Nachfolgend erfahren Sie etwas über die Besonderheiten der Microsoft Betriebssysteme, die im Zusammenhang mit dem Löschen eine Rolle spielen.
Windows zeichnet sich unter anderem dadurch aus, dass es eine ausgefeilte Rechteverwaltung und ein transaktionsorientiertes Dateisystem NTFS verwendet. Nur in Einzelfällen kommen die Dateisysteme FAT und xFAT auf internen Speichermedien zum Einsatz.
Sektoren und Cluster
Die Daten werden bei allen Systemen auf Datenträgern abgelegt, die bestimmte Strukturen aufweisen. Unter Microsoft Betriebssystemen sind diese Strukturen Sektoren und Cluster. In einem Sektor wird jeweils eine bestimmte Anzahl Bytes abgelegt und in einem Cluster wird eine bestimmte Anzahl an Sektoren zusammengefasst.
Inhalte von Dateien werden durch betriebssystemspezifische Funktionen in diesen Strukturen verwaltet. In einer Art Inhaltsverzeichnis merkt sich das System, wo welche Datei abgelegt ist.
Die Art und Weise, wie das Betriebssystem die Informationen ablegt und organisiert, ist für normale Anwendungen vollkommen unwichtig. Genau dieses Wissen ist jedoch notwendig, wenn es darum geht, Dateiinhalte so zu löschen, dass die Inhalte nicht mit einfachen Mitteln wieder hergestellt werden können.
Das Aufkommen nicht magnetischer Datenträger wirkt dieser Forderung unter Umständen erheblich entgegen. Ist es bei magnetisierbaren Datenträgern noch möglich, die zu löschenden Anteile ganz gezielt anzusteuern, ist dies bei neueren Datenträgern wie zum Beispiel SSD (Solid State Disk) nicht mehr ohne weiteres möglich. Die tatsächlichen Gegebenheiten (wo liegen die Daten physikalisch) werden oft hinter der technischen Realisierung verborgen.
Ein sicheres Löschen kann nicht mehr zu 100% garantiert werden! ArchiCrypt Shredder bringt mit den SSD Funktionen und der Sonderbehandlung von Daten, die von einer SSD gelöscht werden, Werkzeuge mit, mit denen man sensible Daten auch von Solid State Disks mit hoher Sicherheit löschen kann.
Dateien, die mit Mitteln des Betriebssystems gelöscht wurden, sind nicht wirklich gelöscht
Viele Anwender wissen nicht, dass Dateien, die Sie im Windows Explorer löschen, nicht wirklich gelöscht sind. Daten sind auch dann nicht gelöscht, wenn der Papierkorb geleert wird!
Man kann sich das wie folgt vorstellen:
Eine Bibliothek führt eine Kartei, mit Karteikarten für jedes vorhandene Buch. Das Löschen mit Betriebssystemmitteln entfernt lediglich die Karteikarte. Das Buch ist weiterhin vorhanden und kann, mit etwas Aufwand, weiterhin gefunden werden.
ArchiCrypt Shredder kümmert sich um das Buch!
Werden neue Daten auf den Datenträger geschrieben, erfolgt das nicht zwingend an der Stelle, an der die vermeintlich "gelöschte" Datei steht.
Zudem verhindert die intelligente Speicherverwaltung des Systems, das Daten sicher überschrieben werden können. Das Betriebssystem schreibt Daten nicht unmittelbar auf den Datenträger, sondern behält die Daten zunächst im Hauptspeicher.
Erst dann, wenn der Rechner im Leerlauf ist oder das System heruntergefahren wird, werden die Daten dann tatsächlich auf den physikalischen Datenträger geschrieben.
Dadurch entstehen Probleme, die sich unmittelbar auf unser Bestreben, Daten sicher zu löschen, auswirken:
1.Man öffnet die Datei, die man sicher löschen möchte.
2.Das System lädt die Datei in den Hauptspeicher.
3.Jetzt schreiben wir Daten in die Datei um den Inhalt zu zerstören.
4.Das System ändert nur den Inhalt im Hauptspeicher, noch nicht auf dem Datenträger.
5.Zum Schluss unserer Löschaktion teilen wir dem System mit, dass wir die Datei löschen möchten.
6.Das System sieht den Löschwunsch und verwirft alle Schreibaktionen, die ja bisher ausschließlich im Hauptspeicher stattfanden. Stattdessen wird einfach der Eintrag aus dem "Inhaltsverzeichnis" auf dem Datenträger entfernt. Auf dem Datenträger befinden sich folglich immer noch die ursprünglichen Daten, die wir ja eigentlich sicher überschreiben wollten.
ArchiCrypt Shredder schaltet diese Mechanismen ab und sorgt so dafür, dass die Daten tatsächlich physikalisch auf den Datenträger geschrieben werden. Die "Intelligenz" des Systems, die sonst sehr nützlich ist, wird deaktiviert um Daten sicher zu löschen. Dadurch benötigen Schreibvorgänge deutlich länger!
Das transaktionsorientierte Dateisystem von Windows NT speichert Informationen über Dateien in anderen Dateien. Man nennt diese Daten Metadaten. Dadurch wird man der umfangreichen Rechteverwaltung gerecht, die vorsieht, dass man für jede Datei Zugriffsrechte vergibt. Selbst der Bootsektor ($BOOT) ist unter diesem Dateisystem als Datei abgelegt. Sehen kann man diese Dateien unter normalen Umständen nicht.
Ein weiteres Konzept von NTFS ist es, die Datei als Ansammlung von Attributen (Eigenschaftswerten) zu sehen. Selbst der eigentliche Dateiinhalt ist ein Attribut. Attribute werden in der Master File Table-Struktur ($MFT Datei) abgelegt. Ist der Dateiinhalt nicht zu umfangreich (Richtwert bis 4 Kilobyte), wird auch der eigentliche Inhalt in dieser Struktur abgelegt. Ist der Dateiinhalt zu umfangreich, enthält die MFT-Struktur einen Verweis auf den ersten Cluster, in dem der Inhalt abgelegt ist.
Im Zusammenhang mit Sicherem Löschen ist es wichtig zu wissen, dass man zwar gezielt auf bestimmte Cluster des Datenträgers zugreifen kann, nicht aber auf Einträge in der MFT-Struktur. Für uns bedeutet das, dass wir diese kleinen, unmittelbar in der MFT selbst gespeicherten Dateien nicht direkt löschen können!
Eine weitere Besonderheit des NTFS Dateisystems ist die s.g. Transaktionsorientiertheit. Änderungen in Dateien werden ganz oder gar nicht übernommen.
Um dies zu bewerkstelligen, führt das Betriebssystem in der Datei $LogFile alle Dateioperationen auf. In dieser werden dabei auch Inhalte der betroffenen Datei mit aufgeführt. Im Falle eines notwendigen Rollbacks (Rücknahme einer Änderung) dienen diese Informationen dem Wiederherstellen des ursprünglichen Inhalts.
Windows 7 bis Windows 10
Darüber hinaus bieten Windows 7 bis 10 weitere Besonderheiten, die in einem weiteren Kapitel behandelt werden.
