Datenwiederherstellung auf Speichermedien ist durchaus möglich

http://www.icf-iuk.de (Foto: foto: pixabay.com)
Wenn bei Datenverlust die Speichermedien keine mechanischen Beschädigungen oder defekte Blöcke und Sektoren aufweisen, ist eine Datenwiederherstellung immer erfolgreich.

Computerforensiker verwenden für die Rekonstruktion der Daten nahezu die gleichen Software-Werkzeuge wie bei einer Datenrettung. Dabei handelt es sich um teils kommerziell erhältliche Programme, die die scheinbar gelöschten Daten wieder finden, aber auch um eigene Entwicklungen der Labore, die Dritten nicht zugänglich sind.


Gelöscht ist nicht gleich gelöscht

Wenn ein PC-Nutzer eine Datei löscht, so ist diese weiterhin vollständig auf der Festplatte vorhanden. Ein echter Löschvorgang würde viel zu lange dauern. Stattdessen wird lediglich der Eintrag in einem Inhaltsverzeichnis gelöscht, der dem Computer bislang signalisiert hat, wo auf der Festplatte eine bestimmte Datei zu finden ist. Dazu hat jedes Betriebssystem ein Dateisystem, das weitgehend unabhängig von der Art des Speichermediums – wie Festplatte oder Diskette – arbeitet. Neben verschiedenen Windows- und DOS Dateisystemen gibt es verschiedene Dateisysteme für den Macintosh und Linux- sowie eigene Dateisysteme für Großrechner, die beispielsweise in Rechenzentren zum Einsatz kommen.

Im Inneren des Datenträgers

Datenträger wie Festplatten, SSD, Flash Speichermedien oder CDs bestehen aus vielen kleinen Speicherzellen, den Blöcken oder Sektoren. Ein solcher Block ist die kleinste unteilbare Einheit des Speichermediums und hat eine Größe von 512 Byte. Wenn also zum Beispiel ein Betriebssystem wie Windows eine Datei auf eine Festplatte schreibt, so verteilt es diese als Informationshäppchen auf viele verschiedene Blöcke.

Eine Datei kann sich dabei über eine beliebige Zahl von Blöcken erstrecken. Damit das Betriebssystem weiß, welche Blöcke mit welcher Datei zusammenhängen, werden diese Verwaltungsinformationen ebenfalls in der Datei verzeichnet. Zu diesen Informationen gehören die Größe und der Typ der Datei (zum Beispiel Bild, Text- oder defekte Bilddatei), die Beziehungen zwischen den verwendeten Blöcken und den Zugriffsrechten. Die Information beinhaltet also: Welche Blöcke müssen in welcher Reihenfolge gelesen beziehungsweise beschrieben werden? und Wer darf die Datei öffnen oder gar ändern?

Löscht ein Anwender eine Datei, bleiben die einzelnen Blöcke weiter erhalten, sind aber zum Überschreiben freigegeben. Neue Dateien können also in einem Teil oder in allen der freigegebenen Blöcke abgelegt werden.

Doch selbst nach einem solchen Überschreiben können Computerforensiker noch Teile der alten Datei rekonstruieren: Ist die neue beispielsweise kleiner als die alte, so nimmt sie in den Blöcken weniger Raum ein, und die alte Datei „schimmert noch durch". Bei Textdateien können in diesem „Slack Space" durchaus noch verwertbare Informationen gefunden werden.

Um sie aufzuspüren, sind allerdings spezielle Software-Werkzeuge erforderlich, die die Blocksicht des Betriebssystems überlisten.

Erst ein mehrmaliges, vollständiges Überschreiben gilt als relativ sicher – vorausgesetzt man hat nicht einfach alles mit Nullen überschrieben. Und nur spezielle Löschsoftware erlaubt das wirklich zuverlässige Überschreiben der Informationen auf einem Datenträger.
1
Einem Mitglied gefällt das:
 auf anderen WebseitenSendenMelden
1 Kommentar
243
Silva Bär aus Merseburg | 10.01.2016 | 11:51   Melden
Schon dabei? Hier anmelden!
Schreiben Sie einen Kommentar zum Beitrag:
Spam und Eigenwerbung sind nicht gestattet.
Mehr dazu in unserem Verhaltenskodex.