Die Frage, ob und wie lange ein Arbeitnehmer während seiner Arbeitszeit privat auf Webseiten surft, hat schon fast jedes Unternehmen einmal beschäftigt. Unabhängig davon, ob dazu eine verbindliche Regelung im Unternehmen getroffen wurde oder nicht, ist irgendwann der Moment gekommen, an dem dieser Verdacht bestätigt oder auch ausgeräumt werden soll.
Es sieht so einfach aus, als könne es jeder tun: herausfinden, welche Webseiten durch einen Webbrowser aufgerufen wurden. Man braucht nur den Browser öffnen und auf der Tastatur Strg + H (für History) drücken. Schon öffnet sich eine Seite, auf der alle besuchten Webseiten aufgelistet sind, samt Datum und Uhrzeit. Diese Angaben kann man nun einfach per copy & paste von dieser Seite in eine frische Excel Tabelle kopieren. Kurz noch eine Datumsformel angewendet und schon steht das Ergebnis fest. Für den weiteren Artikel konstruiere ich nun einen Fall mit ausgedachten Namen, der so oder so ähnlich schon in vielen Unternehmen die Gemüter bewegt hat.
„Der Andy Müller aus der Buchhaltung surft den ganzen Tag im Internet und macht seine Arbeit nicht. Aber ich habe gegoogelt, wie ich an die von Müller besuchten Internetseiten komme. Als der Müller heute Morgen zum Kaffee ging, hatte er sein Notebook nicht gesperrt. Da habe ich mir die Liste seiner Webseiten selbst von seinem Outlook aus per E-Mail gesendet. Mit Excel habe ich selbst ausgerechnet, dass er im letzten Monat 58 Stunden im Internet gesurft ist, wobei der Monat 152 Arbeitsstunden hatte. Heute um 17 Uhr habe ich einen Termin bei unserem Anwalt und morgen werfe ich den Müller fristlos raus.“
„Jeden Tag der gleiche Stress im Büro. So viele Aufträge und Buchungen, ich träume nachts schon von Zahlenkolonnen und der SAP GUI. Aber die Kollegen sind wirklich toll, das Gehalt kommt immer pünktlich und der Kaffee kostet nichts. Ich mache jeden Morgen meine Pause von 15 Minuten und lese in dieser Zeit Nachrichten und Sportseiten online. Nach dem Mittagessen habe ich meistens noch 20 Minuten Restpause, in denen ich dann auch nochmal die Nachrichten des Tages lese. Gegen 17:30 mache ich normalerweise Feierabend. Bis dahin habe ich um die 150 Buchungen eingegeben und unzählige Telefonate geführt.“
Haben Sie eine Idee, wie dieser Fall vor einem Arbeitsgericht ausgehen könnte? Ich auch. Und schon jetzt verrate ich, dass nichts so ist wie es zunächst scheint. Die Spuren, die ein Webbrowser auf einem Betriebssystem hinterlässt, sind vielfältig und die Folgen der Interaktion mit:
- dem Benutzer
- einer aufgerufenen Webseite oder
- den Anwendungen des Betriebssystems, hier vor allem dem Virenscanner
Diese Unterscheidung ist sehr wichtig, denn der Benutzer überblickt häufig nicht, wie Browser und Webseite interagieren.
Vom Benutzer unmittelbar hinterlassene Hinweise seiner Nutzung des Browsers sind z.B. die gesetzten Lesezeichen (auch Bookmarks oder Favoriten genannt), um eine Webseite wiederzufinden. Die manuelle Eingabe von Webadressen in die Adresszeile und gestartete Downloads von Software beispielsweise gehören auch dazu. Solche Artefakte belegen im Grunde immer eine direkte Interaktion und Lesezeichen setzen sich (normalerweise) nicht automatisch. Generell können wir in diesem Fall davon ausgehen, dass in diesem Moment der Anwender dem Browser mehr Aufmerksamkeit widmet als der Arbeit, für die er zeitgleich bezahlt wird. Dennoch ist nie ganz auszuschließen, dass Malware in Form eines Browser-Addons dafür verantwortlich sein könnte. Diesen Fall klammere ich allerdings für den Rest dieses Artikels aus; es würde das Thema sprengen und noch viel detaillierte Betrachtungen notwendig machen.
Immer aktuell und nah dabei
Viel interessanter aber sind die Aufrufe von Webseiten, Bildern und anderen Inhalten für die der Benutzer gar nicht verantwortlich ist. Nehmen wie mal an, wir machen es so wie Andy Müller aus dem obigen Beispiel und rufen die Webseiten von Spiegel Online und der F.A.Z. auf. Diese und andere Nachrichtenseiten betreiben ihr Geschäft durch möglichst aktuelle Berichterstattungen und wechseln ihre Top-Titelüberschriften im Stundentakt- manchmal auch im Takt von Minuten.
Bleiben wir in diesem Fall bei der F.A.Z. Die Webseite kommuniziert mit dem Browser und beide gleichen regelmäßig ihren letzten Status miteinander ab. Sobald FAZ.NET eine neue Überschrift schaltet, sendet sie einen Push- Request an den Browser und informiert den Benutzer über aktualisierte Inhalte. Der Benutzer bekommt darüber einen Hinweis und wird gefragt, ob er die Startseite von FAZ.NET aktualisieren möchte. Es geht aber auch anders, wie Spiegel Online demonstriert: dort wird nicht nur ein Hinweis auf eine Aktualisierung eingeblendet, es gibt auch die Option „Hinweis nicht mehr anzeigen„. Sobald Sie diese Option anklicken, unterbleibt die Einblendung und ab sofort wird die Seite von Spiegel Online ohne eine Aktion ihrerseits aktualisiert. Zurück zu unserer fiktiven Fallgeschichte: wenn der Andy Müller schon vor Jahren in seiner Frühstückspause daraufgeklickt hat, wie sieht dann die Historie seiner aufgerufenen Webseiten auf? Sie ahnen es…und die Webbrowser, egal ob sie nun Edge, Chrome oder Mozilla heißen, aktualisieren die Webseiten, auch wenn sie im Hintergrund weiterlaufen. Natürlich auch dann, wenn eine SAP GUI oder ein Microsoft Outlook im Vordergrund aktiv ist.
Nicht nur der Spiegel, auch andere Newsportale, Shops und Webseiten aktualisieren automatisch ihre Inhalte, dies gilt ganz besonders für Werbung. Komplexe und vielbesuchte Webseiten bestehen nur auf den ersten Blick aus einer einzigen Webseite. In Wahrheit sind darin oftmals dutzende Inhalte aus anderen Quellen verlinkt, hier seien vor allem Adserver genannt, die zielgruppenoptimierte Werbung ausliefern. Und jede dieser verlinkten Seiten und Werbebanner ist eine Verbindung, die zum Webbrowser besteht. Nicht all diese Verbindungen tauchen in der Historie des Webbrowsers auf, wohl aber in den Verbindungsprotokollen der in Unternehmen eingesetzten Proxyserver, über die in aller Regel der Internetzugang realisiert wird.
Für einen Laien sieht es schnell so aus, als würde Herr Müller eine unangemessen lange Zeit im Internet surfen und stundenlang die Spielberichte der 1. Bundesliga vom Wochenende lesen. Wie oben dargelegt, kann dies unter Umständen auch nur ein kleiner Teil der Wahrheit sein.
Die Stunde der Wahrheit
Für mich als IT-Forensiker, der auch als Gutachter tätig ist, sieht die Sache schon ganz anders aus. Bei der Klärung, ob und wie lange der aus unserem Beispiel bekannte Andy Müller während seiner Arbeitszeit surfte, geht es eben nicht nur um das, was der Webbrowser oder ein vorhandener Proxyserver aufgezeichnet haben. Interessant ist das, was nicht darin steht! Alle anderen Tätigkeiten, die von Herrn Müller während dieser Zeit ausgeführt wurden, stehen nicht in diesen Logdateien. Darin steht eben nicht, dass er am Vormittag zwei Stunden an einem Microsoft Word Dokument gearbeitet und am Nachmittag drei Dutzend Zahlungsvorgänge bearbeitet hat. Hier nur einseitig von ihm besuchte Webseiten auszuwerten, würde ein völlig unvollständiges Bild des wahren Sachverhaltes ergeben. Auch dies ist der Unterschied zwischen einem Strg + H im geöffneten Browser und einem fundiertem Gutachten, in dem alle Artefakte ausgewertet und berücksichtigt werden. Spätestens vor dem Arbeitsgericht kommt dieser Unterschied zum Tragen- mit einer absehbaren Klatsche für den Arbeitgeber. Das korrekte Vorgehen besteht in diesem Fall in der Erstellung von kompletten Timelines, mit denen der Tagesablauf von Herrn Müller an verschiedenen Werktagen nachvollzogen werden kann. Dabei ist es eine absolute Selbstverständlichkeit, nicht nur nach belastenden Beweisen zu suchen, sondern auch nach entlastenden Fakten. Auch wenn es dem Chef nicht gefällt und er es sein wird, der meine Rechnung gegenzeichnen muss.
Die Stunde der IT-Forensik
Die Auswertung von Browserdaten ist so alt wie der Browser selbst und war bereits zu Zeiten von Mosaic und Netscape ein Thema. Die bekannten großen Programme in der IT-Forensik können alle (mehr oder weniger übersichtlich) die Artefakte von Browsern finden und auswerten. Sowohl interne Quellen der Browser wie Bookmarks und die Historie des Browsers, aber auch alles, was als Datei heruntergeladen wird und auf der Festplatte verbleibt. Im sogenannten Cache, einem Zwischenspeicher, legen alle bekannten Browser häufig genutzte Bilder und ganze Webseiten ab. Es macht ja auch Sinn: warum aus dem Internet laden, wenn sich das Logo von Ebay sowieso nicht ändert und die Festplatte viel schneller im Zugriff ist? Die Zeitstempel dieser Dateien (modified, accessed, created und born) können dann recht einfach mit anderen Artefakten korreliert werden. Im folgenden Beispiel zeige ich Ihnen gern, wozu die in der Digitalen Forensik genutzte Software in der Lage ist. Sie werden sehen, dass gute Software in diesem Bereich Dinge enthüllt, die sehr weit über das hinaus gehen, was Ihnen der Browser selbst so freimütig anzeigt. Gehen wir einfach mal diesen Screenshot einer Excel Tabelle durch und Sie werden sicher erkennen, was ich meine. Gehen Sie bei Bedarf mit der Maus über die Grafik, sie vergrößert sich dann von allein.
- Zeile 2 zeigt die Anlage eines Ordners in der Lesezeichenleiste namens BLOGGING um 20:49 UTC
- In Zeile 3 sehen Sie, dass ebay.de von Hand eingetippt wurde. Dafür ist der Mensch vor dem PC verantwortlich und kein Script auf einer Webseite, das diese aktualisieren soll
- Nach 1 Minute und 21 Sekunden wurde diese Seite wieder geschlossen
- Die Seite stern.de wurde wiederum von Hand eingegeben (typed) und anschließend auf http://www.stern.de umgeleitet (Zeilen 5 und 6)
- Nach 11 Sekunden auf http://www.stern.de klickte jemand in die Rubrik panorama, das steht in Zeile 7
- handelsblatt.com wurde aus einem vorhandenem Lesezeichen heraus aufgerufen und nicht von Hand getippt. Verantwortlich dafür war wiederum der Anwender
- Zeile 9 zeigt, dass nach 11 Sekunden die Unterseite handelsblatt.com/auto angesurft und 22 Sekunden später wieder geschlossen wurde
- die Zeitstempel von Zeile 3 – 9 zeigen deutlich, dass ich eine Nachteule bin 😉
Diese Auswertung eines Browserverlaufs habe ich in diesem Fall mit Hilfe des Pythonscriptes Hindsight.py von Obsidian Forensics erstellt. Es wertet nicht nur ausnahmslos alle Artefakte aus, sondern auch interessante Datenbankfelder wie last_clear_browsing_data_time– so kann man auslesen, wann jemand zuletzt seine Browserdaten gelöscht hat.
Nichts ist wirklich weg
Wo wir gerade beim Löschen von Browserdaten sind: Nichts ist wirklich weg.
Jeder moderne Webbrowser, auch auf Smartphones und Tablets, bietet eine Option zum Löschen seiner gesammelten Daten. Technisch ist dies nur ein einfaches Löschen von zwischengespeicherten Dateien auf der Festplatte und das gleichzeitige Leeren von Feldern in einer SQLite- oder EDB Datenbank. Selbst wenn jemand CCleaner zum „Aufräumen“ nutzt oder gelöschte Daten mehrfach überschreibt, bleiben für einen IT-Forensiker immer noch sehr viele brauchbare Artefakte übrig. Der von den Browsern angebotene Inkognitomodus ist bestenfalls dazu geeignet, Aktivitäten in einem Seitensprungportal vor dem eigenen Partner zu verbergen. Für Experten auf dem Gebiet der IT-Forensik ist dieser sogenannte Inkognitomodus keine echte Hürde auf dem Weg zur digitalen Erkenntnis.
Der Virenscanner als Zeuge
Wie bereits dargelegt, interagiert der Browser nicht nur mit dem Menschen vor ihm und den Webseiten, die er darstellt. Viele Virenscanner verzahnen sich regelrecht mit dem Browser und schalten sich zwischen den Netzwerkstack und das Dateisystem des Rechners. Sie prüfen nicht nur Dateien, bevor sie auf der Festplatte gespeichert werden. Häufig bringen sie auch eine eigene Firewall mit und diverse Features zum Scannen von Downloads, E-Mails und Instant Messengern. Und Virenscanner haben noch eine Eigenart‘: sie protokollieren eifrig mit, was sie tun 🙂
Zu guter Letzt
Die alleinige Betrachtung dessen, was ein Browser über sein eigenes Verhalten gespeichert hat, kann nur ein kleiner Baustein der Wahrheit dessen sein, was jemand auf seinem Notebook getan hat. Für eine umfassende Auswertung möglichen Fehlverhaltens von Mitarbeitern ist erheblich mehr Aufwand und die Auswertung ausnahmslos aller vorhandenen Artefakte notwendig. Dabei kann man so manche Überraschung erleben- im positiven wie im negativen Sinne.