Sysbus
ArtikelStorage

Licht auf der Schattenseite der IT

gg

Höchster Datenschutz

Die Zusammenarbeit mit Behörden führte dazu, dem Thema Datenschutz besondere Aufmerksamkeit zu widmen. Das fängt bei der Zugangsbeschränkung und Videoüberwachung der Labors an und geht bis zur unwiederbringlichen Vernichtung der Arbeitskopie der wiederhergestellten Daten, nach Abschluss einen Falls. Mit dem CBL Datenschredder entwickelte das Unternehmen ein eigenes, frei verfügbares Tool das Daten vernichtet. Es überschreibt die Daten mehrmals nach verschiedenen Standards wie 5220.22-M des US-Verteidigungsministeriums, den Richtlinien des BSI zum Geheimschutz von VS beim Einsatz von IT (VSITR) oder der DSX-Methode der kanadischen Bundespolizei. Das seit 2005 verfügbare schlanke und effektive Programm ist ein mittlerweile hunderttausendfach heruntergeladenes Standardtool für jeden, der eine Festplatte frei von privaten Daten weitergeben will.

Nicht nur die kanadische Mutter arbeitet mit Behörden zusammen, auch CBL Datenrettung in Kaiserlautern wird immer wieder beispielsweise von Ermittlungsbehörden beauftragt. Das ISO 9001:2015 zertifizierte Unternehmen wurde Anfang 2019 Partner von Fast Detect. Damit gibt Deutschlands führendes Sachverständigenbüro für IT-Forensik alle Aufgaben zur physischen Rekonstruktion von Datenträgern an CBL.

Forschung und Entwicklung

Obwohl CBL seit 2005 mit dem Data Storage Institute in Singapur zusammenarbeitet und 2008 ein eigenes Forschungs- und Entwicklungsprogramm aufgesetzt hat, ist auch die Grundlagenforschung in der Datenrettung meist durch konkrete Datenverlustfälle angestoßen. Ein wegweisender Fall im Bereich der physikalischen Schäden war der Fall „Kabeljau“ 1997: Ein Forschungsschiff der kanadischen Regierung war gesunken und mit ihm eine Festplatte. Sie enthielt die Ergebnisse einer gerade abgeschlossenen dreijährigen Studie zu den Kabeljau-Populationen vor Neufundland. Um die Daten von der geborgenen Festplatte retten zu können, fingen die Datenretter an, die Zusammensetzung der in Wasser gelösten Partikel zu erforschen. Bei der Verunreinigung durch Meerwasser setzen sich sowohl organische wie anorganische Stoffe auf der Datenträgeroberfläche ab, für die jeweils eigene Reinigungsmethoden entwickelt werden mussten. Was damals mit der Untersuchung von Meerwasser unter dem Elektronenmikroskop begann, führte zu einem besonderen Verständnis für die Verschiedenartigkeit von Wasserschäden. CBL hat in diesem Bereich eine Reihe von Methoden entwickelt und weltweit immer wieder erfolgreich eingesetzt, wie zum Beispiel bei Schäden durch die deutschen Flutkatastrophen im Juni 2013 und Juli 2017.


Nur die Festplatten, am besten durchnummeriert, benötigt CBL Datenrettung, um mit proprietären, völlig hardware- und betriebssystemunabhängigen Methoden die Daten zerstörter RAID-Systeme wiederherzustellen. Der Kunde kann bereits während der Datenrettung seinen RAID-Server mit neuen Datenträgern wiederaufbauen. (Bild: CBL Datenrettung)

Firmware-Manipulationen

Im Wesentlichen sind es zwei Abschnitte des Datenrettungsprozesses, in denen neue Technologien die ständige Weiterentwicklung der Methoden fordert: Der erste Abschnitt ist die Herstellung der Lesebereitschaft des Datenträgers. Nach der Anfertigung des forensischen Klons kommt der zweite: Die Rekonstruktion nutzbarer Daten. Bis man einen defekten Datenträger so weit hat, dass man Daten auslesen kann, sind je nach Schadensursache die unterschiedlichsten Manipulationen nötig, vom Austausch elektronischer Bauteile bis hin zu Reinraumjobs wie dem Wechsel von Schreib/Leseköpfen. Die mechanische Weiterentwicklung führt zu zusätzlichen Herausforderungen wie zum Beispiel Plattenstapel auf einen neuen Spindelmotor zu setzen, ohne die Position der Platten zueinander zu ändern. Doch eine Entwicklung des damaligen Herstellers Maxtor erschwerte die Reparatur von Festplatten durch den Tausch von Teilen: Seit 2003 enthält die Firmware Angaben zu den individuellen Eigenschaften der verbauten Einzelteile und Defekten auf der Datenträgeroberfläche. Dies ermöglicht es den Herstellern erfolgreich Teile zu verwenden, die nach den engeren Spezifikationen zuvor Ausschuss gewesen wären. Die Analyse von Firmware wurde unumgänglich, ihre Manipulation führte aber auch zu manchem Durchbruch. So konnte CBL 2008 allein durch Firmware-Maßnahmen die Erfolgsquote bei Festplatten mit Perpendicular Recording-Technologie von 64 auf 85 Prozent steigern.

Schwerpunkte verschieben sich

Hatten früher Festplatten den größten Anteil, haben 2017 erstmals Flash-Speicher in Form von SSDs, Speicherkarten und den internen Speichern von Smartphones die Festplatten und andere magnetische Speichermedien knapp als „Patienten“ überholt. Die ständig wachsende Bedeutung mobiler Geräte ist der größte Treiber bei den Datenverlusten. Bei den Festplatten stammen 60 bis 70 Prozent der Fälle aus Notebooks und externen Festplatten. Ein Drittel der Anfragen bezieht sich bei CBL mittlerweile auf Smartphones – das Unternehmen war der erste professionelle Datenretter, der Daten von den internen Speichern der Telefone rekonstruierte und dies 2010 zu einem offiziellen Angebot machte.

Datensalat

Unabhängig von den jeweiligen technologischen Herausforderungen in der ersten Phase der Datenrettung bleibt eine zweite Hürde zu nehmen. Hat man den defekten Datenträger dazu „überredet“ sich auslesen zu lassen, müssen aus den Rohdaten nutzbaren Dateien rekonstruiert werden. Nur wenn der Kunde seine vermissten Daten wiederverwenden kann, gilt eine Datenrettung als erfolgreich und nur dann stellt CBL eine Rechnung. Da man bei den Kanadiern und ihren Kollegen weltweit bei der logischen Rekonstruktion von Daten konsequent auf Ebene der Festplattensektoren mit hexadezimalen Daten arbeitet, konnte CBL Methoden entwickeln, um beispielsweise die Muster in den Datenfragmenten eines zerstörten RAID-Arrays zu entdecken und diese auch ohne die Informationen eines RAID-Controllers zusammenzusetzen. Auch hier kommen immer wieder Herausforderungen hinzu, zum Beispiel die Wear-Leveling-Algorithmen bei SSDs. Deren Controller verteilt die Schreibvorgänge so, dass alle Speicherzellen etwa gleich häufig beschrieben werden. Die Zuordnung der physischen Speicheradresse zur logischen Sektornummer wird ausschließlich in der SSD gespeichert und ist von außen nicht ersichtlich. In der Datenrettung hat man es daher mit auf der ganzen SSD verteilten Fragmenten zu tun. Die Rekonstruktion eines einzelnen Datenträgers wird dadurch ähnlich komplex, wie die eines ganzen RAID-Arrays.


In 25 Jahren haben die Datenretter bei CBL viel erlebt und konnten sich mit ihren Kunden über überraschende Erfolge freuen. Zum Beispiel 2013 Festplatten aus dem gekenterten Ruderboot eines Rekordversuchs zur Atlantiküberquerung. (Bild: CBL Datenrettung)

Immer individuell

Die Digitalisierung hat alle Lebensbereiche ergriffen und waren es vor 25 Jahren zunächst Geschäftsleute, die einen Datenretter aufsuchten, wenden sich heutzutage auch viele Privatanwender an Datenretter und solche, die sich dafür ausgeben. Was hier auf einer fallengelassenen externen Festplatte oder einem ins Klo gefallenen Smartphone verloren geht, hat vielleicht keinen wirtschaftlichen dafür aber einen hohen ideellen Wert. Auch seriöse Dienstleister haben angesichts der großen Zahl von scheinbar ähnlichen Fällen versucht, Datenrettung zu „industrialisieren“. Doch jede Standardisierung der Verfahren wurde mit einem Einbrechen der Erfolgsquoten bezahlt. Datenretter, die wie CBL weiterhin jeden Fall individuell analysieren, merken dies daran, dass sie häufiger Datenträger bekommen, an denen sich schon anderer Datenretter versucht haben. Erfolgsquoten von bis zu 90 Prozent sind auch heute in der Datenrettung nur zu erreichen, wenn man jeden Fall als einzigartig anerkennt und behandelt. Dies hat auch einen Aspekt, der über die technischen Probleme hinausgeht. In 25 Jahren Kundenbetreuung hat es sich bei CBL bewährt, den Kunden als erstes zu fragen: Was haben Sie verloren und warum ist das für Sie ein Problem? Erfolg einer Datenrettung misst sich für den Betroffenen nämlich nicht an Datenmengen, sondern daran, ob ein bestimmtes Problem gelöst werden kann. Daraus ergeben sich beispielsweise Prioritäten in der Rekonstruktion. Wenn eine Zulassungsarbeit abgegeben werden muss oder die Lohnbuchhaltung ansteht, sind das die Daten, nach denen zuerst gesucht werden muss. Jede Anwendersituation ist individuell, jede Schadensursache, jede Datenablagelogik, jede Softwaresituation, jede Hardwarekonstellation, jede Firmware. Nur eines haben alle Datenverlustfälle gemeinsam: Sie bedeuten für den Anwender zwar dunkle Stunden, aber die Hoffnung darauf, dass die verloren Daten von Tapes, RAIDs, virtuellen Servern, HDDs, SSDs, USB-Sticks, Memory-Cards oder Smartphones wieder ans Licht gebracht werden können, ist mehr als begründet.

Ähnliche Beiträge:

  1. Bessere Chancen, aber auch größerer Aufwand bei der Datenrettung
  2. Wut und Reue – Datenrettung extrem
  3. Ignoriert man bei Apple die Möglichkeit der Datenrettung?
  4. Trends der Datenrettung: Firmenkunden kommen fast ausschließlich über Fachhandel und Systemhäuser

Das könnte dir auch gefallen

Umdenken angesagt: Wie die Pandemie neue Datentrends befeuert

gg

NAS-Server von Ugreen

dcg

Die Cloud im Visier von Ransomware-Angreifern

dcg
Die mobile Version verlassen
%%footer%%