Wer ist Miriam?

Ein ganz normaler PC unter der Lupe

Wissen | Hintergrund

Um ein Gefühl für die Brisanz des Themas zu bekommen, haben wir den Forensiker Heiko R. beauftragt, einen ganz normal genutzten PC forensisch zu untersuchen. Er schildert, wie viele Informationen er über die Besitzerin herausgefunden hat – mit minimalem Aufwand.

Für den Test bekomme ich ein Image von ungefähr 320 GByte. Es enthält zwei interessante Partitionen, vermutlich eine für das Betriebssystem und eine für die Daten. Mein Mittel der Wahl ist in diesem Fall Autopsy unter DEFT Linux: Ich erstelle einen neuen Case und importiere das Image. Ein erster Blick auf die erste Partition lässt mich vermuten, dass es sich bei dem Computer um einen Rechner mit Windows XP handelt. Der nächste Blick gilt dem Ordner „Dokumente und Einstellungen“: Dort gibt es einen Ordner „miriam“ (Name geändert).

Das nächste Ziel ist der Desktop-Ordner; auf den ersten Blick sticht mir eine Datei „adressen_firma.xls“ ins Auge, die anscheinend gelöscht wurde. Die Wiederherstellung kostet einen Klick. Es handelt sich um eine Excel-Tabelle mit Kontaktdaten von Kollegen, teilweise inklusive privater Nummern und Adressen.

Auch Miriam findet sich darin – mit vollem Namen, Geburtsdatum und Privatadresse. Die Dame ist wohl verheiratet, denn es gibt eine zweite Mailadresse von web.de mit anderem Nachnamen. Ihre Aufgabe in der Firma kenne ich jetzt auch – eine ideale Grundlage für gezieltes Phishing.

Ein Dokument namens „Anamnesebogen.pdf“ weckt mein Interesse. Es handelt sich um ein leeres Formblatt, das aus dem Internet heruntergeladen wurde. Darauf deutet jedenfalls ein Alternate Data Stream „Zone Identifier“ hin. Der Inhalt „ZoneId=3“ zeigt, dass die Datei aus dem Internet stammt. Zwei gelöschte Dokumente „Eheurkunde.(xxx)“ lassen sich spontan nicht wiederherstellen, das würde mit anderen Werkzeugen möglicherweise trotzdem funktionieren.

„Miriam ist verheiratet.“

Zumindest zeigt mir die eingescannte Teilnahmebescheinigung einer Fortbildungsveranstaltung, dass ihr Mann „Mark“ heißt (auch hier: Name geändert) und mit Gebäudeplanung zu tun hat. Der Rest der Dateien auf dem Desktop interessiert mich gerade nicht (vorwiegend Kochrezepte). ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

Anzeige