Datenverwendung USB Stick nachweisen

Bettina4600

Newbie
Dabei seit
Nov. 2019
Beiträge
5
Hallo,
leider wurden von 'Freunden' Daten von unserem Computer geklaut bzw. auf einen USB Stick kopiert (während Blumendienst in unserem Urlaub). Diesen USB Stick mit den kopierten Daten haben wir mittlerweile erhalten. Für mich/uns wäre es nun sehr interessant wann diese Daten (Bilder) verwendet / angesehen wurden. Gibt es eine Möglichkeit den Nutzungsverlauf dieser Daten / Bilder einzusehen?
Damit meine ich jetzt nicht nur den 'letzten Zugriff', denn da ich die Daten gesichtet habe, ist dieser letzte Zugriff nun von mir selbst.
Vielen Dank vorab für Eure Hilfe
SG Bettina
 

wern001

Lt. Commander
Dabei seit
Mai 2017
Beiträge
1.564
Die Bilder/Daten kann man nicht so ohne weiteres nachträglich (überwachungssoftware) einsehen.
Man kann aber im Ereignisprotokoll von Windows einsehen wann der PC gestartet und ob ein USB-Stick eingesteckt wurde.

Im systemprotokoll gibt es für jedes einstecken eines USB-Sticks einen eintrag von "UserPNP" der eines USB-Sticks sieht so aus
Der Prozess zum Hinzufügen von Dienst WUDFWpdFs für Geräteinstanz-ID SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER_EDGE&REV_1.26#2005174071076CC12761&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} wurde mit folgendem Status beendet: 0.
Auf jeden Fall würde ich gegen diese "Freunde" rechtliche schritte einleiten. Denn das ganze ist ein eingriff in den höchst Persönlichen bereich und ist kein Kavaliersdelikt.
 

Conqi

Lt. Commander
Dabei seit
Dez. 2011
Beiträge
1.858
Nein, sowas geht nicht. Weder der Stick, noch die Dateien haben irgendeine Art Log, ob und wann sie kopiert oder angesehen wurden.

Generell frage ich mich gerade nur, wie besagte "Freunde" überhaupt an die Daten gekommen sind. Kein Passwort am PC oder ein viel zu leichtes Passwort?

Man kann aber im Ereignisprotokoll von Windows einsehen wann der PC gestartet und ob ein USB-Stick eingesteckt wurde.
Wenn ich das richtig verstanden habe, geht es doch darum, zu sehen, ob und wann die kopierten Bilder betrachtet oder sonst wie kopiert wurden. Das geht eben leider nicht so lange die Datei nicht verändert wurde.
 

DaZpoon

Commander
Dabei seit
Dez. 2009
Beiträge
2.232
Da kann man forensisch nur rangehen wenn man den Rechner bekommt, in den der Stick eingesteckt wurde. Der Stick enthält keine Spuren.
 

Bettina4600

Newbie
Ersteller dieses Themas
Dabei seit
Nov. 2019
Beiträge
5
Danke für die rasche Rückmeldung. Die Ereignisprotokolle habe ich theoretisch (Laie) schon geprüft, jedoch gehen diese nicht weit genug zurück.

@Conqi ... auch Dir danke für die Antwort. Tja, wir sind/waren wohl einfach zu vertrauensvoll - kein Passwort. Haben aber auch nicht damit gerechnet, dass ein Freund, dem wir voll vertrauen und den Schlüssel zum Blumengießen anvertrauen sich an unserem PC zu schaffen macht geschweige denn dann auch noch Daten auf seinen USB Stick kopiert. Aus Fehlern lernt man ... der PC ist mittlerweile mit einem Passwort versehen.
 

l00pm45ch1n3

Lt. Commander
Dabei seit
Juli 2018
Beiträge
1.086
Kein Passwort am PC oder ein viel zu leichtes Passwort?
Wenn der Systemstart schon nicht per Kennwort vernagelt und verschlüsselt wurde, kann man mit jedem Live-Stick die Kiste booten und an die Daten gelangen. In Abwesenheit der Besitzer ist auch schnell mal eine Platte / SSD ausgebaut.
Möglichkeiten gibt es immer, da hilft nur Verschlüsseln.
 

wern001

Lt. Commander
Dabei seit
Mai 2017
Beiträge
1.564
Nein, sowas geht nicht. Weder der Stick, noch die Dateien haben irgendeine Art Log, ob und wann sie kopiert oder angesehen wurden.

Generell frage ich mich gerade nur, wie besagte "Freunde" überhaupt an die Daten gekommen sind. Kein Passwort am PC oder ein viel zu leichtes Passwort?



Wenn ich das richtig verstanden habe, geht es doch darum, zu sehen, ob und wann die kopierten Bilder betrachtet oder sonst wie kopiert wurden. Das geht eben leider nicht so lange die Datei nicht verändert wurde.
Hab aber auch schon geschrieben dass das nicht ohne überwachungssoftware die vor installiert werden muss möglich ist.

Die einzige möglichkeit wäre nachzuweisen das Unfug gemacht wurde ist zu Protokollieren das der PC in der Urlaubszeit unberechtigt eingeschaltet und das ein USB-Stick eingesteckt wurde.
Zum Blumen gießen und Katze füttern in der Urlaubszeit brauchen "Freunde" keinen PC
 

DaZpoon

Commander
Dabei seit
Dez. 2009
Beiträge
2.232
Auch das Passwort schützt nicht davor! Da hilft nur Komplettverschlüsselung.
 

Tranceport

Captain
Dabei seit
Dez. 2008
Beiträge
3.135

Bettina4600

Newbie
Ersteller dieses Themas
Dabei seit
Nov. 2019
Beiträge
5
Dass die Daten genau während unseres Urlaubs auf den Stick gezogen wurden ist bereits klar, denn das Erstelldatum des Überordners entspricht genau dieser Zeit.
 

DaZpoon

Commander
Dabei seit
Dez. 2009
Beiträge
2.232
Dann müsste er die Festplatte schon ausbauen um an die Daten zu kommen (oder das Bios zurücksetzen).
Und dazu hat man auch alle Zeit der Welt wenn der Eigentümer im Urlaub ist. Die Schwelle ist natürlich größer, aber nicht utopisch. Gerade 2.5" Laufwerke sind schnell an einen USB3-SATA Konverter angestöpselt.
Auch das Szenario Wohnungseinbruch sollte nicht außer Acht gelassen werden.
 

wern001

Lt. Commander
Dabei seit
Mai 2017
Beiträge
1.564
Ich weiß gar nicht wieso ihr jetzt daruf rumhackt dass da kein Kennwort war oder ist.

Wenn ich Freunde in der Urlaubzeit in die Wohnung lasse um sich um Pflanzen/Haustiere zu kümmern dann kann man doch davon ausgehen das diese Freunde nicht an meine Persönliche sachen gehn.
Den PC einschalten egal ob mit oder ohne Passwort ist so als würde man ein Persönliches Tagebuch lesen, kopieren und mitnehmen.
 

Bettina4600

Newbie
Ersteller dieses Themas
Dabei seit
Nov. 2019
Beiträge
5
Naja, oder im BIOS ein Passwort setzen. Dann müsste er die Festplatte schon ausbauen um an die Daten zu kommen (oder das Bios zurücksetzen).

Verzeih mir die Neugierde, aber wie seid ihr ihm denn auf die Schliche gekommen? Über das System?
Die Ehefrau hat den Stick gefunden, mich informiert und mir den Stick übergeben. Da die Daten jedoch schon vor fast 2 Jahren geklaut wurden, würde ich einfach gerne nachvollziehen können wann diese genutzt wurden.
 

Tranceport

Captain
Dabei seit
Dez. 2008
Beiträge
3.135
Und dazu hat man auch alle Zeit der Welt wenn der Eigentümer im Urlaub ist. Die Schwelle ist natürlich größer, aber nicht utopisch. Gerade 2.5" Laufwerke sind schnell an einen USB3-SATA Konverter angestöpselt.
Auch das Szenario Wohnungseinbruch sollte nicht außer Acht gelassen werden.
Da hast du Recht.
Da TE eine Frau ist und von Bildern die Rede ist, wird es sich um Daten handeln die für einen (fremden) Einbrecher keinen Wert haben. Würde sie aber trotzdem verschlüsseln, ja. Intime Dateien habe ich persönlich in einem True/Veracrypt-Container.

Die Ehefrau hat den Stick gefunden, mich informiert und mir den Stick übergeben. Da die Daten jedoch schon vor fast 2 Jahren geklaut wurden, würde ich einfach gerne nachvollziehen können wann diese genutzt wurden.
Ohne Worte!
 

Darkscream

Fleet Admiral
Dabei seit
Feb. 2010
Beiträge
16.426
Ich habe sensible Daten in einem verschlüsselten Bereich abgelegt, so viele sind das gar nicht. Mir reicht es zumindest.
Wenn jemand an die gespeicherten Foren-Passwörter kommt, würde ich es verschmerzen.
 

wern001

Lt. Commander
Dabei seit
Mai 2017
Beiträge
1.564
Die Ehefrau hat den Stick gefunden, mich informiert und mir den Stick übergeben. Da die Daten jedoch schon vor fast 2 Jahren geklaut wurden, würde ich einfach gerne nachvollziehen können wann diese genutzt wurden.
Das ist für dich nicht möglich. Ist bitter ist aber so.
Die einzige Möglichkeit wäre den Rechtsweg mit einer Anzeige einzuleiten.
 

DaZpoon

Commander
Dabei seit
Dez. 2009
Beiträge
2.232
um Daten handeln die für einen (fremden) Einbrecher keinen Wert haben
Bis eine Erpressung bei dir Aufschlägt. Wenn jemand in deine Wohnung einbricht, fühlst du dich schon nackig. Wenn er dann noch Repressalien hat, ... unbeschreiblich.
Das ist kein Vorwurf an die TE, ist in meinem Bekanntenkreis überall so dass die Rechner (wozu man auch Smartphones zählen muss) ungeschützt sind - ja auch Arztpraxen. Immerhin kann man diesen Fall hier auch unter "ich habe da gelesen..." hinzuaddieren und die Pro-Verschlüsselungs-Argumentation untermauern.
Evtl. sind hier eher "Soft-Skills" notwendig um mit demjenigen ins Gespräch zu kommen, der dir das geklaut hat. Es ist eine Straftat. Aussprechen, gegenseitig Sicherheit schaffen und schlimmstenfalls Rechtswege einleiten. Unangenehm, aber erfahrungsgemäß muss man dem "Feind" in die Augen schauen, dann finden sich auch Wege.
 
Top