Verschlüsselung, DLP oder Datenlöschung – was hilft wirklich?

Interview zur sicheren Datenlöschung, Datenrettung und Computer-Forensik

05.11.2009 | Redakteur: Stephan Augsten

„Jeder Administrator sollte dokumentieren, dass Daten vernichtet wurden“, mahnt Edmund Hilt, Managing Director von Kroll Ontrack.
„Jeder Administrator sollte dokumentieren, dass Daten vernichtet wurden“, mahnt Edmund Hilt, Managing Director von Kroll Ontrack.

Datensicherheit hat verschiedene Aspekte, angefangen bei der Verschlüsselung über Data Loss Prevention bis hin zum sicheren Löschen von Informationen. Doch welche Lösungen sind am wichtigsten, wenn es darum geht, Informationen vor dem Abfluss nach außen zu bewahren? Im Interview mit Security-Insider.de wagt Edmund Hilt, Managing Director bei Kroll Ontrack, eine Einschätzung.

Mithilfe von DLP-Lösungen lassen sich Daten kontinuierlich überwachen und ihr Abfluss nach außen blocken. Wer ganz sicher gehen will, muss zusätzlich den Umgang mit Daten überprüfen, also einerseits die Systemzugriffe aber auch den Faktor Mensch: Wenn eine Mitarbeiter die Backup-Festplatte mit geschäftskritischen Daten allabendlich mit nach Hause nimmt, geht man mit sehr viel Vertrauen an die Sache. Ein weiteres Risiko stellen ausrangierte Datenträger dar. Datenlöschung ist hier die physikalische Grundvoraussetzung, Daten nicht in die Hände von Unbefugten gelangen zu lassen.

Security-Insider.de: Herr Hilt, Kroll Ontrack ist bekannt für seine Dienstleistungen in den Bereichen Datenwiederherstellung und Datenlöschung. Wie schaffe ich es, miene Daten schnell und sicher zu löschen?

Edmund Hilt: Daten sind erst dann unwiderruflich gelöscht, wenn physikalische Informationen geändert werden. Jede Festplatte zum Beispiel ist in zu Clustern zusammengefasste Sektoren eingeteilt. Die magnetische Polung eines Bits im Sektor stellt eine „1“ oder eine „0“ dar.

Das Löschen des Papierkorbs in einer Windows-Umgebung zum Beispiel gibt in der MFT-Verzeichnisdatei lediglich die Sektoren mit den Nutzdaten für eine Neubeschreibung frei, ändert aber nichts an deren Polung. Daten lassen sich somit noch retten oder von Unbefugten wiederherstellen.

Selbst eine Formatierung ändert zuerst nur die Verzeichnisdateien, lässt die Nutzdaten aber unberührt. Im schlimmsten Fall einer Zerstörung von Verzeichnisdateien können immer noch die Rohdaten ohne Verzeichnis wiederhergestellt werden.

Für eine nötige Veränderung der physikalischen Informationen von Sektoren gibt es mehrere Möglichkeiten. Eine physikalische Vernichtung von Datenträgern ist sehr aufwändig. Erst ab einer Temperaturentwicklung von über 700 Grad zum Beispiel gehen die Polungen einer Festplatte verloren, und dazu muss man sich schon Mühe geben.

Ein sicherer und gangbarer Weg ist die Änderung durch Überschreiben der Informationen. Die Verfahren überschreiben hier mit verschiedenen Mustern. Die andere Möglichkeit ist ein Degausser, der durch starke Magnetfelder von bis zu 18.000 Gauss die Magnetisierung aufhebt oder vernichtet.

Wie lässt sich belegen, dass mein Unternehmen Daten sicher löscht?

Das ist ein ganz wichtiger Punkt. Denn jeder Administrator sollte dokumentieren, dass Daten vernichtet wurden. Dies ist vor allem für die Software-gestützte Überschreibung von Daten nötig, da hier Festplatten ja noch weiter verwendet werden können. Gute Softwarelösungen bieten hier auch Reportingmöglichkeiten.

Mit der Verschlüsselung lassen sich unberechtigte Datenzugriffe recht einfach verhindern. Was passiert aber nun, wenn hier eine Datenrettung nötig ist?

Wer Daten verschlüsselt, muss seinen digitalen Schlüsselkasten gut im Griff haben. Denn ohne autorisierte Schlüssel lassen sich nur verschlüsselte Bit-Inhalte auslesen. Bei einer Full Disk Encryption sind neben dem privaten Benutzernamen und dem Passwort darüber hinaus noch weitere codierte Verschlüsselungsalgorithmen notwendig, die im Regelfall auf der Festplatte abgelegt werden. Datenretter können ohne Keys nicht einmal erkennen, ob sich hinter den Hexadezimalcodes Nutzdaten oder einfach noch freie Sektoren verbergen.

Eine Verschlüsselung sperrt mich also im Ernstfall von den Daten aus?

Durchaus, sofern man bei deren Anwendung nicht auf bestimmte Parameter achtet. Manche Lösungen unterstützen die Administratoren dabei, für den Notfall zweite Zugangswege zu den Daten anzulegen. Unterprogramme können die Festplatten wieder entschlüsseln. Die Rückversicherung ist umso effektiver, wenn die Verschlüsselungs-Software die Verschlüsselungsalgorithmen an verschiedenen Stellen hinterlegt.

Optimal ist hier, wenn Submodule zur Entschlüsselung schon im Boot-Prozess gestartet oder unabhängig vom eigentlichen Datenträger von einem Rettungsmedium oder einer anderen Workstation gestartet werden können. Noch sicherer ist es, nur den Anwendern mit berechtigtem Systemzuriff die Möglichkeit zu geben, die Verschlüsselung aufzuheben. So erhält der Administrator die zusätzliche Sicherheit, dass nur ein enger Personenkreis die Berechtigung erhält.

Seite 2: Wichtige Aspekte der Datenrettung und Computer-Forensik

Inhalt des Artikels:

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042010 / Zugriffsschutz)