Spion im Computer oder nur Datenklau durch den Admin?

Ich habe folgendes Problem. Ich habe meinen Computer am 7 Februar um 10:45 Uhr verlassen und den Computer in Ruhestellung versetzt. Ich bin um 13:45 Uhr zurück gekommen und wollte mich wieder anmelden, mein password zeigte jedoch keine Funktion mehr, ich konnte den Computer nicht mehr starten. Der Admin ist dann um 18 Uhr gekommen und hat meinen Computer wieder in Gang gebracht, ich habe jedoch viele Daten und auch meine Login Daten in meine email accounts verloren. Alle meine Emails in Outlook und alle Adressen dort waren gelöscht, auch meine Zugangsdaten zu T-online um meine emails ins outlook zu bekommen. Ich habe auch alle anderen logins verloren da meine login daten für Skype, MSN und Yahoo natürlich auf dem Computer waren. Zwei Tage lang habe ich alle Daten and files geprüft und war schockiert, viele files waren neu angelegt in der Zeit wo ich außer Haus war. Für mich ist vollkommen klar dass der Admin meines computers das gemacht hat und der Eingriff nicht über das Internet erfolgt ist. Der computer war ja zum Zeitpunkt wo viele Files erstellt wurden nicht online.

Es handelt sich bei diesem admin nicht um meinen Admin, oder den Admin eines Unternehmens. Dieser Admin ist der Freund einer Geschäftspartnerin, also nicht in irgend einer Form mit mir verbunden, auch durch keinen Vertrag. Ich habe ihm die Möglichkeit gegeben sich als Admin vor Monaten auf meinem Laptop zu etablieren da ich viel auf Reisen bin und einmal seine Hilfe benötigt habe mit remoute control über MSN. Ich habe viele sensible Daten auf meinem Laptop und bin zurzeit im Haus dieser Partnerin und diese Daten und emails und Adressen sind hoch interessant für Sie. Das zur Verständigung des Hintergrundes. Ich nehme einfach an dass man mich aus dem Haus gelockt hat and dass Sie dann mit ihrem Freund diese Freundlichkeit begangen hat um an diese Daten zu kommen. Die ganz einfache Frage, vielleicht nicht ganz einfach ist, wurde es auf diesem Wege wie ich glaube gemacht, oder besteht noch eine andere Möglichkeit? Ich jedenfalls kann beweisen dass mein Laptop in der Zeit wo ich abwesend war, manipuliert wurde and Daten abgemolken, vernichtet und zerstört wurden. Dass mein Password und mein Zugang zu meinem Laptop gestoppt wurden.
Ich hätte gerne eine kompetente Hilfe und Erklärung zu meiner Theorie.

 

1. reicht ein beschädigtes Profil, dass das, was Du beschreibst, passiert
2. warum sollten diese Leute Dir ein Chaos hinterlassen, statt den ganzen Krempel einfach unbemerkt zu kopieren?
3. warum lässt Du Deine Kiste überhaupt da, wenn die Umstände wie von Dir beschrieben sind?

 

Wenn ich Daten klauen wollte, würde ich dafür sorgen, dass der Beklaute nichts merkt - d.h. an seinem Rechner tunlichst nichts verändern, was Verdacht erzeugen könnte - zumal wenn ich, wie in deinem Fall, einen Adminzugang zum System hätte. Wenn du berechtigten Verdacht auf eine Straftat hast, geh zum Anwalt und lass die Finger von dem Rechner.

 

Die Anwort ist relativ einfach von meiner Seite und auch eindeutig, ich hatte einfach zu viel Vertrauen. Ich kann nicht meinen Laptop immer mitnehmen (auf einen Bummel über den Markt in Brüssel) und habe auch nicht an eine solche Schweinerei gedacht, so etwas liegt mir fern. Richtig ist was von euch gesagt wird, warum zerstört man und vernichtet meine Daten und schafft sich auch noch Zugang zu meinen email accounts dass ich mich da auch nicht mehr einloggen kann. Ganz einfach die Antwort, weil man nicht will dass ich kurzfristig wieder arbeitsfähig bin und man die Daten und Klienten selbst verwerten will. Aber keiner hat eine klare Antwort auf meine Frage gegeben. Ist es möglich dass man diese Veränderung machen kann ohne dass der Laptop online ist? Wie gesagt ich sage nein, es ist an meinem Laptop selbst gemacht worden. Ich habe heute das meiner Partnerin gesagt dass ich der Überzeugung bin dass das alles durch Sie veranstaltet ist. Sie hat gesagt dass das von USA gemacht wurde online, das hätte ihr Mann festgestellt. Ich kann darüber nur lachen obwohl nichts zum lachen für mich ist jetzt.

 

In einem solchen Fall wäre ich in 10 Minuten wieder arbeitsfähig - in dem ich das Backup meiner ach so wichtigen Daten her nehme und dieses auf ein Zweitsystem einspiele *). Davon muss auch ein Datendieb immer ausgehen (bzw. er weiß aus sicherer Quelle, dass es keine Sicherung gibt) - aber egal.

Mei, wir haben den Rechner nicht vor uns und wissen nicht, ob deine Zustandsbeschreibung wirklich so zutrifft - darüber zu spekulieren und entsprechende Schlussfolgerungen sind sinnfrei. Nochmal: geh zum Anwalt oder zur Polizei.



*) naja, eigentlich nicht, da sich auf meinem Notebook keine Geschäftsdaten physikalisch befinden, sondern nur bei Bedarf per VPN aus dem Büro geholt werden. Wobei die Zugangszertifikate auf einem USB-Stick sind, welchen ich immer getrennt vom Notebook mitnehme - d.h. selbst wenn mein Notebook geklaut und die Festplatte geknackt würde, kann der Dieb damit nichts anfangen. Nur mal so als Lösung für die Zukunft

 

Ja du hast Recht, ich gehe zur Staatsanwaltschaft und stelle eine Strafanzeige, das ist klar. Ich wollte nur vorab einige Meinungen von Experten einholen, das war alles. Der Rechtsweg ist mir bekannt.

 

Und gibst damit eventuell deinem Arbeitgeber was in die Hand gegen dich vor zu gehen, da Du fahrlässig die Daten vor dem zugriff Unbefugter nicht verhindert hast.....da Rechner ungeschützt und Datein nicht gesichert....würd sagen Dum gelaufen

 

Du hast ja vollkommen Recht, mein letztes backup habe ich leider vor Weihnachten gemacht und es immer wieder verschoben ein neues zu machen, war ja ständig auf Reisen. Ich hatte immer die separate Festplatte vergessen, auch das archivieren der emails war zu diesem Zeitpunkt, aber ich habe nie mit so etwas gerechnet. Jetzt wird mein Rechner immer nur das notwendigste auf der Platte haben alles andere ist auf einem USB Stick und immer mit mir, ich habe gelernt wenn auch mit vielen Problemen jetzt.

 

Es hángt davon ab - wie die daten in deiner PC gewischt worden sind.
Vielleicht sind die nämlich noch zu rekonstruieren!

 

Abraham lese doch erst pls den Thread....sag nur noch von mir hättes eine Abmahnung gegeben.............

 

Lieber Abraham ich spreche hier über wichtige Probleme, ich habe in den letzten 40 Jahren meines Schaffens nie einen Arbeitgeber gehabt, ich war immer Arbeitgeber. Deshalb war es mir auch nicht so wichtig mich mit solchen Überlegungen auseinander zu setzen. Das als kurzer Hinweis.

 

Ich denke auch Abraham dass alle Daten nur auf meinem Computer durch den Admin geschoben wurden und dass viele files in Window nur umgeschrieben wurden. Er hatte auch gar nicht die Zeit alles auf eine andere Festplatte zu kopieren. Ich sehe dass jeder meiner Arbeitsschritte festgehalten und berichtet wird, alle meine Order haben eine Verknüpfung mit dem Admin. Was ich auch feststellen kann ist dass ich auf meinem Laufwerk D, 90GB belegt habe, ich selbst als neuer User auf meinem Computer benutze aber nur 10GB. Mein altes Nutzerprofil ist gesperrt und dann als "old" bezeichnet. Ich bin deiner Meinung dass hier jede Menge meiner Daten vorhanden sind und nur verschoben aber nicht verloren sind. Wie kann ich prüfen was sich auf meinem Laufwerk D befindet? Ich bin sicher dass er dort eine neue Partition gemacht hat und dort Daten liegen. Wie kann ich da was sehen?

 

ich bezweifle mal dass der "admin" viel mehr getan hat als (zugegebenermaßen recht dilettantisch) windows neu zu installieren. natürlich sind dann deine alten daten erstmal nicht zugänglich - sie gehören ja noch dem alten, jetzt toten benutzer.
wie wärs mal für den anfang, den besitz der dateien zu übernehmen?

 

Wie schon gesagt reicht ein beschädigtes Benutzerkonto aus um sämtliche Einstellungen, wie von dir beschrieben, über den jordan zu schicken.
Du hast auch gesagt du kannst eindeutig Beweisen, das dein PC manipuliert wurde. Wie stellst du das an?
Schau auch mal in die Ereignisanzeige ob sich da etwas findet.

Ein Scrennshot von der Datenträgerverwaltung wäre vielleicht noch interessant.

Erklär das bitte mal genauer.

Wenn dieser "Admin" wirklich so dermaßen auffällig arbeitet, möchte ich lieber niemals in dieses Unternehmen geraten

 

Um heraus zu finden, was gemacht wurde, würde ich zu einem Fachanwalt und/oder (siehe auch unten) zur Polizei gehen oder je nach Computer-Kenntnis es selber machen und die ganze Festplatte mit einer Live-CD/DVD z. B. Knoppix im Forensic - Modus auf eine zweite Festplatte, am besten gleich große oder größere Festplatte kopieren (Quellaufwerk nicht mounten,z. B. dd if=/dev/old_disk of=/dev/new_disk conv=noerror, sync). Dann must du aber auch noch die Prüfsummen der Festplatte mit auslesen, bzw. einen md5-hash vom beiden Festplatten erstellen. Diese müssen übereinstimmen (Da ich einen md5-hash noch nicht selber erstellt habe, müsstest du wenn du es selber machen möchtest im Internet danach recherchieren, würde dir aber raten, wenn du dich nicht etwas mit der Linux-Kommandozeile / Terminal auskennst, dieses von einer Fachfirma oder Polizei (wenn du einen Straftatenverdacht hast) machen lassen.
Dann die eingebaute ausbauen (oder ausbauen lassen, je nach Fachkenntnisse) und die kopierte Festplatte einbauen.
Das hat den Vorteil, dass du die originale Festplatte unverändert als Beweismittel für evtl. Verfahren hast und man dir nicht vorwerfen kann, etwas, wenn auch unbeabsichtigt, manipuliert zu haben.

Dann mit dem Programm BTF-Sniffer nachschauen, was wann zuletzt am Notebook gemacht wurde. Vielleicht bist du dann schon schlauer.

Wenn du mit einer Live-CD/DVD gebootet hast, kannst du dir auch den old-Ordner anschauen und sehen, was darin ist.

 

Ich würde ganz einfach mal nach den Benutzerkonten schauen und mich mit dem ursprünglich verwendetem wieder anmelden.

Denn wenn ich sehe, daß ALLE Zugänge auf Null gesetzt wurden und keinerlei Daten mehr da sind (was ich bezweifle), dann gehe ich davon aus, daß der "Admin" zur "Problemlösung" ein neues Userkonto angelegt hat und den User dann im Stich gelasen hat.

Selbst bei einem defekten Benutzerkonto wären nicht ALLE EInstellungen flöten.

Wenn der Admin natürlich so "clever" war, wie es hier den Anschein hat, hat er das vorhandene Konto gelöscht und eins mit gleichem Namen angelegt.
Damit wären dann die Daten wirklich flörten.

Kein Mensch, der böswillig auf Daten aus ist, würde Spuren derlei Art hinterlassen, der Staatsanwalt wird sich kräftig einen Lachen, wenn er das hört...

Wobei sich mir auch wieder die Frage stellt, wie zum Teufel ein User einem Firmenfremden Adminberechtigungen für ein Firmennotebook geben kann.
Oder wieso ein User überhaupt Adminrechte hat.

Diese Fragen werden sicher auch einen Staatsanwalt interessieren.
Weil grob fahrlässiger kann man Datenschutzbestimmungen nicht aushebeln...
Und der Umgang mit mobilen Geräten ist klar gesetzlich geregelt...



EDIT
Ich habe gerade erst gesehen, daß das alte Profil unter .old abgespeichert wurde.
Da haben wir es doch ^^
Alle Daten und Einstellungen sind vorhanden, wenn man sich wieder mit dem richtigen Konto anmeldet ^^
Soviel zum Thema Staatsanwalt...

 

IMO geht es hier um eine One-Man-Show und um keinen Angestellten einer Firma. Zudem scheint er seinen "Partnern" freiwillig einen Adminzugang zu seinem Notebook eingerichtet zu haben. Der Rest der Geschichte... nunja...

 

Noch nicht wirklich.
Dieser "Admin" hat ein neues Benutzerkonto angelegt.
Nach Erstanmeldung somit auch ein neues, leeres Benutzerprofil.
Dann hat er "vergessen", die Daten aus dem Originalprofil zu übernehmen.
Unverantwortlich, einen User mit solchen Eckdaten allein zu lassen und ihn Blut und Wasser schwitzen zu lassen.

Aber ich denke, wir stimmen da ziemlich überein:
Nicht jeder, der sich als Admin darstellt, verdient diese Bezeichnung wirklich...

 

Glaskugel: Wenn ich den TO richtig verstehe, gibt es keinen Admin (sprich: einen legitimierten verantwortlichen IT'ler, der sich um sein Gerät kümmert) sondern selbiger - also die Person, welcher er einen Adminzugang eingerichtet hat - hat sich ohne die Erlaubnis des TO an seinem Rechner zu schaffen gemacht. In der Summe also erst mal kein technisches, sondern ein rechtliches Problem, wo jedes Benutzen des Systems Spuren beseitigen kann. Ob wir es nun wirklich mit einer Straftat oder einem simplen Bedienerfehler zu tun haben, wird wohl nur durch eine Begutachtung des Gerätes zu klären sein. Dazu ist aber weder der TO noch das Forum in der Lage - schon gar nicht für eine rechtliche Verwertung des Ergebnis.

 

Nö.
Ich fasse mal zusammen:
Rechner bootet, erlaubt keine Anmeldung mehr, "Admin" wird zur Hilfe gerufen, stellt eventuell fest, daß das Profil defekt ist, benennt das Originale in .old um und legt ein neues an. User meldet sich an, das läuft, Admin verpißt sich und später stellt User dann fest, daß seine Daten "weg" sind.

Logisch waren die Daten weg, da sie vom alten Profil nicht ins neue übernommen wurden.

Nix rechtliches und auch nix technisches, einfach nur entweder Unkenntnis des Admins oder mangelnde Dienstleistungsbereitschaft.

Das geht bisher aus dem Thread hervor, wenn man mal alle unnützen Angaben und sinnlosen Kommentare herausstreicht.