M 4.56 Sicheres Löschen unter Windows-Betriebssystemen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Administrator
Verantwortlich für Umsetzung: Benutzer, Administrator
Windows NT/2000/XP/Server 2003
Das Windows Dateisystem NTFS legt in einer Master Dateitabelle (MFT) alle Dateiinformationen wie Namen, Pfad und Attribute ab. Diese Angaben werden nicht verschlüsselt. Programme, die direkt auf die Festplatte zugreifen können, können unter Umgehung der Sicherheitsmechanismen von Windows NT/2000/XP/Server 2003 auf alle Dateien beliebig zugreifen. Dies gilt insbesondere für Programme, die unter einem anderen Betriebssystem als Windows auf demselben Rechner laufen.
Beim Löschen einer Datei unter dem Dateisystem NTFS wird diese nicht physikalisch gelöscht oder überschrieben, sondern lediglich dem Zugriff entzogen, wobei jedoch unter Windows NTFS - im Gegensatz zu der Situation bei MS-DOS - sichergestellt ist, dass ein Zugriff auf diese gelöschten Daten, etwa mit einem Rekonstruktionsprogramm oder unter Verwendung direkter Plattenzugriffe, nicht mehr möglich ist. Dennoch können gelöschte Dateien unter anderen Betriebssystemen als Windows mit Programmen, die direkt auf die Festplatte zugreifen können, wieder hergestellt werden.
Aus diesen Gründen muss Windows als einziges Betriebssystem installiert sein, und es muss verhindert werden, dass andere Betriebssysteme gestartet werden können (siehe auch M 4.52 Geräteschutz unter NT-basierten Windows-Systemen und M 4.55 Sichere Installation von Windows NT).
Papierkorb unter Windows
Unter Windows werden Dateien beim Löschen, sofern der Benutzer nicht ausdrücklich ein direktes Löschen verlangt, zunächst in einen benutzerspezifischen Bereich, den sogenannten "Papierkorb", verlagert. Aus diesem Bereich werden sie erst dann entfernt, wenn der von gelöschten Dateien belegte Speicherplatz die für das betreffende Plattenlaufwerk vorgegebene Größe überschreitet oder wenn der Benutzer explizit den Papierkorb leert. Der Inhalt des Papierkorbs sollte daher regelmäßig gelöscht werden, damit die Festplatte nicht zu voll wird und der Benutzer nicht den Überblick verliert. Die maximale Größe des für den Papierkorb reservierten Speicherplatzes kann auch unter "Eigenschaften" des Icons "Papierkorb" auf einen geeigneten kleineren Wert, z. B. 2 MByte, eingestellt werden. Dateien mit sensitivem Inhalt sollten nicht in den Papierkorb verschoben werden, sondern explizit gelöscht werden, indem beim Löschen die Umschalttaste gedrückt wird.
Unter Windows besteht zudem die Möglichkeit aus dem Papierkorb gelöschte Dateien durch Hilfsprogramme zu rekonstruieren. Dateien mit besonders sensitivem Inhalt sollten daher vollständig überschrieben werden statt sie in den Papierkorb zu verschieben (siehe M 2.3 Datenträgerverwaltung).
Windows XP/Server 2003 bietet die Möglichkeit an, die Dateien direkt und nicht über den Papierkorb zu löschen. Direktes Löschen von Dateien kann in Eigenschaften des Papierkorbs (Dateien sofort löschen) oder durch das Aktivieren der Richtlinie Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Explorer | Gelöschte Dateien nicht in Papierkorb verschieben erzwungen werden. Hierauf sollten die Benutzer hingewiesen werden.
Unter Windows XP/Server 2003 ist es möglich, den gesamten freien Plattenplatz eines Datenträgers oder eines Unterverzeichnisses mit dem Kommando cipher.exe /w zu überschreiben. cipher.exe macht insgesamt drei Schreibdurchgänge und überschreibt den freigegebenen Platz im ersten Durchgang mit 0x0, im zweiten mit 0xF und im dritten mit pseudo-zufälligen Daten. Bei der Benutzung dieses Kommandos soll jedoch berücksichtigt werden, dass die Inhalte kleiner Dateien (unter 4 KB), die gelöscht wurden, unüberschrieben bleiben können, wenn sie direkt in der Master File Table (MFT) und nicht in separaten Datenträger-Clustern abgelegt sind. Das Verfahren ist auch geeignet, um verschlüsselte Dateien von unverschlüsselt zwischengespeicherten Datenresten zu bereinigen.
Damit Dateien tatsächlich unwiederbringlich gelöscht werden, sollten spezielle Löschprogramme eingesetzt werden, mit denen alle Restinformationen zu dieser Datei auf dem Datenträger überschrieben werden.
Ergänzende Kontrollfragen:
- Ist die Größe des Papierkorbs auf einen sinnvollen Wert eingestellt?
- Sind alle Benutzer darüber informiert, dass über den Papierkorb gelöschte Dateien nicht zuverlässig gelöscht sind?