Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Software gesucht für Forensic - Beweissicherung welche vor Gericht bestand hat

Frage Sicherheit Rechtliche Fragen

Mitglied: nightwishler

nightwishler (Level 2) - Jetzt verbinden

17.08.2010, aktualisiert 01.02.2011, 7271 Aufrufe, 17 Kommentare

Hi,
ich suche eine Software mit welcher man div. Dinge nachprüfen kann.

Hintergrund:
ein Mitarbeiter vom Kunden surft gerne privat am Arbeitsplatz. Er wurde bereits gekündigt.
Jedoch hätte der Geschäftsführer gerne noch einen "schriftlichen" Beweis aus dem Arbeitsrechner des Mitarbeiters.

Ein Screenshot vom Internet Verlauf haben wir zwar, aber das sagt soweit ich weiß ja nix aus... geht es etwas genauer oder gibts dafür keine software!?

zurzeit haben wir noch die Festplatte hier...

gruß und dank für infos
Mitglied: 60730
17.08.2010 um 16:14 Uhr
moin,

im nachhinein ist das ein Ding der umnöglichkeit...

  • ich kenne das Passwort des Users
  • ich kenne es nicht, bin aber der Admin.....

  • wenn ich der Admin bin, kann ich alles verstellen - das System Datum kann jeder Praktikantenadmin auch auf das Datum umstellen, an dem John F. Kennedy Blei geschluckt hat.
  • Und wenn man dann schon "soweit" ist - kann man auch alle möglichen Seiten in allen möglichen Webauftritten ansurfen und so alles mögliche, was protokolliert wird - protokollieren lassen.

Sag dem Chef, er soll nicht soviel CSI Wanneeikel usw. schauen.


  • Vergrößer mir mal das Bild aus dem Handy
  • mach es schärfer
  • drehe die Perspektive
  • siehst du das Spiegelbild auf der Armanduhr - mach es schärfer und druck es mir aus
  • Horatio - ich habs der Attentäter hat einen Pickel auf der Nase - jetzt müssen wir nur noch alle verhaften, die keinen Pickel auf der Nase haben und der einzige der dann noch frei rumläuft ist der Täter....

Gruß
Bitte warten ..
Mitglied: Arch-Stanton
17.08.2010 um 16:22 Uhr
erstmal hier einschreiben und nach abgeschlossenem Studiengang kannste loslegen...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: nightwishler
17.08.2010 um 16:26 Uhr
eingeschrieben ;o)

mir ist das soweit schon klar, nur mein chef denkt das sei imemr alls so "einfach"

trotzdem danke
Bitte warten ..
Mitglied: Arch-Stanton
17.08.2010 um 16:32 Uhr
wenn ich nur ein paar Jahrzente jünger wäre, würde ich mich da einschreiben. Danach kann man sich seinen Arbeitgeber aussuchen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: nightwishler
17.08.2010 um 16:42 Uhr
mh... mit 30 anfangen zu studieren... manch einer machts ;)
Bitte warten ..
Mitglied: mrtux
17.08.2010 um 17:23 Uhr
Hi !

ich möcht mal behaupten, dass im Extremfall nicht mal die Logfiles eines Proxy vor Gericht bestand haben, darum speichern manche Tools ihre Logs binär, was aber auch keine absolute Sicherheit gibt....

[ot]
Ohjeee 30 das is schon lange her.....
[/ot]

mrtux
Bitte warten ..
Mitglied: Biber
17.08.2010 um 17:43 Uhr
Moin nightwishler,

wenn du jetzt zu deinem Cheffe gehst, um ihm den Tenor der Antworten zu übermitteln, dann mach ihm auch klar,
an welcher Stelle er mit seiner/deiner Frage "ich suche eine Software mit welcher man div. Dinge nachprüfen kann." zu kurz greift.

Falsch wäre jedenfalls, wenn beim Cheffe ankommt:
"Nö, so eine Software gibt es nicht, weil alles ist manipulierbar... und wenn es etwas gibt, dann nicht als Freeware.."

Richtiger wäre schon, was auch in dem hier diskutierten Studiengang "Digitale Forensik" klar gesagt wird
  • das ist kein Job für Tools/Scanner/Maschinen oder Automaten
  • sondern eine On-Top-Ausbildung/Zusatzqualifikation für gestandene Systemadmins/Sicherheitsbeauftragte oder Kriminalbeamte, die zwischen Gut und NichtGut unterscheiden können und auch wollen.

Wir haben das Thema ja hier relativ regelmäßig in unterschiedlichen Abstufungen -- ich werde den Teufel tun und jedem ### oder Cheffe ein Werkzeug nennen, mit dem er/sie alles scannen/entschlüsseln/knacken/aushebeln kann.

Bei solchen "Tools" oder "Software" würde ich mich ganz konservativ auf den Standpunkt stellen "Darfst du haben, wenn du die Qualifikation dazu erworben hast"..

Ohne Waffenschein keine Uzi und keine Panzerfaust, auch nicht für zu Hause.

Grüße
Biber
Bitte warten ..
Mitglied: Equinox
18.08.2010 um 12:37 Uhr
Salute,

als normaler Admin sollte man die Finger von Forensik lassen, wenn diese vor Gericht Standhalten sollen.

Es gibt zuviele Auflagen die zu 100% eingehalten werden müssen, und 99,5 % reichen da nicht.

Software gibt es genug ( ich verwende F.I.R.E ), wenn du diese aber nicht beherrscht, richtest du mehr Schaden als, als dir lieb ist und jede weitere
Professionelle Forensik, hast du hier im Keim erstickt.


Forensik gehört nur in absolut Professionelle Hände, an Firmen die Erfahrung mit Gerichtlicher Beweissicherung haben.

Equinox
Bitte warten ..
Mitglied: 14695
23.08.2010 um 09:51 Uhr
Hi,

also dass Ausdrucke "nix aus"-sagen wäre mir neu. Vor Gericht kann (fast) alles als Beweismittel vorgelegt werden. Sonst wäre auch jedes Foto, jede Kopie und dergleichen mehr wertlos. Zunächst einmal müsste sich der ehemalige AN ja wehren. Dann müsste er auch noch die Behauptung aufstellen, der Screenshot sei gefälscht. In diesem Zusammenhang würden dann sicherlich alle Beteiligten als Zeugen vernommen, wie es denn zu den Ausdrucken gekommen ist usw.

Selbst wenn du aber eine Software benutzt: Manipulationen wären dennoch möglich. Vor der "Datensicherung".

Ich würde die Festplatte einfach mal als solche aufbewahren und dokumentieren, dass keine Änderungen am Datenbestand vorgenommen werden konnten, nachdem der Mitarbeiter das letzte Mal auf die HD zugegriffen hat.

Grüße aus Köln
Oliver
Bitte warten ..
Mitglied: Biber
23.08.2010 um 10:50 Uhr
Wundervollen Montach-Moin, omix,

Zitat von 14695:
also dass Ausdrucke "nix aus"-sagen wäre mir neu. Vor Gericht kann (fast) alles als Beweismittel vorgelegt werden.
Klar kannst du dem Gericht fast alles als Beweismittel vorlegen.
Meiner Katze kann ich auch viele verschiedene Sachen vorlegen, wenn sie eigentlich Futter erwartet.
Es wird aber nicht alles dankbar angenommen.

Zunächst einmal müsste sich der ehemalige AN ja wehren.
Na - warum sollte er das denn tun? Nur weil er fristlos gekündigt werden soll? Kaum anzunehmen...
Meinst du, da gäbe es kleine Choleriker, die sich wegen einer solchen Lappalie schon wehren würden?
Dann müsste er auch noch die Behauptung aufstellen, der Screenshot sei gefälscht. In diesem Zusammenhang
würden dann sicherlich alle Beteiligten als Zeugen vernommen, wie es denn zu den Ausdrucken gekommen ist usw.
Klar... alle Beteiligten werden vorgeladen, vereidigt und ggf. in Beugehaft genommen.
Wie es bei diesem Ausbund von Gefährdung der öffentlichen Ordnung auch angemessen ist.
Ja hey - hast du vielleicht schon mal am eigenen Leib miterlebt, welcher Aufwand zum Beispiel seitens der Ordnungsorgane betrieben wird, wenn dir das Auto oder der Keller aufgebrochen wurde oder wenn du auf einem S-Bahnhof von ein paar besoffenen Hooligans zusammengetreten wirst?
Und du meinst, bei einem Internetsurfer trommeln die aber alles zusammen?

Ich würde die Festplatte einfach mal als solche aufbewahren
Wie "als solche"? In Kunstharz giessen?
... und dokumentieren, dass keine Änderungen am Datenbestand vorgenommen werden konnten,
nachdem der Mitarbeiter das letzte Mal auf die HD zugegriffen hat.
Das is' ja mal ein geiler Plan! Menno, das da noch niemand drauf gekommen ist außer dir...einfach "dokumentieren, dass keine Änderungen am Datenbestand vorgenommen werden konnten" - dat is' ge-ni- al.

Grüße aus Köln
Oliver
Is da grad Karneval oder so was?

Grüße & Alaaf
Biber
Bitte warten ..
Mitglied: carg
23.08.2010 um 10:51 Uhr
Hi,

bau die Festplatte aus und leg sie in den Safe. Falls es zu Gericht geht kann euer Anwalt ja vorschlagen, die besagte HD einem gerichtlich anerkannten Unternehemen zu übergeben. Die machen dann die Untersuchungen. Vorher noch darauf hinweisen, dass im falle eines (für den Arbeitnehmer) negativen Ergebnisses der die Kosten tragen muß. Das wird der sich sicher 3 mal überlegen (mit Hilfe seines Anwalts), da das nicht gerade billig ist.
Am besten ist noch ihr hinterlegt die HD z.b. bei einem Notar.

Gruß
Bitte warten ..
Mitglied: 14695
23.08.2010 um 14:20 Uhr
Na Biber,

du scheinst ja ein echter Spezialist zu sein.

Na - warum sollte er das denn tun? Nur weil er fristlos gekündigt werden soll?

Er ist bereits gekündigt.

Klar... alle Beteiligten werden vorgeladen, vereidigt und ggf. in Beugehaft genommen.

Korrekt. Vereidigt wird allerdings nur im Ausnahmefall.

Ja hey - hast du vielleicht schon mal am eigenen Leib miterlebt, welcher Aufwand zum Beispiel seitens der Ordnungsorgane betrieben wird,
wenn dir das Auto oder der Keller aufgebrochen wurde oder wenn du auf einem S-Bahnhof von ein paar besoffenen Hooligans zusammengetreten wirst?
Und du meinst, bei einem Internetsurfer trommeln die aber alles zusammen?

Ja. So rein beruflich. Mehr oder weniger täglich. Im übrigen wäre das hier ein arbeitsgerichtlicher und kein strafrechtliche Prozess. Aber das weißt du - bei deinen scheinbar so fundierten Kenntnissen des deutschen Prozessrechts - ja sicherlich.

Is da grad Karneval oder so was?
Nein. Nicht mal "oder so was". Deshalb habe ich mir auch die Zeit genommen auf deinen - wirklich frisch wirkenden - Kommtar zu antworten.

Grüße (immer noch aus Köln)
Bitte warten ..
Mitglied: mrtux
23.08.2010 um 18:42 Uhr
Hi !

Zitat von 14695:
strafrechtliche Prozess. Aber das weißt du - bei deinen scheinbar so fundierten Kenntnissen des deutschen Prozessrechts - ja
sicherlich.

Was ja hier auch ganz klar erkennbar zur Debatte steht....Könnte es sein, dass Herr Advokat etwas empfindlich auf andere Meinungen reagiert? Nur so eine Vermutung meinerseits...

Darf man fragen, wie lange die Kanzlei schon besteht?

Ich selbst bin jetzt schon seit über 20 Jahren in der IT tätig und habe aus der Erfahrung heraus schon Sachen erlebt, die ich früher niemals für möglich gehalten hätte.....Ich habe u.a. auch schon im Auftrag von IT-Gutachtern gearbeitet und Dinge gesehen, die mich nur zu einem Schluss haben kommen lassen, nämlich dass mit genügend krimineller Energie in dem Bereich so ziemlich alles möglich ist und auch gemacht wird. Von Bildmanipulation über Manipulation von Steuerdaten/Buchhaltungsdaten bis hin zu frisierten Logfiles war da schon alles dabei....

Von daher stimme ich Biber zu, wenn er sagt, dass ein Richter die sogenannten Beweise erst mal anerkennen muss, da ich das bei einem Prozess eines Kunden gegen seinen Francisegeber schon selbst so erlebt habe. Wir betreuten damals die IT des Beklagten...Übrigens, die Beweise (von einem vereidigten IT-Sachverständigen vorgetragen!) wurden damals nicht anerkannt, der Kunde hat den Prozess verloren, die Firma musste dicht machen, obwohl der Beklagte seine Unschuld immer wieder beteuerte und die Beweislage das eigentlich auch klar untermauerte...aber eben nur eigentlich, denn wie gesagt, die Beweise (Überwachungsprotokolle des Netzwerkverkehrs) wurden nicht zugelassen...

Was in der theoretischen Jurisdiktion plausibel klingt, muss in der Praxis noch lange nicht funktionieren....Denn auch noch in hundert Jahren gilt: "Vor Gericht und auf hoher See...." Das ist jetzt klar laienhaft ausgedrückt aber auch nicht von der Hand zu weisen...

mrtux
Bitte warten ..
Mitglied: 14695
23.08.2010 um 20:59 Uhr
Hi mrtux,

nein, "Herr Advokat" hat rein gar nichts gegen andere Meinungen; sofern es sich um Meinungen handelt. Wie auch immer. Ich bin seit 10 Jahren als Strafverteidiger tätig, um deine Frage zu beantworten.

Es geht bei der Eingangsfrage offentsichtlich nicht, wenn ich nicht etwas total falsch verstehen sollte, um eine strafrechtiche Problematik, sondern um eine arbeitsrechtliche. Nicht nur das, sondern eine allgemein zivilrechtliche. Strafverfolgungsbehörden nehmen mit, was sie finden (übrigens selten alles, wenn geschickt angestellt). Die Auswertung findet dann nach bestimmten Regeln statt. Die Ergebnisse werden dann als "objektiv" angesehen. Eine Behörde eben. Hier sind wird wir aber gerade nicht. Keine Straftat, keine Behörde, kein Polizist, kein Staatsanwalt.

Sollte sich der ehemalige Mitarbeiter wehren und behaupten, die Ausdrucke seien "gefälscht", müsste die GmbH beweisen, dass er privat im Netz unterwegs war. Dies gelänge u. U. über ein Gutachten (du erwähnst es). Der Gutachter würde die HD unter die Lupe nehmen und schauen, was er findet. Deshalb auch "die Festplatte mal als solche aufbewahren" (@Biber: "als solche" nicht etwa als Backup). Das ist aber nur eine Möglichkeit "privates Surfen" (als Kündigungsgrund, ob es einer ist, ist eine andere Frage) zu beweisen. Irgendwie müssen sie ihm ja auf die schliche gekommen sein. Und da wiederum kommen die Zeugen ins Spiel: Der GF, der Admin oder wer sonst noch was sagen kann.

Das mit krimineller Energie so einiges erreichbar ist, ist hinlänglich bekannt. Auch hierum geht es beider Frage nicht.

Nein, Gerichte müssen Beweise nicht "anerkennen". Beweismittel sind Beweismittel und das Gericht muss sich mit ihnen auseinander setzen, außer sie sind unzulässig ("Mach's Maul auf sonst hau ich dich"). Das ist aber eher selten. Die Qualität, die Wahrhaftigkeit, die Kraft eines Beweismittels ist eine andere Frage. Das macht der Richter im stillen Kämmerlein ganz alleine. Damit liegst du mit dem alten Spruch "Vor Gericht und auf hoher See..." gar nicht mal falsch.

Was den von dir angeführten Prozess angeht, kann ich nur spekulieren. "Überwachung" ist immer irgendwo problematisch. Gerade wenn es um die Verwendung von IT geht (hier muss man schon bei der Formulierung der Arbeitsverträge achtsam sein). Köchelt ganz aktuell vor sich hin (s. hier)

Daher besser immer im Vorfeld beraten lassen, was geht und was nicht

Grüße und danke für den sachlichen Beitrag...

o
Bitte warten ..
Mitglied: Biber
23.08.2010 um 21:48 Uhr
Moin omix,

erstmal danke, dass du den Beitrag (und auch mich) wieder auf eine sachliche Ebene zurückgeholt hast.

Zu meinem ...hmmja... etwas unsachlichen Kommentar:
  • zu zwei Dritteln war es durch den Wochentag bedingt. (sorry, ist ein persönliches Problem)
  • zu einem Drittel allerdings war ich ein wenig albern geworden durch die Verselbständigung dieser Diskussion, die aus meiner Sicht schon ein paar gewagte Schlenker vollzogen hat

Nach meiner Wahrnehmung (ganz subjektiv) war der Aufhänger der Fall eines (so wie ich es las) ohnehin unliebsamen Mitarbeiters, der wegen "surft gerne privat am Arbeitsplatz" gekündigt wurde.

Was ich für mich doch eher so interpretiert habe: "Okay, dieser Grund kam gerade recht."
Denn bei diesem "privaten Surfen" sind zwei Wahrheiten unumstösslich:
  • Ja, dem Arbeitgeber und der Volkswirtschaft wird ohne jede Frage und ohne jede Beschönigung ein horrender Schaden zugefügt. Nicht durch die paar Cent Breitbandbelegung, sondern durch die verdaddelte und verbrannte Arbeitszeit.
  • Ebenso wahr - jede/r, die die technische Möglichkeit und Gelegenheit zum privaten Surfen hat nimmt sie wahr. Punkt.

Wenn es aber um dieses Surfverhalten geht (und nicht um beispielsweise gewerbsmäßiges Herunterladen und Verbreiten von Software/Filmen/Bildern), dann finde ich das in der Folgediskussion aufgezeigte Szenario mit "Digitaler Forensik", manipulationssichererer Beweissicherung und eben auch der Zeugenbefragung mit der gesamten Abteilung ein bisschen arg überzogen.

Meine Erfahrungen als Geschädigter wie oben angedeutet bei Einbruch, Diebstahl oder Betrug waren eher ernüchternd - die spürbaren Aktivitäten und damit auch das spürbare Interesse an Verfolgung oder Klärung dieser Fälle waren für mich bestenfalls eine kurze vorgefertigte Mitteilung mit "Strafanzeige gegen Unbekannt aufgenommen" und "...Verfahren wurde eingestellt".

Ich kann da nicht so recht die Verhältnismäßigkeit nachvollziehen.

Grüße
Biber
Bitte warten ..
Mitglied: 14695
24.08.2010 um 15:54 Uhr
Hi Biber,

kein Problem. Schon vergessen.

Du hast vollkommen recht, dass ein "mal privat rumsurfen" kein Problem sein sollte. Ist es bei mir im Betrieb jedenfalls nicht. Die Frage nach der "Beweissicherung" ist dennoch - unabhängig vom Ausgangsfall - ganz interessant. Nochmals: es geht hier nicht um eine Straftat, bei der Behörden mit allen möglichen Mitteln Beweise sammeln. Das Problem ist vielmehr: wie sichere ich als Privatperson Beweise. Ohne vermutbare und mögliche Manipulation geht das nämlich kaum. Und da kann ich eben aus der Praxis nur sagen: dokumentieren was eben geht (und natürlich ist der Hinweis auf die "digital forensic" hier fehl am Platz). Was man letzlich in einem Prozess verwenden kann oder muss ist steht auf einem anderen Blatt. Wenn aber eine Dokumentationslücke entstanden ist, hebele ich dir fast alles aus.

Auch deinen Unmut über die (zumindest scheinbare) Untätigkeit der Behörden bei Einbrüchen und dergleichen kann ich verstehen.

Also nochmal: Grüße aus Köln
Oliver
Bitte warten ..
Mitglied: gnarff
01.02.2011 um 15:45 Uhr
Hallo Allerseits,

die forensiche Untersuchung muss von eurem Anwalt beantragt und vom Gericht angeordnet werden, die Festplatte beschlagnahmt, versiegelt und als Beweismittel angeboten werden.
Ein oeffentlich bestellter und vereidigter Computerforensiker hat dann die gebotenen Untersuchungen vorzunehmen.
Wenn Ihr da im Alleingang herumbosselt, dann gilt das Beweismittel als manipuliert und wird vor Gericht nicht zugelassen.

Saludos
Gnarff
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst Router Software gesucht (5)

Frage von traller zum Thema Router & Routing ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Netzwerke
gelöst Software für Netzwerkplan gesucht (unter Windows Open Source) (5)

Frage von sabines zum Thema Netzwerke ...

TK-Netze & Geräte
Erfahrung mit der Software Talkmaster Zentrale gesucht (2)

Frage von scout71 zum Thema TK-Netze & Geräte ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...