Der Blancco Degausser DEG-15T Löschen von Daten sichtbar nachgewiesen
Inhaltsverzeichnis 1. Einführung 2. Motivation: Argumente für sichere Datenlöschung 3. Löschverfahren für magnetische Datenträger 4. Das Degaussen (Entmagnetisieren/Durchfluten) von magnetischen Datenträgern 5. Funktionsweise und Bedienung des Blancco Degausser DEG 15T 6. Zusammenfassung und Ansprechpartner 7. Glossar 8. Anhang 8.1. Quellen- und Literaturverzeichnis 8.2. Podukte & Lösungen von Blancco 8.3. Zertifikate & Standards von Blancco Software 3 4 6 11 15 18 20 22 22 24 25 2
1. Einführung Der Blancco Degausser DEG-15T wurde im Jahr 2008 auf Grundlage modernster Erkenntnisse und nach Experimenten mit aktuellen Datenträgern von Grund auf neu entwickelt. Er löscht zuverlässig Festplatten und Magnetbänder aller Aufzeichnungstechnologien. Ausgangspunkt für die Entwicklung waren Anforderungen von Kunden des Datenlöschspezialisten Blancco, die nach einer Lösung für defekte und nicht mehr ansprechbare Festplatten verlangten. Aufgrund der rasend schnellen Entwicklung, vor allem bei Festplatten, stoßen vorhandene Degausser immer öfter an Grenzen. Dies hat bei bestimmten Behörden zu einem Verbot des Degaussens von klassifizierten Datenträgern geführt. Durch seine einzigartige, softwaregesteuerte Modulation des Löschfeldes erreicht der Blancco DEG-15T hingegen auch bei Disks der modernsten Bauart mit Senkrechtaufzeichnung (PMR-Technik) eine hundertprozentige Löschsicherheit. Das äußerst kräftige Magnetfeld garantiert zudem ausreichend Reserven für die Zukunft. Der Blancco Degausser DEG-15T wurde Ende 2008 vom BSI geprüft und für den materiellen Geheimschutz zugelassen! Das befähigt ihn, Löschaufgaben bei alle Firmen und Behörden wahrzunehmen, die dem Geheimschutz unterliegen bzw. den Umgang mit Verschlusssachen pflegen. Seit Ende 2008 sind die ersten Degausser vom Typ DEG-15T erfolgreich im Einsatz. Dieses White Paper möchte in diesem Zusammenhang folgende Fragen beantworten: Welche Löschverfahren existieren für magnetische Datenträger? Wie wird im Bundesdatenschutzgesetz (BDSG) Datenlöschen definiert? Welche Verfahren und Standards gibt es zur Löschung von sensiblen Daten? Wie sicher ist das Schreddern von Datenträgern? Worauf sollte Sie bei der Auswahl von Löschsoftware (Tools) achten? Welche Arten von Degaussern (Löschgeräten) gibt es? Was beinhaltet die DIN 33858 genau und wie aktuell ist sie? Welche Mindestanforderungen müssen Degausser erfüllen? Technische Grundlagen und Bedienung des Blancco Degausser DEG-15T Wo kann und sollte ein Degausser eingesetzt werden? Worauf müssen Sie bei der Beauftragung Dritter achten? 3
2. Motivation: Argumente für sichere Datenlöschung Während dem Erhalt lebensnotwendiger Daten in Unternehmen große Bedeutung beigemessen wird, interessiert sich kaum jemand für Datenträger, die am Ende ihres Lebenszykluses stehen. Dieser Umstand hat in der Vergangenheit teilweise fatale Folgen gehabt, wie ein Blick in die Presse belegt: Bei der Brandenburger Polizei gerieten ungelöschte Festplatten in Umlauf/1/ Kreditkartenabrechnungen gerieten in die Presse /2/ Der Schriftverkehr einer Krankenkassen wurde veröffentlicht/3/ Detaillierte Aufstellung eines Nachlassregisters gerieten in falsche Hände/4/ Noch weit unangenehmer sind unentdeckte Datenlecks. Wirtschafts- und Konkurrenzspione haben Festplatten längst als nützliche Datenquellen entdeckt. Teilweise werden gebrauchte PCs nur erworben, um Geschäftsgeheimnisse, Passwörter und Kreditkarteninformationen bzw. Bankverbindungen auszuspähen. Diejenigen Datenträger, die Informationen enthalten, sollten unter keinen Umständen das Firmengelände ungelöscht verlassen! Dabei ist es gleichgültig, ob defekte Disks oder Leasing-PCs ausgetauscht werden. Die Praxis sieht gänzlich anders aus. Nach Untersuchungen in Deutschland und den USA /5/ sind 66% der ausgesonderten und weitergegebenen Platten nicht ordnungsgemäß gelöscht. Bei Kopierern, Navigationsgeräten und Handys, die ebenfalls Datenspeicher enthalten, liegt die Anzahl der ungelöscht weitergegebenen Geräte noch weit höher. Ursache dieser Pannen sind teilweise eklatante Wissenslücken der juristisch verantwortlichen Personen, trotz der geltenden Geschäftsführerhaftung. Dazu kommt veraltetes Wissen in den Fachabteilungen. Die Forderungen des Bundesdatenschutzgesetzes (BDSG) zum Schutz personenbezogener Daten von Mitarbeitern werden oft schlicht ignoriert. Der wohl einfachste aber trotzdem auch Abb. 1: Ein sinnloser und unsicherer Versuch der Datenlöschung häufigste Fehler ist das blinde Vertrauen auf Löschroutinen von Standardbetriebssystemen, die nicht einmal im Ansatz wirklich löschen, sondern nur Speicherbereiche für das zukünftige Beschreiben freigeben. Oft wird bei Altgräten der Weg der physischen Vernichtung des Datenträgers gewählt. Das Schreddern in entsprechenden mechanischen Zerkleinerungsanlagen ist auf den ersten Blick das schnellste und sicherste Verfahren. Diese Sicherheit ist allerdings trügerisch, da auch zerstörte Datenträger sehr wohl ausgelesen werden können, wenn geeignete Technik zur Verfügung steht. Die Praxis hat zudem gezeigt, dass Datenträger noch auf dem Weg zu Shredder verloren gehen, und anschließend auf Flohmärkten wiederauftauchen. 4
Ebenso trügerisch ist das blinde Vertrauen in staatliche Normen, Testate oder Prüfberichte. Das gilt vor allem, wenn die zugrundeliegenden Normen viele Jahre alt sind und nicht auf den jetzigen Stand der Technik adaptiert wurden. Hier ist zu berücksichtigen, dass sich nicht nur die Datenträger innerhalb des letzten Jahrzehntes dramatisch verändert haben, sondern auch die Technik des Datenrekonstruierens beachtliche Fortschritte gemacht hat. Kommerzielle Firmen bieten diesen Service inzwischen selbst für Privatkunden an, zu teilweise sehr moderaten Preisen. Staatliche Organisationen arbeiten mit deutlich höheren materiellen und personellen Ressourcen. Auch sind Passwortschutz und die Verschlüsselung von Daten kein Ersatz für das endgültige Löschen von Daten bei der Aussonderung oder Weitergabe von Datenträgern, auch wenn das teilweise suggeriert wird! Grundsätzlich sind Daten rekonstruierbar solange die Daten physikalisch auf einem Datenträger vorhanden sind, dass gilt auch, wenn dieser defekt ist oder vorsätzlich, etwa mit einem Hammer oder einer Bohrmaschine zerstört wurde. Datenlöschung kann nicht gleich gesetzt werden mit einer mehr oder weniger starken Zerstörung des Datenträgers! Datenrettungsunternehmen haben in der Vergangenheit verkohlte, durchbohrte oder plattgewalzte Festplatten teilweise oder vollständig wiederhergestellt. Eine generelle Lösung des Entsorgungsproblems für alle Datenträger und alle Problemsituationen ist derzeit nicht verfügbar. Vielmehr ist der Einzelfall zu unterscheiden. Optische Datenträger sind anders zu behandeln als magnetische oder rein chipbasierte Speicher wie USB-Sticks. 2.1. Sicherheitsrisiken bei der Aussonderung alter Speichertechnik Bei vielen Nutzern der modernen Rechnertechnik gibt es zwar gute Kenntnisse der jeweiligen Anwenderprogramme aber unzureichende Kenntnisse über die technischen Grundlagen und Zusammenhänge der Datenverarbeitung und der Datenspeicherung auf dem Rechner. Dies führt ungewollt zu einer gewissen Abhängigkeit der Anwender von der Technik und den jeweiligen Programmen. Diese Programme geben aber teilweise irreführenden Informationen an den Nutzer weiter. So stellen Betriebssysteme dem Anwender vor dem Löschen die Frage: Wollen sie wirklich endgültig löschen. Dies suggeriert einen quasi unumkehrbaren Vorgang. Genau das Gegenteil ist richtig. Es geschieht nichts weiter, als das der betreffende Datenbereich zum späteren Beschreiben freigegeben wird. Die Informationen bleiben so lange vorhanden bis dies geschieht und sind jederzeit über entsprechenden Anti-Löschtools wiederherstellbar. Die Aktivitäten und Anstrengungen staatlicher Stellern auf dem Gebiet des Datenschutzes und der Datensicherheit erscheinen zuweilen mehr als halbherzig. Einerseits liegt den Staatsorganen bei der Verbrechensbekämpfung und Aufklärung an einer gewissen Unkenntnis und Sorglosigkeit der Täter in Bezug auf die Datenspeicherung. Andererseits gibt es nicht erst seit dem Karlsruher Urteil von Februar 2008 eine grundrechtliche Schutzpflicht des Staates, welche auch die Gewährleistung der Vertraulichkeit und Integrität von persönlichen Daten in modernen Informationssystemen zum Inhalt hat. In Deutschland, wo selbst die Anzahl der Toilettenbecken pro Quadratmeter Gastraum per Gesetz geregelt ist, fehlt für das sichere Löschen von Daten außerhalb von Sicherheitsbehörden eine verbindliche gesetzliche Norm bzw. Klassifizierung. Ein weiteres Sicherheitsrisiko stellen schlechte bzw. unzureichende Produkte zur Datenlöschung dar. Nur wenige der am Markt verfügbaren Lösungen vernichten die Daten sicher, das heißt, der Löschvorgang ist: vollständig irreversibel nachweisbar Die Vergangenheit hat gezeigt, dass auch Testergebnisse von Fachzeitschriften nicht unkritisch übernommen werden sollten. So zeigten sich bei einem Testsieger einer Computerzeitschrift eklatante Sicherheitsmängel, da das Programm nicht in der Lage war, alle Bereiche der Platte zu löschen. Auch können viele Schreddergeräte oder ältere Degausser mit der Entwicklung der Speichertechnik und den Verfahren zur Wiederherstellbarkeit von Daten nicht mithalten. Das sichere Löschen von Daten ist nicht nur eine Datenschutzfrage, sondern gehört zur IT- und Informationssicherheit des Unternehmens. Es ist somit eine Frage der Unternehmensführung. Diese erfordert entsprechende finanzielle Mittel und natürlich auch das notwendige Wissen auf der jeweiligen Führungsebene, um die rechtlichen, technischen und organisatorischen Bedingungen für eine sichere Datenlöschung. Zum Thema Löschen von Daten existiert eine umfangreiche Literatur (siehe auch Literaturempfehlung /8/). Nicht alles davon hält heute einer kritischen Analyse stand. Eine der Ursachen ist der schnelle technologische Wandel auf dem Gebiet der Aufzeichnungstechnik. Die DIN 33858 Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern gilt heute bei Experten als völlig veraltet. 5
3. Löschverfahren für magnetische Datenträger 3.1. Überblick der auf dem Markt verfügbaren Verfahren Für das Löschen von Daten werden derzeit mehrere Verfahren angeboten. Diese Verfahren können nach verschiedenen Gesichtspunkten unterschieden werden. Verfahren, die eine Wiederverwendung des Datenträgers ermöglichen bzw. Verfahren, bei denen eine Wiederverwendung nicht möglich ist. Verfahren, die einzelne Dateien oder Partitionen löschen können oder aber Verfahren, die grundsätzlich den gesamten Datenträger löschen bzw. zerstören. Eine Unterteilung nach logischem Löschen oder physikalischem Löschen, wie sie manchmal in der Literatur zu finden ist, ist problematisch und abzulehnen. Eine physikalische Zerstörung des Datenträgers, wie beispielsweise beim Schreddern, führt bei genauerer Betrachtung nicht zum Löschen der Daten, der Ausleseprozess ist nur mit erhöhtem Aufwand verbunden. Umgekehrt ist das Überschreiben von Daten durchaus keine rein logische Operation, da die Beschichtung des Datenträgers durch das Überschreiben physikalisch verändert wird. Die wohl sinnvollste Unterscheidung besteht darin, sie in sichere, weniger sichere und absolut unsichere Löschverfahren zu unterscheiden. Diese Unterteilung geht jedoch quer durch alle Verfahren und Methoden. Keine Methode ist aus sich heraus als sicher einzustufen, es bedarf der eingehenden Analyse der Umsetzung anhand von aktuellen Prüfverfahren und exakten Kriterien. 3.2. Definition Datenlöschung Im 3 Absatz 4.5 des Bundesdatenschutzgesetzes (BDSG) wird Löschen als Unkenntlichmachen gespeicherter Daten definiert. Dieser Begriff Unkenntlichmachen besitzt jedoch kein eindeutiges technisches Äquivalent und ist auch rechtlich problematisch. Es wurde daher mehrfach versucht, Umschreibungen dafür zu finden. In der DIN 44300 (Begriffe in der Informationstechnik) wird Löschen als Daten auf einem Datenträger oder Daten in einem Speicher vernichten definiert. In einem Kommentar von Dr. Herbert Auernhammer zum Bundesdatenschutzgesetz /10/ heißt es, dass:... die Kenntnis der Daten für jedermann zu jeder Zeit tatsächlich unmöglich sein muss. Dazu ist anzumerken, dass sich der Stand der Technik rasant wandelt. So waren die vom Ministerium für Staatssicherheit der DDR geshredderten Papierakten zum Zeitpunkt des Vernichtungsbefehles tatsächlich nicht rekonstruierbar, die Zerstörung zum aktuellen Zeitpunkt also vollständig. Binnen 12 Jahren veränderte der technische Fortschritt diese Einschätzung vollkommen. Hochleistungsscanner, neue Computer und speziell entwickelte Software ermöglichten die Wiederherstellung des Aktenmaterials. Die scheinbar sicher vernichteten Informationen standen plötzlich wieder zur Verfügung. Dies zeigt, dass eine Wiederherstellung angeblich vernichteter Daten solange möglich ist, solange sie physikalisch als solche vorhanden sind. Insofern ist eine Begriffsbestimmung, die sich nur auf den notwendigen Aufwand zur Wiederherstellung der Daten bezieht, wie dies beispielsweise 6
in der DIN 32757 (Vernichten von Informationsträgern) oder der bereits genannten DIN 33858 geschieht, für sensible Informationen offensichtlich unzureichend. Bedenkt man die technischen Möglichkeiten der Datenwiederherstellung, kann bei der Datenträgervernichtung durch Schreddern nicht von einem Löschvorgang im Sinne des Gesetzes gesprochen werden, da nur der Datenträger zerstört wird, nicht aber die auf ihm, bzw. seinen Bruchstücken gespeicherten Informationen! 3.3. Beschreibung marktgängiger Verfahren zur Datenlöschung Im Folgenden sollen die verschiedenen Methoden, den gesetzlichen Löschauftrag zu erfüllen, kurz vorgestellt werden. Die derzeit am meisten angewendeten Verfahren sind: Überschreiben mit Hilfe einer speziellen Software Mechanische Zerstörung durch Schredder Entmagnetisierung bzw. die magnetische Durchflutung mit Hilfe von Degaussern Keine dieser Methoden kann für sich in Anspruch nehmen, unter allen Umständen zielführend zu sein. Als Datenlöschungsspezialist bietet Blancco daher zwei alternative Verfahren an. Die physikalische Zerstörung der magnetischen Informationen durch Softwaretools oder einen Degausser. Schreddern ist eine Dienstleistung, die sich bevorzugt im Portfolio von Entsorgungsunternehmen und Aktenvernichtern als zusätzlicher Service findet. A) Löschen von Daten durch Überschreiben mit einer speziellen Software (Tools) Derzeit gibt es ca. 25-30 kostenpflichtige, aber auch kostenfrei (Open Source) Softwarelösungen zum Löschen von Daten auf Festplatten. Die Mehrzahl davon bieten verschiedene Löschstandards für das Überschreiben der alten Daten an, wie z.b. VSITR, HMG-Infosec, DoD, NIS- POM, Gutmann. Diese Standards definieren zum einen die Anzahl der Überschreibvorgänge (1, 3, 7 oder 35-maliges Überschreiben) und zum anderen den Inhalt der zu schreibenden Information, also das jeweilige Bitmuster. Diese Information kann in einer einzelnen hexadezimalen Zahl, wie C1, oder eine bestimmte Ziffernfolge wie 11000001 bzw. dem dazugehörigen komplementären Muster 3E; 00111110 bestehen. Diese internationalen Löschstandards sagen allerdings nur bedingt etwas über den tatsächlichen Löschzustand der gesamten Platte aus. Von einer Löschung im Sinne des Gesetzes kann nur gesprochen werden, wenn ein Datenträger vollständig, fehlerfrei, nachweisbar und nicht rekonstruierbar gelöscht wurde. Dabei ist zu bedenken, dass einmaliges Überschrieben mit einer geeigneten Software weitaus sicherer ist, als 35maliges, unvollständiges Überschreiben mit einer ungeeigneten Software. Von besonderer Bedeutung sind hier jene Speicherbereiche von Festplatten, auf die marktübliche Betriebssysteme keinen Zugriff haben. Viele Softwarelösungen, insbesondere die auf Windows basierenden Tools, arbeiten nicht unabhängig vom BIOS und dem Betriebssystem. Diese Tools können daher nur die vom jeweiligen Betriebssystem verwalteten Dateien erkennen, bearbeiten und löschen. Sie haben keinen Zugriff auf die vom Hersteller der Festplatten mit Hilfe der Firmware verwalteten Speicherbereiche (z.b. die HPA - Host Protected Area*, das DCO - Device Configuration Overlay, oder auch auf Daten in defekten und remappten Sektoren). Diese Bereiche können aber durchaus Anwenderdaten enthalten! Frei verkäufliche Forensic- und Recoverytools lesen diese Bereiche aus und gestatten so die Rekonstruktion von Teilen der ursprünglichen Information. Wichtige Kriterien für die Beurteilung der Sicherheit einer Löschsoftware I. Vollständig: Das Tool muss alle Bereiche der Festplatte löschen, also auch die für das BIOS und das Betriebssystem versteckten Bereiche wie HPA und DCO. II. Fehlerfrei: Das Tool sollte so einfach zu bedienen sein, dass Bedienerfehler möglichst ausgeschlossen sind. Es sollte zudem den Löschprozess selbständig überprüfen (verifizieren), um ihn nötigenfalls zu wiederholen oder den Anwender zu warnen. III. Nachweisbar: Das Tool sollte den Löschprozess und das Ergebnis in einem Protokoll eindeutig mit Seriennummer der Festplatte, Anzahl der überschriebenen Sektoren, Datum und Überschreibmuster dokumentieren und dieses Löschdokument anhand einer Signatur bzw. Prüfsumme fälschungssicher abspeichern. IV. Nicht Wiederherstellbar: Das Tool sollte dafür mindestens einmal alle Bereiche der Festplatte Bit für Bit mit Zufallszahlen überschreiben oder aber dreimal mit einem sich abwechselnden Bitmuster. Für die ökonomische Beurteilung spielen noch weitere Kriterien, wie die Löschgeschwindigkeit, der Automatisierungsgrad der Prozessabläufe, der Preis pro Löschung (Lizenzpolitik) sowie der Support und der Service eine Rolle. Kommerzielle Anbieter sollten in der Lage sein, die Nutzer bei speziellen Problemen und besonderen Sachlagen zu beraten. 7
Die Aussage von Entsorgungs- und Remarketingunternehmen, hinsichtlich einer angeblich zertifizierten Datenvernichtung bzw. -löschung, beziehen sich oft nicht auf die eingesetzte Löschsoftware, sondern nur auf die jeweiligen Prozessabläufe und das Qualitätsmanagement des betreffenden Unternehmens. Eine Aussage über eine sichere und vor allem vollständige Löschung der Daten auf Altgeräten ist damit nicht verbunden. In Deutschland existiert bislang (Stand 2009) keine Norm bzw. Prüfanordnung des BSI zum Löschen von Datenträgern durch Softwaretools. Die bereits mehrfach erwähnte DIN 33858 Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern ist nicht auf dem aktuellen Stand der Technik und enthält keine Kriterien für das Löschen von Daten durch Überschreiben. Sie ist von der Sache her eine veraltete Norm aus dem Jahr 1993, die sich auf Löschgeräte für Magnetbänder bezieht. Solange sich an diesem Zustand nichts ändert, sind die Anwender von Löschprogrammen auf internationale Zertifikate angewiesen. Die bislang umfangreichsten Prüfverfahren gibt es in England (CESG), in den Niederlanden (AIVD), Frankreich (DCSSI) und von der Nato. Softwaretools mit diesen internationalen Zertifikaten können als sicher und zuverlässig eingeschätzt werden. Allerdings haben sich bislang nur wenige Anbieter dazu entschließen können, ihre Löschtools entsprechend zertifizieren zu lassen. Die wesentlichen Vorteile des Überschreibens als Löschverfahren Sehr kostengünstig, da eine reine Softwarelösung keine speziellen Apparate, geschultes Personal oder besondere Räumlichkeiten erfordert. Zudem sind die Datenträger nach dem Löschvorgang wiederverwendbar. Löschtools entsprechend damit den Anforderungen an Green-IT und den WEEE-Richtlinien zur Altgeräteverwertung. Eine sehr sichere Lösung. Die Daten können danach nicht wiederhergestellt werden. Softwaretools wurden bis zum Geheimhaltungsgrad vertraulich, geheim und sogar streng geheim zugelassen. (Der Blancco Data Cleaner 4.8 wurde 2007 von der NATO für den Geheimschutz NATO-Secret zugelassen) Löschtools lassen sich gezielt und flexibel einsetzen. Es können, je nach Software, einzelne Partitionen, ganze Festplatten und auch komplette Systeme automatisiert gelöscht werden. Bei einer guten Software ist ein konkreter und eindeutiger Einzelnachweis über die erfolgte Löschung pro Datenträger möglich. Dies entspricht den Anforderungen der ISO/IEC 27002 an die Dokumentationspflicht. Die Nachteile des Überschreibens als Löschverfahren Daten von defekten Datenträgern können aus offensichtlichen Gründen mit Softwarelösungen generell nicht gelöscht werden. Der Zeitaufwand für den Überschreibvorgang ist abhängig von der Festplattengröße und der Anzahl der Überschreibvorgänge. Er kann bei unprofessionellen Softwaretools mehrere Stunden pro GByte betragen. Bestimmte Tools sind prinzipiell nicht sicher oder kompliziert und damit fehleranfällig in der Handhabung. Für viele Tools, insbesondere Freeware, gibt es keinen qualifizierten technischen Support. B) Schreddern von Datenträgern als Verfahren zur Datenlöschung Lange Zeit galt das Schreddern von Datenträgern als günstigste und sicherste Lösung für die Akten- bzw. Datenträgervernichtung. Die Sicherheitsbedenken bezogen sich meist nur auf den Transportweg und die Partikelgröße des Schreddergutes. Die Zerstörung des Datenträgers durch Schreddern ist zwar augenscheinlich, bezieht sich aber nur auf das Gerät und nicht auf die Daten. Das zentrale Löschziel bleibt somit unberührt. Die gespeicherten Daten lassen sich je nach Zerstörungsgrad des Datenträgers mit mehr oder weniger großem technischen Aufwand wiederherstellen. Die entsprechenden Geräte sind inzwischen frei verkäuflich und teilweise im Besitz von entsprechend qualifizierten Personen. Der zeitliche und finanzielle Aufwand ist dank des technischen Fortschritts nicht so gewaltig, wie er oft suggeriert wird. Eine 2005 erstellte Untersuchung von Tom D. Milster an der Universität von Arizona an optischen Datenträgern vom Typ CD belegt die Problemlage. (Data Recovery from Compact Disk Fragmen /11/). Zunächst wurden von einem Shredder CDs in kleine Streifen zerhexelt. Anschließend untersuchte er die Bruchstücke auf noch auslesbare Datenblöcke, und wurde fündig! Dem Forscher gelang die Wiederherstellung von 13.230 Userdaten aus einem Schredderfragment von gerade einmal 5,7 x 0,11 mm Größe mit Hilfe eines Dynamic Spin Stand. Dies zeigt die heute bereits existierenden technischen Möglichkeiten der Datenwiederherstellung mit frei verfügbaren Geräten auf. Selbstverständlich ist eine solche Rekonstruktion nicht für jedermann möglich, zudem erfordert sie Zeit und Geld. Doch nicht nur die Universität von Arizona und das BKA in Deutschland verfügen über einen Dynamic Spin Stand. Der derzeit noch hohe Zeitaufwand für die Auswertung der Daten mit diesen Verfahren hängt im Wesentlichen von der verfügbaren Rechnerkapa- 8
zität ab. Mit jeder Rechnergeneration wird dieser Zeitaufwand geringer. Ähnliches gilt für das Schreddern von Festplatten. Aus diesem Grund mag es erlaubt sein, die vom BSI zugelassene maximale Partikelgröße von die 300 mm² nach dem schreddern von Festplatten /12/ kritisch zu hinterfragen. Sie berücksichtigt kaum die Möglichkeiten der modernen Recovery Technik und der in den letzten Jahren dramatisch gesteigerten Schreibdichte von Festplatten. (siehe Abbildung). In der Praxis bedeutet das, auf den ersten Blick unbedeutend scheinende Bruchstücke von Festplatten enthalten in Wirklichkeit Informationen von Hunderten Dokumentenseiten bzw. ganze Tragetaschen voller Akten. Abb. 2: Reste einer geshredderten Festplatte. Deutlich zu erkennen ist nicht nur ein Stück der Plattenoberfläche sondern auch der Strichcode für die eindeutige Kennzeichnung des Festplattentyps. Die Stücke sind etwas größer als von der DIN gefordert, wurden aber vom Entsorger auf einem nach Sicherheits- Stufe 3 zugelassenen Schredder zerkleinert. Die zugelassenen Bruchstücke von 60x4mm entsprechen umgerechnet ca. 0,37 Zoll²! Abb. 3: Zum Vergleich: Diese Mini- Festplatte von Toshiba hat eine Abmessung von 32x24 mm und erreicht eine Speicherkapazität von 10 GByte, was einer Speicherdichte von ca. 200 Gbit pro Quadratzoll entspricht. Auf die oben abgebildete Schredderfragmente passen also bequem mehrere 1.000 Seiten eines Word-Dokuments, mit Kundendaten, Forschungsergebnissen oder Finanzdaten. 10 GByte entsprechen ausgedruckt etwa einem Papierstapel in der Höhe von 250 Metern. Empfehlungen des NIST Gemäß den Empfehlungen des Center for Magnetic Recording Research (CMRR) der USA und der Empfehlung 800-88 des US-Amerikanischen National Institute for Science and Technology (NIST) liegt die komplette Zerstörung einer Festplattenoberfläche erst dann vor, wenn die resultierenden Partikel nicht mehr groß genug sind, um einen einzigen Speicherblock von 512 KB zu enthalten. Dann ist keine Möglichkeit der Datenwiederherstellung denkbar. Betrachtet man die aktuelle Disk-Generation, so entspricht dies einer Größe von ca. 0,2 mm². Dabei ist zu beachten, dass mit jeder neuen Generation die Speicherkapazität der Platten steigt und folglich die Größe eines Speicherblocks sinkt! Zusätzliche Risiken durch mangelhafte Logistik Ein weiteres Risiko ist der Transport und die Lagerung der Festplatten vor deren Zerstörung mit einem Schredder. Aufgrund unklarer Entsorgungsvarianten wurden und werden in vielen Unternehmen und öffentlichen Einrichtungen gebrauchte Festplatten zunächst an ungeeigneten Orten gelagert. Bei den Untersuchungen zum bereits erwähnten Datenskandal bei der Brandenburger Polizei wurde festgestellt, dass dieser nicht durch ein unzureichendes Löschverfahren verursacht wurde, sondern durch Personal, das Zugang zu den im Keller eingelagerten Gitterboxen voller alter Festplatten hatte. Auch die von der Zollverwaltung auf ihrer Internetseite angebotene Platten mit Kinderpor- 9
nografie waren nicht Zeugnis unzureichender Datenlöschung, sondern Folge von Mängeln in der Logistik. Wer Festplatten nicht wieder verwenden kann oder will, sollte sie möglichst im Unternehmen bzw. einer gesicherten Einrichtung selber degaussen und anschließend von einem Entsorgungsunternehmen zerkleinern lassen, bzw. direkt an eine Edelmetallhütte liefern. Nach erfolgreichem degaussen stellt der Transport und die finale Partikelgröße des Schreddergerätes kein Sicherheitsrisiko mehr dar. Ähnliche Bedenken zur DIN 32757 wurden auch vom Arbeitskreis Technische und organisatorische Fragen des Datenschutzes der Konferenz der Datenschutzbeauftragten des Bundes und der Länder geäußert. Vorteile des Schredderns von Datenträgern Preisgünstige Variante zur Entsorgung von Datenträgern die nicht wieder verwendet werden können Es können größere Mengen auch unterschiedlicher Datenträger (CD, DVD, Bänder, Festplatten) gleichzeitig und in relativ kurzer Zeit zerkleinert werden Bei fachgerechter Entsorgung ist eine Edelmetallrückgewinnung in Spezialhütten möglich Nachteile des Schredderns von Datenträgern Bei Festplatten mit sensiblen Daten keine sichere Lösung für eine irreversible Datenvernichtung Keine Wiederverwendung des Datenträgers möglich Kein revisionssicherer Einzelnachweis über die Vernichtung der Daten pro Datenträger möglich. Zusammenfassung Die Wiederherstellung der Daten von geschredderten Festplatten stellt heute weder ein theoretisches noch ein technisches Problem dar, sondern erfordert lediglich ein entsprechendes finanzielles Engagement. Es gibt bereits zum heutigen Zeitpunkt Technologien zum auslesen der magnetischen Aufzeichnung auf kleinsten Partikeln (BLS Blue-Laser-Scanning, MPA Magnetische Pattern Analysator, MFM Magnetic-Forcee-Microskopie) als auch Experten, die aus den wiederhergestellten Datenblöcken die logische Datenstruktur rekonstruieren können. Das Ergebnis sind ganze Dateien oder zumindest Dateifragmente der scheinbar zerstörten Platte. Schredderanlagen bieten also, unabhängig von der tatsächlichen Partikelgröße, die mit der Anlage erreicht werden, generell nur eine hinreichende Sicherheit. Bereits im Jahre 2004 hat das Landesamt für Verfassungsschutz in Baden-Württemberg auf die bestehenden Gefahren bei der Zerstörung durch Schredder hingewiesen. 10
4. Das Degaussen (Entmagnetisieren/Durchfluten) von magnetischen Datenträgern Es gibt bislang drei verschiedene Arten von magnetischen Löschgeräten (Degaussern), die von ca. 15-20 Herstellern auf dem internationalen Markt angeboten werden. Die Mehrzahl der Anbieter kommt aus den USA, Japan und England, einzelne Hersteller gibt es in Norwegen, Südkorea und Russland. Die einzelnen Modelle können nach folgenden grundlegenden Funktionsweisen unterschieden werden. 1. Löschgeräte,die mit einem Dauermagneten arbeiten und in denen der Datenträger mit einer entsprechenden Mechanik verdreht wird. 2. Löschgeräte mit Elektromagnet, die ein magnetisches Wechselfeld mit abnehmender Amplitude zur Abmagnetisierung erzeugen. 3. Löschgeräte mit Elektromagnet, die mit einem magnetischen Impulsfeld zur ein- oder mehrmaligen magnetischen Durchflutung des Datenträgers arbeiten. 4. Löschgeräte mit Elektromagnet, die sowohl ein Impuls- als auch ein Wechselfeld erzeugen. Bislang einziges Gerät dieser Kategorie ist der Blancco Degausser DEG-15T (näheres dazu im Kapitel 5). Mit dem DEG-15T betritt Blancco technologisches Neuland. Dieser Degausser kombiniert über eine speziell dafür entwickelte Software Impulsfeld und Wechselfeld. Der neuentwickelte Elektromagnet erzeugt ein Feld von circa 15.000 Gauss. Dieses wirkt während des Löschvorganges gleich mehrfach auf den Datenträger ein und wird zudem softwaregesteuert moduliert, um ein Maximum an Effizienz zu erzielen. Dazu wird das Löschgut über einen motorischen Schlitten durch das Gap des Magneten geführt. Diese Geometrie garantiert die volle Nutzung des Magnetfeldes im Degausser. Aufgrund der veränderten Beschichtungstechnologie sind die Koerzitivfeldstärken (siehe unten) aktueller Festplatten derart gestiegen, dass ein degaussen mit anderen Geometrien nicht mehr empfiehlt. Geräte, bei denen die zu löschenden Datenträger auf dem Polschuh des Elektromagneten aufliegen, sollten nur noch zum Löschen von älteren Bändern verwendet werden. Grundlage für das Löschen der Daten ist bei allen Geräten das Prinzip der weitgehenden Entmagnetisierung der ursprünglich vorhandenen magnetischen Aufzeichnung durch die Einwirkung eines externen Feldes. Ob die Zerstörung der magnetischen Bitmuster, welche die Daten auf der magnetischen Speicheroberfläche des Datenträgers repräsentieren, dabei vollständig und irreversibel ist, hängt im Wesentlichen von zwei Faktoren ab: Von den Materialeigenschaften des Speichermediums, insbesondere deren Koerzitivfeldstärke in der Maßeinheit Oersted bzw. A/m ( 1 Oe = 79,6 A/m). Von der Feldstärke des Löschgerätes, bzw. der magnetischen Flussdichte oder auch der magnetischen Induktion in Gauss bzw. Tesla (10.000 Gauss = 1 Tesla). Ein Blick auf die physikalischen Grundlagen der beiden Kenngrößen Oersted und Gauss zeigt deren Bedeutung für die für die Beurteilung der Wirksamkeit der Datenlöschung. 11
Alle magnetischen Datenträger, also Bänder, Festplatten und Disketten, nutzen die Fähigkeit bestimmter Werkstoffe, magnetische Felder quasi einzufrieren. Diese wird als Remanenz (von lateinisch remanere = zurückbleiben) bezeichnet. Sie ist, vereinfacht gesagt, das Fortdauern einer Wirkung nach dem Wegfall der Ursache, hier die zurückbleibende Magnetisierung (auch Remanenzflussdichte) in einem ferromagnetischen Werkstoff nach dem Abschalten des äußeren Magnetfeldes. Um diesen Zustand möglichst stabil zu erhalten, werden die zu speichernden Daten in Form von magnetischen Bitmustern (Polarisierung von kleinen Abschnitten auf der Oberfläche des Datenträgers in Nordsüd- oder Südnordrichtung) bis zur magnetischen Sättigung des jeweiligen Materials magnetisiert. Um diese Magnetisierung aufzuheben bzw. irreversibel zu beseitigen, ist wiederum ein entsprechend starkes umgekehrtes äußeres Magnetfeld notwendig. Ein Degausser hat die Aufgabe, ein solches Feld zu erzeugen. Die aus dem Physikunterricht bekannte Magnetisierungskurve (Hystereseschleife) fasst die Vorgänge zusammen. Startpunkt ist der unmagnetisierte Werkstoff (Mitte des Koordinatenkreuzes). Ein außen anliegendes Feld H (z.b. vom Schreibkopf der Festplatte) führt zu einer Magnetisierung, die von der Neukurve beschrieben wird. Wenn das Feld H aufhört einzuwirken, bleibt der Werkstoff aufgrund der Remanenz magnetisch. Erst ein umgekehrtes Feld ausreichender Stärke beendet diesen Zustand und entmagnetisiert ihn. Abb. 4: H Magnetische Feldstärke in Oersted Hc Koerzitivfeldstärke in Oersted B Magnetische Flussdichte (Induktion) in Gauss bzw. Tesla Br Remanenz (verbleibende Flussdichte) in Gauss bzw. Tesla S Sättigung (Sättigungspolarisation - höchste erreichbare Polarisation in einem Werkstoff) in? N Neukurve (Aufmagnetisierung bis zur Sättigung verbleibende Magnetisierung Entmagnetisierung Umkehrung der der Polarisation bis zur Sättigung) Die Koerzitivfeldstärke Hc (H für magn. Feldstärke und c für coerzivity) drückt aus, welche Feldstärke notwendig ist, um einen Werkstoff vollständig zu entmagnetisieren. Je höher also die Koerzitivfeldstärke eines Datenträgers ist, desto stabiler behält er seine ursprüngliche Magnetisierung (Remanenz), wenn er einem magnetischen Gegenfeld ausgesetzt wird. Von der Festplattenindustrie wurden in Zusammenarbeit mit den Herstellern von entsprechenden magnetischen Legierungen für die Oberflächenbeschichtung der Platten (Sputtertargets) massive Forschungsanstrengungen unternommen, um die Koerzitivfeldstärke der Festplatten und damit die Stabilität und Sicherheit der Datenaufzeichnung zu erhöhen. Gleichzeitig konnte dadurch, und das war der Hauptantrieb dieser Entwicklung, die Speicherkapazität der Festplatten immer weiter erhöht werden. Mit konkreten Angaben über die jeweilige Koerzitivfeldstärke einer Festplatte halten sich die Hersteller jedoch sehr bedeckt. Anhand von entsprechenden wissenschaftlichen Publikationen kann man diese Entwicklung jedoch nachvollziehen. Eine 120 MB Festplatte hatte demnach etwa 1.500 Oe, eine 10 GB Festplatte ca. 2.300 Oe, eine 50 GB-Platte ca. 3.000 Oe und eine 100 GB-Platte ca. 4.500 Oe. Für heutige Festplatten mit Senkrechtaufzeichung (PMR perpendicular magnetic recording) und 320 GB haben aktuelle Untersuchungen eine Koerzitivfeldstärke von 5.000 Oe ergeben. Für Magnetbänder geben viele Hersteller die Koerzitivfeldstärke direkt auf den jeweiligen Produktblättern an, diese liegen bei 1540 Oe für DLT III, 2250 Oe für Zip 250 MB bis 2650 Oe bei LTO Ultrium3 Bändern. 4.1. Sicheres Löschen durch Degaussen Als Faustregel für die zum Degaussen notwendigen Feldstärke gilt folgende Regel: Die Feldstärke sollte in der Einheit Gauss etwa doppelte so hoch sein, wie die Koerzitivfeldstärke des Magnetbandes oder der Festplatte, gemessen in Oersted. Eine Festplatte mit einer Koerzitivfeldstärke von 5.000 Oe sollte also mit einem Degausser gelöscht werden, der mindestens 10 000 Gaus zur Verfügung stellen kann. 12
Die Maßeinheiten Oersted und Gauss können nicht gleichgesetzten werden. Es gilt jedoch eine näherungsweise Gleichsetzung bei hohen Feldstärken von 10.000 Gauss und mehr. Dann nimmt die Permeabilität µ (das Produkt aus der Induktionskonstanten und der relativen Permeabilität des Mediums) näherungsweise den Wert µ = 1 an. Insofern kann der Wert der Koerzitivfeldstärke des Speichermediums gemessen in Oersted und der Wert der magnetischen Feldstärke des Löschgerätes gemessen in Gauss ohne großes Umrechnen miteinander verglichen werden. Es gilt näherungsweise: 10 4 Oe = 10 4 Gauss = 1 Tesla bei µr = 1 Diese Faustregel kann jedoch nur als grobe Orientierung dienen! Zwei Faktoren sind besonders zu berücksichtigen: die Geometrie zwischen Löschgut und Löschfeld der Aufbau der Platte. Die Feldstärke sollte beispielsweise bei Impulsfeld- Degaussern und herkömmlichen Festplatten mit Längsaufzeichnung (Longitudinal Recording), mindestens das 2,5-fache der Koerzitivfeldstärke betragen. Bei Festplatten mit Senkrechtaufzeichnung (PMR) genügt hingegen das 1,5-fache, da die in-plane Komponente bei einem Polschuhmagneten nur etwa halb so hoch ist wie die senkrechte Feldkomponente. Auch bewirken die im Festplattengehäuse auftretenden Abschirmungs- und Verwirbelungseffekte eine Abschwächung des Feldes um circa 20 Prozent. 4.2. Grenzen der Degausser-Typen Degaussern mit Dauermagneten werden durch die zur Verfügung stehenden Materialien für den Permanentmagneten (seltene Erden) sowie durch die enormen Kräfte, die von der Mechanik beim drehen des Datenträgers im Gerät überwunden werden müssen, physikalische Grenzen gesetzt. Auch ist die Löschwirkung auf der Innenseite der Platte bzw. bei den mittleren Scheiben einer Festplatte mit mehreren Scheiben deutlich geringer als an den oberen Scheiben. Bei Degaussern mit einem Wechselfeld sind durch die auftretende Wärmeentwicklung und die enorme Vibration, denen der Datenträger in diesem Magnetfeld ausgesetzt ist, ebenso Grenzen für die einsetzbare Feldstärke gesetzt. Eine Studie, die im Auftrage des BSI an der Uni Regensburg /14/ durchgeführt wurde, belegte bei Degaussern dieses Typs eine unzureichende Löschwirkung. Sie stellen daher für Festplatten ab Baujahr 2004/05 ein Sicherheitsrisiko dar und sollten ausgetauscht werden. 4.3. Der Nachweis sicheren Löschens bei Degaussern in den USA und Deutschland Für die genauere Beurteilung der Löschwirkung eines Degausser reicht es also nicht aus, die oben beschriebene Faustregel anzuwenden und die reine Feldstärke des Magneten zu betrachten. Es sind vielmehr aufwendige, messtechnische Untersuchungen am Löschgut nötig. Diese werden zum Beispiel in den USA nach den Kriterien der NSA (National Security Agency) unter anderem am CMRR (Center fort Magnetic Recording Research) durchgeführt. Die geprüften Degausser werden in 3 Klassen eingeteilt und regelmäßig in einer Liste veröffentlicht /15/. Die einzelnen Prüfberichte mit den konkreten Testergebnissen sind leider nicht zugänglich. 4.4. Aktuelle Technische Leitlinien des BSI für moderne Festplatten In Deutschland gibt es, nachdem der Versuch, die DIN 33858 im Jahr 2006 zu über-arbeiten, gescheitert ist, seit April 2008 eine aktuelle Prüfanordnung für das Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern mit Hilfe eines Löschgerätes (Degausser). Diese wurde in den Technischen Leitlinien des BSI (BSI-TL 03422) veröffentlicht /16/. Im Gegensatz zur alten DIN, bei der es nur um die Prüfung der Signalreduzierung (Löschdämpfung) der magnetischen Aufzeichnung unter bestimmte Grenzwerte in Dezibel (45 db und 90 db) ging, und die Löschgeräte dementsprechende in Klassen A1 bis B3 eingeteilt wurden, ist nunmehr eine Prüfung der Löschwirkung mit Hilfe eines Magnetkraftmikroskops (MFM-Gerät) vorgeschrieben. Diese Prüfmethode bietet weit mehr Sicherheit als alle bisherigen internationalen Prüfverfahren. Hiermit kann die vollständige Vernichtung der ursprünglichen Datenaufzeichnung sichtbar nachgewiesen werden. (Siehe Abb. 5 und Abb. 6 auf S. 14) Solche Aufnahmen bzw. Untersuchungen sind laut Richtlinie an mindestens sechs unterschiedlichen Stellen der Plattenoberfläche durchzuführen. Sie sind aber nur ein Teil der neuen Prüfanordnung des BSI. Weiter ist die tatsächlich verfügbare Feldstärke an der Plattenoberfläche des Löschgutes zu ermitteln, wobei die Koerzitivfeldstärke der jeweils untersuchten Festplatte exakt zu bestimmen ist, um die Löschleistung beurteilen zu können. Zusätzlich fordert die Richtlinie, dass der zu prüfende Degausser nicht unzulässig hohe elektromagnetische Felder abstrahlt. Hier gelten die arbeitsschutzrechtlichen Vorschriften des BGV-B11. Leider fehlt es bislang noch an einer geeigneten Prüfeinrichtung in Deutschland, die alle geforderten Untersuchungen einheitlich durchführen kann. Die Prüfung des Blancco Degausser DEG 15T musste daher auch an verschiedenen Einrichtungen durchgeführt werden. (Ergebnisse siehe Kapitel 5) 13
Abb. 5: Diese MFM- Aufnahmen stammen von einer ungelöschten 320 GByte Festplatte. Der Ausschnitt zeigt ein Quadrat von ca. 2,5 µm Kantenlänge. Deutlich sichtbar sind die einzelnen Bits in Form von magnetischen Domänen. Solange dieses Bitmuster noch in irgendeiner Form vorhanden ist, sind grundsätzlich Daten, und damit Informationen, rekonstruierbar. Abb. 6: Diese MFM-Aufnahme zeigt dieselbe Platte in gelöschtem Zustand. Es ist zwar noch eine Magnetisierung sichtbar, aber die Anordnung ist völlig chaotisch. Es kann kein einheitliches Bitmuster mehr abgeleitet werden. Die Daten (Informationen) sind irreversibel vernichtet. Die beiden abgebildeten Messungen mit einem Magnetkraftmikroskop erfolgten an der PTB (Physikalisch Technischen Bundesanstalt) in Braunschweig. 4.5. Wesentliche Vorteile des Degaussen von Datenträgern Eine sichere und durch entsprechende Prüfkriterien des BSI auch für vertraulichste Daten autorisierte Form der Datenvernichtung Sichere Datenlöschung ist auch auf defekten, durch Softwaretools nicht mehr ansprechbaren, Datenträgern möglich. Sehr schnelle Datenlöschung, der eigentliche Löschvorgang dauert nur wenige Minuten. Eine Wiederverwendung der Datenträger ist bei Disketten und Magnetbändern ohne Servospuren möglich, viele Festplattenhersteller akzeptieren bei defekten Festplatten im Garantie-Verfahren auch degausste Datenträger. Degausser arbeiten unabhängig von der verwendeten Schnittstelle (SATA, PATA, SCSI, FC) und unabhängig von der Computer-Infrastruktur im Unternehmen. Auch Platten, die von keinem Rechner mehr angesprochen werden können, sind sicher löschbar. 4.6. Nachteile des Degaussens von Datenträgern Eine Wiederverwendung der gelöschten Festplatten ist nicht möglich, da die magnetischen Steuerinformationen auf der Datenträgeroberfläche (Servospuren) durch das degaussen zerstört werden. Dies gilt auch für bestimmte Bandtypen. Bei geringen Mengen von zu löschenden Datenträgern ist das Degaussen eine vergleichsweise teure Lösung, brauchbare Geräte kosten zwischen 20.000,- und 60.000,- Degausser können nur bei magnetischen Datenträgern eingesetzt werden, für DVD, CD und Flashspeicher sind sie nicht geeignet. Festplatten mit Flashspeicher müssen vor dem degaussen zunächst mit einer geeigneten Löschsoftware gelöscht werden. Bei defekten Platten ist der Flashspeicher auszubauen und gesondert zu entsorgen. Dieser Aufwand lässt sich umgehen, indem in kritischen Bereichen ausschließlich Platten ohne Flashspeicher verwendet werden. 14
5. Funktionsweise und Bedienung des Blancco Degausser DEG 15T Der Blancco Degausser DEG-15T wurde 2008 in Deutschland mit der Maßgabe entwickelt, Behörden mit Sicherheitsaufgaben und Unternehmen mit gesteigertem Sicherheitsbedarf ein Gerät zur Verfügung zu stellen, das alle modernen magnetischen Datenträgern sicher und gesetzeskonform löscht. Ausgangspunkt für die Entwicklung waren entsprechende Studien an der Universität Regensburg. Diese hatten erhebliche Risiken bei bisherigen magnetischen Löschgeräten zu Tage gefördert. Eine genauere Untersuchung erbrachte die Erkenntnis, dass Löschgeräte mit herkömmlichen Elektromagneten bei neueren Festplatten mit Senkrechtaufzeichnung (PMR-Technik), an bautechnische und physikalische Grenzen stoßen. Ganz gleich, ob es sich um Degausser mit Permanentmagneten oder Elektromagneten handelt. Der Blancco Degausser DEG-15T ist daher eine völlige Neuentwicklung, die den Stand der Technik neu fixiert. In seine Konstruktion flossen umfangreiche Vorstudien über moderne Beschichtungen von Festplatten ein. Es folgten eine exakte Analyse der Probleme und anschießend praktische Tests mit unterschiedlichen Datenträgern. Das Ergebnis ist ein zukunftssicheres Gerät, das sich durch sein innovatives Löschprogramm auszeichnet und bei keinem anderen Gerät auf dem Weltmarkt zu finden ist. Die Notwendigkeit, Impulsfeld und modifiziertes magnetisches Wechselfeld zu kombinieren, ergab sich aus den praktischen Tests und den Vorstudien. Sie ist nachweislich sowohl für Disks mit klassischer Längsaufzeichnung als auch für moderne Platten mit Senkrechtaufzeichnung und für Magnetbänder hervorragend geeignet. Der äußerst kraftvolle Elektromagnet aus deutscher Fertigung liefert ein zukunftssicheres Magnetfeld von 1,5 Tesla (15 000 Gauss) Gleichzeitig wurden bei der Neuentwicklung die Unzulänglichkeiten bisheriger Löschgeräte, wie fehlendes Löschprotokoll, nicht automatisierte Löschabläufe und unzulängliche optische Anzeige des Löschergebnisses berücksichtigt und überwunden. Als Ergebnis der Entwicklung verfügt der Blancco Degausser DEG-15T über fünf Alleinstellungsmerkmale: Hybridtechnik aus Impuls- und modifiziertem Wechselfeld von 1,5 Tesla Weitgehend automatisierter Ablauf des Löschprozesses mit Prozessüberwachung Prüfung des Löschergebnisses und Dokumentation in einem manipulationssicheren Löschbericht Entwickelt und getestet für Festplatten mit Senkrechtaufzeichnung (PMR-Technik) am Beispiel einer 320 GB Festplatte mit einer Koerzitivfeldstärke von ca. 5.000 Oe, sowie für konventionelle Platten. Vom BSI nach der neuen Prüfanordnung für Löschgeräte (TL-03422 von 4/2008) getestet und bewertet und auch für den Einsatz im Bereich des materiellen Geheimschutz zugelassen. 15
5.1. Löschwirkung und Geometrie Die Löschwirkung des Gerätes wird beim DEG-15T zusätzlich durch die optimale Anordnung von Löschgut und Löschmagnet gesteigert. Der Datenträger wird motorisch direkt in den Magneten gefahren, wo das Magnetfeld maximal ist und er vollkommen vom Feld durchflutet wird. Die Löschwirkung ist ungleich größer, als beim bloßen Aufliegen der Disk auf der Oberfläche des Polschuhmagneten. Beim Blancco Degausser DEG-15T wird der Datenträger dazu in einen Trägerrahmen (Haltevorrichtung und Schlitten) gelegt, der die ordnungsgemäße Positionierung des Datenträgers im Löschfeld sicherstellt und gleichzeitig das Feld mehrfach und an unterschiedlichen Positionen auf den Datenträger einwirken läst. Insgesamt fährt der Schlitten jede Platte während des degaussens auf sieben verschiedene Positionen. Die von Blancco entwickelte Steuersoftware sorgt an jeder Position für eine optimale Felddurchflutung. Durch die Konstruktion des Magneten, aber insbesondere durch seine Platzierung im Degausser kann die magnetische Aufzeichnung der Daten auf der Speicheroberfläche des Datenträgers irreversibel vernichtet werden. 5.2. Bedienung des Degaussers und Arbeitsschutz Die einfache und sichere Bedienung des DEG-15T beschleunigt den Arbeitsablauf. Zunächst wird der zu löschende Datenträger in den Trägerrahmen des Gerätes eingelegt, anschließend die Sicherheitsklappe verschlossen und der Löschvorgang durch die Fernbedienung oder durch den roten Start-Schalter am Gerät gestartet. Die Frontklappe verriegelt anschließend automatisch. Der Löschvorgang startet 10 Sekunden nach Betätigung des Startschalters und läuft vollautomatisch ab. Es ist keine Interaktion der Bedienperson erforderlich. Als Indikator für das korrekt aufgebaute Magnetfeld und somit einer zuverlässigen Löschung, dient die Magnetfeldanzeige an der Frontseite des Gerätes. Größere Abweichungen der Leistung erkennt das Gerät selbstständig und gibt eine entsprechende Fehlermeldung auf dem Display aus. Anschließend erfolgt eine akustische Warnmeldung. Degaussen ist eine verhältnismäßig schnelle Löschmethode. Der gesamte Löschvorgang, inklusive Ein- und Ausfahrt des Datenträgers, beansprucht nur ca. 2,5 Minuten. Das Ende des Löschvorgangs wir durch das Aufleuchten der grünen Signalleuchte und auf dem Display angezeigt. Anschließend wird die Verriegelung der Frontklappe vom Gerät selbstständig aufgehoben. Der Datenträger kann entnommen werden. Weitere Hinweise zur Handhabung des Gerätes finden sich in der Bedienungsanleitung, die in deutscher und englischer Sprache vorliegt. Abb. 7: Übersicht der verschiedenen Aufzeichnungsmethoden Abb. 8: Blancco DEG-15T 16
Bei dem Zusatzmodul DokuKIT wird eine erfolgreiche Löschung auf dem Bildschirm angezeigt und der Löschbericht mit Seriennummer der Festplatte wird erstellt. Bei Aufleuchten der grünen Signallampe ist die Löschung abgeschlossen, und die Verriegelung der Frontklappe wird vom Gerät selbstständig aufgehoben. Der Datenträger kann entnommen werden. Hinweis: Bei der Option DokuKit entriegelt die Klappe erst nach korrektem Ausfüllen und Speichern des Löschberichts. Er stellt somit einen revisionssicheren Nachweis über die erfolgreiche Datenlöschung auf dem Speichermedium entsprechend ISO/IEC 27002 (alte Bezeichnung ISO 17799) aus dem Jahr 2005 dar. Der Anwender kann diese obligatorischen Angaben noch durch zusätzliche erweitern, etwa betriebliche Inventarnummer, Abteilungsnummer und den Namen des verantwortlichen Mitarbeitern. Der Blancco Degausser DEG-15T kann sensible Daten auf Festplatten und Magnetbändern sicher, vollständig und nachweisbar löschen. Das Gerät wurde vom BSI sowohl für Festplatten als auch für Magnetbänder getestet und entsprechend bewertet. Die Prüfberichte 03/2008 vom 16.12.2008 (GZ:225-450 0203 ) für Festplatten und 02/2009 vom 20.01.2009 für Magnetbänder können von berechtigten Personen beim BSI angefordert bzw. eingesehen werden. Der Bericht enthält Zusammenfassend folgende Aussage: Die Prüfergebnisse belegen in den Abschnitten 2.6 und 2.7, dass mit dem Löschgerät Blancco DEG-15T Festplatten mit einer Koerzitivfeldstärke bis 5000 Oe (400 ka/m) vollständig gelöscht werden können. Das gilt sowohl für Festplatten mit Senkrecht- als auch Longitudinalaufzeichnung. Das Löschgerät Blancco DEG-15T kann deshalb zum Löschen von magnetischen Datenträgern im Rahmen des materiellen Geheimschutzes, aber auch zum Löschen von Datenträgern mit sonstigen vertraulichen Daten eingesetzt werden. Das Löschgerät Blancco DEG-15T wird in die Produktliste BSI-TL 03400 aufgenommen. Abb. 9: Löschbericht DokuKIT Abb. 10: Prüfbericht des BSI zum Blancco DEG-15T 17
6. Zusammenfassung und Ansprechpartner Grundsätzlich gibt es nur drei sichere Verfahren, die zu einer physikalischen Vernichtung der magnetischen Aufzeichnung, also dem unkenntlich machen der Bit-Muster bei magnetischen Datenträgern führen: Das vollständige Überschreiben mit einer geeigneten (geprüften und ggf. auch zertifizierten) Software. Dies führt zu einer physikalischen Vernichtung der ursprünglichen Daten durch Umorientierung der Domänen auf dem Datenträger. Eine Widerherstellung der Daten ist beim heutigen Stand der Technik auch mit höchstem finanziellem und technischem Aufwand nicht möglich. Das Degaussen mit einem geeigneten und zugelassenen Degausser. Insbesondere ältere Degausser liefern ein unzulängliches Löschfeld und sind für moderne Platten ungeeignet! Nur wenn Degausser und Datenträger aufeinander abgestimmt sind, ist eine vollständige und endgültige physikalische Vernichtung aller Daten, einschließlich der Servoinformationen zur Steuerung der Platte sowie aller versteckten Sektoren, durch magnetische Durchflutung des gesamten Datenträgers garantiert. Eine Wiederherstellung der Daten ist nach einer solchen Löschung theoretisch und technisch unmöglich. Das Einschmelzen der Datenträger bei einer Temperatur, die für längere Zeit (mindestens 15 Minuten) über der Curietemperatur des jeweiligen Beschichtungswerkstoffes liegt, was zu einer physikalische Vernichtung sowohl der Daten als auch des Datenträgers und seiner Beschichtung führt. Eine Wiederherstellung der Daten ist auch für die Zukunft völlig ausgeschlossen. Da nur das Überschreiben und das Degaussen eine Vernichtung der Daten vor Ort ermöglicht, sind diese Verfahren grundsätzlich gegenüber anderen zu favorisieren. Wenn ein Überschreiben mit Software nicht möglich ist, sollte man diese, vorzugsweise vor Ort im Rechenzentrum, degaussen und anschließend entsorgen. Dies kann durch Zerlegen des Datenträgers in seine Bestandteile geschehen, oder durch schreddern an einem beliebigen Ort. Bei der Beauftragung von Dritten (Dienstleistern) mit der Datenlöschung sollte nicht nur auf die exakte Einhaltung von Verfahrensabläufen geachtet werden, sondern auch auf die jeweils eingesetzten Produkte bzw. Lösungen und deren Reporting-Funktionen. Der Auftraggeber hat laut BDSG die eingesetzten Verfahren und Abläufe für eine sichere Datenlöschung seiner Datenträger schriftlich vorzugeben. Im Falle einer juristischen Auseinandersetzung muss er die sichere Entsorgung nachweisen. Er sollte daher vom Dienstleister einen manipulationssichern Löschnachweis pro Datenträger einfordern. Viele Löschprotokolle, auch solche von bekannten Softwaretools, sind jedoch reine Textdateien ohne Signatur oder Prüfsumme und können somit beliebig manipuliert werden. Ihre Beweiskraft ist daher denkbar gering. 18
Sind noch Fragen offen geblieben? Bei der Blancco Central Europe GmbH finden Sie kompetente Ansprechpartner für Ihre individuellen Lösungen. Zögern Sie nicht, uns anzusprechen! Thomas Wirth Geschäftsführer Blancco Central Europe GmbH Alt-Württemberg-Allee 42 71638 Ludwigsburg Tel: 07141/95660-25 wirth@blancco-ce.de Christof Weber Geschäftsführer DATAfield Deutschland GmbH Radolfzeller Straße 29 78467 Konstanz Tel: 07531/361119-22 c.weber@datafield.de Hanno Fischer Leiter Büro Berlin / Öffentlicher Dienst Blancco Central Europe GmbH Ostendstraße 1 12459 Berlin Tel: 030/53015271; Funk: 0173/6047826 fischer@blancco-ce.de Tanja Kühnl Sales-Manager Blancco Central Europe GmbH Alt-Württemberg-Allee 42 71638 Ludwigsburg Tel: 07141/95660-24 kuehnl@blancco-ce.de 19
7. Glossar * Degausser (Degaussing) wird in neueren englischen Fachwörterbüchern mit Entmagnetisierung (auch Demagnetization) übersetzt. Die eigentliche Herleitung des Wortes stammt jedoch von De für Ent- sowie Gauss die ältere Maßeinheit für die magnetischen Flussdichte (auch Induktion) benannt nach dem deutschen Mathematiker und Physiker Carl-Friedrich Gauß (lat. Carolus Fridericus Gauss) der u.a. 1832 das erste Magnetometer erfand. Die Endung er bzw. ing steht für (engl.) Erasing Löschung bzw. Ausradierung. Der Begriff wird im allgemeinen Sprachgebrauch für Entmagnetisierungsgeräte oder auch für Löschgeräte für magnetische Datenträger verwendet. * Gutmann Der Löschstandart Gutmann (benannt nach Peter Gutmann, Forscher am Department of Computer Science der Universität Auckland) fordert ein 35-maliges Überschreiben der Daten mit verschiedenen Bitmustern. Dieser Standart wurde in einem Aufsatz von Gutmann aus dem Jahre 1996 Secure Deletion of Data from Magnetic and Solid-State Memory entwickelt. * Materieller Geheimschutz Alle Maßnahmen des staatlichen Geheimschutzes, die zur technischen Sicherung geschützter Bereiche dienen. Grundlage bilden die einzelnen Vorschriften der Verschlusssachenanweisung z.b. zur Aufbewahrung, zur Sicherung in Behältern und in Räumen ( 21 ff. VSA), zum Transport ( 36 ff. VSA), zur Vervielfältigung und zur Vernichtung von Verschlusssachen ( 29 ff. VSA). * Firmware (Systemsoftware der Platte) Die Firmware einer Festplatte ist die für den Start und Betrieb der Platte nötige Software, also gewissermaßen das Betriebssystem der Festplatte und nicht die des gesamten Rechners. Sie besteht aus zwei Teilen: Erstens den Microcode (Mikroprogrammsteuerwerk), der sich auf einem ROM-Chip der Elektronik (-Platine) oder auf einem externen ROM-Chip befindet (auch EEPROM). Zweitens eine spezielle Firmware-Zone auf den Magnet- Scheiben der Festplatte. Meist ist dieser Teil der Firmware nach Funktionsbereichen unterteilt. Über den Aufbau und Inhalt der Firmware-Module geben die Hersteller wenige Informationen heraus. Die grundlegende Funktionsweise besteht jedoch im Folgendem: Nachdem Einschalten des Geräts erledigt der erste Teil der Firmware die Initialisierung mit Diagnoseroutinen, Regelung der Motordrehzahl, und Positionierung der Köpfe. Dann wird von einem Loader der zweite Teil der Firmware (die Module) in den RAM der Elektronik geladen und dort ausgeführt. Die Firmware beansprucht und verwaltet eigene Dateien und Speicherbereiche auf der Festplatte, durch entsprechende Befehle (Programmierung) können weitere Funktionen auf der Platte eingerichtet werde (siehe auch HPA und DCO). Diese existieren dann unabhängig vom BIOS und dem jeweiligen Betriebssystem des Rechners. Abfragen die beispielsweise das BIOS beim Start des Rechners zum Typ und der Kapazität der Festplatte vornimmt, werden von der Firmware beantwortet. Eine 50 Gbyte Platte kann sich, unter Umständen aus Marketinggründen, als 45 Gbyte Platte ausgeben. Das BIOS des PCs kann diese Auskunft nicht hinterfragen. 20