12. Dezember 2012 - Dipl. Ing. Nicolas Ehrschwendner
Immer mehr Unternehmen und private Anwender stehen bei einem Systemwechsel vor einem massiven Problem: Was passiert mit den alten Datenträgern, die in der Regel auch Daten enthalten, die nicht in falsche Hände geraten sollten. Sei es die Konkurrenz, der eigene Chef oder das Finanzamt: Daten in den falschen Händen können mitunter heikel sein.
Daher gibt es auf dem Markt eine Vielzahl an kommerziellen Löschprogrammen, die nichts weniger als das komplette, rückstandsfreie Löschen von Daten auf Datenträgern versprechen. Oft bleibt es jedoch leider beim Versprechen, was weniger an der (sehr wohl auch) unterschiedlichen Qualität dieser Programme liegt, sondern an der Konstruktion, sowie internen Funktionen der Platten.
Um zu verstehen, warum das rückstandsfreie Löschen praktisch ein Ding der Unmöglichkeit ist, muss man zunächst verstehen, wie moderne Platten arbeiten. Ein großes Problem beim Datenlöschen sind etwa jene fehlerhaften Bereiche, die im Laufe des Betriebes der Platte entstehen. Wann immer in einem physischen Bereich der Festplatte ein Defekt auftritt, wird der ganze Bereich elektronisch abgetrennt, und die Daten werden in einen Ersatzbereich kopiert. Der Defekt wird in der „grown defect list“ eingetragen, Fehler die schon bei der Herstellung auftraten sind in der „primary defect list“ notiert. Auf diese gesperrten Bereiche kann vom System nicht mehr zugegriffen werden – also auch nicht von einer dafür ungeeigneten Löschsoftware. Die Daten sind dort jedoch noch immer physisch vorhanden, und können mit speziellen Verfahren auch gelesen werden.
Bedenkt man, dass bei einer Platte von einem Terabyte die defekten Sektoren eine Größe von mehreren hundert Megabyte ausmachen können, kann man ermessen wieviele Dateien sich dabei der Löschung entziehen. Ein weiteres Problem stellen reservierte Bereiche dar, die vom Betriebssystem unersichtlich, durch spezielle ATA- oder SCSI-Kommandos abgetrennt und reserviert werden. Laptophersteller nutzen dieses Feature etwa gerne, um ein Installationsmedium für das Betriebssystem vor den Anwendern geschützt abzulegen. Wird nun dieser Bereich erst im Nachhinein abgeteilt, etwa wenn der User eine Recovery-CD einspielt, können Daten, die dort schon vorhanden waren, dem Zugriff einer kommerziellen Löschsoftware entgehen.
Ein gerne kolportiertes Missverständnis ist übrigens, dass wiederholtes Überschreiben die Löschung einer Platte sicherer macht. Das beruht auf Jahrzehnte alten Platten-Designs, die noch mit nicht überlappenden Spuren und MFM Aufzeichnung funktionierten. Bei modernen Festplatten hat sich das Aufzeichnungsverfahren und die Aufzeichnungsdichte derart verändert, dass einmaliges Überschreiben ausreicht, um eine Wiederherstellung der Daten zu verhindern. Programme, welche die Harddisk mehrfach überschreiben, sind daher unwesentlich sicherer als jene, die das lediglich einmal erledigen.
Datenretter sind ein bisschen wie Archäologen: Sie sind mit Akribie darauf trainiert Daten auch unter widrigsten Umständen noch dem Schleier des Vergessens zu entreißen. Kein Bit ist ihnen zu wertlos, als dass man nicht alles tun würde, um es zu retten. Dass die Datenrettungstechnologie in den letzten Jahren (vor allem durch private Forschung einschlägiger Unternehmen) so große Fortschritte gemacht hat, hat jedoch auch eine Kehrseite: Die Frage nämlich, wie man Festplatten „sicher“ löscht, damit sie auch ein Profi nicht mehr rekonstruieren kann. Denn kaum etwas ist gefährlicher, als sensible Daten, die unzerstört ein Unternehmen verlassen und dann möglicherweise in falsche Hände gelangen.
Abseits der auf Software basierenden Verfahren wollen wir heute an dieser Stelle ein bisschen brachiale Gewalt walten lassen. Auch um zu verdeutlichen, welche Anstrengungen in der Regel unternommen werden müssen, um Platten solide zu zerstören.
Da wäre zunächst einmal das Rösten des Datenträgers zu nennen. Denn jedes magnetische Material hat eine spezifische Temperatur genannt „Curie-Temperatur“, bei der die Elementar-Magnete sich von selbst wieder in zufällige Richtungen ausrichten. Damit wird jeder gerichtete Magnetismus in dem Material beseitigt, was eine sichere Vernichtung der Daten gewährleistet. Leider liegt die „Curie-Temperatur“ der üblichen magnetischen Materialien bei Festplatten in einem Bereich, welcher 800°C überschreitet, eine Temperatur, mit der das heimische Backrohr sicher überfordert ist. Das bedeutet, dass solche Vernichtungen in speziellen Öfen gemacht werden müssen. Zudem entstehen bei der Erhitzung Gase, deren Umweltverträglichkeit nicht zweifelsfrei ist.
Eine ebenfalls sichere Methode der Datenvernichtung besteht im Entmagnetisieren der magnetischen Oberflächenbeschichtung durch ein ausreichend starkes Magnetfeld. Kommerzielle Geräte, die solche Magnetfelder herstellen, werden unter dem Begriff „Degausser“ angeboten. Allerdings müssen längs aufgezeichnete Festplatten (longitudinal recording) anders behandelt werden, als senkrecht aufgezeichnete Festplatten (perpendicular recording). Eine Garantie dafür, dass der Degausser wirklich alle Daten erwischt, gibt es leider nicht. Eine zuverlässige Qualitätskontrolle ist nach dem Entmagnetisieren daher angebracht, jedoch nur über spezielle Mikroskope im Labor möglich. Der Datenträger ist nach dem Entmagnetisieren unbrauchbar und kann nicht weiter verwendet werden.
Kommen wir nun zum wirklich schweren Geschütz: Shreddern und Mahlen des Datenträgers kann auch als eine sichere Methode der Datenvernichtung angesehen werden. Da ein Datensektor typischerweise nur wenige Mikrometer auf der Oberfläche einnimmt, sind Partikel, die größer als einige Mikrometer sind, theoretisch mit Hilfe von Rastersondenmikroskopen auslesbar. Somit müsste man Festplatten zur sicheren Vernichtung auch nach dem Shreddern zermahlen, um eine ausreichend kleine Partikelgröße zu erreichen.
Doch lassen Sie sich nicht entmutigen, es gibt auch weniger brutale Methoden einer sicheren Datenvernichtung. Mit diesen werden wir uns im nächsten Absatz beschäftigen. Bis dahin lassen Sie ihre alten Festplatten lieber im sicheren Lager liegen, bevor sie zu grobem Gerät greifen.
Wer Daten auf einer Festplatte löscht und glaubt, sie seien dann tatsächlich weg, wird vermutlich auch zu Ostern eine bittere Enttäuschung erleben: Denn, Sorry, den Osterhasen gibt es nicht. Und genauso wenig gibt es in der Regel eine rückstandsfrei gelöschte Festplatte, wie nicht zuletzt Datenretter genau wissen. Was also tun, um sensible Daten, wie etwa Passwörter, tatsächlich so zu vernichten, dass sie nicht mehr brauchbar sind?
Eine gute Methode ist dabei die Datenverschlüsselung, die das Problem sozusagen an der Wurzel packt. Wenn man Daten schon nicht so einfach sicher löschen kann, liegen sie dann wenigsten so vor, dass sie auch von Spezialisten nicht mehr genutzt werden können: nämlich verschlüsselt. Dies gilt allerdings genau so lange, wie Passwörter eventuellen Datenschnüfflern nicht bekannt sind. Bei der vorherrschenden Kreativität in diesem Bereich liegt jedoch bekanntlich einiges im argen, wie illustre Passwörter á la „12345“ immer wieder belegen. Eine durchgehende Verschlüsselung ist in solchen Fällen daher als echte Alternative zur Datenvernichtung nicht generell zu empfehlen.
Zudem hat die Datenverschlüsselung auch handfeste Nachteile. Geht ein Verschlüsselungs-Key verloren, ist es in den meisten Fällen nicht mehr möglich, Zugriff auf die eigenen Daten zu erlangen – man hat sich also selbst ausgesperrt und alle Daten sind verloren. Zudem haben kommerzielle Verschlüsselungs-Programme einen oft vergessenen Pferdefuß: So kann ein lokaler Lesefehler unter Umständen dazu führen, dass die gesamte Platte nicht mehr zu entschlüsseln ist, etwa wenn der Key vom Defekt betroffen ist. Dadurch erhöht sich natürlich die Gefahr eines Datenverlusts. Die Verschlüsselung ist zudem durch die vielen Rechenoperationen ein Klotz am Bein in Sachen Performance.
Allerdings gibt es auch Vorteile der Verschlüsselung: Bei einem Diebstahl (eines Laptops etwa) ist ein Zugriff durch Unbefugte von Haus aus nicht möglich.
Wer nicht verschlüsseln will, dem bleibt noch der Griff zu kommerzieller Löschsoftware. Doch auch da halten nicht alle Produkte, was sie versprechen. Erst kürzlich wurde im Labor von Attingo eine Löschsoftware, die in einer Zeitschrift sogar als Testsieger ausgewiesen war, untersucht: Diese schaffte es jedoch nicht einmal, hundert Prozent des sichtbaren Bereichs zu löschen. Wie wird dann erst mit den als fehlerhaft markierten Bereichen umgegangen? Diese werden nämlich von kaum einer Software gelöscht, sind aber für Spezialisten noch immer lesbar. Auch in punkto Zuverlässigkeit gibt es oft Mängel. So können manchmal zehn Platten gut gelöscht sein, die elfte jedoch nicht mehr. Auch haben viele Löschprogramme eine schier unüberblickbare Anzahl an Optionen und Parametern, die erst einmal durch den User korrekt eingestellt werden müssen. Es gibt keine Garantie dafür, dass immer die für jeden Plattentyp richtige Einstellung herangezogen wird.
Daher bleibt bei heiklen Daten, wenn man sicher gehen will, nur eine Alternative: Zuerst verschlüsseln, dann die Platten löschen und im Anschluss einer Zertifizierung dieser Löschung durch Spezialisten unterziehen. Oder man greift doch zu schwerem Gerät und löscht die Platte, entmagnetisiert sie, erhitzt sie und wirft sie in den Shredder. Das sollte es dann auch gewesen sein.