Ein Screenshot wirkt zunächst eindeutig: Er zeigt beispielsweise einen Chatverlauf mit Namen und Uhrzeit, klar lesbar. Technisch gesehen ist er allerdings etwas Nüchterneres. Im Grunde handelt es sich nur um ein Bild dessen, was ein Gerät oder eine App zu einem bestimmten Zeitpunkt auf dem Bildschirm angezeigt hat. Ein Screenshot enthält den Nachrichtentext jedoch nicht als Daten aus der App und der dahinterliegenden Datenbank, sondern bildet lediglich ab, was angezeigt wurde. Was auf dem Bild zu sehen ist, entspricht damit der Anzeige und nicht zwingend den zugrunde liegenden Daten. Genau diese Anzeige lässt sich ohne besonderes Können fälschen. Frei verfügbare Werkzeuge erzeugen im Handumdrehen täuschend echte Chat- und Bildschirmansichten für alle gängigen Messenger. Dafür braucht es weder ein echtes Gerät noch einen echten Verlauf dahinter. Und selbst bei einer echten Seite lässt sich der sichtbare Text vor dem Screenshot beispielsweise mit den Bordmitteln jedes Browsers einfach umschreiben. Wie das geht, gehört nicht in diesen Beitrag. Dass es in Minuten geht, schon.

Alle drei Ansichten sind frei erfunden und in wenigen Minuten entstanden, ohne besondere Technik. Vom echten Verlauf sind sie mit bloßem Auge nur schwer zu unterscheiden.

Erst im Zweifel zeigt sich, was fehlt

Solange niemand nachfragt, genügt ein Screenshot. Interessant wird es in dem Moment, in dem seine Echtheit bezweifelt wird. Dann steht die Frage im Raum, die ein Bild nicht beantworten kann: Woher stammt es und was zeigt es nicht? Ob es ausreicht, hängt vom Zusammenhang ab und liegt am Ende bei dem, der es bewerten muss. Wer sich zu diesem Zeitpunkt allein auf das Bild stützt, hat wenig in der Hand.

Aus forensischer Sicht fehlt einem Screenshot fast alles, worauf sich eine Prüfung stützen würde:

  • Kontext. Was vor und nach dem Ausschnitt steht, bleibt unsichtbar. Die Auswahl trifft, wer den Screenshot anfertigt. Was er weglässt, ist im Bild nicht zu erkennen.
  • Prüfbare Daten. Angezeigte Informationen wie Namen und Uhrzeit sind lediglich Bildinhalt, keine vom System geschriebenen Metadaten. Damit lassen sie sich gegen nichts abgleichen, weil bei einem Screenshot die Datenquelle selbst fehlt.
  • Herkunft. Meist ist der Screenshot weitergeleitet, abfotografiert oder von einem Gerät aufs nächste gewandert. Jede Station verlängert die Herkunftskette (Chain of Custody) und macht sie schwerer nachzuvollziehen.

Und die Datei selbst? Sie bringt zwar eigene Metadaten mit, etwa den Zeitpunkt der Aufnahme. Das belegt aber nur, wann das Bild laut Gerätezeit entstanden ist, nicht, dass die abgebildeten Inhalte authentisch sind. Selbst diese schmale Spur überlebt den Weg zum Empfänger allerdings selten. Fast jeder Messenger verarbeitet Bilder beim Versand neu. Dabei wird die Datei häufig herunterskaliert, komprimiert und mit einem neuen Dateinamen versehen. Die ursprünglichen Angaben gehen so verloren. Was am Ende ankommt, ist oft schon eine Kopie der Kopie. Übrig bleibt ein Bild ohne belastbare Verbindung zu dem, was es zeigt.

exiftool
[System]File Name:WhatsApp Image 2026-06-08 at 20.04.54.jpeg
[System]File Size:300 kB
[System]File Modification Date/Time:2026:07:15 19:01:21+02:00
[System]File Creation Date/Time:2026:07:15 19:00:30+02:00
[File]File Type:JPEG
[Composite]Image Size:2048x1152
Nicht in der Datei: Aufnahmedatum, Kamera oder Gerät, Standort. Der gesamte EXIF-Block der Kamera fehlt.
Untersuchung der Metadaten eines über WhatsApp empfangenen Fotos: Die Zeitstempel wurden beim Speichern überschrieben, der Dateiname von WhatsApp neu vergeben und das Bild auf 2048 px Kantenlänge skaliert.

Wann ein Screenshot allein zu dünn wird

Je mehr dieser Punkte zusammenkommen, desto weniger trägt ein Screenshot:

  1. Das Original ist nicht mehr greifbar: kein Gerät, kein Export, nur das Bild, womöglich weitergeleitet, abfotografiert oder von Dritten erhalten.
  2. Die Darstellung zeigt Unstimmigkeiten, etwa im Schriftbild, in der Statusleiste oder in Zeitangaben, die nicht zum behaupteten Gerät oder Zeitraum passen.
  3. Die Echtheit wird ernsthaft bezweifelt, und das Gerät mit dem Verlauf ist nicht mehr verfügbar.

Was mehr hergibt

Ein Screenshot ist kein wertloser Ausgangspunkt, aber selten der beste. Fast immer existiert etwas Belastbareres, wenn man es rechtzeitig sichert. Die gängigen Messenger bringen dafür eigene Exportfunktionen mit, in unterschiedlicher Tiefe:

  • WhatsApp gibt einen einzelnen Chat als Textdatei aus, auf Wunsch zusammen mit den Medien als ZIP-Archiv.
  • Telegram kann über die Desktop-App einzelne Verläufe oder das ganze Konto als HTML oder JSON ausgeben, jeweils samt Mediendateien.
  • Signal ist stärker auf Vertraulichkeit ausgelegt; lange war ein Export nur über Umwege möglich, eine offizielle Exportfunktion führt Signal erst seit Kurzem ein.

Der gemeinsame Vorteil gegenüber dem Bild liegt in Umfang und Struktur: Ein Export ist der zusammenhängende Verlauf statt einer Momentaufnahme, und er enthält Daten, die sich auf innere Konsistenz prüfen und mit anderen Quellen abgleichen lassen. Dazu kommt die Absicherung über eine kryptografische Prüfsumme, den Hashwert: eine Art digitaler Fingerabdruck, der sich aus dem gesamten Inhalt errechnet und sich vollständig ändert, sobald auch nur ein einziges Byte abweicht. Einen solchen Fingerabdruck kann man von jeder Datei nehmen, auch von einem Screenshot. Er hält allerdings nur fest, dass eine Datei seit dem Moment ihrer Sicherung unverändert ist; nicht, was davor geschah. Seine Stärke spielt er deshalb beim Export aus: Dort sichert er einen Inhalt, der sich selbst prüfen lässt. Wer den Hashwert im Moment des Erhalts dokumentiert, kann später zeigen, dass eine Auswertung genau auf diesem Verlauf beruht und der Verlauf seither unangetastet ist. Bei einem ZIP mit Medien deckt ein einziger Wert das ganze Archiv ab, Text und Anhänge zusammen.

Auf den Zeitpunkt kommt es an. Ein gelöschter Chat lässt sich nicht mehr exportieren, und ein zurückgesetztes oder weitergegebenes Gerät trägt den Verlauf nicht mehr. Solange er auf dem Gerät liegt, steckt dort ohnehin mehr als in jedem Bild: die interne Reihenfolge der Nachrichten, die Verweise auf die zugehörigen Mediendateien, technische Zeitstempel.

Am tragfähigsten ist selten eine einzelne Quelle, sondern die Kombination. Ein Screenshot, der durch den passenden Export und bei Bedarf das Gerät gedeckt ist, stützt sich auf mehrere unabhängige Spuren, die zueinander passen müssen. Diese Redundanz lässt sich deutlich schwerer entkräften als jede Quelle für sich.

Eine Einschränkung gehört dazu, die in Werbetexten gern fehlt: Auch ein Export ist kein Echtheitsbeweis. Er ist eine Datei und damit grundsätzlich veränderbar. Der Unterschied liegt in der Prüfbarkeit. Ein Export lässt sich mit anderen Quellen abgleichen, auf innere Widersprüche untersuchen und in seiner Bearbeitung dokumentieren; ein Screenshot lässt sich nur ansehen. Beweiswert entsteht nicht aus dem Medium, sondern aus der Kette aus früher Sicherung, sauberer Dokumentation und Nachvollziehbarkeit.

Vom Rohexport zur nutzbaren Grundlage

Mit dem Export ist die Arbeit nicht zu Ende. Eine rohe Exportdatei mit womöglich tausenden Zeilen und ein Ordner voller Medien ergeben noch keine Fassung, auf die man sich sauber berufen kann. Dafür braucht es eine lesbare, durchgehend nummerierte Aufbereitung, kenntlich gemachte Auslassungen und dokumentierte Prüfsummen. Das lässt sich von Hand erledigen oder mit spezialisierter Software; hierfür wurde Aktenreif entwickelt, das die Aufbereitung lokal auf dem eigenen Rechner übernimmt. Der Punkt bleibt aber unabhängig vom Werkzeug: Wer früh den Export sichert, hat später etwas in der Hand. Wer nur den Screenshot hat, hat ein Bild.

Und wenn die Echtheit selbst zur Frage wird, lässt sich vorab klären, wie weit sich eine vorgelegte Kommunikation technisch überhaupt erhärten lässt. Eine solche Einschätzung kann bei Byteclue kostenlos eingeholt werden, bevor größerer Aufwand entsteht.