Artikel  ~  Howtos  ~  Impressum 

Datenvernichtung - aber richtig

Einführung

Der alte Desktop PC hat ausgedient, der Laserdrucker ist defekt oder das Mobiltelefon muss einem neueren Modell weichen. Ob die alte Hardware nun entsorgt, verkauft oder verschenkt wird: es bleibt die Frage, was mit den alten Daten auf den Speichermedien passiert. Dass ein einfaches Löschen der Daten nicht reicht, soll dieser Artikel beleuchten. Es geht hierbei nicht um die Gefahr, der Daten während dem Betrieb eines Geräts ausgesetzt sind, sondern was bei der Entsorgung oder Veräusserung beachtet werden sollte.

Viele elektronische Geräte verfügen über immer grössere Speicherkapazitäten, welche nicht immer offensichtlich sind. Bei Desktop PCs und Notebooks ist bekannt, dass die Daten auf eine Festplatte gespeichert werden. Doch auch grosse Laserdrucker, Kopierer und Digital Sender verwenden interne Festplatten. Digitalkameras und Mobiltelefone besitzen immer grössere Flash Speicher, USB Sticks mit mehreren Gigabyte Speicher sind keine Seltenheit mehr. Nicht zu vergessen sind portable Festplatten, Datensicherungen auf Bänder, CDs oder DVDs sowie Ausdrucke auf Papier. Die Liste ist nicht abschliessend.

Beim Entsorgen oder Veräussern dieser Geräte und Medien ist besondere Vorsicht und Sorgfalt geboten, denn wenn Daten in die falschen Hände geraten, kann das nicht selten peinliche bis strafrechtliche Konsequenzen zur Folge haben.

Problematik

Beim Löschen von Dateien auf einer Festplatte werden die Dateien nicht effektiv entfernt, sondern bloss "vergessen", d.h. die Datei wird aus dem Inhaltsverzeichnis der Festplatte entfernt und so zum Überschreiben freigegeben. So ist es möglich, mit Datei-Wiederherstellungs Werkzeugen Dateien meist lange Zeit nach dem Löschvorgang wiederherzustellen. Erst wenn der Sektor, auf dem die bestehenden Dateien gespeichert waren, überschrieben wurde, sind die Daten nicht mehr einfach wiederherstellbar. Auf modernen Speichermedien kann dies wegen der Grösse des Mediums oder Technologien zum Schutz der Langlebigkeit (z.B. auf Flash Speichern) auf natürlichem Weg sehr lange dauern. Auch das Formatieren von Medien bringt keine Sicherheit, da nur die Zuordnungstabelle für die Platten-Partitionen gelöscht wird, nicht jedoch die Daten selbst.

Bekannte Lösungen

Es sind einige Vorgehensweisen zur Löschung von Daten oder der Unbrauchbarmachung von Datenträgern bekannt. Leider sind nicht mehr alle so wirkungsvoll wie einst und müssen sich der sich ändernden Technologien anpassen.

Datenlöschung zur Weiterverwendung des Mediums

Soll ein Medium weiter verwendet werden, müssen die Daten zuverlässig gelöscht werden. Je nach dem wofür ein Datenträger nachdem Löschen verwendet wird, kann die zu verwendende Methode gewählt werden. Wird zum Beispiel die Festplatte eines Sachbearbeiter PCs für einen Nachfolger im selben Betrieb weiterverwendet, mag eine einfache Löschung von Dateien oder ein einmaliges Überschreiben ausreichend sein. Verlässt ein Datenträger ein Unternehmen, muss hingegen anders verfahren werden. Waren kritische Daten auf einem Gerät gespeichert, ist es sicherer, den Datenträger zu vernichten.

Löschen von Dateien und Partitionen: Daten werden mit dem Betriebssystem gelöscht, oder die Festplatte formatiert. Aus oben genannten Gründen ist dies unsicher, da die Daten möglicherweise wiederhergestellt werden können.

Gezieltes Überschreiben von Dateien: Einige System-Werkzeuge bieten ein "sicheres Löschen" (secure delete, file shredder) an, indem sie gelöschte Dateien mehrfach überschreiben. Das Problem ist, dass diese Werkzeuge mit Viren oder Trojanern angegriffen werden können und dass moderne Festplatten Schreibzugriffe abstrahieren und so ein gezieltes Überschreiben eines bestimmten Blocks nicht garantiert werden kann. Ausserdem verhindern einige Festplatten-Technologien wie RAID, Copy on Write und Journalling ein sicheres Überschreiben.

Blockweises Überschreiben (block erase): Mit einer externen Software, die von einem anderen Medium gestartet werden muss, wird die Festplatte blockweise ein bis über 35 mal überschrieben, je nach Algorithmus (DoD 5220.22-M, NSA, Gutmann, etc.). Dieses Verfahren ist sehr verbreitet und bietet gewissen Schutz gegen einfache Wiederherstellungsversuche. Die Nachteile sind aber erheblich: Der Vorgang kann mehrere Stunden bis Tage dauern und es gibt keine Garantie, dass alle Daten, wie z.B. defekte Sektoren oder geschützte Bereiche überschrieben werden. Ausserdem besteht die Gefahr, dass die verwendete Software fehlerhaft ist.

Verschlüsselung: Werden Teile des Dateisystems oder gar die gesamte Festplatte von Anfang an stark verschlüsselt, ist es möglich, durch das Entfernen oder das Wechseln des geheimen Schlüssels ein Lesen der Daten in Sekundenschnelle zu verunmöglichen. Dies erfordert jedoch eine starke Verschlüsselung mit einem sicheren, bekannten Algorithmus. Proprietäre Verschlüsselungen bieten möglicherweise nicht genug Sicherheit. Ist der Algorithmus oder der Schlüssel zu schwach, kann die Platte eventuell mit etwas Aufwand dennoch gelesen werden.

Secure Erase: Dies ist ein neuerer Standard, der in die Steuerungseinheit der Festplatte integriert ist. Neuere ATA/SATA Festplatten ab 15-20GB sollten über dieses Feature verfügen. Mit einer externe Software wie HDDErase kann der Secure Erase Prozess gestartet werden, wobei die Harddisk in 30-120 Minuten die Daten überschreibt. Diese Prozedur ist in den USA durch den NIST 800-88 Standard für das Löschen von vertraulichen Daten für tauglich befunden worden. Secure Erase ist für SCSI Festplatten nicht verfügbar.

Zerstörung des Mediums

Ist die Festplatte beschädigt oder kann sie nicht mehr gelesen werden, ist die Zerstörung die sicherste Methode, um die Daten zu löschen. Nur weil der Computer die Daten nicht mehr lesen kann, heisst das nicht, dass die Daten gelöscht sind. Manchmal genügt ein Austausch der Festplatten-Steuereinheit, um eine Platte wieder zum Leben zu erwecken.

Festplatten sind sehr robust, obwohl dies bei hohen Ausfallquoten nicht immer so scheinen mag. Im Gegensatz zur Elektronik der Steuerungseinheit und den Leseköpfen sind die einzelnen Platten nicht leicht zu zerstören. Die Platten können mit etwas Aufwand ausgebaut und die Daten ausgelesen werden. Datenrettungsfirmen berichten in ihrer Werbung immer wieder von erstaunlichen Datenwiederherstellungsaktionen, z.B. nach Feuer- oder Wasserschäden.

Zerkleinern/Shreddern: Die Festplatte oder das Speichermedium wird ausgebaut und in einem Industrie-Shredder zerkleinert. Die komplette Festplatte wird in kleine Stücke geschnitten, wobei starke Hitze-Entwicklung und einwirkende Scherkräfte bei der Zerstörung der Platte mithelfen. Das Vernichten von Medien auf diese Weise ist preisgünstig und relativ sicher. Es ist jedoch zu beachten, dass es theoretisch möglich ist, selbst aus Einzelteilen des Datenträgers noch Daten zu lesen, wenn sie nicht genug zerkleinert sind. Hochsensible Medien können auch pulverisiert werden, was jedoch aufwendig ist.

Entmagnetisierung ("Degaussing"): Bei der Entmagnetisierung werden die gespeicherten Daten auf einer Festplatte mit einem starken Magnetfeld zerstört. Die internen Magnete für den Betrieb des Festplatten-Motors werden dabei meist ebenfalls unbrauchbar gemacht. Diese Methode wird häufig verwendet, sie erfordert ein speziell zu diesem Zweck entwickeltes Gerät, einen Degausser. Moderne Festplatten stellen aber zunehmend ein Problem dar, denn diese Festplatten schreiben sie die Daten immer dichter, um die Speicherkapazität zu erhöhen. Diese Festplatten können mit älteren Degaussern nicht mehr zuverlässig gelöscht werden. Auch setzen immer mehr Hersteller auf Hybridplatten (z.B. in Notebooks), die zusätzlich Flash-Speicher besitzen, welcher mit einem magnetischen Degausser ebenfalls nicht zerstört werden kann. Das Entmagnetisieren von Festplatten wird an Bedeutung verlieren, da diese Methode nicht mehr zuverlässig ist.

Verbrennen, Einschmelzen: Zumindest in den USA empfohlen, ist die Verbrennung in einem Hochtemperatur-Ofen. Ebenfalls effektiv, aber aufwendig, ist das Einschmelzen der Datenträger.

Exotische Methoden: Im militärischen- und Botschafts-Umfeld gibt es noch andere Methoden, um Datenträger mittels Chemikalien, Sprengstoff oder Schusswaffen zu zerstören. In diesem Umfeld kann eine Notfallsituation eine schnelle Zerstörung von Daten erfordern. Gerade die Verwendung von Sprengstoff ist - entgegen der allgemeinen Annahme - nicht zuverlässig, da wie schon erwähnt, die Platten genug beschädigt werden müssen, damit die Daten nicht mehr wiederherzustellen sind. Der Zerstörung mit Schusswaffen ist effektiv, aber nicht immer praktikabel, da gefährlich. Ebenso gefährlich wie nicht immer zuverlässig ist die Verwendung von Säuren, denn sie brauchen eine gewisse Zeit, um zu wirken, wobei das zuverlässige Einbringen der Chemikalien in das Festplattengehäuse das Hauptproblem darstellt.

Risiken abschätzen

Welcher Aufwand für die Datenvernichtung betrieben werden soll, hängt vom Risiko ab, welches aus der Wiederherstellung der Daten resultiert. Datenträger die in hoch sensitiven Umgebungen betrieben wurden, erfordern höchste Sorgfalt bei der Vernichtung von Daten, Datenlöschung und Datenträgervernichtung können deshalb auch kombiniert werden. Aber egal nach welcher Verwendung: beim Entfernen von alten Daten sollte immer die sicherste Variante gewählt werden.

Doch wer könnte ein Interesse haben, Datenmaterial aus entsorgten Datenträgern auszulesen und weiterzuverwenden? Hier eine mögliche Auswahl:

Bastler: Sie verwenden die Datenträger von entsorgter Hardware, um sie - falls noch funktionstüchtig - als Speicher weiterzuverwenden. Allfällig vorhandene Daten interessieren sie meist nicht.

Tüftler, Hacker: Eine alte Festplatte wieder zu neuem Leben zu erwecken und die Daten auszulesen, kann interessant sein. Werkzeuge für die Datenwiederherstellung finden möglicherweise Verwendung. Eine weitere Nutzung kompromittierender Daten ist möglich, aber nicht unbedingt das Ziel.

Cracker, Kriminelle : Mit grösserem Aufwand wird versucht, an lohnenswerte Daten zu kommen, um sie mit krimineller Absicht weiterzuverwenden (Bankauszüge, Kreditkartennummern, Identitätsdiebstahl, etc.). Der Aufwand zur Wiederherstellung ist im Idealfall an den zu erwartenden Gewinn angepasst.

Industriespione, Geheimdienste: Sie suchen gezielt Firmen oder Personen aus, um Daten zu sammeln und auszuwerten. Je nach Wichtigkeit, können Sie viel Zeit und Geld in die Wiederherstellung von Daten investieren. Der Zugang zu Hochtechnologie und zu spezialisierten Datenrettungsfirmen hilft ihnen zusätzlich.

Natürlich ist die Aufzählung nicht komplett und eine klare Trennlinie gibt es nicht. Wichtig ist zu erkennen, dass mit dem zu erwartenden Wert der Daten der Aufwand zur Wiederherstellung von Datenbeständen lohnenswerter wird. Auch Daten, die als unkritisch eingestuft sind, könnten interessant sein.

Fazit

Die immer häufiger auftretenden Datenpannen (jüngste Beispiele aus England und den USA) zeigen, dass es mit der Sorgfalt beim Umgang mit kritischen Daten gelinde gesagt nicht zum Besten steht: Datenträger werden verlegt, verloren und gestohlen. Die Datensätze von hunderttausenden von Bürgern oder Kunden passen auf kleinste Medien. Diese Datenträger während ihrer Verwendung zu schützen, ist schwierig genug. Ein gewisser Schutz ist durch starke Verschlüsselung der Datenträger möglich, wenn diese nicht verwendet werden oder ausgeschaltet sind.

Eine fachgerechte Vernichtung von Daten und Datenträger am Ende deren Lebensdauer sollte eine Selbstverständlichkeit sein. Firmen und Organisationen müssen klare Richtlinien für den Umgang mit Daten und Datenträgern entwickeln und diese auch umsetzen. Aber auch Privatpersonen sollten diese Massnahmen beherzigen.

 

Referenzen und Links

• The Center for Magnetic Recording Research (CMRR)
• NIST Special Publication 800-88: Guidelines for Media Sanitization

initial article release 20.01.2008 by Philipp Koller, © 2008