Zum Inhalt springen
Digitale Forensik, Geschäftsgeheimnisse, Dateiserver, Server, E-Mail-Server, externe Geräte, externe Medien, mobile Geräte, persönliche Geräte

In der heutigen Welt ist die Menge an Kommunikation astronomisch. BYOD (Bring Your Own Device) erhöht die Komplexität, wenn Sie bereits mit unternehmensgenutzten traditionellen Datenquellen wie Desktop, Laptop, Server und Unternehmens-E-Mail konfrontiert sind.

Dieser Artikel soll eine hilfreiche Erinnerung (oder für einige neue Informationen) an Dinge sein, die bei der Verwendung digitaler Forensik zur Untersuchung eines möglichen Diebstahls oder einer missbräuchlichen Verwendung von proprietären Daten zu berücksichtigen sind. Angesichts der sich verändernden Technologielandschaft wäre ich nachlässig, wenn ich nicht sagen würde, dass Sie einen Forensiker und Rechtsexperten konsultieren sollten, bevor Sie Entscheidungen treffen.

Berücksichtigung elektronischer Speicherbereiche/Geräte

Es gibt bestimmte elektronische Datenquellen, die Angeklagte, Kläger und forensische Neutrale gleichermaßen für jede Untersuchung in Betracht ziehen sollten. Dazu gehören Laptops/Desktops (auch bekannt als Workstations), E-Mail-Server, Dateiserver, externe Medien, Online-Repositorys, persönliche E-Mail-Konten, Heimcomputer, Smartphones und andere mobile Computergeräte.

Die Sammlung aus einigen dieser Quellen ist selbsterklärend, andere sind möglicherweise nicht so einfach. Einige Beispiele für Nuancen, auf die Sie stoßen können, sind E-Mail- und Dateiserver.

E-Mail-Server können auf mehrere Arten konfiguriert werden. Einige behalten eine Kopie aller E-Mails nur auf dem Server, während andere eine Synchronisierung mit anderen Geräten (z. B. Verwendung von Outlook) ermöglichen, oder ein Server kann einem Benutzer erlauben, die einzige Kopie der E-Mail herunterzuladen und auf seinem lokalen Gerät zu behalten (S).

Dies ist ein wichtiger Unterschied, den Sie verstehen müssen, um nicht anzunehmen, dass sich die E-Mail alle auf einem Desktop oder Laptop befindet. Eine Technik kann darin bestehen, die E-Mail mit dem Desktop oder Laptop zu synchronisieren, bevor ein forensisches Image dieses Geräts erstellt wird, was Ihnen möglicherweise die Notwendigkeit erspart, die E-Mail vom E-Mail-Server abzurufen.

Bei Servern ist es wichtig, die verwendeten Servertypen und die allgemeinen Begriffe zu verstehen, die Verwalter (Benutzer) verwenden können, wenn sie sie beschreiben. Nehmen Sie zum Beispiel einen Dateiserver: ein Server, auf dem Einzelpersonen oder Mitglieder bestimmter Gruppen eine Vielzahl von Dokumenttypen speichern können, sogar E-Mail-Archive. Es wird oft als „privater Netzwerkordner“ oder „Home-Verzeichnis“ für Einzelpersonen und als „Gruppenfreigabe“ (z. B. Buchhaltungsgruppenfreigabe, Engineering-Gruppenfreigabe) für Mitglieder bestimmter Gruppen bezeichnet, die einen gemeinsamen Bereich zum Teilen haben Unterlagen.

Überlegungen zur Analyse

Daten können ein Unternehmen auf unterschiedlichen Wegen verlassen. Eine Möglichkeit, „große“ Datenmengen zu exfiltrieren, ist der Anschluss eines externen Geräts. Es ist sehr einfach, ein externes Gerät anzuschließen, Dateien massenweise auf das Gerät zu kopieren, das Gerät zu trennen und es zu verlassen

es. Welche Artefakte sollten Sie also berücksichtigen, wenn Sie diese Art von Aktivität auf Ihrer häufig verwendeten Microsoft Windows-Workstation sehen möchten?

Eine Möglichkeit, die Aktivität eines Benutzers anzuzeigen, ist die Überprüfung von Linkdateien (auch bekannt als LNK-Dateien). Eine Verknüpfungsdatei ist eine Verknüpfung auf einem lokalen Laufwerk, die den Verlauf einer Datei anzeigen kann, die von einem angeschlossenen Gerät geöffnet wurde.

Kunden fragen mich oft, warum ich ihnen keine Liste von Dateien geben kann, die auf ein externes Gerät kopiert wurden – so einfach ist das nicht. Windows erstellt kein „Protokoll“, „Audit-Trail“ oder „Aufzeichnung“ von Dateien, die einfach per Drag-and-Drop auf ein externes Gerät kopiert werden. Da Sie nicht über das eigentliche Gerät verfügen, auf das die Dateien kopiert wurden, müssen Sie sich auf andere Artefakte wie Linkdateien verlassen, um zu zeigen oder abzuleiten, dass diese Aktivität stattgefunden hat.

Zum Beispiel habe ich ein Dokument mit dem Namen tradesecret.doc (die Zieldatei) auf einem USB-Wechseldatenträger gespeichert. Wenn ich dieses Dokument speichere und schließe, dann zurück zu meinem Windows-Startmenü gehe und das Microsoft Word-Programm auswähle, erhalte ich eine Liste der letzten Dokumente (einschließlich „tradesecret.doc“), die ich öffnen kann.

Diese Methode zum Öffnen eines dieser Dokumente erstellt eine sogenannte Verknüpfung. Auf dem Computer existiert eine Verknüpfung, weil ein Dokument „geöffnet“ wurde. Verknüpfungen enthalten Metadaten, einschließlich des Pfads der Zieldatei. Der Pfad kann ein externes Gerät sein, das das Unternehmen mit dem ausgeschiedenen Mitarbeiter verlassen hat. Die Verknüpfung kann auch Daten und Zeiten enthalten, zu denen die Verknüpfung selbst erstellt wurde, sowie die Erstellungs-, Änderungs- und Zugriffsdaten der tatsächlichen Zieldatei.

Diese Verknüpfungsmetadaten können Ihnen mitteilen, wann eine Datei auf ein Wechselmedium kopiert wurde und ob sie auf diesem Gerät modifiziert wurde. Bitte denken Sie daran, dass das Auffinden einer Kopie der gleichnamigen Datei auf der Computerfestplatte nicht bedeutet, dass sie den gleichen Inhalt hat wie die Kopie, die auf dem externen Gerät identifiziert wurde. Die einzig wahre Möglichkeit, eine vollständige Liste von Dateien und deren Inhalt zu identifizieren, besteht darin, das externe Gerät zu analysieren.

Die Wolke

Online-Repositorien sind Bereiche, die sich „in der Cloud“ befinden. Programme wie OneDrive, Carbonite, Dropbox, SugarSync, Hightail, Mozy und ShareFile sind nur einige der Hunderte (wenn nicht Tausende) von Online-Repositorys. Obwohl sich jede in ihrer Verwendung leicht unterscheiden kann, ermöglichen sie es einem Benutzer letztendlich alle, Dateien zu speichern und darauf zuzugreifen.

Die Suche nach der Installation und Verwendung dieser Programme auf einer Workstation kann sich als wertvoll erweisen. Durch den Besuch dieser Websites kann auch ein Eintrag in den Internetverlaufsdateien erstellt werden. Einige dieser Websites zeichnen sogar detaillierte Überwachungsprotokolle der Dateiaktivitäten (Uploads, Downloads, Löschungen usw.) auf. Denken Sie daran, dass Sie möglicherweise schnell handeln müssen, da diese Überwachungsprotokolle nur 30 Tage lang sein können.

Mobile Geräte

Zusätzlich zum Telefonieren und Versenden von Textnachrichten können Mobilgeräte und Smartphones Dateien speichern. Mit der heutigen Weiterentwicklung von „Apps“ ist es möglich, ein Dokument abzurufen, zu öffnen, zu bearbeiten und erneut auf einem mobilen Gerät oder in dem Cloud-basierten Repository zu speichern, aus dem das Dokument abgerufen wurde.

Ein weiteres Beispiel dafür, wie sensible Daten auf Mobilgeräten gespeichert werden können, sind SIM-Karten, die Kontaktlisten verwalten und problemlos von einem Telefon auf ein anderes kompatibles Telefon verschoben werden können. In einigen Angelegenheiten kann die bloße Aufnahme einer Kontaktliste sehr wichtig sein, da es sich um eine Kundenliste handeln könnte.

Lassen Sie uns Sicherungsdateien nicht übersehen, die von BlackBerrys, iPhones/iPads und anderen Mobilgeräten erstellt wurden. Diese können sich als wertvoll erweisen, um den Besitz oder die Nutzung eines Geräts nachzuweisen, das nicht zur Inspektion hergestellt wurde, insbesondere in der heutigen BYOD-Welt, in der sich das Gerät möglicherweise in Privatbesitz befindet, die zulässige Nutzung im Unternehmen jedoch zu Unternehmensdaten auf dem Gerät geführt hat.

Um beim Thema BYOD zu bleiben, machen Sie sich mit den Unternehmensrichtlinien und -regeln für diese Hybridgeräte vertraut. Verfügt Ihr Unternehmen über gut geschriebene Richtlinien, z. B. ob der Arbeitgeber Geschäftsdaten aus der Ferne „löschen“ kann, wenn das Gerät verloren geht, oder ob sich die Wege des Mitarbeiters und des Unternehmens trennen? Haben Sie darüber nachgedacht, wie Sie mit diesem Problem umgehen können, bevor es auftritt? Ich habe es allzu oft gesehen, dass die Standardeinstellung eines Kunden darin bestand, das mobile Gerät eines Mitarbeiters bei der Abreise aus der Ferne zu löschen und dann Beweise von diesem Gerät zu verlangen (das nicht mehr existiert).

Neben der Implementierung und Stärkung einer Sicherheitskultur und der Möglichkeit, Geräte bei Verlust oder Diebstahl „löschen“ zu können, sollten Unternehmen auch kontinuierliche Schulungen, jährliche Anerkennungen und anderweitige Erwartungen der Mitarbeiter in Bezug auf den Datenschutz in Betracht ziehen und verwalten aufgeben im Austausch für die Bequemlichkeit, ihre persönlichen Geräte für die Arbeit zu verwenden. Dies kann dazu beitragen, unangenehme Gespräche zu vermeiden, wenn Sie das persönliche Gerät einer anderen Person untersuchen müssen.

Sollte dies erforderlich sein, nach welchen Artefakten könnte man suchen, um sicherzustellen, dass vertrauliche Unternehmensdaten nicht gestohlen wurden oder sich nicht mehr auf dem Gerät eines ausgeschiedenen Mitarbeiters befinden? Beispielsweise möchten Sie möglicherweise Informationen zur Geoposition (GPS-Daten) erhalten, die angeben können, wo sich das Gerät zu einem bestimmten Datum/einer bestimmten Uhrzeit befand.

Beispiele für zu untersuchende Benutzeraktivitäten sind: Anhänge, die von einer E-Mail getrennt und auf dem Gerät gespeichert wurden; installierte Software, die eine direkte Verbindung zu einem Firmencomputer ermöglicht, die ein bestimmtes Sicherheitsprotokoll umgehen kann; Namen von Dateianhängen, die möglicherweise in persönlichen E-Mail-Konten auf dem Gerät vorhanden sind; Bilder, die möglicherweise von einem Geschäftsgeheimnisdokument anstelle der tatsächlich aufgenommenen Datei aufgenommen wurden; und Internetverlauf und/oder Textnachrichten, um nur einige zu nennen. Die Daten auf dem tatsächlichen Gerät können von der letzten Sicherung abweichen, insbesondere wenn das Gerät häufiger und jünger als die letzte Sicherung verwendet wird.

Zusammenfassend ist es wichtig, gebildet zu sein oder von Menschen umgeben zu sein, die Sie auf dem Laufenden halten. Wenn Sie die Ermittlungen vorantreiben, wissen, dass Beweise verderblich sind, und das Notwendige aufbewahren, selbst wenn es auf Eis gelegt wird, werden Sie dem Spiel einen Schritt voraus sein.

iDiscovery Solutions ist ein strategisches Beratungs-, Technologie- und Expertendienstleistungsunternehmen, das maßgeschneiderte eDiscovery-Lösungen von digitaler Forensik bis hin zu Expertenaussagen für Anwaltskanzleien und Unternehmen in den Vereinigten Staaten und Europa anbietet.

de_DEDE