verwendete Geräte);
• Die unbefugten Zugriffe sichtbar sind in den Protokollen mit IP, Datum/Uhrzeit, Gerät;
• Die Protokolle noch nicht gelöscht wurden (üblicherweise 6-12 Monate aufbewahrt).

Wichtig: Wenn der Hacker noch die Kontrolle hat oder die Protokolle nicht zugänglich sind, ist die Zertifizierung technisch nicht möglich.

📧 Google / Gmail Zertifizierung

• Vollständiges Activity Log: https://myaccount.google.com/device-activity mit IP-Zugriffen, Geräten, Standorten;
• Google Takeout: vollständiges Archiv Gmail (MBOX), Drive, Calendar, Photos, YouTube, Contacts;
• Gmail activity: gelesene, gesendete, gelöschte E-Mails mit Zeitstempel und IP;
• Drive activity: vom Hacker heruntergeladene, geänderte, geteilte Dateien;
• Calendar activity: geänderte/gelöschte Termine;
• Photos access: angesehene/heruntergeladene Fotos;
• YouTube activity: hochgeladene/gelöschte Videos, Kommentare;
• Erkannte Geräte: welches Gerät der Hacker verwendet hat (Modell, Betriebssystem, Browser);
• Aktive Sitzungen: gleichzeitige Sitzungen von verschiedenen IPs (physisch unmöglich).

Erfasste technische Daten: öffentliche Hacker-IP, Geolokalisierung (Land/Stadt), ISP-Provider, User Agent, UTC-Zeitstempel.

💼 Microsoft 365 / Outlook Zertifizierung

• Geräteseite: https://account.microsoft.com/devices mit für Zugriff verwendeten Geräten;
• Recent activity: Zugriffsverlauf mit IP und Standort;
• Outlook activity: von nicht autorisierter IP gelesene/gesendete E-Mails;
• OneDrive activity: heruntergeladene, geänderte, geteilte Dateien;
• Teams activity: gelesene Chats, gesendete Nachrichten;
• Office 365 audit log: vollständiges Protokoll Unternehmenskonto-Aktivität;
• Sign-in logs: erfolgreiche/fehlgeschlagene Zugriffsversuche mit IP;
• Unusual activity alerts: Microsoft-Benachrichtigungen für verdächtige Zugriffe.

Erfasste technische Daten: Zugriffs-IPs, Standort, Gerätetyp, Browser, verwendete Apps, Zugriffszeiten.

📱 Facebook / Instagram / Meta Zertifizierung

• Wo du dich angemeldet hast: Facebook/Instagram-Bereich mit IP, Geräten, Zugriffs-Standorten;
• Aktive Sitzungen: aktuelle nicht autorisierte Sitzungen;
• Erkannte Geräte: welches Gerät der Hacker verwendet hat;
• Deine Informationen herunterladen: vollständiges Archiv Konto-Aktivität (Posts, Nachrichten, Fotos, Videos, Suchen);
• Activity log: vom Hacker durchgeführte Aktionen (veröffentlichte Posts, gesendete Nachrichten, hochgeladene Fotos);
• Login alerts: empfangene Benachrichtigungen über verdächtige Zugriffe;
• Authorized apps: mit dem Konto verbundene Apps für Zugriff verwendet.

Erfasste technische Daten: öffentliche IP, ungefähre Stadt, Gerätetyp, Browser, Zugriffs-Zeitstempel.

🍎 Apple iCloud Zertifizierung

• Zugeordnete Geräte: https://appleid.apple.com mit mit Apple ID verbundenen Geräten;
• Activity log: letzte Zugriffe mit IP und Standort;
• iCloud access: von wo auf iCloud Drive, Photos, Contacts zugegriffen wurde;
• Find My iPhone activity: Find My-Nutzung durch Hacker;
• iMessage/FaceTime access: gelesene/gesendete Nachrichten;
• Password changes: Passwortänderungsversuche;
• Two-factor notifications: für verdächtige Zugriffe empfangene 2FA-Benachrichtigungen.

Erfasste technische Daten: IP, Standort, Gerätemodell, iOS-Version, Zeitstempel.

🛒 Weitere zertifizierbare Plattformen

• Amazon: Login-Verlauf mit IP, verbundene Geräte, nicht autorisierte Bestellungen;
• PayPal: IP-Zugriffsverlauf, verdächtige Transaktionen, verbundene Geräte;
• Dropbox: Security events, heruntergeladene Dateien, verknüpfte Geräte;
• LinkedIn: Where you’re signed in, recent activity, devices;
• Twitter/X: Apps and sessions, login history;
• TikTok: Security and login, devices;
• Spotify: Account overview, recent activity;
• Netflix: Recent device streaming activity.

Angebot anfordern

Wir liefern sofort die technische Machbarkeitsbewertung (Überprüfung Voraussetzungen), die Erfassungsmodalität, die Ausführungszeiten und das detaillierte Kostenangebot. Schnelle Intervention verfügbar für dringende Fälle (Protokolle mit Löschungsrisiko).

Angebot anfordern

🌐 Öffentliche IP-Adresse des Hackers

Die öffentliche IP ist das grundlegende Beweiselement zur Identifizierung des Angreifers:

• Vollständige IP-Adresse: z.B. 185.220.101.45, 91.198.174.192;
• Präziser Zeitstempel: genaues Zugriffsdatum und -uhrzeit (UTC);
• IP-Geolokalisierung: Land, Region, ungefähre Stadt (mit MaxMind-, IPinfo-Datenbank);
• ISP-Identifikation: welcher Internetprovider diese IP bereitstellt (z.B. Rostelecom Russland, Telekom Deutschland, Vodafone);
• Reverse DNS Lookup: mit IP assoziierter Hostname;
• IP-Reputation: ist die IP für böswillige Aktivitäten bekannt? Ist es ein VPN/Proxy/Tor-Exit-Node?;
• ASN (Autonomous System Number): ISP-Netzwerk-Identifikator.

Rechtliche Nutzung: Mit öffentlicher IP kann Polizei ISP um Identifikation Abonnent-Verbindungsinhaber zum Zugriffszeitpunkt bitten.

📱 Verwendetes Gerät und User Agent

Identifikation des vom Hacker verwendeten Geräts:

• Gerätetyp: Smartphone, Tablet, Desktop-/Laptop-Computer;
• Betriebssystem: Windows 10/11, macOS, iOS, Android (spezifische Version);
• Verwendeter Browser: Chrome, Firefox, Safari, Edge (Version);
• User Agent String: vollständige identifikative technische Zeichenkette;
• Gerätemodell: iPhone 12, Samsung Galaxy S21, MacBook Pro (wenn verfügbar);
• Bildschirmauflösung: Anzeige Display-Abmessungen;
• Verwendete App: Zugriff von offizieller mobiler App oder Webbrowser.

Beweiswertigkeit: Zeigt Hacker-Gerät verschieden von legitimen des Opfers.

⏰ Chronologische Zugriffs-Timeline

Vollständige zeitliche Rekonstruktion der Verletzung:

• Erster unbefugter Zugriff: wann der Hacker das erste Mal eintrat;
• Nachfolgende Zugriffe: Frequenz und zeitliches Muster (jeden Tag um 3 Uhr morgens? Einmalig?);
• Sitzungsdauer: wie lange verbunden blieb;
• Durchgeführte Aktionen: was während jeder Sitzung getan wurde (E-Mail X gelesen, Datei Y heruntergeladen, Nachricht Z gesendet);
• Letzter unbefugter Zugriff: wann Hacker Zugriff verlor;
• Verletzungsentdeckung: wann Opfer es bemerkte;
• Kontrollrückgewinnung: wann Passwort geändert und Hacker ausgeschlossen;
• Zeitliche Überschneidung: unmögliche gleichzeitige Zugriffe (Opfer in München, Hacker in Russland gleichzeitig).

🎯 Vom Hacker durchgeführte spezifische Aktionen

Detaillierte Dokumentation der missbräuchlichen Aktivitäten:

• Gelesene E-Mails: welche E-Mails geöffnet und wann;
• Gesendete E-Mails: von Ihrem Konto gesendete Nachrichten (Phishing, Betrug, Verleumdung);
• Gelöschte E-Mails: vom Hacker zerstörte Beweise;
• Heruntergeladene Dateien: von Drive/OneDrive kopierte Dokumente, Fotos, Videos;
• Geänderte/gelöschte Dateien: veränderte oder zerstörte Dokumente;
• Geteilte Dateien: für Dritte zugänglich gemachte Dokumente;
• Veröffentlichte Posts: von Ihrem Konto auf sozialen Medien veröffentlichte Inhalte;
• Gesendete Nachrichten: an Kontakte gesendete Chats/DMs;
• Geänderte Passwörter: Anmeldedaten-Änderungsversuche;
• Geänderte Einstellungen: aktivierte E-Mail-Weiterleitung, deaktivierte 2FA;
• Getätigte Käufe: nicht autorisierte Amazon/PayPal-Bestellungen.

⚖️ Vergleich legitime IP vs missbräuchliche IP

Nachweis dass Zugriffe von anderer Quelle als Opfer stammen:

• Übliche Opfer-IP: normales Zugriffsmuster (z.B. immer von 93.45.xxx.xxx Telekom Glasfaser München);
• Hacker-IP: völlig verschieden (z.B. 185.220.xxx.xxx Rostelecom Sankt Petersburg);
• Geografisches Muster: Opfer immer Deutschland, Hacker von Russland/Nigeria/Rumänien;
• Zeitliches Muster: Opfer greift Arbeitszeiten zu, Hacker nachts deutsche Zeiten;
• Unmögliche Zugriffe: gleichzeitiger Login von München (Opfer) und Lagos (Hacker) – physisch unmöglich;
• Inkongruente Geräte: Opfer nutzt iPhone/Mac, Hacker nutzt Android/Windows;
• Visuelle Karte: geografische Visualisierung legitime vs missbräuchliche Zugriffe.

📧 Ohne Autorisierung gelesene/gesendete E-Mails

Typisches Szenario: Hacker greift auf Gmail/Outlook zu, liest vertrauliche E-Mails (Verträge, sensible Daten, persönliche Kommunikation), sendet E-Mails von Ihrem Konto (Phishing an Kontakte, Geldanfragen, Verleumdung), löscht E-Mails um Spuren zu verbergen.

Was wir zertifizieren: Gmail/Outlook Activity Log mit hervorgehobener Hacker-IP, Zugriffs-Zeitstempel, Liste gelesener/gesendeter/gelöschter E-Mails, IP-Geolokalisierung (z.B. Rumänien während Opfer in Deutschland), Vergleich mit legitimer Opfer-IP.

Straftat: Unbefugter Zugriff + ggf. Kommunikationsabfangen wenn E-Mails gelesen.

💾 Aus Cloud-Speicher gestohlene Dateien

Typisches Szenario: Hacker lädt vertrauliche Dokumente von Google Drive/OneDrive/Dropbox herunter (Verträge, Bilanzen, Projekte, persönliche Fotos), teilt Dateien mit externen Konten, löscht Dokumente zur Sabotage.

Was wir zertifizieren: Drive/OneDrive Activity Log mit Download-IP, Liste heruntergeladener Dateien mit Zeitstempel, mit wem Dateien geteilt, eventuelle Löschungen, Hacker-IP-Geolokalisierung, verwendetes Gerät.

Straftat: Unbefugter Zugriff + Datenbeeinträchtigung wenn Dateien gelöscht + möglicher Diebstahl geistigen Eigentums.

📱 Social-Profil für Betrug/Verleumdung verwendet

Typisches Szenario: Hacker greift auf Facebook/Instagram zu, veröffentlicht verleumdende Posts, sendet Nachrichten an Kontakte mit Geldanfragen unter Vorwänden (“bin in Schwierigkeiten, leih mir Geld”), veröffentlicht kompromittierende Fotos/Videos.

Was wir zertifizieren: Facebook “Wo du dich angemeldet hast” mit Hacker-IP, verwendetem Gerät, Zeitstempel, “Deine Informationen herunterladen” mit vom Hacker gesendeten Posts/Nachrichten, Vergleich Opfer-IP vs Hacker-IP.

Straftat: Unbefugter Zugriff + Betrug wenn Geldanfragen + Verleumdung wenn beleidigende Posts.

🛒 Betrügerische Käufe mit E-Commerce-Konto

Typisches Szenario: Hacker nutzt verletztes Amazon/PayPal-Konto für nicht autorisierte Käufe, ändert Lieferadresse, leert PayPal-Guthaben.

Was wir zertifizieren: Amazon Login-Verlauf mit betrügerischer Bestell-IP, PayPal Transaktionsverlauf mit Transaktions-IP, Zeitstempel, Geolokalisierung (Bestellung von ausländischer IP getätigt), Bestell-/Transaktionsdetails.

Straftat: Unbefugter Zugriff + Computerbetrug.

💔 Digitales Stalking durch Ex-Partner

Typisches Szenario: Ex-Partner kennt noch Passwort (nach Trennung nie geändert), greift regelmäßig auf Gmail/iCloud zu um E-Mails zu lesen, Calendar zu kontrollieren (wo Sie sind, mit wem), Google Photos/iCloud Photos zu sehen, Position via Find My zu verfolgen.

Was wir zertifizieren: Gmail/iCloud Activity Log mit verdächtigem Zugriffsmuster von Ex-Partner-IP/Gerät, Zugriffshäufigkeit (jeden Tag über Monate), durchgeführte Aktionen (gelesene E-Mails, angesehener Calendar, aufgerufene Photos), IP-Korrelation mit Ex-Wohnsitz.

Straftat: Unbefugter Zugriff + Nachstellung/Stalking.

💼 Unternehmenssabotage durch Ex-Mitarbeiter

Typisches Szenario: Gekündigter Ex-Mitarbeiter hat noch Zugriff auf Unternehmens-Microsoft 365 (Anmeldedaten nicht widerrufen), greift zu und löscht Dokumente, E-Mails, Projekte aus Rache, lädt vertrauliche Daten vor endgültigem Ausscheiden herunter.

Was wir zertifizieren: Microsoft 365 Unternehmens-Audit-Log mit Ex-Mitarbeiter-Zugriffen nach Kündigung, Zugriffs-IPs (von Ex-Mitarbeiter-Zuhause, nicht vom Büro), gelöschte/heruntergeladene Dateien, Aktions-Timeline vs Kündigungsdatum.

Straftat: Unbefugter Zugriff + Datenbeeinträchtigung + mögliche Verletzung Betriebsgeheimnis.

🇩🇪 Deutsche Rechtsvorschriften – § 202a StGB

Hauptstraftat: Ausspähen von Daten.

§ 202a StGB Ausspähen von Daten: “Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.”

§ 202b StGB – Abfangen von Daten (wenn Kommunikation abgefangen).

§ 303a StGB – Datenveränderung (wenn Daten gelöscht/geändert): bis zu zwei Jahren oder Geldstrafe.

§ 303b StGB – Computersabotage (wenn Systemfunktionen beeinträchtigt): bis zu drei Jahren oder Geldstrafe, in schweren Fällen bis zu fünf Jahren.

🔗 Häufige verbundene Straftaten

• § 202a StGB – Ausspähen von Daten (wenn E-Mails gelesen);
• § 303a StGB – Datenveränderung (wenn Dateien gelöscht/geändert);
• § 263a StGB – Computerbetrug (wenn Konto für nicht autorisierte Käufe/Transaktionen verwendet);
• § 238 StGB – Nachstellung/Stalking (wenn wiederholte Zugriffe von Ex-Partner);
• § 185 StGB – Beleidigung (wenn beleidigende Posts veröffentlicht);
• § 201a StGB – Verletzung Intimsphäre (wenn intime Fotos verbreitet).

🇪🇺 Europäische Richtlinie 2013/40/EU

Die Richtlinie 2013/40/EU über Angriffe auf Informationssysteme verpflichtet EU-Mitgliedstaaten unbefugten Zugriff auf Computersysteme zu kriminalisieren. Jedes Land hat mit eigenen nationalen Strafnormen äquivalent zu § 202a StGB implementiert.

EU-Harmonisierung: Die forensische Zertifizierung mit eIDAS-Methodik wird in allen EU-Staaten für Strafverfahren bezüglich unbefugter Zugriffe anerkannt.

Zertifizierungsprozess

1. Überprüfung technischer Voraussetzungen:
   
   • Konto vom Opfer zurückgewonnen? Passwort geändert?
   • Activity Log zugänglich?
   • Unbefugte Zugriffe in Protokollen mit IP sichtbar?
   • Protokolle noch nicht gelöscht?
   • Wenn alle Voraussetzungen erfüllt → wir fahren fort
2. Sofortige forensische Erfassung:
   
   • Geführter Zugriff (mit Kundenzugangsdaten) zu Activity-Log-Bereichen Plattform;
   • Mehrere hochauflösende Screenshots von: vollständigem Activity Log, hervorgehobenen IP-Zugriffen, verwendeten Geräten, durchgeführten Aktionen;
   • Download vollständigen Exports wenn verfügbar (Google Takeout, Facebook Deine Informationen herunterladen, Microsoft Datenexport);
   • Erfassung HTML-Quelle Protokollseiten;
   • Qualifizierter eIDAS-Zeitstempel bei jeder Erfassung;
   • SHA-256-Hash-Berechnung jeder erfassten Datei;
3. Eingehende technische Analyse:
   
   • IP-Analyse: Geolocation Lookup (MaxMind GeoIP2), ISP-Identifikation (WHOIS), Reverse DNS, IP-Reputations-Check (AbuseIPDB, Shodan);
   • Device Fingerprinting: User-Agent-Analyse, Betriebssystem/Browser/Gerätemodell-Identifikation;
   • Timeline-Rekonstruktion: vollständige Chronologie erster Zugriff → Aktionen → letzter Zugriff → Rückgewinnung;
   • Muster-Vergleich: IP/Gerät/Zeiten Opfer vs Hacker zur Hervorhebung Inkongruenzen;
   • Unmögliche Zugriffe: Identifikation physisch unmöglicher zeitlicher Überschneidungen;
4. Dokumentation durchgeführter Aktionen:
   
   • Extraktion Liste gelesener/gesendeter/gelöschter E-Mails mit Zeitstempel;
   • Extraktion heruntergeladener/geänderter/gelöschter Dateien aus Cloud;
   • Extraktion veröffentlichter/gesendeter Social-Posts/Nachrichten;
   • Extraktion getätigter Transaktionen/Bestellungen;
   • Cross-Reference jeder Aktion mit Hacker-IP/Zeitstempel;
5. Vollständiger technischer Bericht:
   
   • Executive Summary für Polizei;
   • Detaillierter IP-Analyse-Abschnitt;
   • Grafische Zugriffs-Timeline;
   • Geografische Karte Opfer-IP vs Hacker-IP;
   • Liste durchgeführter Aktionen mit Beweisen;
   • Muster-Vergleich;
   • Technische Anlagen (Screenshots, Export, Hash);

Angebot anfordern

Wir liefern sofort die Machbarkeitsbewertung (Überprüfung Voraussetzungen), die technische Erfassungsmodalität, die Ausführungszeiten und das detaillierte Kostenangebot. DRINGENDE 24-48h-Intervention verfügbar für Fälle mit Protokollen mit Risiko unmittelbar bevorstehender Löschung.

Angebot anfordern