Bundesamt für Sicherheit in der Informationstechnik

M 4.325 Löschen von Auslagerungsdateien

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Heutige Betriebssysteme unterstützen virtuelle Speicher. Damit Benutzern (virtuell) mehr Hauptspeicher zur Verfügung steht, als in dem Computer eingebaut ist, wird jeweils der gerade nicht verwendete Teil des Arbeitsspeichers auf Festplatte ausgelagert (Swap-Bereich).

In diesen Auslagerungsdateien finden sich auch Teile der Informationen wieder, die die Benutzer während ihrer Arbeit verwendet haben. Dazu können auch sensible Daten wie Passwörter oder kryptographische Schlüssel gehören. Die Dateien werden nicht gelöscht, wenn sich der Benutzer abmeldet bzw. das System ausgeschaltet wird. Daher könnten Auslagerungsdateien von einem Angreifer genutzt werden, um vertrauliche Daten auszulesen.

Um das Auslesen von Auslagerungsdateien zu verhindern, sollte der Auslagerungsbereich entweder temporär bzw. dauerhaft deaktiviert oder vor jedem Ausschalten sicher gelöscht werden.

Aktuelle Windows-Betriebssysteme können so konfiguriert werden, dass beim Booten oder Herunterfahren des Rechners die Auslagerungsdatei überschrieben wird. Die Auslagerungsdatei (Windows Paging File, pagefile.sys) wird ebenso wie die Datei für den Ruhezustand (Hibernation File, hiberfil.sys) beim Herunterfahren des Systems mit Nullen überschrieben, wenn "Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen" gesetzt ist. Das Überschreiben der Auslagerungsdatei kann allerdings je nach Größe längere Zeit in Anspruch nehmen. Dennoch sollte diese Option bei Clients, insbesondere bei Laptops, gesetzt werden. Bei Servern mit sehr großen Auslagerungsdateien sollte bei normalen Schutzbedarf abgewogen werden, ob dies dort erforderlich ist. Bei höherem Schutzbedarf sollte die Auslagerungsdatei auf jedem Fall automatisch gelöscht werden. Ab Windows Vista gibt es die Möglichkeit, dass die Auslagerungsdatei bei einem Systemstart per EFS verschlüsselt wird. Das ist deutlich effizienter und in allen Fällen empfehlenswert, in denen die Auslagerungsdatei nicht bereits durch eine vollständige Festplattenverschlüsselung wie BitLocker Drive Encryption verschlüsselt wird.

Bei höherem Schutzbedarf sollten weitere Maßnahmen gegen das Auslesen von Auslagerungsdateien ergriffen werden. Dazu können z. B. Werkzeuge, die den Auslagerungsbereich vor jedem Ausschalten sicher löschen, eingesetzt werden. Um die Problematik als solche aber zu vermeiden, können auch kryptographische Dateisysteme eingesetzt werden, mit denen der gesamte Inhalt der Festplatte verschlüsselt wird. Somit ist auch kein Zugriff auf die Auslagerungsdatei mehr möglich.

Das Abschalten oder Löschen des Auslagerungsbereichs ist für ad hoc-Lösungen brauchbar, aber keine dauerhafte Alternative. Die vollständige Verschlüsselung der Festplatten ist bei höherem Schutzbedarf die bessere Lösung.

Bei Unix-Systemen werden die Auslagerungsdateien im Swap-Dateisystem abgelegt. Hierbei handelt es sich um eine eigenständige Partition, die verschlüsselt werden kann. Es muss vor der Verschlüsselung der Swap-Partion geprüft werden, ob hierfür ausreichend Rechenleistung verfügbar ist. Eine sichere Maßnahme zum Schutz vor einer unerwünschten Auswertung des Auslagerungsbereichs ist die Verschlüsselung des gesamten Datenträgers und wird daher, wenn möglich, empfohlen.

Prüffragen:

  • Wird zuverlässig verhindert, dass auf den Auslagerungsbereich von IT -Systemen zugegriffen werden kann?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK