Die alte Festplatte bei Ebay verkaufen? Kein Problem – wenn Sie die Daten darauf professionell gelöscht haben.

In immer mehr Lebensbereichen entwickeln sich Computer zu unentbehrlichen Hilfsmitteln. Das Zusammenwachsen von Informationstechnologie und Telekommunikation sorgt für ein immer höheres Aufkommen an Daten, die sich auf den heimischen Festplatten sammeln. Wer die Massenspeicher jedoch eines Tages ausrangiert oder sie an einen neuen Besitzer weiterreicht, steht zwangsläufig vor der Frage, wie er private Daten unwiederbringlich löscht. Mit Linux und einigen speziellen Programmen beugen Sie dabei bösen Überraschungen vor.

Grundsätzliches

Für das Verwalten der Daten auf der Festplatte zeichnet das Dateisystem verantwortlich. Zu speichernde Dateien liegen dabei in einer Partition auf dem Massenspeicher, wobei jede Partition erst nach dem Anlegen eines entsprechenden Dateisystems einsatzbereit ist.

Das Dateisystem besteht aus einer Tabelle, die unter anderem genaue Angaben darüber enthält, wo sich einzelne Datenbestände auf dem Massenspeicher befinden. Die Daten selbst können dabei auf mehrere Segmente aufgeteilt sein. Beim Zugriff auf eine Datei fragt das System zunächst die Tabelle mit den Zuordnungen ab, um den entsprechenden Speicherort ausfindig zu machen. Danach steuern die Leseköpfe die eigentliche Adresse an und lesen die Daten aus.

Beim Löschen einer Datei entfernt das Systeme aus Zeitgründen nicht etwa den eigentlichen Datenbestand, sondern nur den entsprechenden Eintrag in der Zuweisungstabelle. Physikalisch liegen die Daten also nach wie vor auf dem Massenspeicher.

Tools, die solche “gelöschten” Dateien wieder herstellen, machen sich diesen Umstand zunutze. Sie prüfen die einzelnen Sektoren des Massenspeichers und bieten dann die Möglichkeit, gefundene Daten über eine modifizierte Zuordnungstabelle wieder zu aktivieren. Erst, wenn die Sektoren auf der Platte überschrieben sind, gelten die Daten für den Laien als unwiederbringlich verloren.

Selbst das Formatieren einer Festplatte überschreibt nicht zwangsläufig vorhandene Datenbestände. Weniger ausgereifte Dateisysteme legen bei diesem Vorgang lediglich eine neue Zuweisungstabelle für die Dateien an, tasten jedoch die auf dem Datenträger noch vorhandenen alten Strukturen nicht an. Das erlaubt es, diese nach sogenannten Schnellformatierungen zu rekonstruieren.

Problemfall MBR

Der Master Boot Record (MBR), den es auf fast allen Festplatte mit installiertem Betriebssystem gibt, enthält eine Tabelle mit den Partitionen auf dem Speichermedium. Das Löschen einzelner Dateien oder Verzeichnisse hat keinen Einfluss auf diesen Bereich. Insbesondere bei wenig ausgereiften Betriebssystemen finden sich Schadprogramme wie Trojaner oder Rootkits, die sich im MBR festsetzen und von dort aus operieren.

Solche Schadsoftware bleibt auch nach dem Löschen der Inhalte einzelner Partitionen und selbst nach dem Formatieren der Festplatte aktiv. Um sie los zu werden, muss man die Festplatte komplett löschen und dabei auch den MBR neu anlegen. In diesem Falle besteht aber keine Möglichkeit mehr, die alte Partitionstabelle mit Tools wie Testdisk oder Gparted zu rekonstruieren.

Defekte Sektoren

Ein weiteres Hindernis beim sicheren Löschen von Festplatten stellen defekte Sektoren dar. Diese treten mehr oder weniger häufig auf. Der Controller der Festplatte verwaltet Sie dem Betriebssystem gegenüber transparent, sodass Sie den Ausfall eines Bereichs solange nicht bemerken, wie die Festplatte noch Ersatzsektoren zur Kompensation bereitstellen kann.

Im Bedarfsfall sperrt der Controller die physikalisch defekten Sektoren automatisch. Die in den defekten Sektoren vorhandenen Daten bleiben dabei jedoch erhalten. In manchen Fällen haben kommerziellen Anbieter die Möglichkeit, diese mit entsprechender Hardware nachträglich auszulesen.

Möchten Sie feststellen, ob eine Festplatte defekte Sektoren aufweist, so erledigen Sie dies mithilfe der Smartmon-Tools. Das entsprechende Paket smartmontools findet sich in den Repositories aller gängigen Distributionen, viele installieren es sogar bereits beim Einrichten des Basissystems auf der Festplatte mit.

Durch Eingabe des Befehls smartctl -a Gerät überprüfen Sie können die Integrität eines Datenträgers. Um die Anzahl der umadressierten Sektoren zu ermitteln, geben Sie als Administrator im Terminal folgenden Befehl ein:

# smartctl -a Gerät | grep Reallocated_Sector_Ct

In der entsprechenden Bildschirmausgabe sind vor allem die ganzzahligen Werte der zweiten und dritten Spalte von links von Bedeutung: Sie bilden den aktuellen Normalwert und den bislang schlechtesten Wert des Attributes ab. Bestehen zwischen diesen Werten eine erhebliche Differenz, so hat der Controller eine größere Zahl von defekten Sektoren bereits umadressiert. In einem solchen Fall empfiehlt sich unter Umständen sogar der Austausch der Festplatte, um dem Verlust von Daten vorzubeugen.

Sonderfall Flash

Während herkömmliche Festplatten die anfallenden Daten auf rotierenden Magnetplatten in Sektoren ablegen, arbeiten Flash-Speicher wie SSDs oder USB-Sticks ohne jegliche mechanische Bauteile. Bei ihnen lagern die Daten in nicht-flüchtigen Speicherzellen, die ein ins Speichermedium integrierter Controller verwaltet.

Da die Anzahl der möglichen Zyklen beim Schreiben in die Speicherzellen je nach Bauart begrenzt ist, greift der Controller zum so genannten Wear-Leveling: Er verteilt die Daten gleichmäßig, um eine übermäßige Belastung einzelner Zellen und damit erhöhten Verschleiß zu vermeiden. Ein “Löschen” entfernt lediglich den Verweis auf eine Datei aus einer Tabelle mit Dateizuweisungen, die Daten bleiben jedoch in den Speicherzellen erhalten.

Neue Daten landen in Bereichen, die der Controller intern als unbelegt klassifiziert. Dadurch sammeln sich im Laufe der Zeit immer mehr “gelöschte” Daten auf dem Flash-Speicher an. Erst wenn der Controller solche Speicherzellen als unbelegt einstuft, überschreiben neue Daten die alten.

Bei modernen Flash-Speichern geschieht dies durch die interne Garbage Collection des Controllers oder, vom Betriebssystem angestoßen, durch den TRIM-Befehl. SSD älteren Baujahrs besitzen oft keine interne Garbage Collection oder unterstützen das TRIM-Kommando nicht. Das ermöglicht es in aller Regel, die alten Daten zu rekonstruieren.

Es genügt also zum sicheren Löschen obsoleter Daten nicht, einzelne Partitionen einer SSD zu überschreiben. Um sicher zu sein, dass Ihre privaten Datenbestände nicht in falsche Hände geraten, gilt es den kompletten Flash-Speicher zu überschreiben.

Überschreiben

Linux bietet bereits von Haus aus auf der Kommandozeile mithilfe des Befehls dd Möglichkeiten, Partitionen oder komplette Datenträger nach Vorgabe mit Zahlen zu überschreiben. Dazu geben Sie lediglich im Terminal den folgenden Befehl ein:

# dd if=/dev/zero of=Gerät conv=noerror

Damit überschreiben Sie die entsprechende Gerätedatei mit Nullen als Daten. Das Tool eignet sich jedoch eigentlich nicht zum sicheren Löschen von Daten, fehlen ihm doch einige dazu wichtige Optionen. Findige Programmierer haben sich des Problems angenommen und Tools entwickelt, die teils mit grafischen Oberflächen den Löschvorgang vereinfachen und sich zusätzlich auf Dateisysteme außerhalb der Linux-Welt verstehen.

Shred

Das Kommandozeilentool Shred eignet sich dazu, sowohl einzelne Dateien als auch ganze Partitionen zu überschreiben und die darauf liegenden Daten damit unwiederbringlich zu löschen. Shred gehört zu den GNU Core Utilities und findet sich daher in so gut wie jeder Linux-Distribution.

Die Anwendung ist denkbar unkompliziert. Um eine einzelne Datei unwiederbringlich zu löschen, geben Sie im Terminal einfach den folgenden Befehl ein:

$ shred -u -v Datei

Shred überschreibt das angegebene File in drei Durchläufen mit zufällig generierten Ziffernfolgen und benennt die Datei anschließend zwölfmal um, bevor es sie endgültig löscht. Geben Sie beim Aufruf von Shred zusätzlich den Parameter -n ein, gefolgt von einer ganzen Zahl, dann modifizieren Sie damit die Anzahl der Durchläufe zum Überschreiben der Inhalte. Das Programm zeigt Ihnen während seiner Arbeit detaillierte Informationen zum Fortschritt beim Löschen an (Abbildung 1).

Abbildung 1: Shred gibt detailliert über den Fortschritt beim Löschen Auskunft.

Auf die gleiche Art und Weise löschen Sie mit Shred ganze Partitionen oder Laufwerke, wobei Sie hierbei anstelle des Dateinamens den Namen der Gerätedatei als Ziel angeben. Für das Löschen von Festplatten oder großen Partitionen müssen Sie einen erheblichen Zeitaufwand einplanen. Um Fehlern aufgrund mangelnder Schreibrechte vorzubeugen, sollten Sie beim Löschen größerer Datenbestände das Tool zusätzlich mit dem Parameter -f (“force”) aufrufen.

Für Shred gibt es unterschiedliche grafische Aufsätze, die allerdings durchgängig nicht den vollen Funktionsumfang des Kommandozeilenprogramms abbilden. Für Debian und dessen Derivate gibt es beispielsweise das Programm Shredder [1], für PCLinuxOS und ähnliche Systeme wie Mageia oder Mandriva findet sich das Tool Shred_GUI in den Repositories.

Plattenputzer

Mit dem Programm Plattenputzer existiert ein weiteres Werkzeug, um Daten sicher zu löschen. Die Projektseite [2] bietet für RPM-basierte Distributionen bereits fertige Pakete an, während für DEB-basierte Distributionen der Quellcode zum Download bereit steht. Nach der Installation starten Sie das Tool mit Root-Rechten. Die Software eignet sich nicht zum Löschen einzelner Dateien, sondern bereinigt ausschließlich ganze Partitionen oder Datenträger.

Die einfache grafische Oberfläche erleichtert es Anfängern, die Software zu bedienen: Im Startbildschirm listet das Programm alle gefundenen Partitionen auf. Sie wählen die gewünschte Partition aus oder fügen die zu Löschende hinzu, falls das Tool diese nicht identifiziert hat (Abbildung 2).

Abbildung 2: Über eine komfortable Oberfläche wählen Sie die zu löschende Partition in Plattenputzer aus.

Nach der Auswahl fragt die Software in einem weiteren Fenster nach der gewünschten Methode zum Löschen. Zur Auswahl stehen das einmalige Überschreiben der Partition mit der Ziffer Null sowie eine in den BSI-Grundschutz-Katalogen beschriebene aufwendigere Methode mit zweimaligem Überschreiben (siehe Kasten “Daten löschen mit Methode”). Nach dem Bestätigen der Auswahl arbeitet das Tool die Aufgabe ab und visualisiert dabei den Fortschritt über eine Balkengrafik.

Plattenputzer benötigt je nach Größe der zu löschenden Partition und der ausgewählten Methode längere Zeit, um alle Daten zu vernichten. Im Test fiel zudem auf, dass sich der Programmablauf mit teils vollständiger CPU-Auslastung verzögert, sobald die Software auf der Festplatte auf defekte Sektoren trifft.

Wipe

Mit Wipe steht auf der Kommandozeile ein weiteres kleines Tool bereit, das überflüssigen Daten unwiederbringlich entfernt. Sie erhalten das Programm online [3] als Quellcode. Nach dem Entpacken des Archivs wechseln Sie in das neu angelegte Dateiverzeichnis und kompilieren das Programm mit der Befehlsfolge ./configure && make install. Danach ist Wipe einsatzbereit.

Ähnlich wie Shred löscht Wipe Dateien durch Überschreiben der Inhalte mit Zufallsdaten, Nullen oder Bit-Mustern. Die Software eignet sich darüber hinaus, um ganze Verzeichnisbäume zu entfernen. Sie haben zusätzlich die Möglichkeit, bestimmte Dateien in einem Verzeichnis, die Sie behalten wollen, zu überspringen, sodass diese unangetastet bleiben.

Wie Shred und Plattenputzer bietet auch Wipe Optionen, über die Sie festlegen, wie oft die Software die einzelne Datei überschreibt und ob sie diese anschließend löscht. Die Ausgabe von Wipe im Terminal listet beim Einsatz des Parameters -v die Ergebnisse für jede einzelne Datei auf. So haben Sie die Möglichkeit, in Echtzeit sofort nachzuvollziehen, welche Aktionen das Tool gerade vornimmt (Abbildung 3).

Abbildung 3: Wipe gibt seinen Arbeitsfortschritt in Form eines Prozentwerts an.

Secure Remove

Secure Remove (oder kurz: SRM) bietet einen ähnlichen Funktionsumfang wie die anderen Löschprogramme und kommt ebenfalls im Terminal zum Einsatz. Im Gegensatz zu den bislang vorgestellten Tools bietet SRM jedoch keine Möglichkeit, die Anzahl der Durchläufe für das Überschreiben einer Datei zu definieren.

Stattdessen erlaubt die Software die Wahl zwischen den Standards des US-amerikanischen Verteidigungs- und des Energieministeriums, die jeweils in drei oder sieben Durchgängen vorhandene Daten eliminieren. Alternativ lassen sich die Daten in einem einzigen Durchlauf oder nach dem OpenBSD-Standard in drei Durchgängen entfernen. Auch ansonsten bietet SRM eine übersichtliche Anzahl an möglichen Optionen (Abbildung 4).

Abbildung 4: SRM bietet nur wenige Optionen und lässt sich daher einfach bedienen.

SRM findet sich bei einigen Distributionen bereits in den Repositories. Bei Debian, Ubuntu und Derivaten lagert es, neben einigen anderen nützlichen Tools zur Datensicherheit, im Paket secure-delete. Für Mageia, Mandriva, Fedora und OpenSuse sowie deren Varianten stehen fertige Pakete für 32- und 64-Bit-Architekturen in den jeweiligen Softwaresammlungen bereit. Den Quellcode für alle nicht unterstützten Distributionen finden Sie online [4].

Nach dem Download und dem Entpacken des Archivs installieren Sie das Programm durch den einfachen Dreisatz ./configure && make && make install im Terminal. Anschließend steht die leicht zu bedienende Software bereit. SRM eignet sich aufgrund seiner geringen Zahl an Parametern und der weltweit anerkannten Methoden zum Löschen sowie seiner schnellen Arbeitsweise sehr gut für das sichere Entfernen von kleineren bis mittleren Datenbeständen, wenn nur wenig Zeit zum Einarbeiten bereit steht.

DBAN

Bei großen Datenmengen lohnt sich dagegen der Einsatz von DBAN. Bei dieser Software handelt es sich nicht um ein einzelnes Programm oder eine Sammlung von Tools, sondern um eine komplette Linux-Distribution. Das System erhalten Sie als lediglich etwa 11 MByte großes ISO-Image zum Download [5].

Nachdem Sie daraus eine bootfähige CD gebrannt haben, starten Sie DBAN auf dem betreffenden Rechner. In Bezug auf die Hardware setzt das System eine 32-Bit-CPU und mindestens 32 MByte Arbeitsspeicher voraus. Es bootet in einen archaisch anmutenden Bildschirm im Textmodus, in dem Sie die einzelnen Optionen per Tastenkombination oder Eingabe am Bootprompt aufrufen.

Für besonders Eilige bietet DBAN über [F3] sogenannte Quick Commands an, die es in sich haben: Die Eingabe einer der vorgeschlagenen Löschmethoden am Bootprompt löscht ohne weitere Nachfrage oder Warnung unwiederbringlich sämtliche Daten auf allen im System befindlichen beschreibbaren Massenspeichern (Abbildung 5).

Abbildung 5: Der Quickmode in DBAN löscht ohne weiter Rückfrage radikal alle Daten auf allen beschreibbaren Datenträgern.

Der volle Umfang der Distribution erschließt sich erst nach dem regulären Start. DBAN bietet dann ein dreigeteiltes Fenster im Textmodus: Während Sie über den Kasten links oben die Methode zum Löschen sowie die Anzahl der Durchgänge konfigurieren, zeigt der rechts oben platzierte Kasten den Fortschritt der aktuellen Aktion an.

Der untere Bereich steht für die Auswahl der Laufwerke und sonstige Meldungen bereit: Hier wählen Sie eines der im System gefundenen Laufwerke oder eine Partition. DBAN besitzt eine ausgezeichnete Hardware-Erkennung und identifiziert in aller Regel die vorhandenen Laufwerke korrekt. Das System versteht sich dabei auf IDE-, SATA-, SCSI- und SAS-Laufwerke sowie USB-Speicher. Externe, über den USB-Bus angeschlossene Festplatten identifizierte die Software im Test ebenfalls korrekt.

Nach dem Löschen eines Datenträgers haben Sie in DBAN zusätzlich die Möglichkeit, das Löschen zu verifizieren, wobei das entweder einmalig geschieht oder – bei mehreren Durchläufen – nach jedem einzelnen Überschreiben. Für besonders vorsichtige Zeitgenossen empfiehlt sich das Einstellen mehrerer Durchgänge beim Löschen und entsprechend vieler Prüfläufe, um wirklich sicherzugehen, dass im Laufwerk vorhandene Cache-Speicher, die ihren zwischengespeicherten Inhalt erst nach einer gewissen Zeit auf der Festplatte ablegen, ebenfalls komplett gelöscht wurden (Abbildung 6).

Abbildung 6: DBAN zeigt oben rechts den Fortschritt beim Löschen an.

Je nach Größe des Laufwerks oder der Partition und eingestellter Anzahl der Löschdurchläufe sowie eventueller Durchgänge zum Verifizieren gilt es jedoch eine längere Zeitspanne für das komplette Löschen des Laufwerks einzuplanen. Entsprechende Lauf- und Restzeiten zeigt die Software dabei zur besseren Orientierung oben rechts im Bildschirm im Kasten Statistics an.

DBAN gestattet den Einsatz mehrerer anerkannter Löschmethoden. So wählen Sie im Hauptfenster durch Drücken von [M] beispielsweise den DoD-Standard oder die Gutmann-Spezifikation. Das gleiche Menü bietet aber auch ein sehr schnelles, einmaliges Überschreiben des Datenträgers an.

Fazit

Wie nicht anders zu erwarten, finden sich unter Linux gleich mehrere Lösungen, die das sichere Löschen von Dateien, Verzeichnissen, Partitionen und ganzen Datenträgern ermöglichen. Eher für den privaten Gebrauch eignen sich Programme wie Shred und Wipe, während SRM für semiprofessionelle Zwecke international anerkannte Spezifikationen unterstützt. Mit der speziell für das sichere Löschen von Massenspeichern konzipierten DBAN-Distribution haben Sie zudem ein außerordentlich flexibles und ausgereiftes Tool zur Hand, das in jedem Szenario glänzt.