Rat gesucht: Wie man Fakten aus Logs ermittelt

Hallo und vielen Dank im Voraus.

Eine Person, die ich kenne, plant, einen gerichtlich bestellten forensischen IT-Experten damit zu beauftragen, Fakten im Zusammenhang mit einem Forum-Migrationsvorfall aus dem Jahr 2023 zu ermitteln.

Ich möchte gerne wissen, worauf Sie achten oder welche Anweisungen/Fragen Sie dem Experten erteilen würden, um Folgendes nachzuweisen:

Eine Plattform, die ein Discourse-Forum betrieb, hat dieses Forum samt aller Nutzer im Jahr 2023 auf ein neues, benutzerdefiniertes Forum migriert. Anscheinend wurden alle historisch gesperrten Nutzer nach der Migration vollständig wiederhergestellt und sind seither aktiv.

Es gab zwei Nutzer, die in einen langjährigen Konflikt mit der Plattform verwickelt waren; sie waren gesperrt und befanden sich erwartungsgemäß auch auf dem neuen, migrierten Forum in einem gesperrten Zustand.

Nun bestätigten alle Nutzer, die auf dem alten Forum gesperrt waren und die sie kontaktierten, dass sie bei ihrem ersten Login nach der Migration vollständig wiederhergestellt wurden.

Der Nachweis, dass keine historischen Sperren übernommen wurden und dass nur diese beiden Nutzer einzeln neu gesperrt wurden, würde ihren Konflikt erheblich beeinflussen.

Die Plattform bestreitet, dass historisch gesperrte Nutzer jemals wiederhergestellt wurden, und besteht darauf, dass die identischen Sperren für alle weiterhin galten.

Da bereits drei Jahre vergangen sind und die Plattform offensichtlich weiß, welche Aufzeichnungen für die Feststellung dieses entscheidenden Sachverhalts wesentlich sind, möchte ich fragen, ob Sie es für technisch möglich halten, dass ein forensischer Experte dies anhand von Protokollen/Aufzeichnungen auch nach drei Jahren nachweisen kann. Oder könnte die Plattform einfach alle Spuren von Aufzeichnungen zur Migration oder zur erneuten Verhängung von Sperren löschen?

Wenn Sie einem forensischen Experten, der eine solche Software nach drei Jahren untersucht, Anweisungen erteilen würden, wie würden Sie dann vor Gericht nachweisen, dass keine Sperren global vom Discourse-Forum übernommen wurden und lediglich zwei Nutzer nach der Migration manuell neu gesperrt wurden?

Wer hostet das Forum? Ist es selbst gehostet oder wird es von einem Hosting-Anbieter bereitgestellt? Diese Informationen wären sowohl für das alte als auch für das neue Forum hilfreich.

War das alte Forum also ein Discourse-Forum und ist das neue Forum ein selbst entwickeltes Forum?

Drei Jahre sind eine lange Zeit, um Server-Logs zu bewahren, und die Logs des alten Forums wurden wahrscheinlich gelöscht, als das Forum migriert wurde.

Nur eine Vermutung.

Hallo Andrew, das Forum wird von einer großen Plattform im Maßstab von Facebook oder Google betrieben; es ist ihr Kundenforum. Der gesamte Migrationsprozess dauerte etwa ein ganzes Jahr.

Zunächst betrieben sie das neue Forum parallel, später begannen sie, „Beta“-Tester einzuladen, und die letzten Nutzer wurden im Sommer 2023 migriert, als das Discourse-Forum offiziell abgeschaltet wurde und das neue, benutzerdefinierte Forum zum einzigen Forum wurde.

Das bedeutet also, dass hier niemand ein Forum betreibt. Ich frage mich: Wenn sie ein Forum mit Millionen von Nutzern migriert hätten und keine Vorkehrungen getroffen hätten, um historische Suspendierungen zu übernehmen, ließe sich das dann durch einen forensischen Sachverständigen nachweisen? Oder würde der Sachverständige einfach antworten, dass alle Daten vor 2026 gelöscht und vernichtet wurden und wir nichts über das Geschehene bezüglich der Konten oder der Software feststellen können – wir verfügen nur über Aufzeichnungen der letzten drei Monate? Und könnte ein Unternehmen in der Größe von Google eine solche Position vertreten?