1577848

Daten auf der SSD komplett und sicher löschen

02.02.2017 | 13:30 Uhr |

Die Controller-Logik einer SSD steuert alle Schreibvorgänge, um Speicherzellen möglichst gleichmäßig zu nutzen. Ein Nebeneffekt: Herkömmliche Programme können SSDs nicht sicher und komplett löschen. Nur direkte ATA-Befehle erlauben ein zuverlässigen Zurücksetzen jeder einzelnen Speicherzelle. Der Ratgeber zeigt, welche Werkzeuge dafür zur Verfügung stehen und wie ein komplettes Zurücksetzen der SSD funktioniert.

In den üblichen SSDs kommt als Speichermedium Flash-Speicher zum Einsatz, der nur eine begrenzte Anzahl an Schreibvorgängen verkraftet. Denn mit der Zeit verlieren die Zellen die Fähigkeit, Ladung zu speichern. Danach wird die Speicherzelle “vergesslich” und kann keine neuen Daten mehr speichern, bleibt allerdings lesbar. Aktuelle Speicherzellen vom Typ MLC (multi-level cell) vertragen zwischen 3.000 und 5000 Schreibvorgänge und speichern in der Regel zwei Bits pro Zelle. Noch günstiger sind SSDs mit TLC-Speicher (triple-level cell), die drei Bit pro Zelle sichern und für etwa 1000 Schreibzyklen ausgelegt sind.

Hersteller setzen deshalb auf einen Trick, um eine frühen Ausfall von Speicherzellen zu vermeiden:Ein interner Controller verteilt Schreibbefehle gleichmäßig auf alle Speicherzellen der SSD. Jeder Schreibbefehl, den das Betriebssystem an die SSD sendet, wird also von der Firmware optimiert und auf verschiedene Speicherzellen verteilt. Die SSD entscheiden selbst, wohin sie welche Daten schreibt.

Der Nebeneffekt: Ein zuverlässiges Löschen und Überschreiben von Daten ist damit auf herkömmlichen Weg nicht möglich. Auch das mehrfache Überschreiben von Dateien oder gleich der gesamten SSD bietet keine Sicherheit, dass die zuvor gespeicherten Daten tatsächlich komplett weg sind. Einem Forscherteam an der University of California um Michael Wei ist es beispielsweise gelungen, mit einem eigens entwickelten Controllerbaustein vermeintlich gelöschte Daten von SSDs zu lesen ( Bericht ).

Um Daten direkt von SSDs zu lesen hat die Forschergruppe um Michael Wei diesen Adapter entwickelt.
Vergrößern Um Daten direkt von SSDs zu lesen hat die Forschergruppe um Michael Wei diesen Adapter entwickelt.
© Michael Wei, Laura M. Grupp, Frederick E. Spada, Steven Swanson

Hintergrund: Wie Löschen auf Dateisystem-Ebene funktioniert

Generell entfernt einfaches Löschen auch bei magnetischen Speichermedien die Daten nicht komplett von der Platte. Wenn Sie eine Datei unter Windows, Linux oder einem anderen Betriebssystem löschen, werden dabei die zuvor belegten Sektoren auf Dateisystemebene als frei und beschreibbar markiert. Die Daten selbst bleiben aber physikalisch erhalten, bis eventuell zu einem späteren Zeitpunkt neu hinzugekommenen Dateien die gleichen Sektoren neu beschreiben. Der Grund für diese Vorgehensweise ist naheliegend:

Der Speicherbereich einer Datei ist so ganz schnell wieder als frei markiert und nutzbar, auch wenn diese mehrere Gigabyte groß ist. Ein komplettes physikalischen Überschreiben aller Sektoren wäre dagegen eine kaum akzeptable Systembremse und der Nutzen wäre gering. Denn dem Betriebssystem ist es egal, ob ein Sektor überschrieben ist oder nur als leer markiert ist. Dies machen sich übrigens die üblichen Werkzeuge zur Datenrettung wie Recuva und Photorec zu Nutze. Diese Programme analysieren den freien Bereich einer Festplatte Sektor für Sektor und setzen die gefundenen Daten wieder zu kompletten Dateien zusammen.

Wer auf Nummer sicher gehen will oder muss, verlässt sich deshalb nicht auf die Löschfunktionen des Betriebssystems. Zusatzprogramme helfen dabei, eine Datei nach dem Löschen gezielt zu überschreiben und damit unwiederbringlich zu entfernen. Für Windows eignet sich dazu beispielsweise der Secure Eraser und zum Löschen ganzer Festplatten das bootfähige, Betriebssystem-unabhängige Dban . Es reicht übrigens aus, Daten auf Festplatten nur einmal zu überschreiben. Ein mehrfaches Überschreiben, auch Gutmann-Methode genannt, ist überflüssig. Denn bei der dichten Speicherstruktur von Festplatten ab 15 GB ist auch eine Analyse mit einem Magnetkraft-Mikroskop nicht ausreichend, um danach noch einzelne Bits zu rekonstruieren.

Herkömmliche Tools zum sicheren Löschen versagen bei SSDs, wie etwa hier DBAN
Vergrößern Herkömmliche Tools zum sicheren Löschen versagen bei SSDs, wie etwa hier DBAN

Warum bei SSDs herkömmliche Methoden versagen

Ein Überschreiben ist bei Magnetspeichern also völlig ausreichend, um Daten gründlich zu löschen. Dies gilt aber nicht für SSDs, denn diese verhalten sich bei der Organisation von Daten und freiem Speicherplatz völlig anders als Festplatten. Dies hat mehrere Gründe:

Für interne Aufteilung des Flash-Speicher sorgt ein Flash Translation Layer (FTL), der dem physikalischen Speicher Adressen zuordnet. Ein direkter Zugriff auf eine bestimmte Adresse wie bei einer Festplatte ist damit unmöglich. Außerdem übernimmt die Controller-Logik jeden Schreib- und Löschbefehl, um sowohl für Geschwindigkeit als auch für die gleichmäßige Belegung aller Speicherzellen zu sorgen ( Wear Leveling ).

Gelöschten Speicherplatz gibt der interne Controller einer SSD auch nicht sofort wieder frei. Wenn ein Block bereits teilweise belegt ist, geht es bei Flash-Speicher schneller, zunächst in einen freien Block zu schreiben. Für das Zusammenfassen freier Speicherbereiche zu kompletten, wieder-beschreibbaren Blöcken sorgt später eine interne Aufräumfunktion der SSD ( Garbage Collection ).

Neu geschriebene Daten landen auf einer SSD also nicht dort, wo gerade Speicherplatz frei wurde. Dies betrifft auch die Überschreibmethoden von Löschprogrammen. Die üblichen Lösch-Werkzeuge wie Secure Eraser, Dban und Co. haben keinen direkten Einfluss auf die Belegung des Flash-Speichers. Der Einsatz dieser Programme ist also nicht nur sinnlos - sondern bei mehrfachen Überschreiben auch schädlich, da die SSD unnötig mit Schreibvorgängen strapaziert wird.

Die interne Garbage Collection auf SSDs verschiebt Daten auf dem Flash-Speicher immer wieder, um Platz zu machen
Vergrößern Die interne Garbage Collection auf SSDs verschiebt Daten auf dem Flash-Speicher immer wieder, um Platz zu machen

Sicheres Löschen: ATA Secure Erase

Eine SSDs präsentiert Datenreste nicht auf dem Silbertablett und Software allein reicht zum Auslesen nicht aus. Stattdessen ist es nötig, den Flash Translation Layer (FTL) zu umgehen und jede Speicherzelle einzeln auszulesen. Möglich ist dies aber alle mal, zumindest unter Laborbedingungen. Die Forschergruppe um Michael Wei an der University of California haben dazu einen Adapter gebaut, um direkt auf die SSD zu schauen.

Um die Datensicherheit auf gelöschten Laufwerken zu gewährleisten, bietet die ATA-Spezifikation ein spezielles Löschkommando: ATA Secure Erase. Dieser Befehl ist bei allen ATA/SATA-Laufwerken ab dem Jahr 2001 enthalten, um den strengen Vorgaben des National Institute of Standards and Technology ( NIST ) zum sicheren Löschen gerecht zu werden. Wichtig ist sicheres Löschen in allen Bereichen, in welchen es auf konsequente Datensicherheit ankommt.

ATA Secure Erase überschreibt dazu wie bei einem Format-Befehl den gesamten Datenträger. Inklusive jener Bereiche für Sector Reallocation reserviert sind und im normalen Betrieb nicht zugänglich sind, da es sich dabei um Ersatz-Sektoren für die interne Fehlerbehebung handelt. Der Befehl ATA Secure Erase ist eine Erweiterung der Firmware und im Befehlssatz des Laufwerks untergebracht. Auf SSDs hat der Befehl den zusätzlichen Nutzen, dass ATA Secure Erase den Datenträger in den Werkszustand zurücksetzt und die SSD damit wieder so schnell macht, wie am ersten Tag.

Es bleibt aber das Problem, an den Befehl heran zu kommen. Denn ein normales Formatierungskommando von Windows oder Linux reicht dazu nicht. Stattdessen ist spezielle Software nötig, um ATA Secure Erase auf einem Laufwerk anzustoßen.

Einige Hersteller liefern zu ihren SSDs passende Dienstprogramme mit aus, entweder auf einer CD im Lieferumfang, oder per Download im Support-Bereich der Webseite. Viele der Dienstprogramme bieten auch ein „Secure Erase“ an, um die SSD zurück zu setzen, beispielsweise die Tool-Pakete Crucial Storage Executive , Intel Solid-State Drive Toolbox und Samsung SSD Magician .

Dieser Weg über diese herstellerspezifischen Windows-Programme ist in jedem Fall der einfachste, da ATA Secure Erase hier einfach über einen entsprechenden Menüpunkt aufgerufen wird. Allerdings gibt es nicht von jedem Hersteller passende Dienstprogramme und auf fremden SSDs lassen sie sich auch nicht ausführen.

Hersteller-Tool mit "Secure Erase"-Funktion: Samsung Magician
Vergrößern Hersteller-Tool mit "Secure Erase"-Funktion: Samsung Magician

ATA Secure Erase mit Parted Magic durchführen

Parted Magic ist ein das bootfähige Live-System auf Linux-Basis, das neben dem bewährten Partitionierer Gparted auch eine Reihe von Festplatten-Tools mitbringt - unter anderem auch den Befehl ATA Secure Erase.

Hinweis: Der Einsatz von Parted Magic eignet sich eher für fortgeschrittene Anwender und erfolgt natürlich auf eigene Gefahr. Sie dürfen mit dem enthaltenen Lösch-Werkzeug für ATA Secure Erase nur auf direkt über SATA angeschlossene Laufwerke zugreifen. Keinesfalls aber auf Datenträger, die per USB und eSATA mit dem Rechner verbunden sind. In diesem Fall scheitert nicht nur ATA Secure Erase - schlimmstenfalls ist das Laufwerk anschließend sogar defekt und nur noch ein teurer Briefbeschwerer.

Um den PC oder das Notebook mit Parted Magic zu booten, brennen Sie die ISO-Datei des Livesystems auf eine CD oder transferieren Sie das Image mit Hilfe von Unetbootin auf einen leeren USB-Stick, um diesen bootfähig zu machen. Im BIOS des PCs muss dazu der Zugriffsmodus für die ATA-Schnittstelle nicht auf „IDE“ oder „Legacy“ umgestellt werden, der Modus „AHCI“ ist beim Einsatz von Parted Magic völlig in Ordnung. Nach dem Start präsentiert Parted Magic einen englischsprachigen Desktop mit einem Windows-ähnlichen Anwendungsmenü. Hier gehen Sie auf „System Tools -> Erase Disk“ und wählen dann die Option „Internal: Secure Erase command writes zeroes to entire data area“, die für ATA Secure Erase verantwortlich ist. Im nächsten Schritt wählen Sie das gewünschte Laufwerk aus, das zurückgesetzt werden soll. Vorsicht bei der Auswahl, denn die Daten auf dem Laufwerk gehen unwiederbringlich verloren. In einigen Fällen sind abhängig von BIOS und SSD noch zwei weitere Schritte nötig:

Parted Magic: Das Live-System auf Linux-Basis bietet im Anwendungsmenü den Punkt „Erase Disk“ für gründliches Löschen
Vergrößern Parted Magic: Das Live-System auf Linux-Basis bietet im Anwendungsmenü den Punkt „Erase Disk“ für gründliches Löschen

1.) Wenn Sie eine Meldung darüber informiert, dass sich die SSD im Zustand „frozen“ befindet („Unfortunately, the selcted drive's security state is set to frozen“), dann klicken Sie zunächst auf die Schaltfläche „Sleep“, um den PC oder das Notebook in den Ruhezustand zu versetzen. Nach dem Aufwecken des Rechners starten Sie das Tool über „System Tools -> Erase Disk“ erneut.

2.) Viele SSDs erlauben es, ATA Secure Erase mit einem Passwort zu schützen, damit sich der Befehl nur noch nach der Eingabe des richtigen Passworts aufhalten lässt. Sollte Sie Parted Magic nach einem (optionalen) Passwort dazu fragen, können Sie einfach den eingetragenen Wert „NULL“ mit einem Klick auf „OK“ übernehmen.

Parted Magic: Diese Option erlaubt einen ATA Secure Erase
Vergrößern Parted Magic: Diese Option erlaubt einen ATA Secure Erase

Anschließend ist nur noch eine allgemeine Bestätigung für den Löschbefehl mit „OK“ nötig. Im Hintergrund startet Parted Magic nun das Kommandozeilentool „hdparm“, um auf dem ausgewählten Laufwerk ATA Secure Erase in Gang zu setzen. Der Vorgang dauert auf SSDs nur wenige Sekunden und ein Hinweisfenster informiert Sie, wenn der Befehl abgeschlossen ist. Wenn alles geklappt hat, ist die SSD nun komplett zurück gesetzt und enthält keinerlei Datenreste mehr. Da der SSD-Controller nun wieder mit einem leeren Flash-Speicher arbeiten kann, kann sich das Zurücksetzen bei einigen SSDs auch vorteilhaft auf die Schreibgeschwindigkeit auswirken.

ATA Secure Erase: Die optionale Passwort-Eingabe kann übersprungen werden
Vergrößern ATA Secure Erase: Die optionale Passwort-Eingabe kann übersprungen werden

Probleme beim Zurücksetzen von SSDs

Bei einigen Hauptplatinen gibt das BIOS die SSD für  ATA Secure Erase nicht frei. Das Laufwerk verbleibt im Status „Frozen“ und auch der aktivierte Ruhezustand ändert daran nichts. In diesem Fall ist das Zurücksetzen der SSD kein Spaziergang: Es empfiehlt sich, die SSD stattdessen in einem anderen Rechner mit einem anderen BIOS einzubauen, und dort alle Schritte nochmal auszuführen.

Sollte das auch nicht helfen, bleibt nur ein riskanter Trick: Starten Sie den PC mit offenem Gehäuse und abgesteckter SSD, wobei das Stromkabel aber unbedingt am Laufwerk bleiben muss. Im BIOS des Rechners muss der Zugriffsmodus („ATA/IDE Mode“) auf „AHCI“ gesetzt sein. Starten Sie dann den Rechner und erst wenn Parted Magic läuft, schließen Sie die SSD an den SATA-Port an. Gehen Sie in Parted Magic wieder auf „System Tools -> Erase Disk“.

Das Stromkabel bleibt an der SSD, nur das SATA-Datenkabel darf während des Betriebs angeschlossenen werden.
Vergrößern Das Stromkabel bleibt an der SSD, nur das SATA-Datenkabel darf während des Betriebs angeschlossenen werden.

Das SSD-Laufwerk sollte nun nicht mehr im Status „frozen“ festgefroren sein. Das nachträgliche Anstecken funktioniert nur dann, wenn das BIOS Hot-Plugging unterstützt. Diese abenteuerliche Methode eignet sich deshalb für experimentierfreudige Anwender und ist sicher, wenn nur das SATA-Controllerkabel nachträglich angesteckt wird, nicht aber das Stromkabel.
Hinweis: Es kommt zwar selten vor, aber das nachträgliche Anschließen der Stromversorgung an die SSD kann das Laufwerk beschädigen.

0 Kommentare zu diesem Artikel
1577848