In der guten alten DOS-Zeit war die Wiederherstellung versehentlich gelöschter Dateien auf der Festplatte oder auf einer Diskette mit dem Befehl UNDELTE überhaupt kein Problem, sofern noch keine neueren Dateien auf den Datenträger geschrieben wurden. Mit der Einführung von Windows verschwand das beliebte Kommando. Wer Dateien zunächst in den "Papierkorb" wirft und diesen nur bei Bedarf "leert", hat gute Chancen, seine Datei dort wiederzufinden. Ist sie aus dem Papierkorb verschwunden, müssen Nutzer heutzutage ein wenig tiefer in die Trickkiste greifen.

Oftmals ist es aber vonnöten, dass eine gelöschte Datei wirklich nicht mehr aufzufinden ist - von niemand. Wir haben uns einige Tools und Techniken angeschaut, die im Zusammenhang von "wirklich gelöscht und möglicherweise doch wiederherstellbar" von Interesse sind. Diese Betrachtung darf unter keinen Umständen als "vollständig" missverstanden werden, dafür gibt es einfach zu viele Helferlein. Zudem beschränken wir uns hier ausschließlich auf die Windows-Plattform.

Löschen ohne zu löschen

Ohne zu tief unter die Haube von Windows schauen zu wollen, ist es sinnvoll, sich damit vertraut zu machen, wie ein Dateisystem arbeitet. Wir versuchen dies sehr abstrakt, um nicht auf die Unterschiede der Dateisysteme eingehen zu müssen. Wird eine Datei auf einem Datenträger gespeichert, so gibt es hierzu einen Eintrag in einer speziellen Dateistruktur - dem Katalogverzeichnis. Dieses Verzeichnis teilt dem Betriebssystem mit wo die Bestandteile einer Datei gespeichert wurden. Die Datei selbst besteht aus diesen Bestandteilen. Wird eine Datei mit den üblichen Bordmitteln von Windows gelöscht, so überschreibt das Betriebssystem nicht die einzelnen Dateibestandteile, sondern löscht typischerweise nur den Eintrag im Katalog. Das geht bedeutend schneller und ist angesichts der vielen hundert bis tausend gleichzeitig geöffneter Dateien die einzig sinnvolle Vorgehensweise. Da nur der Katalogeintrag gelöscht wird, haben die Hilfsprogramme überhaupt eine Chance die Dateien zu rekonstruieren.

Formatiert ist nicht gelöscht

Wie beim Löschen, so arbeitet auch die Schnellformatierung mit dem Überschreiben des Katalogs. Um dies etwas plastischer darzustellen, haben wir mit einer virtuellen Maschine eine Festplatten-Container-Datei mit einer überschaubaren Größe von 1 GByte angelegt. Wie in Abbildung 1 zu sehen, findet sich im ersten Bereich dieser "Festplatte" der so genannte Boot-Block. Da kein Betriebssystem installiert ist, würde einzig "Operation System missing" angezeigt werden. Im zweiten Schritt legten wir eine größere Anzahl von Dateien ab und griffen wieder mit einem Hex-Editor (dem kostenlosen Gizmo Central) zu und können so den kurzen Dateiinhalt direkt auf der "Festplatte" sichtbar machen (Abbildung 2). Es folgen eine "Schnellformatierung" mit Microsoft Windows 7 und ein erneuter Blick mit dem Hex-Editor. Wie in Abbildung 4 sehr gut zu erkennen, sind die eigentlichen Inhalte sehr wohl noch lesbar. Windows selbst sieht jedoch nur eine leere Festplatte!

Bei der Schnellformatierung wird, wie beim Löschvorgang für einzelne Dateien, nicht etwa der Inhalt der Dateien oder des Datenträgers wirklich durch "Nullwerte" ersetzt, es wird nur der Katalog neu angelegt. Wer eine "schnellformatierte" Festplatte weitergibt, muss sich nicht wundern, wenn selbst wenig bewanderte PC-Nutzer von diesem Datenträger Informationen auslesen können. Um Windows dazu zu bringen, den Datenträger wirklich zu löschen, muss das Häkchen "Schnellformatierung" vor der Formatierung in jedem Fall entfernt werden (Abbildung 5). Je nach Größe des Datenträgers dauert dieser Vorgang nun eine geraume Zeit.

Sinnlose Formatierungsprogramme?

Aber selbst eine korrekt formatierte Festplatte sei, so die Stimmen verschiedener Experten, nicht wirklich sicher vor einer unerlaubten Datenrekonstruktion. Technisch betrachtet besteht die Möglichkeit die "Restmagnetisierung" der Festplattenoberflächen zu verwenden, um daraus Daten abzuleiten. Ein solcher Eingriff erfordert jedoch Spezialgerät und vor allem das notwendige Wissen. Wer auf Nummer sicher gehen will, verwendet daher nicht das einfache "Null"-Schreiben auf die Festplatte, sondern das wiederholte Schreiben unterschiedlicher Muster.

Im Internet finden sich Quellen, die besagen, dass eine bis zu 35fache Überschreibung notwendig sei, um eine Wiederherstellung unmöglich zu machen. Ob dies nun wirklich erforderlich ist, oder nicht, dass sei dahingestellt. Es gibt nämlich andere Sicherheitsexperten, laut deren Aussage das herkömmliche Formatieren und das einfache "Überspielen" mit anderen Daten vollkommen ausreichen. Die Wahrscheinlichkeit auch nur ein Byte korrekt zu rekonstruieren liegt laut einer Studie von Wright, Kleiman und Sundhar bei unter einem Prozent. Für die endgültige und sichere Vernichtung von Datenträgern hat das Bundesamt für Sicherheit in der Informationstechnik unter "M 2.167" ein Dokument mit einer Empfehlung erstellt.

Wiederherstellungen nahezu unmöglich machen

Die ordentliche Formatierung des Datenträgers eignet sich natürlich nur dann, sofern der Datenträger selbst in der Form nicht mehr benötigt wird. Um einzelne Dateien sicher zu löschen gibt es Tools ("Shredder"), wie wir im Verlauf des Beitrags noch zeigen werden. Die einfachste Variante ist und bleibt jedoch die Verschlüsselung des Datenträgers um anderen die Rekonstruktion von Dateien unmöglich zu machen. Da wir dieses Thema bereits in einem eigenen Artikel ausführlich dargestellt haben, verweisen wir an dieser Stelle auf diesen Beitrag. Um die Folgen einer Verschlüsselung mit Bitlocker von Microsoft ebenfalls plastisch darzustellen, griffen wir mit dem Hex-Editor auf eine verschlüsselte Kopie der Container-Datei zu (Abbildung 7). Unschwer zu erkennen: Da lässt sich mit Bordmitteln nichts mehr wiederherstellen.

Bedingungen für eine Wiederherstellung

Viele Rettungsversuche für einst gelöschte Dokumente verlaufen leider wenig erfolgreich. Wurde die Festplatte beispielsweise defragmentiert oder wurden viele neue Informationen gespeichert, so ist es gut möglich, dass die ursprüngliche Datei nicht mehr komplett wiederhergestellt werden kann. Welche Auswirkung dies beispielsweise auf eine Bilddatei haben könnte, zeigt sich sehr schön im Wikipedia-Eintrag "Undelete", auf den auch als weiterführende Informationsquelle hingewiesen sei.

Windows Bordmittel - Schattenkopien

Natürlich hat Microsoft nicht einfach den eingangs erwähnten UNDELETE-Befehl ersatzlos verschwinden lassen. An die Stelle ist eine ausgereifte und über das Netzwerk auch im Zusammenspiel mit Windows-/SMB-Servern nutzbare Funktion der "Vorgängerversionen" getreten. Diese auch als Schattenkopien bezeichnete Technik speichert regelmäßig den Zustand von Festplatten und Ordnern und protokolliert lediglich die Änderungen. Somit hat der Anwender die Möglichkeit an den vorherigen Stand zurückzuspringen. Die Aktivierung "Überschriebene Dateien unter Windows 7 wiederherstellen" ist einem Beitrag der Schwesterpublikation Tec-Channel kurz und prägnant beschrieben worden.

Vorteile der Bordmittel:

• Kostenlos und bereits in Windows 2003/Vista und höher integriert

• Stabil

• Nicht auf gelöschte Daten begrenzt

• Praktische Ergänzung zum Backup

• Wiederherstellung mitunter Wochen nach dem Löschen noch möglich

Nachteile der Bordmittel:

• "Vorherige Versionen" müssen aktiviert werden

• Wurden keine Schattenkopien angelegt, kann eine gelöschte Datei nicht gerettet werden

• Auf NTFS-formatierte Datenträger begrenzt

Fazit: Die Aktivierung der Vorgängerversionen ist die einfachste und effektivste Möglichkeit unerwünschte Änderungen an Dateien oder das versehentliche Löschen rückgängig zu machen. Drei Schattenkopien pro Tag gelten gemeinhin als eine gute Grundlage. Da die Vorgängerversionen nur mit NTFS-formatierten Datenträgern funktioniert, ist eine Verwendung bei Speicherkarten für Digitalkameras oder USB-Sticks üblicherweise nicht möglich.