Windows Updates – Segen im Arbeitsalltag, Fluch beim Datendiebstahl

Windows Updates – Segen im Arbeitsalltag, Fluch beim Datendiebstahl

– Reposting –

Windows Softwareupdates sind wichtig! Darüber lässt sich nicht streiten. Doch in einigen Situationen, wie bei einem Datendiebstahl, wird die Aufklärung des Vorfalls deutlich durch diese erschwert. Welche Problematiken einen IT-Forensiker bei der Analyse nach einem Softwareupdate erwarten werden in diesem Artikel beschrieben.

Szenario: Kriminelle Mitarbeiter

Jedes Unternehmen sollte sich bereits Gedanken über das Szenario gemacht haben, dass ein Mitarbeiter einen Datendiebstahl begeht. Ein Beispielsfall zur Veranschaulichung:

Ein Vertriebsmitarbeiter verlässt das Unternehmen. Kurze Zeit später melden sich Kunden, dass sie von der Konkurrenz unaufgefordert Angebote zugeschickt bekommen. Zudem würden diese doch sehr ähnlich zu Ihren aussehen. Es erhärtet sich der Verdacht, dass der ehemalige Mitarbeiter die Daten des Unternehmens verwendet, um Kunden für den neuen Arbeitgeber oder sich selbst zu gewinnen.

An dieser Stelle sollte man den Laptop des ehemaligen Mitarbeiters so lassen wie er ist und an IT-Forensiker übergeben, damit diese den Vorfall untersuchen. Durch eine genaueste Analyse des Geräts wird der Verdacht überprüft, ein möglicher Schaden quantifiziert und kann dann gegenüber dem Schuldigen geltend gemacht werden.

Die Neugier siegt jedoch meistens. Der Laptop wird hochgefahren, um zu gucken, ob nicht doch eigenständig Informationen über den Vorfall gesammelt werden können. Meist unbedacht bleibt dabei die Verbindung zum Internet. Beim Herunterfahren gibt’s dann die Überraschung: „Aktualisieren und Herunterfahren“. In der verstrichenen Zeit wurde ein neues Softwareupdate von Windows heruntergeladen und zwingt unsere Hobbydetektive nun, dies zu Installieren.

Der Segen

Im laufenden Betrieb ist es gut, dass Windows die Benutzer dazu zwingt, regelmäßig die Updates zu installieren. Denn viel zu oft hat der Durchschnittsnutzer „keine Zeit“ und verschiebt manuelle Updates ein um das andere Mal. Dadurch werden dann Sicherheitslücken nicht geschlossen, Fehler nicht behoben und auch neue Features verpasst der Nutzer.

Bei den großen Upgrades von Windows 10 wird zudem ein Windows.Old Ordner erstellt. Dieser enthält Dateien, mit deren Hilfe zu der vorherigen Windows-Version zurückgekehrt werden kann. Jedoch wird dieser Ordner nach 10 Tagen automatisch vom Computer gelöscht.

Der Fluch

Aus der Sicht eines IT-Forensikers gleicht das automatische Windows Update eher einem Fluch. Denn dabei werden jede Menge Zeitstempel neu geschrieben. Vor allem in der Windows Registrierungsdatenbank (Registry). Aus genau dieser Datenbank können viele Informationen über die Tätigkeiten eines Benutzers gewonnen werden.

USB-Nutzung

Unter anderem werden dort alle angeschlossenen USB-Geräte mit mehreren Zeitstempeln gespeichert. Auch werden Dokumente den Datenträgern zugeordnet. Durch den Zeitstempel, wann das USB-Gerät zuerst und zuletzt angeschlossen wurden, können Rückschlüsse über die Normalität der Bewegungen geschlossen werden. Ein USB-Gerät zum Beispiel, welches an nur einem Tag kurz vor dem Ausscheiden des Mitarbeiters verwendet wurde, wird als Auffälligkeit notiert und in der weiteren Analyse genauer betrachtet. Generell erfolgt eine enge Abstimmung mit dem Auftraggeber, um zu ermitteln, welche Betriebsmittel im Betrieb verwendet werden und welche ggf. auf Eigeninitiative des Anwenders eingesetzt wurden.

Wenn diese Spuren durch ein Windows Update überschrieben werden, wird es äußerst schwierig eine Verbindung zwischen der Nutzung des USB-Geräts und der Dokumente herzustellen, welche auf dem Speichermedium lagen oder kopiert wurden.

Ordnerzugriffe

In der Registry werden unter anderem auch Zugriffe auf Ordner gespeichert. Darüber kann nachvollzogen werden, ob der ehemalige Mitarbeiter sich noch einmal im gesamten System umgesehen hat und welche Inhalte möglicherweise noch entwendet wurden. Es kann eine zeitliche Einordnung der Bewegungen des Benutzers erstellt werden.

Werden diese Spuren durch ein Windows Update verändert und die Zeitstempel neu datiert, tragen diese Informationen nicht mehr zur Aufklärung des Vorfalls bei. Die Spuren wurden unwissentlich vernichtet.

Das Ende der Geschichte vom Datendiebstahl…

Windows Updates sind eine tolle Sache und sichern die aktive Arbeitsumgebung ab. Sollten jedoch Bewegungen von einem Mitarbeiter aufgrund eines Verstoßes nachvollzogen werden müssen, ist es wichtig, dass das Gerät nicht weiterverwendet oder erneut eingeschaltet wird.

Durch jede weitere Interaktion auf dem System werden neue Spuren generiert und alte vernichtet. Und wenn das System doch weiterverwendet wurde und ein Windows Update erzwungen wird, ist es nahezu unmöglich den genauen Tathergang zu rekonstruieren und den Verantwortlichen zur Rechenschafft zu ziehen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Windows Updates – Segen im Arbeitsalltag, Fluch beim Datendiebstahl.

Wir haben auch den sehr interessanten SFC-Newsletter...

SFC hilft Ihnen wenn Sie mögen!

DSGVO & Datenschutz sind super! Wenn man weiß, was zu tun ist… Wir melden uns gerne bei Ihnen!

Sie registrieren sich für unseren Newsletter. Natürlich wird Ihre Registrierung durch einen Double-Opt-In abgesichert.