Festplatten sicher löschen

Oct 27, 2022 von
Schlagwörter: InfoSec

Wer seinen alten Laptop (oder seine alte Arbeitsstation) entsorgen oder, noch besser, verschenken möchte, der sollte darauf achten, dass alle persönlichen sowie geschäftlichen Daten zuvor gelöscht werden. Dies klingt einfacher als es ist. Dieser Blog-Artikel zeigt Dir, was zu tun ist.

Einführung

Wie lösche ich am besten alle sensiblen Daten von meinem Computer?

Ein naiver Ansatz wäre:

  1. Alle Dateien markieren und löschen.

  2. Anschließend den Papierkorb leeren.

Das Problem hier ist, dass die heutigen Betriebssysteme beim Löschen einer Datei lediglich den internen Verweis auf diese Datei entfernen und den belegten Speicherplatz zum Überschreiben freigeben. Der Inhalt der Datei beleibt jedoch so lange auf der Festplatte gespeichert, bis irgendwann eine neue Datei diesen überschreibt. Mit speziellen Data Recovery Tools lassen sich solche vermeintlich gelöschten Dateien sehr leicht wiederherstellen.

Was kann ich also noch machen?

Es gibt Tools, die versprechen das sichere Löschen von Dateien. Unter Windows wäre das beispielsweise SDelete, eine kostenlose Kommandozeilenanwendung (Teil der Sysinternals Tools), das den amerikanischen Department of Defense clearing and sanitizing standard DOD 5220.22-M implementiert.

Auch der Einsatz von SDelete muss kritisch betrachtet werden:

  • Mit SDelete werden einzelne Dateien oder Verzeichnisse gelöscht. Die Gefahr, dass Kopien der Dateien in irgendwelchen obskuren Unterordnern übersehen werden ist groß.

  • SDelete funktioniert gut bei klassischen HDD-Festplatten (HDD = Hard Disk Drive). Heutige Festplatten sind jedoch fast durchgängig nur noch SSD-basiert (SSD = Solid State Drive). SSD-Festplatten sind hoch optimiert und garantieren je nach Konfiguration nicht immer das sichere Löschen von Dateiinhalten auf Low-Level-Ebene (Stichwort: TRIM-Befehl). Wer ein wenig mehr zum Thema erfahren möchte, dem sei das folgende YouTube-Video (auf Englisch) empfohlen.

OK, dann formatierte ich meine Festplatte.

Keine schlechte Idee, aber auch hier warten Fallstricke auf Dich. Du kannst in der Regel nur logische Partitionen formatieren, nicht die gesamte Festplatte. Außerdem ist es nicht ganz einfach, die eigene Systempartition zu formatieren. Und zu guter Letzt musst Du genau schauen, was die Formatierung macht (Stichwort: Schnellformatierung).

Ja, dann kauf ich mir halt eines dieser Spezialprogramme, die mir versprechen, alles sicher zu löschen…

Stopp, nicht aufregen, es geht auch ohne Spezialprogramm. Die Lösung ist das Kommandozeilenwerkzeug Diskpart und dort der Befehl clean all. Dieser Befehl legt u.a. fest, dass jeder einzelne Sektor des Datenträgers auf Null gesetzt wird, wodurch alle auf dem Datenträger enthaltenen Daten vollständig gelöscht werden. Dieser Ansatz wird auch beim Einsatz von SSD empfohlen.

Um Diskpart für alle Deine Festplatten ausführen zu können, musst Du Deinen Laptop von einem externen Medium aus starten, z.B. mit Hilfe eines bootfähigen USB-Sticks und Windows PE. Wie genau das geht, zeigen die folgenden Abschnitte.

Los geht’s

Wir werden jetzt folgendes tun:

  • Einen bootfähigen USB-Stick mit Windows PE erstellen.

  • Deinen alten Laptop mit unserem USB-Stick starten und mit Diskpart arbeiten

Bootfähigen USB-Stick mit Windows PE erstellen

Du benötigst einen Computer mit Windows 11 und Internetzugriff und einen USB-Speicherstick.

  1. Lade das Windows ADK for Windows 11, Version 22H2 herunter: Direkter Download-Link.

  2. Installiere die heruntergeladene setupadk.exe. Es reicht, wenn Du nur Bereitstellungstools auswählst.

    Windows ADK installieren

    Windows ADK installieren

  3. Lade das Windows PE add-on for the ADK, Windows 11, Version 22H2 herunter: Direkter Download-Link.

  4. Installiere die heruntergeladene adkwinpesetup.exe.

    Windows PE als Add-On installieren

    Windows PE als Add-On installieren

  5. Öffne das Windows-Menü und starte Windows Kits > Umgebung für Bereitstellungs- und Imageerstellungstools als Administrator.

  6. Führe den folgenden Befehl aus:

    copype amd64 C:\WinPE_Amd64

    Dieser Befehl erstellt ein Arbeitsverzeichnis (in unserem Beispiel C:\WinPE_Amd64) mit den Standarddateien von Windows PE.

  7. Stecke den USB-Stick in Deinen Computer und führe den folgenden Befehl aus:

    MakeWinPEMedia /UFD C:\WinPE_Amd64 E:

    Dieser Befehl formatiert und installiert Windows PE auf Deinem USB-Speicherstick in Laufwerk E:. Der Laufwerksbuchstabe ist beispielhaft und muss natürlich je nach Bedarf angepasst werden.

Weitere Details findest Du in der Microsoft-Dokumentation. Windows PE benötigt ca. 300 MB Speicherplatz auf Deinem USB-Stick, er muss also nicht sehr groß sein.

Mit diskpart arbeiten

Boote Deinen Problem-Computer mit Hilfe Deines USB-Sticks. Je nach Einstellung im BIOS bootet der Rechner automatisch von Deinem USB-Stick oder nicht. Sollte dies nicht der Fall sein, musst Du die Bootreihenfolge in Deinem BIOS ändern und erneut booten.

Ist Windows PE geladen, kannst Du mit Hilfe der bereitgestellten Kommandozeile den Befehl diskpart aufrufen:

diskpart

Es erscheint folgende Maske:

Microsoft DiskPart-Version 10.0.22000.653

Copyright (C) Microsoft Corporation.
Auf Computer: Test

DISKPART>

Tippe folgendes ein, um Dir alle verfügbaren Festplatten anzeigen zu lassen:

DISKPART> list disk

Das Ergebnis sieht in etwa so aus. Anzahl und Größe der Datenträger unterscheiden sich natürlich je nach Computer:

  Datenträger ###  Status         Größe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datenträger 0    Online          476 GB    14 MB        *
  Datenträger 1    Online         1863 GB  1024 KB        *

Jetzt wähle den ersten Datenträger aus:

DISKPART> select disk 0

Und rufe anschließend folgenden Befehl auf:

DISKPART> clean all

Diskpart beginnt nun damit, die Formatierung der Festplatte zu löschen und jeden einzelne Sektor auf Null zu setzen. Das dauert je nach Größe der Festplatte ziemlich lange. Leider gibt es keine Fortschrittsanzeige. Irgendwann ist clean all aber fertig und Du bekommst folgende Anzeige präsentiert:

Diskpart succeeded in cleaning the disk

Jetzt wiederholst Du das Ganze mit allen anderen Festplatten auch (also select disk 1, clean all etc.).

Abschließende Diskussion

Der Vorteil von WindowsPE + Diskpart ist, dass die beschriebene Vorgehensweise mit allen Computern funktioniert, egal ob Windows oder Linux. Wer trotzdem noch Sicherheitsbedenken hat, dem bleiben folgende Möglichkeiten:

  • Fast alle SSD-Festplattenhersteller bieten kostenlose Software-Produkte zum Festplatten-Management an (Beispiel: Samsung Magician). Diese enthalten in der Regel auch eine Secure-Erase-Funktion für SSD.

  • Wenn Verschenken keine Option ist, dann ist die physische Zerstörung der Festplatte auch eine ziemlich sichere Methode, Daten zu löschen.

Am Ende des Tages ist es immer eine Frage der Risikoabwägung. Wenn Du auf Deinem Rechner die geheime Coca-Cola-Originalrezeptur gespeichert hast, würde ich die physische Zerstörung der Festplatte empfehlen. In den meisten anderen Fällen sollte WindowsPE + Diskpart ausreichen.

Das könnte dich auch interessieren:
  1. OpenSSH absichern
  2. Das Log4Shell-Disaster
  3. BitLocker unter Windows 10
  4. TLS unter IIS 10 absichern
Teile diesen Artikel
comments powered by Disqus