Slack Space/ „Schlupfspeicher“ – oder der Teufel liegt im Detail

Als wir Ihnen im letzten Artikel dieser Reihe sagten, dass der einzige Weg, eine Datei erfolgreich zu löschen sei, den Speicherplatz vollständig zu überschreiben, war das nicht dazu gedacht, Dramatik zu erzeugen. Vor ein paar Monaten hatte ein befreundeter Geschäftspartner ein paar Fotos von seiner SD-Karte gelöscht, sodass wir ihm dazu geraten haben, eine Daten-Recovery-Software einzusetzen. Er war sehr überrascht, dass er dabei nicht nur die gesuchten Bilder, die er gelöscht hatte finden konnte, sondern auch einige sehr alte Dateien, von denen er dachte dass diese gar nicht mehr vorhanden wären — einschließlich der Urlaubsbilder seiner Eltern, die zuvor die SD-Karte in ihrer Kamera eingesetzt hatten.

Wie zuvor schon ausgeführt, wird — wenn eine Datei gelöscht wird — nur der physikalische Speicherplatz an dem Speicherort wieder freigegeben und neue Daten können dort gespeichert werden. Es kann deshalb verlockend sein einfach den Dingen ihren Lauf zu lassen und darauf zu warten bis der Speicherplatz durch eine neue Datei belegt wird. Geben Sie dieser Versuchung nicht nach! Warten ist nicht genug. Das sind die Gründe:

• Es kann eine Menge Zeit in Anspruch nehmen — vor allem dann, wenn Ihre Festplatte eine Menge Speicherplatz hat
• Sie können nie sicher sein, wo die Daten auf dem Speichermedium physikalisch wirklich existieren, sodass Sie nicht wissen, ob eine sensible Datei, die gelöscht wurde nicht doch noch irgendwo als partielle Kopie oder Spur existiert
• Wenn Sie vorhaben, Ihre gebrauchten oder alten Speichergeräte Ihres Unternehmens zu verkaufen, werden Sie wahrscheinlich keine Zeit haben darauf zu warten, bis alle sensiblen Daten überschrieben worden sind
• Es kann passieren, dass einige Sektoren Ihres Laufwerks bei der Benutzung kaputt gehen (die Positionen auf der Platte werden in einem Ort namens G-Liste abgebildet) und werden dadurch unlesbar — wie bereits ausgeführt gilt das gleiche Prinzip für alle Flash-Speicher-Laufwerke. Natürlich können Sie nicht die Daten eines nicht beschreibbaren Sektors überschreiben, aber das bedeutet nicht, dass Sie es nicht lesen können — alles was Sie benötigen, ist die richtige Software dafür
• Darauf zu warten, dass Ihre Dateien auf „natürliche“ Weise von selbst überschrieben werden schafft darüber hinaus sogenannte Slack Spaces/„Schlupfspeicher“. Nach den Datenexperten von Ontrack liegen fast 45 % der Daten, die von einem Plattenlaufwerk gelesen werden können, innerhalb dieser Slack Spaces.

Was sind Slack Spaces?

„Die Daten auf der Festplatte sind in Clustern organisiert. Ihre Größe variiert je nach dem Dateisystem, das Sie verwenden — bei NTFS z.B. sind die Cluster gewöhnlich 4KB groß. Jeder Cluster kann nur zu einer Datei gehören (aber eine Datei kann so viele Cluster nutzen, wie benötigt werden). Wenn eine Datei also 12kB groß ist, wird sie in drei Cluster gespeichert werden. Jedes dieser Cluster wird dabei komplett mit Daten beschrieben. Wenn Sie die Datei dann löschen und eine neue Datei mit einer Größe von 9KB die alte überschreibt, wird sie ebenfalls auf drei Cluster verteilt, aber das dritte Cluster wird nur zu 1KB überschrieben. Die verbliebenen 3KB erzeugen einen sogenannten Schlupfspeicher/Slack Space, der faktisch einen String einer vorherigen Datei, die noch nicht überschrieben wurde und noch physikalisch auf der Platte vorhanden ist, darstellt ( und weil der gesamte Cluster für die neue Datei reserviert ist, werden die alten Daten solange nicht überschrieben, solange die neue, kleinere Datei existiert)," erklärt dazu Robin England vom Ontrack UK Datenrettungslabor.

So erzeugen Slack Spaces freien Speicherplatz in den Spuren von alten Nutzer-Dateien, die weiterhin existieren.

Wichtig: Die innerhalb der in Slack Spaces gespeicherten Daten könnten verwendet werden, um Ihren Benutzernamen und Kennwörter, Teile Ihrer Dateien oder Kommunikationsdateien (z.B. Ihre Instant Messenger Archive) und viele andere Spuren, die zu weiteren interessanten Informationen über Sie führen könnten, herauszufinden. Alles was dazu benötigt wird ist ein wenig Knowhow, einige Erfahrung und die richtigen Werkzeuge (von denen viele eigentlich ganz einfach zu bedienen sind).

Wie Sie sehen, macht es durchaus Sinn, dass Datensicherheitsexperten nicht nur die Daumen drücken und auf das Beste hoffen, während sie dem Betriebssystem freie Hand lassen. Stattdessen verwenden sie ein beträchtliches Arsenal von Werkzeugen, um die Datenprobleme selbst anzupacken. Mehr dazu das nächste Mal. Bis dann…