Zum Inhalt springen Zur Navigation springen
IT-Forensik: Datenabfluss über Microsoft OneDrive feststellen

IT-Forensik: Datenabfluss über Microsoft OneDrive feststellen

Microsoft OneDrive ist einer der meistgenutzten Cloud Speicher Anwendungen, da diese standardmäßig auf jedem Windows Betriebssystem installiert ist. Microsoft OneDrive wird von privaten Anwendern als auch von Unternehmen genutzt, um Daten in die Cloud hochzuladen. Demnach ist es für IT-Forensiker von großem Interesse, die Cloud Anwendung als mögliche Datenquelle analysieren zu können. Wie eine Analyse von Microsoft OneDrive aussehen kann und wozu sie vorgenommen wird, zeigt dieser Beitrag.

Analyse von Microsoft OneDrive mithilfe des Registry Explorers

Mithilfe des Registry Explorers kann im ersten Schritt überprüft werden, ob Microsoft OneDrive von der Windows Workstation überhaupt genutzt wird. Hierfür muss man den folgenden Registry Key untersuchen:

NTUSER\Software\Microsoft\OneDrive\Accounts\Personal

In dem Key findet man Informationen darüber, in welchem Ordner die Dateien in die Cloud synchronisiert werden, die für die Anmeldung bei OneDrive genutzte E-Mail-Adresse und einen Zeitstempel, der aussagt, wann sich das letzte Mal in Microsoft OneDrive angemeldet wurde. Wenn keine Einträge in dem Personal-Key zu finden sind, dann wurde OneDrive auf dem System nicht genutzt. Sind Einträge in dem Key vorhanden, ist davon auszugehen, dass der Benutzer Microsoft OneDrive auf dem System benutzt hat.

Um tiefer in die Analyse einzusteigen, können die Microsoft OneDrive Konfigurationsdateien untersucht werden. Diese werden erstellt, sobald Microsoft OneDrive von dem Benutzer auf dem System genutzt wird.

Analyse der Microsoft OneDrive Konfigurationsdateien

Wichtige Konfigurationsdateien sind die <UserCid>.dat und die SyncDiagnostic.log. Beide Dateien sind unter folgendem Pfad zu finden:

%UserProfile%\AppData\Local\Microsoft\OneDrive\settings\Personal

Mithilfe der <UserCid>.dat lässt sich bestimmen, wann die letzte Synchronisation der Daten in die OneDrive Cloud stattfand. Neben der letzten Synchronisation Zeit wird auch dargestellt, welche Daten hochgeladen wurden. Um eine genaue Größenordnung zu haben, zeigt die <UserCid>.dat auch an, wie groß die Daten sind.

Die <UserCid>.dat zeigt dabei nur die Dateien an, die zuletzt synchronisiert wurden. Um einen historischen Einblick zu kriegen, welche Dateien hochgeladen wurden, gibt es die Datenbank <UserCid>.dat.previous, die Dateien anzeigt von letzten Synchronisationen in die OneDrive Cloud.

Das SyncDiagnostics.log gibt nicht nur die Datei an, die in die OneDrive Cloud synchronisiert wurde, sondern gibt zusätzlich die Metadaten der Datei an. Das heißt man kann ablesen, wie groß die Datei war, wann die Datei zuletzt geändert wurde und wann die Datei auf dem Windows System erstellt wurde. Der Vorteil von SyncDiagnostics.log gegenüber der <UserCid>.dat ist, dass sie nicht nur die Dateien auflistet, die zuletzt synchronisiert wurden, sondern auch Dateien von letzten Synchronisationen werden aufgelistet.

Auslesen der Konfigurationsdateien

Die Konfigurationsdateien, können nicht einfach geöffnet werden, man brauch spezielle Tools, die das Auslesen der Dateien ermöglichen. Eines der Tools nennt sich bstrings.exe. Das Tool stammt von Eric Zimmerman, der bereits mehrere IT-forensische Tools wie zum Beispiel den Registry Explorer entwickelt hat.

Anwendung des Tools:

bstring.exe -f  <UserCid>.dat

Das Tool kann über die Kommandozeile ausgeführt werden. Das -f stellt dar, dass im Folgenden nur eine Datei verarbeitet werden soll. Nach dem -f wird spezifiziert, welche Konfigurationsdatei ausgelesen werden soll. In dem Anwendungsbeispiel wird die <UserCid>.dat ausgelesen. Man gibt dabei den Pfad an, wo die <UserCid>.dat im Benutzerordner liegt.

Sobald man den Befehl ausgeführt hat, wird einem in der Kommandozeile alle Informationen, die sich in der <UserCid>.dat befinden, angezeigt. Durch die dargestellte Analysemöglichkeit lässt sich schnell identifizieren, ob auf dem System Microsoft OneDrive genutzt wurde.

Anzeichen für Datenabfluss oder illegaler Privatnutzung

Insgesamt lässt sich feststellen, dass trotz der relativen Neuheit von Cloud-Diensten es Möglichkeiten gibt, an diesen eine IT-forensische Analyse durchzuführen. Vor allem die verschieden Logs bilden eine verlässliche Datenquelle. Mithilfe dieser ergeben sich für den IT-Forensiker Anhaltspunkte für folgende Delikte:

Gerade bei einem vermuteten Datenabfluss von Geschäftsgeheimnissen kann sich durch eine OneDrive Analyse schnell Gewissheit einstellen, da man – wie im Beitrag gezeigt – unter Umständen die E-Mail Adresse des Angreifers sowie das Datum, zu dem der Datentransfer aus dem Unternehmen stattfand, identifizieren kann. Damit es soweit erst gar nicht kommt, sollten sich Unternehmen, im Rahmen der Data Loss Prevention (DLP), schon vor einem konkreten IT-Sicherheitsvorfall mit dem Thema auseinandersetzen und gewisse Schutzmaßnahmen treffen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.