16
Beweis gesucht!
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder ähnliches, wo ich diese Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder ähnliches, wo ich diese Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107052
Url: https://administrator.de/contentid/107052
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
16 Kommentare
Neuester Kommentar
Um was für ein System handelt es sich denn?
wäre auch praktisch zu wissen ob das Betriebssystem des Computers verwendet wurde oder ob der "Angreifer" die Gelegenheit hatte den Computer von eine BootCD zu starten (Knoppix) oder sogar die Festplatte in Ruhe ausbauen und kopieren konnte. In den beiden letzten Fällen hast du keine Chance.
Wenn WinXP an war dann könnte es sein das die Datei auch in der History, also den kürzlich verwendeten Dateien, auftaucht. Wenn der USB Stick neu war kann es sein das Windows diesen im Eventlog verewigt hat.
Wenn WinXP an war dann könnte es sein das die Datei auch in der History, also den kürzlich verwendeten Dateien, auftaucht. Wenn der USB Stick neu war kann es sein das Windows diesen im Eventlog verewigt hat.
Wow, hätte nicht gedacht, das es so schnell eine Reaktion gibt.
Es handelt sich um einen Laptop mit Vista. Es wurde ein USB-Stick verwendet.
mfg.
Es handelt sich um einen Laptop mit Vista. Es wurde ein USB-Stick verwendet.
mfg.
Es handelt sich um einen Laptop mit Vista. Es wurde ein USB-Stick verwendet.
Zeit für den Ausbau war keine. Es wurde normal gestartet und dann auf den Stick gezogen.
mfg.
Zeit für den Ausbau war keine. Es wurde normal gestartet und dann auf den Stick gezogen.
mfg.
Zitat von @World-Media-Project:
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese
Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder > ähnliches, wo ich diese
Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese
Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder > ähnliches, wo ich diese
Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Hallo auch !
Ein paar mehr Infos wären nicht schlecht, zumal Dein Text so in den Raum gestellt mehr Fragen als Sinn ergibt.
Als die Daten (Welche ?) von deinem Rechner (Privat-o.Firmen-PC ?) auf einen USB kopiert wurden, warst du dabei ?
Woher weißt du von dem Vorfall ?
Wieso kannst du dir sicher sein, das Daten übertragen wurden ?
Wieso kann anscheinend ein jeder an deinen Rechner ?
Aber meiner Meinung wirst Du leider Pech haben, Vista führt kein Log über die durchgeführten Dateioperationen...
Einzig könntest Du im "Security"-Eventlog einen Eintrag von der Anmeldung der entsprechenden Person entdecken... falls eine Neuanmeldung erfolgte überhaupt und der Rechner nicht einfach offen oder ohne Passwortabfrage da stand...
Gruß,
Sven
Einzig könntest Du im "Security"-Eventlog einen Eintrag von der Anmeldung der entsprechenden Person entdecken... falls eine Neuanmeldung erfolgte überhaupt und der Rechner nicht einfach offen oder ohne Passwortabfrage da stand...
Gruß,
Sven
Das einzige was man nachweisen ist die eindeutige Seriennummer das USB Sticks. Die steht jetzt in deiner Registry.
falls du im Nachhinein noch bissl was nachbessern willst für die zukunft:
mit Utimaco Safeguard wär das nicht passiert *gg*
da gibts ne Port Protection.
Du kannst USB Sticks verbieten, USB Sticks gewisser Hersteller erlauben, USB Sticks gewissen Typs erlauben oder USB Sticks mit bestimmten Seriennummern erlauben.
Daten verschlüsseln, verschlüsselt brennen, verschlüsselt auf datenträger geben usw usw usw.. ;)
selbiges mit wechseldatenträgern, cd´s usw usw
mit Utimaco Safeguard wär das nicht passiert *gg*
da gibts ne Port Protection.
Du kannst USB Sticks verbieten, USB Sticks gewisser Hersteller erlauben, USB Sticks gewissen Typs erlauben oder USB Sticks mit bestimmten Seriennummern erlauben.
Daten verschlüsseln, verschlüsselt brennen, verschlüsselt auf datenträger geben usw usw usw.. ;)
selbiges mit wechseldatenträgern, cd´s usw usw
Hallo
Die aktuelle Ausgabe der COM! könnte dich interessieren. Es werden diverse Tools vorgestellt die in diese Richtung gehen.
Als erstes wäre da mal: USB-History R1 Dieses Tool zeigt alle eingesteckten USB Sticks mit einer eindeutigen Serialnummer an (wie Gagarin) bereits gesagt hat.
Mit MUI Cacheview können alle gestarteten Programme eingesehen werden. Und sonst gibt's noch Regripper vielleicht hilft dir eines der Tools weiter.
Gruss
cee
Die aktuelle Ausgabe der COM! könnte dich interessieren. Es werden diverse Tools vorgestellt die in diese Richtung gehen.
Als erstes wäre da mal: USB-History R1 Dieses Tool zeigt alle eingesteckten USB Sticks mit einer eindeutigen Serialnummer an (wie Gagarin) bereits gesagt hat.
Mit MUI Cacheview können alle gestarteten Programme eingesehen werden. Und sonst gibt's noch Regripper vielleicht hilft dir eines der Tools weiter.
Gruss
cee
Vielen Dank!
Ich werde jetzt alles durchprobieren.
Gruss
Tom
Ich werde jetzt alles durchprobieren.
Gruss
Tom
Hallo,
benutze bei Win2000 USBDeview es listet alle Zugriffe mit Zeit,Seriennr. usw. auf.
Brutzel
benutze bei Win2000 USBDeview es listet alle Zugriffe mit Zeit,Seriennr. usw. auf.
Brutzel
Hallo Tom,
ich kann mir immer noch nicht vorstellen, wie jemand an deine Daten gelangt sein kann. Hast du denn dein Passwort auf einem Aufkleber an der Tastatur - oder wie soll das gehen ?
.. und mit welchem Verfahren hast du bemerkt dass jemand Daten ausgerechnet über einen USB-Port entwendet hat ? Über das Netz oder CD kannst du wirklich ausschliessen ? Vielleicht fand der Datenklau ja doch übers Netz statt ?
Gibt es in deinem Netz irgendwelche Zugangsbeschränkungen ?
oder ist da auch alles offen ?
Ein Diebstahl ist ja schwierig zu beweisen, wenn gar kein Einbruch stattgefunden hat ...
mfg
Curly
ich kann mir immer noch nicht vorstellen, wie jemand an deine Daten gelangt sein kann. Hast du denn dein Passwort auf einem Aufkleber an der Tastatur - oder wie soll das gehen ?
.. und mit welchem Verfahren hast du bemerkt dass jemand Daten ausgerechnet über einen USB-Port entwendet hat ? Über das Netz oder CD kannst du wirklich ausschliessen ? Vielleicht fand der Datenklau ja doch übers Netz statt ?
Gibt es in deinem Netz irgendwelche Zugangsbeschränkungen ?
oder ist da auch alles offen ?
Ein Diebstahl ist ja schwierig zu beweisen, wenn gar kein Einbruch stattgefunden hat ...
mfg
Curly
Hallo Curly,
Laptop stan offen und eingeschaltet im Büro. War kurz raus. Als ich wieder kam, habe ich nur gesehen wie ein "Kollege" den Stick rauszog.
Er sagte mir, das er nur kurz seine Mails abrufen wollte (was eigentlich ok wäre, da wir noch zu wenig Rechner haben) und hätte seine Zugangsdaten auf dem Stick. Leider tauchten dann aber Daten von mir an anderen Stellen wieder aufr.
LG Tom
Laptop stan offen und eingeschaltet im Büro. War kurz raus. Als ich wieder kam, habe ich nur gesehen wie ein "Kollege" den Stick rauszog.
Er sagte mir, das er nur kurz seine Mails abrufen wollte (was eigentlich ok wäre, da wir noch zu wenig Rechner haben) und hätte seine Zugangsdaten auf dem Stick. Leider tauchten dann aber Daten von mir an anderen Stellen wieder aufr.
LG Tom
Hallo Brutzel,
funktioniert das denn bei jedem Betriebssystem? Und wo kann ich das bekommen?
LG Tom
funktioniert das denn bei jedem Betriebssystem? Und wo kann ich das bekommen?
LG Tom
Hallo,
müßte eigentlich für alle Systeme verwendbar sein.Progamm bei Chip.de
Jürgen
müßte eigentlich für alle Systeme verwendbar sein.Progamm bei Chip.de
Jürgen
Hallo Tom,
aber dann wird dir USBDeview auch nichts nützen, weil du ja schon gesehen hast, daß ein USB-Stick zum Einsatz kam und mehr zeigt dir der Deviceviewer auch nicht an. Du hast damit kein Protokoll über Dateioperationen, sondern nur über das angeschlossenen Gerät - und das ist ja bekannt.
Wenn du dir für die Zukunft angewöhnst beim Verlassen deines PCs den Rechner zu sperren oder dich sogar komplett abzumelden und für jeden User ein eigenes Butzerkonto (mit Passwort) anzulegen, kann das zumindest zukünftig nicht mehr passieren.
aber dann wird dir USBDeview auch nichts nützen, weil du ja schon gesehen hast, daß ein USB-Stick zum Einsatz kam und mehr zeigt dir der Deviceviewer auch nicht an. Du hast damit kein Protokoll über Dateioperationen, sondern nur über das angeschlossenen Gerät - und das ist ja bekannt.
Wenn du dir für die Zukunft angewöhnst beim Verlassen deines PCs den Rechner zu sperren oder dich sogar komplett abzumelden und für jeden User ein eigenes Butzerkonto (mit Passwort) anzulegen, kann das zumindest zukünftig nicht mehr passieren.
