G 2.54 Vertraulichkeitsverlust durch Restinformationen
Bei elektronischer Datenübermittlung oder Datenträgerweitergabe passiert es immer wieder, dass dabei auch Informationen weitergegeben werden, die die Institution nicht verlassen sollten. Als mögliche Ursachen für die unbeabsichtigte Weitergabe von Informationen lassen sich folgende Beispiele anführen:
- Eine Datei enthält Textpassagen, die als "versteckt" oder "verborgen" formatiert sind. Solche Textpassagen können Bemerkungen enthalten, die nicht für den Empfänger bestimmt sind.
- Dateien, die mit Standardsoftware wie Textverarbeitungsprogrammen oder Tabellenkalkulationen erstellt worden sind, können Zusatzinformationen über Verzeichnisstrukturen, Versionsstände, Bearbeiter, Kommentare, Bearbeitungszeit, letztes Druckdatum, Dokumentnamen und -beschreibungen enthalten. Besonders hervorzuheben sind in diesem Zusammenhang Funktionen, die mehreren Bearbeitern das gemeinsame Bearbeiten eines Dokuments erlauben. Solche Funktionen löschen Textpassagen, die ein Bearbeiter löscht oder überschreibt, nicht wirklich aus dem Dokument, sondern markieren diese nur als gelöscht und erlauben es späteren Bearbeitern, Änderungen ganz oder teilweise rückgängig zu machen. Praktisch alle aktuellen Office-Suites (Microsoft Office, StarOffice, OpenOffice) bieten diese Möglichkeit. Werden die Daten solcher Änderungen nicht vor der Weitergabe entfernt, so erhält der Empfänger neben dem tatsächlichen Dokument unter Umständen eine große Menge weiterer Informationen.
- Praktisch alle aktuellen Office-Suites besitzen die Möglichkeit der Schnellspeicherung von erstellten Dokumenten. Dies führt dazu, dass nur die Änderungen an einem Dokument gespeichert werden. Dieser Vorgang nimmt vergleichsweise weniger Zeit in Anspruch als ein vollständiger Speichervorgang, bei dem die Office-Suite das vollständige überarbeitete Dokument speichert. Ein vollständiger Speichervorgang erfordert jedoch weniger Festplattenspeicher als eine Schnellspeicherung. Der entscheidende Nachteil ist jedoch, dass bei einer Schnellspeicherung die Datei unter Umständen Textfragmente enthalten kann, die der Verfasser nicht weitergeben möchte.
- Eine weitere Möglichkeit, wie Informationen weitergegeben werden können, die nicht für Externe bestimmt sind, stellen Funktionen dar, die es beispielsweise erlauben, in ein Textdokument oder eine Präsentation eine Tabelle aus einem Tabellenkalkulationsdokument so einzubetten, dass die Tabelle direkt im Textdokument bearbeitet werden kann. Wird ein solches Textdokument weitergegeben, so können unter Umständen sehr viel mehr Informationen aus dem Tabellenkalkulationsdokument übertragen werden, als im Textdokument sichtbar ist.
- Wird eine Datei auf eine Diskette kopiert, so wird der erforderliche physikalische Speicherbereich (Block) vollständig aufgefüllt. Benötigt das Original einen Block nicht vollständig, so wird dieser (nach dem End-Of-File Kennzeichen) mit beliebigen "Restinformationen" des IT-Systems aufgefüllt.
- Auf z/OS-Systemen werden gelöschte Member nicht sofort in der Bibliothek (PDS - Partitioned Dataset) überschrieben. Lediglich der Eintrag des Members im Verzeichnis (Directory) des PDS wird gelöscht. Erst wenn im PDS freier Speicherplatz benötigt wird, werden die Informationen des alten Members überschrieben. Noch nicht überschriebene Daten lassen sich mit Hilfsprogrammen auslesen.
- Werden in z/OS-Systemen Dateien auf einer Festplatte gelöscht, so wird die Datei im Volume Table ofContent (VTOC) als gelöscht gekennzeichnet, die Datei selbst auf der Festplatte jedoch nicht gelöscht. Die Datei wird erst überschrieben, wenn neue Daten auf der Festplatte gespeichert werden sollen und kein freier Platz verfügbar ist. Gelingt es, die Speicherstelle der Datei aus dem VTOC auszulesen, so ist es möglich, die Datei mit speziellen Programmen zu editieren und wieder herzustellen. Dies gilt ebenso für Bänder, die zwar als Leer-Bänder gekennzeichnet, aber noch nicht überschrieben sind.
Restinformationen auf Datenträgern
Bei den meisten Dateisystemen werden Dateien, die vom Benutzer über einen Löschbefehl gelöscht werden, nicht wirklich in dem Sinn gelöscht, dass die Information anschließend nicht mehr vorhanden ist. Normalerweise werden lediglich die Verweise auf die Datei aus den Verwaltungsinformationen des Dateisystems (etwa aus der Dateizuordnungstabelle (File Allocation Table) beim FAT -Dateisystem) gelöscht und die zu der Datei gehörenden Blöcke als "frei" markiert. Der tatsächliche Inhalt der Blöcke auf dem Datenträger bleibt jedoch erhalten und kann mit entsprechenden Werkzeugen rekonstruiert werden.
Wenn Datenträger an Dritte weitergegeben werden, beispielsweise
- wenn ein Rechner ausinventarisiert wurde und verkauft wird,
- wenn ein defektes Gerät zur Reparatur gegeben oder im Rahmen der Garantie ausgetauscht wird oder
- wenn ein Datenträger im Rahmen des Datenträgeraustauschs an einen Geschäftspartner weitergegeben wird
können auf diese Weise sensitive Informationen nach draußen gelangen.
Beispiele:
- Die Forscher Simson Garfinkel und Abhi Shelat vom MIT kauften zwischen 2000 und 2002 bei verschiedenen Händlern über das Online-Auktionshaus eBay eine größere Anzahl gebrauchter Festplatten und untersuchten diese auf enthaltene Restinformationen. Sie fanden eine erschreckende Menge an Daten, beispielsweise
- interne Vermerke von Unternehmen, bei denen es um Personalsachen ging,
- eine große Anzahl von Kreditkartennummern,
- medizinische Informationen,
- E-Mails
- Ein Benutzer entdeckte durch Benutzung eines anderen Editors per Zufall, dass die kurz vor der Versendung stehende Datei diverse URL s enthielt, inklusive Benutzername und Passwort für einen WWW-Server. Mit URL (Uniform Resource Locator) wird die Adresse eines WWW -Dokuments bezeichnet. Der Zugriff auf die WWW-Seite kann passwortgeschützt sein.
- Eine Behörde hatte mit dem Programm Microsoft Powerpoint erstellte Präsentationen in Dateiform an Externe weitergegeben. Später stellte sich heraus, dass neben den Präsentationen auch Informationen über die Rechnerumgebung des Benutzers mitgeliefert worden waren, wie etwa darüber, welche Newsgruppen ein Benutzer abonniert hat und welche News er schon gelesen hat. Die Powerpoint-Datei enthielt u. a. folgende Einträge:
de.alt.drogen! s21718 0
de.alt.dummschwatz! s125 0 - Zwei Verkäufer konkurrierender Firmen tauschten ihre Präsentationen aus, die sie bei einer Veranstaltung gehalten hatten. Eines der Powerpoint-Dokumente enthielt eine kleine Tabelle mit Endkunden-Preisen für die Produkte der einen Firma. Beim Öffnen der Präsentation entdeckte der Empfänger, dass diese kleine Tabelle Teil eines sehr umfangreichen Tabellenkalkulationsdokuments war, das in die Präsentation eingebettet worden war, und das die gesamte Preiskalkulation des Konkurrenzunternehmens enthielt.