Bundesamt für Sicherheit in der Informationstechnik

M 4.56 Sicheres Löschen unter Windows-Betriebssystemen

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

NT-basierte Windows-Betriebssysteme

Das Windows Dateisystem NTFS legt in einer Master Dateitabelle (MFT) alle Dateiinformationen wie Namen, Pfad und Attribute ab. Diese Angaben werden nicht verschlüsselt. Programme, die direkt auf die Festplatte zugreifen, können unter Umgehung der Windows-Sicherheitsmechanismen auf alle Dateien beliebig zugreifen. Dies gilt insbesondere für Programme, die unter einem anderen Betriebssystem als Windows auf demselben IT-System laufen.

Beim Löschen einer Datei unter dem Dateisystem NTFS wird diese nicht physikalisch gelöscht oder überschrieben, sondern lediglich als gelöscht markiert und dem Zugriff für den Benutzer entzogen. Dennoch können gelöschte Dateien mit Programmen, die direkt auf die Festplatte zugreifen, wieder hergestellt werden. Hierzu sind unter Windows Administratorrechte erforderlich. Außerdem kann ein anderes Betriebssystem gestartet werden, um direkten Zugriff auf die Festplatte zu erhalten.

Aus diesen Gründen ist Windows als einziges Betriebssystem zu installieren und zu verhindern, dass andere Betriebssysteme gestartet werden können (siehe M 4.52 Geräteschutz unter NT-basierten Windows-Systemen und M M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows-Clients ab Windows Vista ).

Soll doch ein anderes Betriebssystem gestartet werden können (Multiboot-System), empfiehlt sich der Einsatz eines Programms zur Festplattenverschlüsselung, das mögliche Verletzungen der Vertraulichkeit durch ein anderes Betriebssystem unterbindet. Das in Windows Vista, Windows 7 und Windows Server 2008 enthaltene Programm zur Festplattenverschlüsselung BitLocker ist für Multiboot-Systeme ungeeignet. Es sollte ein für Multiboot-Systeme geeignetes Produkt eines Drittherstellers eingesetzt werden. Alternativ kann unter Windows ab Version 2000 auch das Encrypting File System (EFS) zur Festplattenverschlüsselung eingesetzt werden. EFS unterstützt die Verschlüsselung einzelner Dateien (siehe M 4.147 Sichere Nutzung von EFS unter Windows ).

Papierkorb unter Windows

Unter Windows werden Dateien beim Löschen, sofern der Benutzer nicht ausdrücklich ein direktes Löschen verlangt, zunächst in einen benutzerspezifischen Bereich, den sogenannten "Papierkorb", verlagert. Aus diesem Bereich werden sie erst entfernt, wenn der von gelöschten Dateien belegte Speicherplatz die für das betreffende Plattenlaufwerk vorgegebene Größe überschreitet oder wenn der Benutzer explizit den Papierkorb leert. Der Inhalt des Papierkorbs sollte daher regelmäßig gelöscht werden, damit die Festplatte nicht zu voll wird und der Benutzer nicht den Überblick verliert.

Die maximale Größe des für den Papierkorb reservierten Speicherplatzes kann unter "Eigenschaften" des Icons "Papierkorb" auf einen geeigneten kleineren Wert, zum Beispiel 2 MByte, eingestellt werden. Dateien mit sensitivem Inhalt sollten nicht in den Papierkorb verschoben, sondern explizit gelöscht werden, indem beim Löschen die Umschalttaste gedrückt gehalten wird.

Unter Windows besteht die Möglichkeit, gelöschte Dateien aus dem Papierkorb wiederherzustellen. Dateien mit besonders sensitivem Inhalt sollten daher vollständig überschrieben werden, statt sie in den Papierkorb zu verschieben (siehe M 2.3 Datenträgerverwaltung und B 1.15 Löschen und Vernichten von Daten ).

Windows XP, Vista, Windows 7 und die Server-Versionen ab Server 2003 bieten die Möglichkeit, Dateien direkt und nicht über den Papierkorb zu löschen. Direktes Löschen von Dateien kann in den Eigenschaften des Papierkorbs (Dateien sofort löschen) oder durch das Aktivieren der Richtlinie Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Explorer | Gelöschte Dateien nicht in Papierkorb verschieben erzwungen werden. Hierauf sollten die Benutzer hingewiesen werden.

Unter Windows XP, Vista, Windows 7 und den Server-Versionen ab Server 2003 ist es möglich, den gesamten freien Plattenplatz eines Datenträgers oder eines Unterverzeichnisses mit dem Kommando cipher.exe /w zu überschreiben. Das Tool cipher.exe macht insgesamt drei Schreibdurchgänge und überschreibt den freigegebenen Platz im ersten Durchgang mit 0x0, im zweiten mit 0xF und im dritten mit pseudo-zufälligen Daten. Bei der Benutzung dieses Kommandos sollte jedoch berücksichtigt werden, dass die Inhalte kleiner gelöschter Dateien (unter 4 KB), unüberschrieben bleiben können, wenn sie direkt in der Master File Table (MFT) und nicht in separaten Datenträger-Clustern abgelegt sind. Das Verfahren ist auch geeignet, um verschlüsselte Dateien von unverschlüsselt zwischengespeicherten Datenresten zu bereinigen.

Um vertrauliche Dateien tatsächlich unwiederbringlich zu löschen, sollten spezielle Löschprogramme eingesetzt werden, mit denen alle Restinformationen zu dieser Datei auf dem Datenträger überschrieben werden.

Schattenkopien

Windows-Clients ab Vista und Windows-Server ab Server 2003 bieten die Möglichkeit, über sogenannte Schattenkopien (auch Vorgängerversionen genannt) frühere Versionen von Dateien und Verzeichnissen auf einer Festplatte vorzuhalten. Schattenkopien lassen sich für jedes Dateisystem im Eigenschaften-Dialog aktivieren. Bei aktivierten Schattenkopien ist es möglich, gelöschte Dateien und frühere Versionen von Dateien auf dem betroffenen Dateisystem für einen gewissen Zeitraum wiederherzustellen, und zwar auch dann, wenn die Originaldatei mit einem dafür vorgesehenen Programm sicher gelöscht wurde.

Schattenkopien dürfen daher auf Dateisystemen, auf denen ein sicheres Löschen von Dateien erforderlich werden kann, nicht eingesetzt werden. Auch hier kann der Einsatz einer Dateisystemverschlüsselung zusätzlichen Schutz bieten, weil damit auch die Schattenkopien verschlüsselt werden.

Prüffragen:

  • Ist sichergestellt, dass Windows als einziges Betriebssystem auf den lokalen Festplatten installiert ist bzw. bei Einsatz eines weiteren Betriebssystems ein Festplattenverschlüsselungsprogramm verwendet wird?

  • Sind alle Benutzer darüber informiert, dass über den Papierkorb gelöschte Dateien nicht zuverlässig gelöscht sind?

  • Werden zusätzliche Programme zur unwiederbringlichen Löschung, insbesondere bei vertraulichen Daten, eingesetzt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK