Beweis gesucht!
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder ähnliches, wo ich diese Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder ähnliches, wo ich diese Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107052
Url: https://administrator.de/forum/beweis-gesucht-107052.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
16 Kommentare
Neuester Kommentar
wäre auch praktisch zu wissen ob das Betriebssystem des Computers verwendet wurde oder ob der "Angreifer" die Gelegenheit hatte den Computer von eine BootCD zu starten (Knoppix) oder sogar die Festplatte in Ruhe ausbauen und kopieren konnte. In den beiden letzten Fällen hast du keine Chance.
Wenn WinXP an war dann könnte es sein das die Datei auch in der History, also den kürzlich verwendeten Dateien, auftaucht. Wenn der USB Stick neu war kann es sein das Windows diesen im Eventlog verewigt hat.
Wenn WinXP an war dann könnte es sein das die Datei auch in der History, also den kürzlich verwendeten Dateien, auftaucht. Wenn der USB Stick neu war kann es sein das Windows diesen im Eventlog verewigt hat.
Zitat von @World-Media-Project:
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese
Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder > ähnliches, wo ich diese
Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese
Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder > ähnliches, wo ich diese
Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.
WMP
Hallo auch !
Ein paar mehr Infos wären nicht schlecht, zumal Dein Text so in den Raum gestellt mehr Fragen als Sinn ergibt.
Als die Daten (Welche ?) von deinem Rechner (Privat-o.Firmen-PC ?) auf einen USB kopiert wurden, warst du dabei ?
Woher weißt du von dem Vorfall ?
Wieso kannst du dir sicher sein, das Daten übertragen wurden ?
Wieso kann anscheinend ein jeder an deinen Rechner ?
Aber meiner Meinung wirst Du leider Pech haben, Vista führt kein Log über die durchgeführten Dateioperationen...
Einzig könntest Du im "Security"-Eventlog einen Eintrag von der Anmeldung der entsprechenden Person entdecken... falls eine Neuanmeldung erfolgte überhaupt und der Rechner nicht einfach offen oder ohne Passwortabfrage da stand...
Gruß,
Sven
Einzig könntest Du im "Security"-Eventlog einen Eintrag von der Anmeldung der entsprechenden Person entdecken... falls eine Neuanmeldung erfolgte überhaupt und der Rechner nicht einfach offen oder ohne Passwortabfrage da stand...
Gruß,
Sven
falls du im Nachhinein noch bissl was nachbessern willst für die zukunft:
mit Utimaco Safeguard wär das nicht passiert *gg*
da gibts ne Port Protection.
Du kannst USB Sticks verbieten, USB Sticks gewisser Hersteller erlauben, USB Sticks gewissen Typs erlauben oder USB Sticks mit bestimmten Seriennummern erlauben.
Daten verschlüsseln, verschlüsselt brennen, verschlüsselt auf datenträger geben usw usw usw.. ;)
selbiges mit wechseldatenträgern, cd´s usw usw
mit Utimaco Safeguard wär das nicht passiert *gg*
da gibts ne Port Protection.
Du kannst USB Sticks verbieten, USB Sticks gewisser Hersteller erlauben, USB Sticks gewissen Typs erlauben oder USB Sticks mit bestimmten Seriennummern erlauben.
Daten verschlüsseln, verschlüsselt brennen, verschlüsselt auf datenträger geben usw usw usw.. ;)
selbiges mit wechseldatenträgern, cd´s usw usw
Hallo
Die aktuelle Ausgabe der COM! könnte dich interessieren. Es werden diverse Tools vorgestellt die in diese Richtung gehen.
Als erstes wäre da mal: USB-History R1 Dieses Tool zeigt alle eingesteckten USB Sticks mit einer eindeutigen Serialnummer an (wie Gagarin) bereits gesagt hat.
Mit MUI Cacheview können alle gestarteten Programme eingesehen werden. Und sonst gibt's noch Regripper vielleicht hilft dir eines der Tools weiter.
Gruss
cee
Die aktuelle Ausgabe der COM! könnte dich interessieren. Es werden diverse Tools vorgestellt die in diese Richtung gehen.
Als erstes wäre da mal: USB-History R1 Dieses Tool zeigt alle eingesteckten USB Sticks mit einer eindeutigen Serialnummer an (wie Gagarin) bereits gesagt hat.
Mit MUI Cacheview können alle gestarteten Programme eingesehen werden. Und sonst gibt's noch Regripper vielleicht hilft dir eines der Tools weiter.
Gruss
cee
Hallo Tom,
ich kann mir immer noch nicht vorstellen, wie jemand an deine Daten gelangt sein kann. Hast du denn dein Passwort auf einem Aufkleber an der Tastatur - oder wie soll das gehen ?
.. und mit welchem Verfahren hast du bemerkt dass jemand Daten ausgerechnet über einen USB-Port entwendet hat ? Über das Netz oder CD kannst du wirklich ausschliessen ? Vielleicht fand der Datenklau ja doch übers Netz statt ?
Gibt es in deinem Netz irgendwelche Zugangsbeschränkungen ?
oder ist da auch alles offen ?
Ein Diebstahl ist ja schwierig zu beweisen, wenn gar kein Einbruch stattgefunden hat ...
mfg
Curly
ich kann mir immer noch nicht vorstellen, wie jemand an deine Daten gelangt sein kann. Hast du denn dein Passwort auf einem Aufkleber an der Tastatur - oder wie soll das gehen ?
.. und mit welchem Verfahren hast du bemerkt dass jemand Daten ausgerechnet über einen USB-Port entwendet hat ? Über das Netz oder CD kannst du wirklich ausschliessen ? Vielleicht fand der Datenklau ja doch übers Netz statt ?
Gibt es in deinem Netz irgendwelche Zugangsbeschränkungen ?
oder ist da auch alles offen ?
Ein Diebstahl ist ja schwierig zu beweisen, wenn gar kein Einbruch stattgefunden hat ...
mfg
Curly
Hallo Tom,
aber dann wird dir USBDeview auch nichts nützen, weil du ja schon gesehen hast, daß ein USB-Stick zum Einsatz kam und mehr zeigt dir der Deviceviewer auch nicht an. Du hast damit kein Protokoll über Dateioperationen, sondern nur über das angeschlossenen Gerät - und das ist ja bekannt.
Wenn du dir für die Zukunft angewöhnst beim Verlassen deines PCs den Rechner zu sperren oder dich sogar komplett abzumelden und für jeden User ein eigenes Butzerkonto (mit Passwort) anzulegen, kann das zumindest zukünftig nicht mehr passieren.
aber dann wird dir USBDeview auch nichts nützen, weil du ja schon gesehen hast, daß ein USB-Stick zum Einsatz kam und mehr zeigt dir der Deviceviewer auch nicht an. Du hast damit kein Protokoll über Dateioperationen, sondern nur über das angeschlossenen Gerät - und das ist ja bekannt.
Wenn du dir für die Zukunft angewöhnst beim Verlassen deines PCs den Rechner zu sperren oder dich sogar komplett abzumelden und für jeden User ein eigenes Butzerkonto (mit Passwort) anzulegen, kann das zumindest zukünftig nicht mehr passieren.