Windows Softwareupdates sind wichtig! Darüber lässt sich nicht streiten. Doch in einigen Situationen, wie bei einem Datendiebstahl, wird die Aufklärung des Vorfalls deutlich durch diese erschwert. Welche Problematiken einen IT-Forensiker bei der Analyse nach einem Softwareupdate erwarten werden in diesem Artikel beschrieben.
Der Inhalt im Überblick
Szenario: Kriminelle Mitarbeiter
Jedes Unternehmen sollte sich bereits Gedanken über das Szenario gemacht haben, dass ein Mitarbeiter einen Datendiebstahl begeht. Ein Beispielsfall zur Veranschaulichung:
Ein Vertriebsmitarbeiter verlässt das Unternehmen. Kurze Zeit später melden sich Kunden, dass sie von der Konkurrenz unaufgefordert Angebote zugeschickt bekommen. Zudem würden diese doch sehr ähnlich zu Ihren aussehen. Es erhärtet sich der Verdacht, dass der ehemalige Mitarbeiter die Daten des Unternehmens verwendet, um Kunden für den neuen Arbeitgeber oder sich selbst zu gewinnen.
An dieser Stelle sollte man den Laptop des ehemaligen Mitarbeiters so lassen wie er ist und an IT-Forensiker übergeben, damit diese den Vorfall untersuchen. Durch eine genaueste Analyse des Geräts wird der Verdacht überprüft, ein möglicher Schaden quantifiziert und kann dann gegenüber dem Schuldigen geltend gemacht werden.
Die Neugier siegt jedoch meistens. Der Laptop wird hochgefahren, um zu gucken, ob nicht doch eigenständig Informationen über den Vorfall gesammelt werden können. Meist unbedacht bleibt dabei die Verbindung zum Internet. Beim Herunterfahren gibt’s dann die Überraschung: „Aktualisieren und Herunterfahren“. In der verstrichenen Zeit wurde ein neues Softwareupdate von Windows heruntergeladen und zwingt unsere Hobbydetektive nun, dies zu Installieren.
Der Segen
Im laufenden Betrieb ist es gut, dass Windows die Benutzer dazu zwingt, regelmäßig die Updates zu installieren. Denn viel zu oft hat der Durchschnittsnutzer „keine Zeit“ und verschiebt manuelle Updates ein um das andere Mal. Dadurch werden dann Sicherheitslücken nicht geschlossen, Fehler nicht behoben und auch neue Features verpasst der Nutzer.
Bei den großen Upgrades von Windows 10 wird zudem ein Windows.Old Ordner erstellt. Dieser enthält Dateien, mit deren Hilfe zu der vorherigen Windows-Version zurückgekehrt werden kann. Jedoch wird dieser Ordner nach 10 Tagen automatisch vom Computer gelöscht.
Der Fluch
Aus der Sicht eines IT-Forensikers gleicht das automatische Windows Update eher einem Fluch. Denn dabei werden jede Menge Zeitstempel neu geschrieben. Vor allem in der Windows Registrierungsdatenbank (Registry). Aus genau dieser Datenbank können viele Informationen über die Tätigkeiten eines Benutzers gewonnen werden.
USB-Nutzung
Unter anderem werden dort alle angeschlossenen USB-Geräte mit mehreren Zeitstempeln gespeichert. Auch werden Dokumente den Datenträgern zugeordnet. Durch den Zeitstempel, wann das USB-Gerät zuerst und zuletzt angeschlossen wurden, können Rückschlüsse über die Normalität der Bewegungen geschlossen werden. Ein USB-Gerät zum Beispiel, welches an nur einem Tag kurz vor dem Ausscheiden des Mitarbeiters verwendet wurde, wird als Auffälligkeit notiert und in der weiteren Analyse genauer betrachtet. Generell erfolgt eine enge Abstimmung mit dem Auftraggeber, um zu ermitteln, welche Betriebsmittel im Betrieb verwendet werden und welche ggf. auf Eigeninitiative des Anwenders eingesetzt wurden.
Wenn diese Spuren durch ein Windows Update überschrieben werden, wird es äußerst schwierig eine Verbindung zwischen der Nutzung des USB-Geräts und der Dokumente herzustellen, welche auf dem Speichermedium lagen oder kopiert wurden.
Ordnerzugriffe
In der Registry werden unter anderem auch Zugriffe auf Ordner gespeichert. Darüber kann nachvollzogen werden, ob der ehemalige Mitarbeiter sich noch einmal im gesamten System umgesehen hat und welche Inhalte möglicherweise noch entwendet wurden. Es kann eine zeitliche Einordnung der Bewegungen des Benutzers erstellt werden.
Werden diese Spuren durch ein Windows Update verändert und die Zeitstempel neu datiert, tragen diese Informationen nicht mehr zur Aufklärung des Vorfalls bei. Die Spuren wurden unwissentlich vernichtet.
Das Ende der Geschichte vom Datendiebstahl…
Windows Updates sind eine tolle Sache und sichern die aktive Arbeitsumgebung ab. Sollten jedoch Bewegungen von einem Mitarbeiter aufgrund eines Verstoßes nachvollzogen werden müssen, ist es wichtig, dass das Gerät nicht weiterverwendet oder erneut eingeschaltet wird.
Durch jede weitere Interaktion auf dem System werden neue Spuren generiert und alte vernichtet. Und wenn das System doch weiterverwendet wurde und ein Windows Update erzwungen wird, ist es nahezu unmöglich den genauen Tathergang zu rekonstruieren und den Verantwortlichen zur Rechenschafft zu ziehen.
Inwieweit ist es denn mit dem Datenschutz vereinbar, dass über diverse Windowsprotokolle sämtliche Bewegungen eines Benutzers nachvollzogen werden können? Entsteht dadurch nicht ein permanenter Überwachungsdruck der den Benutzer in seinem Persönlichkeitsrecht bzw. Recht auf informationelle Selbstbestimmung verletzt?
Sie machen mit Ihrer Frage auf einen interessanten Punkt aufmerksam, da es hier um das Konkurrenzverhältnis von Sicherheit (Art. 32 DSGVO) und Datenschutz / -sparksamkeit (Art. 5 DSGVO) handelt. Viele Logfiles lassen wichtige Analysen im positiven Sinne der Datensicherheit zu, die auch Teil des Datenschutzes sind. Allerdings können sie im negativen Sinne auch zu einer Überwachung führen. Um diesen Konflikt aufzulösen kann die folgende Formel dienen: Alle möglichen und sinnvollerweise auswertbaren Logfiles sollten für einen ausreichend langen Zeitraum erhoben und gespeichert werden. Lieber mehr als weniger. Allerdings ist beim Zugriff auf diese Informationen streng darauf zu achten, dass dies nur für zuvor festgelegte Zwecke durch in einem Berechtigungskonzept festgelegte Personen möglich ist. Hier allerdings lieber weniger als mehr.