In der guten alten DOS-Zeit war die Wiederherstellung versehentlich gelöschter Dateien auf der Festplatte oder auf einer Diskette mit dem Befehl UNDELTE überhaupt kein Problem, sofern noch keine neueren Dateien auf den Datenträger geschrieben wurden. Mit der Einführung von Windows verschwand das beliebte Kommando. Wer Dateien zunächst in den "Papierkorb" wirft und diesen nur bei Bedarf "leert", hat gute Chancen, seine Datei dort wiederzufinden. Ist sie aus dem Papierkorb verschwunden, müssen Nutzer heutzutage ein wenig tiefer in die Trickkiste greifen.
Oftmals ist es aber vonnöten, dass eine gelöschte Datei wirklich nicht mehr aufzufinden ist - von niemand. Wir haben uns einige Tools und Techniken angeschaut, die im Zusammenhang von "wirklich gelöscht und möglicherweise doch wiederherstellbar" von Interesse sind. Diese Betrachtung darf unter keinen Umständen als "vollständig" missverstanden werden, dafür gibt es einfach zu viele Helferlein. Zudem beschränken wir uns hier ausschließlich auf die Windows-Plattform.
- Der Bootblock einer Festplatte im Hex-Editor.
- Eine gespeicherte Datei direkt im Dateisystem einer Festplatte.
Der ASCII-Inhalt ist sehr gut zu lesen, auch ohne die Datei direkt mit der dazugehörigen Applikation zu öffnen. - Eine Schnellformatierung unter Windows löscht nicht wirklich die Daten, es wird lediglich der Dateikatalog neu angelegt.
- Nach einer Schnellformatierung mit Windows sind Dateiinhalte sehr wohl noch mit einem Hex-Editor zu lesen.
Somit haben auch Undelete-Programme eine Chance Daten zu retten. - Nur sofern das Häkchen „Schnellformatierung“ entfernt wird löscht Windows tatsächlich die Daten auf dem Datenträger.
- Die Verschlüsselung des Datenträgers (hier mit Bitlocker auf Laufwerk E) ist eine sichere Methode um eine unerwünschte Wiederherstellung unmöglich zu machen.
- Eine mit Microsoft Bitlocker verschlüsselte Festplatte im Zugriff eines Hex-Editors – keine Möglichkeit mehr die Inhalte ohne Spezialsysteme lesbar zu machen.
- Kostenlos und in den Profiversionen von Windows Vista, 7 und 8 enthalten – die Vorgängerversionen sind möglicherweise ein effektiveres Mittel als die Dateiwiederherstellung mit zusätzlichen Tools.
- Die TuneUp Utilities 2012 können unter anderem auch Dateien wiederherstellen.
- Wo soll TuneUp Utilities 2012 die geretteten Dateien ablegen?
- Um eine Datei oder einen Ordner wirklich endgültig zu entfernen bieten die TuneUp Utilities den „Shredder“.
Dieser überspeichert die zu löschenden Daten mit neuen Informationen. - Das kostenlose Recuva bietet einen Assistenten der bei der Rettung von Daten behilflich ist.
- Soeben gelöschte Dateien rettet Recuva mit hoher Wahrscheinlichkeit.
- Trotz einer knapp 240 Sekunden dauernden intensiven Suche kann Recuva in einigen Fällen keine gelöschten Daten ausfindig machen.
- Ein wichtiger Hinweis:
Die Wiederherstellung auf dem Laufwerk, auf dem die Daten irrtümlich gelöscht wurden, kann die Erfolgschancen senken. - O&O DiskRecovery wendet sich eher an den Profi.
Schon bei der Installation weist das Programm daraufhin, dass eine Einrichtung auf dem betroffenen Computer für die Rettung negative Auswirkungen haben könnte. - Auch auf formatierten Datenträgern bietet O&O DiskRecovery seine Hilfe an.
- Trotz „Schnellformatierung“ unter Windows ist O&O DiskRecovery in der Lage die Testdateien wiederherzustellen.
Löschen ohne zu löschen
Ohne zu tief unter die Haube von Windows schauen zu wollen, ist es sinnvoll, sich damit vertraut zu machen, wie ein Dateisystem arbeitet. Wir versuchen dies sehr abstrakt, um nicht auf die Unterschiede der Dateisysteme eingehen zu müssen. Wird eine Datei auf einem Datenträger gespeichert, so gibt es hierzu einen Eintrag in einer speziellen Dateistruktur - dem Katalogverzeichnis. Dieses Verzeichnis teilt dem Betriebssystem mit wo die Bestandteile einer Datei gespeichert wurden. Die Datei selbst besteht aus diesen Bestandteilen. Wird eine Datei mit den üblichen Bordmitteln von Windows gelöscht, so überschreibt das Betriebssystem nicht die einzelnen Dateibestandteile, sondern löscht typischerweise nur den Eintrag im Katalog. Das geht bedeutend schneller und ist angesichts der vielen hundert bis tausend gleichzeitig geöffneter Dateien die einzig sinnvolle Vorgehensweise. Da nur der Katalogeintrag gelöscht wird, haben die Hilfsprogramme überhaupt eine Chance die Dateien zu rekonstruieren.
Formatiert ist nicht gelöscht
Wie beim Löschen, so arbeitet auch die Schnellformatierung mit dem Überschreiben des Katalogs. Um dies etwas plastischer darzustellen, haben wir mit einer virtuellen Maschine eine Festplatten-Container-Datei mit einer überschaubaren Größe von 1 GByte angelegt. Wie in Abbildung 1 zu sehen, findet sich im ersten Bereich dieser "Festplatte" der so genannte Boot-Block. Da kein Betriebssystem installiert ist, würde einzig "Operation System missing" angezeigt werden. Im zweiten Schritt legten wir eine größere Anzahl von Dateien ab und griffen wieder mit einem Hex-Editor (dem kostenlosen Gizmo Central) zu und können so den kurzen Dateiinhalt direkt auf der "Festplatte" sichtbar machen (Abbildung 2). Es folgen eine "Schnellformatierung" mit Microsoft Windows 7 und ein erneuter Blick mit dem Hex-Editor. Wie in Abbildung 4 sehr gut zu erkennen, sind die eigentlichen Inhalte sehr wohl noch lesbar. Windows selbst sieht jedoch nur eine leere Festplatte!
Bei der Schnellformatierung wird, wie beim Löschvorgang für einzelne Dateien, nicht etwa der Inhalt der Dateien oder des Datenträgers wirklich durch "Nullwerte" ersetzt, es wird nur der Katalog neu angelegt. Wer eine "schnellformatierte" Festplatte weitergibt, muss sich nicht wundern, wenn selbst wenig bewanderte PC-Nutzer von diesem Datenträger Informationen auslesen können. Um Windows dazu zu bringen, den Datenträger wirklich zu löschen, muss das Häkchen "Schnellformatierung" vor der Formatierung in jedem Fall entfernt werden (Abbildung 5). Je nach Größe des Datenträgers dauert dieser Vorgang nun eine geraume Zeit.
Sinnlose Formatierungsprogramme?
Aber selbst eine korrekt formatierte Festplatte sei, so die Stimmen verschiedener Experten, nicht wirklich sicher vor einer unerlaubten Datenrekonstruktion. Technisch betrachtet besteht die Möglichkeit die "Restmagnetisierung" der Festplattenoberflächen zu verwenden, um daraus Daten abzuleiten. Ein solcher Eingriff erfordert jedoch Spezialgerät und vor allem das notwendige Wissen. Wer auf Nummer sicher gehen will, verwendet daher nicht das einfache "Null"-Schreiben auf die Festplatte, sondern das wiederholte Schreiben unterschiedlicher Muster.
Im Internet finden sich Quellen, die besagen, dass eine bis zu 35fache Überschreibung notwendig sei, um eine Wiederherstellung unmöglich zu machen. Ob dies nun wirklich erforderlich ist, oder nicht, dass sei dahingestellt. Es gibt nämlich andere Sicherheitsexperten, laut deren Aussage das herkömmliche Formatieren und das einfache "Überspielen" mit anderen Daten vollkommen ausreichen. Die Wahrscheinlichkeit auch nur ein Byte korrekt zu rekonstruieren liegt laut einer Studie von Wright, Kleiman und Sundhar bei unter einem Prozent. Für die endgültige und sichere Vernichtung von Datenträgern hat das Bundesamt für Sicherheit in der Informationstechnik unter "M 2.167" ein Dokument mit einer Empfehlung erstellt.
Wiederherstellungen nahezu unmöglich machen
Die ordentliche Formatierung des Datenträgers eignet sich natürlich nur dann, sofern der Datenträger selbst in der Form nicht mehr benötigt wird. Um einzelne Dateien sicher zu löschen gibt es Tools ("Shredder"), wie wir im Verlauf des Beitrags noch zeigen werden. Die einfachste Variante ist und bleibt jedoch die Verschlüsselung des Datenträgers um anderen die Rekonstruktion von Dateien unmöglich zu machen. Da wir dieses Thema bereits in einem eigenen Artikel ausführlich dargestellt haben, verweisen wir an dieser Stelle auf diesen Beitrag. Um die Folgen einer Verschlüsselung mit Bitlocker von Microsoft ebenfalls plastisch darzustellen, griffen wir mit dem Hex-Editor auf eine verschlüsselte Kopie der Container-Datei zu (Abbildung 7). Unschwer zu erkennen: Da lässt sich mit Bordmitteln nichts mehr wiederherstellen.
Bedingungen für eine Wiederherstellung
Viele Rettungsversuche für einst gelöschte Dokumente verlaufen leider wenig erfolgreich. Wurde die Festplatte beispielsweise defragmentiert oder wurden viele neue Informationen gespeichert, so ist es gut möglich, dass die ursprüngliche Datei nicht mehr komplett wiederhergestellt werden kann. Welche Auswirkung dies beispielsweise auf eine Bilddatei haben könnte, zeigt sich sehr schön im Wikipedia-Eintrag "Undelete", auf den auch als weiterführende Informationsquelle hingewiesen sei.
Windows Bordmittel - Schattenkopien
Natürlich hat Microsoft nicht einfach den eingangs erwähnten UNDELETE-Befehl ersatzlos verschwinden lassen. An die Stelle ist eine ausgereifte und über das Netzwerk auch im Zusammenspiel mit Windows-/SMB-Servern nutzbare Funktion der "Vorgängerversionen" getreten. Diese auch als Schattenkopien bezeichnete Technik speichert regelmäßig den Zustand von Festplatten und Ordnern und protokolliert lediglich die Änderungen. Somit hat der Anwender die Möglichkeit an den vorherigen Stand zurückzuspringen. Die Aktivierung "Überschriebene Dateien unter Windows 7 wiederherstellen" ist einem Beitrag der Schwesterpublikation Tec-Channel kurz und prägnant beschrieben worden.
Vorteile der Bordmittel:
-
Kostenlos und bereits in Windows 2003/Vista und höher integriert
-
Stabil
-
Nicht auf gelöschte Daten begrenzt
-
Praktische Ergänzung zum Backup
-
Wiederherstellung mitunter Wochen nach dem Löschen noch möglich
Nachteile der Bordmittel:
-
"Vorherige Versionen" müssen aktiviert werden
-
Wurden keine Schattenkopien angelegt, kann eine gelöschte Datei nicht gerettet werden
-
Auf NTFS-formatierte Datenträger begrenzt
Fazit: Die Aktivierung der Vorgängerversionen ist die einfachste und effektivste Möglichkeit unerwünschte Änderungen an Dateien oder das versehentliche Löschen rückgängig zu machen. Drei Schattenkopien pro Tag gelten gemeinhin als eine gute Grundlage. Da die Vorgängerversionen nur mit NTFS-formatierten Datenträgern funktioniert, ist eine Verwendung bei Speicherkarten für Digitalkameras oder USB-Sticks üblicherweise nicht möglich.