Eine quantenphysikalische Erläuterung eines handelsüblichen USB Stick
In Folge meines Studiums in 2010 bis 2012 ergaben sich Situationen, die die Frage stellten, wie gelöschte Daten auf USB Medien wiederhergestellt werden können. Das habe ich zum Anlass genommen, nicht nur Software Tools zu untersuchen, die das Verfahren anwenden können, sondern das Prinzip des Mechanismus überhaupt mal anzuschauen.
Zu unterscheiden gilt hier zunächst die Technologie des Speicherns und Lesen der Daten unter einem USB Stick (Flash EEPROM Speicher). Diese gewährleistet eine nichtflüchtige Speicherung bei gleichzeitig niedrigem Energieverbrauch und ist darüber hinaus sehr handlich. Bei einem Flash EEPROM Speicher werden die Informationen (Bits) in einer Speichereinheit (Speicherzelle) in Form von elektrischen Ladungen gespeichert. Bei einer HDD wird dies mittels Magnetismus erreicht. Die Speicherzellen der Sticks sind auch von Verschleiss betroffen. Hersteller neigen zur Aussage, dass gespeicherte Daten bis zu 10 Jahren gelesen sowie max. bis 1 Mio. Schreibzyklen pro Speicherzelle garantiert werden können. EEPROMs können im Unterschied zu Flash EEPROMs byteweise beschrieben und gelöscht werden.
Ein EEPROM (Electrically Erasable Programmable Read Only Memory) ist ein nichtflüchtiger, elektronischer Speicherbaustein, dessen gespeicherte Information elektrisch gelöscht werden können . Er ist verwandt mit anderen löschbaren Speichern, wie dem durch UV Licht löschbaren EPROMs und dem ebenfalls elektrisch löschbaren Flash Speicher eines USB Sticks
Das Floating-Gate
Um zu verstehen wie die genaue Abfolge des Lese-Schreibzugriffs abläuft, gehe ich nun detailliert vor, um Ihre Frage später genauer wiedergeben zu können, die für das Verständnis zur Wiedererlangung von gelöschten Daten von Vorteil sein kann. Bei einem Flash EEPROM Speicher werden Informationen (Bits) in einer Speichereinheit (Zelle) in Form von elektrischen Ladungen auf einem Floating-Gate eines Metall Isolator Halbleiter Feldeffekttransistors (MISFET, MOSFET metal oxide semiconductor field effect transistor) gespeichert.
Ein Floating-Gate Transistor ist ein spezieller Transistor, der in nichtflüchtigen Speichern zur permanenten Information Speicherung eingesetzt wird.
Der Metall Oxid Halbleiter Feldeffekttransistor und gehört zu den Feldeffekttransistoren mit isoliertem Gate
Bei Feldeffekttransistoren gibt es drei Elektroden, diese sind Source , Drain und Gate. Die Source ist die Quelle für die Ladungsträger und entspricht dem Emitter eines Transistors, Drain ist die Abflusselektrode und entspricht dem Kollektor, das Gate ist die Steuerelektrode und entspricht der Basis.
Einfache grafische Darstellung eines MOSFET (metal oxide semiconductor field effect transistor)
Darstellung 1
Quantenphysikalischer Tunneleffekt
Das Funktionsprinzip eines USB Sticks beschreibt, dass elektrische Ladungen so beeinflusst werden, dass Ladungsträger im darunterliegenden Gebiet zwischen Source und Drain Kontakt (der sogenannte Kanal Inversion Layer) durch die elektrische Leitfähigkeit des Feldeffekttransistors beeinflusst werden.
Damit Informationen gezielt gespeichert werden können, müssen jedoch Ladungen auf das Floating-Gate gebracht und wieder entfernt werden können. Diese Änderung des Ladungszustands ist nur durch den quantenphysikalischen Tunneleffekt möglich, der es Elektronen erlaubt, den eigentlichen Nichtleiter zu passieren. Da dies jedoch nur durch grosse Unterschiede im elektrischen Potential über den Isolator erfolgen kann, bewirkt die elektrische Isolation des Floating-Gate, dass eingebrachte Ladungen nicht abfliessen können und der
Speichertransistor seine Information einbehalten kann.
Die Quantenphysik ist eine physikalische Theorie zur Beschreibung der Materie, ihrer Eigenschaften und Gesetzmässigkeiten. Sie erlaubt im Gegensatz zu den Theorien der klassischen Physik eine präzise Berechnung der physikalischen Eigenschaften von Materie auch im mikroskopischen bis hin zum subatomaren Grössenbereich
Ein Tunneleffekt ist in der Physik eine veranschaulichende Bezeichnung dafür, dass ein atomares Teilchen eine Potentialbarriere von endlicher Höhe auch dann überwinden kann, wenn seine Energie geringer als die Höhe der Barriere ist
Schaltbild zur obigen Beschreibung in grafischer Ansicht für den Grundtyp des MOSFET
Darstellung 2
Die Speicherung von einzelnen Bits erfolgt über das Floating-Gate, das eigentliche Speicherelement des Flash Feldeffekttransistors. Es liegt zwischen dem Steuer-Gate und der Source Drain Strecke und ist von dieser wie auch vom Steuer Gate jeweils mittels einer Oxid Schicht isoliert (siehe Darstellung 1). Im ungeladenen Zustand des Floating-Gates kann über das Steuer Gate auf gesteuerten Transistor in der Source Drain Strecke ein Strom fliessen. Werden über das Steuer Gate durch Anlegen einer hohen positiven Spannung (10 bis 18 V) Elektronen auf das Floating Gate gebracht, so kann in der Source Drain Strecke auch bei auf gesteuertem Transistor kein Strom mehr fliessen , da das negative Potential der Elektronen auf dem Floating Gate der Spannung am Steuer Gate entgegenwirkt und somit den Flash Transistor geschlossen hält. Diese Methode nennt sich auch „Hot Electron Injection“.
HOT Electron Injection
Der ungeladene Zustand (Löschen durch Tunneln) wird erreicht, indem die Elektronen durch Anlegen einer hohen negativen Spannung über die Steuergate Kanal Strecke wieder aus dem Floating-Gate ausgetrieben werden.
Ein Flash Speicher besteht also aus einer bestimmten, von der Speichergrösse abhängigen Anzahl einzelner Speicherelemente. Die Bytes können hier einzeln adressiert werden. Die entgegengesetzte Operation, das Löschen, ist aber nur in grösseren Einheiten, den so genannten Sektoren der Gesamtspeicherkapazität möglich. Dabei ist die logische Polarität nicht immer gleich die den Übergang zu 0 und 1 realisieren und umgekehrt. Das bedeutet, dass zum Wiederbeschreiben immer erst eine Löschoperation auf einem Sektor bei Flash EEPROM Speicher nötig ist, um den gewünschten Speicherinhalt herzustellen.
Im Umkehrschluss heisst das nun, das beim Löschen eines Verzeichnisses oder einer Datei auf einem Flash EEPROM Speicher grössere Blöcke entfernt werden, wo zuvor gelöschte Daten teils mehrfach überschrieben werden können, die die Wiederherstellung teils sehr schwierig gestalten kann . Bei einer HDD wird dieses Phänomen bereits durch 3-maliges löschen oder das Beschreiben mit 0 oder Zufallszahlen erreicht.
Ein Sektor ist eine Masseinheit der Speicherkapazität eines Mediums. Aus ihr werden die Grössen der Kapazitäten berechnet. Sektoren werden auch Datenblöcke genannt. Der Daten block ist dabei eine begrenzte, festgelegte Anzahl von Bits oder Bytes
Eine Festplatte löscht bei Datenlöschung jedoch nicht ganze Speicherbereiche oder grössere Einheiten, sondern nur das Verzeichnis selbst, sodass versehentlich gelöschte Daten bei einmaligem Löschvorgang ohne grössere Probleme wiederhergestellt werden können.
Datenrettungsversuch
Nach diesem Quanten Ausflug können wir uns nun an die Sache machen und nach geeigneten Massnahmen suchen, um versehentliche gelöschte Daten wiederherzustellen. Wer einen Windows PC nutzt, der kann sich freuen, wenn die Daten auf dem Desktop im Mülleimer sind. Dann ist das in dem Fall keine grosse Sache. Sind diese Dinge nicht gegeben, dann gibt es Freeware und Kaufprogramme, die versprechen dass gelöschte Daten zu 100 Prozent wiederhergestellt werden können. Dabei kommt es jedoch darauf an, was oben beschrieben wurde. Insofern hasst du gute Chancen, wenn die Daten gelöscht wurden, jedoch der Stick nicht wieder beschrieben wurde, oder es weiter gelöscht wurde und; je mehr freier Speicherplatz zur Verfügung steht, desto höher die Chancen auf eine Wiederherstellung, da mehr freie Sektoren.
Bevor Rettungsversuche unternommen werden, USB Stick 1 zu 1 Kopie anfertigen
Ich habe damals das Programm Recuva genutzt für das Testen zur Wiederherstellung von gelöschten Daten auf einem USB Stick. ist. Zu Beginn durchsuchte ich den gesamten Stick nach allen Dateien und Verzeichnissen. Mir wird nach Scan, ohne Tiefenscan mehrere Daten und Verzeichnisse angeboten, die ich gerade gelöscht hatte und die, die bereits seit längerem gelöscht waren . Darunter auch Word Dateien, Bilder und einfache Textdateien. Recuva zeigt auch den Zustand der gelöschten Dateien an, so zum Beispiel eine kürzlich gelöschte Datei als „Exzellent“ (*xlsx, txt) und ebenfalls eine kürzlich gelöschte Datei (*.exe) als „kritisch“.
Ich markierte zunächst die *txt Datei und stellte diese wieder her. Für den Speicherort ist es wichtig, nicht dass zu wiederherstellende Medium zu nutzen, da Gefahr besteht, dass so weitere Daten verloren gehen können. Ich wählte dafür einen Ort auf meiner HDD. Die Textdatei ließ sich ohne weiteres öffnen und der Text darin war ohne Verluste wiederhergestellt. Als nächstes nahm ich die Word Datei und stellte diese wieder her. Musste jedoch feststellen, dass die Datei mit Word sich nicht öffnen liess und als defekt deklariert war.
Für solche Fälle gibt es zum Beispiel „ Repair my Word “. Repair my Word ist in der Lage, beschädigte Word Dateien zu reparieren und den Inhalt wiederherzustellen. Diese werden im RTF Format abgespeichert. Eine andere Word Datei liess sich ohne Probleme wieder öffnen, obwohl diese als „unwiderherstellbar“ deklariert war. Die Excel Datei, die als „Exzellent“ dargestellt wurde, war defekt. Einige Bilddateien liessen sich ohne Probleme wieder öffnen, andere dagegen nicht. Man sollte für solch einen Prozess wie bereits beschrieben, mehrere Versuche mit verschiedenen Programmen durchführen, um das bestmögliche Ergebnis zu erhalten. Wichtig: Bitte den USB Stick exakt auf einen anderen USB kopieren (bevor solche Rettungsversuche stattfinden), da so eine 1 zu 1 Kopie unberührt vorliegt. Wichtig auch für forensische Massnahmen. Die Programme, die ich testete, konnten nur die Dateien wiederherstellen, nicht jedoch die Verzeichnisse, in denen sie lagen. Verzeichnisse sind demnach so nicht wiederherzustellen und bei gröseren Mengen Daten kann also die Struktur verloren gehen, was aber als das kleinere Übel zu betrachten ist.
Aber auch Recovery Tools stossen an Ihre Grenzen, wenn es darum geht, bereits überschriebe Daten wiederherzustellen. In diesem Fall ist die Wichtigkeit abzuwägen, wenn es darum geht, eine Professionelle Datenrettung in Anspruch zu nehmen.
Zusammenfassung der Einzelschritte
USB Stick scannen, auch gegeben falls in der Tiefe scannen, Zeit lassen, keine weiteren Operationen auf dem Datenträger in Form von löschen oder beschreiben vornehmen, da die Möglichkeiten um Dateien wiederherstellen zu können limitiert ist, da sie ja zum Überschreiben frei gegeben wurden. Mehrere Tools zur Wiederherstellung nutzen, die wiederherzustellenden Dateien nicht auf dem betreffenden Medium herstellen, sondern ein anderes Medium benutzen, z.B. eine HDD o.ä. Auch sollte abgewogen werden, inwiefern die Wirtschaftliche Notwendigkeit gegeben ist, die Daten wiederherzustellen oder ob es lohnt diese neu zu beschaffen oder zu erstellen.
Zum Schluss
Der Umkehrschluss zur Wiederherstellung von Daten stellt auch die sichere Vernichtung dieser dar. Mit diesen Tools ist es also möglich, festzustellen, ob und wie gut sich Daten wiederherstellen las sen. Zum Beispiel bei Veräusserung einer HDD. Es genügt in diesem Fall die gesamte Platte Dreimal mit 0 und 1 zu überschreiben.
In einem Dokument des IT Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) heisst es, Angreifer müssen nicht immer komplizierte technische Attacken austüfteln, um über Schwachstellen in IT Systemen an Informationen zu gelangen. Viel einfacher und erfolgreicher kann die Informationsgewinnung aus der Mülltonne sein.“ Dass nicht so weithergeholt ist, zeugte in Zürich aus dem Jahr 2020. Ein Arzt hatte Patientendatenblätter auf der Strasse deponiert, die angeblich mit dem Altpapier entsorgt werden sollten.
Ein USB Stick, der nicht mehr benötigt wird sollte mechanisch vernichtet werden. Ebenso DVD und CD´s. Hier ist der wirtschaftlich verwertbare Nutzen nicht gegeben. Siehe dazu auch den Artikel die 7 ultimativen Tipps zur Vorbeugung gegen Cyberattacken.