Wer eine Festplatte entsorgt oder verkauft, möchte verständlicherweise, dass die zuvor darauf gespeicherten Daten auf keinen Fall wiederherstellbar sind. Außer roher Gewalt mittels Vorschlaghammer im Fall der Entsorgung (garantiert der schnellste Weg) gibt es dedizierte Tools, die die Platte mehrmals mit Nullen oder Zufallsdaten überschreiben.
Auch der umgekehrte Fall ist möglich: Der Benutzer macht beim Partitionieren seiner Platte einen Fehler und formatiert die falsche Partition. Die Partitionstabelle ist zerstört. Die Daten sind zwar vorhanden, das System kann sie aber mangels "Inhaltsverzeichnis" nicht sehen. Hier helfen bei normalen HDDs Wiederherstellungstools, die die Partitionstabelle wieder erstellen.
Forscher haben sich nun Gedanken darüber gemacht, wie sich die Situation bei Solid State Drives in Hinsicht auf forensische Belange und das Sicherheitsbedürfnis des Endkunden darstellt.
An der University of California hat man sich in einer Versuchsreihe mit allen aktuell verfügbaren einschlägigen Software-Werkzeugen ans Werk gemacht und versucht, diverse SSDs endgültig von ihren Daten zu befreien. Ernüchterndes Ergebnis: Klappt nicht zuverlässig.
In einem PDF-Dokument zeigen die Wissenschaftler auf, wie sie vorgegangen sind und welche konkreten Ergebnisse das zeigte. Das derzeitige Problem liegt daran, dass die heutigen Löschprogramme für die Arbeit mit klassischen Festplatten entwickelt wurden. Der interne SSD-Aufbau ist aber nicht vergleichbar mit dem einer HDD. Laut den Forschern versagen die herkömmlichen Techniken, neben dem Inhaltsverzeichnis jede einzelne Datei zu löschen und zu überschreiben. Man könne zwar die Daten komplett löschen, jedoch seien diese danach teilweise wiederherstellbar. Die von den SSD-Herstellern beigelegten Tools können zwar Dateien überschreiben, seien aber der Aufgabe einer laufwerksweiten Totallöschung nicht gewachsen, so die Kalifornier. In jedem Testfall konnten zumindest teilweise die Altdaten wieder rekonstruiert werden.
Auf der anderen Seite des Erdballs stellten sich australische Forscher einem ähnlichen Problem: Man wollte untersuchen, welche Auswirkungen die Nutzung von Löschfunktionen der Firmware von SSDs, hier im Besonderen der Trim-Befehl, hat.
Der Trim-Befehl, unterstützt von Linux und Windows 7, teilt der SSD mit, dass z.B. ein Block von Daten gelöscht werden kann und wieder als frei gekennzeichnet wird. Der Prozess ist auch als "Agressive Garbage Collection" bekannt und wird derzeit mit schnelleren Controllern und optimierter Firmware immer effektiver, sehr zum Leidwesen der Forscher der Murdoch University in Perth.
Versuchsreihen ergaben, dass bei SSDs bis zu 20 Prozent der gelöschten Daten schon nach 20 Minuten unrettbar verloren waren. Das kann natürlich fatale Folgen für die Forensik haben, während es vom Sicherheitsaspekt her durchaus wünschenswert sein kann.
Die Forschungsergebnisse wurden zuerst im letzten Dezember im "Journal of Digital Forensics and Law" veröffentlicht, sind aber seit letzter Woche zum allgemeinen Download als PDF verfügbar.
Das Fazit der Forscher lautet sinngemäß: "Die Ergebnisse dieses Papiers könnten signifikante Auswirkungen bei der Aufklärung von Verbrechen haben, wenn es um digitale Inhalte geht. Es erscheint möglich, dass das goldene Zeitalter der Forensik in Bezug auf auf Wiederherstellung und Analyse gelöschter Daten ihrem Ende entgegengeht."
