Apple’scher Irrglaube an Sicheres Löschen von SSDs durch Überschreiben

Bislang gibt es keine Möglichkeit um SSDs sicher zu löschen – anders als beispielsweise bei Festplatten; Daten auf SSDs kann man gemäss heutigem Stand nur durch physisches Vernichten zuverlässig löschen. Apple hindert das aber nicht daran, angeblich sicheres Löschen durch Überschreiben auch für SSDs im Mac OS X-eigenen Festplatten-Dienstprogramm anzubieten:

Im Festplatten-Dienstprogramm erscheint zwar folgender allgemeiner Warnhinweis …

Hinweis: Beim sicheren Löschen werden die Daten überschrieben, auf die Mac OS X zugreifen kann. Bestimmte Medientypen enthalten u. U. Daten, die das Festplatten-Dienstprogramm nicht löschen kann.

… aber dieser Hinweis erscheint bei allen Arten von Datenträgern und wie viele Benutzer wissen, wie ein solcher Hinweis zu interpretieren ist?

23 Comments

  1. JürgenHugo
    10. März 2011

    Als „normaler“ Privat-User (ein – mehrere Comps zu Hause) sollte es nur eine Option geben, wenn man „sicher löschen“ will: die o.a. physische Vernichtung.

    D.h.: die Festplatte nutzen, solang sie funktioniert/man möchte – und dann zerstören. Höchstens einem zuverlässigen Freund/Bekannten geben, der damit keinen Unfug treibt. Wenn jemand eine z.B. 5 Jahre alte Festplatte mühevoll „sicher löscht“ – was bekommt er denn bei E-Bay dafür? So gut wie nix – lohnt sich also garnicht.

    Reply
    • Lukas
      10. März 2011

      ThinkPad einschalten
      Ins BIOS booten
      Security -> Security Chip
      CLEAR TPM

      Bei Apple wird das wohl immer eine Träumerei bleiben…

    • Martin (MacMacken)
      10. März 2011

      Und wenn man den Computer verkaufen möchte, in dem der Datenträger steckt – allenfalls gar nicht (sinnvoll) entfernbar, so beispielsweise beim iMac und MacBook Air? 🙄

    • JürgenHugo
      10. März 2011

      Nun ja – das mit dem „physischen Vernichten“ hab ich ja aus deinem Artikel aufgegriffen – muß ja nicht immer. Wenn das ein „physisch Bekannter“ (also nich so´n „Freund“ auf Facebook ist, dann dürfte nach normalem Löschen das Risiko nicht sehr hoch sein.

      Ich hab den iMac so gut wie Neuzustand für 60% gekauft. Glaubst du, ich hab da nachgeschaut, ob er da etwas „vergessen“ hat?

  2. Alexander
    10. März 2011

    Nicht nur für SSDs, sondern auch für andere Flash-Speichermedien wie z.B. USB-Sticks lassen sich nicht „sicher löschen“. Da finde ich den Hinweis auf „bestimmte Speichermedien“ gar nicht so verkehrt.

    Und was heißt eigentlich „nicht sicher löschen“? Ja, es können Reste der Daten in den NAND-Chips bleiben – nur, wie will man die (als Angreifer) auslesen? Man könnte einen speziell modifizierten Controller verwenden – nicht gerade praktikabel. Und sonst?

    Also keine Panik (wenn man nicht gerade beim Geheimdienst arbeitet).

    Reply
  3. Thomas
    10. März 2011

    Auf Flash-Speichern ist imho nur das sichere Löschen von *einzelnen* Dateien ein Problem, da die Speicherzellen dynamisch vom Controller verwendet werden.
    Wenn man den Speicher in einem Satz voll beschreibt, werden auch die meisten Speicherzellen neu beschrieben (bis auf einen kleinen Rest). Wenn man paranoid ist, kann man zwei-drei Schreibrunden drehen, aber selbst bei Flash-Speicherzellen wird danach keine Information rekonstruierbar sein…

    Wenn man ein komplettes Device überschreiben will, reicht dann ein
    dd if=/dev/urandom of=/dev/ZielDevice
    für ein überschreiben mit zufälligen Bytes oder ein
    dd if=/dev/zero of=/dev/ZielDevice
    für ein überschreiben mit Nullen

    Wenn man ein bestehendes Dateisystem einmal vollmüllen will, kann man einfach den Output in eine Datei umleiten
    cat /dev/urandom > temp.dat
    und nachdem das Device voll ist, die Datei wieder löschen.

    Den ganzen paranoiden Rest kann man getrost ignorieren…
    …oder gleich Verschlüsselungen benutzen (mit ggf. den bekannten Nachteilen auf SSDs)

    Reply
    • Alexander
      10. März 2011

      So ähnlich macht das auch Apple, aber das vollständige Überschreiben (der gesamten Platte oder der leeren Bereiche) geht bei SSDs eben nicht mehr. Die haben einen Reservebereich, d.h. der Speicher ist im Endeffekt 6%-25% größer als nach außen sichtbar. Wann bestimmte Zellen tatsächlich überschrieben werden, bestimmt der Controller intern („Wear Leveling“) und das lässt sich von außen nicht so leicht feststellen.

    • Thomas
      10. März 2011

      Stimmt schon, aber imho ist das Risiko recht überschaubar.
      Der Controller müsste die Speicherblöcke einer sensible Datei beim Überschreiben schon in grossen Teilen durch Reserveblöcke „ersetzen“, damit die Datei sinnvoll rekonstruiert wird, ausserdem müsste man in den dann Reserveblöcken die zuordnung der Speicherzellen wieder rekonstruieren.
      Im Zweifelsfall kann man halt 1-2 mal häufiger als bei einer Festplatte eine SSD überschreiben, damit der Controller auch mal andere Zellen hervorlockt 😉 — und bei einer Festplatte reicht 1 mal…

    • Alexander
      10. März 2011

      Naja, ein paarmal überschreiben reicht eben nicht unbedingt, andere Blöcke können schon 100x mehr benutzt sein, oder gar als defekt markiert, dann erreicht man sie gar nicht mehr. Wissen kann man das von Außen nicht.

      Spielt aber m.E. keine praktische Rolle. Der Käufer bei eBay wird nicht mal eben einen Spezialcontroller entwickeln, die NAND-Chips auslöten und daran anschließen.

      Das eigentliche Fazit daraus ist doch, vertrauliche Daten (so wie PIN-Nummern) nur verschlüsselt zu speichern. Also eigentlich nichts neues. Dann hat man mit unsicherem Löschen (und mit anderen Arten von Bedrohungen!) keine Probleme.

  4. Zaratustra
    10. März 2011

    Danke für den Tipp!
    Ist zwar für mich nicht relevant aber gut zu wissen. Wenn ich einen gebrauchten Computer bei ebay verkaufe, lösche ich die Festplatte davor sicher. Noch habe ich keine SSD aber wenn es soweit ist, weiss ich bescheid, dass meine Daten nicht sicher gelöscht werden können.
    Vielleicht sollten die SSD Hersteller eine Löschfunktion (auch einzelner Daten) direkt in den Controller einbinden. Wäre das machbar?

    Reply
    • Alexander
      10. März 2011

      So eine Löschfunktion gibt es („ATA (enhanced) secure erase“ glaube ich), nur haben manche Hersteller bei der Implementierung gepfuscht. Das ist wohl das Problem.

  5. DAMerrick
    12. März 2011

    SSDs und anderen Flash Speicher kann man so sicher löschen wie konventionelle Festplatten.
    Nur eben über den umgekehrten Weg.

    Während man bei Konventionellen alles überschreibt geht man bei Flash hin und legt einfach neue Dateien auf die Festplatte bis sie voll ist. Der einfachste und schnellste Weg einen Flashspeicher, eben eine SSD, zu „löschen“.

    Btw ist das Auslesen von Dateien auf einem Flash Speicher komplizierter als auf einer konventionellen Festplatte, auch aufgrund der Architektur.

    In dem Sinne ist das Anbieten von Überschreiben zwar eine Macke aber zugleich muss sich kein normaler User sorgen machen das der Nächste die Daten seiner SSD einfach so ausliest.

    Reply
    • Alexander
      12. März 2011

      Nein, überschreiben geht eben nicht. Siehe oben oder ausführlich unter http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf.

      Was hilft ist Verschlüsselung, egal ob Festplatte, SSD oder Cloud. Unverschlüsselt vertrauliche Daten zu speichern ist vergleichbar fahrlässig wie PIN-Nummern und Passworte auf Zetteln.

    • DAMerrick
      12. März 2011

      Es hilft zu lesen.

      Ich sagte doch, bei KOnventionellen Festplatten überschreibt man, bei Flash Speicher kann man am Einfachsten „löschen“ (Bemerke die Anführungszeichen) in dem man neue Files draufpackt.

      Und der Article bezog sich doch gerade darauf das Apple Überschreiben anbietet, deswegen mein Satz das das Anbieten dieser Überschreibung zwar eine Macke ist ABER dank einer sehr einfachen Methode sich trotzdem kein User sorgen machen muss.

      Und zu dem Verschlüsseln:
      Wenn du jedem normalen Benutzer empfiehlst alle seine Daten immer verschlüsselt zu halten schätze ich dich als paranoid ein. Gegenüber der Regierung und gegenüber deinen Mitmenschen inkl. Familie.

      Nichts gegen ein password oder Verschlüsselung in sensiblen Bereichen aber alles verschlüsseln egal wo man ist egal was man tut? Das ist paranoid und unnötig.

      Und wenn man die Festplatten verkauft ist es egal ob man alles löscht (oder eben bei Flash durch andere Dateien ersetzt) oder die Festplatte verschlüsselt.

    • Alexander
      13. März 2011

      Such mal auf dieser Seite nach “Reservebereich“. Oben habe ich erklärt, warum Vollschreiben die Daten von SSDs nicht „so sicher löscht wie von konventionellen Festplatten“, wie du behauptest. Das praktische Risiko in diesem Fall kann man IMHO vernachlässigen. Steht ebenfalls auf dieser Seite.

      Und ich riet nur dazu, vertrauliche Daten verschlüsselt zu speichern. Das ist immer ein guter Tipp. Nicht „immer“ und „alles“. Aber z.B. die Logins für Paypal und Homebanking schon.

      Sollte du das falsch finden, kannst du mich gerne korrigieren. Aber bitte zuerst genauer lesen.

    • DAMerrick
      13. März 2011

      Du weisst aber schon das dieser Reservebereich dafür da ist defekte Zellen zu ersetzen und dafür zu sorgen das die Leistung der SSD nicht einbricht, ja?
      In dem Sinne ist das Argument des Reservebereichs hinfällig.

      Ich lese sehr genau aber ich konnte ja nicht ahnen das „Vertraulich“ für dich nur Passwörter sind. Dokumente, Bilder, Videos etc. zähle ICH nämlich auch dazu. Und die machen ja 99% einer Festplatte aus (abgesehen von den programs). Wenn es dir jetzt am Wichtigsten ist das die 500-800KB mit Passwörtern sicher sind wenn du eine Festplatte verkaufst oder wegschmeißt -ok.

      Aber dann frage ich mich warum du bei diesem Article einbringst wenn du eine recht liberale Einstellung zu Persönlichen Daten hast.

    • Alexander
      13. März 2011

      Du kannst die SSD nicht „vollpacken“, weil sie als Reserve 6-25% mehr Speicherzellen enthält, als sie dem Betriebssystem mitteilt. Die Blöcke im Reservebereich sind aber (im Gegensatz zu Festplatten) nicht fest, sondern werden beim Wear Leveling mit verteilt. Siehe Erklärung von Thomas. Welche Zellen das sind, weiß nur der SSD-Controller. Selbst nach 200-maligem vollständigem Beschreiben mancher SSD mit Dateien konnten in einigen Zellen noch Reste (weit weniger als 1%) der ursprünglichen Daten gefunden werden. Das wiederum kann man nur herausfinden, indem man die NAND-Chips auslötet und an einem Spezialcontroller betreibt.

      Und was du so alles liest… Ich habe nur Verschlüsselung für vertrauliche Daten empfohlen, zu denen z.B. Passworte gehören. Ich schrieb weder, dass „immer alles“ verschlüsselt werden sollte, noch dass „nur“ Passworte vertraulich sind. Zuerst bin ich deshalb „paranoid“ und jetzt „liberal“. Kannst du bitte versuchen, solche persönlichen Interpretationen beiseite zu lassen? Danke!

  6. Thomas
    13. März 2011

    @DAMerrick Der ‚Reservebereich‘ bei Flashspeichern sind nicht wie bei Festplatten Sparebereiche, die erst bei defekten dazugenommen werden. Die Zellen werden wie die ’normale‘ Zellen angesprochen, so dass die Schreiblast auf *alle* Zellen im Verbund gelichmässig verteilt wird.
    https://secure.wikimedia.org/wikipedia/en/wiki/Wear_leveling

    Wie oben ja shcon gesagt ist das praktische Risiko recht gering, das komplette Informationsblöcke bei einem einmaligen Überschreiben des de-facto-Speichers im Reservebereich verschwinden, da die auswahl der beim Schrieben geschonten Zellen mehr oder weniger zufällig sind.

    Wie alles ist Verschlüsselung eine Sicherheits- gegen Aufwandsabschätzung. Wenn Verschlüsselung in Kombination mit Backup nahezu transparent dem User gegenüber ist, stellt sich dementsprechend kaum die Frage – darum wäre es in dieser Hinsicht nachlässig in Mac OS X 10.7 die entsprechenden Features nicht zu nutzen.

    Reply
    • DAMerrick
      13. März 2011

      Vergleichst du immer zwei verschiedene Techniken und gibst ihnen einfach einen deutschen Begriff? Ja, du hast Recht, das Wear leveling tut nicht das was die Funktion eines Reservebereichs hat. Einfach weil es unterschiedliche Dinge sind. Einfach gesagt verteilt Wear leveling die Daten auf dem Flash besser (Beachte das: Einfach gesagt!!). Das ist nciht das Gleiche wie ein Reservebereich der im Englischen übrigens Space Area genannt wird.
      Ergo: Auch wenn der Flash Speicher Wear leveling benutzt, durch das Vollpacken mit Daten hast du die ehemaligen Daten ersetzt.

      Anders gesagt: Wenn die Festplatte mit 500 Bilder voll ist und du packst 300 leere Documents drauf womit du sie vollpackst snd die Bilder „gelöscht“.
      Das war das was ich oben meinte, was für den Normaluser am Einfachsten ist. Der Normaluser der einfach nur nicht will das der nächste Besitzer seine Bilder ansehen kann. Das richtet sich NICHT an den User der so panisch ist das er sogar nur die Wikipedia über eine halbswegs gesicherte Verbindung besucht.

      Verschlüsselung & BackUp: Reden wir hier von unterschiedlichen Szenarien? Die Macke dieses Articles ist es ja das Überschreiben wie bei KOnventionellen Festplatten bei Flash Speicher nichts bringt. Aufgrund der Technik von Flash.

      Für den normalen User, der nicht paranoid ist, wird es reichen seine PAsswörter zu verschlüsseln und den Flash Speicher mit nutzlosen Daten zu befüllen.
      Unternehmen die ihre Firmengeheimnisse schützen wollen/müssen werden auf Technik wie von M-Systems zurückgreifen welche einen Controller anbieten die das Nutzungsverhalten von Flash abschaltet.
      Paranoide User, die Angst haben das ihre Ehefrau eine neue Firmware installiert, oder die glauben das die Regierung schon auf jedem PC einen Trojaner installiert hat. haben Pech gehabt.

      Anders gesagt:
      Der Normalo weiss dass das Ersetzen mit nutzlosen Dateien das Sicherste ist was er braucht. Da der Käufer seiner SSD wohl kaum alles daran setzt seine Daten wiederherzustellen
      Paranoide müssen Angst haben, weil sie nicht das Geld haben wie
      Unternehmen die auf professionelle Lösungen setzen.

    • Thomas
      13. März 2011

      Hmmm, ich sehe jetzt nicht wirklich, an welcher Stelle meine Anführungen mit deinen Kollidieren…

      *whatever*

  7. DEBur
    19. April 2011

    Hallo,
    weiß jemand eine Lösung für folgendes Problem:
    SSD ist kaputt, wird vom Bios nicht mehr erkannt. Die darauf verbliebenen Daten möchte ich (weil teils geschäftliche Daten) vor dem Einschicken sicher löschen. Wie gesagt, einfach überschreiben o.Ä. funktioniert nicht da kein Zugriff mehr.
    Vielleicht gibt es sonstige Möglichkeiten die Flashspeicher zu löschen bzw. irreparabel zu zerstören. Ich denke da an E- / H-Felder von außen oder sowas…

    Reply
  8. Pseudemys
    24. April 2011

    Warum das Löschen von Festplatten (fast) unmöglich ist, wird hier ausführlich erklärt:

    Richtig Löschen – Gelöscht ist nicht immer gelöscht – [Attingo Datenrettung Wien]
    http://www.attingo.com/at/datenrettung/datenverlust/richtig-loeschen.html

    Reply
  9. Anleitung: Einen gebrauchten Mac für den Verkauf zurücksetzen - Der Tutonaut
    28. April 2014

    […] nur bei konventionellen Festplatten sinnvoll ist – die “Überschreiben”-Optionen sind bei SSDs nicht sinnvoll. Anders als konventionelle Festplatten lassen sich Daten auf SSDs aber auch nicht so einfach […]

    Reply

Leave a Reply