Das Löschen von Daten ist ein Thema, welches überraschenderweise in den Bereich der IT-Forensik fällt. Geht es in diesem Fachbereich oft darum, gelöschte Daten wiederherzustellen, ist es auch manchmal notwendig Datenbestände restlos zu entfernen. Insbesondere im Hinblick auf die Erfüllung gesetzlicher Vorschriften, z.B. die Löschung personenbezogener Daten bei einem entsprechenden DSGVO-Antrag aber auch zur Wahrung der höchstpersönlichen Privatsphäre ist ein lückenloses Löschen von Daten notwendig.
Die Herausforderung dabei liegt in den technischen Gegebenheiten: Laien ist es oft unbekannt, dass Daten, die sie regulär löschen - etwa indem etwas in den „Papierkorb“ verschoben wird - in Wirklichkeit oft noch vorhanden sind. Dies trifft auch zu, wenn der Papierkorb entleert wird (was gerne vergessen wird). Der Grund dafür ist, dass Daten nur dann wirklich verschwunden sind, wenn deren Speicherorte mit anderen Daten überschrieben werden. Der Grund dafür ist ein "wirtschaftlicher": Das tatsächliche Überschreiben von Daten benötigt mehr Rechenleistung als das in der Praxis passierende, bloße markieren der Speicherorte „zur Wiederverwertung“. Kommen Daten irrtümlich abhanden, kann eine fortlaufende Nutzung des betreffenden Datenträgers die Chance einer Wiederherstellung deshalb auch deutlich schmälern.
Es reicht aber nicht lediglich eine neue Datei in das Verzeichnis zu legen, in dem die gelöschte Datei zuvor war, denn die Auswahl des tatsächlichen Speicherorts am physischen Datenträger selbst erfolgt auf einer abstrakten, für den regulären Benutzer unzugänglichen Ebene. Schließlich muss also bereits für das initiale Löschen der Daten methodisch korrekt vorgegangen werden, doch selbst dann können Spuren zurückbleiben. In Zwischenspeichern („Caches“) von Betriebssystemen und Programmen können Spuren der Daten und Handlungen des Benutzers bestehen bleiben. Besonders in Bezug auf mobile Geräte (Smartphones, Tablets) und deren Apps (insb. Chats- und Messenger Apps) kann das das gezielte nachhaltige Löschen von Inhalten herausfordernd sein. Die Handlung des Löschens oder die Nutzung von Software, die dafür genutzt ist, kann unter Umständen nachvollziehbar sein. Oft wird auch übersehen, dass Daten auf anderen Speicherorten, z.B. in einer Cloud, synchronisiert sind. Diese Datenbestände können somit verbleiben und das forensische Löschen der ursprünglichen Inhalte ist zwecklos.
Tatsächlich kann die Nutzung von Verschlüsselung ein gangbarer Weg sein Daten proaktiv zu schützen. Schließlich sind diese nach Ablauf der Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, einfacher zu löschen, indem der jeweilige Schlüssel überschrieben wird. Doch selbst Verschlüsselung kann, so die Implementierung davon unzureichend ist, der Schlüssel verloren geht oder nicht korrekt gelöscht wird, ein Stolperstein sein.
Schließlich benötigt eine forensische Löschung von Daten ein hohes Fachwissen, Erfahrung und die Kenntnis darüber welche weiteren Systeme und Speicherorte Hinweise auf die gelöschten Daten enthalten können. Als Forensiker besitzen wir sowohl die Fachkenntnis, Daten im Rahmen unserer Untersuchungen zugänglich machen, zu rekonstruieren und aufbereiten zu können, als auch die persönliche Privatsphäre von uns selbst und anderen zu schützen, insbesondere wenn es sich um Fremddaten handelt.
Der vorliegende Artikel versteht sich als unverbindlich und hat rein informativen Charakter. Er kann eine Begutachtung, die auf eine bestimmte und explizite Situation bezogen ist, niemals ersetzen.