s716045
Goto Top

Datendiebstahl nachweisen

Bei einer Geschäftskundin wurden Daten und Emails per Fritz Data und Email abruf/weiterleitung gestohlen. Nach einer Hausdurchsuchung beim Täter wurde das Verfahren wegen Mangel an beweisen eingestellt.

Hallo!

Ich brauch unbedingt eure Hilfe. Welche Möglichkeiten habe ich, um rechtsgültig nachzuweien das Daten per Fritz Data über das Netz kopiert wurden. Das System ist ein PC mit Windows 2000. Gibt es unter Windows 2000 Protokolle über Datenbewegungen? Fritz Data schneidet nur Logins und Logouts und die Uhrzeit dieser Vorgänge mit. Ich hab auch ein HiJackThis Abbild direkt nach der Tat... wobei ich nicht glaube das mit das weiterhilft, da es nicht zur Tatzeit war... habt Ihr eine Idee? Es existieren Spiegelungen der Platte. Es reichen mir die Namen oder Fachbegriffe von Tools oder Vorgehensweisen für einen Brief an die Staatsanwaltschaft.

Die Vorgeschichte: Bei einer Kundin von mir wurde der ehemalige EDV Betreuer als Datendieb entlarvt.
Er hatt jegliche bekannte Login Information verwendet um sowohl die erstellten Dokumente (Angebote, Rechnungen, Bewerbungen bei Ausschreibungen, etc.) per Fritz Data abzurufen und alle Emails mitzulauschen.
Auf die schliche bin ich ihm bekommen, weil er um die ältere T-Online Email Adresse abzurufen mit der richtigen T-Online Nummer einloggen musste. Zum Glück hatte ich das Passwort sicherheithalber geändert. Am nächsten Tag war der Internetzugang gesperrt -> 5 mal falsches Passwort um 23 Uhr (haben wir von der Telekom telefonisch erfahren), obwohl der Mitbenutzer Suffix nur im Büro verwendet wird, wo die Alarmanlage um 20 Uhr einschaltet (also unmöglich das Mitarbeiter).
Da ich dann einen Verdacht hatte, hab ich nach allen Passwörtern gefragt und hab mit schrecken erfahren das Fritz Data rund um die Uhr läuft und das Passwort dem Betreuer bekannt ist (und Zugriff auf alle relevanten Daten auf dem Fileserver gegeben ist).
Natürlich hab ich dann auch prompt Logins mit der Rufnummer des Mannes (der Trottel) um die gleiche Uhrzeit im Protokoll gefunden. Der gute Mann war auch immer eine halbe Stunde oder länger auf dem Rechner (Office Dokumente per ISDN brauchen halt ihre Zeit ;) ). Leider protokolliert Fritz Data nicht welche Daten kopiert wurden, sondern nur die Logins und Logouts.
Die Firma verwendet Ken! und was hab ich da gefunden? Natürlich eine Email weiterleitung auf seine eigene Email Adresse... und zwar jede einzelne Adresse der Firma, ausser T-Online. Die Adresse musste er seperat abrufen, da nicht bei Ken! eingetragen (dort wurde von der Telekom auch seine Telefonnummer nachgewiesen).

Nun zum Problem: Nach einer Hausdurchsuchung wurde die Anzeige eingestellt. Die Begründung war, das A) Fahrlässig gehandelt wurde, da die Passwörter nicht geändert wurden (mir war Fritz Data nicht bekannt und ausserdem, nur weil ich z.B. als Hausmeister einen Zentralschlüssel hab, darf ich doch nich in alle Wohnungen wenn ich Lust hab ?!?!?) und B) Wurden die Daten nicht auf den Beschlagnahmten Rechnern gefunden (wobei ich daran zweifel das gewissenhaft nach Daten gesucht wurde).

Daher nochmal die Frage: Wie kann ich rechtsgültig nachweisen, welche Dateien genau kopiert wurden (wie gesagt unter Windows 2000). Gibt es unter Windows Datenbewegungs Protokolle? Die Festplatten wurden von der KriPo gespiegelt, sowohl seine als auch die meiner Kundin. Kann man Fritz Data Datenzugriffe nachträglich nachweisen (die KriPo hatt von mir auch ein HiJackThis Auszug direkt nach der Tat). Welche Möglichkeiten habe ich, bzw. was kann der Rechtsanwalt der Kundin in seinem Schreiben über den Zweifel an der Gründlichkeit des Vorgehens der Beamten vorschlagen, damit die Staatsanwaltschaft die Ermittlungen wieder aufnimmt??? Sowas darf man nicht durchgehen lassen, da dieser Mann mehrere andere in dieser Branche tätigen Kunden hatt und der Verdacht nicht unbegründet ist das die Daten verkauft wurden. Achja und ausserdem: Ist die Bezeichnung "Datenrekonstruktion" richtig, wenn ich meine, eventuell gelöschten Daten wieder herzustellen oder gibt es einen spezifischen Begriff?

Content-ID: 37050

Url: https://administrator.de/contentid/37050

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

16568
16568 31.07.2006 um 21:10:43 Uhr
Goto Top
Datenrekonstruktion ist schon das richtige Wort, jedoch bitte ich Dich zu verstehen, daß wir Dir hier keine "Rechts-Auskunft" geben dürfen, weil die Rechtsanwälte sonst böse werden...


Du hast 'ne PN.

Lonesome Walker
Torsten72
Torsten72 31.07.2006 um 21:15:02 Uhr
Goto Top
hi,

welchen anspruch wollt ihr denn durchsetzen, einen strafrechtlichen oder einen zivilrechtlichen oder beide?

zum strafrechtlichen teil: ihr habt strafantrag gestellt, die staatsanwaltschaft hat ermittelt und festgestellt, das a) der ehem. mitarbeiter keine daten in seinem besitz hatte b) das er keine sperren überwunden hat, um auf euer pcsystem zu kommen.

zum zivilrechtlichen teil: es gibt nur eine vermutung, das daten verkauft wurden. einen tatsächlichen schaden gibt es nicht. der verkauf der daten wäre zwar wiederum strafbar, wenn euch allerdings daraus kein schaden entsteht...

selbst wenn in einem strafrecht- oder zivilprozess ein richter zu der überzeugung kommen sollte, das es so ist wie du schilderst dann kann trotzdem im jeweils anderen prozess der richter zu einer anderen überzeugung gelangen. d.h. sollte die staftbarkeit bejaht werden, bedeutet das nicht automatisch schadenersatz und umgekehrt.

selbst wenn du nachweisen könntest, welche dokumente geladen wurden, so hat der besucher doch kein sperre "überwunden". hier besteht auch die gefahr, das ihr euch eine abmahnung einfangt...

ihr wisst, was ihr falschgemacht habt und kommt voraussichtlich noch mal mit nem blauen auge davon. überprüft euer pcsystem und schaft euch nen admin an, der plan von der geschichte hat und nicht über seine unzureichende dokumentation stolpert.

bitte beachten: beim vorliegenden text handelt es sich um meine laienhafte und private meinung zum geschilderten sachverhalt und nicht um eine rechtsberatung!


gruß t
16568
16568 31.07.2006 um 21:17:20 Uhr
Goto Top
So sieht es leider aus...
(damit meine ich keinesfalls die "laienhafte" Meinung, dazu ist hier zuviel Fachkompetenz face-wink )

Lonesome Walker
2095
2095 31.07.2006 um 23:54:28 Uhr
Goto Top
hi

Auf der einen Seite ist es eigentlich hier schon der Fehler, schon mal dem betreuer zugriff auf den FILESERVER geben...(das ist eigentlich hier schon das Todesurteil gewesen..)

Ich konnte ja nicht wissen dass fritzdata noch lief.....

Tja was soll man da noch sagen, Ist es nicht bekanntlicher maßen so dass das System nur so gut läuft und sicher ist wie der admin selber?

Denk mal dran warum File server mit gut, gefütterten Firewalls dahinterstehen...
Sicher kein System der Welt ist 100 pro sicher, es sei denn man koppelt sich von der aussen welt ab, aber hier gibt es auch wieder wege und mittel, so das gesagt werden kann:
Kein system ist 100 pro sicher(korrigiert mich jetzt wenn ich jetzt da mist rede)
Zugriffe auf FIle server (das kann leuten die davon anhängig sind , den Job kosten...
Hier könnte man sagen, dasse glimpflich davongekommen bist.

EIn Bekannter hatte was ähnliches und dem gings genauso. Er hat sich zwar dann keinen admin angeschafft, ist aber auf viele Kurse gegangen etc(mit dem CHEF),,und die haben aus ihren Fehler gelernt.. es hätte ihm fast den Job gekostet , wenn der Chef(er sah ein dass das mist war von sich selber aus.) ..

Ich würde mal sagen und das ist ernst gemeint:

Lerne aus deinem Fehler, entwerf dir ein richtiges sicheres System und hol dir ggf Hilfe(admin anschaffe etc...)

Auf der anderen Seite.....da brauchen wir nicht weiterzureden....Das Loch lag bekanntlichermaßen bei dir...

bitte beachten: beim vorliegenden text handelt es sich um meine laienhafte und private meinung zum geschilderten sachverhalt und nicht um eine rechtsberatung!
Bitte den Text als nicht persönlich nehmen.

mfg

i A. John Rooks
It-administration
s716045
s716045 01.08.2006 um 14:57:41 Uhr
Goto Top
Ihr machts einem wirklich schwer (ausgenommen Torsten72)... Ihr habt mir ja auch schon geholfen, aber es ist furchtbar aufwendig euch dann im Endeffekt dazu zu bekommen, auf die Frage zu antworten. Das ist wirklich wichtig für ein gutes Forum. Nicht kritisieren und sich selbst darstellen sondern die Fragen zu beantworten die gestellt werden. Ihr müsst euch überlegen das eventuell nicht nur ich auf eine Antwort warte sondern andere Personen noch in Wochen über Suchmaschinen auf den Artikel kommen und sich erstmal alle Nachrichten durchlesen müssen, bis sie auf die richtige Antwort kommen. Teilweise habe ich den Eindruck, das Ihr euch die Frage nicht wirklich durchgelesen habt. Wie ihr auch schon so richtig erkannt habt: Mir ist der Fehler im System bekannt. Nur kann ich wenn ein Kunde bei mir im Büro anruft und mir einen Auftrag für ein bestimmtes Problem erteilt, nicht rausfahren und die gesamte EDV Technik umstellen. Ich bin vom Kunden dazu angehalten genau das zu tun für das ich beauftragt wurde, da ich nach Stunden bezahlt werde. Wenn ich Pauschalen vereinbare, kann ich mir persönlich keinen Mehraufwand leisten.

DIE FRAGE (diesmal BITTE auch wirklich lesen):

Welche Möglichkeiten gibts es unter Windows 2000 Datenbewegungen rechtskräftig nachzuweisen? Jede Möglichkeit und jeder Fachbegriff den Ihr hierzu sagen könnt wäre hilfreich.
2095
2095 01.08.2006 um 15:33:52 Uhr
Goto Top
Was mir da noch spontan einfällt wäre mal im erreignisanzeige nachzuschauen ob es da einen ungewöhnlichen Eintrag gibt...

Eventuel schau mal im Router nach ob der was protokoliert hat....(fals eingestellt..)

mfg
Supaman
Supaman 01.08.2006 um 16:00:06 Uhr
Goto Top
es gibt zwar objektüberchung unter windows, aber die sind standardmässig deaktiviert. wenn überhaupt findest du eher was in den protokollen von fritzdata, im router oder auf den platten von dem rechner, der die verbindung aufgebaut hat und im verdacht steht, daten runtergeladen zu haben.

da ich einfach mal davon ausgehe, das der fritzdata-zugang mit benutzer name und passwort versehen war, sollte es eigentlich klar sein das hier ein nachweislich unberechtigter zugriff stattgefunden hat.
16568
16568 01.08.2006 um 16:10:13 Uhr
Goto Top
Wie ich Dir schon per PN mitgeteilt habe, wäre das Zugriffsdatum auf die Datei ein Indiz;
ob das rechtskräftig ist, naja...

In diesem Falle ist jedoch eher Social Engineering gefragt...


Lonesome Walker
14695
14695 07.08.2006 um 13:47:41 Uhr
Goto Top
Hoi!

Ich sage mal: Du kannst es nicht "rechtskräftig" nachweisen, wenn KEN! den Datenverkehr nicht protokolliert, wie z.B. ein Web- oder Ftp-Server. Dabei gehe ich davon aus, dass KEN! keine Winsows-Services nutzt, die ihrerseits Protokolle führen.

Im übrigen: "rechtskräftig" einen Datenverkehr nachweisen würde eh nicht reichen, wenn die StA bei dem Betreffenden nichts findet. Woher will man den wissen, das er am Rechner gesessen hat und nicht eine dritte Person, die dessen Informationen "gestohlen" hat (gibt es eigentlich IP-Protokolle zu den Anmeldungen?). Letzlich geht es darum irgendeine Behörde zu überzeugen. Und immer dann, wenn es auch anders gewesen sein kann, und diese Variante nicht mehr oder weniger sicher ausgeschlossen ist, gibts Probleme.

Anm. am Rande: Du solltest nicht von "rechtskräftig" nachweisen reden. In Rechtskraft erwachsen Urteile. Es ist besser von "sicher nachweisen" zu sprechen, weil es nicht anders gewesen sein kann.

Grüße aus Kölle
OLI