Datenvernichtung: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Zeile 37: Zeile 37:
== Bedeutung für die IT-Forensik ==
== Bedeutung für die IT-Forensik ==


Die Datenvernichtung stellt eine wirksame Antiforensikmethode dar, um die Extraktion von vermeintlich gelöschten Dateien zu verhindern. [1] Werden die Daten nur mittels der gewöhnlichen Löschroutine des Betriebssystems gelöscht, ist es einem IT-Forensiker oftmals möglich mittels [[File Carving]] Informationen zu rekonstruieren.
Die Datenvernichtung stellt eine wirksame Antiforensikmethode dar, um die Extraktion von vermeintlich gelöschten Dateien zu verhindern. Werden die Daten nur mittels der gewöhnlichen Löschroutine des Betriebssystems gelöscht, ist es einem IT-Forensiker oftmals möglich mittels [[File Carving]] Informationen zu rekonstruieren.


== Weblinks ==
== Weblinks ==

Version vom 4. Juli 2019, 18:07 Uhr

Datenvernichtung (eng. data erasure, data clearing oder data wiping) bezeichnet ein softwaregestütztes Verfahren zur endgültigen Löschung digitaler Daten.

Problematik

Die Speicherung digitaler Daten durch gewöhnliche Betriebssysteme erfolgt in Datenblöcken fester Größe, sogenannten Clustern und Sektoren. Ausgehend von einer Datenblockgröße von b Bytes wird eine x Bytes große Datei wird daher auf x / b Datenblöcke aufgeteilt. Umfasst die Datei nun nicht ein genaues Vielfaches der Datenblockgröße wird der letzte Datenblock nicht vollkommen beschrieben, wodurch sogenannter slack space entsteht.

Die Löschfunktion des Betriebssystems entfernt, aus Gründen der Beschleunigung, nicht den physischen Dateiinhalt der Datenblöcke sondern lediglich die Verweise auf diese. Hierdurch erscheinen die entsprechenden Datenbereiche aus Sicht des Betriebssystems wieder verfügbar und es entsteht zusätzlicher slack space.

Da die Daten im slack space allerdings erhalten bleiben sind diese auch nach der eigentlichen Löschung lesbar. Während dies datenschutzrechtliche Probleme verursachen kann, ermöglicht es zugleich die Wiederherstellung vorgeblich gelöschter Dateien im Rahmen des IT-forensischen Sicherungsprozesses.

Funktionsweise

Um einer Rekonstruierung gelöschter Daten vorzubeugen müssen daher die beschriebenen Datenblöcke effektiv unleserlich gemacht werden. Hierbei wird im wesentlich zwischen zwei Ansätzen unterschieden.

Durch das vollständige Überschreiben (eng. full disk overwriting) aller betroffenen Datenblöcke mit 0-bits, 1-bits oder zufälligen Bitfolgen können zuvor gespeicherte Informationen restlos vernichtet werden. Das mehrfache Überschreiben wie es noch bei Disketten zu empfehlen war, bringt bei heutigen Datenträgern keine zusätzliche Sicherheit.

Bei verschlüsselten Datenträgen kann durch die Löschung der Schlüssel ein ähnlicher Effekt erzielt werden. Die Daten bleiben zwar bestehen, die enthaltenen Informationen können aber, ein wirksames Verschlüsselungsverfahren vorausgesetzt, nicht mehr wiedergewonnen werden. Erweist sich das Verfahren im Nachhinein allerdings als unwirksam besteht die Gefahr, dass die Informationen noch nachträglich entschlüsselt werden können.

Solid State Drives

flash speicher

ssds... Flashspeichern nach außen gemeldeten Sektoren haben aber nichts mehr mit den tatsächlichen Speicherorten zu tun ... nutzungsverteilung ... ssd controller chip Schreibvorgänge auf die bisher am wenigsten benutzten Blöcke leitet möglichkeot ob löschbar hängt von ssd chip ab... oder eigene firmware SSDs, die ATA Secure Erase unterstützen

Cloud-Speicher

Im Zuge des stetig wachsenden Angebots an Cloud-Dienstleistungen werden Datensätze auch vermehrt bei Cloud-Anbietern vorgehalten. Dabei kann die Datenhaltung dort primär oder aber auch redundant zur Verbesserung der Verfügbarkeit erfolgen. Zur Steigerung der Kosteneffizienz ist Cloud-Infrastruktur in der Regel hochgradig virtualisiert. Ein direkter Zugriff auf die genutzten, physischen Speichermedien ist meist nicht vorgesehen.

Dies stellt ein großes Problem dar, wenn eine komplette Datenvernichtung erwünscht ist. Wird keine dedizierte Hardware verwendet, so kann eine endgültige Löschung aufgrund der Virtualisierung durch den Kunden nicht sichergestellt werden. Selbstverständlich hat der Cloud-Anbieter aber die Möglichkeiten eine entsprechende Dienstleistung anzubieten.

Andererseits ist der Zugriff auf die physischen Speichermedien, etwa durch Ermittlungsbehörden, auch nicht vollkommen problemlos möglich. Da die unterliegende Hardware oftmals von vielen, verschiedenen Kunden verwendet wird, gestaltet es sich als schwierig bei einem Zugriff nicht gegen Datenschutzbestimmungen zu verstoßen.

Bedeutung für die IT-Forensik

Die Datenvernichtung stellt eine wirksame Antiforensikmethode dar, um die Extraktion von vermeintlich gelöschten Dateien zu verhindern. Werden die Daten nur mittels der gewöhnlichen Löschroutine des Betriebssystems gelöscht, ist es einem IT-Forensiker oftmals möglich mittels File Carving Informationen zu rekonstruieren.

Weblinks

  1. Wikipedia - Data erasure
  2. Wikipedia - Datenvernichtung

Literaturquellen

Labudde, Dirk; Spranger, Michael: Forensik in der digitalen Welt: Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten realen Welt. 1. Auflage. Berlin Heidelberg New York: Springer-Verlag, 2017. ISBN 978-3-662-53801-2

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Datenvernichtung&oldid=323