Test: Safe Erase und Evidor
Manchmal kommen sie wieder
Bringt ein Eingeweihter das richtige Werkzeug ins Spiel, taucht so manche gelöschte Datei plötzlich wieder auf der Festplatte auf. Wir testeten zwei Tools fürs Wiederbeleben und für die endgültige Beerdigung.
"Meier, da ist Ihr neuer PC, Ihren alten bekommt der Admin für die Serverwartung". Solch eine
Neuigkeit kann pure Panik bedeuten: Sind die blöden Witze über die Freaks aus dem Technikkeller nun
wirklich gelöscht, die Kollege Schmidt neulich erst geschickt hat? Oder steht Admin Müller gleich
morgen mit hochrotem Kopf beim Chef, weil er herausgefunden hat, was für "Notizen" Herr Meier so
sammelt?
Wer einen gebrauchten PC aus seiner Obhut entlässt, hat ein Datenschutzproblem. Eine gelöschte
Datei ist eben nicht wirklich gelöscht, sondern nur aus dem Inhaltsverzeichnis gestrichen.
Nicht jeder mag die Massenspeicher seines Gebraucht-PCs deshalb in den Degausser schicken, der
zwar alle Informationen zuverlässig vernichtet, zugleich aber auch die Platte unbrauchbar macht.
Und manchmal wäre es ja auch praktisch, Betriebssystem und Anwendungen startklar zu erhalten.
Unter den Tools, die das endgültige Löschen von Dateien erlauben, ohne Datenträger zu zerstören,
sticht O&Os "Safe Erase Version 2.0" (Einzellizenz: 30 Euro) durch ein besonderes Feature
heraus: Es kann gezielt jene Bereiche auf einer Festplatte reinigen, die als gelöscht
gekennzeichnete Files enthalten. Das Werkzeug installiert sich einfach ins Kontext-Menü der
Datenträger und bietet dort drei Funktionsaufrufe an: Das Löschen der gesamten Platte samt
Betriebssystem und aktiven Dateien für eine Neuinstallation, das sichere Löschen konventionell
bereits gelöschter Dateien und den Zugang zu den Sicherheits-Levels des Löschvorgangs. Eine
komplette Datenschutzanwendung mit Programmerhalt sieht mit diesem Tool also folgendermaßen aus:
Erst löscht der Anwender alle Dateien auf normalem Weg, dann entfernt er sie aus dem Papierkorb,
und schließlich setzt er Safe Erase ein. Mit einfachem Formatieren oder Überschreiben hat diese
Technik deshalb nichts gemein, weil sie Informationen nach verschiedenen Datenschutzstandards mit
Bitmustern so gründlich überschreibt, dass auch Forensik-Tools kaum noch eine Chance zur
Wiederbelebung haben. Das Repertoire des Programms reicht vom einfachen Überschreiben mit
Zufalls-Patterns in Kombination mit Festwerten über die Anwendung des
BSI-IT-Baseline-Protection-Standards (Überschreiben mit beliebigem Wert, dann mit dessen
Komplement, schließlich wieder mit dem Wert des ersten Durchlaufs) und über NSA-Löschtechniken bis
hin zum zeitraubenden 35-fachen Überschreiben nach Peter Gutmann mit festen und zufälligen Werten.
Im Test verwendeten wir das BSI-Verfahren, dem Safe Erase "mittlere Sicherheit" attestiert. Für die
18 GByte an freiem Speicherplatz auf unserem IBM-T30-Test-Notebook benötigte Safe Erase damit vier
Stunden und 18 Minuten.
Zum Test des Erfolgs haben wir bewußt ein Tool eingesetzt, mit dem auch Herr Meier selbst
klargekommen wäre, denn es ist im Gegensatz zu den üblichen technischen Forensik-Tools auch für
Juristen und Strafverfolger ohne tiefreichende technische Kenntnisse gedacht, die schnell und ohne
Aufwand Beweise sichern wollen. "Evidor" von X-Ways Software (350 Euro) sucht von einer zweiten
Platte aus in Dateien und im gelöschten Speicherplatz eines Datenträgers nach einer Zeichenfolge,
die der Anwender vorgibt. Somit eignet es sich dazu, gezielt nachzuweisen, ob ein bestimmtes
Dokument einmal auf einer Platte gespeichert war, während die klassische Analyse mit
Standard-Editoren auch unerwartetes zutage fördert. Wir haben ein Word-Dokument mit der
Zeichenfolge "Dokument Nr. 250366" auf der Platte des Testrechners angelegt, die Datei dann erst
konventionell und dann mit Safe Erase gelöscht und jedes Mail einen Suchlauf mit Evidor gestartet.
Das Programm schreibt seine Analyseergebnisse automatisch im HTML-Format ebenfalls auf eine andere
Festplatte als die untersuchte, um den Gegenstand der Analyse nicht zu verändern. Tatsächlich waren
die Zeichenfolge und die zugehörige Datei nicht mehr aufzuspüren. Herr Meier könnte sich aber
trotzdem nicht in jedem Fall sicher fühlen: In der Swap-Datei "Pagefile.sys" der Boot-Platte fand
Evidor bei einem unserer Testszenarien noch Relikte der Testinformationen – wir hatten gezielt
Auslagerungsaktionen aus dem RAM provoziert. Wer ganz sicher gehen will, muss den Erfolg einer
Löschaktion also genau prüfen.
Info: O&O Software Tel.: 030/43034303 Web: www.oo-software.com
Info: X-Ways Software Tel.: 0221/4204865 Web: www.x-ways.net
Lesen Sie mehr zum Thema
