Datenvernichtung

Aus IT-Forensik Wiki
Version vom 21. August 2019, 11:13 Uhr von Etduen (Diskussion | Beiträge) (→‎Bedeutung für die IT-Forensik)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Datenvernichtung (eng. data erasure, data clearing oder data wiping) bezeichnet ein softwaregestütztes Verfahren zur endgültigen Löschung digitaler Daten.

Problematik

Die Speicherung digitaler Daten durch gewöhnliche Betriebssysteme erfolgt in Datenblöcken fester Größe, sogenannten Clustern und Sektoren. Ausgehend von einer Datenblockgröße von b Bytes wird eine x Bytes große Datei wird daher auf x / b Datenblöcke aufgeteilt. Umfasst die Datei nun nicht ein genaues Vielfaches der Datenblockgröße wird der letzte Datenblock nicht vollkommen beschrieben, wodurch sogenannter Slack Space entsteht.

Die Löschfunktion des Betriebssystems entfernt, aus Gründen der Beschleunigung, nicht den physischen Dateiinhalt der Datenblöcke sondern lediglich die Verweise auf diese. Hierdurch erscheinen die entsprechenden Datenbereiche aus Sicht des Betriebssystems wieder verfügbar und es entsteht zusätzlicher slack space.

Da die Daten im Slack Space allerdings erhalten bleiben sind diese auch nach der eigentlichen Löschung lesbar. Während dies datenschutzrechtliche Probleme verursachen kann, ermöglicht es zugleich die Wiederherstellung vorgeblich gelöschter Dateien im Rahmen des IT-forensischen Sicherungsprozesses.

Funktionsweise

Um einer Rekonstruierung gelöschter Daten vorzubeugen müssen daher die beschriebenen Datenblöcke effektiv unleserlich gemacht werden. Hierbei wird im wesentlich zwischen zwei Ansätzen unterschieden.

Durch das vollständige Überschreiben (eng. full disk overwriting) aller betroffenen Datenblöcke mit 0-bits, 1-bits oder zufälligen Bitfolgen können zuvor gespeicherte Informationen restlos vernichtet werden. Das mehrfache Überschreiben wie es noch bei Disketten zu empfehlen war, bringt bei heutigen Datenträgern keine zusätzliche Sicherheit.

Bei verschlüsselten Datenträgen kann durch die Löschung der Schlüssel ein ähnlicher Effekt erzielt werden. Die Daten bleiben zwar bestehen, die enthaltenen Informationen können aber, ein wirksames Verschlüsselungsverfahren vorausgesetzt, nicht mehr wiedergewonnen werden. Erweist sich das Verfahren im Nachhinein allerdings als unwirksam besteht die Gefahr, dass die Informationen noch nachträglich entschlüsselt werden können.

Solid State Drives

Ähnlich klassischer Hard Disk Drives (HDD) leiden auch Solid State Drives (SSD) an Verschleiß mit zunehmender Nutzung. Während der Verschleiß von HDDs in erster Linie auf Abnutzung der Mechanik zurückzuführen ist, entsteht die Limitierung bei SSDs durch die begrenzte Anzahl an möglichen Schreibvorgängen der genutzten NAND-Flashzellen. Um die Auslastung möglichst gleichmäßig auf alle Zellen zu verteilen, kümmert sich bei Schreibzugriffen meist ein in der SSD enthaltener Chip um die Zuteilung der zu nutzenden Sektoren. Dieser weist dabei die am wenigsten verwendeten Zellen zu und unterbindet den Zugriff auf bereits defekte Zellen. Dem Betriebssystem ist es daher in der Regel gar nicht möglich gezieht einen physischen Sektor zu beschreiben, sondern ist von der Zuteilung durch den verbauten Chip abhängig.

Dies erschwert logischerweise eine softwaregestützte Datenvernichtung erheblich. Eine Möglichkeit die enthaltenen Daten dennoch restlos zu entfernen stellt die Nutzung einer eigenen Firmware für die SSD dar. Dies ist allerdings mit einem immensen Umfang und weiteren Nachteilen verbunden.

Eine weitere Möglichkeit stellt die Nutzung der ATA Secure Erase Instruktion dar, welche genau für solche Zwecke etabliert wurde. Die meisten Betriebssysteme ermöglichen die Ausführung einer solchen allerdings nicht ohne Weiteres, sodass Zusatzsoftware benötigt wird.

Cloud-Speicher

Im Zuge des stetig wachsenden Angebots an Cloud-Dienstleistungen werden Datensätze auch vermehrt bei Cloud-Anbietern vorgehalten. Dabei kann die Datenhaltung dort primär oder aber auch redundant zur Verbesserung der Verfügbarkeit erfolgen. Zur Steigerung der Kosteneffizienz ist Cloud-Infrastruktur in der Regel hochgradig virtualisiert. Ein direkter Zugriff auf die genutzten, physischen Speichermedien ist meist nicht vorgesehen.

Dies stellt ein großes Problem dar, wenn eine komplette Datenvernichtung erwünscht ist. Wird keine dedizierte Hardware verwendet, so kann eine endgültige Löschung aufgrund der Virtualisierung durch den Kunden nicht sichergestellt werden. Selbstverständlich hat der Cloud-Anbieter aber die Möglichkeiten eine entsprechende Dienstleistung anzubieten.

Andererseits ist der Zugriff auf die physischen Speichermedien, etwa durch Ermittlungsbehörden, auch nicht vollkommen problemlos möglich. Da die unterliegende Hardware oftmals von vielen, verschiedenen Kunden verwendet wird, gestaltet es sich als schwierig bei einem Zugriff nicht gegen Datenschutzbestimmungen zu verstoßen.

Bedeutung für die IT-Forensik

Nach Labudde und Spranger stellt die Datenvernichtung eine wirksame Antiforensikmethode dar, um die Extraktion von vermeintlich gelöschten Dateien zu verhindern. Werden die Daten nur mittels der gewöhnlichen Löschroutine des Betriebssystems gelöscht, ist es einem IT-Forensiker oftmals möglich mittels File Carving Informationen zu rekonstruieren.

Weblinks

  1. en.wikipedia.org - Data erasure
  2. en.wikipedia.org - Solid-state drive
  3. de.wikipedia.org - Datenvernichtung

Literaturquellen

Labudde, Dirk; Spranger, Michael: Forensik in der digitalen Welt: Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten realen Welt. 1. Auflage. Berlin Heidelberg New York: Springer-Verlag, 2017. ISBN 978-3-662-53801-2