Datenträger (HDDs, SSDs, Flash Drives) so löschen, dass nichts mehr wiederherstellbar ist, egal mit welchen besten Tools

[Marvolo]

Hallo,

ich bin ein großer Freund von Datenschutz & Privatsphäre (geworden). Nachdem ich nun jahrelang meine ganzen Platten komplett unverschlüsselt und ohne sonstigen großen Aufwand betrieben habe, habe ich mich in letzter Zeit mehr in das Thema Verschlüsselungen (Veracrypt) und korrektes Löschen von Datenträgern (insb. auch vor Weitergabe o.Ä.) eingelesen.

Veracrypt nutze ich zurzeit, um HDDs zu verschlüsseln. Angeblich soll es wohl besser als der windows-eigene Bitlocker sein, aber da kenn ich mich bislang noch zu wenig aus, um das beurteilen zu können. Ich folge halt stumpf den Anleitungen zum Verschlüsseln mit VeraCrypt und hoffe mal, dass das dann so schon passen wird...

Nun geht's zusätzlich um das vollständige Löschen von Datenträgern bzw. alten (bereits gelöschten) Daten. Kurzes Googlen hat mich zu dem Freeware-Tool "Secure Eraser" geführt. Der ist einerseits in der Lage, gesamte Laufwerke/Platten mit verschiedenen Löschmethoden (1x bis Gutmann 36x) zu überschreiben, wobei zusätzlich noch für den Löschvorgang folgende Bereiche als Haken ausgewählt werden können:

MFT
USN Change Journal
Slack Space

alles über "1x überschreiben" dauert mitunter mehrere Tage. Selbst die niedrigste Variante 1x dauert schon über 10h.

Nun bin ich auf diesen älteren CB-Thread hier gestoßen. Resultat war, dass mit dem selben Tool, das ich gerade verwende (Secure Eraser) teilweise mit frei verfügbarer Enduser-Wiederherstellungssoftware sogar noch funktionierende Daten wiederhergestellt werden konnten. Wenn das mit Enduser-Mitteln schon geht, dann will ich gar nicht dran denken, was da erfahrenere / professionellere "Entitäten" noch rauskitzeln könnten.

Ein Hinweis in diesem Thread ergab, dass man möglichst Diskpart --> Clean All nutzen sollte, möglichst nicht im gebooteten Windows, sondern auf Dos-Ebene mittels USB-Boot. Dies würde dann tatsächlich alles unwiederbringlich löschen.

Nun lese ich im Security-Insider einen Artikel (allerdings ist der von 2008 (!)), wonach es

„Eine rückstandsfrei gelöschte Festplatte in der Regel nicht gibt, “ sagt auch Diplom-Ingenieur Nicolas Ehrschwendner, Geschäftsführer der auf Datenrettung spezialisierten Wiener Firma „Attingo“, der die Wiederherstellung des kompromittierenden Word-Dokuments über die abgeworbenen Mitarbeiter der Konkurrenz gelang. Zwar gäbe es die Möglichkeit des Überschreibens der Festplatte, jedoch warnt Ehrschwendner: „Wann immer in einem physikalischen Bereich der Festplatte ein Defekt auftritt, wird er elektronisch abgetrennt, und die Daten werden in einen Ersatzbereich kopiert. Auf diese gesperrten Bereiche kann vom System nicht mehr zugegriffen werden. Es gibt derzeit keine Löschsoftware, die sie überschreiben kann.“

Auch der Slack space, der ungenutzte Speicherplatz innerhalb eines Datenclusters, wird nicht von allen Löschprogrammen überschrieben. DOS und Windows Systeme arbeiten mit festgelegten Datenblocklängen. Wenn die tatsächliche Dateigröße kleiner ist als in so einem Cluster zur Verfügung steht, wird trotzdem das gesamte Cluster für die Datei reserviert und der zur Verfügung stehende Platz willkürlich und ohne direkten Einfluss des Anwenders mit Daten aus verschiedenen Bereichen des Systems aufgefüllt.

Der Slack Space wird dann nicht überschrieben, wenn der Anwender mit einer Löschsoftware nur gezielt bestimmte Dateien löscht. Wenn die Software den gesamten Datenträger löschen soll, wird in der Regel auch der Slack Space überschrieben, da die Software dann jeden Sektor (in der Regel 512 Bytes) überschreibt. Wenn man eine Datei mit Löschsoftware löscht (z.B. 400 Bytes), dann werden oft nur die 400 Bytes gelöscht, jedoch nicht Daten, mit denen der Sektor vorher einmal beschrieben war. In computerforensischen Untersuchungen spielt der Slack space eine große Rolle, da man mit ihm womöglich sensible Daten extrahieren kann.

Man empfiehlt als zuverlässigste Methode die physikalische Zerstörung mittels Reiswolf o.Ä.
Sind wir technisch also nicht in der Lage, einen Datenträger komplett unwiderruflich zu löschen, ohne ihn direkt zu zerstören? Wie sieht's aus, wenn ich ihn mit VeraCrypt zunächst komplett verschlüssele, danach mit Windows formatiere bzw. das Partitionssystem komplett lösche. Alles, was man danach dann wiederherstellen könnte, wäre ja dann ein Teil der ehemalisch verschlüsselten Platte, wofür man da ja auch erstmal die Verschlüsselung knacken müsste??

 

[Firefly2023]

Arbeitest du beim BND, oder warum ist dir das so wichtig. Nicht böse gemeint, aber du bist wie alles anderen Normalos völlig unwichtig. Aber wie es geschrieben wurde, nur schreddern ist sicher. Und die Verschlüsselung die WIndows und Co. anbieten, reicht in der Regel für normale Anwender.

 

[dvor]

Sind wir technisch also nicht in der Lage, einen Datenträger komplett unwiderruflich zu löschen, ohne ihn direkt zu zerstören?

Wenn man Nachrichtendienste fragt ist das auch heute noch die einzige Möglichkeit.

Ansonsten muss man zwischen SSD und HDD unterscheiden:

• Secure Erase für SSD.
• Überschreiben (Zufallszahlen gelten als besser als Nullen) für HDD. Der Linux Befehl "dd" bietet sich an.

 

[BFF]

Wie sieht's aus, wenn ich ihn mit VeraCrypt zunächst komplett verschlüssele, danach mit Windows formatiere bzw. das Partitionssystem komplett lösche.

Du weisst das Verschlüsseln auch seine Zeit braucht?

Man empfiehlt als zuverlässigste Methode die physikalische Zerstörung mittels Reiswolf o.Ä.

Korrekt.
Wenn Du z.B. 1000 alte HDD hast gehen die zum Schreddern und die verwendeten Materialien können durch Verwerter dem Kreislauf zugeführt werden.

Degaussen oder Thermische Zerstörung geht auch.

 

[Lotsenbruder]

Nun lese ich im Security-Insider einen Artikel (allerdings ist der von 2008 (!)), wonach es

Das gilt eigentlich nur für DOS und Windows. Mit einem Live-Linux kriegst Du die Platten schon sehr platt.

• Secure Erase für SSD.
• Überschreiben (Zufallszahlen gelten als besser als Nullen) für HDD. Der Linux dd Befehl bietet sich an.

 

[Rickmer]

Darf ich dir den Vorschlaghammer empfehlen?

Wie sieht's aus, wenn ich ihn mit VeraCrypt zunächst komplett verschlüssele, danach mit Windows formatiere bzw. das Partitionssystem komplett lösche. Alles, was man danach dann wiederherstellen könnte, wäre ja dann ein Teil der ehemalisch verschlüsselten Platte, wofür man da ja auch erstmal die Verschlüsselung knacken müsste??

Richtig. Selbst wenn die 'Daten' wiederhergestellt werden, dann nur in verschlüsselter Form.

 

[Marvolo]

Das gilt eigentlich nur für DOS und Windows. Mit einem Live-Linux kriegst Du die Platten schon sehr platt.

Das hier lese ich gerade auf einer anderen Seite:

$ sudo dd if=/dev/zero of=/dev/sdb&&sudo cmp /dev/zero /dev/sdb

Was ist das für ein Befehl und was tut er?

Arbeitest du beim BND

So ähnlich

 

[dvor]

Das hier lese ich gerade auf einer anderen Seite:

Ich würde /dev/random nehmen und nicht /dev/zero. Wichtiger ist obs passend zu setzen. Sonst dauert es ewig.

Was ist das für ein Befehl und was tut er?

Es sind 2 Befehle. Der zweite ist unwichtig. Suche nach "man dd".

 

[BFF]

Was ist das für ein Befehl und was tut er?

Steht das nicht da wo Du das gelesen hast? 🤔

 

[tollertyp]

Und Verschlüsselung ist eine Garantie, dass nicht wiederhergestellt werden kann? War mir neu.
Weil dann reicht es ja zu verschlüsseln und man müsste gar nicht löschen.

Die entscheidene Frage ist immer, ob der der Aufwand den Wert der Daten übersteigt.

Zur verwendeten Software kann ich nichts sagen: die nutze ich nicht und für meine Zwecke reicht ein einfaches Überschreiben, wie es auch mit diskpart (clean all) möglich ist durchaus aus.

 

[Rickmer]

Verschlüsselung ist eine Garantie, dass nicht wiederhergestellt werden kann?

Natürlich nicht.

Aber kein Wiederherstellungstool der Welt kann die Verschlüsselung auf magische Weise umgehen daher - selbst wenn Datenfragmente ergattert werden muss man diese erstmal
1) Als ein solches erkennen, also die Mapping Tabelle vom Datenträger haben, sonst wird's schwierig und
2) Die immernoch entschlüsseln

Weil dann reicht es ja zu verschlüsseln und man müsste gar nicht löschen.

Wenn du dich darauf verlassen willst, dass der nächste Besitzer die Verschlüsselung nicht entschlüsselt bekommt - klar, kann man so machen.

Außerhalb des 'top security' Segment dürfte das locker ausreichend Sicherheit bringen. Aber würde es darum gehen, ständ eine Löschung eh nicht zur Diskussion, da wäre nur vollständige Zerstörung zugelassen.

 

[Marvolo]

Und Verschlüsselung ist eine Garantie, dass nicht wiederhergestellt werden kann?

Zumindest VeraCrypt soll hier, da open-source, bei der Wahl eines ausreichend langen Passworts (mindestens 30-stellig) plus PIM eigentlich unmöglich sein.

Laut Encryption-Checker und der dortigen Eingabe eines 30-stelligen Passworts beträgt das Knacken bei der Verschlüsselungsmethode AES (Twofish(Serpent)) anscheinend mehrere Oktilliarden (!) Jahre.

Das wird vermutlich gerade noch so ausreichen...

Ergänzung (14. Juli 2024)

Steht das nicht da wo Du das gelesen hast? 🤔

Nein, die Frage des Threads war, was die beste Löschmethode wäre, die auch Computerforensik überstehen würde und eine Antwort davon war dieser Befehl.

Ich weiß allerdings nicht, wie und wo man den ausführt. Ist das ein CMD-Befehl innerhalb von Windows? Kenne mich mit Coding nicht so aus.

 

[tollertyp]

Ich hab noch dazu ergänzt: Also bei Verschlüsselung ist halt entscheidend, ob der Aufwand den Wert der Daten übersteigt. Ich behaupte, in den meisten Fällen ist das so.

Wenn der Wert der Daten hoch genug ist, dann fallen dem Angreifer vielleicht auch andere Wege ein.

Frage:
Warum machst du nicht einfach einen Thread auf mit deinem Anliegen "Ich möchte meine [hier den Datenträgertyp einsetzen] sicher löschen weil [hier den Grund angeben und auch, warum sich jemand die Mühe machen könnte, diese aufwändig zu rekonstruieren]. Die Daten auf dem Datenträger sind bereits mit VeraCrypt verschlüsselt.

Was würdet ihr vorschlagen?"

 

[tollertyp]

Ein Hinweis in diesem Thread ergab, dass man möglichst Diskpart --> Clean All nutzen sollte, möglichst nicht im gebooteten Windows, sondern auf Dos-Ebene mittels USB-Boot.

Das mit dem USB-Boot ist totaler Quatsch.

 

[dvor]

die Frage des Threads war, was die beste Löschmethode wäre, die auch Computerforensik überstehen würde

Die Antwort darauf ist einduetig: Physikalische Zerstörung. Punkt. Ende. Aus.

Edit:
Alles andere kann nur die zweitbeste Lösung sein.

 

[tollertyp]

Eben. Und ohne zu verstehen, warum die Daten so einen unfassbar hohen Wert zu haben scheinen, dass jeder Mensch der Welt bereit wäre jeden Aufwand aufzubringen, diese wiederherzustellen, dann bleibt nur die Zerstörung.
Aber vielleicht sind die Daten ja gar nicht so unschätzbar wertvoll...

 

[dvor]

Wenn es wirklich forensiksicher sein soll, dann spielen die Kosten für den zerstörten Datenträger keine Rolle. Also nicht lange überlegen.

 

[Marvolo]

PS: wenn selbst die von WhatsApp angelegten Chat-Dateien auf dem Handy (die sind mit crypt14 oder crypt15 aktuell verschlüsselt) mehrere Millionen Jahre brauchen würde, um sie mit den derzeitigen Brute-Force-Methoden zu knacken, dann wird das mit VeraCrypt AES (Twofish(Serpent)) plus einem lang-genugen Passwort sicherlich nahezu unmöglich sein.

Ich weiß nicht, was hinter Crypt bei WhatsApp steckt, aber vermutlich kein so ein mega aufwändiges Verschlüsselungsverfahren.

Ergänzung (14. Juli 2024)

Aber vielleicht sind die Daten ja gar nicht so unschätzbar wertvoll...

Wie wichtig und unwichtig die Daten sind, ist ja am Ende dann doch sehr subjektiv. Und wenn es eine Möglichkeit gibt, dieses Ziel in vergleichsbar geringem Aufwand zu erreichen (ohne die Platten ne ganze Woche 24/7 rattern zu lassen), dann ist das doch auch gar nicht so abwegig.

 

[dvor]

WhatsApp

Bei derartiger und ähnlicher Software solltest du davon ausgehen, dass jeder Nachrichtendienst weltweit die Inhalte sowieso kennt. Egal wie verschlüsselt die auf dem Endgerät gespeichert sind.

"Forensiksicher" und

WhatsApp

passen nicht in einen Satz.

 

[BFF]

Ist das ein CMD-Befehl innerhalb von Windows?

Nein, nicht wirklich.
Allerdings hätte Dich ein Suchen danach sehr schnell in Richtung Linux oder WSL geschubst.