Forscher: Viele SSDs lassen sich nicht sicher löschen

Etablierte Methoden zur sicheren Datenlöschung in Unternehmen funktionieren nicht unbedingt bei flashbasierten SSD-Laufwerken (Solid State Drives). Das ist in einem Report von Forschern der University of California in San Diego nachzulesen, der auf der Usenix-Konferenz zu Datei- und Storage-Techniken vorgestellt wurde. Der Titel lautet: „Reliably Erasing Data from Flash-Based Solid State Drive“ („Zuverlässige Datenlöschung auf flashbasierten Solid State Drives“). Die Forscher fordern als Konsequenz einen Befehlssatz zur sicheren Datenlöschung und zur Erfolgskontrolle von den SSD-Herstellern.

Im Test mit den im ATA/ATAPI-Protokoll (Advanced Technology Attachment with Packet Interface) vorgesehenen Datenlöschungsbefehlen mit zwölf Laufwerken meldeten laut den Forschern acht Laufwerke, alle Anwenderdaten gelöscht zu haben. Vier waren tatsächlich erfolgreich, bei drei hatte die Löschung nicht funktioniert. Bei einem Laufwerk konnte der Erfolg nicht überprüft werden, da die Daten verschlüsselt waren.

Fünf der zwölf Laufwerke unterstützten die sichere Datenlöschung, auch auf nicht für den Anwender zugänglichen Bereichen. Hier gelang vier Laufwerken die Löschung, eins lief wegen Dateiverschlüsselung außer Konkurrenz. Andere Techniken zur sicheren Datenlöschung auf Festplatten scheiterten an SSD-Laufwerken. Nachdem die Laufwerke dem starken, wechselnden Magnetfeld eines von der amerikanischen Regierung zertifizierten Degaussers ausgesetzt wurden, „waren die Daten in allen Fällen intakt“, heißt es in dem Report. Zum Lesen wurde im Test ein Field Programmable Gate Array (FPGA) mit dem Namen „Der gnadenlose Ming“ verwendet.

Die Forscher hatten vor dem Test vermutet, dass man die Daten durch das Induzieren von elektrischen Wirbelströmen in die Elektronik der Laufwerke unleserlich machen könne. Das stellte sich aber als Trugschluss heraus. Es gebe keine spezifische Methode, um eine einzelne Datei sicher beseitigen zu können, heißt es in dem Essay.

Der Bericht führt die Probleme beim Löschen auf die Fehlerkorrektur und Optimierungsalgorithmen der SSD-Laufwerke zurück. Für den Anwender unsichtbar würden die gespeicherten Daten in verschiedene Bereiche des Chips kopiert, um diese trotz des Verschleißes der Flash-Medien bei Löschoperationen sicher und schnell lesen zu können. So könnten Daten in Gebieten des Flash-Speichers landen, die durch die im Festplatten-Befehlssatz vorgesehenen Anweisungen nicht erreichbar seien. Eine einfache Löschung des gesamten Adressbereichs eines SSD-Laufwerks nütze also nichts.

„Wir schließen daraus, dass die größere Komplexität der SSD-Laufwerke im Vergleich mit herkömmlichen Festplatten verifizierbare Löschmechanismen erfordert“, schreiben die Forscher. „Aktuelle und vorgeschlagene ATA- und SCSI-Standards (Small Computer System Interface) stellen keine Mechanismen für eine Verifizierung bereit. Der aktuelle Trend zur Laufwerkverschlüsselung bei SSD macht die Verifizierung noch einmal schwieriger.“