Liegt ein Arbeitszeitbetrug vor, gilt es nachzuweisen, dass ein Benutzer sich mit betriebsfremden Themen, wie z.B. einem Bewerbungsschreiben beschäftigt hat. Die NTUSER.DAT als Teil der Windows Registry protokolliert verschiedene Aktionen eines Benutzers und lässt sich gut für eine IT-forensische Analyse heranziehen. Sie verrät welche Daten, z.B. Dokumente oder Multimediadateien, geöffnet wurden und gibt Hinweise darauf, ob sich diese auf einem externen Laufwerk befanden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.
Der Inhalt im Überblick
Verdacht auf Arbeitszeitbetrug
Bei einem Mitarbeiter wurden Bewerbungsdokumente für ein anderes Unternehmen gefunden. Zudem befinden sich eine Reihe von Multimediadateien auf dem Home-Laufwerk des Benutzers. Daher besteht der begründete Verdacht, dass der Mitarbeiter während seiner Arbeitszeit Bewerbungen anfertigt und darüber hinaus die Zeit nutzt, um Filme zu schauen. Dieser bestreitet jedoch die Kenntnis oder Verwendung der Daten. Eine Analyse der NTUSER.DAT bietet hier allerdings unter Umständen entsprechende Beweise. Sie stellt die verwendeten Daten eines Benutzers dar und kann somit entweder den Verdacht bestätigen oder aber den beschuldigten Benutzer entlasten.
Zentraler Speicher: NTUSER.DAT
Die NTUSER.DAT befindet sich als versteckte Systemdatei im Ordner des jeweiligen Benutzers unter C:\Benutzer\<benutzer>\NTUSER.DAT.
Darüber hinaus gibt es zwei weitere Dateien mit der Dateiendung .log1 und .log2. Diese dienen als eine Art Zwischenspeicher von Änderungen, bevor diese final in die NTUSER.DAT geschrieben werden. Werden diese bei der Analyse nicht mit einbezogen, gehen unter Umständen die aktuellsten Einträge verloren.
Im Live-Betrieb kann die NTUSER.DAT im Registrierungs-Editor (regedit.exe) unter Computer\HKEY_CURRENT_USER\
betrachtet werden. Da jeder Benutzer eine eigene NTUSER.DAT besitzt, können gefundene Spuren exakt einem Benutzerkonto zugewiesen werden, was für eine IT-forensische Analyse einen absoluten Mehrwert darstellt, da häufig ein Täter identifiziert werden soll. Offline ist das Tool Registry Explorer eine gute Wahl zur Analyse der Datei. Das Tool bringt mehrere Plugins mit, um die Daten zu dekodieren und besser lesbar zu gestalten.
Microsoft Office Dokumente
Microsoft legt für seine Office Produkte eigene Schlüssel in der Windows Registry an. Je nach Version unterscheidet sich der Pfad ein wenig. In den Schlüsseln werden die zuletzt aufgerufenen Dateien und Speicherorte festgehalten. Für Dokumente, die aus nicht vertrauenswürdigen Quellen aufgerufen werden, was standardmäßig alle Orte mit Ausnahme des lokalen Speichers sind, gibt es einen gesonderten Bereich.
Alle Daten liegen grundsätzlich unter NTUSER.DAT\Software\Microsoft\Office\
. Abhängig von der installierten Office Version folgt ein Subschlüssel mit der Versionsnummer. Für Microsoft Office 2016 ist es z. B. 16.0. Am Beispiel von Word 2016 unter Verwendung eines Active Directory-Benutzers würde der vollständige Pfad zu den relevanten Daten lauten: NTUSER.DAT\Software\Microsoft\Office\16.0\Word\User MRU\AD_<ID>\
. Die darunter befindliche File MRU listet die 50 zuletzt verwendeten Word Dokumente auf, die Place MRU die 50 letzten Speicherorte von Dokumenten.
Unter NTUSER.DAT\Software\Microsoft\Office\16.0\Word\
finden sich noch die Schlüssel Reading Locations und Security\Trusted Documents\TrustRecords
. Diese speichern zum einen Orte von geöffneten Dokumenten, bei welchem es sich z. B. auch um Outlook handeln kann, zum anderen Dokumente, die wie oben beschrieben als vertrauenswürdig markiert wurden.
Durch die hier gesicherten Spuren können die Kenntnis sowie die Verwendung der Bewerbungsunterlagen nachgewiesen werden. Nicht zuletzt kann ggf. auch die letzte Position im Dokument bei dessen Schließung nachvollzogen werden.
Weitere Dateien und Ordner
Ein weiterer spannender Schlüssel zum Detektieren von geöffneten Dateien ist NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
. Dieser speichert nicht nur die letzten 150 zugegriffenen Dateien ab, sondern besitzt für jeden Dateityp einen Subschlüssel. Die Anzahl der gespeicherten Dateien je Datentyp kann dabei variieren. Was alle gemeinsam haben, ist ein Eintrag namens MRUListEx. Dieser speichert die Reihenfolge, in welcher die Dateien geöffnet wurden. Aufgerufene Multimediadateien verschiedenster Formate sind hier ebenfalls zu finden und können ein Indiz für alternative Verwendung der Arbeitszeit darstellen.
Ein weiterer Schlüssel, der die geöffneten Dateien verschiedener Datentypen speichert ist NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
. Dieser Schlüssel speichert die Dateien, welche mittels des „Öffnen“ oder „Speichern unter“ Dialoges geöffnet bzw. geschlossen wurden. Je Datentyp gibt es einen Subschlüssel sowie einen MRUListEx Eintrag, anhand welcher die Reihenfolge festgestellt werden kann.
Sammeln weiterer Beweise
Die NTUSER.DAT liefert in jeder Analyse wichtige Erkenntnisse über den Benutzer. Wie zu sehen ist, resultiert aus der Betrachtung der Dokumente und Dateien bereits eine Fülle an verwertbaren Daten. Mit diesen Informationen lassen sich erste Rückschlüsse auf den Verdacht des Arbeitszeitbetruges schließen. Kenntnis über die Dokumente kann durch die ggf. vorgefundenen Spuren im Office Schlüssel belegt werden, ein Konsum von Multimediainhalten durch die RecentDocs. Der Verdacht kann durch die Feststellung der Programmausführungen weiter erhärtet werden.
Und wie bewerten Sie das? Schließlich handelt es sich hier um eine Datenschutz-Plattform, da kann man eine solche Ausspioniererei doch nicht gut heissen. Jedem Leser sei angeraten, sich ein Script zu schreiben, mit dem man all diese Daten vor dem Feierabend feinsäuberlich löscht. Mit einer BAT-Datei kann man das sehr schön automatisieren.
Eine IT-forensische Analyse verfolgt nicht das Ziel Mitarbeiter auszuspionieren. Aus IT-forensischer Sicht können in der Windows Registry wichtige Beweise gesichert werden, um eine Straftat aufzuklären, welche auch erst von IT-Forensikern durchgeführt werden darf, wenn ein begründeter Anfangsverdacht für eine Straftat besteht.
Ein Löschen ist ohne weiteres nicht möglich. Beim Löschen werden die Daten in der Windows Registry zunächst als gelöscht markiert, aber nicht wirklich gelöscht. Erst wenn der Speicherbereich überschrieben wird, sind diese nachhaltig gelöscht. Ein automatisiertes Löschen ohne alle Wechselwirkungen zu kennen würde ich daher nicht empfehlen. Des Weiteren können solche Daten auch bei der Analyse von einem Schadsoftwarebefall von Relevanz sein. Fehlen diese kann dies den Aufklärungsprozess erschweren.
Mir fehlt ein wenig der rechtliche Aspekt. Da gibt es einerseits das BetrVG § 87 und andererseits die EU-DSGVO oder das BDSG (neu), die möglicherweise auch beachtet werden sollten.
Vielen Dank für den informativen Beitrag! Für den Datenschützer wäre es natürlich besonders interessant zu erfahren, ob und wenn ja unter welchen Umständen dieses Tool zum Einsatz kommen darf bzw. die ermittelten Daten verwertbar sind (z.B. nur bei Vorliegen von Verdachtsmomenten).
Über die strafrechtliche Zulässigkeit unternehmensinterner Ermittlungen gegen verdächtigen Mitarbeiter haben wir bereits im Beitrag „Macht sich der private IT-Forensiker bei seinen Ermittlungen strafbar?“ geschrieben.
Zudem hat der Kollege Dr. Carlo Piltz in seinem Blog kürzlich ein Urteil des BAG zusammengefasst, welches sich mit der datenschutzrechtlichen Frage nach der Verwertung von computerforensisch ausgewerteten Dateien eines Dienstrechners beschäftigt.
Guten Tag, gibt es eine Möglichkeit die Inhalte der Files zu löschen
Ich will meine Liste der aufgerufenen Dateien 2019 lesen!