Datenschutz und Disks Teil 1 Festplatten löschen, aber sicher!

Autor / Redakteur: Bernd Schöne / Nico Litzel

Jüngst erwischte es auch die Dienstleistungsgewerkschaft Verdi: Eine ausrangierte Festplatte mit intimen Briefen landete in den Händen eines Journalisten. Dieser hatte sie zuvor für 20 Euro legal in der Nähe des Münchener Hauptbahnhofs gekauft. Der Fall beweist einmal mehr, dass Datenträger eine Zeitbombe sind, wenn sie nicht fachgerecht entsorgt werden. Dabei stehen hierfür diverse Optionen bereit, von mechanisch brutal bis elektronisch elegant.

Firmen zum Thema

Ausrangierte Festplatten, die nur gelöscht oder formatiert werden, sind ein Sicherheitsrisiko, wenn sie das Unternehmen verlassen.
Ausrangierte Festplatten, die nur gelöscht oder formatiert werden, sind ein Sicherheitsrisiko, wenn sie das Unternehmen verlassen.
( Archiv: Vogel Business Media )

Festplatten können nicht nur dann Ärger machen, wenn sie unerwartet den Betrieb verweigern. Taucht ein Datenträger mit brisanten Inhalten bei eBay oder im Shop für gebrauchte PCs auf, kann das unangenehm werden. Jüngstes Oper ist die Gewerkschaft Verdi: Eine Disk mit vertraulicher Korrespondenz zu Politikern tauchte im Fernsehmagazin K1 auf. Sie enthielt Briefe des DGB-Vorsitzenden Michael Sommer an den „lieben Franz“, gemeint ist der frühere SPD-Chef Franz Müntefering, sowie Zeugnisse von Mitarbeitern und den Sozialplan einer Firma.

Dabei hatte Verdi eigentlich alles richtig gemacht. Bei der Umstellung von Microsoft NT auf XP beauftragte die Gewerkschaft 2005 ein ortsansässiges Unternehmen mit der Entsorgung einer größeren Anzahl alter Rechner. Wobei sich Verdi schriftlich den einzuhaltenden Datenschutz bestätigen ließ, allerdings ohne eine Methode zu spezifizieren.

Doch die Festplatten wurden nicht ordnungsgemäß gelöscht und tauchten plötzlich 2008 im Handel auf. Ein Wiederherstellungsprogramm (Recovery-Tool) brachte den Inhalt schnell auf den Bildschirm. „Das ist bitter“, gibt sich Verdi zerknirscht und gelobt Besserung. Festplatten sollen das Haus nun nicht mehr verlassen.

Grundsätzlich gibt es verschiedenen Methoden, Disk-Inhalte fachgerecht unbrauchbar zu machen. Man unterscheidet dabei zwischen elektronischen Verfahren mit Software, magnetischen Methoden sowie der physikalischen Vernichtung der gesamten Festplatte.

Alle Verfahren haben Vor- und Nachteile. Nur bei den elektronischen Varianten ist es sinnvoll, sie selbst anzuwenden. Degausser und mechanische Shredder schließlich sind alles andere als preiswert und erfordern teilweise gut geschultes Personal.

Löschprogramme

Löschprogramme sind spezielle Software und sollen alle Datenspuren unbrauchbar machen. Interessant sind diese Programme vor allem für all jene Unternehmen, bei denen große Mengen von PCs ausgetauscht werden sollen oder ein Rechner von einer sensiblen Abteilung wie der Buchhaltung in einen anderen Bereich „umzieht“. Die Festplatten bleiben, im Gegensatz zur mechanischen Lösung, voll funktionsfähig.

Schon 2004 und 2005 hatte die auf Löschprogramme und Datenrecovery spezialisierte Firma O&O für die Studie „Deutschland Deine Daten“ über eBay gebrauchte Festplatten angekauft und mit geringem Zeitaufwand mit sogenannten Recovery-Tools Patientendaten einer Krankenkasse, vertrauliche Bankbewertungen und massenweise private PINs und TANs fürs Internet-Banking lesbar gemacht. 88 Prozent aller funktionsfähigen Festplatten wurden unvollständig gelöscht.

Das Problem bleibt aktuell. 2007 gab in Österreich eine Behörde unvollständig gelöschte Daten mit brisanten Informationen an ein Entsorgungsunternehmen. Kurze Zeit später standen Auszüge des Festplatteninhalts in der Presse.

Mehrfaches Überschreiben

Technisch führen Löschprogramme das aus, was der berüchtigte „Delete“ Befehl Anwendern nur vorgaukelt: Sie überschreiben mehrfach den physikalischen Bereich, in dem die Festplatte ihre Daten speichert mit einem Zufallsmuster und zerstören so die Information. Löschprogramme überschreiben die gesamte Platte mehrfach und zwar in der Regel drei bis sieben Mal, aber auch ein 35-faches Überschreiben wird optional angeboten.

Der Einsatz von Löschprogrammen ist zeitaufwendig. Grundsätzlich gibt es zwei Arten von Löschprogrammen. Solche, die ihr eigenes Betriebssystem mitbringen, und solche, die das auf der Disk installierte Betriebssystem nutzen.

Zufallsfunde sind damit ausgeschlossen, auch Hobby-Detektive mit Recovery-Tools werden wirkungsvoll ausgeschlossen. Nachrichtendienste haben allerdings mit sehr teuren Angriffswerkzeugen eventuell noch eine Chance, einige Bits zu lesen. Der Aufwand ist allerdings beträchtlich.

Löschprogrammen sind aber auch Grenzen gesetzt. Die Platten müssen in einem Rechner eingebaut sein oder per Hand in ein spezielles Löschgerät gesteckt werden. Es können auch grundsätzlich nur solche Datenträger gelöscht werden, die noch voll funktionstüchtig sind, denn Löschprogramme nutzen den Schreib-Lesekopf. Für defekte Exemplare kommt daher nur Schreddern oder ein Degausser (Entmagnetisierer) in Betracht.

Funktionsweise

Partitionen und Bereiche, die für das Betriebssystem unsichtbar sind, kann ein Programm ohne eigenes Betriebssystem nicht ohne Weiteres löschen. Diese Daten bleiben erhalten. Das gilt auch für Bad-Sektors, also „schlechte“ Bereiche, die nicht mehr genutzt werden, weil dort die Plattenoberfläche beschädigt ist. Diese Bereiche werden von der Platte automatisch erkannt. Die Platte schreibt die Daten in Reservebereiche und macht die entsprechenden Blöcke für den Nutzer unsichtbar. Die Bits bleiben aber für Berufsschnüffler erreichbar.

Problematisch sind auch DCO-Bereiche (Device Configuration Overlay). Hier kann die Festplatte vom Hersteller aus auf eine geringere Kapazität eingegrenzt werden, als sie physikalisch besitzt. Ebenfalls probelematisch sind HPA-Bereiche (Host Protected Area – Speicherung von Daten außerhalb des normalen Dateisystems) sowie Remapped Sektoren (vom Betriebssystem ausgelagerte Dateien). All diese Bereiche enthalten eventuell Daten, die von speziellen Tools ausgelesen werden können, die dem Nutzer aber unzugänglich sind und die auch nicht alle Löschprogramme erfassen.

Denkbar ist zum Beispiel, dass Viren oder andere von Spionen eingesetzte Schadprogramme Daten in jene Bereiche der Festplatte schreiben, die sich der Hersteller der Platte reserviert hat, um hier die Zugriffshäufigkeit und die Betriebsstunden zu dokumentieren. Hier befindet sich allerdings auch die sogenannte Firmware der Platte, kleine Softwarepakete, die sie zum Betrieb benötigt. Wird dieser Bereich zerstört, ist die Platte nicht mehr funktionsfähig, daher werden sie von Löschprogrammen meist nicht erfasst.

Festplattenhersteller reden nicht gerne über diese Bereiche, denn sie nutzen dort den durchaus nicht zu knapp bemessenen Speicherplatz, um genau zu erfassen, wann und für wie lange die Platte genutzt wurde. Die Auslese-Tools sind zumindest offiziell nicht zu bekommen.

Praktisches Arbeiten

Löschprogramme spielen nicht nur beim Verkauf eines Rechners oder nach Ende der Leasing-Zeit eine wichtige Rolle, sondern auch beim Personalwechsel, um dem neuen Mitarbeiter einen Rechner ohne Altlasten anzubieten.

Wichtig für diesen Einsatzzweck ist die Netzwerkfähigkeit des betreffenden Programms. So kann der Administrator die Festplatte löschen, ohne sich zum Rechner begeben zu müssen. Ein Reporting Tool sollte zudem die ordnungsgemäße Löschung dokumentieren. Das ist auch zwingend vorgeschrieben, wenn entsprechende datenschutzrechtliche Vorschriften existieren.

Der Zeitbedarf für sicheres Löschen sollte nicht unterschätzt werden. Experten setzen pro Gigabyte zwischen einer halben bis zu einer Minute an – und zwar für ein einfaches Überschreiben. Soll, wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gefordert, siebenfach überschrieben werden, dauert das bei einer modernen Festplatte mit 500 Gigabyte zwischen sieben und 15 Stunden – abhängig von der Mechanik und Elektronik der Festplatte sowie den verwendeten Löschalgorithmen.

Ein weiteres Entscheidungskriterium beim Einsatz von Löschsoftware ist das zugrunde liegende Lizenzmodell. Einige Anbieter rechnen pro gelöschter Platte ab. Und um mögliche Zweifel an der Sicherheit des Löschverfahrens zu zerstreuen, werben alle Hersteller, die entsprechend zertifiziert sind, mit meist aus dem militärischen Bereich stammenden Verfahren. Die bekanntesten sind die US-Standards DoD5220.22-M ECE und DoD 5220.22-M (E). Sie schreiben unter anderem die Muster vor, mit denen überschrieben wird.

In Anbetracht der benötigten Zeit stellt sich, vor allem wenn eine größere Anzahl von Datenträgern vernichtet werden soll, die Frage, ob nicht mechanisches Schreddern die billigere und vor allem schnellere Lösung ist.

Einige Anbieter und ihre Verfahren

Blancco

Der Blancco Data Cleaner+ arbeitet unabhängig vom Betriebssystem und kann so auch versteckte DCO- und HPA-Sektoren erkennen sowie ausgeblendete, fehlerhafte Sektoren löschen. Er verwendet Standard-Löschalgorithmen des US-Verteidigungsministeriums DoD5220.22-M. Optional steht auch OPNAVINST 5239.1A von Krypto-Guru Bruce Schneier zur Verfügung.

O&O Safe Erase 3

Safe Erase 3 bietet wahlweise 3-, 6-, 7- oder 35-faches Überschreiben nach den US-Standards DoD5220.22-M ECE und DoD 5220.22-M (E).

Kroll Ontrack Eraser

Der „Eraser“ wurde ursprünglich vom norwegischen Datenrettungsexperten Ibas entwickelt. Er löscht nach der Norm des US-Militärs, ist netzwerkfähig und verfügt über ein Reporting-Tool. Den Eraser gibt es in verschiedenen Lizenzmodellen für 50 oder 100 Löschungen oder als zeitlich befristete Lizenz. Der Ontrack Eraser wurde Anfang des Jahres in Großbritannien nach der Norm CESG zertifiziert.

Digital Shredder und der geheime „Secure Erase“-Befehl

Eine Sonderform des digitalen Löschens ist der „Digital Shredder“ der Firma HSM Bürotechnik, die auch mechanische Festplatten-Schredder im Programm führt. Der knapp 10.000 Euro teure „Digital Shredder“ ist das weltweit einzige Gerät auf dem Markt, das den vom US-Nachrichtendienst NSA (National Security Agency) entwickelten und mittlerweile bei so gut wie allen aktuell erhältlichen Festplatten implementierten „Secure Erase“-Befehl nutzt.

Dieser Befehl (für Löschprogramme durch BIOS-Restriktionen unzugänglich) setzt alle Sektoren der Platte bei nur einfachem Überschreiben auf null und bezieht auch verborgene Speicherbereiche und „Bad-Sectors“ mit ein.

Auch mit forensischen Mitteln soll eine Rekonstruktion der Daten unmöglich sein. Der Digital Shredder lässt die Platte funktionstüchtig, sie kann also weiterverwendet werden. Das Gerät löscht gleichzeitig bis zu drei IDE- oder SATA-Platten. Pro Gigabyte dauert ein Löschvorgang etwa eine halbe Minute.

Lesen Sie am Freitag im zweiten Teil, welche mechanischen Verfahren zur Verfügung stehen, um Festplatten dauerhaft unbrauchbar zu machen.

Artikelfiles und Artikellinks

(ID:2013413)