Tagebücher und private Fotos, persönliche E-Mails, Bankverbindungen und Kreditkartennummern, Passwörter… Oft sind wir uns gar nicht bewusst, was für persönliche und geheime Informationen unsere Festplatten gespeichert haben. Nehmen wir uns nur mal als Beispiel das Cookie, durch das wir uns nicht mehr im Onlineshop anzumelden brauchen, oder all die Passwörter, die der Passwort-Manager des Browsers bequemerweise für uns gespeichert hat.
So gibt es immer wieder Aufsehen erregende Berichte über Computer oder Festplatten mit höchst vertraulichem Inhalt, welche gebraucht verkauft wurden, ohne vorher ausreichend gelöscht worden zu sein. Ein anderes, etwas amüsanteres Beispiel stammt von dem Käufer eines gebrauchten Notebooks, welches sich als defekt herausstellte. Da der Verkäufer nicht bereit war, das Geld zurückzugeben, veröffentlichte der Betrogene aus Rache allerlei private und delikate Details, die er auf der Festplatte des Notebooks vorfand.
Trotzdem kann es vorkommen, dass man Festplatten in fremde Hände gibt, weil man sie verkaufen, zurückgeben oder entsorgen möchte. Wie löscht man dann alle vertraulichen Daten sicher und zuverlässig?
Ein paar wichtige Worte vorweg!
Dieser Artikel bezieht sich auf Linux-Systeme und richtet sich hauptsächlich an Privatpersonen. Nicht etwa, weil ihre Daten weniger schützenswert wären, sondern weil der Gesetzgeber bei gewerblich genutzten Festplatten mit personenbezogenen Daten eine fachgerechte und dokumentierte Löschung der Daten erwartet.
In diesem Artikel beschreibe ich außerdem, wie Daten sicher und zuverlässig gelöscht werden. Mit nur einer Fehleingabe können in Sekundenschnelle auch Daten vernichtet werden, die eigentlich nicht gelöscht werden sollten. Man sollte deshalb genau darauf achten, ob das Festplatten-Device wirklich das gewünschte ist, und sich das Kommando lieber einmal mehr anschauen, bevor man die Eingabetaste drückt. Wichtige Daten, die nicht gelöscht werden sollen, sollten stets auf einem aktuellen Backup gesichert sein.
Im folgenden Text wird die zu löschende Festplatte beispielhaft unter /dev/sdX angesprochen. Man sollte mit hdparm -I /dev/sdX vorab prüfen, ob es sich tatsächlich um das zu löschende Festplattenmodell handelt.
Vorsorgen ist besser als heilen
Diese alte Weisheit gilt auch bei sensiblen Daten. Es ist besser, sie gar nicht erst im Klartext auf die Festplatte zu schreiben, als sie später mit Aufwand wieder entfernen zu müssen. Wenn man sensible Daten verschlüsselt auf der Festplatte ablegt, sind sie ohne den Schlüssel wertlos. Das bringt nicht nur mehr Sicherheit beim Verkauf einer gebrauchten Festplatte, sondern schützt auch sehr effektiv gegen böse Überraschungen nach einem Verlust oder Diebstahl.
Moderne Computer sind schnell genug, um das gesamte System per LUKS zu verschlüsseln, ohne dass die Performance spürbar darunter leidet. Vor allem Notebooks sollten deshalb immer mit einem sicheren Kennwort vollverschlüsselt aufgesetzt werden, auch wenn das beim Hochfahren des Systems lästig sein mag.
Die Verschlüsselung ist aber nur ein Aspekt. Auch verschlüsselte Systeme sollten besser vollständig gelöscht werden, bevor man sie aus der Hand gibt.
Wie man es nicht machen sollte…
Was nicht hilft, ist die Festplatte einfach zu formatieren. Dabei werden nur die Verwaltungsstrukturen neu angelegt. "Undelete"-Programme oder Datenrettungsdienste können einen Großteil der gespeicherten Daten von einer zuvor formatierten Festplatte wiederherstellen.
Auch ein Low Level-Format ist nicht zuverlässig. Manche Festplattenmodelle ignorieren dieses Kommando völlig oder funktionieren danach nicht mehr einwandfrei.
Kommandos wie srm bieten an, einzelne Dateien sicher zu löschen. Auch solchen Werkzeugen sollte man skeptisch gegenüberstehen, denn es gibt keine Garantie, dass das Dateisystem oder die Festplatte keinen Strich durch die Rechnung macht.
Wie macht man es richtig? Dazu muss man unterscheiden, ob es sich um eine mechanische oder elektronische Festplatte handelt. Bei sehr alten mechanischen Festplatten wird es zudem ein wenig aufwändiger.
Mechanische Festplatten löschen
Bei der klassischen Festplatte werden die Daten magnetisch auf eine rotierende Scheibe geschrieben. Hier reicht es aus, die gesamte Festplatte einmalig mit Nullen zu überschreiben, um sämtliche Daten zu löschen. Falls noch Partitionen der Festplatte gemounted sind, werden sie erst einmal ausgehängt. Danach erledigt das Kommando dd den Löschvorgang:
dd if=/dev/zero of=/dev/sdX bs=65536 status=progress
Je nach Alter und Größe der Festplatte dauert dieser Vorgang mehrere Stunden.
Das Kommando strings eignet sich zum Prüfen, ob eine Festplatte leer ist.
strings /dev/sdX
Das Kommando gibt alle lesbaren Zeichenketten aus, die auf der Festplatte gefunden wurden. Bei einer gelöschten Festplatte sollte natürlich nichts dergleichen gefunden werden.
SSDs löschen
Moderne SSDs arbeiten rein elektronisch und legen die Daten in Speicherzellen ab. Auch hier kann man das gesamte Laufwerk wie oben beschrieben mit Nullen überschreiben, um es zuverlässig zu löschen.
Im Gegensatz zu mechanischen Festplatten verschleißen die Speicherzellen aber bei jedem Schreibzugriff. Bei vielen modernen SSDs greifen die Hersteller deshalb zu einem Trick, um ein schonendes vollständiges Löschen zu ermöglichen. Hier werden die Daten hardwareseitig verschlüsselt, bevor sie in die Speicherzellen geschrieben werden. Für eine vollständige Löschung reicht es aus, einen neuen Schlüssel zu erzeugen. Die Daten sind dann zwar weiterhin in den Speicherzellen vorhanden, können aber auch vom Hersteller oder von Datenrettungsdiensten nicht mehr entschlüsselt werden.
Diesen "Secure Erase"-Vorgang kann man auf vielen Systemen bequem in den BIOS-Einstellungen durchführen. Es kann auch mit dem hdparm-Kommando durchgeführt werden, allerdings sind dafür ein paar Dinge zu beachten. Auf kernel.org gibt es einen ausführlichen Artikel, der die notwendigen Schritte genau erklärt.
Alte Festplatten löschen
Bei sehr alten Festplatten kann nach einmaligem Überschreiben mit Nullen eine Restmagnetisierung zurückbleiben, die unter Laborbedingungen theoretisch wieder ausgelesen werden kann. Hier sind mehrere Löschdurchgänge notwendig, wobei neben Nullen auch Zufallszahlen auf die Festplatte geschrieben werden sollten, damit möglichst viele gespeicherte Bits mindestens einmal ihren magnetischen Zustand ändern. Das US-Verteidigungsministerium empfiehlt, die Festplatte zwei Mal mit Nullen und ein Mal mit Zufallszahlen zu überschreiben. Noch besser ist es, die Festplatte sieben Mal zu überschreiben, wovon mindestens drei Mal Zufallszahlen verwendet werden.
Das Kommando shred erleichtert diese Aufgabe, zum Beispiel durch folgende Zeile:
shred -n6 -z /dev/sdX
Es überschreibt die Festplatte sechs mal mit Zufallszahlen (-n6) und anschließend noch einmal mit Nullen (-z). Das kann je nach Größe der Festplatte durchaus mehrere Tage dauern, aber immerhin kann man das Kommando unbeobachtet laufen lassen, bis es fertig ist.
Bei halbwegs modernen Festplatten mit einer Kapazität von mehr als 100 GB ist die Datendichte bereits so hoch, dass diese Möglichkeit der Restaurierung in das Reich der Mythen gehört. Selbst das BSI hält ein einmaliges Überschreiben mit Nullen mittlerweile für ausreichend sicher.
Was tun mit defekten Festplatten?
Defekte Festplatten sind ein Problem.
Sind einzelne Sektoren defekt, tauschen alle modernen Festplatten diese automatisch durch Reservesektoren aus. Der defekte Sektor ist dann nicht mehr erreichbar und kann deshalb auch nicht gelöscht werden. Wie viele defekte Sektoren die Festplatte ersetzt hat, kann durch den S.M.A.R.T.-Status ermittelt werden. Wenn mindestens ein Sektor defekt ist, sollte die Festplatte nach dem Löschen auch physikalisch vernichtet werden, um ganz sicher zu gehen.
Vollständig defekte Festplatten (zum Beispiel nach einem Headcrash oder Motorschaden) können gar nicht gelöscht werden. Hier sind Datenrettungsdienste fast immer in der Lage, große Mengen an Daten auszulesen. Bei defekten Festplatten wird man also um eine Vernichtung nicht herumkommen, um vertrauliche Daten unwiederbringlich zu löschen.
Festplatten vernichten
Gewerblich genutzte Festplatten übergibt man zur Zerstörung am besten einem zertifizierten Dienstleister, um einen rechtssicheren Beleg zu erhalten, dass die Daten fachgerecht vernichtet wurden.
Im privaten Rahmen kann man mechanische Festplatten auch selbst zerstören, indem man sie öffnet und mit Werkzeug einen möglichst großen Schaden anrichtet. Es reicht meist schon, die Magnetplatten zu deformieren. Dabei ist allerdings Vorsicht geboten, denn manche Magnetplatten bestehen aus dünnem Glas und splittern sehr leicht.
ACHTUNG: Es besteht Verletzungsgefahr durch scharfe Kanten und umherfliegende Splitter! Unbedingt Sicherheitshandschuhe und eine Schutzbrille tragen!
Bei SSD-Platten müssen die Speicherbausteine zerstört werden, indem man zum Beispiel mit einem ausreichend großen Bohrer ein Loch in die Mitte der Chips bohrt.
Festplatten gehören wie alle Elektronikartikel nicht in den Hausmüll, sondern müssen über kommunale Sammelstellen entsorgt werden.