Diese Webpräsenz des Datenschutzbeauftragten der Evangelischen Landeskirche Württemberg ist im Oktober 2011 umgezogen.
Die neue Webpräsenz finden Sie unter http://www.kirche-datenschutz.de
Sicheres Löschen von Daten
Mi, 09/03/2008 - 22:32 – DSB
Wie wird man einmal gespeicherte Daten wieder los?
Sicheres Löschen von Dateien und Verzeichnissen
Sicheres Löschen einer ganzen Festplatte:
Was tun mit den vielen unerkannten Schreiberlingen?
Weitere Hinweise
Nachklapp (November 2004)
Wie wird man einmal gespeicherte Daten wieder los?
Solche Anfragen werden immer häufiger gestellt. Das kann die verschiedensten Ursachen haben, etwa wenn eine Stelle einen neuen PC bekommt und der bisherige PC entsorgt werden soll oder wenn die dienstliche Nutzung eines privaten PC beendet wird.
Dass das "Löschen" von Dateien keineswegs bewirkt, dass diese nicht mehr gelesen werden können, hat sich mittlerweile herumgesprochen. Daten werden beim Löschen beispielsweise unter Windows lediglich in einen Ordner namens Papierkorb transferiert. Auch wenn dieser gelöscht wird, werden lediglich die entsprechenden Dateien als gelöscht markiert und der belegte Speicherplatz freigegeben, mit problemlos erhältlicher Software können diese Daten jedoch immer noch gelesen werden.
Die Konsequenz des ganzen zeigt eine Studie zweier Wissenschaftler, die bei eBay 158 Festplatten ersteigerten und mit einfachen Mitteln versuchten, die Daten wieder herzustellen. Nur 12 Festplatten waren korrekt gelöscht. Auf den anderen fanden sie Liebesbriefe, pornografische Bilder und Dokumente sowie Patientendaten aus Arztpraxen. Der "Hauptgewinn" war eine Festplatte aus einem US-amerikanischen Geldautomaten, der Kontonummern und Kontostände der Kunden sowie Teile der Software des Automaten enthielt.
Soll einigermaßen zuverlässig gelöscht werden, muss Software verwendet werden, die die Daten mehrmals überschreibt. Dadurch können auch Dateien und Verzeichnisse auf Disketten oder sonstigen Datenträgern wie Zip-Disketten oder USB-Sticks einigermaßen zuverlässig gelöscht werden. Dass die Sache nicht ganz so einfach ist, zeigen die folgenden Möglichkeiten:
Die Auslagerungsdatei könnte noch löschpflichtige Daten enthalten.
Die heute üblichen sehr großen Cluster auf einer Festplatte führen dazu, dass diese oft nur zu einem kleinen Teil überschrieben werden. Im nicht überschriebenen Teil bleiben die vorherigen Daten weiterhin lesbar (Cluster-Tips).
In den von der Elektronik vermuteten "defekten" Sektoren können sich noch sensible Daten befinden.
Oft liegt bei einer "defekten" Festplatte lediglich ein kleiner Fehler der Elektronik vor; wird dieser behoben, sind alle Daten wieder lesbar.
Hinzu kommt, dass es nicht ganz einfach ist, festzustellen, welche Dateien eigentlich gelöscht werden müßten:
Die Zahl der temporären Verzeichnisse kann auf einem Windows-PC schnell in den zweistelligen Bereich geraten.
Server legen sogenannte Schattenkopien an, etwa der Windows 2003 Server.
Manchmal wird ein Versionierungssystem eingesetzt, wobei in einem bestimmten Ordner vor jedem Überschreiben der Daten eine Kopie mit einer fortlaufenden Versionsnummer abgelegt wird.
Um bei dieser Sachlage dennoch zu einer einigermaßen zuverlässigen Datenlöschung zu kommen, muß eine entsprechende Löschsoftware verwendet werden, in der Hoffnung, dass diese die oben genannten Gesichtspunkte möglichst weitgehend berücksichtigt.
Sicheres Löschen von Dateien und Verzeichnissen
Dies umfasst implizit auch das sichere Säubern ungenutzter Festplattenbereiche.
Als eine Möglichkeit zur praktischen Umsetzung wird das (kostenlose) Produkt „Eraser“ von der Firma Heidi Computers Ltd. genannt.
Mit der Nennung eines konkreten Softwareproduktes ist nicht die Behauptung verbunden, dass es das beste oder einzige Produkt sei. Sofern zuständige Datenschutz- oder Sicherheitsbeauftragte oder einbezogene EDV-Firmen anderweitig beraten, ist deren Empfehlungen Vorrang zu geben.
Software zum Löschen von Verzeichnissen und Dateien bietet in der Regel verschiedene Verfahren an, der oben genannte Eraser etwa:
1. Gutmann (35 Durchgänge)
2. US DoD (7 Durchgänge)
3. US DoD (3 Durchgänge)
4. Überschreiben mit zufälliger Ziffernfolge (1 Durchgang)
Die 3. Methode (3 Durchgänge) ist schon sehr sicher. Auch die 4. Methode setzt eine hohe Hürde, indem sie bewirkt, dass die Festplatte geöffnet werden muss, um die elektronischen Signale abgreifen zu können und ein Equipment voraussetzt, dass nur in darauf spezialisierten Laboren vorhanden ist.
Mindestens genau so wichtig wie Art und Zahl der Überschreibungen ist, dass auch wirklich vollständig gelöscht wird. Bei den heutigen Festplattengrößen muss Löschsoftware auch in der Lage sein, in separaten Läufen sogenannten "Cluster Tip Areas“ und „Alternate Data Streams“ mit Löschmustern zu überschreiben.
Sicheres Löschen einer ganzen Festplatte:
Die Schwierigkeit ist, dass Windows beim Betrieb sehr eng mit den Daten auf der Festplatte verflochten ist. Der Versuch, bei laufendem Windows dessen Ordner auf der Festplatte zu löschen kann dazu führen, dass das System abstürzt und auch nicht mehr gestartet werden kann, ohne dass die Daten gelöscht wären.
Hier wird ein Minibetriebssystem benötigt, das nicht auf Daten auf der Festplatte angewiesen ist. Das Löschprogramm selbst läuft dann unter diesem Mini-Betriebssystem.
Als eine Möglichkeit zur praktischen Umsetzung wird das (kostenlose) Programm PC Inspector e-maxx genannt.
Mit der Nennung eines konkreten Softwareproduktes ist nicht die Behauptung verbunden, dass es das beste oder einzige Produkt sei. Sofern zuständige Datenschutz- oder Sicherheitsbeauftragte oder einbezogene EDV-Firmen anderweitig beraten, ist deren Empfehlungen Vorrang zu geben.
Was tun mit den vielen unerkannten Schreiberlingen?
Im Betriebssystem und in vielen der darauf laufenden Anwendungen sitzen unsichtbare "Schreiberlinge", die in temporären Verzeichnissen und Dateien mehr oder weniger fleißig alles mitschreiben, was die Anwender so tun. Manche legen auch unerkannte Kopien der Arbeitsergebnisse an. Denkbar sind auch Verifiziersysteme, die beim Zurückspeichern nicht einfach überschreiben, sondern vorher eine Kopie mit einer fortlaufenden Versionsnummer anlegen. Es macht wenig Sinn, gewissenhaft bekannte Verzeichnisse und Dateien zu löschen und das Problem mit den unerkannten Datenspeicherungen auf sich beruhen zu lassen.
Dem könnte man dadurch Herr werden, indem man die vom Datenschutzgesetz sowieso geforderte Übersicht über die eingesetzten Verfahren anlegt und gegebenenfalls von den Herstellern der verwendeten Softwareprodukte Angaben dazu zu verlangt, ob es für temporäre Zwecke genutzte Ordner oder Dateien gibt. Diese wären dann regelmäßig von Hand zu löschen. Um auch die Fälle zu berücksichtigen, wo zur Laufzeit temporäre Ordner angelegt und wieder gelöscht werden, sollte hinreichend oft das oben beschriebene "Erase unused space" mit niedriger Stufe durchgeführt werden.
Um unerwünschte Datenspeicherungen zu erkennen, kann hilfsweise die Suchfunktion von Windows ( Start/Suchen/Dateien oder Ordner) verwendet werden. Beispielsweise kann in einem eingesetzten Verfahren ein Textdokument oder Datensatz mit der Ziffernfolge 01234567 erstellt, abspeichert und das Verfahren beendet werden. Die Suchfunktion von Windows erlaubt es dann, sich alle Dateien anzeigen zu lassen, die diese Ziffernfolge enthalten. Damit kann dann erkundet werden, welche Dateien ein Verfahren zum Speichern nutzt. Zum Überprüfen von Textverarbeitungssystemen ist diese Methode durchaus tauglich.
Versiertere Anwender seien auf die Software Paranoia 200x hingewiesen. Dabei handelt es sich um ein Werkzeug, mit dem Anwender (automatisiert) die Spuren löschen können, die sie bei ihrer Arbeit mit Windows-Programmen hinterlassen. Dieses Shareware-Produkt (Kostenpunkt 24 Euro Stand Ende 2004) installiert zusätzlich eine Explorer-Erweiterung namens SaveDelete, mit der ein sicheres Löschen von Dateien und Ordnern möglich ist. Freier Festplattenspeicher und freier Speicher in Clustern wird ebenfalls überschrieben, so dass dieses Produkt auch anstatt der oben erwähnte Eraser-Software eingesetzt werden kann. Der Vollständigkeit halber sei noch darauf hingewiesen, dass sich mit diesem Produkt auch alle Zugriffe auf die Registry protokollieren lassen, was allerdings nur versierte Anwender aus gegebenem Grund tun sollten.
So sinnvoll und erforderlich die genannten Verfahren sind, sollte nicht vergessen werden, dass ein 100%-iges Unkenntlichmachen durch Überschreiben allein nicht möglich ist. Es ist aber ein Stand erreicht, wonach nur darauf spezialisierte Labore nach einem Öffnen der Festplatte noch eine reelle Chance haben, Teile der Daten dennoch zu lesen. Anlässe für so hohe zeitliche und geldliche Aufwende dürften wohl äußerst selten gegeben sein. Dennoch sollte, wo immer es vertretbar erscheint, einer gründlichen physikalischen Zerstörung der Datenträger (zerbrechen, zerschneiden, Löcher bohren, massiv verbiegen, bearbeiten mit einem Magneten) Vorrang vor einer Datenlöschung gegeben werden. Bei defekten Datenträgern in der Garantiezeit muss im Zweifel auf den Garantieanspruch verzichtet werden.
Weitere Hinweise
Weitere Hinweise enthält die Seite Tipps zum Thema Datensicherheit der technischen Universität Berlin. Hervorgehoben sei der Hinweis, dass auch unter Lizenzrecht stehende Anwendungen wie etwa Windows und Office von Microsoft vor einer unbefugten Verwendung (z.B. kopieren) geschützt werden müssen.
Auch im IT-Grunschutzhandbuch
des Bundesamtes für Sicherheit in der Informationstechnik (siehe Link-Liste)
finden sich unter M 2.167 Sicheres Löschen von Datenträgern nützliche Hinweise.
Nachklapp (November 2004)
Ein weiteres empfehlenswertes Produkt, das sowohl das Löschen der ganzen Festplatte als auch das Löschen von Verzeichnissen und Dateien ermöglicht, wird auf dieser Seite erläutert und kann auch dort bestellt werden.
