Excipio verwendet die Ermittlungssoftware NARS (Network Activity Recording and Supervision). Diese wurde speziell für die Ermittlung von Urheberrechtsverstößen in Filesharingnetzwerken entwickelt. Die Software arbeitet redundant und verfügt über zahlreiche weitere Mechanismen, um fehlerhafte Ermittlungen auszuschließen und beweissichere Ermittlungsergebnisse zu liefern.

Die einwandfreie Funktionsweise der Software wurde durch ein Sachverständigengutachten eines von der IHK öffentlich bestellten und vereidigten Sachverständigen für Informationstechnologie und Softwareengineering nachgewiesen und bestätigt.

Auszug aus der gutachterlichen Stellungnahme:
Die im Gutachten dargelegte Untersuchung und Analyse der Software NARS bestätigt, dass die Software NARS (Network Activity Recording and Supervision) grundsätzlich in der Lage ist, vorgegebene, eindeutig verifizierte Dateien, welche im Internet mittels des BitTorrent Protokolls zur Verfügung gestellt werden, zu registrieren und deren Vertreiber (IP-Adresse) sowie Informationen über den Vertrieb mittels weiterer geeigneter Merkmale zu protokollieren. Die Merkmale enthalten unter anderem die dem Zeitnormal folgende Zeit des Vertriebs, den Dateinamen, die Datei-Identifikation mittels eines SHA-1 Message-Digest und zumindest einen eindeutig zu identifizierenden Dateiausschnitt.

Um einen fehlerfreien Betrieb der Software und die Datenqualität gewährleisten zu können, wird der gesamte TCP/IP Datenverkehr mittels des frei verfügbaren Programms „Tcpdump“ komplett aufgezeichnet, nach dem deutschen Signaturgesetz signiert und anschließend revisionssicher archiviert. Dadurch ist es jederzeit möglich den kompletten Log-Prozess für jeden Datensatz, vollständig nachzuvollziehen.

Bei „Tcpdump“, handelt es sich um eine frei verfügbare Software zur Überwachung und Auswertung von Netzwerkverkehr. Durch ein Verifikationsprogramm werden die von NARS in der Datenbank abgespeicherten Daten und die aufgezeichneten „rohen“ Paket-Daten (Netzwerkverkehr) Datensatz für Datensatz miteinander verglichen. Nur wenn der Netzwerkverkehr (die original Paket-Daten) mit den Ermittlungsdaten übereinstimmen, werden die entsprechenden Datensätze verwendet bzw. zur Weiterverarbeitung freigegeben. Dadurch werden Fehler in der Überwachungs-Software effektiv vermieden und ein „fail-safe“ implementiert.

Zusätzlich dazu, werden die heruntergeladenen Teilstücke mit der Original-Datei verglichen, um Hash-Kollisionen, welche theoretisch möglich, aber praktisch ausgeschlossen sind, vollständig auszuschließen.

Die eingesetzte Monitoring-Technologie verbreitet keinerlei Dateien in den Tauschbörsen. Die Ermittlungssoftware NARS verfügt über keinerlei Programmroutinen, welche Daten oder auch nur Fragmente einer Datei an das Filesharing-Netzwerk verteilt.

Excipio verfolgt ausschließlich die öffentlich Zugänglichmachung von urheberrechtlich geschützten Werken. Dazu werden von jedem einzelnen Teilnehmer Teilstücke der geschützten Datei tatsächlich heruntergeladen und abgespeichert und dieser Vorgang gerichtsverwertbar protokolliert. Es werden nur sogenannte „uploads“ festgestellt und dokumentiert.

Nachdem dem vollständigen Herunterladen der verdächtigten Datei, wird diese von zwei Mitarbeitern, manuell (Hörvergleich, Sichtvergleich) und durch die Zuhilfenahme von sogenannten automatischen „Perceptual-Hashing-Verfahren“, verifiziert. Nur bei positiver Übereinstimmung der heruntergeladenen Datei mit dem Original, wird diese für die Überwachung freigeschaltet.

Die eingesetzte Monitoring-Technologie nutzt den Hash-Wert der im Filesharingnetzwerk angebotenen Dateien lediglich zur Lokalisierung der Datei und lädt ein Teilstück der Datei von jedem Nutzer herunter, um das öffentliche Zugänglichmachen jeweils im Einzelfall nachzuweisen. Das heruntergeladene Teilstück wird anschließend automatisiert mit der Originaldatei abgeglichen. Dadurch wird sichergestellt, dass es sich um das urheberrechtlich geschützte Werk handelt. Nur bei einer Übereinstimmung des vom Anbieter heruntergeladenen Teilstückes mit dem Originalwerk wird der betreffende Ermittlungsdatensatz zur Weiterverarbeitung frei gegeben.

Das System wird durch Zuhilfenahme des Network Time Protokolls (Network Time Protocol) in einem 5 minütigen Interwall synchronisiert. Durch den Einsatz von mehreren deutschen Stratum-1 Servern werden sogenannte „false-ticker“ praktisch ausgeschlossen. Um die höchstmögliche Sicherheit bei der Zeitsynchronisation zu gewährleisten, sind zusätzlich zwei eigene Stratum-1 Zeitserver im Betrieb, welche über separate GPS-Quellen direkt synchronisiert werden. Der zeitliche Unterschied dieser zwei unabhängigen Zeitquellen, wird für jeden Datensatz explizit gespeichert. Datensätze, welche eine Zeitdifferenz von über 10 Millisekunden aufweisen, werden verworfen und nicht weiterverarbeitet. Zusätzlich dazu wird die Synchronisation permanent überwacht, um eventuellen Problemen vorzubeugen.

Das BitTorrent-Netzwerk verwendet den SHA-1 Algorithmus, um die Datei eindeutig in dem Filesharing-Netzwerk zu identifizieren. Zwar kann es theoretisch zu sog. Hash-Kollisionen kommen. Diese sind jedoch im Bit-Torrent-Netzwerk praktisch ausgeschlossen und werden durch das BitTorrent-Protokoll wesentlich reduziert.

Unabhängig davon werden durch die Ermittlungssoftware NARS fehlerhafte Ermittlungen aufgrund von Hash-Kollisionen ausgeschlossen, da von jedem Anbieter ein Teilstück der angebotenen Datei heruntergeladen und mit dem zuvor durch Hör- /Sichtvergleich verifizierten Original abgeglichen. Ist dieser Abgleich negativ, wird der betreffende Datensatz verworfen.

Um die maximale forensische Sicherheit der Daten zu gewährleisten, werden einmal pro Tag Daten und Log-Dateien tagesaktuell in einem Archiv zusammengefasst. Durch die Zuhilfenahme, kryptographischer Hash-Algorithmen werden mehrere Hash-Werte der relevanten Daten berechnet und in eine Protokoll-Datei geschrieben. Anschließend wird ein elektronischer qualifizierter Zeitstempel angefordert, um einen rechtskräftigen Nachweis zu erzeugen, welcher Fälschungen und nachträgliche Verfälschungen ausschließt und gleichzeitig den Zeitpunkt der Signierung bestätigt. Nachfolgend werden die Daten eines gesamten Tages auf ein WORM Tape (Write Once Read Many) geschrieben und sind daher nicht mehr nachträglich manipulierbar und somit revisionssicher (fälschungssicher).

Der komplette Betrieb, der Software wird durch die frei verfügbare Netzwerk-Monitoring Software „Zenoss“, konstant überwacht. Dadurch sind eine einwandfreie Wartung und der Betrieb der Software ständig gewährleistet.

Excipio ermittelt und speichert zu keinem Zeitpunkt personenbezogene Daten. Die Zuordnung dieser erfolgt durch den jeweiligen Provider anhand der eindeutig festgestellten IP-Adresse. Die Kommunikation mit dem Provider erfolgt ausschließlich durch die zuständige Rechtsanwaltskanzlei. Daher ist es Excipio nicht möglich, zu den von ihr ermittelten Daten, Namen zu zuordnen. Die Richtlinien und Datenschutzbestimmungen gemäß dem geltenden Datenschutzgesetzt werden somit stets eingehalten.

Die Sicherheit des Serverbetriebs wird durch den Payment Card Industry Data Security Standard garantiert. Bei dem PCI, handelt es sich um ein Sicherheitsregelwerk, welches von allen wichtigen Kreditkartenorganisationen unterstützt wird. Dieser Standard, enthält eine Liste von sicherheitsrelevanten Anforderungen an die Rechnernetze des jeweiligen Unternehmens.

Die Software der Excipio UG protokolliert ausschließlich das öffentliche Verfügbarmachen von urheberrechtlich geschützten Dateien. Dafür werden von jedem Teilnehmer Teilstücke der angebotenen Datei tatsächlich heruntergeladen. Nur, wenn das herunter geladene Teilstück mit der Original-Datei übereinstimmt, wird der Datensatz geschrieben und der Datenverkehr entsprechend protokolliert (siehe oben). Da sog. „Anti-Leech-Mods“ keinerlei Daten zur Verfügung stellen, werden diesbezüglich auch keine Datensätze protokolliert.