Der Nachweis gelöschter Daten ist eines der Kernelemente in der IT-Forensik. Trotz der verbreiteten Annahme, dass gelöschte Dateien unwiederbringlich verloren sind, hinterlassen sie häufig digitale Spuren, die forensisch von großer Bedeutung sein können. In diesem Artikel wird die Wichtigkeit der Identifikation solcher Daten beleuchtet und unter welchen Bedingungen diese wiederhergestellt werden können.
Der Inhalt im Überblick
Wie funktioniert das Löschen von Dateien eigentlich?
In der Welt von digitalen Systemen führt das Löschen einer Datei meist nicht zu einem vollständigen Verschwinden. Bei den meisten Betriebssystemen wird lediglich der Zugriffspfad (Pointer) zu den Daten entfernt, die Daten selbst bleiben jedoch erhalten. Dieser Prozess ist analog zum Entfernen des Inhaltsverzeichnisses eines Buches – obwohl das Verzeichnis weg ist, bleiben die Seiten und Texte bestehen. Jedoch sind die Seiten im Buch um einiges leichter wieder zu finden als gelöschte Dateien.
Beim Löschen einer Datei kennzeichnet das Betriebssystem den Speicherbereich, auf dem die Datei lag, als wieder verwendbar. Dies impliziert, dass die ursprünglichen Daten physikalisch auf dem Speichergerät verbleiben, bis sie durch neue Daten ersetzt werden. Diese Charakteristik ist es, die es IT-Forensikern erlaubt, gelöschte Daten wiederzuentdecken, vorausgesetzt, sie wurden nicht mit neuen Daten überschrieben.
Beim Formatieren eines Datenträgers sinkt die Wahrscheinlichkeit Daten wiederherstellen bzw. überhaupt identifizieren zu können ebenfalls enorm, da die Speicherbereiche in solchen Fällen mit Nullen oder zufälligen Werten überschrieben werden. Dies gilt neben der physischen Zerstörung (Schreddern durch eine Datentonne) eines Datenträgers zu den sichersten Varianten Daten zu „löschen“ bzw. „unwiederherstellbar“ zu machen.
Identifizierung von gelöschten Dateien
In der IT-Forensik ist das Aufspüren von gelöschten Dateien ein Prozess, der sich auf die Entdeckung von digitalen Spuren konzentriert, die nach dem Löschvorgang auf dem System vorhanden bleiben. Forensische Tools wie Autopsy und The Sleuth Kit spielen eine entscheidende Rolle in diesem Prozess, da sie speziell darauf ausgerichtet sind, Hinweise auf Löschaktionen zu identifizieren und zu dokumentieren.
Auf dem Markt finden sich auch Toolkits und Umgebungen, die speziell dafür entwickelt sind, gelöschte Dateien wiederzufinden und sie möglicherweise direkt darzustellen. Strafverfolgungsbehörden nutzen häufig diese Art von Tools, um aktiv Beweise zu ermitteln und sie optisch ansprechend aufzubereiten.
Forensik-Experten durchforsten systematisch den sogenannten „unallocated space“ auf Speichermedien. Sie suchen aktiv in diesem Bereich, der keiner Datei zugeordnet ist. Ihre Aufgabe ist es, Restdaten oder Spuren der gelöschten Datei ausfindig zu machen. Selbst wenn der direkte Verweis auf die Datei entfernt wurde, nutzen sie ihre Fähigkeiten, um verbliebene Datenreste in diesem nicht zugewiesenen Bereich zu entdecken. Dieses Verfahren wird auch „Carving“ genannt.
Methoden zum Wiederherstellen solcher Dateien
Scannen des Dateisystems
IT-Forensik-Programme untersuchen das vorliegende Dateisystem, um jene Segmente ausfindig zu machen, die als „unallocated“, also ungenutzt, gekennzeichnet sind. Dieser Prozess umfasst eine detaillierte Auswertung der Struktur des Dateisystems. Bei einem NTFS-Dateisystem beispielsweise wird die Master File Table ($MFT) gründlich untersucht. Ziel ist es, jene Abschnitte des Speichermediums zu identifizieren, die momentan keine aktiven Daten beherbergen.
Signaturerkennung im ungenutzten Speicherbereich
Die forensischen Programme durchforsten den unallocated space gezielt nach charakteristischen Dateisignaturen. Diese Signaturen sind die ersten Bytes einer Datei, die typischerweise den Startpunkt dieser markieren. Sie werden als „Magic Numbers“ bezeichnet. Wenn solche Signaturen identifiziert werden, ermöglicht das den Tools, den Anfang von Dateien zu lokalisieren, selbst in Fällen, in denen der Rest der Datei beschädigt oder nur teilweise vorhanden sein könnte.
Ein Beispiel für Magic Numbers, die als Dateisignaturen dienen, sind die ersten Bytes einer JPEG Bilddatei. Sie beginnt typischerweise mit der Byte-Sequenz FF D8 FF, die als einzigartiges Kennzeichen für das JPEG-Format steht. Diese spezifische Abfolge ermöglicht es Forensik-Tools, den Beginn einer JPEG-Datei im Speicher zu erkennen, selbst wenn der Dateiname oder andere Metadaten gelöscht wurden.
Einsatz von Carving-Methoden
Nach der erfolgreichen Erkennung einer Dateisignatur setzen forensische Programme Carving-Methoden ein, um so viele Daten wie möglich wiederherzustellen. Dabei verfolgen sie ausgehend von der erkannten Signatur die aufeinanderfolgenden Datenblöcke, um eine rekonstruierbare Datei zu formen. Diese Carving-Methoden sind besonders nützlich und effektiv, selbst in Situationen, in denen das Dateisystem Schaden genommen hat oder die Zuordnungstabellen der Dateien nicht mehr vorhanden sind. Sie erlauben es, fragmentierte oder teilverlorene Daten wieder zu einem vollständigen Ganzen zusammenzusetzen.
Hürden und Einschränkungen bei der Datenrettung
Das Wiederherstellen gelöschter Daten erweist sich oft als eine anspruchsvolle und zeitintensive Aufgabe. Eine wesentliche Schwierigkeit dabei ist die über die Zeit entstehende Fragmentierung der Daten auf Speichermedien.
Oftmals, wenn Daten gelöscht und später durch neue ersetzt werden, bleiben nur Bruchstücke der originalen Daten erhalten. Dieses Phänomen der Datenfragmentierung ist besonders ausgeprägt bei längerfristig und intensiv genutzten Speichermedien. Bei jedem Lösch- und Überschreibvorgang können einige Abschnitte der ursprünglichen Daten erhalten bleiben, während andere Teile überschrieben werden. Mit der Zeit verteilen sich diese verbliebenen Datenfragmente über verschiedene Teile des Speichermediums.
Wie oben bereits beschrieben werden beim Formatieren eines Datenträgers alle Speicherplätze überschrieben und dadurch werden die dort vermeintlich liegenden Datenfragmente weiter fragmentiert. Dies macht die Datenrettung sehr schwer bis unmöglich.
Physische Beschädigung erschwert Datenrettung enorm
Ein weiterer, erschwerender Faktor bei der Datenwiederherstellung ist die physische Beschädigung des Speichermediums. Wenn ein Speichermedium beschädigt wird, kann es passieren, dass manche Teile davon nicht mehr richtig funktionieren und somit die darauf gespeicherten Daten nicht mehr zugänglich sind.
Bei herkömmlichen Festplatten (Hard Disk Drive) kann ein solcher Schaden durch Abnutzung oder Beschädigung der Teile entstehen, die für das Lesen und Schreiben der Daten zuständig sind. Bei moderneren Speichermedien wie SSDs (Solid-State-Drives) kann die Abnutzung der Speicherzellen zu Problemen führen. Diese Speicherzellen sind die Bauteile, die in SSDs die Daten speichern, und können nach langer oder intensiver Nutzung an Effizienz verlieren.
Die Chance, gelöschte Daten erfolgreich wiederherzustellen, variiert somit stark je nach Grad der Datenfragmentierung und dem Zustand des Speichermediums. Für forensische Experten bedeutet dies, dass sie nicht nur umfassendes technisches Wissen benötigen, sondern auch viel Geduld und Genauigkeit, um die zerstreuten und teilweise beschädigten Daten effektiv zu rekonstruieren.
Ausblick zur IT-forensischen Analyse gelöschter Daten
IT-Forensik hilft mehr und mehr dabei, digitale Verbrechen verschiedener Arten aufzuklären bzw. Klarheit zu bringen, inwieweit diese stattgefunden haben. Die Identifizierung und das Wiederherstellen gelöschter Daten, spielt hierbei oft eine große Rolle. Es können hierdurch Beweise aufgedeckt werden, die in kriminaltechnischen Untersuchungen oft notwendig sind, um Täter oder auch Tätergruppen zu überführen.
Diese Daten in der Tiefe verschiedenster Systeme zu rekonstruieren, ist gerade bei der Bekämpfung von Verbrechen wie beispielsweise den Besitz von kinderpornografischen Inhalten, eine essentielle Aufgabe. Auch verlorene oder absichtlich gelöschte Geschäftsdaten können dadurch wiederhergestellt werden, was auch für den Aspekt der Datensicherheit und des Datenschutzes eine wichtige Rolle spielen kann.
Der Anwendungsbereich der IT-Forensik lebt davon, dass Methoden und Herangehensweisen immer wieder angepasst werden, um den stets wachsenden Herausforderungen gerecht zu werden. Nur so kann gewährleistet werden, dass durch IT-Forensik immer wieder Verbrechen im digitalen Bereich aufgeklärt bzw. nachvollzogen werden können.
