Überprüfen, ob jemand "von aussen" auf einen Mac zugegriffen hat

[Josh83]

Hallo

Eine Freundin befindet sich seit einem halben Jahr in einem Scheidungskrieg, ist seit Beginn desselben aus der gemeinsamen Wohnung geflüchtet und hat ihre Passwörter etc. alle geändert.

Vor zwei Monaten hat sie sich bei BlaBlaCar (vormals Mitfahrgelegenheit.de) angemeldet und eine Fahrt gebucht. Nun hat ihr Ex den Dialog, welchen sie mit dem BlaBlaCar-Anbieter gehabt hat, als Ausdruck dem Gericht vorgelegt, um gewisse Behauptungen zu beweisen.

Meine Freundin ist nun sehr beunruhigt, denn ihrer Meinung nach kann ihr Ex eigentlich gar nicht wissen, dass sie sich bei BlaBlaCar angemeldet hat, und noch viel weniger sollte er Zugriff auf ihr Konto haben!

Behauptung: er hat sich Zugriff auf ihren Mac verschafft und da rumgeschnüffelt (Browser History, gespeicherte Passwörter, etc.).

Meine Frage: wie kann man vorgehen, um diese Behauptung zu überprüfen? Gibt es irgendwelche Logs, welche Zugriffe "von aussen" aufzeichnen? Z.B. per VNC oder so? Was gibt es für OSX-Bordmittel, welche solchen Zugriff erlauben? Was könnte ihr Ex (vielleicht schon während sie noch zusammen lebten) auf ihrem Computer installiert haben, was solche Zugriffe erlaubt?

Es gäbe auch noch die Möglichkeit, dass ihr Ex auf ihre Email Zugriff hat (obwohl sie sagt, sie hätte alle Passwörter geändert)...

Was für weitere Szenarien wären denkbar?

Ich werde morgen zu ihr gehen und LittleSnitch installieren, um zumindest Kontrolle darüber zu haben, was ab jetzt alles an Zugriffen passiert. Weitere gute Tipps für einen Notfallplan?

Danke.
Josh

 

[geronimoTwo]

Nun hat ihr Ex den Dialog, welchen sie mit dem BlaBlaCar-Anbieter gehabt hat, als Ausdruck dem Gericht vorgelegt, um gewisse Behauptungen zu beweisen.

Deine »Freundin« kann kanz ruhig bleiben, denn unrechtmäßig erlangte Beweise wie die obigen (Ausspähen fremder Internetkonten) sind nicht Gerichtsverwertbar.

http://www.juraforum.de/lexikon/beweisverwertungsverbot-stopp

 

[Josh83]

Danke geronimoTwo. Trotzdem bleibt ein sehr ungutes Gefühl bei der Sache...

 

[LosDosos]

Kannte er ihr WLAN-Passwort und konnte sich in der Nähe aufhalten, wo noch Empfang war?

 

[Josh83]

Kannte er ihr WLAN-Passwort und konnte sich in der Nähe aufhalten, wo noch Empfang war?

Kann durchaus möglich sein. Sie wohnt vorübergehend in einer WG, wo sie früher schon mal gewohnt hat.

 

[Loki M]

Deine »Freundin« kann kanz ruhig bleiben, denn unrechtmäßig erlangte Beweise wie die obigen (Ausspähen fremder Internetkonten) sind nicht Gerichtsverwertbar.

http://www.juraforum.de/lexikon/beweisverwertungsverbot-stopp

Das ist an sich richtig - jedoch wissen wir nicht, wie die Gegenpartei an diese Daten gekommen ist, ergo wissen wir auch nicht, ob diese unrechtmäßig erlangt wurden.

Im Zweifelsfall sicher geht ihr folgendermaßen: Redet mit bzw heuert einen digitalen Forensiker an.

WICHTIG:
Als Sofortmassnahme: das Gerät ausschalten (und ausgeschaltet lassen). Hintergrund: Solange das System läuft ändert ihr das System/HDD (durch laufende Schreib/Leseaktionen), so kann es sein dass ihr Beweise (Datei-Zugriffszeiten, Caches, Logs) manipuliert und/oder löscht.

Unbedingt die Vorgangsweise mit dem Anwalt absprechen um Verfahrensfehler zu vermeiden, ggf. je nach Rat des Anwalts eine gerichtliche Anordnung (zur forensischen Analyse) abwarten (inkl. Bestätigung des Gerichts, dass der Gutachter/Forensiker vom Gericht akzeptiert wird.)

Empfohlene Herangehensweise: einen Forensiker ein Image der Festplatte machen lassen (wichtig: MIT WRITEBLOCKER). Von dem Image und der HD Fingerprints erstellen (müssen gleich sein), noch eine Kopie ziehen (ggf noch eine fürs Gericht, Fingerprints nicht vergessen), danach eines der Images in Read-Only Modus auf Spuren analysieren bzw. forensisch untersuchen lassen (mit zB Autopsy, Forensic Toolkit oder EnCase).
NICHT selbst an der original HD irgendetwas analysieren oder herumsuchen! Die HD nicht ohne writeblocker in Betrieb nehmen, bis ihr vom Forensiker/Anwalt/Gericht das OK dafür habt!

Selbst am Rechner zu Recherchieren bzw Analysieren solltet ihr deshalb tunlichst unterlassen, da ihr (in aller Regel) nicht qualifiziert seid, gerichtstaugliche Gutachten/forensische Analysen zu erstellen - was Voraussetzung dafür ist, dass das Gericht das erstellte Gutachten akzeptiert. Verfahrensfehler sind da so gut wie zu erwarten (selbst an einem nicht schreibgeschützten Image oder der originalen Festplatte live zu „analysieren“ ist an sich schon so ein Fehler) - die Gegenpartei würde es euch danken, eure Findings würden nicht akzeptiert.