Datenträger (HDDs, SSDs, Flash Drives) so löschen, dass nichts mehr wiederherstellbar ist, egal mit welchen besten Tools

[wern001]

c) Tools wie SecureEraser, die die HDDs mit verschiedenen Runden Zahlen überschreiben, sind überflüssig, da die lange Windows-Formatierung dasselbe macht (?)
d) nach der Windows-Formatierung die leere Platte komplett ausreichend verschlüsseln und damit dann fortan verschlüsselt Daten drauf schreiben (?)
e) beim Weiterverkauf fällt Schritt d) dann entsprechend weg.

Wie funktioniert das Ganze nun für SSDs, USB-Sticks und MicroSD-Karten?

Die langsame Formatierung überschreibt die Platte mit nullen. Bei Disketten und MFM-Festplatten konnte man die benachbarten magnetpartikel im Labor auslesen und so die Daten weitestgehend wiederherstellen. Das lag an der Toleranz wie die Spuren geschrieben wurden. Deswegen das mehrfach überschreiben.

Bei Flashspeicher bringt das langsam Formatieren nicht sehr viel da die daten nicht in reihe auf die Chips geschrieben wird. Deswegen mit cipher /w das erstellt eine Datei mit nullen die immer größer wird und zwar so lange bis der Datenträger voll ist.

 

[Rickmer]

• Relative (sehr gute) Sicherheit gibt es durch:

a) Windows Formatierung (aber die lange, nicht Schnellformatierung)

Diesbezüglich gibt es eine Disput-Meldung:

Format löscht nichts. Das Gerücht geht einfach nicht tot.

Format unter windows prüft die Oberfläche (Die logische- physische gibts nicht mehr). Das dauert.

Persönlich kenne ich mich damit nicht im Detail aus.

b) am besten nach Neukauf einer HDD sofort ausreichend stark verschlüsseln und erst DANN Daten drauf schreiben, damit nie Plaintext-Daten auf die HDD kommen.

Das sollte auf jeden Fall funktionieren. Verschlüsselte Daten sind verschlüsselt, auch für ein Data Recovery Tool.

Wie funktioniert das Ganze nun für SSDs, USB-Sticks und MicroSD-Karten?

Bezüglich Verschlüsselung dasselbe.
Löschen -> Hersteller-Tools nutzen ('secure erase') oder davon ausgehen, dass du Daten nicht zu 100% sicher löschen können wirst.

Mit irgendwelcher Software vollschreibe kann die meisten Daten tilgen, aber jede SSD hat 'overprovisioning' und an die Zellen wird man so nicht ran kommen.
... was für 99,99% der User kein Sicherheitsproblem darstellt, weil da kommt auch ein 'Angreifer' auch nicht einfach mal so ran.

 

[tollertyp]

Die aktuellen Windows-Versionen überschreiben beim Formatieren mit 0en.
Dass die Formatierung schreibt, kann man einfach testen: Die Schreiblast der HDD geht entsprechend hoch.

Ich mache aber eh gleich in diskpart clean all, denn wenn ich die HDD leer haben will, dann will ich auch keine Partitionstabelle mehr.

Bin leider gerade im Hotel und kann erst am Mittwoch wieder einen entsprechenden Praxistest machen mit dem Formatieren. Kann ja gerne auch jemand anders testen, wenn er mal, und dann halt im Task Manager bzw. Resourcen Manager den Datenträger beobachten.

Edit: Scheinbar tut das Format nicht standardmäßig.
Okay, auf der Kommandozeile müsste man beim Formatieren /P:0 angeben, k.a. was die UI macht:

https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/format

 

[BFF]

diskpart clean all ist auch besser in dem Fall weil Du einen Datentraeger explizit auswaehlen kannst und nicht wie fuer den format eine bereits zugewiesene Partition brauchst. @tollertyp

Hmmm.

format n: /FS:NTFS /V:SSD2

Nach 2 Minuten Laufzeit ist die 500 Gbyte SATA SSD am USB3 Port erst bei 8%.
Das sieht grausam nach einem Nullen aus.

Wenn ich per Dateiexplorer zwischen exFAT und NTFS wechsele geht das bedeutend schneller.

 

[areiland]

Format unter windows prüft die Oberfläche (Die logische- physische gibts nicht mehr). Das dauert.

Hm, nö! Der Format Befehl nimmt unter Windows keine Oberflächenprüfung vor. Seit Windows Vista (2006 erschienen) werden bei einer kompletten Formatierung lediglich sämtliche Sektoren des betreffenden Volumes mit Null überschrieben und damit der komplette Inhalt dieses Volumes in den Orkus befördert.

Eine Oberflächenprüfung nimmt nur Chkdsk /r vor, der jeden Sektor mehrfach beschreibt und liest.

 

[Marvolo]

Also ich hab's jetzt so gemacht:

Rechte Maustaste, Formatieren, Häkchen weg bei Schnellformatierung. Hat dann gute 4h oder so gedauert. Danach wurde direkt mit VeraCrypt mit ausreichend langem PW die frisch formatierte HDD verschlüsselt und ist jetzt bereit zum Beladen mit Dateien.

DIE (zukünftigen) sollten dann hoffentlich nicht mehr auslesbar sein, außer von mir selbst (der ja das VeraCrypt-PW kennt). Bei den gelöschten Daten weiß ich's nicht, da muss ich jetzt halt mal auf die Lang-Formatierung mit knapp 4h hoffen...

Was mich einzig bei Veracrypt etwas stört, ist, dass es im Arbeitsplatz dann 2 Laufwerke für ein und dieselbe Platte gibt.

Einmal das VeraCrypt-Laufwerk, was verschlüsselt einen eigenen Laufwerksbuchstaben bekommt, dann einmal das physische Laufwerk, das beim Einstecken in Windows sofort mit der Aufforderung zum Formatieren des Datenträgers aufruft. Dieses Laufwerk kann so in Windows nicht verarbeitet werden (außer eben formatieren) und muss dann mittels eigenem Laufwerksbuchstaben in VeraCrypt unter Eingabe des PW erst eingebunden werden, ähnlich wie mit einem virtuellen Laufwerk.

Verstehe ich zwar nicht ganz, aber naja.. Dann habe ich nun halt für ein und dieselbe Hardware 2 Laufwerke, wobei eins davon mich immer wieder direkt zum Formatieren auffordert. Finde das etwas gefährlich, weil wenn man da mal ausversehen drauf kommt, dann formatiert es die verschlüsselte Platte und alles ist weg, samt Verschlüsselung...

 

[BFF]

Scheinbar tut das Format nicht standardmäßig.

So.
Das Format (per CMD) macht standardmaessig das "Nullen".
Erst mit dem Schalter /Q wird da ein Schnellformat draus.

Steht sogar da, haette gleich richtig lesen/erinnern sollen. Ist ja schliesslich schon eine Weile so (seit W7?). Jedenfalls hab ich da das Format in der CMD letztmalig benutzt. 😁

 

[wern001]

Nach 2 Minuten Laufzeit ist die 500 Gbyte SATA SSD am USB3 Port erst bei 8%.
Das sieht grausam nach einem Nullen aus.

Eine SSD mit Nullen Formatieren bringt nicht viel. Die Nullen werden nicht in Serie wie bei einer HDD geschrieben sondern wie der Controller es für richtig erhält.
Eine SSD mit Nullen zu überschreiben würde nur gehen wenn man z.B eine .txt erzeugt die nur Nullen enthält und so Groß wie die SSD ist

 

[Fusionator]

wobei eins davon mich immer wieder direkt zum Formatieren auffordert. Finde das etwas gefährlich, weil wenn man da mal ausversehen drauf kommt, dann formatiert es die verschlüsselte Platte

Das ist auch schlecht. Deshalb solltest du der verschlüsselten Partition umgehend den Laufwerksbuchstaben in der Datenträgerverwaltung entziehen.
Noch besser wäre es, wenn man die GPT Attribute über Diskpart ändern wurde, so daß die Partition nicht löschbar ist und auch keinen Laufwerksbuchtaben mehr zugewiesen bekommt.

 

[BFF]

Eine SSD mit Nullen Formatieren bringt nicht viel. Die Nullen werden nicht in Serie wie bei einer HDD geschrieben sondern wie der Controller es für richtig erhält.

Interessiert doch hier garnicht.

Es ging doch in Post #84 nur darum ob das format in der CMD per default überschreibt oder nicht.

 

[tollertyp]

Sorry, BFF, aber

sagt noch lange nicht, dass /P:0 dann das Standardverhalten ist.

Und das steht zu /Q drin:

Warum wird dort von "sector-by-sector scan for bad areas" und nicht von "zeroing the sectors" oder so gesprochen?

 

[BFF]

P:Was auch immer ist Standardverhalten. Halt nicht Quickformat.

Was konkret da wie oft geschrieben wird weiss ich nicht. Die Zeit die format fuer eine 500GB MX500 an USB3 braucht ist so lang nicht. Ich probier das mal aus wie lange format mit P:0 dauert und wie lange ohne.

 

[areiland]

Okay, auf der Kommandozeile müsste man beim Formatieren /P:0 angeben, k.a. was die UI macht:

Öhm, mit /P: legst Du nur fest, wie oft jeder Sektor mit Null überschrieben wird. Gibst Du /P: nicht an, dann wird genau einmal mit Null überschrieben. Willst Du mehr, musst Du das mit /P: entsprechend definieren. So ist das Standardverhalten einer kompletten Formatierung und zwar seit Vista (2006). Selbst das BSI bestätigt das: https://www.bsi.bund.de/DE/Themen/V...-loeschen/daten-endgueltig-loeschen_node.html.

 

[BFF]

Das BSI meint garantiert das Nutzen "Rechte Maustaste -> Formatieren -> Haken raus".

Der letzte Satz spricht immer noch Baende. Koennen die nicht klipperklar tippen bei welcher HDD Technologie 7-fach ueberschrieben werden soll? Bei den letzten 40 GB IDE damals war nach einmal Nullen auch nichts mehr zu holen. 😁

Öhm, mit /P: legst Du nur fest

Ja was wird konkret festgelegt?

Was ist der Default wenn extra darauf hingewiesen wird das mit P:0 nach der Nullung keine weiteren Ueberschreibvorgaenge gemacht werden? Typische MS UnklarSchreibe?

Anyway. Nix angeben und P:0 sind wohl das Gleiche. P:1 verdoppelt schon die Zeit.

 

[areiland]

Die schreiben doch klipp und klar, dass bei Datenträgern unter 80GB 7fach überschrieben werden sollte! Das BSI ist hier allerdings auch vierhundertprozentig unterwegs und richtet seine Empfehlungen an den geneigten IT Profi, der sicher gehen will.

Und was den Parameter /P: beim Formatbefehl angeht, was war daran denn so schwer zu verstehen, dass /P:0 der Standardeinstellung entspricht, die der Befehl beim formatieren ohne /q ohnehin anwendet? Nur wenn mehr als eine Überschreibung mit Null erwünscht ist, gibt man dann den Parameter /P: mit einer gewünschten Zahl an Überschreibungen an.

Ist völlig normal bei Cmd Kommandos, dass es Standardvorgaben gibt, die sich mit Parametern erweitern lassen.

 

[wern001]

Bei dem mehrfach überschreiben sind doch viele Quaksalber dabei die einfach nur irgendwas nachplappern weil es sich theoretisch gut an hört und sich dann IT-Profis nennen.
Hier nochmal ein Heisebericht aus dem Jahr 2009 mit einer 1 GB Festplatte

https://www.heise.de/news/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html

zum Thema sicher löschen einfach mal das lesen

https://www.heise.de/hintergrund/Si...nd-Handys-zuverlaessig-entfernen-3891831.html

vieles wurde hier schon bennannt. Tools die Festplatten Lowlevel Formatieren gibt es seit PATA nicht mehr und gehören in den Ordern Quaksalberei.

 

[h00bi]

„Eine rückstandsfrei gelöschte Festplatte in der Regel nicht gibt, “ sagt auch Diplom-Ingenieur Nicolas Ehrschwendner, Geschäftsführer der auf Datenrettung spezialisierten Wiener Firma „Attingo“, der die Wiederherstellung des kompromittierenden Word-Dokuments über die abgeworbenen Mitarbeiter der Konkurrenz gelang. Zwar gäbe es die Möglichkeit des Überschreibens der Festplatte, jedoch warnt Ehrschwendner: „Wann immer in einem physikalischen Bereich der Festplatte ein Defekt auftritt, wird er elektronisch abgetrennt, und die Daten werden in einen Ersatzbereich kopiert. Auf diese gesperrten Bereiche kann vom System nicht mehr zugegriffen werden. Es gibt derzeit keine Löschsoftware, die sie überschreiben kann.“

Was aber halt auch wieder Quacksalberei ist.
Ein defekter Sekor ist defekt. Es hat einen Grund, dass der aussortiert wird. Klar kann man prüfen was dort noch lesbar ist. Aber das betrifft einzelne Sektoren. Da passt teilweise nichtmal eine TXT Datei rein.
Dann halt man natürlich "Daten" recovered, aber halt nur Daten-Müll.
Das ist dir als Datenretter aber egal. Du behauptest ja nur "Daten" weil du Geld verdienen willst.

Also erstmal muss genau in diesem Sektor was brisantes stehen, was bei der schieren Anzahl an Sektoren schon brachial unwahrscheinlich ist.
Dann muss der brisante Content auch noch klein genug sein, um in diesen einen defekten Sektor zu passen.
Dann muss der defekte Sektor auch noch lesbar sein
und zum Schluss muss dein Datenträger interessant genug sein, dass sich irgendjemand diese Mühe macht um ein paar KB Datenmüll vielleicht irgendwas sinnvolles zu finden.

 

[kieleich]

Verstehe ich zwar nicht ganz, aber naja.. Dann habe ich nun halt für ein und dieselbe Hardware 2 Laufwerke, wobei eins davon mich immer wieder direkt zum Formatieren auffordert. Finde das etwas gefährlich, weil wenn man da mal ausversehen drauf kommt, dann formatiert es die verschlüsselte Platte und alles ist weg, samt Verschlüsselung...

Also ich kenne Vera Crypt nicht. Ich bin mit Linux, und LUKS, unterwegs. Windows lässt interne Laufwerke in Ruhe, bei externen USB Stick ist es jedoch pingeliger. Vielleicht wird das interne Laufwerk falsch erkannt wenn im BIOS auf Removable gesetzt.

Hat das Laufwerk denn keine (unverschlüsselte) Partitionstabelle? Man kann bei Windows Partitionstyp (Microsoft basic data), die Attribute 'hidden' und 'do not automount' setzen. Unter Linux z.B. mit gdisk, x (experts), a (set attributes).

Laufwerke die so deklariert sind lässt Windows dann in Ruhe und zeigt auch keine Formatieraufforderung mehr.

Zum Löschen an sich, die Löschmethode an sich ist weniger wichtig als die anschließende Prüfung, das das Laufwerk keine Daten mehr ausgibt. So wie eben h2testw erst mit Zufallsdaten überschreibt und danach prüft das diese vollständig gelesen werden können, erst damit ist sicher das alles geklappt hat

Man kann bei SSD davon ausgehen das freigegebene (discard TRIM) Daten tatsächlich zeitnah gelöscht werden da die SSD hiervon ja "lebt" sie braucht ja real gelöschte freie Blöcke um Performanz für weitere Schreibzugriffe zu haben.

Die größte Gefahr ist eigentlich das das Löschprogramm mist baut und eben doch nicht löscht oder überschreibt. Was gerettet werden konnte ist nie überschrieben worden

 

[tollertyp]

Also, die Beschreibung von MS da ist eher schlecht.

Habe gerade bei Windows 11 eine 50 GB Partition gemacht und mit h2testw vollgeschrieben. Anschließend formatiert (einfach nur "format e:") und dann mit einem Hex-Editor die Partition angeschaut. Der Inhalt der HDD war tatsächlich genullt.

 

[Marvolo]

Gerade eben bin ich auf DBAN gestoßen - ein Programm, "dessen Aufgabe einzig das unwiderrufliche Löschen von Festplatten oder anderen beschreibbaren Datenspeichern ist. Im Ergebnis können die Dateien selbst mit forensischen Spezialwerkzeugen nicht wiederhergestellt werden. Die Distribution ist auf das Nötigste beschränkt und weist eine vergleichsweise sehr geringe Größe auf. Dank der Tatsache, dass DBAN sowohl von Wechselmedien als auch per PXE gestartet werden kann, können sämtliche verfügbaren Datenträger (solange sie beschreibbar sind und deren Controllertyp unterstützt wird) gelöscht werden."

Hat da jemand Erfahrung mit? Macht das irgendwas besser als die "langsame" Windows-Formatierung und/oder Diskpart Clean All?