Fritzbox-Forensik, ein Kriminal-Fall

endjuser

Neuer User
Mitglied seit
5 Jan 2007
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo, habe hier einen Fall für Fritzbox-Detektive und -Forensiker.

Mein Schwager hat Abmahnungen wegen zwei illegaler Musik-Downloads erhalten. Es geht um satte 1600 Euro. Zum angegebenen Zeitpunkt urlaubte er in Kalifornien. Allerdings hatten zwei Mitbewohner derweil Zugang zu seinem WPA-gesicherten Fritzbox-WLAN.

Heute habe ich von der durch ein sicheres Admin-Passwort geschützten Fritzbox über die HTML-Admin-Oberfäche die Logdatei inspiziert, um Spuren zu sichern (Push-Dienst wurde leider nicht genutzt). Dummerweise hat mein Schwager aber die beiden Mitbewohner schon vor zwei Tagen von den Abmahnungen unterrichtet - beide haben die illegalen Downloads abgestritten.

Und jetzt kommt's: Das Log für alle Ereignisse endet (oder beginnt, wie man's nimmt) ebenfalls vor zwei Tagen, nämlich zu einem Zeitpunkt kurz nachdem mein Schwager seine Untermieter angerufen hatte. Der älteste noch vorhandene Eintrag ist ein neuer DSL-Sync. Danach sieht man, dass sich zwei Geräte wieder ins WLAN eingebucht haben - ein Ipod Touch und ein Notebook, die beide einem der beiden Untermieter gehören.

Ich finde das verdächtig. Es sieht so aus, als hätte der alarmierte Untermieter die Fritzbox resettet (weshalb die Box syncen musste), so dass das Log neu beginnt, um die Spuren zu verwischen. Die Frage ist nur, reicht das schon für eine Anzeige aus?

Weitere Frage: Wie hat er die alten Logdaten gelöscht, die Admin-Oberfläche ist m.W. ohne Passwortkenntnis kaum knackbar? Es handelt sich um eine Fritzbox 7141. Reicht es da, die Box stromlos zu machen, damit sie das Log vergisst? Oder geht es mit einem Reset über die Telefontastatur, die Logfiles zu löschen? Oder wie sonst?

Letzte Frage: Wenn die Logdaten einmal weg sind, sind sie weg? Oder kann ein Daten-Forensiker da wie bei einer Festplatte noch etwas retten?
 
Weitere Frage: Wie hat er die alten Logdaten gelöscht, die Admin-Oberfläche ist m.W. ohne Passwortkenntnis kaum knackbar?
Hallo,
Es reicht meines Wissens nach, die Box einmal vom Strom zu nehmen und neu zu starten. Dann dürfte das Log verschwunden sein.

Ob man etwas wiederherstellen kann, mag ich nicht zu vermuten. Allerdings dürfte es schwer bis unmöglich sein.

Ob man die beiden Mitbewohner deswegen rankriegen kann? :noidea: Ich fürchte nein...
 
Moin,
ja, die logs werden bei einem schlichten Reboot schon gelöscht.
Zum Rest des Themas: Erstmal gilt die Störerhaftung, insofern ist dein Schwager verantwortlich solanger er nichts anderes Bewesen kann.
Am Rande: Macht euch mal über die mahnende Anwaltskanzlei schlau. Stichwort Abmahnanwalt, Abmahnwahn.... ;-)
Gute Anlaufstellen sind netzwelt.de und www.abmahnwahn-dreipage.de
 
endjuser, Du könntest bei AVM einmal deswegen nachfragen.

Sie wollten einmal von mir trotzdem die Supportdaten haben (es ging um An- und Abmelden von WLAN-Geräten vor zwei Jahren), obwohl die FB nach Steckerziehen neu gestartet wurde. Ich weiß zwar nicht, ob dann nochwas in den Supportdaten diesbezüglich zu finden war, aber ich hatte auch nicht weiter danach gefragt...
 
...zwei Mitbewohner derweil Zugang zu seinem WPA-gesicherten Fritzbox-WLAN...
Es ist halt immer(!!) eine Gefahr, andere Leute in sein WLan zu lassen. Sogar über den neuen Gastzugang. Zukünftig sollte er ggf. den Key vor einem Urlaub ändern, bzw sich ggf. schriftlich absichern, wer Zugang hat.

Ob und wenn ja wie wir hier eine "Rechtsberatung" daraus machen können ... ich denke, Du solltest Dich, wie Colonia geschrieben hat, über den Anwalt informieren und ggf. selber einen Beistand/Verbraucherschützer aufsuchen.
 
Schöner Fall , bzw schöner Ärger.

Zu deinen Fragen :

1. Die Fritzbox vergisst nach einem Neustart (zb durch Stromabschaltung) das Logfile. Ein Zugang (zur Oberfläche) ist dafür nicht notwendig.
2. Ja die Daten sind wie bei anderen Systemen teoretisch wiederherstellbar. Ob die Box dürfte aber dann jetzt keine weiteren Daten mehr schreiben (bevor die alten überschrieben werden). Die ist aber nur der Fall wenn die Liste nicht im flüchtigen Arbeitspeicher sonder auf den Flashchips gespreichert wird. (ich glaube schon)
3. Bei solchen Abmahnung reicht es in der Regel allerdings dem Abmahner die Wohnverhältnisse auszuzeigen (mehrfach guntzes WLAN) und darauf hinzuweisen dam man selbst sich im Ausland befand. Die Störerhaftung ist nach wie vor in Deutschland heiß diskutiert aber meißtens im Sinne des Kunden. Hier muß der letztlich Abmahner beweisen, dass es dein Schwager war.
4. Letzters erfordert Mut , da mit sämtlichen Dohgebärden der Abmahner zu rechnen ist. Ein Rechtschutzversicherung vorausgesetzt ist der kostengünstigste Weg sich einen Anwahlt zu Unterstützung hier zu wählen. Hast man keine gibt es kostenlose rechtliche Beratungstellen die u.U. auch mit vor Gericht ziehen.
5. Letztlich wäre es nicht das erste Mal das der Verdacht gundlos bzw falsch ist. Häufig sind veraltete Programme (seitens der Abmahner) oder fehlerhafte Prozesse (beim Internetzugangsprovider) daran schuld.
6. Was möchtest du eigentlich mit dem Logfile beweisen? Dort steht nicht drinn wer wo war. Maximal ob jemand an diesem Tag angemeldet (WLAN & Internet) war.

Vg
 
Der illegale Download erfolgte durch eine Person, die zu identifizieren ist. Da sich der Inhaber des Anschlusses (wohl nachweisbar) nicht im Nutzungsbereich seiner Fritz!Box Fon befand, kommt er hierfür nicht in Frage. Es käme nun darauf an, die Zeitpunkte der Downloads mit den feststellbaren Anwesenheiten der Untermieter abzugleichen bzw. mit z.B. E-Mails, die sie zur gleichen Zeit verschickt haben, was darauf schließen läßt, daß sie online waren. Weiterhin würde ich das nicht einem Abmahnanwalt überlassen, sondern aus Eigenschutz unmittelbar auf die Beweissicherung der Daten auf den PCs/Laptops der Untermieter drängen. Zur Not erfolgt dies per Strafanzeige und richterlichen Beschluß. Letztendlich ist dies der einzige Weg, mit den aktuell vorliegenden Informationen schlüssig den Downloader zu identifizieren bzw. Unbeteilige auszuschließen. Solange es unplausibel ist, daß Dein Schwager die Downloads selbst durchgeführt hat und andere, bekannte Personen dafür in Frage kommen, dürfte der Abmahnanwalt auch ein Problem haben, die gerichtliche Eintreibung der EUR 1600 durchzuführen.

--gandalf.
 
...und die Überlassung des WLAN-Keys ggfs. auch noch zu Problemen führen kann.
 
@all Danke für die vielen Hinweise!

@Bibie Stimmt. Werde mal bei AVM anfragen.

@3949354 Mit geht es nicht um eine "Rechtsberatung", sondern um die Fragen bezüglich der Fritzbox-Logs und ihrer Aussage-Kräftigkeit. Und damit zu

@worryboy - was will ich mit dem Fritzbox-Log erreichen:

1. Die IP-Adresse laut Fritzbox (im Log steht, wann sich die Box mit DSL synchronisiert hat und welche IP-Adresse sie bekam) mit der vom Abmahnanwalt mitgeteilten IP-Adresse abgleichen.

2. Da die Fritzbox WLAN-An- und Abmeldungen mitloggt, möchte ich sehen, wer zur "Tatzeit" (im Abmahn-Schreiben minutiös aufgeführt) online war.

3. Da die Logs aber "zufälligerweise" gekappt sind, gehen 1 und 2 nicht mehr. Nun möchte ich wenigstens herausfinden, wer die Logs vorgestern gelöscht haben könnte - wenn's denn nicht ausgerechnet ein Stromausfall war. Und da finde ich eben heraus, dass einer der beiden "Verdächtigen" mit seinen beiden Rechnern online war.

@gandalf94305 - denke inzwischen, dass ein Abgleich in der "Real world" - sprich: wer von den Untermietern war im Haus, wer nicht - mehr Sinn hat als die verstümmelten Fritz-Logs. "Beweissicherung auf den PCs der Untermieter" klingt gut - aber so ohne Weiteres würde auch ich meinen PC nicht an Dritte herausrücken, obwohl ich keine Abmahner zu fürchten hätte.
 
@endjuser
Es ging mir nicht darum, Dich hier zu stoppen. Es ging mir mehr darum dass es hier nicht in einer Rechteberatung endet, wie schon oft passiert.

Aber was meinst Du hiermit:
(im Abmahn-Schreiben minutiös aufgeführt)
 
Ich hatte auch schon einmal so ein nettes Schreiben bei mir im Briefkasten. Angeblich wegen einem Porno.

Ich habe damals die ganze Sache zum Rechtsanwalt gegeben. Unterm Strich sah es so aus, dass diese Abmahn-Firma, wie fast alle anderen auch, nur Massenabmahnungen herausschickte und keine Providerauskunft hatte. Sprich, das goldene Wort hier, heisst hier Providerauskunft. Solange diese nicht vorliegt, können diese Abmahnanwälte mit IP Adressen um sich schmeißen wie Sie lustig sind und haben letzten Endes keinen Beweis, dass du es gewesen sein solltest.

In der Providerauskunft wird z. B. von 1&1 ganz klar festgelegt, welcher Kunde / User wann welche IP Adresse gehabt hat.

Damals habe ich sehr oft in Foren gelesen, dass Leuten eine Massenabmahnung geschickt wurde für Dateien die Sie niemals gedownloadet hatten oder während diese in Urlaub waren.
 
@3949354 Alles klar. Und zu der Nachfrage: In den beiden Abmahn-Schreiben (pro Datei ein Schreiben und pro Schreiben hoher Kostenaufwand ...) steht jeweils, welche Datei unter welcher IP für wieviele Minuten (Uhrzeit von ... bis) angeboten wurde. Das meinte ich mit minutiös.
 
:? Angeboten oder heruntergeladen? Sorry wenn ich nachfrage. Aber dann wurde ja "wahrscheinlich" von einem der beiden etwas "verteilt".
 
Angeboten. Da P2P, wird beim Runterladen zwangsläufig auch angeboten. Natürlich geht es dem Musikfreund eigentlich nur um den Download. Die Abmahner wiederum interessieren sich brennend für das illegale Anbieten, denn damit machen sie Kasse ...
 
Endjuser, kommst Du an die FB heran? Wenn ja, mach doch schon mal sicherheitshalber eine Supportdatei für den Fall, daß man da doch was herauslesen kann - ehe das vielleicht noch überschrieben wird... ;)

Ich weiß nicht, ob dich der Link zur Supportdatei führt, denn ich hab hier nur eine FB 7270v2: Klick
 
Danke. Habe leider keinen Zugang zu der betreffenden Fritzbox mehr. Habe die Generierung der Support-Datei aber mal mit meiner Fritzbox (ebenfalls 7270) probiert. Tatsächlich ist dort unter dem Kapitel [events] das Log erfasst, allerdings auch nur in dem Umfang wie über das Admin-Interface zu sehen.
 
ein Abgleich in der "Real world"
Genau. Die Logs in der FBF könnten sogar vor Gericht zerpflückt werden, da sie nicht ordnungsgemäß beweisgesichert wurden und ggf. manipuliert werden können. In jedem Fall wäre das eher ein Indiz als ein Nachweis. Sollte es allerdings möglich sein, den Nachweis zu führen, daß zu mind. einem der in den Schreiben genannten Zeitpunkt nur einer der Untermieter mit seinem PC anwesend war, dann wäre dies deutlich verwertbarer (wobei wir natürlich alle wissen, daß Rechner auch laufen können, wenn man selbst nicht anwesend ist).

Der eigentliche Nachweis wäre daher die Beweissicherung auf den PCs: wer nutzt P2P, wer hat irgendwelche fragwürdigen Dateien überhaupt auf dem PC, wer besitzt die genannten Dateien? Das sollte nicht durch Dich oder den Schwager erfolgen, sondern durch die Polizei. Das Hauptproblem sehe ich darin, daß der Schwager die beiden Kandidaten informiert hat, obwohl akut Verdunkelungsgefahr bestand/besteht. Beweise könnten also inzwischen vernichtet sein.

--gandalf.
 
Wenn ich mal kurz von der Seite hineingrätschen darf:
Diese Seite ist die Seite, die Dein Interesse wecken sollte:
http://www.netzwelt.de/forum/allgemeine-filesharing-diskussionen/
Viel Spaß beim Lesen des für Dich relevanten Threads.:mrgreen:
Hier kann ich nur kurz folgendes zusammenfassen:
Egal, wer die Dinge herunter geladen hat, es spielt keine Rolle, Du / Dein Schwager ist der Störer, ihr habt in letzter Konsequenz die Schuld und müsst die Abmahnkosten tragen. Ihr könnt diese nur auf die Mitsurfer weiter geben, wenn diese rechtssicher ihr Vergehen einräumen! Somit muss Dein Schwager erst einmal alle Konsequenzen tragen.
Es ist ein lukrativer Markt, daher werden diese Abmahnanwälte mit Sicherheit nicht so schnell klein bei geben. Anzuraten ist auf jeden Fall ein auf dieses Abmahnwesen spezialisierter Anwalt, kein Wald- und Wiesen-Anwalt bei Dir Vorort. Diesen findest Du in dem oben genannten Forum oft genug aufgelistet bzw auch über die Seite Abmahndreipage (Link weiter oben) Ein scheinbar recht guter seines Fachs soll der Hamburger Anwalt Dr. Wachs sein. Er ist auch schon des Öfteren im Fernsehen gesehen worden und hat auch (auf heise nachlesbar) einiges zugunsten der Beklagten bewegt. Wenn diese abmahnenden Anwälte eine ausreichende fundierte Gegenwehr erhalten, halten sie im Gegenzug (erst einmal) still, wenn Du Glück hast, bis zur Verjährung (3 Jahre ab dem 31.12 des Abmahnjahres).
Irgendwelche Logs oder andere Auszüge aus der Fritz werden noch nicht einmal helfen, wenn Du diese denn hättest, denn beweissicher sind diese nicht. Auch ist nicht sichergestellt, dass Dein Schwager diese Schandtat nicht selbst vollzogen hat. In Zeiten, in denen man seine PCs auch aus der Ferne steuern kann, ist auch das kein Argument mehr.
Daher gehe auf Nummer sicher, lass die Logs Logs sein und konzentriere Dich auf eine vernünftige Gegenwehr. Das hat viel mehr Erfolg und kostet (in der Regel) nur einen Bruchteil dessen, was die Abmahnung an Geld in die Kasse der entsprechenden Anwälte spült.
Und glaube mir: Machst Du Fehler, wird die Gegenseite das schamlos zu ihren Gunsten ausnutzen. Daher versuche noch nicht einmal, eine Schuld anderen in die Schuhe zu schieben, es nützt Dir rechtlich nichts.
 
Ich verweise noch einmal auf meinen Beitrag Nr. 11 und dem Stichwort "Providerauskunft".

Wenn der Abmahnanwalt diese Providerauskunft der Abmahnung nicht beigelegt hat oder diese nachreichen kann, fehlt Ihm jeglicher Beweis, dass die IP Adresse zu dem Zeitpunkt deinem Anschluss zugeordnet war.

Falls dem nicht so ist, kannst du der Abmahnung getrost ins Auge sehen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.