Die sichere Vernichtung von Daten ist ein bisher wenig beachtetes Thema. Jeder Windows-Benutzer weiß, dass er Daten aus dem Papierkorb wiederherstellen kann. Aber leider denken auch viele, das Leeren des Papierkorbs bedeute das endgültige Löschen der Daten. Doch sind die Daten wirklich weg?
Jeder, der in seinem Büro oder zu Hause wichtige Papiere wegwerfen will, die niemand sonst in die Hände bekommen soll, wird sie durch einen Aktenvernichter schieben. Sicherheitsbewusste Firmen lassen die entstehenden Papierschnipsel anschließend sogar von Spezialfirmen sicher entsorgen. Und was machen Sie mit wichtigen Daten auf Ihrem PC?
Fakt ist, dass auch Daten, die nur mit dem DELETE-Befehl oder aus dem Papierkorb gelöscht wurden, sich wiederherstellen lassen. Das Betriebssystem löscht nicht die Daten selbst aus dem Dateisystem, sondern lediglich den Verweis auf die Datei. Mit Hilfe spezieller Recovery-Programme können diese gelöschten Daten gesucht und rekonstruiert werden.
Fundgrube bei eBay
Die beiden Wissenschaftler Simson Garfinkel und Abhi Shelat des Massachusetts Institute of Technology (MIT) haben dies eindrucksvoll bewiesen: Sie ersteigerten bei eBay 158 Festplatten diverser Anbieter und versuchten dann, mit relativ einfachen Mitteln Daten wiederherzustellen. Dabei stellten sie fest, dass nur zwölf Festplatten korrekt gesäubert waren. Auf den anderen fanden sie Liebesbriefe, pornografische Bilder und Dokumente sowie Patientendaten aus Arztpraxen. Der "Hauptgewinn" war eine Festplatte aus einem US-amerikanischen Geldautomaten, der Kontonummern und Kontostände der Kunden sowie Teile der Software des Automaten enthielt.
Auch wenn dies nur eine stichprobenartige Untersuchung war, so ist doch eines daraus abzuleiten: Selbst in sensiblen Bereichen wie dem Gesundheits- und Bankwesen existiert noch immer kein ausreichendes Bewusstsein für die Sicherheitslage der Daten nach Ausmusterung von Festplatten und Computern.
Heutzutage werden immer mehr Rechner geleast und nach Vertragsablauf wieder zurückgegeben. Aber was passiert mit den Festplatten? Werden sie vorher gesäubert oder gar vernichtet? Einige Unternehmen und Behörden haben hierzu bereits Vorgehensweisen festgelegt, die vom physikalischen Zerstören der Festplatten bis hin zur gründlichen Säuberung mit Software reichen. Aber das ist momentan noch nicht die gängige Praxis.
Wo werden Daten gespeichert?
Bevor man sensitive Daten restlos löschen kann, muss man zunächst wissen, wo sich diese Daten überhaupt befinden. Denn oft ist es nicht nur die eigentliche Datei, die gelöscht werden muss, um alle Spuren zu beseitigen:
Beim Kopieren, Verschieben und Komprimieren von Dateien bleibt die ursprüngliche Version der Datei erhalten. Mit Vorsicht sind auch so genannte Versionierungssysteme zu genießen, bei denen explizit alte Versionen von Dateien aufgehoben werden, um sie später etwa für Vergleiche und Wiederherstellungen zu nutzen.
Insbesondere ist an dieser Stelle auf Windows 2003 Server mit seinen neuen Schattenkopien hinzuweisen. Diese sollen den Benutzer vor dem versehentlichen Ändern oder Löschen von Dateien auf dem Server bewahren. Deshalb werden Änderungen an den Dateien in speziellen Speicherbereichen der Festplatte aufbewahrt, um so alte Versionen wiederherstellen zu können. Insofern ist hier ebenfalls das Löschen dieser (Schatten-)Dateien notwendig, um die Daten vollständig zu vernichten.
Aber auch ohne die neuen Schattenkopien erstellt Windows Kopien der Daten: Temporäre Dateien beinhalten Zwischenversionen der eigentlichen Datei, und in der Auslagerungsdatei werden Speicherbereiche, die nicht mehr in den Hauptspeicher passen, aufbewahrt, um später wieder in den Hauptspeicher geladen zu werden. Temporäre Dateien werden zwar in der Regel beim Beenden des zugehörigen Programms gelöscht, aber hier ist das Löschen erneut nur das Freigeben des Speicherplatzes auf der Festplatte, so dass sich diese Daten ebenfalls rekonstruieren lassen.
Versteckte Datenspeicher
Daten verbergen sich auch an einigen Stellen, auf die man als Benutzer normalerweise keinen Zugriff hat. Eines dieser Probleme stellen die so genannten Cluster-Tips dar. Jede Festplatte wird beim Formatieren in Zuordnungseinheiten, sogenannte Cluster unterteilt. Sie sind die kleinste Einheit einer Festplatte, die vom Betriebssystem verwendet werden kann.
Bei den heutigen Größen von Festplatten im zwei- oder dreistelligen Gigabyte-Bereich sind Zuordnungseinheiten mit einer Größe von 64 KByte keine Seltenheit. Für das Betriebssystem bedeutet dies, dass selbst eine nur 1 KByte große Datei einen kompletten Speicherblock belegt. Der Rest von 63 KByte dieses Blocks bleibt dabei ungenutzt.
Normalerweise ist das nicht problematisch, aber Speicherbereiche werden ja auch wieder freigegeben und mit anderen Daten überschrieben. Stellen wir uns vor, eine Datei hätte die Größe von 62 KByte und belegt damit einen Cluster fast komplett. Diese Datei wird nun gelöscht - die Daten bleiben erhalten, nur der Verzeichniseintrag verschwindet.
In diesen Block wird danach eine neue Datei geschrieben. Diese sei für unser Beispiel nur 10 KByte groß. Somit werden auch nur die ersten 10 KByte des Blocks überschrieben. Der Rest der alten Datei von immerhin 52 KByte bleibt physikalisch auf der Festplatte erhalten. Dieses Beispiel kann auch auf größere Dateien übertragen werden. Dort ist dann jeweils die Information im letzten Datenblock durch diese so genannten Cluster-Tips gefährdet.
Das besondere Problem hierbei: Diese Fragmente kann man ohne spezielle Hilfsmittel nicht mehr löschen, da der Block ja als zu einer existierenden Datei gehörig markiert ist. Mit einem simplen Diskeditor, der den Inhalt der physikalischen Sektoren anzeigt, kann jeder diese Informationen auslesen. Nur mit Hilfe spezieller Löschprogramme lassen sich diese Bereiche tatsächlich löschen. Dieses Verfahren wird als Wiping (Verwischen) bezeichnet.
Daten zwischen den "Zeilen"
Das Speichern der Daten auf einer Festplatte erfolgt durch die Magnetisierung kleinster Eisenpartikel, die entsprechend ihrer Ausrichtung den Wert 0 oder 1 liefern. Diese Partikel sind auf der Oberfläche der Platten aufgetragen und werden in Spuren unterteilt, in denen der Kopf der Festplatte die Daten lesen und schreiben kann.
Die Daten werden aber nicht nur in der Hauptspur der Festplatte geschrieben, sondern beeinflussen auch die Magnetisierung der Ränder, die so genannten Nebenspuren. Allerdings ist das Magnetfeld beim Schreiben dort bereits so schwach, dass ein Überschreiben der Daten auf der Hauptspur die Informationen in der Nebenspur nur teilweise löscht.
Für den potenziellen Angreifer sind diese Informationen in den Nebenspuren geeignet, selbst überschriebene Daten wiederherzustellen. Früher wurden hierzu einfache Verfahren wie eine minimale Dejustierung der Festplattenköpfe verwendet. Heutzutage sind diese Nebenspuren auf Grund der höheren Speicherdichte schwieriger zu erreichen. Dafür sind ein erheblicher technischer und finanzieller Aufwand und detailliertes Wissen erforderlich - vermutlich sind nur sehr gut ausgestattete Datenrettungsunternehmen oder auch Geheimdienste dazu in der Lage.
Versteckte Sektoren
Weitere "Verstecke" für Daten können Sektoren der Festplatte sein, die von der Elektronik in einer internen Liste als defekt markiert und ausgeblendet werden. Hier stehen dann unter Umständen noch sensitive Daten, die durch einfaches Löschen der Liste wieder hervorzuholen sind. Da der Anwender es nicht bemerkt, wenn seine Festplatte einen Sektor als defekt erkennt und ihn durch einen Reservesektor austauscht, hat er hier wenig Eingriffsmöglichkeiten.
14 Prozent der Festplattenausfälle verursacht ein simpler Defekt in der Elektronik. Die Magnetscheiben sind also noch völlig in Ordnung. Passiert dies in der Garantiezeit, ist man schon mal versucht, die Platte einzuschicken. Hier sollten Sie allerdings beachten, dass Ihnen eventuell eine andere Platte zurückgeschickt wird und Ihre Festplatte mit einer neuen Elektronik wieder in den Handel gelangt - zwar formatiert, aber das lässt sich unter bestimmten Umständen und mit viel Aufwand rückgängig machen.
Daten sicher löschen
Löschen ist nicht gleich Löschen. So löscht beispielsweise das Verschieben von Dateien in den Windows-Papierkorb und dessen anschließende Leerung die Daten nicht wirklich von der Festplatte. Vielmehr wird nur der Verzeichniseintrag entfernt, die eigentlichen Daten bleiben weiterhin auf der Festplatte und können somit rekonstruiert werden. Auch das Formatieren von Partitionen und selbst eine Low-Level-Formatierung auf BIOS-Ebene sind keine sichere Löschung, da die Daten - wenn auch mit mehr Aufwand - immer noch zu rekonstruieren sind.
Selbst ein- oder zweimaliges Überschreiben lässt sich durch einen Fehlerfilter ausgleichen, und frühere Daten können wieder "zum Vorschein" gebracht werden. Dabei bedient man sich des physikalischen Effekts, dass die Nullen und Einsen auf der Festplatte durch analoge Magnetfelder dargestellt werden. Die elementaren Speicherbereiche für ein Bit sind dabei jedoch nie vollständig in eine Richtung magnetisiert.
Wird ein 0-Bit durch ein 1-Bit überschrieben, beträgt die resultierende Feldstärke dieses Bereichs beispielsweise nur 90 Prozent des Maximalwerts. Ein erneutes Überschreiben eines 1-Bits mit einem weiteren 1-Bit erhöht sie jedoch auf 99 Prozent. Im Normalbetrieb gleicht die Hardware der Festplatte diese Variationen aus, so dass man immer nur die zuletzt gespeicherte Information erhält.
Mit einer Mikroanalyse des analogen Datensignals kann man dadurch aber Rückschlüsse auf bereits überschriebene Datenwerte ziehen. Zeigt ein 1-Bit eine Feldstärke von 90 Prozent, war dort vorher eine logische 0 gespeichert. Liegt der Analogwert bei 99 Prozent, war eine 1 vor dem Überschreiben abgelegt.
Dieses Verfahren ist zwar technisch aufwendig und auch nicht ganz billig, es zeigt aber, dass das bloße Überschreiben der Daten diese nicht auslöscht. Deshalb verwenden die gebräuchlichen Löschverfahren immer eine Kombination aus einem Datenwert und dessen Komplement, um das geschilderte Differenzverfahren unbrauchbar zu machen.
Spezielle Software zum sicheren Löschen
Der Markt hält eine Reihe spezieller Löschprogramme bereit, die das sichere Löschen von Daten ermöglichen. Hierbei werden spezielle Verfahren verwendet, die beispielsweise vom US-amerikanischen Verteidigungsministerium (Department of Defense, DoD) oder auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschlagen wurden.
Einer der bekanntesten Algorithmen ist der erweiterte NISPOM (US DoD 5220.22-M ECE), der ein siebenmaliges Überschreiben definiert. Hierbei werden abwechselnd Zufallswerte, vordefinierte Werte und deren Komplement geschrieben.
Aus heutiger Sicht gilt die von Peter Gutmann entwickelte Methode als die sicherste, bei der die Daten bis zu 35 Mal überschrieben werden. Dabei werden alle bekannten Bitmuster, die zur Speicherung auf der Festplatte verwendet werden können, nacheinander geschrieben und somit das analoge Signal derart verrauscht, dass eine Rekonstruktion der Daten so gut wie unmöglich ist.
Löschen mit Magnetfeld
Schwieriger ist es, die Daten von defekten Festplatten sicher zu löschen. Über Software-Tools besteht hier keine Möglichkeit mehr. Ibas bietet für solche Fälle den DG-01 Degausser an. Er zerstört durch Aufbau eines starken Magnetfeldes alle Informationen auf magnetischen Datenträgern. Festplatten sind nach diesem Vorgang nicht mehr funktionstüchtig, weil dabei auch die Servo-Informationen auf den Magnetscheiben gelöscht werden.
Der Degausser generiert eine magnetische Flussdichte von 0,8 T. Damit liefert er die doppelte Feldstärke verglichen mit der, die Festplatten intern zum Schreiben nutzen (0,15 bis 0,3 T). Damit löscht er alle Informationen garantiert. Wer entsprechende Beziehungen hat, kann alternativ einen Kernspintomographen nutzen: 1,5 bis 8 T herrschen in der Röhre.
Handelsübliche Ring- oder Hufeisenmagnete genügen dagegen nicht: Ihre maximal 0,05 T sind zu schwach. Im laufenden Betrieb der Festplatte lassen sich damit bereits Betriebsstörungen verursachen. Verschwindend gering ist dazu im Vergleich die magnetische Flussdichte des Erdmagnetfeldes mit durchschnittlich 50 µT.
Fazit
Datensicherheit betrifft nicht nur den Schutz vor Angriffen von außen, sondern auch vor Angriffen nach der Ausmusterung des Datenträgers. Insbesondere Festplatten sind wahre Fundgruben für findige Datenschnüffler. Denn nur mittels spezieller Software lassen sich Daten sicher von der Festplatte löschen. Die Bordmittel der heutigen Betriebssysteme reichen hierfür nicht aus.
Vor allem Disketten und Wechselplatten sind auf Grund ihrer geringen Spurdichte ideale Opfer für die beschriebenen Rekonstruktionsverfahren. Ein gesondertes Problem sind defekte Festplatten, weil diese sich nach einem Ausfall in der Regel nicht mehr benutzen lassen. Darum sollten wichtige Daten immer sofort gründlich gelöscht werden, auch wenn es ein paar Sekunden länger dauert. Eine Software zum sicheren Löschen gehört genauso zur Standardausstattung eines sicheren PCs wie ein Virenscanner. (mha)
Diplom-Informatiker Olaf Kehrer ist Technischer Geschäftsführer der Firma O&O Software, die sich unter anderem mit dem Thema sichere Datenlöschung beschäftigt. Die Produkte O&O Bluecon sowie O&O SafeErase bieten Löschfunktionen nach dem Gutmann-Verfahren.