Rechtsanwalt Henrik Becker Monday, September 6, 2010
Impressum

 

Festplatten sicher löschen

Wann immer Beweismittel übergeben wurden und mit diesen Daten gearbeitet wurde, sind die Daten streng vertraulich und sicher zu behandeln. Das generelle Vorgehen und die Beweismittelauswertung wird an anderer Stelle ausgiebig beschrieben.

Was aber ist zu tun, wenn Daten sicher gelöscht werden sollen? Insbesondere bei Rückgabe von Festplatten oder Vernichtung von alten Beweismitteln sind die betreffenden Festplatten sicher zu löschen. Untern keinen Umständen dürfen Daten auf der Platte zurückbleiben.

Wenn die normalen Bordmittel der Betriebssysteme genutzt werden, um Daten zu löschen, so werden die Daten auf der Platte nicht wirklich gelöscht, sondern vielmehr lediglich der Verweis auf die betreffende Datei. Die Daten bleiben also auf der Platte lesbar - ein Umstand, den sich die Forensiker zu Nutze machen.

Um aber Daten endgültig zu löschen, ist ein spezielles Vorgehen notwendig.

Der Markt hält eine Reihe spezieller Löschprogramme bereit, die das sichere Löschen von Daten ermöglichen. Hierbei werden spezielle Verfahren verwendet, die beispielsweise vom US-amerikanischen Verteidigungsministerium (Department of Defense, DoD) oder auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschlagen wurden.

Einer der bekanntesten Algorithmen ist der erweiterte NISPOM (US DoD 5220.22-M ECE), der ein siebenmaliges Überschreiben definiert. Hierbei werden abwechselnd Zufallswerte, vordefinierte Werte und deren Komplement geschrieben.

Aus heutiger Sicht gilt die von Peter Gutmann entwickelte Methode als die sicherste, bei der die Daten bis zu 35 Mal überschrieben werden. Dabei werden alle bekannten Bitmuster, die zur Speicherung auf der Festplatte verwendet werden können, nacheinander geschrieben und somit das analoge Signal derart verrauscht, dass eine Rekonstruktion der Daten so gut wie unmöglich ist.

Schwieriger ist es, die Daten von defekten Festplatten sicher zu löschen. Software stellt hier keine Möglichkeit mehr dar, da die Platte nicht mehr ansprechbar ist. Ibas bietet für solche Fälle den DG-01 Degausser an. Er zerstört durch Aufbau eines starken Magnetfeldes alle Informationen auf magnetischen Datenträgern. Festplatten sind nach diesem Vorgang nicht mehr funktionstüchtig, weil dabei auch die Servo-Informationen auf den Magnetscheiben gelöscht werden.

Solange die Platte ansprechbar ist, können aber noch Tools verwendet werden. Besonders Linux bietet sich hier an, da es als Live-CD gestartet werden kann und die vorhandene Festplatte nicht ausgebaut werden muss. ACHTUNG: Daten sind nach diesem Vorgehen endgültig verloren!

Nutzung von DD

Eine ganz einfache Art (die allerdings den Anforderungen der o.g. Stellen nicht genügt) ist, einfach die Platte mehrfach mit Nullen zu überschreiben. Linux kennt ein spezielles Device, das ständig Nullen produziert. Nun werden diesen vielen Nullen einfach auf die Platte geschrieben. Am besten geht das mit DD:

dd if=/dev/zero of=/dev/hda

Dabei werden mittels dd die daten aus /dev/zero in das Out-File (of) umgelenkt. Wenn dieser Vorgang mehrmals (mehr als 5x) wiederholt wird, ist schon ein ganzes Stück Sicherheit erreicht.

Shred

Ein angemessenes Bordmittel zur physikalischen Löschung von Festplatten ist SHRED aus den fileutils.

shred kann sowohl einzelne Dateien als auch gesamte Festplatten sicher löschen. Die physikalische Löschung erfolgt durch mehrmaliges Überschreiben der betreffenden Sektoren mit zufälligen Daten. Durch den Parameter "-n" kann die Anzahl der Überschreib-Zyklen beeinflusst werden:

shred -n 35 -u /etc/passwd

überschreibt die Passwortdatei passwd 35-mal. Anschließend wird die Datei gelöscht. Standardmäßig wird die angegebene Datei nicht gelöscht, sondern nur überschrieben.

Ganze Devices werden mit

shred -n 35 /dev/hda

geschreddert. Dies kann bei großen Festplatten einige Zeit in Anspruch nehmen. Daher lohnt sich die Fortschrittsanzeige, die man sich mit "-v" anzeigen lassen kann:

shred -n 35 -v /dev/hda

VORSICHT ist bei einem journaled Filesystem geboten. Änderungen werden bei diesen Dateisystemen (z.B. ext3-j oder ReiserFS) in einer Datei protokolliert, wenn nur eine Datei gelöscht wird. Daher sollte man in solchen Fällen auf spezielle Tools zurückgreifen. Werden allerdings ganze Devices geschreddert (z.B. /dev/hda) ist m.E. diese Problem nicht gegeben.

::: Print-Version  :::

 

Forensik Blog

HenrikBecker.de

Dig.Forensik

Grundlagen

Risiken

Erstreaktion Computer und Server

Erstreaktion andere Hardware

Beweiserlangung und Mitbestimmung

Daten sicher loeschen

Forensik Tools

Forensik Toolkits

Sonstige Tools

Datenschutz

Wirtschaftskriminalitaet

Spionage

Referententaetigkeit

Security

Text

J-Pilot

Scripting

Links

Privates Blog



My status

Powered by Linux

Made with Emacs

Powered by PHP

Powered by Apache

If you like this fine website you may want to say Thank you! or Good job! Thank you!