Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.
Der Einsatz von Computern, – ob Desktop-PCs für Büroarbeitsplätze, CAD/CAM-Arbeitsplätze für die Konstruktion oder auch Mainframes zur betriebswirtschaftlichen Steuerung eines Unternehmens (ERP-Systeme) – , ist heute nahezu flächendeckend. Kaum ein Unternehmen, das seine Dokumentationen nicht elektronisch vorhält. Der Gesetzgeber selbst fordert den Einsatz von Computern z.B. bei der Pflicht zur Abgabe der Umsatzsteuererklärung auf elektronischem Wege.
Dieser Einsatz birgt aber auch vielfältige Risiken für die Geschäftsprozesse und -geheimnisse eines Unternehmens. Während die Risikobetrachtungen und Abwehrmechanismen für illegales Eindringen, Kopieren oder Zerstören von Informationen meist gut ausgeprägt sind und es einschlägige Normen (ISO 27001 oder IT-Grundschutz-Kataloge des BSI) für diesen Bereich der Informationssicherheit gibt, existiert für das Thema Datenträgerentsorgung z.B. von Festplatten nahezu nichts.
In jedem Rechner steckt mindestens eine Festplatte, auf der nicht nur das Betriebssystem und die lokalen Anwendungen gespeichert sind. Selbst bei Einsatz eines zentralen Datenservers sind lokale Kopien oder auch nur temporäre Dateien auf dieser Festplatte zu finden und mit gängigen forensischen Methoden leicht wiederherstellbar. Gibt man also eine Festplatte einfach weg, so ist die Wahrscheinlichkeit, dass daraus Informationen über das Unternehmen und/oder seine Produkte an Unbefugte gelangen, sehr hoch.
Der folgende Text beschäftigt sich mit den gängigen Methoden der Festplattenentsorgung und deren Vor- und Nachteilen.
Speichermethode auf der Festplatte
Eine Festplatte speichert die Informationen mit Hilfe kleiner magnetischer Partikel, die auf einer rotierenden Scheibe (oder mehreren) aufgebracht sind. Je nach Ausrichtung eines Partikels wird ein gesetztes Bit oder ein nicht gesetztes Bit erkannt. Durch einen Schreib-Lese-Kopf, eine Art Spule, die ein Magnetfeld erzeugt oder eines auslesen kann, wird die Ausrichtung der Partikel verändert bzw. gelesen. Um nun auf diese Weise gespeicherte Informationen dauerhaft zu vernichten, ist es notwendig, die Ausrichtung der Partikel so zu verändern, dass nicht mehr auf die ursprüngliche Information geschlossen werden kann.
Ein einfaches Löschen oder Formatieren der Festplatte reicht dabei nicht aus, da die Betriebssysteme in den wenigsten Fällen tatsächlich löschen. Meist wird nur das Inhaltsverzeichnis überschrieben. Die Information an sich bleibt vorhanden. Auch das Löschen mit z.B. dem NULL-Wert kann u.U. nicht ausreichend sein, da ein Magnetfeld auch Partikel neben dem eigentlichen Informationsträger beeinflusst. Mit genügend großem Aufwand lässt sich daraus dann wieder die ursprüngliche Information rekonstruieren. Um also vollständig zu entsorgen, muss die Oberfläche allumfassend verändert werden.
Entsorgungsmethoden
Grundsätzlich stehen vier Methoden zur Vernichtung von Informationen, die auf einer Festplatte gespeichert sind, zur Verfügung:
Jede Methode weist Vor- und Nachteile auf, die meistens in der Handhabung, weniger in der Sicherheit der Vernichtung von Daten zu finden sind.
1. Datenlöschung
Bei der Datenlöschung wird nicht die Festplatte – und damit der Dateninhalt – zerstört, sondern es werden nur die Daten auf der Festplatte mit Hilfe eines Löschprogramms entfernt. Hierbei wird die Festplatte an sich nicht gestört, sie kann also weiter verwendet werden. Nachteilig ist allerdings, dass die bei den meisten Betriebssystemen mitgelieferten Hilfsmittel (Formatieren oder auch nur Löschen von Dateien) in Wirklichkeit eben keine Löschung vornehmen, sondern ausschließlich das Inhaltsverzeichnis und damit den Verweis auf die Daten löschen. Mit Hilfe gängiger Forensik-Werkzeuge, die es auch als Public-Domain OpenSource-Projekte gibt, lassen sich solchermaßen gelöschte Daten sehr schnell rekonstruieren.
Auf dem Markt existieren darüber hinaus Programme, die die Festplatte vollständig überschreiben. Auf diese Weise gelöschte Festplatten sind mit normalen Methoden nicht wiederherzustellen, allerdings können aufgrund der physikalischen Eigenschaften der Schreib-Lesespulen durchaus noch Restwerte der ursprünglichen Daten neben der eigentlichen Datenspur gespeichert sein. Dies wäre, wenn auch sehr aufwendig, im Labor wiederherstellbar.
Ein weiterer Nachteil dieser Methode ist zudem, dass die Löschdauer u.U. sehr lang ist. In der Praxis ist es selten möglich, Daten mit mehr als 80 MBytes/s auf eine Festplatte zu schreiben. Somit würde das Löschen einer 80 GBytes großen Festplatte ca. 1.000 Sekunden im Idealfall betragen. Bei heute üblichen Festplattengrößen von 1.000 GBytes wären das dann schon 12.500 Sekunden. Um auch die Nebenspuren sicher zu löschen, ist ein mehrmaliges Überschreiben sinnvoll. Auch lassen einige Betriebssysteme das Löschen der Systemfestplatte (zumindest aber der Systempartition) im laufenden Betrieb nicht zu. Hier müsste also erst ein alternatives System gestartet werden, um dann die eigentliche Festplatte zu löschen.
2. Thermische oder ablative Vernichtung
Bei dieser Methode wird die Festplatte mit allen datenführenden Schichten entweder verbrannt oder in einem Säurebad die Oberfläche so verätzt, dass keine Magnetschicht mehr erhalten bleibt.
Diese Methode hat den Vorteil, dass sie die Daten vollständig zerstört, eine Rekonstruktion ist unmöglich. Der Nachteil liegt aber darin, dass sichergestellt werden muss, dass auch wirklich alle Oberflächen betroffen sind. Dies lässt sich in der Regel nur durch vorheriges Demontieren der Festplatte erreichen. Der Aufwand zur Entsorgung wird somit sehr hoch. Auch ist nach den neuesten Richtlinien die thermische Entsorgung von Elektronikschrott nicht mehr zulässig. Das Auflösen im Säurebad erzeugt Sonderabfälle, die sehr aufwendig entsorgt werden müssen. Darüber hinaus ist die Handhabung von Säuren nicht ohne besondere Schutzvorrichtungen gestattet. Hohe Kosten wären die Folgen.
Eine Einschätzung, inwieweit die Entsorgung vollständig war, lässt sich zudem schwer treffen, es sei denn, es ist wirklich alles aufgelöst worden. Auch werden die verschiedenen Sicherheitsstufen oder Sicherheitsanforderungen gleich behandelt, d.h. Daten, die weniger wichtig sind und demnach nicht besonders vor fremdem Zugriff geschützt werden müssen, erhalten den gleich hohen Aufwand wie stark schützenswerte Daten. Die Methoden können daher nicht als wirtschaftlich sinnvoll angesehen werden.
3. Elektromagnetische Entsorgung
Bei der elektromagnetischen Entsorgung wird mit Hilfe starker wechselnder Magnetfelder die Partikelausrichtung verändert. Da diese Ausrichtung nicht mehr in den vorher definierten Richtungen (Bit 0, Bit 1) vorliegt und zudem alle Partikel betroffen sind, ist ein sehr hoher Grad der Informationsvernichtung gegeben.
Problematisch ist allerdings, dass heutige Festplatten meist eine sehr gute magnetische Abschirmung aufweisen, d.h. die notwendigen elektromagnetischen Felder müssen äußerst stark sein, um diese Abschirmung sicher zu durchdringen. Auch lässt sich der Erfolg der Maßnahme nicht mehr ohne Spezialwerkzeug überprüfen. Äußerlich sieht die Festplatte noch genauso aus wie vor der Behandlung und schon eine schwächere Ummagnetisierung kann die Festplattenelektronik daran hindern, die Daten auszulesen. Dennoch könnten aus den Partikelzuständen noch Rückschlüsse auf den ursprünglichen Inhalt gezogen werden. Das BSI hat, u.a. auch deshalb, von weiteren Zertifizierungen dieser „Degausser“ genannten Geräte zur elektromagnetischen Informationsvernichtung Abstand genommen.
4. Mechanische Entsorgung
Bei der mechanischen Entsorgung wird die Festplatte z.B. mittels eines entsprechenden Schredders, Disintegrators oder Crushers in genügend kleine Teile zerlegt. Hierbei ist es nicht notwendig, die Festplatte vorher aus dem Computer auszubauen, da dieser ebenfalls zerkleinert werden kann. Die anschließende Trennung der einzelnen Komponenten (Wertstoffe, Abfälle etc.) ist ein inzwischen gut beherrschter Prozess. Fraglich ist jedoch, inwieweit eine Zerkleinerung der Festplatte ausreichend ist, um die Informationen sicher zu entsorgen.
Denn: Die Größe der im Zerstörungsprozess entstandenen Partikel hat einen direkten Einfluss auf die Wahrscheinlichkeit der Informationswiederbeschaffung. Je größer die einzelnen Partikel, desto höher ist die Wahrscheinlichkeit, daraus wichtige Daten auslesen zu können. Anders als bei der thermischen Entsorgungsmethode wird die Oberfläche nämlich nur punktuell verändert. Dies ist immer an den Schnittkanten der Fall. Der Rest der Oberfläche bleibt häufig weitgehend unbeschädigt und würde die ursprünglichen Magnetisierungsinformationen weiterhin beinhalten.
Würde man z.B. eine Partikelgröße von 100 mm² ansetzen, so könnten daraus ca. 1.000 Mbit oder 125 MBytes an Daten gewonnen werden.
In Anlehnung an die einschlägigen Sicherheitsnormen für die notwendige Partikelgröße bei Papierdokumenten wurde von der EA DMS1 ein Industriestandard für Festplatten etabliert, mit dem – abhängig von der Wertigkeit der auf der Festplatte gespeicherten Informationen – unterschiedliche Partikelgrößen als Maßstab der Güte für die Datensicherheit bei der Entsorgung definiert werden.
Das Verfahren der mechanischen Entsorgung hat neben der einfachen Handhabung den Vorteil, dass auch ein Laie sehr schnell die Güte der Entsorgung überprüfen kann. Eine Flächenberechnung2 eines Probestückes ist sehr schnell durchgeführt und damit auch die Wahrscheinlichkeit der Wiederherstellung von Daten. Zudem fallen bei einem kontinuierlichen Schredderprozess eine Vielzahl an Partikeln unterschiedlicher Festplatten an. Diese so zu sortieren, dass die relevanten Informationen EINER Festplatte gelesen werden können, ist damit deutlich schwieriger geworden.
Zusammenfassend erscheint die mechanische Entsorgung die sinnvollste Variante zu sein, da
Sollte auch die kleinste derzeit erreichbare Partikelgröße nicht ausreichend sein, so könnte dieses Verfahren auch mit einer anschließenden Elektromagnetischen Stufe versehen werden. Dies würde dann die absolut vollständige Vernichtung der Informationen bedeuten.
Durch das Vorhandensein eines Standards (auch wenn es sich zunächst nur um einen Industriestandard handelt) können diese Ergebnisse nachvollziehbar sichergestellt werden. Auf welche Weise das eigentliche Zerkleinern vonstatten geht, braucht dabei nicht vorgegeben zu werden.
Die folgende Tabelle zeigt noch einmal die Vor- und Nachteile der Verfahren im Überblick:
Verfahren | Vorteile | Nachteile | Bemerkungen |
---|---|---|---|
Löschen: | keine Geräte notwendig, einfache Handhabung | je nach Einsatz nicht sicher; u.U. aufwendige und zeitintensive Bearbeitung | bei Einsatz richtiger Löschprogramme ist die Sicherheit ausreichend für normale Zwecke |
Ablativ: | sehr sicher | aufwendig, teilweise schwierige oder gefährliche Handhabung | thermisch inzwischen untersagt; Säurebäder schwierig zu entsorgen |
Elektromagnetisch: | bei richtiger Handhabung sehr sicheres Verfahren | Festplatte muss ausgebaut werden; Erfolg der Maßnahme nicht kontrollierbar | |
Mechanisch: | sicheres Verfahren in Abhängigkeit der gewählten Partikelgröße; einfacher Entsorgungsprozess; Restmaterialien können recycled werden | externe Geräte in Form von Schredder, Crusher oder Disintegratoren notwendig; u.U. Lärmbelästigung, Stauberzeugung | frei definierbare Sicherheitsstufe und damit Bearbeitungszeit; Recyclingprozess ist wohlbekannt |
1EA DMS ist eine nicht kommerzielle europäische Vereinigung mit Sitz in den Niederlanden, die sich zur Aufgabe gemacht hat, Standards für die Sicherheit bei der Datenträgerentsorgung zu erarbeiten, zu veröffentlichen und zu verbreiten. Auch zertifiziert die EA DMS Anlagen, die Festplattenvernichtung nach diesem Standard durchführen und die jeweilige Partikelgröße nachweislich dauerhaft erreichen.
2Eine Festplatte besteht aus einer oder mehreren Scheiben mit magnetischen Partikeln. Die Scheiben haben sehr hohe Anforderungen an die mechanischen Dimensionen wie Dicke, Durchmesser und Homogenität der Massenverteilung. Insbesondere die Massenverteilung und die Dicke der einzelnen Platte müssen in sehr engen Toleranzen vorliegen, da ansonsten die Festplatte im Betrieb beschädigt werden würde. Zur Bestimmung der Oberfläche einer vollständigen Platte ist grundsätzlich folgende Formel anzuwenden:
A = π ra² - π ri² = π (ra² - ri²)
Die Speicherdichte einer solchen Festplatte variiert je nach Alter des Datenträgers. Neuere Festplatten weisen technologiebedingt eine wesentlich höhere Speicherdichte auf. Die Speicherdichte ist ein Maß für die Anzahl der Bits, die pro Oberfläche gespeichert werden können.
Moderne Festplatten weisen eine Speicherdichte von bis zu 400 Gigabit pro Quadratzoll oder 620 Mbit/mm² auf. Von diesen Bits sind allerdings nur ca. 1/3 echte Nutzdaten, die dem Anwender zum Speichern von Daten zur Verfügung standen. Der Rest verteilt sich auf Servo-Informationen und Sektor-Kalibrierungsdaten der Festplatte selbst. Somit wären die 620 Mbit/mm² an auslesbaren Daten in Nutzdaten ausgedrückt ca. 204 Mbit/mm².
Die obige Berechnung bezieht sich auf Speicherdichten, wie sie Stand 2009 üblich sind. Diese Festplatten werden aber in den seltensten Fällen bereits heute verschrottet. Heute in die Entsorgung kommende Festplatten stammen z.B. aus dem Jahre 2005, als die maximale Speicherdichte nur gut 300 Mbit/mm² betrug oder in rekonstruierbaren Nutzdaten ausgedrückt 100 Mbit/mm².
Verfolgen Sie die Aktivitäten der NIFIS auch bei Twitter.