Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Datendiebstahl nachweisen

Mitglied: s716045

s716045 (Level 1) - Jetzt verbinden

31.07.2006, aktualisiert 07.08.2006, 11192 Aufrufe, 9 Kommentare

Bei einer Geschäftskundin wurden Daten und Emails per Fritz Data und Email abruf/weiterleitung gestohlen. Nach einer Hausdurchsuchung beim Täter wurde das Verfahren wegen Mangel an beweisen eingestellt.

Hallo!

Ich brauch unbedingt eure Hilfe. Welche Möglichkeiten habe ich, um rechtsgültig nachzuweien das Daten per Fritz Data über das Netz kopiert wurden. Das System ist ein PC mit Windows 2000. Gibt es unter Windows 2000 Protokolle über Datenbewegungen? Fritz Data schneidet nur Logins und Logouts und die Uhrzeit dieser Vorgänge mit. Ich hab auch ein HiJackThis Abbild direkt nach der Tat... wobei ich nicht glaube das mit das weiterhilft, da es nicht zur Tatzeit war... habt Ihr eine Idee? Es existieren Spiegelungen der Platte. Es reichen mir die Namen oder Fachbegriffe von Tools oder Vorgehensweisen für einen Brief an die Staatsanwaltschaft.

Die Vorgeschichte: Bei einer Kundin von mir wurde der ehemalige EDV Betreuer als Datendieb entlarvt.
Er hatt jegliche bekannte Login Information verwendet um sowohl die erstellten Dokumente (Angebote, Rechnungen, Bewerbungen bei Ausschreibungen, etc.) per Fritz Data abzurufen und alle Emails mitzulauschen.
Auf die schliche bin ich ihm bekommen, weil er um die ältere T-Online Email Adresse abzurufen mit der richtigen T-Online Nummer einloggen musste. Zum Glück hatte ich das Passwort sicherheithalber geändert. Am nächsten Tag war der Internetzugang gesperrt -> 5 mal falsches Passwort um 23 Uhr (haben wir von der Telekom telefonisch erfahren), obwohl der Mitbenutzer Suffix nur im Büro verwendet wird, wo die Alarmanlage um 20 Uhr einschaltet (also unmöglich das Mitarbeiter).
Da ich dann einen Verdacht hatte, hab ich nach allen Passwörtern gefragt und hab mit schrecken erfahren das Fritz Data rund um die Uhr läuft und das Passwort dem Betreuer bekannt ist (und Zugriff auf alle relevanten Daten auf dem Fileserver gegeben ist).
Natürlich hab ich dann auch prompt Logins mit der Rufnummer des Mannes (der Trottel) um die gleiche Uhrzeit im Protokoll gefunden. Der gute Mann war auch immer eine halbe Stunde oder länger auf dem Rechner (Office Dokumente per ISDN brauchen halt ihre Zeit ;) ). Leider protokolliert Fritz Data nicht welche Daten kopiert wurden, sondern nur die Logins und Logouts.
Die Firma verwendet Ken! und was hab ich da gefunden? Natürlich eine Email weiterleitung auf seine eigene Email Adresse... und zwar jede einzelne Adresse der Firma, ausser T-Online. Die Adresse musste er seperat abrufen, da nicht bei Ken! eingetragen (dort wurde von der Telekom auch seine Telefonnummer nachgewiesen).

Nun zum Problem: Nach einer Hausdurchsuchung wurde die Anzeige eingestellt. Die Begründung war, das A) Fahrlässig gehandelt wurde, da die Passwörter nicht geändert wurden (mir war Fritz Data nicht bekannt und ausserdem, nur weil ich z.B. als Hausmeister einen Zentralschlüssel hab, darf ich doch nich in alle Wohnungen wenn ich Lust hab ?!?!?) und B) Wurden die Daten nicht auf den Beschlagnahmten Rechnern gefunden (wobei ich daran zweifel das gewissenhaft nach Daten gesucht wurde).

Daher nochmal die Frage: Wie kann ich rechtsgültig nachweisen, welche Dateien genau kopiert wurden (wie gesagt unter Windows 2000). Gibt es unter Windows Datenbewegungs Protokolle? Die Festplatten wurden von der KriPo gespiegelt, sowohl seine als auch die meiner Kundin. Kann man Fritz Data Datenzugriffe nachträglich nachweisen (die KriPo hatt von mir auch ein HiJackThis Auszug direkt nach der Tat). Welche Möglichkeiten habe ich, bzw. was kann der Rechtsanwalt der Kundin in seinem Schreiben über den Zweifel an der Gründlichkeit des Vorgehens der Beamten vorschlagen, damit die Staatsanwaltschaft die Ermittlungen wieder aufnimmt??? Sowas darf man nicht durchgehen lassen, da dieser Mann mehrere andere in dieser Branche tätigen Kunden hatt und der Verdacht nicht unbegründet ist das die Daten verkauft wurden. Achja und ausserdem: Ist die Bezeichnung "Datenrekonstruktion" richtig, wenn ich meine, eventuell gelöschten Daten wieder herzustellen oder gibt es einen spezifischen Begriff?
Mitglied: 16568
31.07.2006 um 21:10 Uhr
Datenrekonstruktion ist schon das richtige Wort, jedoch bitte ich Dich zu verstehen, daß wir Dir hier keine "Rechts-Auskunft" geben dürfen, weil die Rechtsanwälte sonst böse werden...


Du hast 'ne PN.

Lonesome Walker
Bitte warten ..
Mitglied: Torsten72
31.07.2006 um 21:15 Uhr
hi,

welchen anspruch wollt ihr denn durchsetzen, einen strafrechtlichen oder einen zivilrechtlichen oder beide?

zum strafrechtlichen teil: ihr habt strafantrag gestellt, die staatsanwaltschaft hat ermittelt und festgestellt, das a) der ehem. mitarbeiter keine daten in seinem besitz hatte b) das er keine sperren überwunden hat, um auf euer pcsystem zu kommen.

zum zivilrechtlichen teil: es gibt nur eine vermutung, das daten verkauft wurden. einen tatsächlichen schaden gibt es nicht. der verkauf der daten wäre zwar wiederum strafbar, wenn euch allerdings daraus kein schaden entsteht...

selbst wenn in einem strafrecht- oder zivilprozess ein richter zu der überzeugung kommen sollte, das es so ist wie du schilderst dann kann trotzdem im jeweils anderen prozess der richter zu einer anderen überzeugung gelangen. d.h. sollte die staftbarkeit bejaht werden, bedeutet das nicht automatisch schadenersatz und umgekehrt.

selbst wenn du nachweisen könntest, welche dokumente geladen wurden, so hat der besucher doch kein sperre "überwunden". hier besteht auch die gefahr, das ihr euch eine abmahnung einfangt...

ihr wisst, was ihr falschgemacht habt und kommt voraussichtlich noch mal mit nem blauen auge davon. überprüft euer pcsystem und schaft euch nen admin an, der plan von der geschichte hat und nicht über seine unzureichende dokumentation stolpert.

bitte beachten: beim vorliegenden text handelt es sich um meine laienhafte und private meinung zum geschilderten sachverhalt und nicht um eine rechtsberatung!


gruß t
Bitte warten ..
Mitglied: 16568
31.07.2006 um 21:17 Uhr
So sieht es leider aus...
(damit meine ich keinesfalls die "laienhafte" Meinung, dazu ist hier zuviel Fachkompetenz )

Lonesome Walker
Bitte warten ..
Mitglied: 2095
31.07.2006 um 23:54 Uhr
hi

Auf der einen Seite ist es eigentlich hier schon der Fehler, schon mal dem betreuer zugriff auf den FILESERVER geben...(das ist eigentlich hier schon das Todesurteil gewesen..)

Ich konnte ja nicht wissen dass fritzdata noch lief.....

Tja was soll man da noch sagen, Ist es nicht bekanntlicher maßen so dass das System nur so gut läuft und sicher ist wie der admin selber?

Denk mal dran warum File server mit gut, gefütterten Firewalls dahinterstehen...
Sicher kein System der Welt ist 100 pro sicher, es sei denn man koppelt sich von der aussen welt ab, aber hier gibt es auch wieder wege und mittel, so das gesagt werden kann:
Kein system ist 100 pro sicher(korrigiert mich jetzt wenn ich jetzt da mist rede)
Zugriffe auf FIle server (das kann leuten die davon anhängig sind , den Job kosten...
Hier könnte man sagen, dasse glimpflich davongekommen bist.

EIn Bekannter hatte was ähnliches und dem gings genauso. Er hat sich zwar dann keinen admin angeschafft, ist aber auf viele Kurse gegangen etc(mit dem CHEF),,und die haben aus ihren Fehler gelernt.. es hätte ihm fast den Job gekostet , wenn der Chef(er sah ein dass das mist war von sich selber aus.) ..

Ich würde mal sagen und das ist ernst gemeint:

Lerne aus deinem Fehler, entwerf dir ein richtiges sicheres System und hol dir ggf Hilfe(admin anschaffe etc...)

Auf der anderen Seite.....da brauchen wir nicht weiterzureden....Das Loch lag bekanntlichermaßen bei dir...

bitte beachten: beim vorliegenden text handelt es sich um meine laienhafte und private meinung zum geschilderten sachverhalt und nicht um eine rechtsberatung!
Bitte den Text als nicht persönlich nehmen.

mfg

i A. John Rooks
It-administration
Bitte warten ..
Mitglied: s716045
01.08.2006 um 14:57 Uhr
Ihr machts einem wirklich schwer (ausgenommen Torsten72)... Ihr habt mir ja auch schon geholfen, aber es ist furchtbar aufwendig euch dann im Endeffekt dazu zu bekommen, auf die Frage zu antworten. Das ist wirklich wichtig für ein gutes Forum. Nicht kritisieren und sich selbst darstellen sondern die Fragen zu beantworten die gestellt werden. Ihr müsst euch überlegen das eventuell nicht nur ich auf eine Antwort warte sondern andere Personen noch in Wochen über Suchmaschinen auf den Artikel kommen und sich erstmal alle Nachrichten durchlesen müssen, bis sie auf die richtige Antwort kommen. Teilweise habe ich den Eindruck, das Ihr euch die Frage nicht wirklich durchgelesen habt. Wie ihr auch schon so richtig erkannt habt: Mir ist der Fehler im System bekannt. Nur kann ich wenn ein Kunde bei mir im Büro anruft und mir einen Auftrag für ein bestimmtes Problem erteilt, nicht rausfahren und die gesamte EDV Technik umstellen. Ich bin vom Kunden dazu angehalten genau das zu tun für das ich beauftragt wurde, da ich nach Stunden bezahlt werde. Wenn ich Pauschalen vereinbare, kann ich mir persönlich keinen Mehraufwand leisten.

DIE FRAGE (diesmal BITTE auch wirklich lesen):

Welche Möglichkeiten gibts es unter Windows 2000 Datenbewegungen rechtskräftig nachzuweisen? Jede Möglichkeit und jeder Fachbegriff den Ihr hierzu sagen könnt wäre hilfreich.
Bitte warten ..
Mitglied: 2095
01.08.2006 um 15:33 Uhr
Was mir da noch spontan einfällt wäre mal im erreignisanzeige nachzuschauen ob es da einen ungewöhnlichen Eintrag gibt...

Eventuel schau mal im Router nach ob der was protokoliert hat....(fals eingestellt..)

mfg
Bitte warten ..
Mitglied: Supaman
01.08.2006 um 16:00 Uhr
es gibt zwar objektüberchung unter windows, aber die sind standardmässig deaktiviert. wenn überhaupt findest du eher was in den protokollen von fritzdata, im router oder auf den platten von dem rechner, der die verbindung aufgebaut hat und im verdacht steht, daten runtergeladen zu haben.

da ich einfach mal davon ausgehe, das der fritzdata-zugang mit benutzer name und passwort versehen war, sollte es eigentlich klar sein das hier ein nachweislich unberechtigter zugriff stattgefunden hat.
Bitte warten ..
Mitglied: 16568
01.08.2006 um 16:10 Uhr
Wie ich Dir schon per PN mitgeteilt habe, wäre das Zugriffsdatum auf die Datei ein Indiz;
ob das rechtskräftig ist, naja...

In diesem Falle ist jedoch eher Social Engineering gefragt...


Lonesome Walker
Bitte warten ..
Mitglied: 14695
07.08.2006 um 13:47 Uhr
Hoi!

Ich sage mal: Du kannst es nicht "rechtskräftig" nachweisen, wenn KEN! den Datenverkehr nicht protokolliert, wie z.B. ein Web- oder Ftp-Server. Dabei gehe ich davon aus, dass KEN! keine Winsows-Services nutzt, die ihrerseits Protokolle führen.

Im übrigen: "rechtskräftig" einen Datenverkehr nachweisen würde eh nicht reichen, wenn die StA bei dem Betreffenden nichts findet. Woher will man den wissen, das er am Rechner gesessen hat und nicht eine dritte Person, die dessen Informationen "gestohlen" hat (gibt es eigentlich IP-Protokolle zu den Anmeldungen?). Letzlich geht es darum irgendeine Behörde zu überzeugen. Und immer dann, wenn es auch anders gewesen sein kann, und diese Variante nicht mehr oder weniger sicher ausgeschlossen ist, gibts Probleme.

Anm. am Rande: Du solltest nicht von "rechtskräftig" nachweisen reden. In Rechtskraft erwachsen Urteile. Es ist besser von "sicher nachweisen" zu sprechen, weil es nicht anders gewesen sein kann.

Grüße aus Kölle
OLI
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Nachweisen das ein Proxyserver im Unternehmen nützlich ist

gelöst Frage von M.MarzNetzwerkmanagement5 Kommentare

Hallo zusammen, ich würde gerne überprüfen ob in unserem Netzwerk ein Proxyserver überhaupt Sinnn machen würde für das Web-Caching ...

Outlook & Mail

Nachweis des Löschens einer Email nach DSGVO in Outlook

Frage von linuxadmOutlook & Mail18 Kommentare

Hallo Forum, wie wahrscheinlich viele von Euch kämpfe ich mit der Umsetzung der DSGVO bei meinen Kunden. Konkret geht ...

Sicherheitsgrundlagen

Nachweisen dass bei RSA eine zu hohe Bit Verschlüsselung zu lange zum verbinden braucht

Frage von WinLiCLISicherheitsgrundlagen3 Kommentare

Hallo zusammen, ich habe schon einige Male gelesen, dass eine zu starke RSA Bit Verschlüsselung zu lange braucht, um ...

Neue Wissensbeiträge
Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 15 StundenWindows 10

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 1 TagVideo & Streaming7 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 1 TagErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Windows Update

Microsoft Patchday Juni 2018 - BSOD, obwohl noch kein Patch freigegeben

Erfahrungsbericht von diemilz vor 1 TagWindows Update5 Kommentare

Hallo zusammen, wir hatten hier letzte Woche ein massives Problem. Alles begann damit, dass ein Mitarbeiter kurz vor Feierabend ...

Heiß diskutierte Inhalte
Windows Userverwaltung
User Überwachung
Frage von YellowcakeWindows Userverwaltung33 Kommentare

Hey ich habe von unserem neuem Datenschutzbeauftragten ein kleines Horror Paket bekommen. Ich soll wenn es möglich ist, das ...

Outlook & Mail
Nachweis des Löschens einer Email nach DSGVO in Outlook
Frage von linuxadmOutlook & Mail18 Kommentare

Hallo Forum, wie wahrscheinlich viele von Euch kämpfe ich mit der Umsetzung der DSGVO bei meinen Kunden. Konkret geht ...

Video & Streaming
PVR-Projekt - RTSP - Streams auf NAS aufnehmen - welche Tools sind am leichtesten einzurichten ?
Frage von power-userVideo & Streaming18 Kommentare

Hallo zusammen, hier die Details zur obigen Frage: AAusgangspunkt / Grundvoraussetzungen Wir betreiben hier ein kleines Heimnetzwerk. 2 Smartphones, ...

Batch & Shell
Powershell Netzwerkdrucker auflisten
gelöst Frage von schiggi85Batch & Shell18 Kommentare

Hallo zusammen, ich möchte mit dem invoke-command bei einem remoteclient die installierten Netzwerkdrucker des Users abfragen. Nur klappt das ...