Go to Top

Ein Kaninchenloch voll von Daten und in ihm ein Maulwurf

Maulwurf

Erinnern Sie sich an Alice im Wunderland? Für die meisten von uns ist die Welt der Daten ein Wunderland – uns interessiert nicht wie es funktioniert, wir wollen nur, dass es funktioniert. Aber wir zeigen Ihnen nun den ganzen Weg bis zum Kaninchenbau des Binärcodes, um zu zeigen was sich in seinen Tiefen versteckt. Sie müssen wachsam sein – ein Maulwurf könnte Ihnen bis dorthin folgen, wenn Sie nicht aufpassen. Wenn Sie einen Fehler machen, infiltriert er Ihre Festplatte.

Wer kann ein Maulwurf sein?

Datendiebe, IT-Ermittler, forensische Datenexperten – ein Sache die sie alle gemeinsam haben, ist, dass sie genau den gleichen Spuren folgen, wenn sie sich durch Ihre Festplatte arbeiten. (Später in diesem Kurs beschreiben wir diese Spuren noch genauer). All dies kann entweder gegen Sie oder auch zu Ihrem Vorteil verwendet werden (wenn Sie beispielsweise Ihre Daten versehentlich verlieren, können diese in der gleichen Weise abgerufen werden). Nur jemand der beabsichtigt, Sie zu schädigen, wird hinter Ihrem Rücken oder ohne Ihre Zustimmung agieren und so als Maulwurf bezeichnet. Hier einige Beispiel-Situationen, die Sie zu einem gesteigerten Interesse an gründlicher Datenlöschung animieren sollten:

  • Wenn Sie Ihre alte Hardware verkaufen oder verschenken wollen – einschließlich über einen Mittelsmann wie z.B. einen Refurbisher – nutzen nur 18 % aller von Kroll Ontrack befragten Unternehmen effektive Datenentfernungs-Methoden (80% benutzen nur das Disk-Format-Tool, das überhaupt nicht wirksam ist).
  • Bei der Verwaltung von Unternehmenshardware – jedes Mal, wenn eine Maschine an einen neuen Mitarbeiter weitergegeben, verkauft, zurückgegeben oder in den Ruhestand versetzt wird.
  • Sichere Datenentfernung sollte zudem eine natürliche Phase im Lebenszyklus von Daten sein, ein wichtiger Teil ihrer Wartung, der Lagerkosten spart und Datenlecks verhindert.

Datenlöschung

Natürlich ist es so, dass der Zugriff auf einen funktionsfähigen Computer Ihnen auch den Zugriff auf alle darauf enthaltenen gespeicherten Daten ermöglicht. Lassen Sie deshalb niemals Ihren Computer unbeaufsichtigt, ohne sich abzumelden. Selbst wenn Sie Ihren Computer abschalten (und die zwischengespeicherten Daten und Dateien, die vom Betriebssystem verwendet wurden, löschen) könnte es zu einem Informationsleck kommen, wenn man die Festplatte auseinander nimmt und sie gründlich analysiert. Dies könnte selbst dann passieren, wenn Sie sensible Daten zuvor gelöscht haben. Aber ein Schritt nach dem anderen.

Alle Dateien, die in Ihrem Computer, Smartphone und Tablet erstellt wurden — wie Textdateien, Tabellen, Fotos, Videos und Systemdateien (z.B. Protokolle von Ihren Browser-Sessions, Logins und Passwörtern) — existieren physikalisch innerhalb des Datenspeichergeräts. Diese Dateien sind selbstverständlich verschlüsselt, aber auch unabhängig vom Betriebssystem. Das bedeutet dass, die richtigen Werkzeuge und Knowhow vorausgesetzt, ohne Betriebssystem und Benutzer-Account auf diese zugegriffen werden kann.

Beachten Sie: Open-Source-Linux-Distributionen sind einige der beliebtesten Hacking Tools, die es überhaupt gibt. Sie machen eine Menge mehr Dinge möglich als selbst die anspruchsvollsten professionellen Tools für Windows.

Von wo können Ihre Daten gestohlen werden?

Ihre Festplatte enthält sicherlich Tonnen von Dateien. Von einigen wissen Sie, dass diese sensible oder wichtige Informationen enthalten. Selbstverständlich können Sie diese löschen, wann immer Sie es wünschen. Aber jede dieser Dateien wurde möglicherweise physisch mehrfach auf verschiedene Teile Ihrer Festplatte geschrieben.

Hier sind einige der Orte, die wertvolle Informationen einem bösartigen Hacker liefern könnte:

  1. Temporäre Dateien und Systemdateien, die Kopien der zuletzt verwendeten und aktualisierten Dateien enthalten. In der Regel werden diese Dateien gelöscht, wenn die Anwendung, mit der sie erstellt wurden, geschlossen wird, aber sie werden gespeichert, wenn ein Fehler auftritt. (Das geschieht deshalb, damit die Dateien bei einem späteren Relaunch der Applikation wieder abgerufen werden können.) Wenn diese Dateien nicht gelöscht werden, können sie potenziell zur Datenwiederherstellung verwendet werden — selbst wenn die Originaldatei zuvor gelöscht wurde.
  2. Virtueller Speicher —unterstützt den Arbeitsspeicher, wenn die Menge der laufenden Daten nicht mehr bewältigt werden kann. Wenn der virtuelle Speicher ins Spiel kommt, wird eine Auslagerungsdatei (namens sys) auf Ihrer Festplatte erstellt. (Die Festplatte ist eine Massenspeichereinheit, im Gegensatz zu den Mikroprozessoren des Mainframes, die schneller Daten verarbeiten, die jedoch nicht dauerhaft speichern können und viel weniger Speicherplatz haben.) Die pagefile.sys Datei enthält Daten aus dem Verarbeitungsspeicher, die langsamer verarbeitet werden können. Paging-Dateien können in jeder Partition geschrieben werden und sie können potenziell einige sehr interessante Informationen wie Logins und Passwörter enthalten.
  3. Ähnliche Arten von Daten können aus der Hiberfil.sys Datei wiederhergestellt werden, die erzeugt wird, wenn die Maschine „hibernates“ (überwintert) wenn also der Computer in den sogenannten „Schlafmodus“ geht. Diese Datei enthältein Imagedes Verarbeitungsspeichers auf dem Stand zum Zeitpunkt als derWinterschlaf
  4. Druck-Spooler-Dateien– für Verarbeitung der Dokumenten-Druckaufträge verwendet (wie beispielsweise Text-Editor-Dateien, Grafikdateien, Tabellen, ). Diese können auf Ihre Festplatte geschrieben und dazu verwendet werden, um zuvor gelöschte Dateien wiederherzustellen.

Viele Nutzer haben wenig bis gar keine Vorstellung davon, wie diese Daten zu entfernen sind, so dass sie das auch nie tun. Das ist ein schwerer und potenziell gefährlicher Fehler. Aber es kommt noch schlimmer – das Löschen dieser Dateien garantiert nicht wirklich Sicherheit. Warum? Das erfahren Sie im nächsten Artikel dieser Reihe. Bis dann…