Viele eBay-Festplatten bringen Vertrauliches mit

Die beiden Graduierten-Studenten hatten insgesamt 158 Massenspeicher zu Testzwecken ersteigert und untersucht. Sie fanden in einem besonders krassen Fall 2868 Kreditkarten- sowie Kontonummern, Überweisungsdaten und Angaben zu Kontoständen auf einer Festplatte, berichtet die Computerwoche.

Simson Garfinkel und Abhi Shelat, die die Ergebnisse in einem Bericht "A Remembrance of Data Passed: A Study of Disk Sanitization Practices" heute in dem Fachblatt "IEEE Security & Privacy" veröffentlichen werden, glauben, dass diese Festplatte aus einem Bankautomaten aus dem Bundesstaat Illinois stammt. In diesem besonders gravierenden Fall hätte sich der ursprüngliche Besitzer der Festplatte vor dem Verkauf über eBay nicht einmal die Mühe gemacht, den Datenträger zu formatieren. Auf einer anderen Festplatte, die zwar formatiert wurde, deren Daten die Studiosi aber wieder eruierten, waren sogar 3722 Kreditkartennummern verewigt.

Von den 158 untersuchten Festplatten konnten bei 117 die Daten wieder lesbar gemacht werden - egal, ob die Datenträger wenigstens einmal formatiert oder die Informationen auf eine andere Art gelöscht schienen. 28 Festplatten (also immerhin 17 Prozent) enthielten ein komplett aufgespieltes und funktionsfähiges Betriebssystem samt Benutzerdaten, die ohne weiteres lesbar waren. Auf 49 dümpelten immer noch "wichtige persönliche Informationen", also etwa Krankenstandsberichte, Liebesbriefe, pornografisches Material und eben Kreditkartennummern, sagte Garfinkel. Lediglich 12 Festplatten, also nur neun Prozent der insgesamt 158, waren vor dem Verkauf so gründlich von Daten gereinigt worden, dass sie auch im nachhinein nicht mehr erforscht werden konnten.

Die Erkenntnisse der MIT-Studenten stellen keinen Einzelfall dar. Bereits vor einem Jahr wurde bekannt, dass der US-Bundesstaat Pennsylvania gebrauchte Rechner an einen Händler verkaufte, obwohl auf den PCs noch Daten von Staatsbediensteten gespeichert waren. 1997 wiederum erwarb eine Frau aus dem Staat Nevada einen Gebrauchtcomputer, der Daten von rund 2000 Kunden und die für diese verschriebenen Arzneimittel enthielt. Das Problem nicht gründlich gelöschter Daten ist dabei längst bekannt: Herkömmliche DOS- oder Menübefehle von Windows-Betriebssystemen wie "Löschen" oder "Formatieren" gaukeln dem Benutzer vor, dass seine Daten unwiderruflich gelöscht würden. Tatsächlich aber setzt das Betriebssystem zumindest im Fall der "Löschung" lediglich in der FAT-Datei, dem "Inhaltsverzeichnis" einer Festplatte, einen Vermerk, dass diese Daten durch neue überschrieben werden können. So lange sie dies aber nicht sind, lassen sie sich durch Zusatz-Software-Werkzeuge wieder lesbar machen.

Interessanterweise, fanden die beiden MIT-Studenten heraus, sind Privatpersonen bei der Vernichtung ihrer gespeicherten Daten viel gründlicher: "Im Zweifelsfall schmeißen sie ihre Festplatten weg und verhökern sie nicht noch für wenig Geld über eBay. Oder, wenn sie ganz auf Nummer sicher gehen wollen, nehmen sie sich mit dem Hammer ihren Datenträger vor." Firmen hingegen sind weit davon entfernt, ihre Daten in verantwortungsvoller Weise zu entsorgen. Dabei gibt es diverse Programme entweder kostenfrei im Internet oder als teure Zusatz-Tools, mit denen Festplatteninhalte wirklich gelöscht werden können. (Computerwoche/uba)