Verschlüsselung, DLP oder Datenlöschung – was hilft wirklich? Interview zur sicheren Datenlöschung, Datenrettung und Computer-Forensik

Redakteur: Stephan Augsten

Datensicherheit hat verschiedene Aspekte, angefangen bei der Verschlüsselung über Data Loss Prevention bis hin zum sicheren Löschen von Informationen. Doch welche Lösungen sind am wichtigsten, wenn es darum geht, Informationen vor dem Abfluss nach außen zu bewahren? Im Interview mit Security-Insider.de wagt Edmund Hilt, Managing Director bei Kroll Ontrack, eine Einschätzung.

Firmen zum Thema

„Jeder Administrator sollte dokumentieren, dass Daten vernichtet wurden“, mahnt Edmund Hilt, Managing Director von Kroll Ontrack.
„Jeder Administrator sollte dokumentieren, dass Daten vernichtet wurden“, mahnt Edmund Hilt, Managing Director von Kroll Ontrack.
( Archiv: Vogel Business Media )

Mithilfe von DLP-Lösungen lassen sich Daten kontinuierlich überwachen und ihr Abfluss nach außen blocken. Wer ganz sicher gehen will, muss zusätzlich den Umgang mit Daten überprüfen, also einerseits die Systemzugriffe aber auch den Faktor Mensch: Wenn eine Mitarbeiter die Backup-Festplatte mit geschäftskritischen Daten allabendlich mit nach Hause nimmt, geht man mit sehr viel Vertrauen an die Sache. Ein weiteres Risiko stellen ausrangierte Datenträger dar. Datenlöschung ist hier die physikalische Grundvoraussetzung, Daten nicht in die Hände von Unbefugten gelangen zu lassen.

Security-Insider.de: Herr Hilt, Kroll Ontrack ist bekannt für seine Dienstleistungen in den Bereichen Datenwiederherstellung und Datenlöschung. Wie schaffe ich es, miene Daten schnell und sicher zu löschen?

Edmund Hilt: Daten sind erst dann unwiderruflich gelöscht, wenn physikalische Informationen geändert werden. Jede Festplatte zum Beispiel ist in zu Clustern zusammengefasste Sektoren eingeteilt. Die magnetische Polung eines Bits im Sektor stellt eine „1“ oder eine „0“ dar.

Das Löschen des Papierkorbs in einer Windows-Umgebung zum Beispiel gibt in der MFT-Verzeichnisdatei lediglich die Sektoren mit den Nutzdaten für eine Neubeschreibung frei, ändert aber nichts an deren Polung. Daten lassen sich somit noch retten oder von Unbefugten wiederherstellen.

Selbst eine Formatierung ändert zuerst nur die Verzeichnisdateien, lässt die Nutzdaten aber unberührt. Im schlimmsten Fall einer Zerstörung von Verzeichnisdateien können immer noch die Rohdaten ohne Verzeichnis wiederhergestellt werden.

Für eine nötige Veränderung der physikalischen Informationen von Sektoren gibt es mehrere Möglichkeiten. Eine physikalische Vernichtung von Datenträgern ist sehr aufwändig. Erst ab einer Temperaturentwicklung von über 700 Grad zum Beispiel gehen die Polungen einer Festplatte verloren, und dazu muss man sich schon Mühe geben.

Ein sicherer und gangbarer Weg ist die Änderung durch Überschreiben der Informationen. Die Verfahren überschreiben hier mit verschiedenen Mustern. Die andere Möglichkeit ist ein Degausser, der durch starke Magnetfelder von bis zu 18.000 Gauss die Magnetisierung aufhebt oder vernichtet.

Wie lässt sich belegen, dass mein Unternehmen Daten sicher löscht?

Das ist ein ganz wichtiger Punkt. Denn jeder Administrator sollte dokumentieren, dass Daten vernichtet wurden. Dies ist vor allem für die Software-gestützte Überschreibung von Daten nötig, da hier Festplatten ja noch weiter verwendet werden können. Gute Softwarelösungen bieten hier auch Reportingmöglichkeiten.

Mit der Verschlüsselung lassen sich unberechtigte Datenzugriffe recht einfach verhindern. Was passiert aber nun, wenn hier eine Datenrettung nötig ist?

Wer Daten verschlüsselt, muss seinen digitalen Schlüsselkasten gut im Griff haben. Denn ohne autorisierte Schlüssel lassen sich nur verschlüsselte Bit-Inhalte auslesen. Bei einer Full Disk Encryption sind neben dem privaten Benutzernamen und dem Passwort darüber hinaus noch weitere codierte Verschlüsselungsalgorithmen notwendig, die im Regelfall auf der Festplatte abgelegt werden. Datenretter können ohne Keys nicht einmal erkennen, ob sich hinter den Hexadezimalcodes Nutzdaten oder einfach noch freie Sektoren verbergen.

Eine Verschlüsselung sperrt mich also im Ernstfall von den Daten aus?

Durchaus, sofern man bei deren Anwendung nicht auf bestimmte Parameter achtet. Manche Lösungen unterstützen die Administratoren dabei, für den Notfall zweite Zugangswege zu den Daten anzulegen. Unterprogramme können die Festplatten wieder entschlüsseln. Die Rückversicherung ist umso effektiver, wenn die Verschlüsselungs-Software die Verschlüsselungsalgorithmen an verschiedenen Stellen hinterlegt.

Optimal ist hier, wenn Submodule zur Entschlüsselung schon im Boot-Prozess gestartet oder unabhängig vom eigentlichen Datenträger von einem Rettungsmedium oder einer anderen Workstation gestartet werden können. Noch sicherer ist es, nur den Anwendern mit berechtigtem Systemzuriff die Möglichkeit zu geben, die Verschlüsselung aufzuheben. So erhält der Administrator die zusätzliche Sicherheit, dass nur ein enger Personenkreis die Berechtigung erhält.

Seite 2: Wichtige Aspekte der Datenrettung und Computer-Forensik

Wichtige Aspekte der Datenrettung und Computer-Forensik

Security-Insider: Was tut ein seriöser Datenretter, um die Daten und Informationen seiner Kunden zu schützen? Gibt es schwarze Schafe unter den Datenrettern?

Datenretter und Forensiker sind der Loyalität gegenüber den Kunden verpflichtet. Wir bei Kroll Ontrack lassen uns bei jedem Auftrag bestätigen, dass der Überbringer auch rechtmäßiger Besitzer der Daten ist.

Bislang sind uns noch keine Fälle bekannt, in denen einer unserer Mitbewerber Daten veruntreut hätte. Auch bei Kleinstanbietern liegt eher die Gefahr darin, dass schlechte Datenrettung zu überteuerten Preisen durchgeführt wird.

Unsachgemäße Datenrettung, die Daten endgültig zerstört, statt sie zu retten, ist ein weiteres Problem: In der Regel gibt es nur einen einzigen Versuch, seine Daten zu retten. Auf unserer Webseite finden Interessierte eine Checkliste, mit der die Professionalität eines Datenretters überprüft werden kann.

Welche Möglichkeiten bietet die Computer-Forensik? Welche aktuellen Trends und neuen Möglichkeiten sehen Sie, abgesehen von Science-Fiction-Szenarien?

Forensische Analysen sind eine gute Möglichkeit, die Manipulation oder auch die Veruntreuung von Daten nachträglich zu beweisen. Denn wer Spuren verwischen möchte, muss sehr viel tun.

Auch hier wirkt das Grundprinzip der Datenrettung, dass eine einfache menügesteuerte Löschung am eigentlichen physikalischen Zustand der Sektoren nichts ändert. Das gilt auch für Log-Dateien, die den Zugriff auf Dokumente nachweisen, wie für scheinbar gelöschte E-Mails. Mittlerweile können Lösungen wie zum Beispiel Ontrack PowerControls direkt aus der .edb-Serverdatei – ohne Aufsetzung eines neuen Exchange-Servers – gelöscht geglaubte Mails gezielt suchen und per Drag & Drop ohne Weiteres wiederherstellen.

Andere Lösungen erlauben eine komplette Kartographie der Mail-Korrespondenz eines ganzen Unternehmens und die Suche nach verschiedenen Suchbegriffen, Absendern oder Versendezeit. Wer Log-Dateien oder Exchange-Server-Daten sicher löschen will, braucht schon hohe kriminelle Energie und technisches Know-how.

Wie schafft es ein Chef, Möglichkeiten der Computer Forensik auszuschöpfen und dabei möglichst lange ergebnisneutral zu ermitteln?

Aus technischer Sicht gibt es verschiedene Tools, die zum Beispiel im laufenden Betrieb die Netzwerktätigkeit diskret überwachen. Bei konkreten Verdachtsmomenten kann man durch Austausch der Rechner auch Beweismittel sichern und das Ganze dabei gut tarnen.

Die gültigen Regeln des Datenschutzes dürfen aber dabei nicht verletzt werden. Eine Betriebsvereinbarung oder entsprechende Vertragsbestandteile, die die Nutzung von E-Mail und Unternehmens-Rechnern regeln, ermöglichen im Zweifelsfall erst die Durchsuchung von Mailboxen und PCs.

Generell empfiehlt es sich, Computer-Forensik-Untersuchungen immer mit professionellem juristischem Beistand und Expertenberatung sowie oder gegebenenfalls in Zusammenarbeit mit dem Betriebsrat durchzuführen.

Edmund Hilt ist Managing Director der Kroll Ontrack GmbH in Böblingen.

(ID:2042010)