Daten sicher löschen

Um eine Festplatte komplett zu putzen, benötigt man ein System mit bestimmten Werkzeugen. Zu diesem Zwecke habe ich eine NetBSD/Live-CD erstellt, die auf einem minimalistischen NetBSD 3.1 basiert und alle notwendigen Werkzeuge mitbringt. Das ISO-Image findet sich unter [12].

Mit der CD kann man einen beliebigen PC booten und zum Schrubben der Platten einsetzen. Einzige Voraussetzung ist ein bootfähiges CDROM-Laufwerk und unterstützte IDE- bzw. SCSI-Controller, was aber meist der Fall ist. Das System ist sehr minimalistisch, es gibt keine Manpages, keine einkompilierten Netzwerkkarten und sonstige Hardware, die nicht benötigt wird. Im Kernel sind alle verfügbaren IDE- und SCSI-Controller aktiviert, sodass nahezu jedes Massenspeichergerät angesprochen werden kann.

Auf der CD finden sich neben der Allzweckwaffe dd(1) auch die oben vorgestellten Programme Wipe und Neb-Wipe sowie das Shell-Skript wipe-33.sh. Es verwendet Wipe, um 33-mal alle übergebenen Partitionen mit Zufallsdaten zu überschreiben. Die Anzahl der Durchläufe kann mit der Umgebungsvariable DURCHLAEUFE festgelegt werden; die zu überschreibenden Partitionen werden als Argument übergeben. Das Skript prüft alle Geräte auf Existenz und gibt ggf. eine Warnmeldung aus. Falls das Gerät existiert, wird der Schreibcache mit dkctl(8) deaktiviert und eine Schleife mit der entsprechenden Anzahl der Durchläufe gestartet. Nach jedem Durchlauf wird mit dkctl(8) der Schreibcache zum synchronisieren gezwungen. Dies ist leider notwendig, da einige IDE-Platten den Schreibcache nicht abschalten können. Mit diesem Behelf wird zumindest am Ende eines Durchlaufs dafür gesorgt, dass der Cache auf die Platte geschrieben wird. Das Skript gibt einige Statusmeldungen nach jedem Durchlauf aus, um den Fortschritt anzuzeigen. Mit export DURCHLAEUFE=7 && ./wipe-33.sh wd0d sd0d} werden die erste IDE- und die erste SCSI-Platte komplett in sieben Durchläufen geschrubbt.

Die CD lässt sich über das Passwort-lose Root-Konto benutzen. Es werden acht Terminals initialisiert, die über STRG+ALT+F[1-8] erreicht werden können. Die Terminals F4 bis F8 sind mit 50 statt 25 Textzeilen initialisiert, was allerdings auf einigen sehr alten Grafikkarten (z.B. ATI) zu Problemen führt. Das erste Terminal (STRG+ALT+F1), auf dem die Bootmeldungen erscheinen, ist die Konsole. Dort schlagen auch die Kernel-Meldungen an den Syslogd auf. Daher ist es ratsam, ein anderes Terminal zum Arbeiten zu verwenden.

Die einfachste Maßnahme, um die Datenvernichtung zu vereinfachen, ist die Datensparsamkeit. Daten, die nie gespeichert wurden, müssen auch nie gelöscht werden. Da nicht alle sensiblen Daten nicht gespeichert werden können, ist der Einsatz verschlüsselnder Dateisysteme geboten. Damit wird der direkte Zugriff auf die Daten verhindert. NetBSD bietet mit CGD und CFS zwei Varianten, um Dateisysteme zu verschlüsseln, mit CGD können gesamte Partitionen - auch /tmp und die Swap-Partition - verschlüsselt werden. Die Artikel [7] und [9] beschreiben die Funktionsweise verschlüsselnder Dateisysteme sowie den Einsatz von CGD und CFS unter NetBSD. Die Artikel CFS und Loop-AES beschreiben ähnliche Vorgehensweisen für Linux.

Auch wenn Daten verschlüsselt wurden, müssen sie sicher gelöscht werden. Dies gilt insbesondere für die Passwort-Hashes oder Schlüssel der Dateisysteme. Außerdem kann eine Festplatte oder ein Magnetband 30 Jahre halten - und niemand kann garantieren, dass die eingesetzten kryptographischen Verfahren dann noch sicher sind. Eine adäquate Vorgehensweise ist hier das mehrfache Überschreiben der Festplatte mit Zufallsdaten.

Wenn Sie große Datenmengen verwalten müssen, organisieren Sie die Datenstruktur entsprechend der Schutzstufen. Legen Sie eindeutige Kriterien zur Bestimmung der Schutzstufe fest und teilen Sie beispielsweise fünf Schutzstufen (0 - nicht schutzwürdig, 4 - Streng Geheim) ein. Legen Sie anschließend fest, wie die Schutzstufen zu löschen sind (0 - einmaliges Überschreiben Zufallsdaten; 4 - sicheres Löschen der Datenträger durch mehrfaches Überschreiben und anschließende physikalische Vernichtung der Datenträger durch Degaußer). Setzen Sie von vornherein ein Verschlüsselungsgebot für alle Daten ab Stufe 2 durch. Verschlüsseln Sie ebenfalls alle Sicherungs-, Arbeits- oder sonstigen Kopien der Daten. Verbieten Sie in Ihrer Sicherheitsrichtlinie, die geschützten Daten anderweitig abzulegen als erlaubt. Beachten Sie ebenfalls Medienbrüche (Ausdrucke). Tragen Sie Sorge, dass auch Ausdrucke von geschützten Dateien geschützt und entsprechend vernichtet werden. Ebenfalls hilfreich ist es, die Schutzstufe im Dateinamen zu hinterlegen, sodass eine Datei beispielsweise PersAkte-Müller.SS4.txt heißt. Ebenfalls hilfreich ist insbesondere in großen Organisationen eine Markierung der Datenträger, die ihre Schutzstufe wiedergibt. Eine rote »S4« mit Folienstift auf die Festplatte gemalt oder auf einem hitzebeständigen, resistenten Etikett dürfte ausreichen.

Überprüfen Sie alle Kopierer und Drucker auf Festplatten - größere Modelle für den Netzwerkeinsatz haben oft eingebaute Festplatten. Diese müssen natürlich ebenso sicher gelöscht werden wie die restlichen Datenträger.

Außerdem sollten müssen Sie Medienbrüche beachten, das heißt neben den Festplatten gegebenenfalls auch Ausdrucke vernichten. Hierfür gibt es Aktenvernichter, die idealerweise 1 mm² kleine Schnitze erzeugen.

Wenn Sie einen externen Dienstleister mit der Vernichtung Ihrer Datenträger betrauen, ist es empfehlenswert, die Datenträger vorher durch mehrfaches Überschreiben zu löschen. Es sind auch schon in Sicherheitsunternehmen Datenträger gestohlen worden.

Auch sensible Daten müssen gesichert werden. Dazu bedarf es unbedingt des Einsatzes von Verschlüsselung. Verschlüsseln Sie ausnahmslos jede Kopie der sensiblen Daten - auch jene, die Sie in Ihrer geschützten Umgebung aufbewahren.

Richten Sie gegebenenfalls verschiedene Sicherungskreise ein. Dies ist notwendig, wenn Sie Daten haben, deren Lagerfrist kürzer ist als Ihre gängige Archivierungsdauer. Der Gesetzgeber schreibt beispielsweise Aufbewahrungsfristen von maximal 2 Jahren für Einträge in Personalakten vor. Wenn Sie eine Personalakte mit Eintrag 5 Jahre archivieren, kann der betreffende Mitarbeiter Sie verklagen und wird problemlos gewinnen. Sorgen Sie daher dafür, das Daten mit Verfallsfrist entsprechend gesondert gesichert und aufbewahrt werden. Überwachen Sie die Verfallsdaten im Zuge Ihrer regelmäßigen Inventur der Sicherungsmedien! Markieren Sie sensible Medien oder Medien mit Verfallsdatum eindeutig. Dies kann mit bunten Etiketten, einem einfachen Folienschreiber oder über Softwarelabel (beispielsweise dump -L 'SS4 2009-01-31') geschehen.

Mein Handbuch zur Datensicherung [8] widmet sich diesem Thema ausführlich und beschreibt, wie verschiedene Programme (Bacula oder Amanda) konfiguriert werden müssen, um verschiedene Sicherungskreise einzurichten.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Home-Server mit Ubuntu 6.06 LTS 
• Arch Linux 0.8