Spion im Computer oder nur Datenklau durch den Admin?

...

 

Ich sagte ja, alle sinnlosen Kommentare herausnehmen.

Wenn ein Satz beginnt mit:
"Ich nehme an..."
dann ist das für mich kein Fakt, sondern ein sinnloser Kommentar, da einfach nur eine Vermutung.

Fakten sind für mich:
"Ich bin um 13:45 Uhr zurück gekommen und wollte mich wieder anmelden, mein password zeigte jedoch keine Funktion mehr, ich konnte den Computer nicht mehr starten. Der Admin ist dann um 18 Uhr gekommen und hat meinen Computer wieder in Gang gebracht, ich habe jedoch viele Daten und auch meine Login Daten in meine email accounts verloren."

und

" Mein altes Nutzerprofil ist gesperrt und dann als "old" bezeichnet."

Alles andere ist Geschwafel und Vermutungen...

 

Da steht aber auch
--Zwei Tage lang habe ich alle Daten and files geprüft und war schockiert, viele files waren neu angelegt in der Zeit wo ich außer Haus war. Für mich ist vollkommen klar dass der Admin meines computers das gemacht hat und der Eingriff nicht über das Internet erfolgt ist. Der computer war ja zum Zeitpunkt wo viele Files erstellt wurden nicht online.---

Soviel zu Geschäftlich genutzten Rechner mit Geschäftsdaten, ob auch Kundendaten?....man lässt ihn einfach im Ruhe zustand......
Datensicherung wozu kann man ja machen wenn Kind im Brunnen liegt....

 

Es ist immer einfach, als User, der die technischen Gegebenheiten nicht kennt, über jemanden herzuziehen und ihn zu diskreditieren.

Solange TO keinen Blick in das alte Profil geworfen hat, um seine Daten zu lokalisieren, ist alles andere an den Haaren herbeigezogen.

 

Full ACK. Ist euch eigentlich schon aufgefallen, dass sich der TO seit Tagen nicht mehr gemeldet hat? Eigentlich kein Wunder, denn das Gelaber aus dem heimeligen Sessel, wie doof sich der TO angestellt habe, hilft ihm nicht wirklich weiter. Wir wissen die Hintergründe für das Verhalten nicht genau und müssen uns daher mit "dumm gelaufen" zufrieden geben.

Nach der Schilderung des TO liegt der Anfangsverdacht einer strafbaren Datenveränderung (§303a StGB) und der Computersabotage (§ 303b StGB) vor. Der Umstand, dass es der TO den eventuellen Tätern sehr einfach gemacht hat, bleibt erst einmal bei der Tatbestandsprüfung außen vor und wäre bei der Schuld, d.h. einer etwaigen Strafzumessung zu berücksichtigen.

Ich hätte daher den Laptop, ohne ihn noch mal anzufassen zur Polizei gebracht und das weitere Vorgehen dort abgestimmt.

 

Nö.
Nicht einmal ansatzweise.
Wo denn?

Er hat den Admin geholt, um den Zugang zum Rechner wiederzubekommen, genau DAS hat der Admin getan, indem er einen neuen User angelegt hat (und somit ein neues Userprofil), dann hat er leider nur versäumt, dem TO die Daten aus dem alten Profil zu kopieren oder ihn darauf aufmerksam zu machen, daß ein neues Profil eben leer ist.

Das ist in keinster Weise eine Straftat.
Und das bei der Generierung eines neuen Profils massig neue Dateien erzeugt werden, ist wohl jedem klar, der sich ein wenig mit Windows auskennt.

Alles andere, was der TO geäußert hat, ist wüst an den Haaren herbeigezogen und entbehrt jeglicher Grundlage.

Die genannten FAKTEN sprechen gegen Computersabotage.
Darum habe ich sie ja noch einmal kurz zusammengetragen und habe das irrelevante und uninteressante weggelassen.

Im technischen Troubleshooting ist ein"ich nehme an" oder ein "vielleicht" nicht wichtig und kann ignoriert werden.
Man sollte immer erst einmal die technischen Punkte aus dem Gestammel eines Users extrahieren, meist hat man dann schon einen Lösungsansatz.

Es ist nun mal, von der technischen Seite, völlig normal, daß die Daten eines users X für einen User Y nicht zu sehen sind.
Ganz besonders, wenn der User Y keine technischen Hintergründe mitbringt, um zu wissen, WO die Daten denn genau liegen.
User X ist in diesem Fall der User mit der Endung .old und User Y ist der neu angelegte User.

Und solange der User Y (TO) sich nicht einfach mal die Mühe macht, einen Blick in das alte Profil zu werfen, kommt er eh keinen Schritt weiter.

Genau, um Dich dann richtig auslachen zu lassen, weil sich die Daten ganz sicher im alten Profilordner befinden ^^
Oder weil Du ein mobiles Gerät, mit geschäftlichen Daten, ohne sicheres Paßwort und sicherer Verschlüsselung irgendwo ungesichert herumliegen läßt...

Ja nee, ist klar...


Machen wie es doch ganz einfach:

@ TO

1. Öffne den Windows Explorer und navigiere nach C:\Dokumente und Einstellungen (XP) oder C:\Users (Vista/7) und liste bitte hier alle Ordner, die sich darin befinden

2. Rechtsklick auf den Arbeitsplatz --> Verwaltung, Lokale Benutzer und Gruppen, Benutzer und liste hier alle Benutzer, die darin zu finden sind

Danke

 

@ A.D:
Das klingt ziemlich überzeugend, wenn du nicht den Fehler machen würdest, dir den Sachverhalt so zurechtzubiegen, wie du ihn haben möchtest (typischer Anfängerfehler, machen unsere Schüler auch am laufenden Band). Zunächst einmal musst du davon ausgehen, was dir mitgeteilt wird, ohne rumzuspekulieren.

Was wissen wir vom TO, ohne unsere Fantasie zu bemühen?

Er lässt das Gerät im "Ruhezustand" zurück. Als er wiederkommt, stellt er fest, dass er mit seinem PW sein Benutzerkonto nicht mehr aufrufen kann. Er ruft den sogenannten Admin, der ein neues Profil anlegt. Anschließend stellt er fest, dass während seiner Abwesenheit (und nicht, nachdem der Admin kam) viele Dateien neu angelegt waren:
Z

So, das ist erst einmal der Sachverhalt, da sollte man nichts nach Belieben rein- oder rausdeuten. Insbesondere verbietet sich die Unterstellung, der TO habe ja eh keine Ahnung und bestimmt war alles ganz anders. Das wissen wir nicht.

Da sich Paßwörter nicht im "Ruhezustand" von alleine ändern und der PC auch nicht von sich aus jede Menge neue Dateien im "Ruhezustand" anlegt, ist ein strafrechtlicher Anfangsverdacht gegeben, der sich natürlich auch als unbegründet herausstellen kann.

Aber was soll's. Eigentlich diskutiere ich in meiner Freizeit nicht gerne mit Laien über juristische Fragen. Lassen wir unsere Meinungen mal so stehen. Die Frage ist inzwischen sowieso akademisch geworden.

 

Plonk

Plonk

 

Für mich ist das interessant
--und war schockiert, viele files waren neu angelegt in der Zeit wo ich außer Haus war.----

Jedenfalls kann er Daten lesen....
Die frage ist war das der Zeitraum wo der Rechner dössiger weise Unbeaufsichtigt war, oder bezieht er sich auf den Zeitraum wo der in " Admi" daran gebastelt hat?

Wenn ja doppelt leichtfertig, da zu erst laufen lassen, und dann jemanden der nix mit der Firma zu tun hat, wieder ohne Aufsicht übergeben...

Da kann man ja Gleich seine Geschäftsdaten an eine Plakatwand pappen,,,,

 

Für mich nicht.
Selbst wenn man mal davon ausgehen will, daß jemand Datenklau betreiben will (was ich immer noch für hanebüchen halte), wer kommt dann auf die Idee, massenweise neue Daten anzulegen?

Normalerweise kopiert man sich die Daten und verkrümelt sich.
Nicht einmal ein Verschieben käme in Frage.

Leg doch Spaßes halber mal einen neuen User an und laß ein neues Profil erstellen...

Unter Windows 7 ergibt das:
- 167 neue Dateien, 105 Ordner
- 21,8 MB

nur nach der ersten Anmeldung!
Und für jede Software, die Einträge im Userprofil macht, wächst diese Zahl weiter.

 

Richtig
ob Daten weg oder nicht spielt keine Geige.....
Aber der Leichtsinnige Umgang damit schon, und der TO kann glücklich sein das der Name der Firma nicht genannt wird....Denn bessere negativ Werbung kann man nicht machen.
Und das da grob Fahrlässig gegen Datenschutzbestimmungen verstoßen wurde steht außer zweifel.

 

Der leichtsinnige Umgang steht ja außer Frage und daß auch ich das total bescheuert finde, wohl auch.

Das ändert aber nichts an den technischen Punkten und ständig darauf herumzureiten hilft auch nicht weiter.

Ich denke, TO hat es inzwischen verstanden...

 

War mir schon klar, dass du das nicht hören wolltest...

 

Noch einmal zusammengefaßt, mit Erklärungen, damit selbst Anfänger das Problem nachvollziehen können und Laien mal überlegen können, warum überhaupt kein rechtlicher Beistand nötig ist.
Viel einfacher kann man es nun wirklich nicht mehr darstellen.
Also:

Ich habe meinen Computer am 7 Februar um 10:45 Uhr verlassen und den Computer in Ruhestellung versetzt.

Okay, Herunterfahren wäre die bessere Lösung gewesen, da das Aufwecken aus dem Ruhezustand Probleme bereiten kann.
Genannt sei hier das Benutzerprofil, welches, unter Umständen, nicht richtig geschrieben wird.
Man kann ja auch mal bei Google den Suchbegriff „Benutzer nach Ruhezustand gesperrt“ eingeben…
Auch dazu findet man Treffer…
Da gibt es eindeutige Probleme, die nicht unbedingt davon ausgehen lassen, daß eine Manipulation am Gerät erfolgte...

Ich bin um 13:45 Uhr zurück gekommen und wollte mich wieder anmelden, mein password zeigte jedoch keine Funktion mehr, ich konnte den Computer nicht mehr starten.

Ja was jetzt?
Computer nicht starten oder Paßwort reagiert nicht?
Wenn es nur das Paßwort war, liegt bei mir der Verdacht schon wieder nahe, daß es das Profil erwischt hat und auf EN Tastatur (Standard) geschaltet wurde, sprich, alle Sonderzeichen liegen an anderer Stelle, Z ist mit Y vertauscht etc.
Ansonsten siehe oben und dann mal den Suchbegriff probieren...

Der Admin ist dann um 18 Uhr gekommen und hat meinen Computer wieder in Gang gebracht, ich habe jedoch viele Daten und auch meine Login Daten in meine email accounts verloren.

Ja, logisch. Wie man später noch sehen wird, wurde das Userkonto mit der Endung .old versehen und somit auch ein neues, leeres Profil erzeugt.
Standardvorgehensweise, wenn der Verdacht besteht, daß das Profil im Eimer ist.
Man könnte auch unter Adminanmeldung das Profil umbenennen, das hätte dann aber die gleichen Effekte:
Neues Profil wird erstellt, Daten sind alls weg!
Zumindest im neuen Profil...

Alle meine Emails in Outlook und alle Adressen dort waren gelöscht, auch meine Zugangsdaten zu T-online um meine emails ins outlook zu bekommen. Ich habe auch alle anderen logins verloren da meine login daten für Skype, MSN und Yahoo natürlich auf dem Computer waren.

Natürlich ist in einem neuen Profil alles weg, sämtliche Einstellungen, zwischengespeicherten Logins und selbst die Outlook.pst wird neu erstellt, ist also LEER!
Außerdem sollten solche Daten ÜBERHAUPT nicht gespeichert werden, wenn man mit dem Gerät unterwegs ist!
Viel leichtsinniger kann man mit Zugangsdaten nicht umgehen...

Zwei Tage lang habe ich alle Daten and files geprüft und war schockiert, viele files waren neu angelegt in der Zeit wo ich außer Haus war. Für mich ist vollkommen klar dass der Admin meines computers das gemacht hat

Was wurde dann da geprüft? Welche Dateien genau?
Ja, alle Daten im Userprofil werden neu angelegt, JEDE Applikation, die sich im Profil verewigt, legt neue Daten an. Da gibt es NICHTS Verwerfliches, nicht mal etwas Verdächtiges, das ist völlig normal!

Ich jedenfalls kann beweisen dass mein Laptop in der Zeit wo ich abwesend war, manipuliert wurde and Daten abgemolken, vernichtet und zerstört wurden.

Nein, kannst Du nicht. Wie willst Du nachweisen, daß angeblich nicht mehr vorhandene Daten vorher da waren?
Und selbst wenn Du nachweisen könntest, daß Dein ungesicherter Rechner während Deiner Abwesenheit manipuliert wurde, wirst Du wahrscheinlich nur lautes Gelächter hören und den Satz:
Schön, Sie kennengelernt zu haben.

Dass mein Password und mein Zugang zu meinem Laptop gestoppt wurden.

Erklärung siehe oben ^^

alle meine Order haben eine Verknüpfung mit dem Admin.

Ja natürlich.
Darum gibt es ja einen Administrator. Ein Administrator hat immer Zugriff auf ALLE Dateien, es sei denn, man nimmt sie ihm explizit weg, was sehr bescheuert wäre…

Was ich auch feststellen kann ist dass ich auf meinem Laufwerk D, 90GB belegt habe, ich selbst als neuer User auf meinem Computer benutze aber nur 10GB. Mein altes Nutzerprofil ist gesperrt und dann als "old" bezeichnet.

Das deutet darauf hin, daß vor dem Crash Deine Eigenen Dateien auf D: ausgelagert waren.
Im neuen Profil gibt es diese Folder Redirection noch nicht...
Warum schaust Du nicht einfach nach, was sich auf D: befindet?
Was hindert Dich daran?


@ Anfänger:
Und nun zeig mir auch nur eine Stelle, wo etwas Außergewöhnliches passiert sein soll....
In den letzten Tagen habe ich fast angefangen, Dich ernst nehmen zu wollen.
Gut, daß ich damit noch gewartet habe...

 

Das hab selbst ich verstanden.

Aber wenn man das .old Konto nicht mehr reanimieren kann, sind die Daten dann doch weg.
Ausser der "Admin" schiebt sie in das neue Konto.

Könnte das denn funktionieren?

 

@ A.D.:

Ich werde wohl lernen müssen, damit umzugehen. Davon ganz ab: Auch in meinem Beruf wäre mir der Gedanke unerträglich, dass mich alle mögen würden.

Zu deinen weiteren Ausführungen:
Na siehst du, geht doch. Jedenfalls hast du dir jetzt zumindest die Mühe gemacht, etwas dezidierter vorzugehen. Das ist schon fast gut, nur schleichen sich wieder ein paar Vermutungen ein, die zwar durchaus naheliegen, die du aber nicht weißt. So geht man in derartigen Fällen nunmal nicht vor.

Lies dir deine Stellungnahme nochmal in Ruhe durch, du wirst die Stellen auch ohne meine Hilfe finden. Kleiner Tipp: Es geht gleich damit los.

Melde dich dann nochmal. Vielleicht hat der Thread dann doch noch etwas Gutes...

 

1. steht da, das das old-Konto deaktiviert ist. Also sollte eine Reaktivierung möglich sein.
2. sind die Daten dann immer noch nicht weg, es besteht nur kein Zugriff für andere User

Selbst, wenn das Konto gelöscht wurde, ist die Chance noch groß, an die Daten zu kommen.

Nicht ins neue Konto, ins neue Profil.
Das kann der Admin machen, man kann allerdings auch eine Besitzübernahme versuchen und die Kopie selbst vornehmen.

Ja.
Das ist zum Beispiel einer der Gründe, warum ein Admin auf alle Dateien entsprechende Berechtigungen hat, egal, welchem User sie gehören.



@ temperanillo

Das war eine Zusammenfassung der Fakten, die ich schon einmal gelistet hatte.
Da Du sie aber vorher scheinbar nicht in der Gesamtheit verarbeiten konntest, habe ich sie noch einmal zusammengefaßt und erläutert.
Doch, genau so geht man in solchen Fällen vor:
Man nimmt die gegebenen Fakten, versucht Schlüsse zu ziehen und als nächster Schritt steht an, weitere Infos aus dem User herauszukitzeln ODER sich auf den Rechner aufzuschalten und sich das Problem selbst anzuschauen.

Und ja, anhand der bestehenden Fakten bleiben Vermutungen nicht aus und die Lösungsansätze können nur anhand der gelieferten Fakten durchgesprochen werden.
Da TO nicht einmal sein OS genannt hat, oder gesagt hat, welche Dateien neu angelegt wurden oder welche Daten sich auf D: befinden oder bisher auch nur eine meiner Fragen beantwortet hat, bleibt der Rest weiterhin Spekulation.
Ohne seine Mitarbeit kommen wir nicht weiter.
Für ihn war es ja wichtiger, über unnütze rechtliche Schritte zu fabulieren, statt ausführliche Informationen zu liefern, die auch handfest sind.

Meine Intention war lediglich, die technischen Fakten zu listen und zu zeigen, daß anhand dieser Fakten dem Admin erst einmal KEINERLEI Vorwurf der Datenspionage gemacht werden kann.

Fakt ist weiterhin, daß ein User, der die technischen Hintergründe nicht versteht und der Dinge erlebt, die er sich aufgrund dieses Wissensmankos nicht erklären kann, gern einmal den betroffenen Techniker diskreditiert.
Ich, an des Admins Stelle, würde einen Teufel tun und nach solchen Äußerungen auch nur noch einmal die Zusammenarbeit suchen.
Soll sich TO eine Firma anheuern und einen Wartungsvertrag abschließen und für die Wartung eben richtig Kohle zahlen.

Und wenn ich so etwas erlebe, dann bin ich froh, daß ich schon seit ein paar Jahren mit dem Costumersupport nichts mehr zu tun habe.

 

Ich hatte mal hier vor langer Zeit mal einen Beitrag gelesen (von Deo?) in dem beschrieben wurde, dass nach einem update von Spybot plötzlich das bisherige Benutzerprofil in "old" versetzt war und unter gleichem Namen ein neues Profil da war.
Und da den Zusammenhang zu bekommen ist erstmal schwer.
Ansonsten ganz ähnliche "Symptomatik" wie hier beschrieben.

 

@ AD

Na ja, gehe mal davon aus, dass ich konnte.

Ich glaube, wir reden aneinander vorbei: Du beschreibst die Vorgehensweise bei einem PC-Problem. Es ging jedoch um die (untergeordnete) Frage, ob ein strafrechtlicher Anfangstatbestand _nach der Schilderung des TO_ zu bejahen ist.

Und genau das schaffst du (zumindest auch) über Annahmen, die zwar nahe liegen, die du aber nicht verifizieren kannst.

Erstens darum ging es mir.

Die mangelnden Möglichkeiten zur Verifizierung umschiffst du mit einem kleinen, nicht ganz lauteren Trick: Überall, wo es in deinen Argumentationsstrang passt, unterstellst du einfach mal Unfähigkeit, z.B:

Damit schlägst du gleich 2 Fliegen mit einer Klappe: Zum einen kannst du den Sachverhalt hinbiegen, wie du ihn haben willst. Zum anderen unterstreichst du subtil deinen Anspruch auf Kompetenz, indem du mal eben anderen Kompetenzen absprichst.

Mit solchen Phänomenen der Aggression beschäftigt sich übrigens sehr ausgiebig die Verhaltensforschung, doch das nur am Rande, Literaturhinweise gibt's per PN. So geht man nicht miteinander um. Darum ging es mir auch.

 

Du hast ein gutes Gedächtnis. Ich habe den Vorfall schon lange verdrängt.
http://www.pcwelt.de/forum/software...-rootkit-plugins-zerst-ren-benutzerkonto.html