Worm

Aus IT-Forensik Wiki

WORM ist ein Begriff aus dem Englischen und steht für "write once read many".

Es handelt sich um ein Verfahren, das es erlaubt, Daten einmal zu schreiben und danach jeden Versuch zu verhindern, die Daten zu überschreiben, zu löschen oder zu verändern, die Daten können nur noch gelesen werden.

Es wird zu Datensicherungszwecken eingesetzt, z.B. zur Archivierung von Audit-relevanten Daten. Ursprünglich wurde diese Methode vor allem mit optischen Speichermedien wie CDs oder DVDs und Bandlaufwerke verwendet, inzwischen wird sie mit allen Speichermedien eingesetzt.

Es gibt 3 Arten von WORM:

  • Hardware WORM
  • Systemisches WORM
  • Software WORM


Hardware WORM

Hardware WORM wird auf physikalischer Ebene durchgeführt. Dabei erzeugt ein Laser spezielle Vertiefungen oder Blasen auf dem Datenträger, die nicht entfernt werden können.

Systemisches WORM

Der Löschschutz beim systemischen WORM entsteht durch die Interaktion zwischen dem Speicherprozessor oder Controller und dem Speichermedium. Der interne Prozessor/Controller adressiert oder verwaltet den einmaligen Schreibvorgang. Sogenannter Content-Addressed-Storage (CAS) stellt die Write-Once-Eigenschaft auf der Softwareseite her - meist in Form eines dedizierten Festplattensystems.

Software WORM

Bei dieser Art der Speicherung wird die Unveränderlichkeit der Daten durch Softwarefunktionalität in Netzwerkspeichersystemen realisiert. Dazu verwendet die Firmware des Speichers - oder ein spezielles Programm - Löschflags, Protokollierungs- und Zugriffskonzepte. Sie lassen keine nachträgliche Veränderung der geschriebenen Daten zu, erlauben aber eine Löschung nach Ablauf der Aufbewahrungsfrist.

Quellen

https://de.wikipedia.org/wiki/WORM

https://www.n-tec.eu/archiv-und-ecm-software/worm-archiv/