world-media-project
Goto Top

Beweis gesucht!

Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder ähnliches, wo ich diese Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.

WMP

Content-ID: 107052

Url: https://administrator.de/forum/beweis-gesucht-107052.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

carafaja
carafaja 25.01.2009 um 17:28:58 Uhr
Goto Top
Um was für ein System handelt es sich denn?
Rafiki
Rafiki 25.01.2009 um 18:05:24 Uhr
Goto Top
wäre auch praktisch zu wissen ob das Betriebssystem des Computers verwendet wurde oder ob der "Angreifer" die Gelegenheit hatte den Computer von eine BootCD zu starten (Knoppix) oder sogar die Festplatte in Ruhe ausbauen und kopieren konnte. In den beiden letzten Fällen hast du keine Chance.


Wenn WinXP an war dann könnte es sein das die Datei auch in der History, also den kürzlich verwendeten Dateien, auftaucht. Wenn der USB Stick neu war kann es sein das Windows diesen im Eventlog verewigt hat.
World-Media-Project
World-Media-Project 25.01.2009 um 19:24:30 Uhr
Goto Top
Wow, hätte nicht gedacht, das es so schnell eine Reaktion gibt.

Es handelt sich um einen Laptop mit Vista. Es wurde ein USB-Stick verwendet.

mfg.
World-Media-Project
World-Media-Project 25.01.2009 um 19:26:16 Uhr
Goto Top
Es handelt sich um einen Laptop mit Vista. Es wurde ein USB-Stick verwendet.

Zeit für den Ausbau war keine. Es wurde normal gestartet und dann auf den Stick gezogen.

mfg.
RobertB
RobertB 25.01.2009 um 21:00:16 Uhr
Goto Top
Zitat von @World-Media-Project:
Folgendes Problem steht bei mir an. Es wurden von meinem Rechner Daten auf einen Stick übertragen.
Da dies ohne Zustimmung und Erlaubnis geschah, brauche ich jetzt dringend einen Beweis dafür, das diese
Daten heruntergezogen wurden. Gibt es dafür so etwas wie eine Log-Datei oder > ähnliches, wo ich diese
Aktion einsehen kann?
Wäre super, wenn mir jemand helfen könnte.

WMP

Hallo auch !
Ein paar mehr Infos wären nicht schlecht, zumal Dein Text so in den Raum gestellt mehr Fragen als Sinn ergibt.
Als die Daten (Welche ?) von deinem Rechner (Privat-o.Firmen-PC ?) auf einen USB kopiert wurden, warst du dabei ?
Woher weißt du von dem Vorfall ?
Wieso kannst du dir sicher sein, das Daten übertragen wurden ?
Wieso kann anscheinend ein jeder an deinen Rechner ?
seTTembrinY
seTTembrinY 25.01.2009 um 21:35:52 Uhr
Goto Top
Aber meiner Meinung wirst Du leider Pech haben, Vista führt kein Log über die durchgeführten Dateioperationen...
Einzig könntest Du im "Security"-Eventlog einen Eintrag von der Anmeldung der entsprechenden Person entdecken... falls eine Neuanmeldung erfolgte überhaupt und der Rechner nicht einfach offen oder ohne Passwortabfrage da stand...

Gruß,
Sven
Gagarin
Gagarin 26.01.2009 um 10:39:06 Uhr
Goto Top
Das einzige was man nachweisen ist die eindeutige Seriennummer das USB Sticks. Die steht jetzt in deiner Registry.
Highpressure
Highpressure 26.01.2009 um 16:40:04 Uhr
Goto Top
falls du im Nachhinein noch bissl was nachbessern willst für die zukunft:
mit Utimaco Safeguard wär das nicht passiert *gg*

da gibts ne Port Protection.
Du kannst USB Sticks verbieten, USB Sticks gewisser Hersteller erlauben, USB Sticks gewissen Typs erlauben oder USB Sticks mit bestimmten Seriennummern erlauben.

Daten verschlüsseln, verschlüsselt brennen, verschlüsselt auf datenträger geben usw usw usw.. ;)

selbiges mit wechseldatenträgern, cd´s usw usw
ceerotolerance
ceerotolerance 26.01.2009 um 22:19:33 Uhr
Goto Top
Hallo

Die aktuelle Ausgabe der COM! könnte dich interessieren. Es werden diverse Tools vorgestellt die in diese Richtung gehen.

Als erstes wäre da mal: USB-History R1 Dieses Tool zeigt alle eingesteckten USB Sticks mit einer eindeutigen Serialnummer an (wie Gagarin) bereits gesagt hat.
Mit MUI Cacheview können alle gestarteten Programme eingesehen werden. Und sonst gibt's noch Regripper vielleicht hilft dir eines der Tools weiter.

Gruss
cee
World-Media-Project
World-Media-Project 26.01.2009 um 22:31:13 Uhr
Goto Top
Vielen Dank!

Ich werde jetzt alles durchprobieren.

Gruss

Tom
Brutzel
Brutzel 26.01.2009 um 23:30:21 Uhr
Goto Top
Hallo,

benutze bei Win2000 USBDeview es listet alle Zugriffe mit Zeit,Seriennr. usw. auf.

Brutzel
curlybiggelow
curlybiggelow 28.01.2009 um 09:09:31 Uhr
Goto Top
Hallo Tom,

ich kann mir immer noch nicht vorstellen, wie jemand an deine Daten gelangt sein kann. Hast du denn dein Passwort auf einem Aufkleber an der Tastatur - oder wie soll das gehen ?

.. und mit welchem Verfahren hast du bemerkt dass jemand Daten ausgerechnet über einen USB-Port entwendet hat ? Über das Netz oder CD kannst du wirklich ausschliessen ? Vielleicht fand der Datenklau ja doch übers Netz statt ?

Gibt es in deinem Netz irgendwelche Zugangsbeschränkungen ?
oder ist da auch alles offen ?
Ein Diebstahl ist ja schwierig zu beweisen, wenn gar kein Einbruch stattgefunden hat ...

mfg
Curly
World-Media-Project
World-Media-Project 28.01.2009 um 11:54:32 Uhr
Goto Top
Hallo Curly,

Laptop stan offen und eingeschaltet im Büro. War kurz raus. Als ich wieder kam, habe ich nur gesehen wie ein "Kollege" den Stick rauszog.

Er sagte mir, das er nur kurz seine Mails abrufen wollte (was eigentlich ok wäre, da wir noch zu wenig Rechner haben) und hätte seine Zugangsdaten auf dem Stick. Leider tauchten dann aber Daten von mir an anderen Stellen wieder aufr.

LG Tom
World-Media-Project
World-Media-Project 28.01.2009 um 11:56:20 Uhr
Goto Top
Hallo Brutzel,

funktioniert das denn bei jedem Betriebssystem? Und wo kann ich das bekommen?

LG Tom
Brutzel
Brutzel 28.01.2009 um 15:46:07 Uhr
Goto Top
Hallo,

müßte eigentlich für alle Systeme verwendbar sein.Progamm bei Chip.de


Jürgen
curlybiggelow
curlybiggelow 29.01.2009 um 09:05:55 Uhr
Goto Top
Hallo Tom,

aber dann wird dir USBDeview auch nichts nützen, weil du ja schon gesehen hast, daß ein USB-Stick zum Einsatz kam und mehr zeigt dir der Deviceviewer auch nicht an. Du hast damit kein Protokoll über Dateioperationen, sondern nur über das angeschlossenen Gerät - und das ist ja bekannt.

Wenn du dir für die Zukunft angewöhnst beim Verlassen deines PCs den Rechner zu sperren oder dich sogar komplett abzumelden und für jeden User ein eigenes Butzerkonto (mit Passwort) anzulegen, kann das zumindest zukünftig nicht mehr passieren.