Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Analyse nach Datenklau

Frage Microsoft Windows Tools

Mitglied: BergEnte

BergEnte (Level 1) - Jetzt verbinden

28.09.2014, aktualisiert 17:38 Uhr, 3633 Aufrufe, 5 Kommentare

Hallo Admin Forum,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Der Vorfalll ist allerding bereits 3 Wochen her. Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.

Vielen Dank!
Alex
Mitglied: broecker
28.09.2014 um 17:45 Uhr
Moin,
man kann das Anstecken eines USB-Sticks in der Registry finden und gleichfalls das Öffnen von Ordnern (und natürlich das Anmelden mit User-Profilen), ob man aus den Zeitstempeln dann etwas spezifisches ableiten kann ist Euch überlassen, gleichfalls lassen sich (natürlich) Zugriffszeiten und ggf. weitere Ordner im NTFS der Platte finden, auch das könnte belegen, daß jemand Daten hin und her kopiert hat.
Vor alledem sollte man - um keine Spuren zu verwischen/verfälschen - eine 1zu1-Kopie mit einem Live-Linux auf eine zweite Festplatte machen (Foren-Suche) und nach Geschmack nur auf der Kopie arbeiten.
Ein "Beweis" wird das vermutlich nach drei Wochen nicht mehr sauber - aber das hängt wohl eher von der Zielsetzung (nur "konfrontieren", nur intern vermuten für Compliance, Arbeitsgericht) ab.
HG
Mark
Bitte warten ..
Mitglied: colinardo
28.09.2014, aktualisiert um 17:51 Uhr
Moin,
ohne aktiviertes File-Auditing oder entsprechende Überwachungsmaßnahmen die vor dem Vorfall konfiguriert worden sind, wird das nach so langer Zeit nicht mehr vernünftig machbar sein. Man könnte zwar die NTFS Access-Timestamps zur Analyse hinzuziehen, aber je nachdem wie oft auf die Files zugegriffen wird ist es hier dann schwer eine Aussage zu treffen.

Grüße Uwe
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2014 um 17:54 Uhr
DEFT und DART sind zwei forensische Toolsammlungen mit denen man nachvollziehen kann, wann auf welchze Dateien zugegriffen wurde, sofern diese Daten nicht gelöscht wurden.

lk
Bitte warten ..
Mitglied: 108012
30.09.2014 um 15:47 Uhr
Hallo,

wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind.
Wahrscheinlich ist immer so eine Sache, nachschauen kann man sicherlich so wie Mark es schon
angesprochen hat, allerdings würde ich die Kopie dann auch gleich noch "read only" mounten damit
nichts verfälscht werden kann sonst kann man das mit dem Gericht gleich vergessen und zwar voll
und ganz und nach drei Wochen würde ich auch nur von einem Verdacht, begründetem Verdacht
oder einem erhärtetem Verdacht sprechen wollen, denn das ist sonst alles zu schwammig.

Der Vorfalll ist allerding bereits 3 Wochen her.
Nun ja das kann man so oder so sehen, wenn vor drei Wochen ein USB Stick eingesteckt
worden ist kann man sicherlich das eine oder das andere herausfinden nur ob das riecht
ist immer so eine Sache und bitte nicht vergessen, das man schnell selber dabei eine blutige
Nase abbekommen kann, denn Stand der Technik ist derzeit so etwas mittels GPOs oder aber
kleinen USB Einsteckschlössern zu unterbinden ansonsten hat man eventuell jemanden zu einer
tat verleitet oder verführt!!!! und dann geht die Post erst richtig ab, wenn man vor Gericht steht!
Denn wenn es mit dem Mitarbeiter schon einmal Probleme gab kann unterstellt werden das man
ihn so los werden wollte!

Ist es uns möglich dies mit Windows eigenen oder Extra Tools nachtäglich zu kontrollieren.
Man kann gewisse Sachen feststellen, nur das sollte immer sofort und danach erfolgen, sonst
kann jemand der das Passwort mittels Schultersurfen ergaunert hat ja rein theoretisch dort
manipuliert haben und dann wird man es schwer haben auch nur ansatzweise daraus etwas
ableiten zu können.

Gruß
Dobby


Hinweis
Hierbei handelt es sich nicht um eine Rechtsberatung sondern nur um einen lockeren Erfahrungsaustausch zwischen und unter Forumsmitgliedern!
Bitte warten ..
Mitglied: BergEnte
12.10.2014 um 16:35 Uhr
Danke für Eure Feedback!
Bitte warten ..
Ähnliche Inhalte
Tipps & Tricks
CMS content absichern gegen Datenklau?
Frage von winIT3264Tipps & Tricks7 Kommentare

Hallo zusammen, ich habe eine alte HTML Webseite mit gut recherchierten Daten die auch Akzeptanz gefunden hat. Diese Seite ...

Exchange Server
Mailverfolgung und Analyse
gelöst Frage von Philipp711Exchange Server3 Kommentare

Hallo Leute, wie Verfolge ich am Besten den Mailversand/Mailempfang auf einem Exchange 2010? Kann ich irgendwo nachschauen ob eine ...

LAN, WAN, Wireless
Netzwerk Analyse
gelöst Frage von TooobiiLAN, WAN, Wireless9 Kommentare

Hallo, ich interessiere mich sehr über WLAN und allgemein über Netzwerke, kenne mich allerdings nur in ein paar wenigen ...

Windows Server
Traffic-Analyse
gelöst Frage von malikaWindows Server15 Kommentare

Hallo, über den Router sehe ich, dass manchmal die Netzwerkbelastung zu hoch ist. Ich sehe auch von welchen Rechner. ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...