Analyse nach Datenklau
Hallo Admin Forum,
wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Der Vorfalll ist allerding bereits 3 Wochen her. Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Vielen Dank!
Alex
wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Der Vorfalll ist allerding bereits 3 Wochen her. Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Vielen Dank!
Alex
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250402
Url: https://administrator.de/forum/analyse-nach-datenklau-250402.html
Ausgedruckt am: 29.04.2025 um 13:04 Uhr
5 Kommentare
Neuester Kommentar
Moin,
man kann das Anstecken eines USB-Sticks in der Registry finden und gleichfalls das Öffnen von Ordnern (und natürlich das Anmelden mit User-Profilen), ob man aus den Zeitstempeln dann etwas spezifisches ableiten kann ist Euch überlassen, gleichfalls lassen sich (natürlich) Zugriffszeiten und ggf. weitere Ordner im NTFS der Platte finden, auch das könnte belegen, daß jemand Daten hin und her kopiert hat.
Vor alledem sollte man - um keine Spuren zu verwischen/verfälschen - eine 1zu1-Kopie mit einem Live-Linux auf eine zweite Festplatte machen (Foren-Suche) und nach Geschmack nur auf der Kopie arbeiten.
Ein "Beweis" wird das vermutlich nach drei Wochen nicht mehr sauber - aber das hängt wohl eher von der Zielsetzung (nur "konfrontieren", nur intern vermuten für Compliance, Arbeitsgericht) ab.
HG
Mark
man kann das Anstecken eines USB-Sticks in der Registry finden und gleichfalls das Öffnen von Ordnern (und natürlich das Anmelden mit User-Profilen), ob man aus den Zeitstempeln dann etwas spezifisches ableiten kann ist Euch überlassen, gleichfalls lassen sich (natürlich) Zugriffszeiten und ggf. weitere Ordner im NTFS der Platte finden, auch das könnte belegen, daß jemand Daten hin und her kopiert hat.
Vor alledem sollte man - um keine Spuren zu verwischen/verfälschen - eine 1zu1-Kopie mit einem Live-Linux auf eine zweite Festplatte machen (Foren-Suche) und nach Geschmack nur auf der Kopie arbeiten.
Ein "Beweis" wird das vermutlich nach drei Wochen nicht mehr sauber - aber das hängt wohl eher von der Zielsetzung (nur "konfrontieren", nur intern vermuten für Compliance, Arbeitsgericht) ab.
HG
Mark
Moin,
ohne aktiviertes File-Auditing oder entsprechende Überwachungsmaßnahmen die vor dem Vorfall konfiguriert worden sind, wird das nach so langer Zeit nicht mehr vernünftig machbar sein. Man könnte zwar die NTFS Access-Timestamps zur Analyse hinzuziehen, aber je nachdem wie oft auf die Files zugegriffen wird ist es hier dann schwer eine Aussage zu treffen.
Grüße Uwe
ohne aktiviertes File-Auditing oder entsprechende Überwachungsmaßnahmen die vor dem Vorfall konfiguriert worden sind, wird das nach so langer Zeit nicht mehr vernünftig machbar sein. Man könnte zwar die NTFS Access-Timestamps zur Analyse hinzuziehen, aber je nachdem wie oft auf die Files zugegriffen wird ist es hier dann schwer eine Aussage zu treffen.
Grüße Uwe
DEFT und DART sind zwei forensische Toolsammlungen mit denen man nachvollziehen kann, wann auf welchze Dateien zugegriffen wurde, sofern diese Daten nicht gelöscht wurden.
lk
lk
Hallo,
angesprochen hat, allerdings würde ich die Kopie dann auch gleich noch "read only" mounten damit
nichts verfälscht werden kann sonst kann man das mit dem Gericht gleich vergessen und zwar voll
und ganz und nach drei Wochen würde ich auch nur von einem Verdacht, begründetem Verdacht
oder einem erhärtetem Verdacht sprechen wollen, denn das ist sonst alles zu schwammig.
worden ist kann man sicherlich das eine oder das andere herausfinden nur ob das riecht
ist immer so eine Sache und bitte nicht vergessen, das man schnell selber dabei eine blutige
Nase abbekommen kann, denn Stand der Technik ist derzeit so etwas mittels GPOs oder aber
kleinen USB Einsteckschlössern zu unterbinden ansonsten hat man eventuell jemanden zu einer
tat verleitet oder verführt!!!! und dann geht die Post erst richtig ab, wenn man vor Gericht steht!
Denn wenn es mit dem Mitarbeiter schon einmal Probleme gab kann unterstellt werden das man
ihn so los werden wollte!
kann jemand der das Passwort mittels Schultersurfen ergaunert hat ja rein theoretisch dort
manipuliert haben und dann wird man es schwer haben auch nur ansatzweise daraus etwas
ableiten zu können.
Gruß
Dobby
: Hinweis : Hierbei handelt es sich nicht um eine Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch zwischen und unter Forumsmitgliedern!
wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Wahrscheinlich ist immer so eine Sache, nachschauen kann man sicherlich so wie Mark es schonangesprochen hat, allerdings würde ich die Kopie dann auch gleich noch "read only" mounten damit
nichts verfälscht werden kann sonst kann man das mit dem Gericht gleich vergessen und zwar voll
und ganz und nach drei Wochen würde ich auch nur von einem Verdacht, begründetem Verdacht
oder einem erhärtetem Verdacht sprechen wollen, denn das ist sonst alles zu schwammig.
Der Vorfalll ist allerding bereits 3 Wochen her.
Nun ja das kann man so oder so sehen, wenn vor drei Wochen ein USB Stick eingestecktworden ist kann man sicherlich das eine oder das andere herausfinden nur ob das riecht
ist immer so eine Sache und bitte nicht vergessen, das man schnell selber dabei eine blutige
Nase abbekommen kann, denn Stand der Technik ist derzeit so etwas mittels GPOs oder aber
kleinen USB Einsteckschlössern zu unterbinden ansonsten hat man eventuell jemanden zu einer
tat verleitet oder verführt!!!! und dann geht die Post erst richtig ab, wenn man vor Gericht steht!
Denn wenn es mit dem Mitarbeiter schon einmal Probleme gab kann unterstellt werden das man
ihn so los werden wollte!
Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Man kann gewisse Sachen feststellen, nur das sollte immer sofort und danach erfolgen, sonstkann jemand der das Passwort mittels Schultersurfen ergaunert hat ja rein theoretisch dort
manipuliert haben und dann wird man es schwer haben auch nur ansatzweise daraus etwas
ableiten zu können.
Gruß
Dobby
: Hinweis : Hierbei handelt es sich nicht um eine Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch zwischen und unter Forumsmitgliedern!
Danke für Eure Feedback!
