Daten verraten: Welche Dateien wurden geöffnet?

Fachbeitrag

Liegt ein Arbeitszeitbetrug vor, gilt es nachzuweisen, dass ein Benutzer sich mit betriebsfremden Themen, wie z.B. einem Bewerbungsschreiben beschäftigt hat. Die NTUSER.DAT als Teil der Windows Registry protokolliert verschiedene Aktionen eines Benutzers und lässt sich gut für eine IT-forensische Analyse heranziehen. Sie verrät welche Daten, z.B. Dokumente oder Multimediadateien, geöffnet wurden und gibt Hinweise darauf, ob sich diese auf einem externen Laufwerk befanden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.

Verdacht auf Arbeitszeitbetrug

Bei einem Mitarbeiter wurden Bewerbungsdokumente für ein anderes Unternehmen gefunden. Zudem befinden sich eine Reihe von Multimediadateien auf dem Home-Laufwerk des Benutzers. Daher besteht der begründete Verdacht, dass der Mitarbeiter während seiner Arbeitszeit Bewerbungen anfertigt und darüber hinaus die Zeit nutzt, um Filme zu schauen. Dieser bestreitet jedoch die Kenntnis oder Verwendung der Daten. Eine Analyse der NTUSER.DAT bietet hier allerdings unter Umständen entsprechende Beweise. Sie stellt die verwendeten Daten eines Benutzers dar und kann somit entweder den Verdacht bestätigen oder aber den beschuldigten Benutzer entlasten.

Zentraler Speicher: NTUSER.DAT

Die NTUSER.DAT befindet sich als versteckte Systemdatei im Ordner des jeweiligen Benutzers unter C:\Benutzer\<benutzer>\NTUSER.DAT. Darüber hinaus gibt es zwei weitere Dateien mit der Dateiendung .log1 und .log2. Diese dienen als eine Art Zwischenspeicher von Änderungen, bevor diese final in die NTUSER.DAT geschrieben werden. Werden diese bei der Analyse nicht mit einbezogen, gehen unter Umständen die aktuellsten Einträge verloren.

Im Live-Betrieb kann die NTUSER.DAT im Registrierungs-Editor (regedit.exe) unter Computer\HKEY_CURRENT_USER\ betrachtet werden. Da jeder Benutzer eine eigene NTUSER.DAT besitzt, können gefundene Spuren exakt einem Benutzerkonto zugewiesen werden, was für eine IT-forensische Analyse einen absoluten Mehrwert darstellt, da häufig ein Täter identifiziert werden soll. Offline ist das Tool Registry Explorer eine gute Wahl zur Analyse der Datei. Das Tool bringt mehrere Plugins mit, um die Daten zu dekodieren und besser lesbar zu gestalten.

Microsoft Office Dokumente

Microsoft legt für seine Office Produkte eigene Schlüssel in der Windows Registry an. Je nach Version unterscheidet sich der Pfad ein wenig. In den Schlüsseln werden die zuletzt aufgerufenen Dateien und Speicherorte festgehalten. Für Dokumente, die aus nicht vertrauenswürdigen Quellen aufgerufen werden, was standardmäßig alle Orte mit Ausnahme des lokalen Speichers sind, gibt es einen gesonderten Bereich.

Alle Daten liegen grundsätzlich unter NTUSER.DAT\Software\Microsoft\Office\. Abhängig von der installierten Office Version folgt ein Subschlüssel mit der Versionsnummer. Für Microsoft Office 2016 ist es z. B. 16.0. Am Beispiel von Word 2016 unter Verwendung eines Active Directory-Benutzers würde der vollständige Pfad zu den relevanten Daten lauten: NTUSER.DAT\Software\Microsoft\Office\16.0\Word\User MRU\AD_<ID>\. Die darunter befindliche File MRU listet die 50 zuletzt verwendeten Word Dokumente auf, die Place MRU die 50 letzten Speicherorte von Dokumenten.

Unter NTUSER.DAT\Software\Microsoft\Office\16.0\Word\ finden sich noch die Schlüssel Reading Locations und Security\Trusted Documents\TrustRecords. Diese speichern zum einen Orte von geöffneten Dokumenten, bei welchem es sich z. B. auch um Outlook handeln kann, zum anderen Dokumente, die wie oben beschrieben als vertrauenswürdig markiert wurden.

Durch die hier gesicherten Spuren können die Kenntnis sowie die Verwendung der Bewerbungsunterlagen nachgewiesen werden. Nicht zuletzt kann ggf. auch die letzte Position im Dokument bei dessen Schließung nachvollzogen werden.

Weitere Dateien und Ordner

Ein weiterer spannender Schlüssel zum Detektieren von geöffneten Dateien ist NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs. Dieser speichert nicht nur die letzten 150 zugegriffenen Dateien ab, sondern besitzt für jeden Dateityp einen Subschlüssel. Die Anzahl der gespeicherten Dateien je Datentyp kann dabei variieren. Was alle gemeinsam haben, ist ein Eintrag namens MRUListEx. Dieser speichert die Reihenfolge, in welcher die Dateien geöffnet wurden. Aufgerufene Multimediadateien verschiedenster Formate sind hier ebenfalls zu finden und können ein Indiz für alternative Verwendung der Arbeitszeit darstellen.

Ein weiterer Schlüssel, der die geöffneten Dateien verschiedener Datentypen speichert ist NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU. Dieser Schlüssel speichert die Dateien, welche mittels des „Öffnen“ oder „Speichern unter“ Dialoges geöffnet bzw. geschlossen wurden. Je Datentyp gibt es einen Subschlüssel sowie einen MRUListEx Eintrag, anhand welcher die Reihenfolge festgestellt werden kann.

Sammeln weiterer Beweise

Die NTUSER.DAT liefert in jeder Analyse wichtige Erkenntnisse über den Benutzer. Wie zu sehen ist, resultiert aus der Betrachtung der Dokumente und Dateien bereits eine Fülle an verwertbaren Daten. Mit diesen Informationen lassen sich erste Rückschlüsse auf den Verdacht des Arbeitszeitbetruges schließen. Kenntnis über die Dokumente kann durch die ggf. vorgefundenen Spuren im Office Schlüssel belegt werden, ein Konsum von Multimediainhalten durch die RecentDocs. Der Verdacht kann durch die Feststellung der Programmausführungen weiter erhärtet werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

6 Kommentare zu diesem Beitrag

  1. Und wie bewerten Sie das? Schließlich handelt es sich hier um eine Datenschutz-Plattform, da kann man eine solche Ausspioniererei doch nicht gut heissen. Jedem Leser sei angeraten, sich ein Script zu schreiben, mit dem man all diese Daten vor dem Feierabend feinsäuberlich löscht. Mit einer BAT-Datei kann man das sehr schön automatisieren.

    • Eine IT-forensische Analyse verfolgt nicht das Ziel Mitarbeiter auszuspionieren. Aus IT-forensischer Sicht können in der Windows Registry wichtige Beweise gesichert werden, um eine Straftat aufzuklären, welche auch erst von IT-Forensikern durchgeführt werden darf, wenn ein begründeter Anfangsverdacht für eine Straftat besteht.

      Ein Löschen ist ohne weiteres nicht möglich. Beim Löschen werden die Daten in der Windows Registry zunächst als gelöscht markiert, aber nicht wirklich gelöscht. Erst wenn der Speicherbereich überschrieben wird, sind diese nachhaltig gelöscht. Ein automatisiertes Löschen ohne alle Wechselwirkungen zu kennen würde ich daher nicht empfehlen. Des Weiteren können solche Daten auch bei der Analyse von einem Schadsoftwarebefall von Relevanz sein. Fehlen diese kann dies den Aufklärungsprozess erschweren.

  2. Mir fehlt ein wenig der rechtliche Aspekt. Da gibt es einerseits das BetrVG § 87 und andererseits die EU-DSGVO oder das BDSG (neu), die möglicherweise auch beachtet werden sollten.

  3. Vielen Dank für den informativen Beitrag! Für den Datenschützer wäre es natürlich besonders interessant zu erfahren, ob und wenn ja unter welchen Umständen dieses Tool zum Einsatz kommen darf bzw. die ermittelten Daten verwertbar sind (z.B. nur bei Vorliegen von Verdachtsmomenten).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.