M 4.56 Sicheres Löschen unter Windows-Betriebssystemen
Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator, Benutzer
NT-basierte Windows-Betriebssysteme
Das Windows Dateisystem NTFS legt in einer Master Dateitabelle (MFT) alle Dateiinformationen wie Namen, Pfad und Attribute ab. Diese Angaben werden nicht verschlüsselt. Programme, die direkt auf die Festplatte zugreifen, können unter Umgehung der Windows-Sicherheitsmechanismen auf alle Dateien beliebig zugreifen. Dies gilt insbesondere für Programme, die unter einem anderen Betriebssystem als Windows auf demselben Rechner laufen.
Beim Löschen einer Datei unter dem Dateisystem NTFS wird diese nicht physikalisch gelöscht oder überschrieben, sondern lediglich dem Zugriff entzogen. Unter Windows NTFS ist aber - im Gegensatz zu der Situation bei MS- DOS - sichergestellt, dass ein Zugriff auf diese gelöschten Daten, etwa mit einem Rekonstruktionsprogramm oder unter Verwendung direkter Plattenzugriffe, nicht mehr möglich ist. Dennoch können gelöschte Dateien unter anderen Betriebssystemen als Windows mit Programmen, die direkt auf die Festplatte zugreifen, wieder hergestellt werden.
Aus diesen Gründen wird empfohlen, Windows als einziges Betriebssystem zu installieren, um zu verhindern, dass andere Betriebssysteme gestartet werden können (siehe M 4.52 Geräteschutz unter NT-basierten Windows-Systemen und M 4.339 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista).
Soll doch ein anderes Betriebssystem gestartet werden können (Multiboot-System), dann empfiehlt sich der Einsatz eines Programms zur Festplattenverschlüsselung, das mögliche Verletzungen der Vertraulichkeit durch ein anderes Betriebssystem unterbindet. Das in Windows Vista enthaltene Programm zur Festplattenverschlüsselung BitLocker ist für Multiboot-Systeme ungeeignet. Es sollte ein für Multiboot-Systeme geeignetes Produkt eines Drittherstellers eingesetzt werden. Alternativ kann unter Windows ab Version 2000 auch das Encrypting File System ( EFS ) zur Festplattenverschlüsselung eingesetzt werden. EFS unterstützt die Verschlüsselung einzelner Dateien (siehe M 4.147 Sichere Nutzung von EFS unter Windows).
Papierkorb unter Windows
Unter Windows werden Dateien beim Löschen, sofern der Benutzer nicht ausdrücklich ein direktes Löschen verlangt, zunächst in einen benutzerspezifischen Bereich, den sogenannten "Papierkorb", verlagert. Aus diesem Bereich werden sie erst dann entfernt, wenn der von gelöschten Dateien belegte Speicherplatz die für das betreffende Plattenlaufwerk vorgegebene Größe überschreitet oder wenn der Benutzer explizit den Papierkorb leert. Der Inhalt des Papierkorbs sollte daher regelmäßig gelöscht werden, damit die Festplatte nicht zu voll wird und der Benutzer nicht den Überblick verliert.
Die maximale Größe des für den Papierkorb reservierten Speicherplatzes kann auch unter "Eigenschaften" des Icons "Papierkorb" auf einen geeigneten kleineren Wert, z. B. 2 MByte, eingestellt werden. Dateien mit sensitivem Inhalt sollten nicht in den Papierkorb verschoben, sondern explizit gelöscht werden, indem beim Löschen die Umschalttaste gedrückt wird.
Unter Windows besteht zudem die Möglichkeit aus dem Papierkorb gelöschte Dateien durch Hilfsprogramme zu rekonstruieren. Dateien mit besonders sensitivem Inhalt sollten daher vollständig überschrieben werden, statt sie in den Papierkorb zu verschieben (siehe M 2.3 Datenträgerverwaltung, M 4.56 Sicheres Löschen unter Windows-Betriebssystemen und B 1.15 Löschen und Vernichten von Daten).
Windows XP, Server 2003 und Vista bietet die Möglichkeit, Dateien direkt und nicht über den Papierkorb zu löschen. Direktes Löschen von Dateien kann in Eigenschaften des Papierkorbs (Dateien sofort löschen) oder durch das Aktivieren der Richtlinie Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Windows Explorer | Gelöschte Dateien nicht in Papierkorb verschieben erzwungen werden. Hierauf sollten die Benutzer hingewiesen werden.
Unter Windows XP, Server 2003 und Vista ist es möglich, den gesamten freien Plattenplatz eines Datenträgers oder eines Unterverzeichnisses mit dem Kommando cipher.exe /w zu überschreiben. Das Tool cipher.exe macht insgesamt drei Schreibdurchgänge und überschreibt den freigegebenen Platz im ersten Durchgang mit 0x0, im zweiten mit 0xF und im dritten mit pseudo-zufälligen Daten. Bei der Benutzung dieses Kommandos soll jedoch berücksichtigt werden, dass die Inhalte kleiner gelöschter Dateien (unter 4 KB), unüberschrieben bleiben können, wenn sie direkt in der Master File Table (MFT) und nicht in separaten Datenträger-Clustern abgelegt sind. Das Verfahren ist auch geeignet, um verschlüsselte Dateien von unverschlüsselt zwischengespeicherten Datenresten zu bereinigen.
Damit vertrauliche Dateien tatsächlich unwiederbringlich gelöscht werden, sollten spezielle Löschprogramme eingesetzt werden, mit denen alle Restinformationen zu dieser Datei auf dem Datenträger überschrieben werden.
Prüffragen:
- Ist sichergestellt, das neben Windows kein weiteres Betriebssystem auf lokalen Festplatten installiert ist bzw. bei Einsatz eines weiteren Betriebssystem ein Festplattenverschlüsselungsprogramm verwendet wird?
- Ist die Größe des Papierkorbs auf einen sinnvollen Wert eingestellt?
- Sind alle Benutzer darüber informiert, dass über den Papierkorb gelöschte Dateien nicht zuverlässig gelöscht sind?
- Werden zusätzlich spezielle Löschprogramme eingesetzt, die vertrauliche Dateien tatsächlich unwiederbringlich löschen?!