Ein etwas seltsamer Vorgang beschäftigt derzeit die österreichische Innenpolitik: Ein Mitarbeiter des ehemaligen Bundeskanzlers Sebastian Kurz (ÖVP) hat eine Festplatte bei einem professionellen Datenvernichtungsunternehmen in den Schredder werfen lassen. Für Diskussionen sorgen dabei vor allen die Rahmenbedingungen. Immerhin wurde die zuvor in einem Drucker genutzte Festplatte wenige Tage nach dem Auffliegen der Ibiza-Affäre demontiert. Dass der betreffende Mitarbeiter bei diesem Vorgang einen falschen Namen angegeben und in der Folge auch die Rechnung nicht bezahlt hat – dafür aber brav seine echte Telefonnummer hinterließ –, feuert die Spekulationen natürlich gehörig an.

Wozu eigentlich?

Jenseits dieser politischen Fragen gibt es aber natürlich auch die technische: Wäre es wirklich notwendig gewesen, die betreffende Festplatte zu einem solchen Unternehmen zu bringen – und so das Risiko einzugehen, dass eine nachvollziehbare Spur hinterlassen wird? Die Antwort darauf wird die Betroffenen nicht unbedingt erfreuen: Mit ein paar einfachen Handgriffen hätte man sich hier viel Ärger ersparen können.

HDD oder SSD

Die erste wichtige Frage dabei ist, ob es sich um eine klassische Harddisk (HDD) oder um eine Solid State Disk (SSD) gehandelt hat. Immerhin werden hier die Daten unterschiedlich gespeichert. Bei einer Harddisk ist die vollständige Löschung sämtlicher Daten relativ einfach: Es reicht, den gesamten Speicherplatz komplett zu überschreiben – wer auf Nummer sicher gehen will, macht dies mehrfach. Dafür benutzt man am besten spezielle Tools, die einen solchen "Wipe" genannten Vorgang für einen vornehmen.

Das, was Windows, Mac OS und Co als "schnelle Formatierung" anbieten, reicht hingegen nicht. Dabei werden die auf der Festplatte abgelagerten Daten nämlich nicht wirklich gelöscht. Stattdessen werden nur zentrale Daten wie das Inhaltsverzeichnis neu geschrieben – die eigentlichen Daten in Form des Magnetzustands auf den einzelnen Platten sind hingegen weiterhin vorhanden. Entsprechend lassen sie sich nach solch einem "Quick Format" meist recht einfach wiederherstellen.

Warum nehmen die Hersteller dann nicht immer eine vollständige Formatierung von Datenträgern vor? Die Antwort darauf ist simpel: Zeit. Ein komplettes Überschreiben aller Daten dauert schon bei einem einfachen Schreibvorgang ziemlich lange. Extra dafür vorgesehene Wipe-Tools überschreiben den Datenträger aber gleich mehrfach, was natürlich noch um ein Vielfaches länger braucht.

Flashspeicher machen es komplizierter

Bei einer SSD wird es dann schon etwas komplizierter: Denn während Harddisks auf eine magnetische Speicherung setzen, benutzen SSDs Flashspeicher. Das ist deswegen wichtig, da sich Flashspeicher schneller abnutzen. Entsprechend kommen bei SSDs eigene Controllerchips zum Einsatz, die sich darum kümmern, Schreib- und Lesezyklen zu minimieren. Das heißt aber wiederum, dass klassische Wipe-Tools hier nicht zuverlässig funktionieren, da das Betriebssystem gar nicht selbst entscheiden kann, auf welchen Teil des Speichers zugegriffen wird.

Glücklicherweise gibt es aber auch hier Abhilfe – und zwar meist schon von den Herstellern selbst: Diese bieten üblicherweise eigene Tools an, mit denen ein komplettes und zuverlässiges Löschen von SSDs möglich ist. Die entsprechende Funktion nennt sich üblicherweise "Secure Erase". Allerdings funktioniert das nicht immer sofort, da das Betriebssystem diesen Vorgang aus Sicherheitsgründen blockieren kann. Diesen "Locked State" kann man üblicherweise durchbrechen, indem – im laufenden Zustand des Rechners – die SSD aus dem System genommen und wieder eingesteckt wird. Das ist allerdings nicht immer so einfach möglich, insofern bietet sich eine weitere Option an: Oft bietet die Firmware des Rechners (UEFI/Bios) selbst eine Secure-Erase-Option an, die Löschung kann also auch jenseits des eigentlichen Betriebssystems erfolgen. Für Profis stellt dann noch der Start des Systems mit einer Linux-Live-CD eine Alternative dar, wo solch ein Vorgang auch über die Kommandozeile abgewickelt werden kann.

Man bringe den großen Hammer

Wer wirklich sichergehen will, dass keinerlei Daten mehr vorhanden sind, sollte danach noch zu einem weiteren Schritt greifen: der physischen Zerstörung des Datenträgers. Das mag zunächst übertrieben klingen, hat aber durchaus gute Gründe, wie Markus Häfele von der Datenrettungsfirma Attingo im Gespräch mit dem STANDARD betont. Durch herkömmliche Software lassen sich nämlich nicht sämtliche Bereiche einer Festplatte löschen. Bei jeder Harddisk gibt es Reservesektoren, auf die der Controller keinen direkten Zugriff erlaubt. Diese sind etwa gedacht, um beschädigte Sektoren – die früher oder später bei allen Geräten auftauchen – auszugleichen. Das Problem ergibt sich jetzt daraus, dass ein beschädigter Sektor seine Daten zwar behält, aber nicht mehr neu beschrieben werden kann. In diesem Bereich könnten also noch nach mehrfachem Wipe interessanten Daten zu finden sein.

Sehr ähnlich besteht dieses Problem bei SSDs – und zwar in noch größerem Ausmaß: Da sich Flash-Zellen wie erwähnt schneller abnutzen, kommt eine Markierung als nicht mehr lesbar relativ häufig vor. Aber auch in diesen Zellen bleiben dann trotzdem die letzten gespeicherten Daten vorrätig. Doch Häfele verweist noch auf ein anderes Problem: Leider führen viele Tools den "Secure Erase" nicht wirklich zuverlässig aus. Oft brechen diese schon ab, wenn es zu einem einzelnen Fehler kommt. Das gilt nicht zuletzt auch für die BIOS/UEFI-Implementationen – aber leider nicht nur. Die Nutzer bemerken das leider nicht, sie könnten maximal versuchen direkt auf einen Datenträger – etwa mit einem Disk-Editor – Einblick zu nehmen, ob die Daten erfolgreich zurückgesetzt wurden. Aber das ist für die breite Masse an Nutzern aufgrund des nötigen Fachwissens eher unrealistisch.

Bei Harddisks ist es relativ einfach, das Gehäuse aufzuschrauben und anschließend die darin befindlichen Platten zu zertrümmern. Bei SSDs ist es noch leichter, an die Speicherchips zu gelangen und diese etwa mit einem Nagel zu vernichten. Das sollte allerdings kein kompletter Ersatz für einen Wipe-Vorgang sein. Forensische Unternehmen sind durchaus in der Lage, selbst grob beschädigte Reste von Festplatten auszuwerten.

Genau das ist dann auch der Grund dafür, warum sich bei großen Unternehmen und Behörden gleichermaßen das Schreddern von Festplatten hoher Beliebtheit erfreut. Solche Geräte können die Platten so zerkleinern und dann auch noch mit anderen Datenträgern mischen, dass eine Wiederherstellung unmöglich wird. Trotzdem: Die Kombination aus "Wipe-" beziehungsweise "Secure-Erase" und physischer Vernichtung bringt auch so eine sehr hohe Sicherheit. Das ist zwar etwas mühsamer und vor allem zeitintensiver, geht aber dafür auch ohne externe Dienstleister.

Verschlüsselung wirkt

Grundsätzlich gilt es daran zu erinnern, dass meist schon eine Verschlüsselung der Datenträger effektiv den nachträglichen Zugriff durch Dritte verhindert. Bei in großen Druckersystemen genutzten Festplatten ist dies teilweise schon von Haus aus der Fall – oft aber auch nicht. Und der Einfluss der Nutzer darauf ist typischerweise gering. Bei all dem darf nicht vergessen werden, dass ein Drucker natürlich nur jene Dokumente speichert, die von irgendeinem Gerät an ihn geschickt wurden – die betreffenden Dateien müssen also noch anderswo aufzufinden sein. Eine effektive Löschung bedeutet also, hier die Daten an mehreren Stellen zu entfernen. Allerdings sind es bei sensiblen Daten ohnehin meist nicht die lokalen Datenträger, die bei einer Löschung vergessen werden, sondern eben exakt solche Stellen wie eine Druckerfestplatte, an die niemand denkt. (Andreas Proschofsky, 22.7.2019)