Bundesamt für Sicherheit in der Informationstechnik

M 2.433 Überblick über Methoden zur Löschung und Vernichtung von Daten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Um Informationen auf Datenträgern zu löschen, stehen verschiedene Methoden zur Verfügung. Welche Methode gewählt werden sollte, hängt hierbei wesentlich vom Schutzbedarf der zu löschenden Daten ab, aber natürlich auch von der Art der Datenträger.

Bei analogen Datenträgern können Informationen beispielsweise geschwärzt (überschrieben), ausgeschnitten oder ausradiert werden. Bei digitalen Datenträgern können Daten mit Löschprogrammen gelöscht oder überschrieben werden.

Bei den im Folgenden beschriebenen Löschmethoden für elektronische Datenträger steigt der Schutz gegen die Wiederherstellung von Restdaten in der genannten Reihenfolge.

Löschkommandos

Löschkommandos sind vom Betriebssystem zur Verfügung gestellte Befehle wie "Delete" und "Erase", um Dateien oder Verzeichnisse zu löschen. Bei der Benutzung von Löschkommandos ist zu beachten, dass dabei in der Regel nicht tatsächlich die Datei-Informationen gelöscht werden, sondern nur der Verweis auf diese Informationen im "Inhaltsverzeichnis" des Datenträgers gelöscht wird. Die Datei selbst ist weiterhin vorhanden. Es gibt Methoden und Programme, mit denen die gelöscht geglaubten Informationen wiederhergestellt werden können. Von dieser Methode ist daher abzuraten, wenn sichergestellt sein muss, dass die Daten nicht rekonstruiert werden können.

Es sind also Verfahren und Mechanismen notwendig, die über die Standardlöschverfahren der Betriebssysteme hinausgehen und auch Daten mit hohem Schutzbedarf so löschen, dass sie nicht wiederhergestellt werden können.

Überschreiben einzelner Dateien

Neben den im Umfang der gebräuchlichen Betriebssysteme vorhandenen Löschkommandos gibt es zusätzliche softwarebasierte Werkzeuge, um einzelne Dateien zu überschreiben. Mit diesen Lösch-Tools (auch Wipe-Tools genannt) lassen sich einzelne Dateien oder Speicherbereiche durch vollständiges Überschreiben mit geeigneten Datenmustern löschen.

Dabei ist allerdings darauf zu achten, dass Informationen aus Dateien häufig teilweise oder sogar vollständig rekonstruierbar sind, obwohl die Dateien mit Wipe-Tools gelöscht wurden. Hauptsächlich liegt das daran, dass durch Betriebssystem oder Anwendungen Kopien der Daten an ganz unterschiedlichen Orten abgelegt wurden, die die Benutzer häufig weder kennen oder kontrollieren können.

So befinden sich gelöscht geglaubte Daten unter Umständen weiterhin auf dem Datenträger und lassen sich mit entsprechenden Verfahren auslesen.

Hierzu gehören beispielsweise:

  • vom Betriebssystem bzw. Anwendungsprogramm erstellte und wieder gelöschte Zwischendateien (Cache-Dateien) oder temporäre Dateien,
  • automatisch von einem Programm angelegte Sicherungskopien, wie diese beispielsweise von Office-Programmen häufig angelegt werden,
  • Auslagerungsdateien (siehe auch M 4.325 Löschen von Auslagerungsdateien ),
  • Daten-Fragmente, die unter Windows-Betriebssystemen in der Registry oder in Index-Datenbanken vorhanden sein können,
  • File-Slack (File-Slack oder Datenversatz bezeichnet das bei einigen Betriebssystemen übliche Abspeichern von "Auffülldaten" in unallozierte Bereiche von Datenträgern) bzw. Cluster-Tips-Fragmente.

Auf die Verarbeitung dieser Daten durch das Betriebssystem oder Anwendungsprogramm haben Administratoren oder Benutzer oft nur sehr geringen Einfluss. Auch Programme, die Wipe-Techniken verwenden, haben keine volle Kontrolle über alle diese Datenspuren. Daher muss der komplette Datenträger gelöscht oder ein anderes sicheres Löschverfahren gewählt werden, um sicherzustellen, dass sich keine weiteren Kopien der Informationen auf dem Datenträger befinden.

Formatieren

Durch das Formatieren wird ein elektronischer Datenträger zur Aufnahme von Daten vorbereitet.

Bei Festplatten wird zwischen der Low-Level-Formatierung (LLF), bei der Spuren und Sektoren auf der Platte neu erzeugt werden, und der logischen oder High-Level-Formatierung (HLF), die durch das Betriebssystem erfolgt, unterschieden.

Da bei der Low-Level-Formatierung die Struktur der Festplatte geändert und im Gegensatz zu einer High-Level-Formatierung auch die Aufteilung der Spuren und Sektoren gelöscht und anschließend neu geschrieben wird, kann unter Umständen nach der Formatierung die Festplatte nicht mehr genutzt werden. Falls Festplatten wiederverwendet werden sollen, sollte vorher geklärt werden, ob durch die Low-Level-Formatierung die Garantie für die Festplatte verloren geht.

Mit der Low-Level-Formatierung können Festplatten unabhängig vom Betriebssystem wieder in den "Urzustand" versetzt und damit auch vorhandene Informationen gelöscht werden. Über die Zuverlässigkeit der Löschung der vorhandenen Daten kann allerdings keine Aussage getroffen werden. Von der Nutzung als Löschverfahren wird deshalb abgeraten. Ein mehrfaches Überschreiben des Datenträgers ist auf jeden Fall zuverlässiger.

Bei der High-Level-Formatierung (HLF) wird lediglich die Dateisystemstruktur neu angelegt. Sie eignet sich daher nicht zum zuverlässigen Löschen von Informationen.

Komplettes Überschreiben von Datenträgern

Eine für den normalen Schutzbedarf ausreichende physikalische Löschung kann erreicht werden, indem der komplette Datenträger überschrieben wird. Mit speziellen Softwarewerkzeugen werden dabei die Datenträger einmal oder mehrfach mit vorgegebenen Zeichenfolgen oder Zufallszahlen überschrieben. Die Datenträger müssen intakt sein und sind auch nach dem Überschreiben weiterhin nutzbar.

Die Vertrauenswürdigkeit und Sicherheit dieses Löschverfahrens hängt dabei von folgenden Faktoren ab:

  • Die Software muss durch die Benutzer richtig eingesetzt werden. Eine fehlerhafte Anwendung kann dazu führen, dass der Datenträger nicht oder nur teilweise überschrieben wird.
  • Die Konfiguration der Löschtools hat wesentliche Auswirkungen darauf, dass die Datenträger vollständig und zuverlässig gelöscht werden. Daher muss sichergestellt sein, dass die Tools optimal konfiguriert sind und die Einstellungen nicht durch Unbefugte verändert werden können.
  • Die Löschsoftware muss gewährleisten, dass alle Bereiche des Datenträgers, auch die geschützten oder schadhaften Sektoren, in der gewünschten Weise überschrieben werden. Wegen der Unterschiede in der Technologie der verschiedenen Datenträgerarten (beispielsweise gibt es alleine bei Festplatten bei verschiedenen Herstellern unterschiedliche Technologien) und der raschen Weiterentwicklung der Technologie ist nicht auszuschließen, dass dieses Ziel nicht von allen Softwareprodukten erreicht wird. Die Software muss nach Abschluss des Überschreibens eine Verifikation des erfolgreichen Überschreibens ermöglichen.

Es wird immer diskutiert, wie viele Durchläufe bei einer Überschreibprozedur nötig sind, damit die Daten sicher gelöscht sind. Untersuchungen von Forensik-Laboren haben gezeigt, dass bereits nach einem Durchlauf mit geeigneten Zeichenfolgen oder Zufallszahlen keine Daten mehr rekonstruiert werden konnten. Für den normalen Schutzbedarf ist also ein einmaliges Überschreiben mit einem zuverlässigen Werkzeug ausreichend.

Für den höheren Schutzbedarf sollte die Überschreibprozedur aus mindestens zwei Durchläufen und einer Verifikation des Überschreibvorgangs bestehen. Als Datenmuster werden Zufallsdaten empfohlen. Eine andere Möglichkeit ist, beim mehrfachen Überschreiben beim zweiten Durchlauf das zum ersten Durchlauf komplementäre Datenmuster (Bit-Folge) zu verwenden.

Um Datenträger zu löschen, auf denen Verschlusssachen (VS) gespeichert waren, dürfen nur vom BSI für den jeweiligen Geheimhaltungsgrad empfohlene bzw. zugelassene Produkte eingesetzt werden.

Löschen mit Löschgeräten

Die Aufgabe von Löschgeräten ist es, schutzbedürftige Daten, die auf magnetischen Datenträgern gespeichert sind, sicher und unwiederbringlich zu löschen. Dazu verfügen die Löschgeräte über einen starken Gleichfeld- oder Wechselfeldmagneten, mit dessen Hilfe die Datenträger vom Magnetfeld des Gerätes durchflutet werden ("Durchflutungslöschen"). Diese Geräte werden auch Degausser genannt. Da es sich beim Löschen mit Löschgeräten ausschließlich um eine magnetische Einwirkung handelt, können Löschgeräte auch nur bei magnetischen Datenträgern wie Magnetbändern, Disketten und Festplatten verwendet werden. Durch das Magnetfeld des Löschgerätes werden die aufgezeichneten magnetischen Domänen auf den Datenträgern zerstört. Bei Verwendung eines geeigneten Löschgerätes sind deshalb nach dem Löschen auf dem Datenträger keine Informationen mehr vorhanden. Geeignet heißt dabei, dass die magnetische Feldstärke des Löschgerätes deutlich größer sein muss als die des Datenträgers, um diesen vollständig zu entmagnetisieren. Dabei muss auf die sorgfältige Bedienung geachtet werden, unter anderem müssen die Datenträger korrekt positioniert und die richtige Zeitdauer der magnetischen Einwirkung ausgewählt werden. Die Bedienungsanleitung der Löschgeräte ist in jedem Fall zu beachten.

Der Vorteil beim Löschen mit einem Löschgerät besteht darin, dass mit geringem Zeitaufwand der gesamte Datenträger sicher gelöscht werden kann. Allerdings ist zu beachten, dass Festplatten und verschiedene Arten von Magnetbändern nach dem Löschen nicht mehr verwendet werden können, weil mit den aufgezeichneten Daten auch die Servospur, mit der der Schreib-/ Lesekopf gesteuert wird, gelöscht wird.

Löschen von elektronischen Speichermedien

RAM-Speicher ( SRAM und DRAM ) sind flüchtige Speicher, bei denen durch die Trennung von der Stromversorgung der Speicherinhalt gelöscht wird. Falls eine Pufferbatterie vorhanden ist, muss sie ebenfalls entfernt werden. Im Gegensatz dazu muss bei den nichtflüchtigen Speichern EEPROM und Flash-Memory zum Löschen des Speicherinhalts eine Spannung angelegt werden. EPROM s hingegen können nur mit einer UV -Licht Einstrahlung von bis zu 30 Minuten gelöscht werden. Die korrekte Vorgehensweise ist den Datenblättern der Hersteller zu entnehmen.

Es kann jedoch nicht ausgeschlossen werden, dass nach dem Löschen über "Spuren" in den Speicherzellen ein Rückschluss auf die vorher gespeicherten Daten möglich ist. Es wird deshalb empfohlen, die kompletten Speicher vor dem Löschen einmal vollständig mit Zufallszeichen zu überschreiben.

Löschen von Flash-Disks

Flash-Disks sind Halbleiterspeicher auf der Basis von Flash-EPROMs, die in Rechnern, insbesondere Notebooks, an Stelle der Festplattenlaufwerke verwendet werden.

Flash-Disks können wie Flash-EPROMs für normalen Schutzbedarf mit einem geeigneten Löschprogramm durch einmaliges, bei höherem Schutzbedarf durch bis zu dreimaliges Überschreiben zuverlässig gelöscht werden.

Vernichten von Datenträgern

Bei der Auswahl geeigneter Verfahren zum Vernichten sind sowohl analoge Datenträger wie Papier oder Mikrofilm als auch digitale Datenträger (elektronisch, magnetisch, optisch) zu betrachten. Die Vernichtung von Datenträgern kann beispielsweise durch Zerkleinern mit Messerwerken, Shreddern, Schneidmühlen, Stanzen und weiteren geeigneten Geräten oder auch durch Verbrennen oder Einschmelzen erfolgen.

Vernichten von analogen Datenträgern

Verfahren und Geräte, die für die Vernichtung von analogen Datenträgern, also z. B. Papier-Dokumenten oder Mikrofilmen, mit schutzbedürftigen Informationen geeignet sind, sind in M 2.435 Auswahl geeigneter Aktenvernichter beschrieben.

Vernichten von digitalen Datenträgern

Für digitale Datenträger sind geeignete Verfahren und Geräte in M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten beschrieben.

Optische Datenträger wie CD s oder DVD s können nicht überschrieben oder durch magnetische Durchflutung zerstört werden. Sie müssen wie schreibgeschützte oder nicht mehrfach beschreibbare Datenträger ( CD-ROM s oder CD-R s) vernichtet werden.

Magnetische Datenträger, die nicht weiter verwendet werden, sollten mit geeigneten Geräten vernichtet werden. Defekte Festplatten, die nicht mehr überschrieben werden können, müssen vernichtet werden. Die Vernichtung kann durch Schreddern oder thermische Verfahren wie Verbrennen oder Einschmelzen erfolgen.

Geräte zur Vernichtung von Datenträgern sind häufig groß, komplex in der Bedienung und auch teuer. Daher ist die Vernichtung bei Dienstleistungsfirmen in räumlicher Nähe sinnvoller als die Anschaffung eigener Geräte. Werden Datenträger durch externe Dienstleistungsfirmen vernichtet, müssen die Sammelstellen, der Transport und die Vernichtung beim Dienstleister angemessen abgesichert sein (siehe M 2.436 Vernichtung von Datenträgern durch externe Dienstleister ).

Stand: 12. EL Stand 2011