Datenvernichtung: Unterschied zwischen den Versionen

Datenvernichtung (eng. data erasure, data clearing oder data wiping) bezeichnet ein softwaregestütztes Verfahren zur endgültigen Löschung digitaler Daten.

Problematik

Die Speicherung digitaler Daten durch gewöhnliche Betriebssysteme erfolgt in Datenblöcken fester Größe, sogenannten Clustern und Sektoren. Ausgehend von einer Datenblockgröße von b Bytes wird eine x Bytes große Datei wird daher auf x / b Datenblöcke aufgeteilt. Umfasst die Datei nun nicht ein genaues Vielfaches der Datenblockgröße wird der letzte Datenblock nicht vollkommen beschrieben, wodurch sogenannter slack space entsteht.

Die Löschfunktion des Betriebssystems entfernt, aus Gründen der Beschleunigung, nicht den physischen Dateiinhalt der Datenblöcke sondern lediglich die Verweise auf diese. Hierdurch erscheinen die entsprechenden Datenbereiche aus Sicht des Betriebssystems wieder verfügbar und es entsteht zusätzlicher slack space.

Da die Daten im slack space allerdings erhalten bleiben sind diese auch nach der eigentlichen Löschung lesbar. Während dies datenschutzrechtliche Probleme verursachen kann, ermöglicht es zugleich die Wiederherstellung vorgeblich gelöschter Dateien im Rahmen des IT-forensischen Sicherungsprozesses.

Funktionsweise

Um einer Rekonstruierung gelöschter Daten vorzubeugen müssen daher die beschriebenen Datenblöcke effektiv unleserlich gemacht werden. Hierbei wird im wesentlich zwischen zwei Ansätzen unterschieden.

Durch das vollständige Überschreiben (eng. full disk overwriting) aller betroffenen Datenblöcke mit 0-bits, 1-bits oder zufälligen Bitfolgen können zuvor gespeicherte Informationen restlos vernichtet werden. Das mehrfache Überschreiben wie es noch bei Disketten zu empfehlen war, bringt bei heutigen Datenträgern keine zusätzliche Sicherheit.

Bei verschlüsselten Datenträgen kann durch die Löschung der Schlüssel ein ähnlicher Effekt erzielt werden. Die Daten bleiben zwar bestehen, die enthaltenen Informationen können aber, ein wirksames Verschlüsselungsverfahren vorausgesetzt, nicht mehr wiedergewonnen werden. Erweist sich das Verfahren im Nachhinein allerdings als unwirksam besteht die Gefahr, dass die Informationen noch nachträglich entschlüsselt werden können.

Solid State Drives

flash speicher

ssds... Flashspeichern nach außen gemeldeten Sektoren haben aber nichts mehr mit den tatsächlichen Speicherorten zu tun ... nutzungsverteilung ... ssd controller chip Schreibvorgänge auf die bisher am wenigsten benutzten Blöcke leitet möglichkeot ob löschbar hängt von ssd chip ab... oder eigene firmware SSDs, die ATA Secure Erase unterstützen

Cloud-Speicher

Cloud - fragmentierte Daten; kein Zugriff auf physische Drives...

Bedeutung für die IT-Forensik

Die Datenvernichtung stellt eine wirksame Antiforensikmethode dar, um die Extraktion von vermeintlich gelöschten Dateien zu verhindern. [1]

Weblinks

1. Wikipedia - Data erasure
2. Wikipedia - Datenvernichtung

Literaturquellen

[1] Labudde, Dirk; Spranger, Michael: Forensik in der digitalen Welt: Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten realen Welt. 1. Auflage. Berlin Heidelberg New York: Springer-Verlag, 2017. Seite 139. ISBN 978-3-662-53801-2