Digitale Beweise sind flüchtig. Server werden neu aufgesetzt, Logfiles rotieren, Testumgebungen werden abgebaut, Cloud-Instanzen gelöscht, Mitarbeiter verlassen das Unternehmen. Was heute noch auf einem System nachvollziehbar ist, kann morgen unwiederbringlich verloren sein. Bei IT-Streitigkeiten entscheidet der Zeitpunkt der Beweissicherung deshalb häufig über den Ausgang des gesamten Verfahrens.
Digitale Beweise sind anders als physische Beweise
Im Bauwesen kann ein Sachverständiger auch Jahre nach der Fertigstellung einen Riss in der Wand dokumentieren oder eine fehlerhafte Abdichtung freilegen. Der Mangel ist physisch vorhanden und verändert sich in der Regel nur langsam. Bei IT-Streitigkeiten ist das grundlegend anders.
Software existiert in einem bestimmten Zustand zu einem bestimmten Zeitpunkt. Dieser Zustand verändert sich laufend: durch Updates, Patches, Konfigurationsänderungen, durch den normalen Betrieb, durch den Ablauf automatisierter Prozesse und durch bewusste oder unbewusste Eingriffe. Wenn ein ERP-System im Januar fehlerhaft arbeitet und der Anbieter im März ein Update einspielt, ist der fehlerhafte Zustand vom Januar möglicherweise nicht mehr rekonstruierbar. Der Mangel wurde vielleicht behoben, aber der Beweis für seine Existenz ist verschwunden.
Noch gravierender ist die Situation bei Logfiles und Protokolldaten. Die meisten Systeme speichern Protokolle nur für einen begrenzten Zeitraum. Webserver-Logs werden typischerweise nach 30 bis 90 Tagen rotiert, Firewall-Logs nach wenigen Wochen überschrieben, Datenbankprotokolle nach der nächsten Archivierung gelöscht. Wer sechs Monate nach einem Vorfall einen Sachverständigen einschaltet, findet oft keine verwertbaren Protokolldaten mehr vor.
Deshalb gilt bei IT-Streitigkeiten eine einfache Regel: Die Beweissicherung muss so früh wie möglich erfolgen. Jeder Tag, der verstreicht, reduziert die Menge und Qualität der verfügbaren Beweise.
Was bei IT-Streitigkeiten gesichert werden muss
Die Beweissicherung bei IT-Streitigkeiten umfasst deutlich mehr als eine Kopie der Software. Je nach Fallkonstellation können folgende Beweismittel relevant sein.
Der aktuelle Zustand der Software ist der offensichtlichste Beweisgegenstand. Welche Version ist installiert? Welche Module sind aktiv? Welche Konfiguration ist hinterlegt? Welche Anpassungen (Customizing) wurden vorgenommen? Bei Webanwendungen oder Cloud-Lösungen muss dieser Zustand gesichert werden, bevor der Anbieter Zugriff entzieht oder Änderungen vornimmt.
Die Datenbankinhalte dokumentieren den tatsächlichen Betriebszustand. Sind die Stammdaten korrekt migriert? Stimmen die Lagerbestände? Funktionieren die Preiskalkulationen? Bei ERP-Streitigkeiten liegen die entscheidenden Beweise häufig nicht in der Software selbst, sondern in den Daten, die sie verarbeitet.
Logfiles und Protokolldaten sind oft die einzige Möglichkeit, Vorgänge in der Vergangenheit zu rekonstruieren. Systemprotokolle zeigen, wann welche Fehler aufgetreten sind. Anmeldeprotokolle belegen, wer wann auf das System zugegriffen hat. Änderungsprotokolle dokumentieren, welche Konfigurationsänderungen vorgenommen wurden. E-Mail-Server-Logs können beweisen, dass eine bestimmte Benachrichtigung gesendet oder empfangen wurde.
Die Projektdokumentation umfasst Verträge, Lastenhefte, Pflichtenhefte, Projektprotokolle, Statusberichte, E-Mail-Korrespondenz, Ticketsysteme und Change Requests. Diese Dokumente sind weniger flüchtig als technische Daten, aber auch sie können verloren gehen: wenn Projektplattformen abgeschaltet, Ticketsysteme archiviert oder E-Mail-Konten gelöscht werden.
Testumgebungen und Entwicklungssysteme werden nach dem Go-Live oft als erste abgebaut. Dabei sind sie für die Begutachtung häufig wertvoller als das Produktivsystem, weil sie den Zustand der Software zu einem bestimmten Zeitpunkt konservieren, ohne dass der laufende Betrieb die Spuren überschrieben hat.
Die Flüchtigkeit digitaler Beweise: Fünf typische Szenarien
Aus meiner Praxis als IT-Sachverständiger kenne ich eine Reihe von Situationen, in denen der Zeitpunkt der Beweissicherung den Ausgang des Verfahrens bestimmt hat.
Der Anbieter spielt ein Update ein. Ein Unternehmen beklagt sich über systematische Rechenfehler in der Fakturierung seines neuen ERP-Systems. Der Anbieter erkennt das Problem an und spielt ein Update ein. Damit ist der Fehler behoben, aber zugleich ist der Beweis für die ursprüngliche Fehlfunktion verschwunden. Hätte das Unternehmen vor dem Update den Zustand der Software dokumentiert und die fehlerhaften Berechnungen mit Testdaten reproduziert, wäre der Mangel nachweisbar gewesen.
Der Cloud-Zugang wird gesperrt. Ein SaaS-Vertrag wird gekündigt oder läuft aus. Der Anbieter sperrt den Zugang zum System. Ab diesem Zeitpunkt ist eine technische Befundaufnahme nicht mehr möglich. Die Daten, die Konfiguration, die Fehlerprotokolle, alles liegt auf der Infrastruktur des Anbieters und ist nicht mehr zugänglich. Wenn die Beweissicherung nicht vor der Sperrung erfolgt ist, fehlt dem Sachverständigen die Grundlage für eine Begutachtung.
Server werden neu aufgesetzt. Nach einem gescheiterten IT-Projekt entscheidet das Unternehmen, die alte Infrastruktur abzubauen und ein neues System einzuführen. Die Server des gescheiterten Systems werden formatiert und neu installiert. Damit gehen nicht nur die Software und ihre Konfiguration verloren, sondern auch sämtliche Logfiles, temporären Dateien und Datenbankstände, die den fehlerhaften Betrieb dokumentiert haben.
Mitarbeiter verlassen das Unternehmen. Der Projektleiter beim IT-Dienstleister, der die Implementierung verantwortet hat, wechselt zu einem anderen Arbeitgeber. Sein E-Mail-Konto wird deaktiviert, seine lokalen Dateien gelöscht. Die E-Mails, in denen er bestimmte Funktionalitäten zugesagt oder Probleme eingeräumt hat, sind nicht mehr zugänglich, sofern sie nicht auf dem Mailserver des Empfängers gesichert wurden.
Automatische Löschfristen greifen. Viele Unternehmen haben, nicht zuletzt aus datenschutzrechtlichen Gründen, automatisierte Löschprozesse implementiert. E-Mails werden nach zwölf Monaten gelöscht, Logfiles nach 90 Tagen rotiert, Tickets nach Abschluss archiviert und nach einem Jahr entfernt. Diese Prozesse laufen im Hintergrund und erfassen auch diejenigen Daten, die für eine spätere Streitigkeit relevant wären.
Die Beweissicherung aus rechtlicher Sicht
Das österreichische Zivilprozessrecht kennt das Beweissicherungsverfahren gemäß §§ 384 bis 389 ZPO. Dieses Verfahren ermöglicht die vorsorgliche Aufnahme von Beweisen, auch schon vor der Einbringung einer Klage. Voraussetzung ist, dass der Antragsteller ein rechtliches Interesse an der Beweissicherung glaubhaft macht, insbesondere dass ein Beweisverlust droht.
Im gerichtlichen Beweissicherungsverfahren bestellt das Gericht einen Sachverständigen, der den gegenwärtigen Zustand einer Sache feststellt. Bei IT-Streitigkeiten bedeutet das: Der Sachverständige dokumentiert den aktuellen Zustand der Software, der Systeme und der Daten. Wichtig ist, dass im Rahmen der Beweissicherung grundsätzlich ein Befund erstattet wird, also eine Feststellung des Ist-Zustands. Die Erstattung eines vollständigen Gutachtens mit rechtlicher Würdigung ist im Beweissicherungsverfahren nicht vorgesehen, kann aber im anschließenden Hauptverfahren erfolgen.
Alternativ kann ein Privatgutachten beauftragt werden. Der Sachverständige wird dabei direkt von einer Partei beauftragt und erstellt eine Befundaufnahme auf privatrechtlicher Grundlage. Ein Privatgutachten hat vor Gericht den Charakter eines urkundlich belegten Parteienvorbringens, nicht eines Beweismittels im prozessualen Sinn. Für die Beweissicherung kann es dennoch entscheidend sein: Es dokumentiert den Zustand zu einem bestimmten Zeitpunkt und schafft damit eine Grundlage, auf die sich ein späteres Gerichtsgutachten stützen kann.
In der Praxis ist das Privatgutachten bei IT-Streitigkeiten häufig der schnellere Weg. Ein gerichtliches Beweissicherungsverfahren erfordert einen Antrag, einen Beschluss, die Bestellung eines Sachverständigen und die Terminierung. Das kann Wochen dauern. Bei flüchtigen digitalen Beweisen sind Wochen manchmal zu lang.
Die Chain of Custody: Damit Beweise auch Beweise bleiben
Die Sicherung digitaler Beweise muss so erfolgen, dass ihr Beweiswert erhalten bleibt. Dafür ist die Chain of Custody, die lückenlose Kette der Obhut, entscheidend. Sie dokumentiert, wer wann welches Beweismittel gesichert, transportiert, aufbewahrt und untersucht hat.
Konkret bedeutet das: Von Datenträgern werden forensische Duplikate (Images) erstellt, nicht einfache Kopien. Die Integrität des Duplikats wird durch kryptografische Hashwerte (SHA-256) sichergestellt. Jeder Schritt wird dokumentiert: Datum, Uhrzeit, beteiligte Personen, verwendete Werkzeuge, Vorgehen. Das Originalsystem wird nach der Sicherung möglichst nicht mehr verändert.
Bei der Sicherung laufender Systeme ist die Reihenfolge wichtig: Flüchtige Daten (Arbeitsspeicher, aktive Netzwerkverbindungen, laufende Prozesse) werden zuerst gesichert, weil sie beim Herunterfahren verloren gehen. Dann folgen die Massenspeicher (Festplatten, SSDs), anschließend die externen Speichermedien. Dieses Prinzip der Flüchtigkeitsreihenfolge stellt sicher, dass die kurzlebigsten Beweise zuerst erfasst werden.
Für den späteren Beweiswert ist außerdem die Vier-Augen-Regel bedeutsam: Die Sicherung sollte von zwei Personen durchgeführt oder bezeugt werden, damit die korrekte Vorgehensweise im Verfahren bestätigt werden kann.
Beweissicherung bei verschiedenen Streittypen
Der Umfang und die Dringlichkeit der Beweissicherung hängen vom konkreten Streittyp ab.
Bei gescheiterten IT-Projekten wie ERP-Einführungen ist die Beweissicherung dringlich, aber nicht minutenkritisch. Hier geht es darum, den Zustand der Software, die Projektdokumentation und die Kommunikation zwischen den Parteien zu sichern, bevor Systeme abgebaut oder Dokumente gelöscht werden. Ein Zeitfenster von einigen Wochen ist typisch, aber es sollte nicht unnötig ausgereizt werden.
Bei Cyberangriffen und Sicherheitsvorfällen ist die Beweissicherung höchst zeitkritisch. Angriffsspuren im Arbeitsspeicher gehen bei einem Neustart verloren. Logfiles, die den Angriffsverlauf zeigen, werden möglicherweise durch den Angreifer selbst gelöscht oder durch den normalen Systembetrieb überschrieben. Hier muss die forensische Sicherung innerhalb von Stunden beginnen.
Bei Softwaremängeln im laufenden Betrieb besteht die besondere Herausforderung darin, den fehlerhaften Zustand zu dokumentieren, ohne den Betrieb zu unterbrechen. Hier kommen häufig gezielte Testszenarien zum Einsatz: Der Sachverständige reproduziert den Fehler unter kontrollierten Bedingungen und dokumentiert ihn protokollfest.
Bei Streitigkeiten über Datenverlust oder Datenmanipulation steht die Integrität der Daten im Mittelpunkt. Hier muss nachgewiesen werden, dass Daten zu einem bestimmten Zeitpunkt in einem bestimmten Zustand waren. Ohne zeitnahe Sicherung ist dieser Nachweis kaum zu führen.
Was Sie jetzt tun sollten
Wenn Sie sich in einer IT-Streitigkeit befinden oder eine solche befürchten, sollten Sie sofort handeln.
Sichern Sie den aktuellen Zustand. Erstellen Sie Backups aller relevanten Systeme, Datenbanken und Konfigurationen. Exportieren Sie Logfiles, bevor die automatische Rotation sie löscht. Dokumentieren Sie den Zustand mit Screenshots, Bildschirmaufnahmen und Protokollen. Auch wenn diese interne Sicherung nicht den forensischen Standards eines Sachverständigengutachtens entspricht, ist sie besser als gar keine Sicherung.
Bewahren Sie die Kommunikation auf. Sichern Sie alle E-Mails, Chat-Verläufe, Ticketsystem-Einträge und Projektdokumente, die mit dem Streitgegenstand zusammenhängen. Deaktivieren Sie automatische Löschprozesse für die betroffenen Daten.
Schalten Sie einen Sachverständigen ein, bevor Sie technische Veränderungen vornehmen. Bevor Sie ein System abschalten, ein Update einspielen, einen Server neu aufsetzen oder eine Testumgebung abbauen, sollte ein Sachverständiger die Gelegenheit haben, den aktuellen Zustand zu dokumentieren.
Handeln Sie nicht vorschnell, aber handeln Sie schnell. Die Beweissicherung muss nicht am selben Tag abgeschlossen sein. Aber sie muss begonnen werden, bevor die Beweise verschwinden. Und das kann schneller passieren, als man denkt.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger führe ich Beweissicherungen sowohl im Rahmen gerichtlicher Beweissicherungsverfahren als auch als Privatgutachter durch. Im Erstgespräch können wir gemeinsam einschätzen, welche Beweise in Ihrem Fall gefährdet sind und welche Maßnahmen prioritär ergriffen werden sollten. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.