Zum Inhalt springen Zur Navigation springen
Daten verraten: Dokumente einem Datenträger zuordnen

Daten verraten: Dokumente einem Datenträger zuordnen

Während einer IT-forensischen Analyse ist es wichtig festzustellen, welche Dateien auf welchem USB-Gerät vorhanden waren. Für diese Zuordnung können Informationen aus dem SOFTWARE-Hive der Windows Registry ausgelesen werden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.

Datendiebstahl per USB-Gerät

In Ihrem Unternehmen besteht der Verdacht eines Datendiebstahls. Es liegt nahe, dass die Dokumente unrechtmäßig über ein USB-Gerät entwendet wurden. Sie möchten feststellen, welches USB-Gerät dafür verwendet wurde und welches Ausmaß der Diebstahl hat, um den Schaden benennen zu können. Sobald das verdächtige USB-Gerät ausfindig gemacht wurde, kann u. a. mithilfe der Windows Registry in einer IT-forensischen Untersuchung festgestellt werden, welche Dokumente sich auf dem USB-Gerät befunden haben.

Die Windows Registry speichert unter anderem neben der Seriennummer (USB Unique Serial Number) eine „Volume Serial Number“ und einen „Volume Name“. Ein „Volume“ ist eine Partition mit einem Dateisystem auf einem Datenträger wie z.B. einer Festplatte. Es ist somit möglich, dass ein Datenträger mehrere „Volumes“ und damit mehrere „Volume Names“ besitzt. Die Informationen können mit Spuren aus der Windows Registry und Spuren auf der Dateisystemebene kombiniert werden, um Dateien zu identifizieren, welche auf dem USB-Gerät zum Zeitpunkt des Anschlusses am System lagen.

Die „Volume Serial Number“

Das Betriebssystem Windows erstellt für „Mass Storage Devices (MSC)“ eine „Volume Serial Number“ sobald das USB-Gerät formatiert wird. Diese „Volume Serial Number“ kann in dem Registry-Hive SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt ausgelesen werden. Dieser Hive beinhaltet für jedes Gerät einen Schlüssel, in welchem die Seriennummer und die „Volume Serial Number“ gespeichert ist.

Die in dem Bild dargestellte „USB Unique Serial Number“, also die Seriennummer des Geräts, für den letzten Eintrag lautet 4012700013494 und die „Volume Serial Number“ lautet 1141839789.

Der „Volume Name“

Der „Volume Name“ wird ebenso beim Formatieren des USB-Gerätes neu erstellt und ist in der Windows Registry an zwei Orten gespeichert. In dem Registry Hive SOFTWARE\Microsoft\Windows Portable Devices\Devices ist ebenfalls jedes USB-Gerät mit einem Schlüssel dargelegt, in welchem unter anderem die Seriennummer gespeichert ist. Dieser Schlüssel enthält einen Wert, welcher unter der Variable „FriendlyName“ den „Volume Name“ enthält.

Der zweite Speicherort ist identisch zu dem, von der „Volume Serial Number“. Der „Volume Name“ steht in dem Registry-Hive SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt vor der „Volume Serial Number“ und lautet, im Falle des oben gezeigten USG-Geräts, PHOTOS BACK.

Korrelation der Daten

Nachdem die „Volume Serial Number“ und der „Volume Name“ detektiert wurden, müssen diese Informationen mit weiteren Spuren in Verbindung gebracht werden.

LNK-Dateien werden erstellt, wenn beispielweise eine PDF-Datei geöffnet wird. Die LNK-Datei speichert unter anderem die „Volume Serial Number“ von dem Speichermedium, von dem sie geöffnet wurde.

Bevor der Abgleich der „Volume Serial Number“ stattfinden kann, muss die aus der Registry ausgelesene Nummer vom Dezimalsystem in das Hexadezimalsystem umgerechnet werden. Dadurch entsteht die „Volume Serial Number“ 440F17AD.

Anschließend können die dazugehörigen Dateien, welche die zutreffende „Volume Serial Number“ haben, protokolliert werden.

Auch der RecentDocs Schlüssel aus der Registry kann mit der „Volume Serial Number“ und dem „Volume Name“ korreliert werden. So kann ebenfalls eine Verbindung der geöffneten Dateien und einem bestimmten USB-Gerät festgestellt werden. Jedoch ist dies nur möglich, wenn das USB-Gerät über den Explorer geöffnet wurde.

Feststellung des Schadens

Um bei einem Datendiebstahl feststellen zu können, was für ein wirtschaftlicher Schaden zu erwarten ist, ist es wichtig zu ermitteln, welche Daten entwendet wurden. Wenn das USB-Gerät bekannt ist, mit welchem die Daten entwendet wurden, können über die „Volume Serial Number“ und der „Volume Name“ Dokumente detektiert werden, welche auf dem jeweiligen Gerät vorhanden waren und wie vertraulich sie sind. Anschließend lässt sich daraus ableiten, ob neben dem Datendiebstahl weitere Sicherheitslücken bei der Zugriffsbeschränkung vorliegen. Nicht zuletzt kann über die eindeutige Identifizierung des USB-Geräts möglicherweise der Täter überführt werden.

Der SOFTWARE Hive aus der Windows Registry liefert während einer IT-forensischen Analyse die benötigten Daten und kann somit maßgeblich zum Ergebnis beitragen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.