bergente
Goto Top

Analyse nach Datenklau

Hallo Admin Forum,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Der Vorfalll ist allerding bereits 3 Wochen her. Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.

Vielen Dank!
Alex

Content-ID: 250402

Url: https://administrator.de/forum/analyse-nach-datenklau-250402.html

Ausgedruckt am: 06.04.2025 um 14:04 Uhr

broecker
broecker 28.09.2014 um 17:45:59 Uhr
Goto Top
Moin,
man kann das Anstecken eines USB-Sticks in der Registry finden und gleichfalls das Öffnen von Ordnern (und natürlich das Anmelden mit User-Profilen), ob man aus den Zeitstempeln dann etwas spezifisches ableiten kann ist Euch überlassen, gleichfalls lassen sich (natürlich) Zugriffszeiten und ggf. weitere Ordner im NTFS der Platte finden, auch das könnte belegen, daß jemand Daten hin und her kopiert hat.
Vor alledem sollte man - um keine Spuren zu verwischen/verfälschen - eine 1zu1-Kopie mit einem Live-Linux auf eine zweite Festplatte machen (Foren-Suche) und nach Geschmack nur auf der Kopie arbeiten.
Ein "Beweis" wird das vermutlich nach drei Wochen nicht mehr sauber - aber das hängt wohl eher von der Zielsetzung (nur "konfrontieren", nur intern vermuten für Compliance, Arbeitsgericht) ab.
HG
Mark
colinardo
colinardo 28.09.2014 aktualisiert um 17:51:28 Uhr
Goto Top
Moin,
ohne aktiviertes File-Auditing oder entsprechende Überwachungsmaßnahmen die vor dem Vorfall konfiguriert worden sind, wird das nach so langer Zeit nicht mehr vernünftig machbar sein. Man könnte zwar die NTFS Access-Timestamps zur Analyse hinzuziehen, aber je nachdem wie oft auf die Files zugegriffen wird ist es hier dann schwer eine Aussage zu treffen.

Grüße Uwe
Lochkartenstanzer
Lochkartenstanzer 28.09.2014 um 17:54:30 Uhr
Goto Top
DEFT und DART sind zwei forensische Toolsammlungen mit denen man nachvollziehen kann, wann auf welchze Dateien zugegriffen wurde, sofern diese Daten nicht gelöscht wurden.

lk
108012
108012 30.09.2014 um 15:47:56 Uhr
Goto Top
Hallo,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Wahrscheinlich ist immer so eine Sache, nachschauen kann man sicherlich so wie Mark es schon
angesprochen hat, allerdings würde ich die Kopie dann auch gleich noch "read only" mounten damit
nichts verfälscht werden kann sonst kann man das mit dem Gericht gleich vergessen und zwar voll
und ganz und nach drei Wochen würde ich auch nur von einem Verdacht, begründetem Verdacht
oder einem erhärtetem Verdacht sprechen wollen, denn das ist sonst alles zu schwammig.

Der Vorfalll ist allerding bereits 3 Wochen her.
Nun ja das kann man so oder so sehen, wenn vor drei Wochen ein USB Stick eingesteckt
worden ist kann man sicherlich das eine oder das andere herausfinden nur ob das riecht
ist immer so eine Sache und bitte nicht vergessen, das man schnell selber dabei eine blutige
Nase abbekommen kann, denn Stand der Technik ist derzeit so etwas mittels GPOs oder aber
kleinen USB Einsteckschlössern zu unterbinden ansonsten hat man eventuell jemanden zu einer
tat verleitet oder verführt!!!! und dann geht die Post erst richtig ab, wenn man vor Gericht steht!
Denn wenn es mit dem Mitarbeiter schon einmal Probleme gab kann unterstellt werden das man
ihn so los werden wollte!

Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Man kann gewisse Sachen feststellen, nur das sollte immer sofort und danach erfolgen, sonst
kann jemand der das Passwort mittels Schultersurfen ergaunert hat ja rein theoretisch dort
manipuliert haben und dann wird man es schwer haben auch nur ansatzweise daraus etwas
ableiten zu können.

Gruß
Dobby


: Hinweis : Hierbei handelt es sich nicht um eine Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch zwischen und unter Forumsmitgliedern!
BergEnte
BergEnte 12.10.2014 um 16:35:08 Uhr
Goto Top
Danke für Eure Feedback!