Datensicherheit

Daten auf der SSD komplett und sicher löschen

Freitag, 21.09.2012 | 10:25 von David Wolski
SSDs lassen sich mit dem internen Befehl ATA Secure Erase zurücksetzen<BR>
<BR>
<BR>
Vergrößern SSDs lassen sich mit dem internen Befehl ATA Secure Erase zurücksetzen<BR> <BR> <BR>
Die Controller-Logik einer SSD steuert alle Schreibvorgänge, um Speicherzellen möglichst gleichmäßig zu nutzen. Ein Nebeneffekt: Herkömmliche Programme können SSDs nicht sicher und komplett löschen. Nur direkte ATA-Befehle erlauben ein zuverlässigen Zurücksetzen jeder einzelnen Speicherzelle. Der Ratgeber zeigt, welche Werkzeuge dafür zur Verfügung stehen und wie ein komplettes Zurücksetzen der SSD funktioniert.
In den üblichen SSDs kommt als Speichermedium Flash-Speicher zum Einsatz, der nur eine begrenzte Anzahl an Schreibvorgängen verkraftet. Eine Speicherzelle vom Typ MLC (Multi-Level Cell) verträgt etwa 3.000 Schreibvorgänge. Denn mit der Zeit verlieren sie die Fähigkeit, Ladung zu speichern. Danach wird die Speicherzelle “vergesslich” und kann keine neuen Daten mehr speichern, bleibt allerdings lesbar. Dem günstigen MLC-Speicher erschwinglicher SSDs steht der deutlich teurere SLC (Single-Level-Cell) gegenüber. Diese Art von Flash-Speicher hat eine geringere Datendichte und eine längere Lebenserwartung von rund 100.000 Schreibvorgängen. Aufgrund der hohen Kosten sind SSD-Laufwerke mit SLC-Speicher allerdings ein Nischenprodukt geblieben, da sie preislich um den Faktor 10 teurer sind.

Hersteller setzen deshalb auf einen Trick, um eine frühen Ausfall von Speicherzellen zu vermeiden:Ein interner Controller verteilt Schreibbefehle gleichmäßig  aufalle Speicherzellen der SSD. Jeder Schreibbefehl, den das Betriebssystem an die SSD sendet, wird also von der Firmware optimiert und auf verschiedene Speicherzellen verteilt. Die SSD entscheiden selbst, wohin sie welche Daten schreibt. Der Nebeneffekt: Ein zuverlässiges Löschen und Überschreiben von Daten ist damit auf herkömmlichen Weg nicht möglich. Auch das mehrfache Überschreiben von Dateien oder gleich der gesamten SSD bietet keine Sicherheit, dass die zuvor gespeicherten Daten tatsächlich komplett weg sind. Einem Forscherteam an der University of California um Michael Wei ist es beispielsweise gelungen, mit einem eigens entwickelten Controllerbaustein vermeintlich gelöschte Daten von SSDs zu lesen. Der bereits 2011 veröffentlichte Bericht schlug hohe Wellen und steht im Original hier zur Nachlese.

Um Daten direkt von SSDs zu lesen hat die Forschergruppe
um Michael Wei diesen Adapter entwickelt.
Vergrößern Um Daten direkt von SSDs zu lesen hat die Forschergruppe um Michael Wei diesen Adapter entwickelt.
© Michael Wei, Laura M. Grupp, Frederick E. Spada, Steven Swanson

Hintergrund: Wie Löschen auf Dateisystemebene funktioniert

Generell entfernt einfaches Löschen auch bei magnetischen Speichermedien die Daten nicht komplett von der Platte. Wenn Sie eine Datei unter Windows, Linux oder einem anderen Betriebssystem löschen, werden dabei die zuvor belegten Sektoren auf Dateisystemebene als frei und beschreibbar markiert. Die Daten selbst bleiben aber physikalisch erhalten, bis eventuell zu einem späteren Zeitpunkt neu hinzugekommenen Dateien die gleichen Sektoren neu beschreiben. Der Grund für diese Vorgehensweise ist ganz einfach: Performance.

Der Speicherbereich einer Datei kann ganz schnell als frei markiert werden, auch wenn diese mehrere Gigabyte groß ist. Ein komplettes physikalischen Überschreiben aller Sektoren wäre dagegen eine kaum akzeptable Systembremse und der Nutzen wäre gering. Denn dem Betriebssystem ist es egal, ob ein Sektor überschrieben ist oder nur als leer markiert ist. Dies machen sich übrigens die üblichen Werkzeuge zur Datenrettung wie Recuva , PC Inspector File Recovery und Photorec zu Nutze. Diese Programme analysieren den freien Bereich einer Festplatte Sektor für Sektor und setzen die gefundenen Daten wieder zu kompletten Dateien zusammen.

Wer auf Nummer sicher gehen will oder muss, verlässt sich deshalb nicht auf die Löschfunktionen des Betriebssystems. Zusatzprogramme helfen dabei, eine Datei nach dem Löschen gezielt zu überschreiben und damit unwiederbringlich zu entfernen. Für Windows eignet sich dazu beispielsweise der Secure Eraser und zum Löschen ganzer Festplatten das bootfähige, betriebssystemunabhängige Dban . Es reicht übrigens aus, Daten auf Festplatten nur einmal zu überschreiben. Ein mehrfaches Überschreiben, auch Gutmann-Methode genannt, ist überflüssig. Denn bei der dichten Speicherstruktur von Festplatten ab 15 GB ist auch eine Analyse mit einem Magnetkraft-Mikroskop nicht ausreichend, um danach noch einzelne Bits zu rekonstruieren.

Herkömmliche Tools zum sicheren Löschen versagen bei SSDs,
wie etwa hier DBAN
Vergrößern Herkömmliche Tools zum sicheren Löschen versagen bei SSDs, wie etwa hier DBAN

Warum bei SSDs herkömmliche Methoden versagen

Ein Überschreiben ist bei Magnetspeichern also völlig ausreichend, um Daten gründlich zu löschen. Dies gilt aber nicht für SSDs, denn diese verhalten sich bei der Organisation von Daten und freiem Speicherplatz völlig anders als Festplatten. Dies hat mehrere Gründe: Für interne Aufteilung des Flash-Speicher sorgt ein Flash Translation Layer (FTL), der dem physikalischen Speicher Adressen zuordnet. Ein direkter Zugriff auf eine bestimmte Adresse wie bei einer Festplatte ist damit unmöglich. Außerdem übernimmt die Controller-Logik jeden Schreib- und Löschbefehl, um sowohl für  Geschwindigkeit als auch für die gleichmäßige Belegung aller Speicherzellen zu sorgen - genannt „Wear Leveling“. Gelöschten Speicherplatz gibt der interne Controller einer SSD  auch nicht sofort wieder frei. Wenn ein Block bereits teilweise belegt ist, geht es bei Flash-Speicher schneller, zunächst in einen freien Block zu schreiben. Für das Zusammenfassen freier Speicherbereiche zu kompletten, wieder-beschreibbaren Blöcken sorgt später eine interne Aufräumfunktion der SSD, die „Garbage Collection“. Neu geschriebene Daten landen auf einer SSD also nicht dort, wo gerade Speicherplatz frei wurde. Dies betrifft auch die Überschreibmethoden von Löschprogrammen. Die üblichen Lösch-Werkzeuge wie Secure Eraser, Dban und Co haben keinen direkten Einfluss auf die Belegung des Flash-Speichers. Der Einsatz dieser Programme also nicht nur sinnlos - sondern bei mehrfachen Überschreiben eher abträglich, da die SSD unnötig mit Schreibvorgängen strapaziert wird.

Die interne Garbage Collection auf SSDs verschiebt Daten
auf dem Flash-Speicher immer wieder, um Platz zu machen
Vergrößern Die interne Garbage Collection auf SSDs verschiebt Daten auf dem Flash-Speicher immer wieder, um Platz zu machen

Sicheres Löschen: ATA Secure Erase

Eine SSDs präsentiert Datenreste nicht auf dem Silbertablett und Software allein reicht zum Auslesen nicht aus. Stattdessen ist es nötig, den Flash Translation Layer (FTL) zu umgehen und jede Speicherzelle einzeln auszulesen. Möglich ist dies aber alle mal, zumindest unter Laborbedingungen. Die Forschergruppe um Michael Wei an der University of California haben dazu einen Adapter gebaut, um direkt auf die SSD zu schauen.

Um die Datensicherheit auf gelöschten Laufwerken zu gewährleisten, bietet die ATA-Spezifikation ein spezielles Löschkommando: ATA Secure Erase. Dieser Befehl ist bei allen ATA/SATA-Laufwerken ab dem Jahr 2001 enthalten, um den strengen Vorgaben des National Institute of Standards and Technology (NIST) zum sicheren Löschen gerecht zu werden. Wichtig ist sicheres Löschen in allen Bereichen, in welchen es auf konsequente Datensicherheit ankommt. ATA Secure Erase überschreibt dazu wie bei einem Format-Befehl den gesamten Datenträger. Inklusive jener Bereiche für Sector Reallocation reserviert sind und im normalen Betrieb nicht zugänglich sind, da es sich dabei um Ersatz-Sektoren für die interne Fehlerbehebung handelt. Der Befehl ATA Secure Erase ist eine Erweiterung der Firmware und im Befehlssatz des Laufwerks untergebracht. Auf SSDs hat der Befehl den zusätzlichen Nutzen, dass ATA Secure Erase den Datenträger in den Werkszustand zurücksetzt und die SSD damit wieder so schnell macht, wie am ersten Tag.

Es bleibt aber das Problem, an den Befehl heran zu kommen. Denn ein normales Formatierungskommando von Windows oder Linux reicht dazu nicht. Stattdessen ist spezielle Software nötig, um ATA Secure Erase auf einem Laufwerk anzustoßen.

Einige Hersteller liefern zu ihren SSDs passende Dienstprogramme mit aus, entweder auf einer CD im Karton, oder auf der Support-Webseite. Viele der Dienstprogramme bieten auch ein „Secure Erase“ an, um die SSD zurück zu setzen. Ein Beispiel dafür ist die Intel Solid-State Drive Toolbox und der Samsung SSD Magician . Dieser Weg über diese herstellerspezifischen Windows-Programme ist in jedem Fall der einfachste, da ATA Secure Erase hier einfach über einen entsprechenden Menüpunkt aufgerufen wird. Allerdings gibt es nicht von jedem Hersteller passende Dienstprogramme und auf fremden SSDs lassen sie sich auch nicht ausführen.

Herstellerspezifisches Tool: Der Samsung SSD Magician für
SSDs von Samsung
Vergrößern Herstellerspezifisches Tool: Der Samsung SSD Magician für SSDs von Samsung

ATA Secure Erase mit Parted Magic durchführen

Ein bekanntes Programm, umATA Secure Erase auszuführen, ist die Freeware HDDErase für Windows. Allerdings arbeitet HDDErase immer nicht zuverlässig: Zum einen ist das Programm mit zahlreichen SDDs nicht kompatibel, etwa mit Modellen von Intel. Zum anderen kommt es mit dem BIOS von einigen Hauptplatinen nicht zurecht und findet dann gar keine angeschlossenen SSDs.

Es bietet sich  ein noch ein anderer Weg über Parted Magic an. Dies ist ein bootfähiges Live-System auf Linux-Basis, das unter anderem den bewährten Partitionierer Gparted mitbringt. Außerdem sind eine Reihe weiterer Festplattentools enthalten, etwa auch ein Befehl für ATA Secure Erase.

Hinweis: Der Einsatz von Parted Magic eignet sich eher für fortgeschrittene Anwender und erfolgt natürlich auf eigene Gefahr. Sie dürfen mit dem enthaltenen Lösch-Werkzeug für ATA Secure Erase nur auf direkt über SATA angeschlossene Laufwerke zugreifen. Keinesfalls aber auf Datenträger, die per USB und eSATA mit dem Rechner verbunden sind. In diesem Fall scheitert nicht nur ATA Secure Erase - schlimmstenfalls ist das Laufwerk anschließend sogar defekt und nur noch ein teurer Briefbeschwerer.

Um den PC oder das Notebook mit Parted Magic zu booten, brennen Sie die ISO-Datei des Livesystems auf eine CD oder transferieren Sie das Image mit Hilfe von Unetbootin auf einen leeren USB-Stick, um diesen bootfähig zu machen. Im BIOS des PCs muss dazu der Zugriffsmodus für die ATA-Schnittstelle nicht auf „IDE“ oder „Legacy“ umgestellt werden, der Modus „AHCI“ ist beim Einsatz von Parted Magic völlig in Ordnung. Nach dem Start präsentiert Parted Magic einen englischsprachigen Desktop mit einem Windows-ähnlichen Anwendungsmenü. Hier gehen Sie auf „System Tools -> Erase Disk“ und wählen dann die Option „Internal: Secure Erase command writes zeroes to entire data area“, die für ATA Secure Erase verantwortlich ist. Im nächsten Schritt wählen Sie das gewünschte Laufwerk aus, das zurückgesetzt werden soll. Vorsicht bei der Auswahl, denn die Daten auf dem Laufwerk gehen unwiederbringlich verloren. In einigen Fällen sind abhängig von BIOS und SSD noch zwei weitere Schritte nötig:

Parted Magic: Das Live-System auf Linux-Basis bietet im
Anwendungsmenü den Punkt „Erase Disk“ für gründliches
Löschen
Vergrößern Parted Magic: Das Live-System auf Linux-Basis bietet im Anwendungsmenü den Punkt „Erase Disk“ für gründliches Löschen

1.) Wenn Sie eine Meldung darüber informiert, dass sich die SSD im Zustand „frozen“ befindet („Unfortunately, the selcted drive's security state is set to frozen“), dann klicken Sie zunächst auf die Schaltfläche „Sleep“, um den PC oder das Notebook in den Ruhezustand zu versetzen. Nach dem Aufwecken des Rechners starten Sie das Tool über „System Tools -> Erase Disk“ erneut.

2.) Viele SSDs erlauben es, ATA Secure Erase mit einem Passwort zu schützen, damit sich der Befehl nur noch nach der Eingabe des richtigen Passworts aufhalten lässt. Sollte Sie Parted Magic nach einem (optionalen) Passwort dazu fragen, können Sie einfach den eingetragenen Wert „NULL“ mit einem Klick auf „OK“ übernehmen.

Parted Magic: Diese Option erlaubt einen ATA Secure
Erase
Vergrößern Parted Magic: Diese Option erlaubt einen ATA Secure Erase

Anschließend ist nur noch eine allgemeine Bestätigung für den Löschbefehl mit „OK“ nötig. Im Hintergrund startet Parted Magic nun das Kommandozeilentool „hdparm“, um auf dem ausgewählten Laufwerk ATA Secure Erase in Gang zu setzen. Der Vorgang dauert auf SSDs nur wenige Sekunden und ein Hinweisfenster informiert Sie, wenn der Befehl abgeschlossen ist. Wenn alles geklappt hat, ist die SSD nun komplett zurück gesetzt und enthält keinerlei Datenreste mehr. Da der SSD-Controller nun wieder mit einem leeren Flash-Speicher arbeiten kann, kann sich das Zurücksetzen bei einigen SSDs auch vorteilhaft auf die Schreibgeschwindigkeit auswirken.

ATA Secure Erase: Die optionale Passwort-Eingabe kann
übersprungen werden
Vergrößern ATA Secure Erase: Die optionale Passwort-Eingabe kann übersprungen werden

Probleme beim Zurücksetzen von SSDs

Bei einigen Hauptplatinen gibt das BIOS die SSD für  ATA Secure Erase nicht frei. Das Laufwerk verbleibt im Status „Frozen“ und auch der aktivierte Ruhezustand ändert daran nichts. In diesem Fall ist das Zurücksetzen der SSD kein Spaziergang: Es empfiehlt sich, das Laufwerk stattdessen in einem anderen Rechner mit einem anderen BIOS einzubauen, und dort alle Schritte nochmal auszuführen. Sollte das auch nicht helfen, bleibt nur ein riskanter Trick: Starten Sie den PC mit offenem Gehäuse und abgesteckter SSD, wobei das Stromkabel aber unbedingt am Laufwerk bleiben muss. Im BIOS des Rechners muss der Zugriffsmodus („ATA/IDE Mode“) auf „AHCI“ gesetzt sein. Starten Sie dann den Rechner und erst wenn Parted Magic läuft, schließen Sie die SSD an den SATA-Port an. Gehen Sie in Parted Magic wieder auf „System Tools -> Erase Disk“. Das SSD-Laufwerk sollte nun nicht mehr im Status „frozen“ festgefroren sein. Das nachträgliche Anstecken funktioniert nur dann, wenn das BIOS Hot-Plugging unterstützt. Diese abenteuerliche Methode eignet sich deshalb für experimentierfreudige Anwender und ist sicher, wenn nur das SATA-Controllerkabel nachträglich angesteckt wird, nicht aber das Stromkabel. Das nachträgliche Anschließen der Stromversorgung an die SSD kann das Laufwerk beschädigen.

Das Stromkabel bleibt an der SSD, nur das SATA-Datenkabel
darf während des Betriebs angeschlossenen werden.
Vergrößern Das Stromkabel bleibt an der SSD, nur das SATA-Datenkabel darf während des Betriebs angeschlossenen werden.
Freitag, 21.09.2012 | 10:25 von David Wolski
Kommentieren Kommentare zu diesem Artikel (4)
  • kazhar 06:32 | 16.01.2013

    hmm... also ein grafisches tool würde ich nicht auf meine platten loslassen. da weiss man ja nicht obs nicht die falsche platte erwischt. secure erase lässt sich nämlich nicht stoppen. auch nicht durch strom aus....

    Antwort schreiben
  • elmores 01:11 | 16.01.2013

    Geht doch

    habe bei meiner OCZ Agility 3 getan, wie oben geschrieben - und siehe da, alles wunderbar!!! Danke

    Antwort schreiben
  • deoroller 16:11 | 22.09.2012

    !

    Zuerst gucke ich, ob meine Kingston SSD vom SSD-Tool Secure Erase (HDDErase) gefunden wird. Dann, ob es auch löschen kann. Ich starte es also und ... verdammt, was passiert denn jetzt ... neiiiin!

    Antwort schreiben
  • tempranillo 15:08 | 22.09.2012

    Riskante Manöver

    Derartige Aktionen sind natürlich immer für schlechte Laune gut, da höchst fehleranfällig. Für einen weniger erfahrenen User wird es doch schon sehr kritisch, wenn dieses PartedMagic-Skript aus irgendeinem Grund nicht sauber durchläuft. Und wenn der risikofreudige User zur Beseitigung des Freeze-Status schon ein Passwort gesetzt hat, sind lange Gesichter garantiert. Was das Abstöpseln des Datenkabels anbelangt, sollte vielleicht noch erwähnt werden, dass solche Aktionen gerne schon mal eine Kernel Panic verursachen. Dann hilft nur noch ein harter Reset und Beten. Vielleicht ist es sinnvoll, vor dem Einsatz des PartedMagic-Tools erstmal im Terminal mit hdparm den Freeze-Status abzufragen. Wer schon daran scheitert, sollte die Finger von solchen Experimenten lassen.

    Antwort schreiben
1577848