Was Computer Forensik-Experten meinen, wenn sie über Datenlöschung sprechen
Als Computer Forensik-Spezialisten werden wir oft nach gelöschten Daten gefragt. Ist etwas wirklich gelöscht? Können gelöschte Daten wiederhergestellt werden? Was machen wir mit alten Laptops? Um diese Fragen zu beantworten, haben wir erst kürzlich wieder einmal ein Experiment gemacht. Diesmal in England. Das Ergebnis zeigt klar, dass beim Umgang mit sensiblen Daten von Firmen und Privatpersonen noch viel gelernt werden muss. Auch wenn es sich um Geräte handelt, die bereits ausrangiert wurden. Oder vielleicht gerade dann….?
Das Projekts „Gumtree“
Bewaffnet mit nur £ 20, antworteten wir auf eine Anzeige auf Community-Verkaufsportal, Kijiji und kauften vier scheinbar saubere Festplatten von einem Verkäufer, der sie als „aus alten privaten Laptops“ deklariert hatte. Nach Zahlung und Abholung überreichten wir die Festplatten an unser Computer Forensik Team. Der erste Schritt einer forensischen Untersuchung ist ein Verfahren namens 'Imaging'. Forensisches Imaging bedeutet die Erstellung eines exakten 1:1 Abbildes der zu untersuchenden Festplatte. Hier können jetzt Untersuchungen durchgeführt werden ohne die ursprünglichen Daten auf der Festplatte zu gefährden oder zu manipulieren. Sobald wir die Gumtree-Laufwerke abgebildet hatten, konnte die eigentliche Untersuchung beginnen. Bei der ersten Inspektion schienen drei der Festplatten leer zu sein, wie vom Verkäufer versprochen. Die vierte zeigte einfach das Windows-Installationsmenü. Für einen durchschnittlichen PC-Nutzer wäre der Schutz der Privatsphäre des ehemaligen Eigentümers also geschützt gewesen. Aber die erste Regel der Forensik lautet: „Gelöscht bedeutet nicht immer gelöscht“. Deshalb haben wir versucht, Daten aus den scheinbar leeren Datenträgern zu extrahieren.
Mit Computer Forensik ans Licht gebracht
Sobald wir das Image genau untersucht haben, haben wir eine unglaubliche Menge an Informationen aufgedeckt. Untenstehend ein Überblick über das, was wir auf den einzelnen Datenträgern gefunden haben:
Daten, die von Disk 1 wiederhergestellt wurden
- 1400 PDFs
- 500 Excel-Dateien
- 200 Word Dokumente
- 8 Powerpoint-Präsentationen
- 40.000 Bilddateien
Obwohl der Verkäufer ursprünglich die Platten aus Privatrechnern beschrieben hatte, ließen die wiederhergestellten Informationen einen anderen Schluss zu: Ausgaben von mehr als £ 120.000 für Dachlampen und £ 170.000 für die Installation von Brückenverkleidungen sowie weitere Rechnungen über Zehntausende von Pfund sowie einen Cache von Fremdsprachendokumenten, deuten eher darauf hin, dass die Festplatte nicht im privaten Kontext verwendet wurde.
Daten, die von Disk 2 wiederhergestellt wurden
Das Image von Platte 2 wies eine sichtbare Basisfensterinstallation auf, aber sonst nichts. Allerdings konnten wir noch einmal viele Daten wiederherstellen, von denen die meisten aus vertraulichen Dokumenten aus dem internen File-Sharing-System Sharepoint stammten. Dateien, die auf Sharepoint gespeichert werden, sind nur zum Ansehen gedacht und sollten eigentlich nicht auf dem Laptop gespeichert werden - was ein weiteres Indiz dafür wäre, dass der Verkäufer der Laufwerke sie vielleicht über zweifelhafte Wege erhalten hatte.
Daten, die von Disk 3 wiederhergestellt wurden
Disk 3 lieferte auch einige interessante Daten. Wir fanden 3.800 Google-Suchbegriffe, die einen großen Einblick in das Leben des Vorbesitzers lieferten. Zum Beispiel sahen wir, dass der Besitzer nach Patisserie Valerie Bäckereien gesucht hatte, gefolgt von einer Suche nach Turnhallen in einem bestimmten Gebiet. Besonders faszinierend und vielleicht beunruhigend, verborgen unter den alltäglichen Arbeitsdokumenten war eine Fülle von Dateien, die sich auf Philosophie und Okkultismus bezogen.
Daten, die von Disk 4 wiederhergestellt wurden
Von allen Daten, die von den Laufwerken wiederhergestellt wurden, enthielt Disk 4 die empfindlichsten Informationen. Leider hat unser hauseigener Berater geraten, dass wir nicht auf die Inhalte der Festplatte eingehen sollten, da sie Daten enthalten, die sich auf die britische Regierung sowie auf CCTV-Aufnahmen beziehen. Am Ende des Tests war klar, dass die Festplatten nicht von privaten Computern stammen konnten. Insgesamt haben wir rund 10.000 offizielle Dokumente gefunden und es scheint, dass sie aus der gleichen Regierungsabteilung kommen. KrolLDiscovery hat bereits Schritte eingeleitet, die Daten an die involvierte Abteilung zurückzugeben, damit dort eigene Untersuchungen eingeleitet werden können.
Wie man Daten sicher löscht
In Fachkreisen wird viel darüber diskutiert, wann elektronische Informationen wirklich unwiederbringlich gelöscht sind. Es gibt einige exakt definierte Methoden, die unter anderem bei Regierungsbehörden oder Militär Anwendung finden. Hierzu gehören z.B. das einfache oder mehrfache Überschreiben mit Nullen, mit Einsen und/oder Zufallswerten.
Löschen Unternehmen oder Privatpersonen Daten, können gelöscht geglaubte Dateien, wie Fotos oder Dokumente von Datenrettern häufig ganz oder teilweise wieder hergestellt werden. Dies kann fatale Folgen haben, wenn diese Datenträger in die falschen Hände geraten.
Daher sollte die sichere Datenlöschung im Rahmen der Retention Policy eines Unternehmens am Ende des Lebenszyklus eines Datenträgers bzw. bei Rückgabe geleaster Geräte stehen. (Denn auch in Kopierern sind Festplatten, die sämtliche kopierte Dokumente gespeichert haben.)
Sicher Löschen kann man entweder per Hardware, dem sogenannten Degausser, bei dem das Magnetfeld der Platte verändert wird. Damit sind alle Daten unwiederbringlich zerstört.
Möchte man die Datenträger erneut einsetzen oder verkaufen, empfiehlt sich der Einsatz einer Softwarelösung, die die Löschvorgänge für jeden einzelnen Datenträger dokumentiert und zertifiziert. So können Sie sicherstellen, dass Ihre sensiblen Daten nicht in die Hände Dritter geraten.