Hallo, jemand hat sich meines Laptops bemächtigt und behauptet nun, ihn aus Versehen an sich genommen zu haben. Wenn ich den Laptop wieder zurückbekommen habe, würde ich gerne feststellen, ob dieser Jemand irgendetwas auf dem Gerät gemacht hat. Also ob irgendwelche Dateien aufgerufen, gelöscht oder hinzugefügt wurden (habe leider auch ein paar mehr oder weniger sensible Daten auf dem Gerät). Könnte man grundsätzlich auch rausfinden, ob die Festplatte des Geräts ganz oder in Teilen kopiert wurde bzw. ob einzelne Dateien direkt von der Festplatte runtergezogen wurden (also erst Fesplatte ausgebaut, dann an einem anderen Gerät Daten runtergesaugt und dann Festplatte wieder eingebaut)?
Rolf schrieb: > die Festplatte des Geräts Wenn jemand die Festplatte ausgebaut hat und diese dann mit einem USB-Adapter (oder einem anderen Rechner) ausgelesen hat, dann kannst du das logischerweise nicht feststellen. Denn dafür müßte die Festplatte selbst alle Zugriffe speichern. Wenn die Festplatte allerdings in deinem Laptop drin blieb, könnte man einiges anhand des Ereignisprotokolls nachvollziehen. Aber ich glaube nicht, daß du alles bemerkst, was Zugriffe betrifft.
Wichtig: Wenn es ernst ist, solltest du nach Rückgabe vor dem ersten Start des Betriebssystems eine 1:1 Kopie der Disk erstellen, auf andere Disk oder auf Image-File. Beispielsweise mit Clonezilla von CD/USB gestartet. Es lässt sich feststellen, wann ein File zuletzt gelesen wurde, vorausgesetzt dies geschah auf normalem Weg bei einem von dieser Disk gestarteten System, ohne den Zugriff zu tarnen. Ist eine ganz normale Dateieigenschaft. Du solltest natürlich darauf verzichten, es davor selbst zu lesen. Es lässt sich feststellen, wann das Gerät hoch- und runtergefahren wurde. An/Abmeldung ebenso. Steht in den Windows Protokollen. Es lässt sich nicht feststellen, ob eine Disk offline 1:1 kopiert wurde. Man muss die Disk dazu auch nicht ausbauen.
:
Bearbeitet durch User
Wenn deine Daten so vertraulich sind, solltest du deine Festplatte verschlüsseln. https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung
Unter Linux: ls -l --time=atime Windows kann sowas vermutlich nicht. Also beim nächsten Mal gleich ein anständiges Betriebssystem installieren :)
Und wenn derjenige ein Live-System benutzt hat, dann wird man auch nichts feststellen können, höchstens aber die Daten, die evtl. verändert wurden.
Eric schrieb: > Also beim nächsten Mal gleich ein > anständiges Betriebssystem installieren :) In Linux werden Filesysteme heute oft in Standardeinstellung mit "relatime" gemountet, was die Aussagekraft der accessed timestamp deutlich reduziert. SSD-Angsthasen verwenden gerne "noatime", wodurch sie komplett deaktiviert wird. Als Troll sollte man wenigstens sein eigenes System kennen.
:
Bearbeitet durch User
A. K. schrieb: > Als Troll sollte man wenigstens sein eigenes System kennen. Nun, das kenne ich bereits seit den ersten Stunden und habe auch heute noch beruflich täglich damit zu tun.
A. K. schrieb: > Es lässt sich feststellen, wann ein File zuletzt gelesen wurde, > vorausgesetzt dies geschah auf normalem Weg bei einem von dieser Disk > gestarteten System, ohne den Zugriff zu tarnen. Ist eine ganz normale > Dateieigenschaft. Diese Funktion ist aber schon seit Windows Vista standardmäßig deaktivert. Peter
Betrachte den ganzen Laptop und alle Daten darauf als kompromittiert und/oder sämtlichen Gegenparteien kenntlich geworden. Du hast nun keine andere Wahl als noch heute Nacht alle Zelte abzubrechen und woanders ein komplett neues Leben anzufangen. Und dabei achtest Du dann darauf Deine Festplatten immer zu verschlüsseln damit sich so etwas nicht wiederholt.
Beitrag #6134324 wurde vom Autor gelöscht.
Eric schrieb: > Windows kann sowas vermutlich nicht. Also beim nächsten Mal gleich ein > anständiges Betriebssystem installieren :) Hetzen, aber keine Ahnung von garnichts. Typisch Linuxuser. Georg
Peter D. schrieb: > Diese Funktion ist aber schon seit Windows Vista standardmäßig > deaktivert. Hast recht. Aber an der einzige Stelle, wo ich das in den letzten Jahren brauchte, Fileservice@work, ist es aktiv.
Rolf schrieb: > Hallo, > jemand hat sich meines Laptops bemächtigt und behauptet nun, ihn aus > Versehen an sich genommen zu haben. > Theoretisch möglich, die Dinger sehen heutzutage - gerade in Firmen - ziemlich gleich aus. > Wenn ich den Laptop wieder zurückbekommen habe, würde ich gerne > feststellen, ob dieser Jemand irgendetwas auf dem Gerät gemacht hat. Das hätte nur Sinn, wenn derjenige den Laptop unter Win von der Platte gestartet hätte. Wenn dir jemand wirklich und vorsätzlich Daten abziehen will, oder einfach nur unheilbar neugierig ist, (und kein Idiot ist), hätte er das mit einem Systemstart vom USB-Stick versucht - dafür gibts eine Menge guter Gründe und der Vorbereitungsaufwand dafür ist überschaubar. > Also ob irgendwelche Dateien aufgerufen, gelöscht oder hinzugefügt > wurden (habe leider auch ein paar mehr oder weniger sensible Daten auf > dem Gerät). > Dann wirds interessant: Daten, die in den Geltungsbereich der DSGVO fallen? Dann ist sowas meldepflichtig, angefangen beim DSB der Firma... Jedenfalls wenn es ganz genau genommen wird. > Könnte man grundsätzlich auch rausfinden, ob die Festplatte des Geräts > ganz oder in Teilen kopiert wurde bzw. ob einzelne Dateien direkt von > der Festplatte runtergezogen wurden (also erst Fesplatte ausgebaut, dann > an einem anderen Gerät Daten runtergesaugt und dann Festplatte wieder > eingebaut)? Nein - jedenfalls wenn es sorgfältig geschieht. Wie soll das gehen? Wenn du bspw. mit einem externen System die (ausgebaute) Festplatte Sektor für Sektor kopierst, meinst du, das "siehst" du der kopierten Platte an? Wo soll die all die Sektor-Zugriffe abspeichern? Und wozu? Aus deinem Post entnehme ich, dass du zwar sensible Daten auf einem mobilen Rechner speicherst - und mit dir ggf. herumträgst, diese aber absolut ungeschützt lässt? Merkst du hoffentlich selber, dass das ne ganz schlechte Idee ist - egal, ob es sich um ein Firmenumfeld oder "nur" Privatkram angeht. Das fängt damit an, dass man alle Dateien, von denen man nicht möchte, dass sie unkontrolliert gelesen werden können, verschlüsselt - als unterste Stufe der Sicherheit.
Rolf schrieb: > Könnte man 1.Alles sieht man nicht, aber Ereignisprotokolle könnte man WENN das System lief lesen. Da siehst Du mindestens wann er Deine Kiste benutzt hat. 2. dir /? zeigt die möglichen Optionen Der Rest ist Deiner Klugheit überlassen. Punkt.
Rolf...du fragst da Dinge, die sind für Täter und Opfer gleichermaßen interessant...und wichtig...Und...wichtig gerade bei Läppis wäre bei sensiblen Daten eine Verschlüsselung...ohne wenn und aber...und 24/7.
Vielen Dank für die rege Anteilnahme! Dann erstelle ich erst mal mit MinitoolShadowmaker einen Festplattenspiegel, bevor ich den Laptop starte, wenn er wieder hier ist. Alles weitere wird sich zeigen und wenn ich Fragen habe, werde ich sie hier noch posten. Noch mal vielen Dank an alle, die geantwortet haben!
Bernd K. schrieb: > Betrachte den ganzen Laptop und alle Daten darauf als kompromittiert > und/oder sämtlichen Gegenparteien kenntlich geworden. Ja. Aber wenn es ein normaler PC-Dummling ist, wird nichts passiert sein. Vorausgesetzt, du hast dich wenigstens auf dein Konto mit Password eingeloggd. Falls es ein Firmenlaptop ist, dann übergebe den wie genannt deinem IT-Verantwortlichen.
michael_ schrieb: > Ja. > Aber wenn es ein normaler PC-Dummling ist, wird nichts passiert sein. Schon ein 8 Stunden liegengelassenes Nokia-Handy (noch nicht mal Smartphone) kann bereits das Ende einer Ehe katalysieren! Vor diesem Hintergrud möchte ich mir gar nicht ausmalen was ein um das tausendfache leistungsfähigerer Laptop heutzutage für ein Unheil anrichten kann.
Deswegen sollte man die Datenmverschlüsseln. Und aktuelle Backups haben.
Rolf schrieb: > Wenn ich den Laptop wieder zurückbekommen habe, würde ich gerne > feststellen, ob dieser Jemand irgendetwas auf dem Gerät gemacht hat. > Also ob irgendwelche Dateien aufgerufen, gelöscht oder hinzugefügt > wurden (habe leider auch ein paar mehr oder weniger sensible Daten auf > dem Gerät). > > Könnte man grundsätzlich auch rausfinden, ob die Festplatte des Geräts > ganz oder in Teilen kopiert wurde bzw. ob einzelne Dateien direkt von > der Festplatte runtergezogen wurden (also erst Fesplatte ausgebaut, dann > an einem anderen Gerät Daten runtergesaugt und dann Festplatte wieder > eingebaut)? Versuch mal dein Glück mit LastActivityView von Nirsoft. Zitat: LastActivityView selbst überträgt keine Daten ins Internet, es zeigt dem Nutzer lediglich, welche Daten regelmäßig von Windows-Betriebssystemen protokolliert werden. Mit diesen Protokollen kann nahezu jeder Handgriff, der mit dem PC gemacht wurde, auch weit im Nachhinein noch Jahre zurück verfolgt werden. Angefangen von der Installation mit Datum- und Zeitangabe, bis hin zu den Dateien, die man jemals mal geöffnet oder gespeichert hat. Auch dann noch, wenn diese Dateien schon lange gelöscht wurden. Zudem das Starten und Herunterfahren des PCs, das Ein-/Ausschalten des Netzwerks und vieles mehr. Damit kann die PC-Nutzung detailliert nachvollzogen werden. Quelle: http://afug-info.de/Verschiedenes/Virenscanner/
Mit Auditing kann man alles mitkriegen. Bringt aber nichts, den Stall zuzusperren, nachdem der Gaul schon weg ist. Denn Auditing ist nicht automatisch aktiv.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.