Ursprüngliche Daten wiederherstellbar, wenn Speichermedium mit Nullen überschrieben?

...komplette Frage anzeigen

10 Antworten

Bei magnetischen Festplatten reicht - nach derzeitigem Kenntnisstand - einmaliges Überschreiben (auch mit Nullen) entgegen anderslautender Gerüchte aus, damit keine Daten mehr rekonstruierbar sind.

Es ist zwar möglich, den "vorherigen" Zustand eines einzelnen Bits mit mehr als 50 % Wahrscheinlichkeit (habe die genaue Zahl nicht mehr im Kopf, aber sagen wir etwa 55 %) vorherzusagen, aber selbst ein einzelnes Byte korrekt zu rekonstruieren, wäre dann nur mit einer Wahrscheinlichkeit von 0.55 ^ 8 = 0.00084 = 0.84 % möglich, die Rekonstruktion eines einzelnen Sektors (4096 Byte = 32768 Bit) zu 0.55 ^ 32768 = 1.6 * 10^(-8508) = 1.6 * 10^(-8506) %, also faktisch unmöglich.

Bei Solid State Drives (SSDs) reicht weder einmaliges Überschreiben, noch Überschreiben mit Nullen aus, um sie sicher zu löschen. Das liegt daran, dass der Flash-Speicher so genanntes wear levelling betreibt, also die Daten, selbst wenn sie logisch betrachtet an der selben Adresse gespeichert werden, physikalisch jedes Mal in anderen Transistoren speichert. Das liegt daran, dass der Halbleiterspeicher sich durch Schreibzugriffe tatsächlich "abnutzt" und man diesen "Verschleiß" möglichst gleichmäßig über alle Speicherzellen verteilen möchte.

Um das zu bewerkstelligen, überschreibt man die Daten nicht an der Stelle, wo sie derzeit liegen, sondern fordert eine bislang leere Speicherseite an, schreibt die Daten dort hinein und "merkt sich dann", dass die Daten künftig eben dort liegen.

Gerade beim Schreiben von Nullen kann der Speicher besonders clever sein und sich denken: "Ich habe hier ja schon eine Seite mit Nullen, ich lasse einfach alle Adressen darauf verweisen." - Dann muss er nur eine Seite tatsächlich nullen und alle logischen Adressen verweisen dann auf diese eine Speicherseite. (Wenn etwas anderes, als Nullen geschrieben werden, so wird ja ohnehin nicht "in-place" überschrieben, sondern eine neue Seite alloziert, sodass durch die Tatsache, dass mehrere Adressen auf die selben physikalischen Speicherzellen verweisen, auch keine Inkonsistenz entstehen kann.)

Aber auch wenn andere Daten geschrieben werden, gibt es ein Problem. Der Speicher ist nämlich "overprovisioned", er hat ca. 7 - 15 % mehr physikalische Speicherseiten, als "nach außen" als Speicher sichtbar ist. Das dient zum einen dazu, immer beschreibbare Speicherseiten zu haben, auch wenn "logisch betrachtet" das gesamte Laufwerk beschrieben ist, zum anderen auch dazu, Speicherseiten "austauschen zu können", wenn sie im Laufe der Zeit ausfallen. Selbst wenn das Laufwerk mehrfach mit Zufallswerten überschrieben wird, kann nicht sichergestellt werden, dass auch tatsächlich alle physikalischen Zellen neu beschrieben werden, denn das Allozieren von Speicherseiten erfolgt nicht sequentiell, sondern eher "randomisiert".

Allerdings muss man sagen, dass auch bei einer SSD (oder einem anderen Flash-Speicher) Daten per Software nicht wiederherstellbar sind, wenn die SSD einmal mit Nullen überschrieben wurde, denn die "ungenutzten Speicherzellen", in denen noch alte Daten lagern könnten, sind ja nicht ansprechbar. Sie werden erst dann wieder angefordert, wenn sie überschrieben werden sollen und dann sind die Daten, die vorher enthalten waren, "weg". Allerdings könnte es möglich sein, mit spezieller Hardware die "nicht aktiven" Speicherbereiche auszulesen und so dennoch Daten zu finden.

Um Datenträger sicher zu löschen, gibt es in der ATA-Spezifikation ein eigenes Kommando namens ATA secure erase. Ein Laufwerk, das die Spezifikation korrekt implementiert, muss, wenn es ein solches Kommando erhält, sämtliche Speicherzellen physikalisch löschen. Das Problem bei der Sache ist, dass sich dieser Vorgang nicht wirklich verifizieren lässt, da der Computer selbst ja nicht sieht, ob die Speicherbereiche nicht tatsächlich doch nur wieder "ausgeblendet" wurden. Dennoch ist das das empfohlene Vorgehen. Es ist eigentlich fast immer besser, als die Daten per Software (z. B. dban oder auch einfach dd) zu überschreiben.

Antwort bewerten Vielen Dank für Deine Bewertung

Also.

Beim Formatieren werden gar keine Daten gelöscht oder verändert. Das einzige was man löscht ist das Inhaltsverzeichnis der Festplatte.

Alle Daten sind noch da, aber die Festplatte weiss nicht mehr wo (und beginnt langsam alles zu überschreiben).

Diese Daten kann man problemlos mit Tools wie "Recuva" wieder zurück holen.

Was Du meinst nennt sich "Wipen" und das löscht die Daten wirklich. Wenn eine Disk Gewiped wird, dann lässt man meistens ein Programm die ganze Disk mehrmals komplett mit 1en, respektive mit 0en überschreiben.

Wenn man das oft genug macht, sind Daten nahezu unmöglich wieder herzustellen.

Antwort bewerten Vielen Dank für Deine Bewertung

Neben den bisherigen Antworten, nochmal zum Zufall.

Es stimmt, das kein echter Zufall generiert werden kann, aber Anhand des verrechnens von verschiedenen variablen externen Werten wie die aktuelle Zeit in Nano Sekunden, Temperatur der Kerne oder ähnliche situative Werte die nicht rekonstruiert werden können, kann man quasi zufällige Werte erzeugen.

Antwort bewerten Vielen Dank für Deine Bewertung

Vom Hören-Sagen: Einmaliges Überschreiben soll meiner Erinnerung nach nicht ausreichen, weil auf der Festplatte eine Art Abdruck entsteht, so wie bei früheren Fernsehern, in denen sich das Bild eingebrannt hat. 
Man müsste schon die Platte mehrmals überschreiben, am besten mit unterschiedlichen Zufallsfolgen.

Da ist wirklich die Frage, ob man den Datenträger überhaupt noch verwenden möchte, oder ob man ihn nicht besser physisch zerstört, wenn man auf Nummer Sicher gehen möchte, zum Beispiel durch Verbrennen des Datenträgermaterials.

Antwort bewerten Vielen Dank für Deine Bewertung
Brainchild 17.07.2017, 11:49

Das stimmt auch, bloß ist der Aufwand so groß, das einmaliges Überschreiben praktisch reicht.

1
Suboptimierer 17.07.2017, 11:55
@Brainchild

Da hast du recht. Was könnte einen dazu bringen, seine Daten sicher löschen zu wollen?

  1. Man hat etwas rechtlich Unkritisches gespeichert, für das man sich aber schämt oder es andere aus irgend einen anderen Grund nicht sehen sollen → Es reicht ein normales Löschen.
  2. Der Rechner wurde irgendwie infiziert und es wurde darauf Material gespeichert, das ernsthafte, strafrechtliche Konsequenzen nach sich ziehen könnte → Man würde am liebsten alles, ganz sicher gelöscht wissen

Im Fall, dass sich willentlich illegale Inhalte auf dem Rechner befinden, wird derjenige wohl kaum darüber nachdenken, diese zu löschen. Das hätte er ja schon längst tun können, bzw. hätte er sich die Inhalte gar nicht auf den Computer laden brauchen.

1
NoHumanBeing 17.07.2017, 12:15

Alle "seriösen" Quellen sagen, einmaliges Überschreiben reicht, zumindest bei magnetischen Datenträgern. Die Gutmann-Methode ist ... Schlangenöl. ;-)

Bei SSDs kann selbst Gutmann (oder andere Methoden, wie 7-mal mit Zufall überschreiben, etc.) noch Spuren hinterlassen, die aber nur mit speziellem Equipment auswertbar sind. Es kommt also darauf an, welches Angriffsszenario denkbar ist. Ein "normales" Datenrettungsunternehmen wird da nichts mehr wiederholen und auch die "normale Polizei" wohl nicht. Über die Fähigkeiten von Geheimdiensten kann man nur spekulieren. Ich würde auch davon ausgehen, dass zumindest Fragmente noch rekonstruierbar sein können.

Bei einer SSD sollte man ohnehin den speziellen Befehl ATA secure erase verwenden. Dann sollte, sofern das Laufwerk selbst nicht "malicious" ist, nichts mehr wiederherstellbar sein. Wenn ich dem Laufwerk selbst nicht vertraue, werde ich am besten damit fahren, wenn ich es tatsächlich vernichte. Ich betreibe SSDs zudem grundsätzlich vollverschlüsselt - natürlich mit "software encryption", damit das Laufwerk wirklich niemals Klartext zu sehen bekommt.

2

Wenn man ein Speichermedium formatiert werden ja im Prinzip nur die 1en und 0en irgendwie umgedreht.

Nein.

Beim normalen Formatieren werden alle Sektoren mit einer Bitfolge überschrieben, die möglichst viele Phasenwechsel enthält (AA -10101010 oder 55 - 01010101). Danach sind die alten Daten für einen "normalsterblichen" Benutzer nicht mehr lesbar und auch nicht wieder herstellbar.

Beim Schnellformatieren wird nur das Inhaltsverzeichnis neu angelegt. Die Dateien verbleiben als verwaiste Cluster auf der Festplatte und können mit entsprechenden Programmen wieder ans Inhaltsverzeichnis "angehangen" werden.

Antwort bewerten Vielen Dank für Deine Bewertung

Der US-Geheimdienst hat gewisse Standards, was die anzahl an Überschreibvorgängen mit Nullen betrifft bevor von einem sicheren Löschen gesprochen werden kann, vlt versuchst du dich daran zu orientieren.

Nur durchs formatieren werden keine Daten gelöscht, das Formatieren kannst du dir so vorstellen, wie wenn du in einem Ordner das Inhaltsverzeichniss raus wirfst und ein neues Blanko reinlegst. Keiner weis mehr wo die Daten liegen und in welchem verfahren sie geordnet sind, wenn man sich aber mühe gibt, kann man Datei für Datei einzeln ansehen und neu Ordnen bzw den Ort wieder in das Inhaltsverzeichniss schreiben

Antwort bewerten Vielen Dank für Deine Bewertung

Genau das wird bei sicherer Löschsoftware gemacht, allerdings werden nicht "Nullen" auf die Platte geschrieben, sondern zufällig generierter "Datenmüll", und das mehrfach hintereinander. Auf solch überschriebenen Platten lassen sich Daten in der Regel nicht mehr herstellen.

Antwort bewerten Vielen Dank für Deine Bewertung

Beim Formatieren wird NICHT mit Nullen beschrieben, es gibt sogenannte Wiper, die mit Nullen beschreiben. Dann sind die Daten unwiderbringlich weg.

Antwort bewerten Vielen Dank für Deine Bewertung
Zitronensorbet1 17.07.2017, 11:43

Also unter Linux geht das auch so wenn ich formatieren will Pop up schnell oder mit Nullen überschrieben?

1
germanils 17.07.2017, 11:46
@Zitronensorbet1

"Schnell" heißt, dass nur die Zuordnung gelöscht wird. Daten lassen sich dann problemlos wiederherstellen, solange keine neuen Daten auf die Platte geschrieben werden.

2
Tuxgamer2 17.07.2017, 12:27
@Zitronensorbet1

Formatieren ist IMMER, dass du nur ein neues "Inhaltsverzeichnis" anlegst - die Daten aber drauf bleiben und es nur schwieriger wird, die Daten zu finden.

Linux mit 0-en überschreiben kannst du dd und /dev/zero nutzen:

# dd if=/dev/zero of=/dev/sd"X" bs=sector_size count=sector_number seek=partitions_start_sector

Im Detail wird dies hier erklärt: https://wiki.archlinux.org/index.php/Securely_wipe_disk

1

Das mit dem Formatieren hast du falsch verstanden. Da wird gar nix gelsöcht oder Einsen und Nullen "umgedreht". Es wird schlicht und ergreifend die Zuordnung der Daten im....hm...Index des Speichers gelöscht.

Ein Überschreiben der Daten ist da besser. Jedoch können die vorherigen Daten ebenfalls noch ausgelesen werden.

Für den Standardanwender reicht das aber völlig aus.

Antwort bewerten Vielen Dank für Deine Bewertung
Zitronensorbet1 17.07.2017, 11:45

und wenn man die Daten restlos und für immer vernichten möchte? Ohne die platte zu Schotten?

1
qugart 17.07.2017, 11:47
@Zitronensorbet1

Es reicht ein mehrmaliges Überschreiben der Daten. Aber wie gesagt, für den Standardanwender reicht ein einmaliges Überschreiben.

1

Nein, dann ist ein "recovering" unmöglich.

Antwort bewerten Vielen Dank für Deine Bewertung

Was möchtest Du wissen?