Dateien löschen ist schwieriger, als man glaubt. Denn wer Dateien auf der Festplatte nur in den Papierkorb schiebt oder durch einfaches Löschen entfernen will, wiegt sich in trügerischer Sicherheit. Scheinbar "gelöschte" Dateien werden bei Windows-Systemen nämlich nicht wirklich entfernt. Wir verraten, wie du deine Dateien wirklich sicher löschen kannst.

Papierkorb heißt nicht gleich gelöscht

Stelle dir die Festplatte deines Computers vor wie ein Buch mit vielen Kapiteln und einem Inhaltsverzeichnis am Anfang. Wenn du nun Dateien in den Papierkorb schiebst oder einfach löschst, wird nur der Eintrag im Inhaltsverzeichnis gelöscht. Sprich: Der Eintrag im Inhaltsverzeichnis ist durchgestrichen, doch das Kapitel ist weiter vorhanden. So lange nämlich, bis es von einem weiteren Kapitel (also Dateien) überschrieben wird.

Zurück in der Computer-Technik bedeutet das, dass Windows den Speicherplatz gelöschter Dateien einfach nur als freigegeben markiert. Das Betriebssystem wird also darüber informiert, dass auf diesem Platz wieder neue Dateien gespeichert werden können. Wirklich verschwunden sind die alten Dateien aber nicht.

Hinzu kommt dabei, dass moderne Systeme in der Regel gleich mehrere Protokolle von aktuellen Speichervorgängen anfertigen, um im Falle eines Stromausfalls oder Systemfehlers die Dateien möglichst schnell wieder herstellen zu können. In der Praxis bedeutet auch das: Gelöscht ist nicht gleich gelöscht.

Gelöschte Dateien wiederherstellen

Spezielle Software und technische Verfahren machen es damit möglich, auch gelöschte Dateien der Festplatte wieder sichtbar zu machen. Experten können selbst die Inhalte einer formatierten oder defekten Festplatte rekonstruieren. Das ist gut, wenn man selbst auf diese wichtigen Dateien angewiesen ist, und sie somit noch retten kann. Die Kehrseite der Medaille ist sicherlich, dass sich so auch Unbefugte Zugriff auf sensible Inhalte (Korrespondenz, Bankverbindungen, Geschäftsbriefe o.ä.) verschaffen können.

 

Ein unrühmliches Beispiel dafür ist der Fall eines Websurfers, der bei einem Internetauktionshaus gebrauchte, aber vermeintlich gelöschte Festplatten ersteigerte. Es gelang ihm, die Dateien wiederherzustellen. Wie sich herausstellte, kam der Ersteigerer so in den Besitz höchst sensibler Polizeidateien - die Ermittler hatten schlichtweg auf die einfache Löschung ihrer Festplatten vertraut.

Und das ist kein Einzelfall. Software, um gelöschte Dateien wieder herzustellen, gibt es im Weltnetz sogar kostenlos. Damit ist es praktisch für Jedermann möglich, an Dateien zu kommen, die er eigentlich nicht zu Gesicht bekommen sollte.

Bevor wir zum sicheren Löschen von Dateien auf deiner Festplatte kommen, solltest du wissen was Dateien überhaupt sind und wie sie auf deiner Festplatte gespeichert werden.

Wie werden Daten gespeichert

Bevor man Daten richtig löschen kann, muss man zunächst wissen, wo sich diese Daten überhaupt befinden. Denn oft ist es nicht nur die eigentliche Datei, die gelöscht werden muss.

Beim Kopieren, Verschieben und Komprimieren von Dateien bleibt die ursprüngliche Version der Datei erhalten. Mit Vorsicht sind auch sog. Versionierungssysteme zu genießen, bei denen explizit alte Versionen von Dateien aufgehoben werden, um sie später z.B. für Vergleiche und Wiederherstellungen zu nutzen. Insbesondere ist an dieser Stelle auf das Windows 2003 Server-Betriebssystem mit seinen neuen Schattenkopien hinzuweisen. Diese sollen den Benutzer vor dem versehentlichen Ändern oder Löschen von Dateien auf dem Server bewahren. Deshalb werden Änderungen an den Dateien in speziellen Speicherbereichen der Festplatte aufbewahrt, um so alte Versionen wiederherstellen zu können. Insofern ist auch hier das Löschen dieser (Schatten-)Dateien notwendig, um die Daten vollständig zu vernichten.

Aber auch Windows selbst erstellt Kopien der Daten: temporäre Dateien beinhalten Zwischenversionen der eigentlichen Datei und in der Auslagerungsdatei werden Speicherbereiche, die nicht mehr in den Hauptspeicher passen, aufbewahrt, um später wieder in den Hauptspeicher geladen zu werden. Temporäre Dateien werden zwar in der Regel beim Beenden des zugehörigen Programms gelöscht, aber auch hier ist das Löschen wieder nur das Freigeben des Speicherplatzes auf der Festplatte, so dass sich auch diese Daten rekonstruieren lassen.

Versteckte Datenspeicher

Daten verbergen sich aber auch noch an einigen anderen Stellen, auf die man als Benutzer normalerweise keinen Zugriff hat. Eines dieser Probleme stellen die sog. Cluster Tips dar. Jede Festplatte wird beim Formatieren in Zuordnungseinheiten (Blöcke) unterteilt. Sie sind die kleinste Einheit einer Festplatte, der von dem Betriebssystem verwendet werden kann. Bei den heutigen Größen von Festplatten im zweistelligen Terabyte-Bereich sind Zuordnungseinheiten mit einer Größe von 64 KByte keine Seltenheit mehr. Für das Betriebssystem bedeutet dies, dass selbst wenn eine Datei nur 12 KByte groß ist, sie dennoch einen Speicherbereich von 64 KByte belegt. Der Rest dieses Blocks bleibt ungenutzt.

Normalerweise ist dies nicht problematisch, aber Speicherbereiche werden ja auch wieder frei gegeben und mit anderen Daten überschrieben. Stellen wir uns nun vor, eine Datei hätte die Größe von 62 KByte und belegt damit einen Block. Diese Datei wird nun gelöscht, die Daten bleiben also erhalten, nur der Verzeichniseintrag verschwindet. In diesen Block wird nun eine neue Datei geschrieben. Diese sei für unser Beispiel nur 10 KByte groß. Somit werden auch nur die ersten 10 KByte des Blocks überschrieben, der Rest der alten Datei von immerhin 52 KByte bleibt erhalten. Dieses Beispiel lässt sich natürlich auf jede beliebige Datei übertragen, denn größere Dateien werden in Blöcke aufgeteilt, so dass der letzte Block in der Regel nicht vollständig belegt wird. Diese Datenfragmente werden als Cluster Tips bezeichnet. Das Problem hierbei ist, dass man an diese Fragmente nicht mehr herankommt, da der Block ja als zu einer existierenden Datei gehörig markiert ist. Nur mit Hilfe spezieller Löschprogramme können diese Bereiche gelöscht werden. Diese Verfahren werden als Wiping (Verwischen) bezeichnet.

Daten "zwischen den Zeilen"

Das Speichern der Daten auf einer Festplatte erfolgt durch die Magnetisierung kleinster Eisenpartikel, die entsprechend ihrer Ausrichtung den Wert 0 oder 1 liefern. Diese Partikel sind auf der Oberfläche der Platten aufgetragen und werden in Spuren unterteilt, so dass der Kopf der Festplatte die Daten lesen und schreiben kann. Daten werden aber nicht nur in der Hauptspur der Festplatte, sondern auch in deren Rändern geschrieben, d.h. diese Nebenspuren enthalten ebenfalls die Daten. Normalerweise ist dies nicht problematisch, da die Festplatte beim Lesen dieses "Rauschen" herausfiltert. Für den potentiellen Angreifer sind diese Nebenspuren jedoch geeignet, die Daten wiederherzustellen. Früher wurden hierzu einfache Verfahren wie eine minimale Dejustierung der Festplattenköpfe verwendet. Heutzutage sind diese Nebenspuren aufgrund der höheren Speicherdichte schwieriger zu erreichen. Dafür ist ein erheblicher technischer und finanzieller Aufwand und sehr detailliertes Wissen notwendig, so dass vermutlich nur sehr gut ausgestattete Datenrettungsunternehmen oder auch Geheimdienste dazu in der Lage sind.

Löschen von Daten"

Löschen ist nicht gleich Löschen. So löscht beispielsweise das Verschieben von Dateien in den Windows-Papierkorb und dessen anschließende Leerung die Daten nicht wirklich von der Festplatte. Vielmehr wird nur der Verzeichniseintrag entfernt, die eigentlichen Daten bleiben weiterhin auf der Festplatte und können somit rekonstruiert werden. Auch das Formatieren von Partitionen und selbst eine Low-Level-Formatierung auf BIOS-Ebene sind keine sichere Löschung, da Daten - wenn auch mit mehr Aufwand - immer noch rekonstruiert werden können.

Ein- oder zweimaliges Überschreiben kann durch ein Fehlerfilter ausgeglichen werden und frühere Daten können wieder "zum Vorschein" gebracht werden. Dabei bedient man sich des physikalischen Effekts, dass die Nullen und Einsen auf der Festplatte durch analoge Signale dargestellt werden. Diese entsprechen aber nie vollständig einer 0 oder 1, sondern werden durch Verrauschen zu 0,05 oder 1,05. Die Hardware gleicht diese Fehler durch Toleranzgrenzen aus, so dass eine 1 als 0,95 oder auch als 1,05 gespeichert sein kann. Aus diesen Schwankungen kann man mittels einer Mikroanalyse des analogen Datensignals und einer Differenz zum zugehörigen Digitalsignal Rückschlüsse auf die vorherigen Datenwerte ziehen. Denn wird eine 0 durch eine 0 überschrieben, so ergibt dies eine andere Feldstärke als wenn eine 0 durch eine 1 überschrieben wird. Dieses Verfahren ist zwar technisch aufwendig und auch nicht ganz billig, es zeigt aber, dass das bloße Überschreiben der Daten sie nicht auslöscht. Deshalb verwenden die gebräuchlichen Löschverfahren auch immer eine Kombination aus einem Datenwert und dessen Komplement, um das geschilderte Differenzverfahren unbrauchbar zu machen.

Eine echte Löschung aller Dateien auf der Festplatte kann man eigentlich nur durch den Einsatz eines starken Magnetfelds garantieren, das alle Informationen auf magnetischen Datenträgern zerstört.

Für den täglichen Einsatz ist dieses Prinzip aber natürlich völlig ungeeignet. Deshalb sollte man sich auf das "Entfernen durch Überschreiben" konzentrieren. Das bedeutet, dass die zu löschenden Dateien auf dem Computer mit verschiedenen Zeichenfolgen beschrieben werden - und damit nicht mehr für die Rekonstruktion zur Verfügung stehen.

Die Dateien werden auf der Festplatte ja als Einsen und Nullen gespeichert. Man könnte nun denken, dass es ausreichen würde, all diese Binärzahlen z.B. mit Nullen zu überschreiben. Theoretisch würde es das auch. Unsere Festplatten funktionieren mit Magnetismus. Äusserst stark vereinfacht könnte man sagen: Magnetisch = 1; nicht magnetisch = 0. Würde man nun wie oben gesagt alles mit Nullen überschreiben, wäre jedoch immer noch ein gewisser Restmagnetismus übrig. Aus diesem Grund überschreibt man die Festplatte nicht nur einmal, sondern gleich mehrmals und dazu meist noch mit speziell ausgewählten Mustern.

Überschreibungsmethoden gibt es sehr viele, ich werde hier also nur kurz auf die gebräuchlichsten eingehen, die da wären:

• Einfaches überschreiben:
  Einmaliges überschreiben mit Nullen. Ziemlich unsicher, wenn Spezialisten an die Daten wollen, aber wohl für von Normalpersonen bezahlbare Wiederherstellungsfirmen ausreichend.
• RCMP TSSIT OPS-II:
  "Royal Canadian Mounted Police Technical Security Standards for Information Technology in Appendix Ops-II: Media Sanitation" überschreibt acht mal, ändert aber nur ein zufälliges Byte im überschreibmuster. auch nicht eben sicher.
• US DoD 5220.22-M (8-306. / E):
  Oft auch DoD short (kurzes DoD) genannt. Macht nur die Durchläufe 1, 2 und 7 der "vollständigen" DoD-Methode.
• US DoD 5220.22-M (8-306. / E, C and E):
  Die empfohlene Methode von Amerikanischen Department of Defense (Verteidigungsministerium). 7 Durchläufe lang und ziemlich sicher.
• Gutmann:
  Diese Methode wurde von Peter Gutmann 1996 vorgeschlagen. Sie ist satte 35 Durchläufe lang und gilt als absolut sicher. Wie die einzelnen Schritte aussehen, kann man sich in der grossen Tabelle in der Mitte dieser Seite ansehen. Gutmann selbst sagt aber inzwischen, dass aufgrund von änderungen im Festplattenaufbau wenige Durchläufe mit Zufallswerten ausreichen würden (Siehe "Epilogue" im gelinkten Artikel)
• PRNG:
  Pseudo Random Number Generator. Diese Methode sieht einfach vor, die Dateien mehrfach mit Pseudo-Zufallszahlen ("echte" Zufallszahlen kann man am PC nicht erzeugen) zu überschreiben. Wieviel mal das getan werden soll, kann man normalerweise einstellen. Ich würde sagen, diese Methode (auf so ca. 3-5 Durchläufen) ist auch für Paranoiker wie mich super geeignet.

Die Frage, wie oft Dateien überschrieben werden müssen, damit sie wirklich nicht mehr wiederhergestellt werden können, ist umstritten. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), Dateien mindestens dreimal zu überschreiben. Ähnlich sieht es die Navy Staff Office Publication vor. Das amerikanische Verteidigungsministerium empfiehlt das siebenfache Überschreiben sensibler Dateien (U.S. Department of Defense standards, US DoD 5220.22-M (8-306. / E, C and E)).

Als eine der sichersten Methoden des Überschreibens gilt die wie wir nun wissen die Gutmann-Methode.

Sensible Dateien auf der Festplatte:

Nicht nur im Papierkorb müssen sensible Dateien gelöscht werden. Rekonstruierbar sind derartige Dateien oft auch deshalb, weil sie sich an anderen Stellen auf dem Windows-System Hinweise auf sie finden lassen. Dazu zählt die Registry, die Windows-Auslagerungsdatei, und vor allem der unbenutzte, "freie" Speicherplatz.

Wer unerwünschte, unnötige oder sensible Dateien einfach nur in den Papierkorb seines Rechners verschiebt, macht einen Fehler. Denn wirklich gelöscht sind diese Dateien, wie du nun weisst, dann nicht.

Mit dem kostenlosen Löschprogramm Eraser lassen sich gezielt Dateien und freier Festplattenspeicherplatz unter Windows sicher löschen. Auch das sichere Überschreiben bestehender Festplattenpartitionen ist möglich. Neben dem direkten Löschen können auch Löschaufträge und Zeitpläne erstellt werden. Das quelloffene (Open Source) Eraser gehört zu den beliebtesten und bekanntesten Löschprogrammen.

Wie andere Löschprogramme auch, überschreibt Eraser den nach dem Löschen einer Datei frei gewordenen Bereich einer Festplatte mit neuen Daten. Je nach gewählter Löschmethode findet die Überschreibung mit einem festgelegten Wert (z. B. nur Nullen), einem speziellen Muster oder einem zufälligen Muster statt. Durch das Überschreiben wird die Möglichkeit einer Rekonstruktion der ursprünglichen Daten verhindert. Beim gezielten Löschen von Dateien muss jedoch berücksichtigt werden, dass sich noch Kopien dieser Datei irgendwo auf der Festplatte befinden können.

Hier gezeigte Programmversion: 6.2.0.2979

Nachdem du die Installationsdatei heruntergeladen hast, öffnest du sie mit einem Doppelklick. Es öffnet sich ein Fenster und du bestätigst die Windows Benutzerkontensteuerung. Bist du am Installationsfenster angekommen drückst du auf Next. Im nächsten Schritt musst du die Lizenzvereinbarungen akzeptieren und klickst weiter auf Next. Im ersten Fenster klickst du auf Complete. Next und im nächsten auf Install. Ist die Installation beendet machst du einen Haken bei Run Eraser und klickst auf Finish. Jetzt siehst du das Hauptfenster (Erase Schedule) von Eraser. Die zu löschenden Dateien ziehst du einfach mit der Maus in das weiße Feld. Im Punkt Settings ist schon voreingestellt dass, die Dateien mit der Gutmann-Methode vernichtet werden. Wie du bereits weisst ist dies die beste aber auch langwierigste Methode seine Dateien sicher zu löschen. Wenn du die zu löschenden Dateien in das Fenster ziehst, fragt das Programm noch einmal ob du die Datei wirklich vernichten möchtest. Bestätige dies mit Ja und wenige Zeit später ist die Datei unwiderruflich gelöscht. Natürlich kannst du auch Dateien sicher löschen ohne das Programm immer öffnen zu müssen. Nach einem Rechtsklick auf die zu löschende Datei erscheint im Kontextmenü der Eintrag "Erase". Die Dateien werden ohne Sicherheitsabfrage direkt gelöscht. Eine Benachrichtigung im Infobereich informiert kurz über den laufenden Löschvorgang und über den erfolgreichen Abschluss des Löschvorgangs. Während des Löschvorgangs kann der Fortschritt unter "Erase Schedule" eingesehen werden. Dieser Eintrag im Scheduler (Planer) wird bei erfolgreichem Abschluss gelöscht. Über die Option "Automatically remove tasks which run immediately and completed successfully" kann dies geändert werden. Durch einen Rechtsklick auf den Eintrag im Scheduler kann die Logdatei aufgerufen werden (sofern Fehler aufgetreten sind, würden diese hier ohnehin angezeigt werden). Dateien die sich schon im Papierkorb befinden löschst du sicher indem du mit der Maus auf den Papierkorb fährst und mit der rechten Taste das Kontexmenü öffnest. Hier kannst du die Option Eraser auswählen und auch entscheiden ob der Papierkorb sofort oder erst bei nächsten Hochfahren des Computers sicher entleert wird. Mit der Funktion Erase unused space überschreibt Eraser den freien Festplattenplatz einer Festplatte bzw. Partition. Dadurch kann verhindert werden, dass zuvor "unsicher" gelöschte Dateien wiederhergestellt werden könnten. Diese Funktion macht also in erster Linie Sinn, wenn du nicht die ganze Festplatte oder Partition löschen möchtest. Durch Erase unused space werden keine Dateien gelöscht oder gar das Betriebssystem beschädigt, es werden nur die ohnehin als frei markierte Festplattenbereiche überschrieben. Dieser Vorgang kann je nach freier Kapazität der Partition und der gewählten Löschmethode sehr lange dauern. Die Festplatte wird dabei stark beansprucht und es ist empfehlenswert, während des Ausführens dieser Funktion die Festplatte nicht mit anderen Aktionen zu belasten. Der Eintrag Erase unused space erscheint im Kontextmenü, sobald ein Datenträger via Rechtsklick unter "Computer" bzw. "Arbeitsplatz" ausgewählt wurde.

Jede Unterstützung, ob groß oder klein, hilft uns, unsere Arbeit fortzusetzen und langfristig unabhängige, parteilose Projekte zu ermöglichen. Dein Beitrag trägt direkt dazu bei, dass wir unsere Inhalte kostenfrei anbieten können und unser Engagement nachhaltig gestärkt wird. Vielen Dank für deine Unterstützung!

bc1per9vee5kfflruqutwlev0tkm80wgfjmg04x2hd7ga3y94at6z0fs77tpjw

0x67f6498F194BC257DB06D78E8b0E9f6074aE4433

4Ahy234zByKFtnDy9X4hJ7eqp4Wxvaqht7eeDMVQTBfcUPJWmrCMvttZkxzXStFJEpQfnDszeDhnGQm8minYEZySBLbruA2

Unabhängig davon, ob du Bitcoin Cash, Litecoin, Solana oder eine andere Kryptowährung bevorzugst – wir freuen uns über jede Form der Unterstützung für unsere Arbeit. Wenn du uns finanziell unterstützen möchtest, kontaktiere uns einfach über das Kontaktformular. Nach deiner Nachricht werden wir dir die passende Wallet-Adresse für deine gewünschte Kryptowährung zukommen lassen.