Auf immer und ewig verloren

Dunja Kölwel

Medien in der IT-Branche leben von Horrorszenarien und Worst Case-Berichten. Wie viel Millionen Kapital Unternehmen weltweit in den Sand setzen und wie viele Mittelständler Insolvenz anmelden mussten, weil sich Daten nicht mehr vollständig rekonstruieren ließen, waren in der Vergangenheit schon öfters Thema düsterer Warnrufe ob der unternehmerischen Leichtsinnigkeit. Dass aber auch das Thema "Sicheres Datenlöschen" nicht einer gewissen Brisanz entbehrt, mutet dann fast skurril an.

Doch eine nähere Betrachtung lohnt durchaus, denn die jüngst in Deutschland von den IT-Beratern von O&O durchgeführte Studie "Deutschland deine Daten" lässt sich ohne weiteres auch auf Österreich übertragen. O&O hatte dabei auf eBay ersteigerte Festplatten stichprobenartig darauf untersucht, ob sich Daten rekonstruieren lassen - es war bei fast jeder der über 100 getesteten möglich. Gefunden wurden unter anderem auch sensible Unternehmensdaten jeglicher Art. Sowohl Berichte über Umsatz- und Marktanteile als auch Strategiepapiere und Geschäftskorrespondenz mit dem Vermerk "streng vertraulich" konnten wiederhergestellt werden.

Aber auch die Tatsache, dass nicht wenig Unternehmen beispielsweise nicht mehr benötigte PCs verkaufen, Leasing- und Leihgeräte nach geraumer Zeit wieder zurückgeben oder auf CD gebrannte Firmen-Präsentationen im Abfallkorb landen, sollte zu denken geben. Denn kann das oberflächliche Löschen von Daten bei privaten Anwendern als leichtsinnig bezeichnet werden, muss dies bei Unternehmen aber als grob fahrlässig gelten und ist unter Umständen ein Fall für die Österreichische Datenschutzkommission, die nach Aussage ihres Sprechers Dr. Ludwig Staudinger nicht erst einmal den Fall zur Beurteilung hatte, dass "Unternehmen beispielsweise durch Hardwareverkäufe auf leichtsinnige Weise Daten nach außen getragen haben". Grund genug also, sich auch mit dem Thema sicheres Datenlöschen etwas genauer zu befassen.

Was sind Daten?

Grundsätzlich geht es zunächst einmal darum, was unter den Datenbegriff zu fassen ist. Dies regelt das DSG 2000 in seinem § 4 in aller Ausführlichkeit und umfasst neben den klassischen Papierunterlagen Datenträger wie Magnetbänder, CD-Roms, DVDs, optische Speicher und Filme, Festplatten und Speicherkarten, etwa aus Digitalkameras.

Jedes dieser Medien sollte dabei in Sachen sicheres Löschen anderes behandelt werden, findet das US-amerikanische National Institute of Standards and Technology ( NIST ) und hat auf 40 Seiten Richtlinien, die "Guidelines for Media Sanitization", veröffentlicht, die eine sichere Entsorgung gebrauchter Datenträger gewährleisten. Die Auswahl der dabei eingesetzten Methoden sollte sich demnach weniger an der Art des Mediums als vielmehr an der Vertraulichkeit der darauf gespeicherten Informationen orientieren. Grundsätzlich unterscheidet das NIST dabei vier Grundtypen der Behandlung:

• Entsorgung: Hierbei findet keine weitere Behandlung zwecks Datenlöschung statt. Daher ist dies nur für Medien, einschließlich Papier, geeignet, die keinerlei vertrauliche Daten enthalten, etwa Software-CD-ROMs.
• Löschung: Die Daten werden mit neuen zufälligen Daten überschrieben. Bei elektronischen Speichermedien wie USB-Sticks oder Speicherkarten werden die Daten gelöscht und das Medium wenn möglich mit einer vom Hersteller benannten Methode neu initialisiert.
• Bereinigung: Festplatten und andere magnetische Medien werden einem starken Magnetfeld ausgesetzt ("Degaussing"), das gespeicherte Informationen neutralisiert. Beim Löschen mit Magnetfeld baut man ein so starkes Magnetfeld auf, dass alle Informationen auf den Datenträgern zerstört werden, weil dabei auch die Servo-Informationen gelöscht werden, die ansonsten eine Rekonstruktion erlauben. Handelsübliche Magnete etwa in Hufeisenform genügen allerdings nicht, ihre Magnetwirkung ist zu schwach.
• Zerstörung: Je nach Material werden Speichermedien zermahlen, eingeschmolzen oder verbrannt. Das Sandstrahlen der Oberfläche ist ebenfalls möglich.

Für optische Medien wie CDs und DVDs wird ausschließlich deren Zerstörung empfohlen. Für das Zermahlen wird eine maximale Größe der resultierenden Teilchen von 0,25 Millimeter empfohlen. Für ATA-Festplatten empfehlen die NIST-Autoren ein kostenloses DOS-Programm namens "Secure Erase" des kalifornischen Center for Magnetic Recording Research, das nach Booten von einer DOS-Diskette eingesetzt werden soll. Die Software ist Open Source. Methode drei, das "Degaussing" ist vor allem bei kaputten Festplatten sinnvoll, da diese außer der Zerstörung keiner anderen Methode des Löschens mehr zugänglich sind.

Finale Lösung für normale Festplatten

Bevor man sensible Daten von an sich noch intakten Festplatten löschen kann, muss man zunächst wissen, wo sich diese Daten überhaupt befinden. Denn oft ist es nicht nur die eigentliche Datei, die gelöscht werden muss, um alle Spuren zu beseitigen. Für die Begründung der gezielten Datenzerstörung ist deswegen ein kurzer Einblick in die Physik der Speichermedien erforderlich: Beim Kopieren, Verschieben und komprimieren von Dateien bleibt die ursprüngliche Version der Datei auf der Festpatte erhalten, das gilt ebenso für Versionierungssysteme, die dazu dienen, beispielsweise alte Versionen miteinander vergleichen zu können.

Temporäre Dateien werden zwar in der Regel beim Beenden des zugehörigen Programms gelöscht, aber auch hier bedeutet "Löschen" lediglich, dass der Speicherplatz auf der Festplatte wieder freigegeben wird. Auch hier ist fast problemlos eine Rekonstruktion der Daten möglich. Ein weiteres Versteck von Daten befindet sich in den so genannten Cluster-Tips. Jede Festplatte wird beim Formatieren in so genannten Zuordnungseinheiten, so genannte Cluster unterteilt, kleinste Einheiten einer Festlatte, die das Betriebssystem verwenden kann. Aktuelle Festplatten mit Speicherkapazitäten im Gigabytebereich besitzen oft Zuordnungseinheiten in einer Größe von 64 KByte. Für das Betriebssystem bedeutet das, dass selbst eine nur 1 Kbyte große Datei einen kompletten Speicherblock belegt. Der Rest von 63 KByte bleibt ungenutzt.

Normalerweise ist das nicht problematisch, der Speicherbereich wird ja auch wieder freigegeben und mit anderen Daten überschrieben. Aber es lassen sich auch ganz einfache Rechenbeispiele machen, die zeigen, dass auch hier die Tücken des unsauberen Datenlöschens lauern: Hatte beispielsweise eine Ursprungsdatei eine Größe von 50 Kbyte, bleiben bei einer Zuordnungseinheit von 64 KByte 14 Kybte Cluster offen. Wird diese Datei gelöscht und belegt dann eine neue Datei diesen Cluster etwa nur mit 10 Kbyte, dann werden auch nur die ersten 10 Kbyte der vorherigen Datei überschrieben. Der Rest der alten Datei, immerhin noch 40 Kbyte, bleibt physikalisch auf der Festplatte erhalten. Dieses Beispiel gilt auch für größere Dateien, dort ist dann jeweils die Information im letzten Datenblock durch die so genanten Cluster-Tips gefährdet. Das besondere Problem: Diese Fragente kann man ohne spezielle Hilfe nicht mehr löschen, da der Block ja als zu einer existierenden Datei gehörig markiert ist. Ein weiteres Problem sind die Daten zwischen den Zeilen. Das Speichern der Daten auf einer Festplatte erfolgt durch die Magnetisierung kleinster Eisenpartikel, die entweder den Wert 1 oder 0 liefern. Daten werden aber nicht nur in den Speicher geschrieben, sie beeinflussen auch die Ränder, die so genannten Nebenspuren. Für potentielle Angreifer sind diese Informationen in den Nebenspuren geeignet, selbst beschrieben Daten wiederherzustellen. Weitere Verstecke für Daten können Sektoren auf der Festplatte sein, die von der Elektronik in einer internen Liste als defekt markiert und ausgeblendet werden. Hier stehen dann unter Umständen noch sensitive Daten, die durch ein einfaches Löschen der Liste wieder hervorzuholen sind. Da der Anwender es nicht bemerkt, wenn seine Festplatte einen Sektor als defekt erkennt und ihn durch einen Reservesektor austauscht, hat man hier wenige Eingriffsmöglichkeiten.

Löschen ist nicht gleich löschen

Dass das Verschieben von Dateien in den Windows-Papierkorb und dessen anschließende Leerung Daten nicht wirklich löscht, das weiß mittlerweile (fast) jeder. Vielmehr wird nur der Verzeichniseintrag entfernt, die eigentliche Dateien bleiben weiterhin auf der Festpatte und können somit rekonstruiert werden. Auch das Formatieren von Partitionen und selbst eine Low-Level-Formatierung auf BiosEbene bietet keine sichere Löschung, da die Daten immer noch zu rekonstruieren sind.

Eine Möglichkeit, Daten sicher zu löschen, ist es beispielsweise, das Problem zu delegieren. Manfred Pfriemer, Leiter Business Solutions beim IT-ConsultantTricon aus Traun in der Nähe von Linz: "Wir formatieren die Festplatten, bevor wir sie weggeben und geben sie dann zurück zum Lieferanten, der sie gemäß der Elektronikschrottverordnung entsorgen muss." Wer Festplatt weiterverwerten will, kann aber auch ein Fachunternehmen damit beauftragen, die sich um das Thema Datenlöschen kümmert (siehe Kasten). Wer diese zwei Varianten nicht für sich in Betracht zieht, dem bleiben im Prinzip nur die Möglichkeit, sich entsprechende Software selbst zu besorgen. Hier werden abwechselnd Zufallswerte, vordefinierte Werte und deren Komplement überschrieben.

---

Profiadressen für das Datenlöschen

Via Software:

O&O www.oo-software.com/de
Kürt www.kuert.at
Kroll Ontrack www.ontrack.at
Ibas Deutschland www.datenrettung.de
SecureEreaser www.secure-ereaser.com

Via Magnetfeld:

Ibas Deutschland www.datenrettung.de
Blancco www.blancco.com