Warum zerstören wir Daten?
Die Erfindung verschiedener Methoden zur Datenaufzeichnung bildete die Grundlage für die Entwicklung der Zivilisation. Anfänglich bestanden diese aus Ritzungen in Knochen und Stöcken, Knoten in Schnüren, später Keilen in Tontafeln und Hieroglyphen auf Papyrus. Diese Methoden ermöglichten es, Informationen unabhängig vom menschlichen Gedächtnis zu erhalten und erleichterten so die Anhäufung von Wißen und Erfahrung sowie deren Weitergabe an nachfolgende Generationen.
Die Weiterentwicklung führte zur Erfindung der Alphabetschrift, mit der sich beliebige Inhalte mit wenigen Symbolen festhalten ließen. Die Erfindung des Buchdrucks und des Buchdrucks mit beweglichen Lettern vereinfachte und verbilligte die Maßenvervielfältigung und Verbreitung von Informationen. Ein weiterer Durchbruch in der Zivilisation war das Aufkommen von Computern und Internet, wodurch digitale Daten noch leichter zugänglich wurden.
Informationen wurden jedoch auch häufig vernichtet. Manchmal durch Unfälle, zufällige Ereigniße, den natürlichen Verschleiß von Medien oder sinnlose, barbarische Zerstörungsakte, aber auch durch gezielte und vorsätzliche Mittel. Auf diese Weise wurde das kulturelle Erbe eroberter Länder ausgelöscht, religiöse Führer unterdrückten abweichende Meinungen und Herrscher vernichteten Literatur, die abweichende Ideen verbreitete. Das bekannteste Beispiel für Informationsvernichtung war die doppelte Zerstörung der Großen Bibliothek von Alexandria, die zum unwiederbringlichen Verlust eines bedeutenden Teils der antiken Literatur führte.
Bücher werden heute zwar deutlich seltener verbrannt, doch das bedeutet nicht, daß Zensur und Versuche, den Informationsfluß zu kontrollieren, aufgegeben wurden. Dies ist jedoch nur ein Grund für die Datenvernichtung. Die Übertragung eines Großteils der Informationen aus unserem Privat- und Berufsleben auf digitale Medien ist einerseits bequem, andererseits erhöht sie aber das Risiko unberechtigten Zugriffs und damit die Möglichkeit des Mißbrauchs erheblich.
Aus diesem Grund ist die digitale Datenbereinigung zu einem Schlüßelelement der Cybersicherheit geworden. Zahlreiche mehr oder weniger angemeßene Standards sind entstanden, die Datenvernichtungsverfahren so regeln, daß sie zumindest prinzipiell die Sicherheit und Effektivität des Prozeßes gewährleisten. Auch zahlreiche Verordnungen, die die Pflicht zur ordnungsgemäßen Datenvernichtung in bestimmten Situationen festlegen, werden derzeit entwickelt – beispielsweise internationale Rechtsakte wie die DSGVO (Datenschutz-Grundverordnung). Von nationalen Gesetzen, die verschiedene Arten von Amts- und Berufsgeheimnißen definieren, bis hin zu internen Regelungen in diversen öffentlichen und privaten Organisationen – neben den gesetzlichen Verpflichtungen bestehen auch vertragliche Verpflichtungen.
Diese gewährleisten die Vertraulichkeit bestimmter Informationen und deren angemeßenen Schutz, einschließlich ihrer Vernichtung, sobald sie nicht mehr benötigt werden. Daten können auch ohne spezifische Verpflichtungen vernichtet werden, um die eigenen Intereßen und die Privatsphäre zu schützen. In extremen Fällen kann die Vernichtung von Daten auch dazu dienen, Haftungsansprüchen wegen Fehlern, unethischem Verhalten oder gar begangenen Straftaten zu entgehen, falls diese Informationen als digitale Beweismittel gegen uns verwendet werden könnten.
Es mag offensichtlich erscheinen, daß die Notwendigkeit einer ordnungsgemäßen Datenvernichtung in bestimmten Situationen gegeben ist, dennoch sehen wir uns immer noch mit unzähligen Datenlecks aufgrund von Fahrläßigkeit konfrontiert. Die Situation verschärft sich noch, wenn es um das Verständnis der Funktionsprinzipien von Datenspeichermedien und der Physik der Datenspeicherung geht. Dieses Problem betrifft auch die Verfaßer von Normen, die Verfahren zur Datenbereinigung beschreiben, was häufig zu Bestimmungen führt, die angesichts des technischen Wißens befremdlich wirken.
Grundlegende Informationen zu Datenträgern.
Die Entwicklung der Elektronik und Computertechnologie schuf den Bedarf an Datenspeichermedien für neue Geräte. Anfänglich wurden Lochkarten und Lochbänder verwendet, die bereits seit dem 19. Jahrhundert im Einsatz waren. Mitte des 20. Jahrhunderts wurden jedoch magnetische Speichermedien entwickelt – Magnetbänder, Festplatten und, später, Disketten. Diese Medien verdrängten mit der Zeit Papier vollständig, stehen aber seit Beginn des 21. Jahrhunderts im Wettbewerb mit Halbleiterbauelementen, die Flash-NAND-Speicher nutzen. Parallel dazu entwickeln Labore eine Vielzahl neuer Datenspeichermedien, die häufig physikalische Phänomene im Zusammenhang mit Widerstandsänderungen ausnutzen.
Genau diese physikalischen Phänomene, die zur Datenspeicherung genutzt werden, bilden die Grundlage für die gängigste Klaßifizierung von Datenspeichermedien. Die Einteilung in Papier-, magnetische, optische, Halbleiter- und resistive Medien ist bekannt, doch die Physik hinter der Datenspeicherung wird oft mißverstanden, was zu Mythen und Fehlvorstellungen über die Effektivität der Datenlöschung führt. Aufgrund der Komplexität dieser Themen ist eine detaillierte Erläuterung in diesem Artikel nicht möglich.
Ein weiterer gängiger Unterschied zwischen Datenspeichermedien ist der zwischen analog und digital. Digitale Medien speichern Daten in Form logischer Zustände, die als Nullen und Einsen interpretiert werden und somit für Maschinen leicht verständlich sind. Andere Datenspeichermedien sind analog. Es ist wichtig zu beachten, daß jedem digitalen logischen Zustand ein analoger physikalischer Zustand zugrunde liegt, der während der Datendekodierung als logische Null oder Eins interpretiert wird.
Ein gutes Beispiel zur Veranschaulichung der Zuordnung logischer zu physikalischen Zuständen sind Lochkarten, bei denen bestimmten logischen Werten „ausgefüllten“ Feldern oder gestanzten Löchern zugeordnet werden können. Gerade weil der dem logischen Zustand zugrunde liegende physikalische Zustand bei Lochkarten selbst für Laien leicht erkennbar ist, werden sie oft als analoge Speichermedien betrachtet.
Eine wichtige Klaßifizierung für Datenlöschung bezeichnet die Einteilung von Datenspeichermedien in flüchtige (energieabhängige) und nichtflüchtige (energieunabhängige) Speicher. Flüchtige Speichermedien behalten ihren logischen Zustand nur unter Spannung und verlieren ihn sofort, sobald die Stromversorgung unterbrochen wird. Zum Löschen von Daten genügt es daher, die Stromversorgung zu trennen. Beispiele für flüchtige Speichermedien sind DRAM (Dynamic Random Access Memory), die als Arbeitsspeicher verwendet werden, und SRAM (Static Random Access Memory), das häufig als Prozeßor-Cache dient.
Nichtflüchtige Speichermedien hingegen können ihren logischen Zustand unabhängig von der Stromversorgung über sehr lange Zeiträume, bei sachgemäßer Lagerung sogar Jahrzehnte, beibehalten. In diesem Fall erfordert das Löschen von Daten ein gezieltes Eingreifen. Die weitere Unterteilung in wiederbeschreibbare und einmalig beschreibbare Speichermedien ist wichtig.
Einmalig beschreibbare Speichermedien können nur einmal beschrieben werden, und ihr Inhalt kann nicht verändert werden. Um die darauf gespeicherten Daten zu vernichten, muß daher das gesamte Speichermedium physisch zerstört werden. Bei wiederbeschreibbaren Speichermedien läßt sich deren Inhalt durch einen anderen ersetzen. Dadurch besteht die Möglichkeit, Informationen durch Überschreiben zu löschen, ohne das Speichermedium zu zerstören.
Wichtig ist auch, daß Cloud-Speicher, Netzlaufwerke und ähnliche Reßourcen keine separate Kategorie von Speichermedien darstellen. Hinter jeder Netzwerkreßource steht eine reale Infrastruktur, die auch physische Speichermedien verschiedener Art umfaßt. Charakteristisch für diese Reßourcen ist, daß sie häufig von Dritten verwaltet werden und der Nutzer keinen physischen Zugriff darauf hat. Dies schränkt die Möglichkeiten zur Datenlöschung und die Kontrolle über die auf solchen Reßourcen gespeicherten Datenkopien ein.
Standards für die Datenvernichtung.
Um eine sichere und effektive Datenlöschung zu gewährleisten, haben viele Institutionen Verfahren entwickelt, die teils weinger detailliert, teils sehr detailliert sind. Einige, insbesondere jene von Regierungs- und Militärbehörden, genießen hohes Vertrauen und erfreuen sich großer Beliebtheit. Datenvernichtungsunternehmen behaupten oft, ihre Verfahren entsprächen gängigen Standards, da dies von ihren Kunden erwartet wird.
Häufig wird fälschlicherweise angenommen, die in diesen Standards beschriebenen Verfahren spiegelten die technischen Möglichkeiten der Datenrettung durch Strafverfolgungsbehörden, Geheimdienste und ähnliche Organisationen wider. Tatsächlich ist dies nicht der Fall – diese Standards werden in der Regel von Beamten entwickelt, die oft nur über sehr begrenzte technische Kenntniße verfügen. Dies wird deutlich, wenn man sich die erheblichen Unterschiede zwischen verschiedenen Vorschriften ansieht (beispielsweise Unterschiede bei empfohlenen Überschreibenmustern und der Anzahl der Überschreibenzyklen), obwohl die physikalischen Grundlagen für alle gleich sind.
Die Physik bestimmt, wie Daten auf verschiedenen Speichermedien gespeichert, wie sie gelöscht und unter welchen Bedingungen sie wiederhergestellt werden können. Alle Vorschriften unterliegen den Gesetzen der Physik und den darauf basierenden technischen Lösungen. Unterschiede zwischen einzelnen Standards und Verfahren resultieren primär aus ihrer Inkonsistenz mit dem technischen Wißen und den physikalischen Gegebenheiten der Datenspeicherung.
Verschiedene Standards zur Datenvernichtung wurden zu unterschiedlichen Zeiten entwickelt und spiegeln unterschiedliche technologische Fortschritte und ein unterschiedliches Verständnis der Möglichkeiten zur Datenwiederherstellung wider. Ältere Vorschriften erforderten beispielsweise typischerweise eine größere Anzahl von Überschreibdurchgängen als neuere. Zwischen einigen Standards laßen sich deutliche Ähnlichkeiten feststellen. So wurde IEEE 2883-2022 eindeutig von NIST SP-800-88 inspiriert, während DIN 66399 und ISO/IEC 21964 unüberlegte Adaptionen des Standards DIN 32757 darstellen. Dieser regelt die Vernichtung von Papierdokumenten und berücksichtigt nicht die physikalischen Gegebenheiten der Datenspeicherung auf digitalen Speichermedien.
Bei der Datenvernichtung es ist wichtig zu beachten, daß die Effektivität des Prozeßes von den Gesetzen der Physik und der Eignung der gewählten Methode für das jeweilige Speichermedium abhängt. Diverse Vorschriften empfehlen oft unnötige Redundanzen (z. B. Algorithmen zum mehrmaligen Überschreiben von Daten), doch besteht auch bei vollständiger Einhaltung der Vorschriften das Risiko einer ineffektiven Datenlöschung. Während die korrekte Anwendung des Verfahrens vor Haftungsansprüchen schützen kann, bietet die Wahl des falschen Verfahrens keinen zwingenden Schutz vor Datenlecks. Daher ist es unabhängig von der Kenntnis der Vorschriften ratsam, zumindest die grundlegenden Prinzipien der Datenspeicherphysik zu kennen und zu verstehen.
Nachfolgend finden Sie eine Liste der gängigsten Standards zur Datenvernichtung:
AFSSI-5020 (Air Force System Security Instruction 5020),
CSEC ITSG-06 (Communication Security Establishment Canada, Information Technology Security Guide – 06)
DIN 66399 (Büro- und Datentechnik - Vernichten von Datenträgern),
HMG-IS5 (Her/His Majesty Government Infosec Standard 5),
IEEE 2883-2022 (Institute of Electrical and Electronics Engineers, Standard for Sanitizing Storage),
ISO/IEC 21964 (International Standard - Information technology – Destruction of data carriers),
NAVSO P-5239-26 (Navy Staff Office Publication 5239-26, Information Systems Security Program Guidelines),
NISPOM DoD 5220.22-M (National Industrial Security Program Operating Manual, Departament of Defence 5220.22-M),
NIST SP 800-88 (National Institute of Standards and Technology, Guidelines for Media Sanitization),
NSCS-TG-025 (National Computer Security Center, Technical Guidelines 025, A Guide to Understanding Data Remanence in Automated Information Systems),
RCMP TSSIT OST-II (Royal Canadian Mounted Police, Media Sanitation of the Technical Security Standards for Information Technology),
VSITR (Verschlußsachen IT Richtlinien),
ГОСТ Р50739—95 (Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования).
Wann werden Daten tatsächlich gelöscht?
Eine effektive Datenvernichtung liegt vor, wenn eine Wiederherstellung der Daten nach der Vernichtung unmöglich ist. Die Unmöglichkeit der Datenrettung muß unter Berücksichtigung der Naturgesetze betrachtet werden. Selbst eine potenzielle Wiederherstellungsmöglichkeit bedeutet nicht automatisch eine effektive Datenvernichtung, selbst wenn die Wiederherstellung ein extrem komplexer, kostspieliger und zeitaufwändiger Prozeß wäre.
Ein häufiger Fehler besteht darin, die Effektivität der Datenvernichtung anhand der Leistungsfähigkeit gängiger Datenwiederherstellungsmethoden, des Datenwerts sowie der technischen und finanziellen Möglichkeiten eines potenziellen Angreifers zu beurteilen. Wenn während des Datenvernichtungsprozeßes Fragen wie „Wer wird sie haben wollen?“, „Wer wird sie durchführen können?“ oder „Wer wird sie sich leisten können?“ auftauchen, wird der Prozeß wahrscheinlich nicht korrekt durchgeführt. Dies gilt insbesondere dann, wenn die Antworten auf diese Fragen von Personen mit unzureichenden technischen Kenntnißen stammen.
Infolgedeßen überschätzen diese Personen oft die Bedeutung trivialer Fehler (z. B. defekte Schnittstellenstecker oder einfache Elektronikschäden) und unterschätzen die Fähigkeiten von Angreifern, die nicht nur neue Methoden zur Datenwiederherstellung entwickeln können, sondern auch über typische Datenwiederherstellungsfähigkeiten verfügen. Die Datenrettung stößt häufig auf praktische Hinderniße wie Zeit- und Budgetbeschränkungen, Probleme mit der Verfügbarkeit notwendiger Komponenten oder die Komplexität mancher Aufgaben, die sich eher für Forschungsprojekte als für kommerzielle Dienstleistungen eignen. Die Unfähigkeit, Daten aufgrund einer bestimmten Ursache wiederherzustellen, bedeutet jedoch nicht zwangsläufig, daß die Daten unwiderruflich zerstört wurden.
Solange die Daten physisch auf einem Medium vorhanden und potenziell wiederherstellbar sind, können sie nicht als endgültig vernichtet gelten. Insbesondere fehlende Kenntniße und Fähigkeiten zur Datenwiederherstellung in einem konkreten Fall reichen nicht aus, um auf die Unwiederbringlichkeit der Daten zu schließen. Selbst wenn eine bestimmte Methode Daten manchmal effektiv zerstört, beweist dies nicht immer ihre Wirksamkeit in jeder Situation.
Eine Methode kann nur dann als effektiv gelten, wenn sie reproduzierbare Ergebniße liefert und nicht von Zufallsfaktoren abhängt. Andererseits können unnötige Daten in manchen Situationen so unintereßant und wertlos sein, daß sich niemand die Mühe macht, darauf zuzugreifen. Im Extremfall könnten diese Daten auf einem Speichermedium verbleiben, das niemand an einen Computer anschließen würde. Wäre es in einer solchen Situation aber rational, diese Daten als effektiv vernichtet zu betrachten? Warum neigen wir dann so oft dazu, Daten als effektiv vernichtet zu betrachten, wenn eine Wiederherstellung aus physikalischer Sicht noch möglich und oft sogar unkompliziert ist?
Was zerstören wir eigentlich? Medien und Daten.
Ein häufiger Fehler bei der Datenvernichtung ist die Gleichsetzung von Datenspeichermedien mit deren Inhalt. Dies unterlief unter anderem den Autoren der Normen DIN 66399 und ISO/IEC 21964. Dieser Fehler führt typischerweise zu dem Schluß, daß eine effektive Datenvernichtung die physische Zerstörung der Medien erfordert. Eine weitere Folge dieser Gleichsetzung ist der Irrglaube, daß eine Beschädigung der Medien den Zugriff auf die darauf gespeicherten Informationen stets wirksam verhindert.
Tatsächlich ist die physische Zerstörung von Medien zur irreversiblen Datenlöschung nur bei einmalig beschreibbaren oder beschädigten Medien notwendig. In diesen Fällen ist es unmöglich, den physischen Zustand der Medien zu verändern, um die vernichteten Informationen durch andere, wertlose zu ersetzen. Bei funktional wiederbeschreibbaren Medien können Daten durch Überschreiben effektiv vernichtet werden – also durch die Änderung des physischen Zustands der Medien, sodaß dieser als ein anderer logischer Zustand interpretiert wird.
Während die erste Folge der Identifizierung des Datenträgers und seines Inhalts lediglich zu unnötigen Kosten durch die Wahl einer teureren Datenvernichtungsmethode und den Verlust des Datenträgers selbst führt, stellt die zweite Folge eine direkte Bedrohung für die Sicherheit des Datenvernichtungsprozeßes dar. Beschädigungen des Datenträgers können dazu führen, daß er vom Computer nicht mehr erkannt wird und nicht mehr auf Befehle reagiert. Dieses Verhalten erschwert die Überprüfung der korrekten Datenvernichtung und kann bei technisch weniger versierten Personen fälschlicherweise den Eindruck erwecken, die Daten seien unwiederbringlich verloren.
der Festplattenelektronik
In vielen Fällen von Datenverlust, insbesondere bei unsachgemäßer Vorgehensweise, laßen sich die Daten sogar wiederherstellen. Ein Beispiel für solch ineffektive Datenvernichtung ist die Festplatte auf dem Foto. Die beschädigte Elektronik muß ausgetauscht werden. In solchen Fällen ist es oft notwendig, den Lesekopf zu ersetzen, aber in den meisten Fällen sind die Daten praktisch wiederherstellbar.
Methoden der Datenvernichtung und deren Wirksamkeit.
Klaßifizierung von Datenvernichtungsmethoden.
Methoden zur Datenvernichtung werden üblicherweise in Software-(logische) und Hardware-(physikalische) Methoden unterteilt. Hardware-Methoden gelten im Allgemeinen als effektiver als Software-Methoden, doch diese Annahme ist falsch. Selbst bei einer effektiven Datenvernichtungsmethode laßen sich die Daten nach der Anwendung nicht wiederherstellen. Dies bedeutet, daß die Wirkung der Datenvernichtung nicht differenzierung werden kann, sodaß keine der effektiven Methoden als überlegen gilt. Nur ineffektive Methoden, d. h. solche, die die Datenrettung nur mehr oder weniger stark erschweren, können hinsichtlich der Schwierigkeit der Datenwiederherstellung nach der Anwendung verglichen werden.
Der Vorteil physikalischer Datenvernichtungsmethoden liegt in ihrer Anwendbarkeit auf alle Medientypen und in jedem technischen Zustand. Software-Methoden sind nur mit funktionsfähigen, wiederbeschreibbaren Medien kompatibel, deren Inhalt durch andere Medien ersetzt werden kann. Der Hauptnachteil physikalischer Methoden besteht darin, daß die Informationen zusammen mit dem Medium vernichtet werden. Bei der Wahl einer Datenvernichtungsmethode ist es zudem wichtig, deren Eignung für den jeweiligen Medientyp zu berücksichtigen, da jeder Medientyp unterschiedlich empfindlich auf verschiedene physikalische Faktoren reagiert.
Datenvernichtungsmethoden werden mitunter auch anders klaßifiziert. Die Standards NIST SP-800-88 und IEEE 2883-2022 unterteilen beispielsweise Methoden zur Datenvernichtung in drei Kategorien: Löschen (Clear), Säubern (Purge) und Zerstören (Destroy). Während die Kategorie Zerstören als Unterscheidung zwischen physikalischen und softwarebasierten Methoden verstanden werden kann, wirkt die Unterscheidung zwischen Löschen und Säubern etwas künstlich.
Eine Begründung für diese Klaßifizierung von Datenvernichtungsmethoden ist noch schwieriger zu finden, da einige Methoden, wie beispielsweise das Überschreiben, gleichzeitig in beiden Kategorien klaßifiziert werden. Die Einordnung der Entmagnetisierung, einer typischen physikalischen Methode der Datenvernichtung, in die Kategorie Säubern trägt nicht zur Verstehen dieser Klaßifizierung bei. Denn die Entmagnetisierung zerstört neben den Benutzerdaten auch alle anderen Datensätze, einschließlich des Servosignals. Der Inhalt des Speicherbereichs von Festplatten macht deren Verwendung für die meisten magnetischen Datenträger unbrauchbar. Daher wäre es angemeßener, sie in die Kategorie „Säubern“ einzuordnen.
Gleichzeitig ist der Ansatz dieser Normen hinsichtlich der Effektivität der Datenvernichtung sehr unklar und widersprüchlich. Die Autoren dieser Normen verknüpfen Empfehlungen zur Auswahl einer Datenvernichtungsmethode mit der Klaßifizierung ihres Inhalts und scheinen die Verwendung ineffektiver Methoden für weniger wichtige Daten zuzulaßen. Angesichts der Vielzahl effektiver Methoden ist ein solcher Ansatz absurd. Ein weiteres Problem der genannten Normen ist die automatische, durch technische Erkenntniße nicht begründete Zuweisung höherer Effektivität zu Methoden der Kategorie „Zerstören“ und niedrigerer Effektivität zu Methoden der Kategorie „Löschen“.
Softwarebasierte Methoden zur Datenvernichtung.
Ein wesentlicher Vorteil von Software- Datenvernichtungsmethoden liegt in der Möglichkeit, gezielt ausgewählte Daten zu löschen. Die Wirksamkeit logischer Methoden beruht darauf, den physikalischen Zustand des Datenträgers so zu verändern, daß er beim Lesen anders interpretiert wird. Daher laßen sich alle effektiven Software-Datenvernichtungsmethoden auf das Überschreiben eines bestimmten Bereichs reduzieren. Um jedoch die vollständige Sicherheit dieser Methoden zu gewährleisten, ist die Genauigkeit des Prozeßes unerläßlich.
Löschen Dateien auf der Ebene der Dateisystem-Metadaten.
In den meisten Fällen läßt sich eine Datei nach dem Löschen über die Metadaten des Dateisystems wiederherstellen. Dies gilt insbesondere dann, wenn die Datei in den Papierkorb, also in ein spezielles Verzeichnis, verschoben wird. Daher kann diese Methode nicht als effektiv angesehen werden.
Diese Einschätzung ändert sich nicht dadurch, daß sich die Wiederherstellung bestimmter Dateien in vielen praktischen Situationen als unmöglich erweist. Dies geschieht aus verschiedenen Gründen. Am häufigsten liegt es am Überschreiben von Dateien oder deren Fragmenten mit neuem Inhalt, bei SSDs und einigen anderen Flash-NAND-Speichern auch an der TRIM-Funktion. Im Falle einer absichtlichen Datenlöschung dürfen die Ergebniße jedoch nicht dem Zufall überlaßen werden.
Partition formatieren.
Das Formatieren einer Partition kann unter bestimmten Umständen eine effektive Methode zur Datenvernichtung sein. Daten laßen sich in der Regel durch eine Schnellformatierung wiederherstellen, bei der neue Metadaten für eine leere Partition anstelle der vorherigen erstellt werden. Diese Formatierungsmethode ist schnell, läßt aber einen Großteil des Inhalts der alten Partition intakt und ermöglicht die Wiederherstellung, sofern die Daten nicht mit neuen Dateien überschrieben werden.
Anders verhält es sich bei einer vollständigen Formatierung, die fälschlicherweise manchmal auch als Low-Level-Formatierung bezeichnet wird (bei der Low-Level-Formatierung wird eine Struktur aus Spuren und Sektoren erstellt; sie ist seit etwa 30 Jahren nur noch werkseitig verfügbar, führte aber früher, als sie noch vom Benutzer durchgeführt werden konnte, zur effektiven Datenvernichtung). Dabei wird die gesamte Partition mit Nullen überschrieben, bevor neue Metadaten erstellt werden. Dadurch werden die vorherigen Inhalte überschrieben und sind nicht mehr wiederherstellbar. Die TRIM-Funktion in Kombination mit dem physischen Löschen von Blöcken in SSDs kann die Datenrettung von einer formatierten Partition ebenfalls verhindern. Dies erfordert jedoch einige Zeit (typischerweise einige bis mehrere zehn Minuten), damit die Firmware Hintergrundprozeße ausführen kann.
Daten überschreiben.
Das Überschreiben von Daten bedeutet, die zu löschenden Informationen durch wertlose Inhalte zu ersetzen. Dies ist nur mit wiederbeschreibbaren Medien möglich, deren Inhalt beliebig verändert werden kann. Die Daten werden beim ersten Überschreibvorgang gelöscht, da das Schreiben neuer Informationen den physischen Zustand des Mediums so verändert, daß er gemäß dem Überschreibmuster logisch interpretiert wird. Die Effektivität des Datenüberschreibens hängt nicht vom verwendeten Überschreibmuster ab, solange es sich von den zu löschenden Daten unterscheidet.
Die Genauigkeit des Überschreibens ist entscheidend für die Sicherheit dieser Methode der Datenlöschung, da Daten in unbeschriebenen physischen Speichereinheiten fortbestehen können. Daher ist es wichtig, bei der Festlegung der Prozeßparameter den Bereich der zu überschreibenden Sektoren zu beachten und Bereiche außerhalb der LBA-Zone (Logical Block Addressing), wie z. B. HPA (Host Protected Area) oder DCO (Device Configuration Overlay), zu berücksichtigen. Probleme können auch durch Speichermedien verursacht werden, bei denen die LBA-Adreßierung nicht direkt mit der physikalischen Adreßierung übereinstimmt, wie beispielsweise Halbleiterspeicher, SMR-Festplatten (Shingled Magnetic Recording) oder NAND-Puffer in SSHDs (Solid State Hybrid Drives). In solchen Fällen empfiehlt sich oft die Anwendung von Secure Erase oder Block Erase.
Die Notwendigkeit präzisen Überschreibens von Daten und die Risiken von Sektoren außerhalb der LBA-Adreßierung wurden von Dai Shimogaito in seinem Vortrag „Exotic data recovery & paradise“ auf der Code Blue Konferenz 2016 in Tokio ausführlicher erörtert. Kernstück des Vortrags war das Booten des Betriebssystems Windows XP von einer WD20EZRZ-00Z5HB0-Festplatte, die zuvor mit Secure Erase überschrieben worden war. Das System wurde vor Beschädigung geschützt, indem das Datenwiederherstellungssystem beeinträchtigt wurde LBA-zu-Physical-Adreß-Übersetzung Änderung.
Jede Festplatte verfügt über eine Anzahl zusätzlicher physischer Sektoren, die über die nominelle Kapazität des Mediums hinausgehen. Einige Sektoren erweisen sich bei Werkstests als beschädigt und sind unbrauchbar, andere dienen als Reservesektoren und wieder andere bleiben ungenutzt und haben keine zugewiesenen LBA-Nummern. Die Anzahl solcher Sektoren beträgt etwa 0,6–0,7 % der Gesamtkapazität der Festplatte, was bei einer 2-TB-Festplatte etwa 12–14 GB versteckter Kapazität entspricht.
Um den von Dai Shimogaito demonstrierten Effekt zu erzielen, muß ein Übersetzermodul (31) im Servicebereich der Festplatte erstellt und versteckt werden, das andere physische Sektoren adreßiert als der ursprüngliche Übersetzer. Der Speicherort dieses Übersetzers wird durch ein alternatives Modulverzeichnis (01, DIR) angegeben. Deßen Speicherort im Servicebereich wird wiederum durch Modul 20B angegeben, das im EEPROM der Festplattenelektronik gespeichert ist. Nach entsprechender Modifizierung der oben genannten Firmware-Module stehen zwei verschiedene Übersetzer zur Verfügung, die physische Sektoren unterschiedlich adreßieren. Zur Auswahl eines Übersetzers verwenden Sie die entsprechende Elektronikplatine mit einem programmierten 20B-Modul, das auf das Modulverzeichnis verweist, welches wiederum auf den ausgewählten Übersetzer verweist.
Mit dieser Methode laßen sich einige Sektoren vor dem Überschreiben oder dem sicheren Löschen (Secure Erase) schützen. Das Risiko, Daten durch diese Option vor Zerstörung zu schützen, ist vernachläßigbar. Dies erfordert nicht nur physischen Zugriff auf das Laufwerk, fortgeschrittene Firmware-Kenntniße und die Arbeit mit physischer Adreßierung, sondern birgt auch das Risiko, die logischen Dateisystemstrukturen zu beschädigen, wenn versucht wird, zwei verschiedene Übersetzer parallel zu betreiben. Ein potenzieller Angreifer mit physischem Zugriff auf das Laufwerk könnte die benötigten Daten wesentlich einfacher auf ein anderes Medium kopieren.
Dennoch verdeutlicht das oben genannte Beispiel die Notwendigkeit, die Sicherheit von Software-Datenlöschverfahren durch die Verwendung physischer Adreßierung zu erhöhen. Eine einfache Erhöhung der Anzahl der Überschreibrunden. Das Entwickeln neuer, wundersamer Überschreibungsmuster ist angesichts der Tatsache, daß Daten beim ersten Überschreiben unwiderruflich zerstört werden, nicht wichtig. Wichtig ist jedoch, auf Bereiche zu achten, die beim Überschreiben möglicherweise übersehen werden.
Kryptografisches Löschen.
Kryptografisches Löschen (cryptoerase) ist eine sehr schnelle Methode, verschlüßelte Daten zu vernichten, indem der zur Verschlüßelung verwendete Schlüßel gelöscht wird. Die Daten bleiben auf dem Speichermedium erhalten, die Löschung des Schlüßels verhindert jedoch die Entschlüßelung. Trotz der Komplexität des Vorgangs besteht jedoch weiterhin die Möglichkeit, die Daten zu entschlüßeln, was diese Methode ineffektiv macht.
Es besteht stets das Risiko, daß eine Kopie des Verschlüßelungsschlüßels bereits zuvor – auch unkontrolliert und unbefugt – erlangt wurde. Auch Versuche, die Verschlüßelung zu knacken, sind möglich. Obwohl die Wahrscheinlichkeit eines Brute-Force-Angriffs vernachläßigbar gering ist, ist sie nicht gleich null. Fortschritte im Quantencomputing und der künstlichen Intelligenz können die Sicherheit des kryptografischen Löschens ebenfalls gefährden. Darüber hinaus können fortgeschrittenere Methoden, wie beispielsweise ein Known-Text-Angriff, eingesetzt werden, wenn der Angreifer über Teilkenntniße des Inhalts des Speichermediums verfügt. Aus diesen Gründen sollte kryptografisches Löschen nur in Notfallsituationen eingesetzt werden, wenn der Zugriff auf Daten schnell unterbunden werden muß. Für die garantierte Vernichtung von Daten sollte jedoch eine andere, effektive Methode verwendet werden.
Secure Erase
Secure Erase ist ein Datenvernichtungsverfahren, das seit Anfang des 21. Jahrhunderts in der Festplatten-Firmware implementiert ist. Im Wesentlichendabei alle Festplattensektoren mit Nullen überschrieben. Die Operation arbeitet jedoch nicht auf LBA- Adreßebene, sondern näher an der physischen Adreßierung.
Dadurch werden auch Sektoren vernichtet, die für Programme, die auf LBA-Adreßebene arbeiten, nicht zugänglich sind. Secure Erase ist daher sinnvoll, wenn die Gefahr besteht, daß Daten außerhalb der LBA-Adreßierung gespeichert werden, beispielsweise bei SMR-Festplatten. Ein korrekt implementiertes Secure-Erase-Verfahren sollte auch den Inhalt beschädigter Sektoren vernichten, die neu zugewiesen wurden und möglicherweise noch Fragmente vorheriger Daten enthalten. Allerdings nehmen Medienhersteller oft Abkürzungen und implementieren Secure Erase auf fragwürdige Weise, um die Datenvernichtung zu beschleunigen.
Bei verschlüßelten SSDs beispielsweise beinhaltet Secure Erase häufigkryptografisches Löschen (Generierung eines neuen Verschlüßelungsschlüßels) und die Zerstörung der Flash-Translation-Layer-Tabellen. In diesem Fall werden die Daten nach Abschluß des Secure-Erase-Vorgangs durch das Löschen von Blöcken tatsächlich physisch zerstört. Dies ermöglicht kurzzeitig die Analyse der teilweise zerstörten Daten.
Ein intereßantes Beispiel für eine fehlerhafte Implementierung des Secure-Erase-Vorgangs in eMMC-Chips demonstrierte Aya Fukami in ihrem Vortrag „Exploiting the eMMC security features using the VNR“ auf der Konferenz „Flash Data Recovery & Digital Forensic Summit 2024“ in Warschau. Auf diesen Chips wurden die Daten nicht physisch gelöscht; es wurde lediglich die TRIM-Funktion verwendet und nur Operationen am Subsystem zur Übersetzung von LBA in physische Adreßen durchgeführt. Die vermeintlich zerstörten Daten konnten somit mithilfe der physischen Adreßierung wiederhergestellt werden. Darüber hinaus war der Inhalt dieser Chips nicht verschlüßelt. Dauert der Secure-Erase-Vorgang daher weniger Zeit als das Überschreiben oder physische Löschen des gesamten Speichermediums, ist es ratsam, ihn zu ignorieren und die Daten zu zerstören Verwenden Sie eine andere Methode.
Block Erase.
Der Blocklöschvorgang findet in Halbleiterspeichermedien statt. Dabei werden alle Blöcke physisch gelöscht (indem Elektronen aus den Floating Gates der Transistoren entfernt werden), wodurch eine Datenrettung unmöglich wird. Wichtig ist, daß der Löschvorgang auch Blöcke außerhalb der LBA-Adreßierung betrifft. Daher stellt dieser Vorgang eine valide Alternative zu fragwürdigen und verdächtig schnellen Secure-Erase-Implementierungen dar.
Physikalische Methoden der Datenvernichtung.
Physikalische Datenvernichtungsmethoden laßen sich auf alle Datenspeichermedien anwenden, unabhängig von deren technischem Zustand. Sie umfaßen eine Vielzahl unterschiedlicher Verfahren, von denen einige universell einsetzbar sind, andere Daten nur auf bestimmten Medienkategorien effektiv vernichten und viele technisch sinnlos sind, da sie statt ihres eigentlichen Zwecks lediglich eine trügerische Sicherheit vermitteln. Grundvoraussetzung für eine effektive Datenvernichtung ist eine Veränderung des physikalischen Zustands des Speichermediums, die logisch nicht als Daten interpretiert werden kann. Diese Veränderung ist nicht immer mit bloßem Auge sichtbar, aber andererseits führt nicht jede sichtbare Beschädigung des Speichermediums zu einer Veränderung seines physikalischen Zustands, die eine Datenrettung effektiv verhindert.
Mechanische Methoden der Datenvernichtung.
Mechanische Datenvernichtungsmethoden umfaßen ein breites Spektrum an Verfahren zur mechanischen Manipulation von Datenspeichermedien mit dem Ziel ihrer Zerstörung. Diese Methoden reichen von der Verwendung herkömmlicher Festplattenvernichter bis hin zu ungewöhnlicheren Methoden wie dem Durchtrennen von Schnittstellensteckern. Im Allgemeinen genießen diese Methoden ein hohes Maß an Vertrauen, obwohl dieses erstaunlicherweise oft unverdient ist.
Die meisten mechanischen Methoden zur Datenvernichtung sind sehr primitiv und bestehen darin, das Festplatte mit einem Hammer oder einem anderen Werkzeug zu bearbeiten. Ein Bild sagt bekanntlich mehr als tausend Worte: Ein Foto einer mit einem Hammer zertrümmerten Festplatte verdeutlicht die Effektivität dieser Methoden und die technische Kompetenz der Anwender. Trotz schwerer Beschädigungen des Gehäuses, Zerstörung des Lesekopfs und Verformung des Magneten blieben das Magnetplate und seine Daten nahezu intakt.
Ähnlich verhält es sich mit Halbleiterspeichern und Mobilgeräten: Sie können ungenau beschädigt werden, wobei Flash-NAND-Chips trotz äußerer Beschädigungen intakt bleiben. Solche Ungenauigkeiten können auch beim Aufbohren von Geräten oder bei extremeren Maßnahmen wie dem Überfahren mit Fahrzeugen oder dem Beschießen mit Schußwaffen auftreten. Ist es also notwendig, das Laufwerk gemäß DIN 66399 oder ISO/IEC 21964 zu schreddern, um Daten effektiv zu vernichten?
Gorgon F. Hughes, Tom Coughlin und Daniel M. Commins von der University of California beantworteten diese Frage durch die Untersuchung verschiedener Methoden zur Datenvernichtung. Sie untersuchten auch die Möglichkeit der Datenrettung aus zerrißenen Festplattenfragmenten und zeigten, daß diese Aufgabe zwar äußerst komplex, aber machbar ist. Die Fragmentgrößen sind gemäß den genannten Standards deutlich größer als die Sektorgrößen, sodaß solche Fragmente mit einem Magnetkraftmikroskop abgebildet und der Inhalt ganzer Sektoren wiederhergestellt werden kann.
Die Ergebniße ihrer Forschung beschrieben sie im Artikel „Disposal of Disk and Tape Data by Secure Sanitization“. Das Zusammenführen der wiederhergestellten Datenfragmente zu einem größeren Ganzen bleibt eine Herausforderung, insbesondere aufgrund der Notwendigkeit, Informationen der Festplatte selbst von Fragmenten anderer Festplatten zu trennen. Dies ist jedoch primär eine organisatorische und logistische Herausforderung, die sich mit der zunehmenden Effizienz von Computerhardware, Automatisierung und gut trainierten Modellen der künstlichen Intelligenz bewältigen läßt. Natürlich laßen sich Datenverluste an den Rändern der Fragmente nicht vermeiden, aber es ist unmöglich, eine Datenvernichtungsmethode zu implementieren, die die Wiederherstellung eines Teils der Daten ermöglicht. Um als effektiv zu gelten, bleibt der tatsächliche Schaden dem Zufall überlaßen.
Geeignete Techniken zur Abbildung von Fragmenten mechanisch beschädigter Datenträger existieren auch für andere Gerätetypen. Insbesondere die Möglichkeit, die elektrischen Potenziale von Floating Gates abzubilden. Erwähnenswert sind die Ergebniße der Analyse von Flash-Speichertransistoren mittels Rasterkraftmikroskopie. Die Forschung in diesem Bereich ist deutlich weniger bekannt als die Analyse von Festplattenoberflächen mit einem Magnetkraftmikroskop, die Ergebniße sind jedoch vielversprechend.
Es stimmt, daß es keine kommerziellen Datenrettungsdienste gibt, selbst nicht für deutlich subtilere Schäden an Festplatten, wie Verbiegungen, Brüche oder Zähnung. Dies liegt jedoch nicht an der Unmöglichkeit einer physikalischen Datenrettung, sondern vielmehr an der fehlenden wirtschaftlichen Rechtfertigung für andere Datenrettungsmethoden als das Drehen der Platte und das Auslesen ihrer Inhalte mit originalen oder Spender- Festplattenkomponenten. Ähnlich verhält es sich mit Halbleiterspeichern, wo sich der typische Leistungsumfang nicht über Methoden zur Kontaktaufnahme mit dem gesamten Gerät oder zum Auslesen der Inhalte von Flash-NAND-Chips mit einem Programmiergerät hinaus erstreckt. Die Datenrettung von geschredderten Datenträgern ist nach wie vor eher eine Aufgabe für Forschungsprojekte als für kommerzielle Dienstleistungen.
Die Ergebniße abgeschloßener Projekte zeigen jedoch deutlich, daß sie teilweise machbar ist. Angesichts der nachgewiesenen Ineffektivität der Datenträgervernichtung nach DIN 66399 und ISO/IEC 21964 ist der Nutzen solcher Methoden höchst fragwürdig. Sie garantieren nicht nur nicht das erwartete Sicherheitsniveau, sondern sind auch teuer und erzeugen schwer recycelbaren Abfall.
Da für jeden Datenträgertyp, unabhängig von seinem technischen Zustand, eine effektive Datenvernichtungsmethode gewählt werden kann, läßt sich die mechanische Zerstörung von Festplatten kaum rechtfertigen – außer vielleicht dem Bedürfnis von technisch nicht versierten Managern, einen Stapel Chips vor sich zu haben. Dieses Gefühl wird nicht dadurch gemildert, daß es bekannte Fälle der Rekonstruktion von Papierdokumenten aus Schnipseln gibt, ein besonders bekanntes Beispiel ist die Rekonstruktion der zerstörten Stasi-Archive (Staatssicherheitsdienst) des BND (Bundesnachrichtendienst). Manche glauben, eine höhere Speicherdichte könne die Datenrettung zusätzlich erschweren. Tatsächlich ist es so, daß mit steigender Speicherdichte die Wahrscheinlichkeit zunimmt, aus einem Fragment bestimmter Größe einen größeren Anteil konsistenter Daten wiederherzustellen.
Sind deshalb alle mechanischen Methoden der Datenvernichtung ineffektiv? Es ist stets möglich, die Speichermedien weiter zu fragmentieren als vorgeschrieben, sodaß die verbleibenden Fragmente kleiner als die physischen Datenzuordnungseinheiten sind. Flash-NAND-Chips laßen sich anbohren, sodaß ein Bohrer mit geeignetem Durchmesser in jeden Chip im Inneren eindringen kann. Bei Festplatten können Daten durch Reinigen der Plattenoberflächen mit feinem Schleifpapier vernichtet werden. Diese Methode vernichtet Daten effektiv und deutlich kostengünstiger als das Schreddern der Festplatten, entspricht aber nicht den geltenden Standards.
Thermische Datenvernichtungsverfahren.
Thermische Datenvernichtungsverfahren basieren typischerweise auf der Anwendung hoher Temperaturen mit signifikanter Redundanz, wodurch das Speichermedium letztendlich zerstört wird. Nach der Anwendung dieser Verfahren ist das Medium nicht mehr verwendbar. Daher ist es sehr schwierig, Studien zu finden, die die optimale Temperatur zur Datenvernichtung auf einem bestimmten Medientyp angeben.
Thermische Verfahren eignen sich am besten zur Datenvernichtung auf Kunststoffmedien wie CDs, DVDs, Magnetbändern und Disketten. Diese Medien beginnen sogar bei Temperaturen um 100 °C zu schmelzen. Ganz anders verhält es sich bei Festplatten und Halbleitermedien.
Um Daten auf einer Festplatte zu vernichten, muß die Curie-Temperatur erreicht werden – die Temperatur, bei der ein bestimmtes magnetisches Material seine magnetischen Eigenschaften verliert. Festplattenhersteller halten die genaue Zusammensetzung der verwendeten Magnetlegierungen geheim, aber es wird geschätzt, daß die Curie-Temperatur der Magnetschicht bei etwa 700 °C liegt. Diese Temperatur wird in Lagerfeuern, Öfen und den meisten anderen Feuern nicht erreicht. Daher gelingt es Unternehmen oft, Daten von durch Feuer beschädigten Festplatten erfolgreich wiederherzustellen.
Schwieriger gestaltet sich die Situation bei Geräten mit Flash-NAND-Chips. Obwohl diese Chips empfindlich auf hohe Temperaturen reagieren und zunehmend anfällig für Degradation sind, bedeutet dies nicht, daß Daten durch thermische Einwirkung garantiert unwiderruflich gelöscht werden können. Eine gängige Methode zur Datenrettung von Halbleiterspeichern ist das Auslesen des Inhalts ausgelöteter Speicherchips mithilfe eines Programmiergeräts.
Mit dem üblicherweise verwendeten bleifreien Lot ist zum Auslöten von Flash-NAND-Chips eine Temperatur von etwa 300 °C erforderlich, die deutlich über den Temperaturen eines Backofens oder eines typischen Lagerfeuers liegt. Zwar hängt die Degradationsrate von Flash-NAND-Chips auch von der Dauer der Einwirkung hoher Temperaturen ab, jedoch existieren keine Analysen, die die Entwicklung eines Verfahrens ermöglichen würden, das eine effektive Datenvernichtung ohne umfangreiche Redundanz gewährleistet, welche zur vollständigen Zerstörung (Verbrennung) des Bauelements führen würde.
Chemische Methoden der Datenvernichtung.
Chemische Datenvernichtungsmethoden basieren auf dem Einsatz von Chemikalien, um die Datenträger zu zersetzen und deren Inhalte unlesbar zu machen. Typischerweise lösen diese Methoden die Datenträger vollständig in einer geeigneten Lösung auf, was die Wirksamkeit der Methode gewährleistet. Selbstverständlich muß die Lösung auf den jeweiligen Datenträger abgestimmt sein.
Die Wirksamkeit der chemischen Datenvernichtung wird nicht dadurch beeinträchtigt, daß für die Datenspeicherung nicht eßentielle Elemente, wie beispielsweise das Glassubstrat von Magnetplatten auf Festplatten, unbeschädigt bleiben. Die Beschädigung von Datenträgern mit verschiedenen, beliebigen Substanzen ist jedoch keine effektive Methode zur Datenvernichtung. Zu den wesentlichen Nachteilen chemischer Methoden zählen außerdem die Notwendigkeit, geeignete und sichere Transport- und Lagerbedingungen für die verwendeten Substanzen, den Prozeß selbst sowie die Entsorgung der Abfälle sicherzustellen.
Entmagnetisieren.
Eine gängige Methode zur Datenvernichtung ist die Entmagnetisierung von Datenträgern. Dabei wird ein starkes Magnetfeld an den Datenträger angelegt, wodurch die Magnetisierung gestört und die Inhalte unlesbar werden. Wichtig ist, daß die Entmagnetisierung nicht nur Benutzerinformationen löscht, sondern auch das Servosignal und die Serviceinformationen von Festplatten zerstört und somit den Datenträger selbst unbrauchbar macht. Lediglich ältere, selten genutzte Magnetbänder ohne Servospuren und Disketten können nach der Entmagnetisierung wiederverwendet werden.
Um Daten auf einem entmagnetisierten Datenträger effektiv zu vernichten, muß das verwendete Magnetfeld höher sein als die Koerzitivfeldstärke des Materials, aus dem die Magnetschicht des Datenträgers besteht. Die Koerzitivfeldstärke von in Festplatten üblicherweise verwendeten Kobaltlegierungen beträgt etwa 0,5 T, und Entmagnetisierungsgeräte, die ein Magnetfeld von etwa 1 T erzeugen, sind für die Entmagnetisierung ausreichend. Auch die zunehmende Verbreitung von energieunterstützten Aufzeichnungslaufwerken sollte berücksichtigt werden.
Es gibt HAMR- (Heat-Assisted Magnetic Recording) und MAMR- (Microwave Assisted Magnetic Recording) Festplatten, die Eisen-Platin-Legierungen mit einer Koerzitivfeldstärke von nahezu 6 T verwenden und dadurch gegen die meisten modernen Entmagnetisierungsgeräte resistent sind. Wichtig ist auch, daß Entmagnetisierung nur bei magnetischen Speichermedien eine effektive Methode zur Datenvernichtung darstellt; die Anwendung bei anderen Medientypen ist sinnlos. NAND-Puffer in SSHD-Laufwerken (Solid State Hybrid Drive) sind besonders resistent gegen Entmagnetisierungsgeräte. Dies mag offensichtlich erscheinen, ist aber insbesondere für öffentliche Einrichtungen, die Entmagnetisierungsdienste für Flash-Speicher oder optische Medien in Anspruch nehmen, keine Seltenheit.
Elektrische Methoden zur Datenvernichtung.
Andere gängige Methode zur Datenvernichtung ist die elektrische Beschädigung von Geräten. Diese Methoden sind jedoch meist ineffektiv. Eine im Vergleich zur Nennspannung zu hohe Spannung beschädigt oft die Speichermedien und erzeugt ein trügerisches Sicherheitsgefühl. Die entstehenden Fehler laßen sich aber in der Regel leicht beheben, selbst von Personen mit grundlegenden Elektronikkenntnißen.
Solche Schäden beschränken sich oft auf einzelne Sicherheitsbauteile (Sicherungen, Zenerdioden, 0-Ω-Widerstände), und selbst bei umfangreicheren Schäden ist es schwierig, die eigentlich für die Datenspeicherung verantwortlichen Komponenten zu beeinträchtigen. Insbesondere die Inhalte von Festplatten überstehen die Zerstörung aller elektronischen Bauteile, sodaß eine Datenrettung physikalisch möglich ist. Bei Halbleiterspeichern hingegen erfordert eine effektive elektrische Datenvernichtung das Anlegen einer extrem hohen Spannung an jeden einzelnen Flash-NAND-Chip und die anschließende Überprüfung seiner vollständigen Zerstörung.
Selbst wenn ein Speicherchip nach dem Einlegen in ein Programmiergerät nicht mehr auf Befehle reagiert, keine Kennung mehr anzeigt und überhitzt, bedeutet dies nicht zwangsläufig, daß seine interne Struktur so stark beschädigt ist, daß eine Datenrettung unmöglich ist. Gemäß der ONFI-Spezifikation (Open NAND Flash Interface) kann ein einzelner integrierter Schaltkreis bis zu 4 Speicherchips enthalten, und im Falle von Chips, die gleichzeitig an zwei Bußen arbeiten, sogar bis zu 8. Wenn einer der Speicher nicht vollständig zerstört wird, ermöglicht dies, die in den Floating Gates gespeicherten elektrischen Ladungen abzubilden und so zu versuchen, einige der Daten wiederherzustellen.
Induktive Methoden der Datenvernichtung.
Die Idee induktiver Datenvernichtungsmethoden stammt vermutlich aus der Löschung älterer EPROM-Chips (Erasable Programmable Read Only Memory) mittels ultravioletter Strahlung. Diese Chips besaßen ein spezielles Fenster, durch das sie bestrahlt werden konnten, wodurch Elektronen aus den Floating Gates entfernt wurden. Anfang der 1980er-Jahre wurden diese Chips durch EEPROM-Chips (Electrically Erasable Programmable Read Only Memory) ersetzt, bei denen der Löschvorgang elektrisch, typischerweise mittels des Fowler-Nordheim-Tunneleffekts, erfolgt.
Aktuell vorgeschlagene induktive Datenvernichtungsmethoden verwenden selten ultraviolette Strahlung; häufiger wird ionisierendeng Strahlung oder Mikrowellenstrahlung eingesetzt. Diese Strahlungsart kann das Speichermedium unter bestimmten Umständen beschädigen, stellt jedoch eine andere Schadenskategorie dar, die die Überprüfung der Wirksamkeit der Datenvernichtung erschwert. Es gibt keine verläßlichen Studien oder Analysen, die die Anforderungen an induktive Bestrahlungsbedingungen bestimmen, die eine vollständig sichere Vernichtung von Informationen für spezifische Speichermedienkategorien ermöglichen würden.
Pyrotechnische Methoden zur Datenvernichtung.
Pyrotechnische Methoden basieren auf dem Einsatz von Pyrotechnik und Sprengstoffen. Obwohl diese Methoden Laien mit ihren visuellen und akustischen Effekten beeindrucken mögen, ist ihre Wirksamkeit in der Praxis äußerst ungenau. Sie arbeiten bei zu niedrigen Temperaturen, um eine thermische Datenvernichtung zu gewährleisten, und verursachen zudem schwer verifizierbar mechanische Defekte.
In den meisten Fällen ist der technische Zustand des Geräts nach dem Einsatz pyrotechnischer Methoden deutlich besser als es den Anschein hat, und kritische Datenspeicherkomponenten wie Magnetplatten auf Festplatten und NAND-Flash-Chips sind oft unbeschädigt oder nicht so stark beschädigt, daß Daten zerstört werden. Neben der hohen Unsicherheit und der ungenauen Wirksamkeit dieser Methoden besteht ihr Nachteil in der Notwendigkeit, angemeßene Sicherheitsvorkehrungen zu treffen. Daher ist ihr Einsatz sinnlos und sollte durch andere Methoden ersetzt werden.
Datenklaßifizierung und Methoden zur Datenvernichtung.
Die meisten Standards und Normen für Datenbereinigungsverfahren legen die Wahl der Datenvernichtungsmethode anhand der Art und des Inhalts der zu löschenden Daten fest. Konkret fordern sie die Berücksichtigung der zugewiesenen Geheimhaltungs- oder Vertraulichkeitsklaßifizierung, eine Bewertung der Sensibilität und Bedeutung der Daten für die Organisation oder andere Stellen sowie die potenziellen Folgen eines möglichen Datenlecks. In diesen Verfahren hängt die Wahl der Datenvernichtungsmethode typischerweise auch davon ab, ob das Datenträger innerhalb der Organisation verbleibt oder diese verläßt. Im letzteren Fall wird üblicherweise die physische Zerstörung des Datenträgers empfohlen, was in der Praxis eine sinnvolle Nutzung außerhalb der Organisation verhindert.
Tatsächlich haben die Informationsklaßifizierung, die zugewiesenen Geheimhaltungs- und Vertraulichkeitsklaßifizierungen, die Bewertung der Datensensibilität und die subjektive Bedeutung, die wir ihnen zuweisen, technisch gesehen keinen Einfluß auf die Datenvernichtung. Daten, die auf einem digitalen Datenträger gespeichert sind, sind lediglich ein Strom von Nullen und Einsen, der auf eine bestimmte Weise organisiert ist, die auf der Ebene der logischen Strukturen von Dateisystemen und Software interpretiert wird. Und keine bestimmte Folge von Nullen und Einsen wird aufgrund der Bedeutung, die der Benutzer ihr zuweist, resistenter gegen die Zerstörung. Die Wirksamkeit der Datenvernichtung hängt nicht davon ab, ob die Klaßifizierung im Ermeßen des Nutzers liegt oder ihm auf irgendeine Weise auferlegt wird, beispielsweise durch Vorgesetzte, interne Verfahren oder geltende gesetzliche Bestimmungen.
Ebenso wenig hängt die Wirksamkeit der Datenvernichtung von der beabsichtigten Verwendung des Datenträgers ab, der die vernichteten Informationen enthält. Sind Daten wirksam vernichtet, haben nachfolgende Aktionen auf diesem Datenträger keinen Einfluß mehr auf den gelöschten Inhalt. Zwar hätte ein potenzieller Angreifer deutlich mehr Möglichkeiten, den Datenträger außerhalb der Kontrolle des Eigentümers zu analysieren, doch kann er die Daten nur wiederherstellen, wenn die Vernichtung unwirksam war. Die Tatsache, daß Datenträger unkontrolliert und ungeplant in falsche Hände geraten können, ist ein zwingender Grund, ausschließlich wirksame Methoden der Datenvernichtung anzuwenden, selbst in Situationen, in denen jemand eine unwirksame Methode für ausreichend halten mag.
Wie wählt man eine geeignete Datenbereinigungsmethode aus?
Das wichtigste Kriterium für die Auswahl einer Datenvernichtungsmethode sollte deren Effektivität sein. Unabhängig von Art, Klaßifizierung und Vertraulichkeit der zu vernichtenden Informationen ist es schwer zu rechtfertigen, Methoden einzusetzen, die selbst theoretisch eine spätere Datenrettung ermöglichen. Nur effektive Methoden bieten die optimale Wahl, abhängig von der Art des Datenträgers, seinem technischen Zustand sowie wirtschaftlichen, ökologischen und anderen situationsrelevanten Kriterien.
Die Wahl einer effektiven Datenvernichtungsmethode optimiert den Prozeß, indem sie kostspielige und oft umständliche mehrstufige Datenbereinigungsverfahren überflüßig macht. Die Erfüllung des oben genannten Effektivitätskriteriums bedeutet die sichere Vernichtung der Datenträgerinhalte ohne die Notwendigkeit von „Sicherheitskorrekturen“ mit anderen Methoden, insbesondere der teuren und schwer recycelbaren mechanischen Datenträgervernichtung. Die Beschränkung auf eine einzige effektive Methode reduziert zudem die Kosten für Datenträgerschutz, -lagerung und -transport.
Bei funktionere und wiederbeschreibbaren Datenträgern sind softwarebasierte Datenvernichtungsmethoden die logischste Wahl. Sie sind einfach zu implementieren, deutlich günstiger als physische Methoden und beeinträchtigen den technischen Zustand der Datenträger nicht. Darüber hinaus tragen sie wesentlich zur Reduzierung von Elektroschrott bei und haben eine geringere Umweltbelastung. Die weitere Verwendung eines funktionierenden Datenträgers ist stets effektiver als Recycling. Die Wahl der optimalen Methode hängt vom jeweiligen Medium ab, und eine fundierte Entscheidung erfordert zumindest ein Verständnis der grundlegenden Funktionsprinzipien.
Einmalig beschreibbare und beschädigte Datenträger müßen physisch vernichtet werden. Bei der Methodenwahl sollte man in erster Linie deren Relevanz für die physikalischen Phänomene der Informationsspeicherung berücksichtigen und versuchen, die physikalischen Zustände, die der logischen Interpretation zugrunde liegen, zu beeinflußen. Anschließend sollten die wirtschaftlichen und ökologischen Kosten beachtet werden, wobei zu bedenken ist, daß eine aggreßivere Behandlung von Datenträgern in der Regel ein geringes Verständnis ihrer Funktionsweise und ein niedrigeres Sicherheitsniveau mit sich verwandt.