Bundesamt für Sicherheit in der Informationstechnik

G 2.54 Vertraulichkeitsverlust durch Restinformationen

Bei elektronischer Datenübermittlung oder Datenträgerweitergabe passiert es immer wieder, dass dabei auch Informationen weitergegeben werden, die die Institution nicht verlassen sollten. Als mögliche Ursachen für die unbeabsichtigte Weitergabe von Informationen lassen sich folgende Beispiele anführen:

  • Eine Datei enthält Textpassagen, die als "versteckt" oder "verborgen" formatiert sind. Solche Textpassagen können Bemerkungen enthalten, die nicht für den Empfänger bestimmt sind.
  • Dateien, die mit Standardsoftware wie Textverarbeitungsprogrammen oder Tabellenkalkulationen erstellt worden sind, können Zusatzinformationen über Verzeichnisstrukturen, Versionsstände, Bearbeiter, Kommentare, Bearbeitungszeit, letztes Druckdatum, Dokumentnamen und -beschreibungen enthalten. Besonders hervorzuheben sind in diesem Zusammenhang Funktionen, die mehreren Bearbeitern das gemeinsame Bearbeiten eines Dokuments erlauben. Solche Funktionen löschen Textpassagen, die ein Bearbeiter löscht oder überschreibt, nicht wirklich aus dem Dokument, sondern markieren diese nur als gelöscht und erlauben es späteren Bearbeitern, Änderungen ganz oder teilweise rückgängig zu machen. Praktisch alle aktuellen Office-Suites (beispielsweise Microsoft Office und OpenOffice) bieten diese Möglichkeit. Werden die Daten solcher Änderungen nicht vor der Weitergabe entfernt, so erhält der Empfänger neben dem tatsächlichen Dokument unter Umständen eine große Menge weiterer Informationen.
  • Praktisch alle aktuellen Office-Suites besitzen die Möglichkeit der Schnellspeicherung von erstellten Dokumenten. Dies führt dazu, dass nur die Änderungen an einem Dokument gespeichert werden. Dieser Vorgang nimmt vergleichsweise weniger Zeit in Anspruch als ein vollständiger Speichervorgang, bei dem die Office-Suite das vollständige überarbeitete Dokument speichert. Ein vollständiger Speichervorgang erfordert weniger Festplattenspeicher als eine Schnellspeicherung. Der entscheidende Nachteil ist jedoch, dass bei einer Schnellspeicherung die Datei unter Umständen Textfragmente enthalten kann, die der Verfasser nicht weitergeben möchte.
  • Eine weitere Möglichkeit, wie Informationen weitergegeben werden können, die nicht für Externe bestimmt sind, stellen Funktionen dar, die es beispielsweise erlauben, in ein Textdokument oder eine Präsentation eine Tabelle aus einem Tabellenkalkulationsdokument so einzubetten, dass die Tabelle direkt im Textdokument bearbeitet werden kann. Wird ein solches Textdokument weitergegeben, so können unter Umständen sehr viel mehr Informationen aus dem Tabellenkalkulationsdokument übertragen werden, als im Textdokument sichtbar sind.
  • Auf z/OS-Systemen werden gelöschte Member nicht sofort in der Bibliothek (PDS - Partitioned Dataset) überschrieben. Lediglich der Eintrag des Members im Verzeichnis (Directory) des PDS wird gelöscht. Erst wenn im PDS freier Speicherplatz benötigt wird, werden die Informationen des alten Members überschrieben. Noch nicht überschriebene Daten lassen sich mit Hilfsprogrammen auslesen.
  • Werden in z/OS-Systemen Dateien auf einer Festplatte gelöscht, so wird die Datei im Volume Table of Content (VTOC) als gelöscht gekennzeichnet, die Datei selbst auf der Festplatte jedoch nicht gelöscht. Die Datei wird erst überschrieben, wenn neue Daten auf der Festplatte gespeichert werden sollen und kein freier Platz verfügbar ist. Gelingt es, die Speicherstelle der Datei aus dem VTOC auszulesen, so ist es möglich, die Datei mit speziellen Programmen zu editieren und wieder herzustellen. Dies gilt ebenso für Bänder, die zwar als Leer-Bänder gekennzeichnet, aber noch nicht überschrieben sind.

Restinformationen auf Datenträgern

Bei den meisten Dateisystemen werden Dateien, die vom Benutzer über einen Löschbefehl gelöscht werden, nicht wirklich in dem Sinn gelöscht, dass die Information anschließend nicht mehr vorhanden ist. Normalerweise werden lediglich die Verweise auf die Datei aus den Verwaltungsinformationen des Dateisystems (etwa aus der Dateizuordnungstabelle (File Allocation Table) beim FAT -Dateisystem) gelöscht und die zu der Datei gehörenden Blöcke als "frei" markiert. Der tatsächliche Inhalt der Blöcke auf dem Datenträger bleibt jedoch erhalten und kann mit entsprechenden Werkzeugen rekonstruiert werden.

Wenn Datenträger an Dritte weitergegeben werden, beispielsweise

  • wenn ein Rechner ausinventarisiert wurde und verkauft wird,
  • wenn ein defektes Gerät zur Reparatur gegeben oder im Rahmen der Garantie ausgetauscht wird oder
  • wenn ein Datenträger im Rahmen des Datenträgeraustauschs an einen Geschäftspartner weitergegeben wird

können auf diese Weise sensitive Informationen nach außen gelangen.

Beispiele:

  • Die Forscher Simson Garfinkel und Abhi Shelat vom MIT kauften zwischen 2000 und 2002 bei verschiedenen Händlern über das Online-Auktionshaus eBay eine größere Anzahl gebrauchter Festplatten und untersuchten diese auf enthaltene Restinformationen. Sie fanden eine erschreckende Menge an Daten, beispielsweise
    • interne Vermerke von Unternehmen, bei denen es um Personalsachen ging,
    • eine große Anzahl von Kreditkartennummern,
    • medizinische Informationen,
    • E-Mails
    und vieles mehr. Ihre Ergebnisse veröffentlichten sie in einem Journal der IEEE .
  • Ein Benutzer verwendete einen alternativen Editor und entdeckte per Zufall, dass eine kurz vor der Veröffentlichung stehende Datei diverse URL s enthielt, inklusive Benutzername und Passwort für einen WWW-Server.
  • Eine Behörde hatte mit dem Programm Microsoft Powerpoint erstellte Präsentationen in Dateiform an Externe weitergegeben. Später stellte sich heraus, dass neben den Präsentationen auch Informationen über die Rechnerumgebung des Benutzers mitgeliefert worden waren, wie etwa darüber, welche Newsgruppen ein Benutzer abonniert hat und welche News er schon gelesen hat.
  • Zwei Verkäufer konkurrierender Firmen tauschten ihre Präsentationen aus, die sie bei einer Veranstaltung gehalten hatten. Eines der Powerpoint-Dokumente enthielt eine kleine Tabelle mit Endkunden-Preisen für die Produkte der einen Firma. Beim Öffnen der Präsentation entdeckte der Empfänger, dass diese kleine Tabelle Teil eines sehr umfangreichen Tabellenkalkulationsdokuments war, das in die Präsentation eingebettet worden war, und das die gesamte Preiskalkulation des Konkurrenzunternehmens enthielt.

Stand: 11. EL Stand 2009