Der Computer als Datensafe: Der große Verräter

Im Fernsehen ist es immer so einfach. Kaum hat die Polizei an einem Tatort oder bei einer Razzia einen Computer beschlagnahmt, haben die Kollegen von der Kriminaltechnik auch schon das Passwort geknackt und den entscheidenden Hinweis zur Lösung des Verbrechens gefunden. In der Realität ist die forensische Untersuchung von Computern, Festplatten und anderen Datenträgern bei den richtig schweren Jungs oder dem Organisiertem Verbrechen freilich durchaus aufwendiger und zeitintensiver. Doch ansonsten ist es eher erschreckend, wie leicht die digitale Technik ihre Geheimnisse preisgibt, wie jetzt die beiden „c’t“-Autoren Jürgen Schmidt und Heiko Rittelmeier in der aktuellen Ausgabe der renommierten Computerzeitschrift aus dem Heise-Verlag herausgefunden haben.

Tatsächlich braucht man weder eine Ausbildung beim Bundeskriminalamt noch muss man eine Hacker-Karriere hinter sich haben, um sich mithilfe des Computers oder auch nur einer alten Festplatte ein sehr genaues Bild seines Besitzers machen zu können. Die Zeitschrift hat die Probe aufs Exempel gemacht und einen professionellen PC-Forensiker mit der Analyse eines Computers beauftragt. Es dauerte nicht lange, bis er den Namen der Besitzerin und von deren Lebenspartner kannte und eine Liste mit Arbeitskontakten samt Mobilfunknummern fand. Andere Informationen wie Finanzdaten über das „Wiso Sparbuch“ oder die gelöschten Urlaubsfotos mit dem Vermerk „oben ohne“ ließ er zum Schutz der Privatsphäre anständigerweise liegen.

Das "Digital Response Toolkit" entlockt dem PC beinahe jedes Geheimnis

An diese Daten gelangen jedoch nicht nur Profis und Hacker. Mit Softwaresammlungen wie dem „Digital Response Toolkit“ (kurz Dart genannt) wird prinzipiell jeder versiertere Computernutzer mit rudimentären Englischkenntnissen zum PC-Analysten. Zu der Toolsammlung gehört unter anderem das „Browser Forensic Tool“. Damit kann der Verlauf der gängigsten Browsertypen wie Internet Explorer, Firefox, Chrome nach Stichworten durchsucht werden. Der „Browser History Spy“ hingegen zeigt nicht nur den Verlauf der Internet-Programme an, sondern wertet auch die Anzahl der Aufrufe aus.

Besonders gefährlich sind die Werkzeuge zum Auslesen von Passwörtern. Für so gut wie alle Typen vom Windows-Passwort über die Zugangsdaten für W-Lans bis hin zu den Passwörtern zu den auf dem Computern genutzten E-Mail-Konten gibt es entsprechende Programme. Apropos Mail: Mit Tools wie MailView werden gängige Programme wie Windows Live oder Thunderbird für jedermann transparent.

Dass auch Fremde die auf einem Computer gespeicherten Mails lesen können, weil sie Zugang zu dem PC haben, erscheint allerdings nicht besonders bemerkenswert. Anders verhält es sich mit den Informationen, von denen die meisten Computernutzer nicht einmal wussten, dass und in welchem Umfang sie gespeichert wurden. So protokolliert Windows seit Version 7 akribisch, welche Dateien zu welchem Zeitpunkt geöffnet wurden. Die sogenannten JumpLists benötigt das Betriebssystem für die Liste der zuletzt bearbeiteten Dokumente. Aber auch für die Symbole in der Taskleiste werden die Informationen benötigt. Ein Rechtsklick über dem Word-Symbol zeigt zum Beispiel an, welche Briefe zuletzt geschrieben wurden. Diese Listen können weit zurückreichen und mehrere tausend Einträge enthalten. Selbst die mitunter sehr aussagekräftigen Namen von inzwischen gelöschten Dokumenten können sich darin befinden. Zudem mangelt es nicht an Werkzeugen, mit denen versucht werden kann, gelöschte Dateien wieder zu restaurieren.

Ausspähen ist leider leichter als Schützen

So einfallsreich Hacker und PC-Forensiker bei der Gewinnung von Daten sind, so kompliziert gestaltet es sich, seine Daten vor dem Zugriff durch Unbefugte zu schützen. Von zentraler Bedeutung ist es daher, den grundlegenden Zugang so sicher wie möglich zu gestalten. Dazu gehört, PC oder Laptop mit einem sicheren Passwort zu schützen, das sowohl beim Hochfahren des Computers als auch bei der Reaktivierung aus dem Ruhezustand abgefragt wird. Bei längerer Abwesenheit sollte der PC-Bildschirm gesperrt werden (Windows-Taste + L-Taste), auch hier muss der Passwortschutz aktiviert werden. Und bei Finanzprogrammen wie dem „Wiso Sparbuch“ oder „Star Money“ sollte der Passwortschutz obligatorisch sein.

Besonders beim Laptop im Firmeneinsatz, aber auch bei privaten Computern empfiehlt es sich, die Möglichkeiten zur Verschlüsselung der Daten auch zu nutzen. Bei Windows-Rechnern ist dies in den Professional-Varianten ohne zusätzliche Software möglich, ansonsten helfen Werkzeuge wie TrueCrypt (das leider nicht mehr weiterentwickelt wird) oder von Alternativen wie BoxCryptor oder Diskcryptor. Die Programme richten auf der Festplatte eine verschlüsselte Container-Datei ein, in der sich die geschützten Dateien befinden. Ohne Schlüssel bleibt der Inhalt verborgen.

Neben dem technischen Schutz ist es aber genauso wichtig, sich der vielfältigen Möglichkeiten zum Ausspähen eines Computers bewusst zu sein. Fast alle Internet-Browser kennen inzwischen den Modus für das anonyme Surfen im Internet. Dabei werden unter anderem die Seitenaufrufe nicht in der Browser-History gespeichert.

Werkzeuge wie Dart verdeutlichen erneut, dass gelöscht nicht gleich verschwunden ist. Vor dem Verkauf oder der Weitergabe eines Computers reicht es daher nicht aus, die Ordner mit den eigenen Dateien zu löschen. Einmal davon abgesehen, dass viele wichtige Einstellungen und Passwörter damit immer noch auffindbar wären, sind auch die Dateien selbst rekonstruierbar. Ein vergleichbar einfacher Schutz besteht darin, mittels Windows-Installations-DVD zuerst sämtliche Festplatten-Partitionen zu entfernen und Windows neu zu installieren.