Dein Computer wirkt intakt, der Hintergrund ist derselbe und kein Fenster blieb offen… aber etwas in dir sagt, dass ihn jemand benutzt hat, während du nicht da warst. Kommt dir das bekannt vor? Ruhe bewahren: Windows ist wie jener penible Freund, der jedes Ticket aufhebt; vielleicht schreit es dir das nicht ins Gesicht, aber es hinterlässt eine klare Spur von Aktivität, die du prüfen kannst, ohne irgendetwas Merkwürdiges zu installieren. Tatsächlich kannst du mit ein paar Tastenkombinationen und einem Blick in die Systemprotokolle bestätigen, ob fremde Hände an deinem PC waren, selbst wenn alles normal aussieht. Du musst dich nicht in einen Forensiker verwandeln mit git log oder eine Remote-Sitzung per SSH aufsetzen: das Betriebssystem selbst speichert die Hinweise, die du brauchst.
Schnelle Hinweise: kürzlich verwendete Dateien und Apps
Fangen wir mit dem Naheliegendsten an. Drücke Win + R, um das Ausführen-Fenster zu öffnen, gib «recent» ein und bestätige. Es öffnet sich der Ordner der Zuletzt verwendeten Elemente, eine Art „Blackbox“, in der Windows Dokumente und zuletzt geöffnete Dateien auflistet. Hier geht es darum, das Gesehene mit dem abzugleichen, woran du dich erinnerst: Wenn ein seltsames PDF auftaucht, ein Bild mit einem Namen, der dir nichts sagt, oder ein Dokument, das zu einer Zeit bearbeitet wurde, in der du nicht da warst, hast du ein erstes Indiz.
Außerdem zeigt dieser Ordner nicht nur Namen: Zugriffsdatum und -uhrzeit sind entscheidend, um nachzuvollziehen, was passiert ist, als du nicht hingesehen hast. Wenn du das Gerät teilst oder es jemals unverschlossen liegen gelassen hast, gibt dir diese Liste schnell einen Überblick über die jüngste Aktivität, ohne dass du Ordner für Ordner durchsuchen musst. Meistens sind auch die Anwendungen angegeben, mit denen die Dateien geöffnet wurden, was dir hilft, Muster zu erkennen (zum Beispiel mehrere DOCX-Dateien nacheinander in einem Textverarbeitungsprogramm).
Was ist gut an dieser ersten Überprüfung? Sie ist sofort und visuell, fast so einfach wie Strg+Alt+Entf, aber ohne etwas zu unterbrechen; und wenn du hier bereits Ungereimtheiten findest, lohnt es sich, tiefer zu graben.
Die Ereignisanzeige: das Protokoll, das nicht lügt
Für eine genauere Überprüfung musst du die Protokolle anschauen. Öffne erneut Ausführen (Win + R), gib «eventvwr.msc» ein und bestätige. Willkommen in der Ereignisanzeige: Hier speichert Windows mit Zeitstempel ein detailliertes Protokoll dessen, was im System passiert. Klappe „Windows-Protokolle“ auf und öffne „Sicherheit“. Dieser Bereich enthält Anmelde- und Abmeldeereignisse mit Zeitangaben, mit denen du die Aktivität nahezu millimetergenau rekonstruieren kannst.
Wenn du vermutest, dass jemand den Rechner eingeschaltet oder aufgeweckt hat, helfen dir diese Ereignisse, Zeiten festzulegen: Du siehst, wann eine Anmeldung erfolgte und wann sie beendet wurde, sowie Nutzungsintervalle, die möglicherweise nicht mit deiner Routine übereinstimmen. Das Starke an dieser Methode ist, dass sie nicht davon abhängt, ob die andere Person eine bestimmte Datei geöffnet hat; selbst wenn versucht wurde, alles wieder sauber aussehen zu lassen, hinterlässt der Zugriff auf das System Spuren in diesen Protokollen.
Außerdem beschränkt sich die Ereignisanzeige nicht auf ein paar lose Einträge: Du wirst Abfolgen von Aktivitäten sehen, die zusammengenommen eine Geschichte erzählen. Zum Beispiel eine Anmeldung am frühen Morgen, ein paar Minuten Aktivität und ein späteres Abmelden. Vergleiche diese Daten mit dem, was du in den Zuletzt verwendeten Elementen gefunden hast, und du erhältst ein stimmiges Bild der tatsächlichen Nutzung des PCs. Es ist, als würdest du vom „ich habe ein komisches Gefühl“ zur „genauen Zeitlinie“ wechseln.
Deute die Hinweise und handle klug
Mit beiden Informationsquellen in der Hand geht es ans Interpretieren. Wenn du in den Zuletzt verwendeten Elementen Dateien findest, die du nicht kennst, und gleichzeitig Anmeldeereignisse zu ungewöhnlichen Zeiten im Sicherheitsprotokoll entdeckst, ist das Muster klar: Dein PC wurde benutzt. Wenn hingegen nur deine üblichen Dokumente angezeigt werden und die Protokolle mit deinen Zeiten übereinstimmen, kannst du aufatmen, denn höchstwahrscheinlich hat niemand daran herumgewerkelt.
Es ist außerdem wichtig, die Grenzen zu kennen: Jemand mit Fachwissen könnte versuchen, bestimmte Spuren zu löschen, doch selbst dann hinterlässt die Kombination aus zuletzt verwendeten Dateien und zeitlichen Einträgen im System meist genug Krümel, um berechtigt Verdacht zu schöpfen. Es geht nicht darum, in Paranoia zu verfallen, sondern sich auf objektive Daten zu stützen, die Windows von Haus aus speichert.
Der Schlüssel ist, systematisch vorzugehen: Zuerst der schnelle Blick auf die zuletzt verwendeten Elemente, um offensichtliche Anomalien zu erkennen, dann die Analyse in der Ereignisanzeige, um die Chronologie festzulegen. Damit in der Hand hast du Antworten, keine Vermutungen. Und das Beste: Du musst kein Systemadministrator werden oder exotische Einstellungen ändern; es genügen zwei Systemkurzbefehle und die Fähigkeit, die Punkte zu verbinden. Bereit, das zu überprüfen und die Gewissheit zu bekommen, dass dein PC, wie eine gut abgestimmte NVMe-SSD, performant ist und dir zudem verrät, was passiert, wenn niemand hinsieht?
