Wenn bei Dateverlust die Speichermedien keine mechanischen Beschädigungen oder defekte Blöcke und Sektoren aufweisen ist eine Datenwiederherstellung immer erfolgreich.

http://www.icf-iuk.de/ (Foto: foto: pixabay.com)

Computerforensiker verwenden für die Rekonstruktion der Daten nahezu die gleichen Software-Werkzeuge wie bei einer Datenrettung. Dabei handelt es sich um teils kommerziell erhältliche Programme, die die scheinbar gelöschten Daten wieder finden, aber auch um eigene Entwicklungen der Labore, die Dritten nicht zugänglich sind.

Wenn ein PC-Nutzer eine Datei löscht, so ist diese weiterhin vollständig auf der Festplatte vorhanden. Ein echter Löschvorgang würde viel zu lange dauern. Stattdessen wird lediglich der Eintrag in einem Inhaltsverzeichnis gelöscht, der dem Computer bislang signalisiert hat, wo auf der Festplatte eine bestimmte Datei zu finden ist.

Dazu hat jedes Betriebssystem ein Dateisystem, das weitgehend unabhängig von der Art des Speichermediums – wie Festplatte oder Diskette – arbeitet. Neben verschiedenen Windows- und DOS Dateisystemen gibt es verschiedene Dateisysteme für den Macintosh und Linux- sowie eigene Dateisysteme für Großrechner, die beispielsweise in Rechenzentren zum Einsatz kommen.

Datenträger wie Festplatten, SSD, Flash Speichermedien oder CDs bestehen aus vielen kleinen Speicherzellen, den Blöcken oder Sektoren. Ein solcher Block ist die kleinste unteilbare Einheit des Speichermediums und hat eine Größe von 512 Byte. Wenn also zum Beispiel ein Betriebssystem wie Windows eine Datei auf eine Festplatte schreibt, so verteilt es diese als Informationshäppchen auf viele verschiedene Blöcke.

Eine Datei kann sich dabei über eine beliebige Zahl von Blöcken erstrecken. Damit das Betriebssystem weiß, welche Blöcke mit welcher Datei zusammenhängen, werden diese Verwaltungsinformationen ebenfalls in der Datei verzeichnet. Zu diesen Informationen gehören die Größe und der Typ der Datei (zum Beispiel Bild, Text- oder defekte Bilddatei), die Beziehungen zwischen den verwendeten Blöcken (Welche Blöcke müssen in welcher Reihenfolge gelesen beziehungsweise beschrieben werden?) und die Zugriffsrechte (Wer darf die Datei öffnen oder gar ändern?).

Löscht ein Anwender eine Datei, bleiben die einzelnen Blöcke weiter erhalten, sind aber zum Überschreiben freigegeben. Neue Dateien können also in einem Teil oder in allen der freigegebenen Blöcke abgelegt werden.

Doch selbst nach einem solchen Überschreiben können Computerforensiker noch Teile der alten Datei rekonstruieren: Ist die neue beispielsweise kleiner als die alte, so nimmt sie in den Blöcken weniger Raum ein, und die alte Datei „schimmert noch durch". Bei Textdateien können in diesem „Slack Space" durchaus noch verwertbare Informationen gefunden werden.

Um sie aufzuspüren, sind allerdings spezielle Software-Werkzeuge erforderlich, die die Blocksicht des Betriebssystems überlisten.

Erst ein mehrmaliges, vollständiges Überschreiben gilt als relativ sicher – vorausgesetzt man hat nicht einfach alles mit Nullen überschrieben. Und nur spezielle Löschsoftware erlaubt das wirklich zuverlässige Überschreiben der Informationen auf einem Datenträger.
Information zu Weiterempfehlungen Einstellungen für Weiterempfehlungen
 auf anderen WebseitenSenden
5 Kommentare
13.095
Eberhard :Dürselen aus Weimar | 06.01.2016 | 10:12  
1.604
Mike Picolin aus Gera | 06.01.2016 | 10:14  
13.095
Eberhard :Dürselen aus Weimar | 06.01.2016 | 10:58  
1.604
Mike Picolin aus Gera | 06.01.2016 | 10:59  
13.095
Eberhard :Dürselen aus Weimar | 06.01.2016 | 11:04  
Schon dabei? Hier anmelden!
Schreiben Sie einen Kommentar zum Beitrag:
Spam und Eigenwerbung sind nicht gestattet.
Mehr dazu in unserem Verhaltenskodex.
Anzeige
Anzeige
Anzeige