Inhaltsverzeichnis

Transcrição

Inhaltsverzeichnis

Datenrettung_auf_Speichersystemen
Name des Autors / der Autoren: Jan Beushausen, Andreas Pelekies, Michael Schmulder
Titel der Arbeit:
"Datenrettung auf Speichersystemen"
Hochschule und Studienort:
FOM Köln-Nord
Inhaltsverzeichnis
• 1 Abkürzungsverzeichnis
• 2 Abbildungsverzeichnis
• 3 Tabellenverzeichnis
• 4 Einführung
• 5 Begriffsdefinition
♦ 5.1 Daten
♦ 5.2 Speichersysteme
♦ 5.3 Abgrenzung der Begriffe Backup,
Restore, Recovery
◊ 5.3.1 Backup
◊ 5.3.2 Restore
◊ 5.3.3 Recovery
♦ 5.4 Forensik
♦ 5.5 File-Header
♦ 5.6 Carving Tools
• 6 Entstehung von Datenfehlern
♦ 6.1 Symptome
♦ 6.2 Hardwarefehler
◊ 6.2.1 Mechanische
Beschädigungen
◊ 6.2.2 Erschütterungen
◊ 6.2.3 Stromausfall
◊ 6.2.4 Nutzungsgrad
◊ 6.2.5 Weitere technische
Fehlerquellen
♦ 6.3 Anwenderfehler
♦ 6.4 Software- und Programmfehler
♦ 6.5 Viren
◊ 6.5.1 Viren ohne Auswirkung auf
die Daten
◊ 6.5.2 Viren mit Auswirkung auf
die Daten
♦ 6.6 Umweltbedingungen
◊ 6.6.1 Hitze
◊ 6.6.2 Blitzschlag und
Stromausfälle
◊ 6.6.3 Feuchtigkeit
• 7 Lebenserwartung von aktuellen
Speichersystemen
♦ 7.1 Optische Datenträger
♦ 7.2 Magnetische Datenträger
◊ 7.2.1 Magnetbänder
Inhaltsverzeichnis
1
◊ 7.2.2 Festplatten
♦ 7.3 Elektronische Speichermedien
◊ 7.3.1 Arbeitsspeicher
◊ 7.3.2 Chipkarten mit
Mikroprozessoren
◊ 7.3.3 Flash-Speicher
♦ 7.4 Zusammenfassung
• 8 Motivation der Datenrettung
♦ 8.1 Finanzielle Gründe
♦ 8.2 Forensik
♦ 8.3 Spionage
♦ 8.4 Vermeidung von Wissensverlust
♦ 8.5 Rechtliche Vorgaben
• 9 Methoden der Datenrettung
♦ 9.1 Selbst durchführbare Methoden
◊ 9.1.1 Kostenlose Tools
◊ 9.1.2 Professionelle Software
◊ 9.1.3 Vorbeugen
◊ 9.1.4 Sofortmaßnahmen im Fall
eines Datenverlustes
♦ 9.2 Professionelle Datenrettung
◊ 9.2.1 Vorgehensweise am
Beispiel von Kroll Ontrack
◊ 9.2.2 Durchführung der
Datenrettung
⋅ 9.2.2.1 Remote Data
Recovery von Kroll
Ontrack
⋅ 9.2.2.2 Datenrettung im
Labor / Reinraum
⋅ 9.2.2.3 Datenrettung auf
Festplatten und
RAID-Systemen
• 10 Erfolgsaussichten der Datenrettung
♦ 10.1 Erfahrungswerte
♦ 10.2 Grenzen der Datenrettung
• 11 Strategien zur Verhinderung von
Datenverlusten
♦ 11.1 Hardware-Strategien
◊ 11.1.1 Im System
◊ 11.1.2 Am Standort
◊ 11.1.3 Standortübergreifend
♦ 11.2 Software-Strategien
♦ 11.3 Organisatorische Strategien
◊ 11.3.1 Definition einer
Backup-Strategie
◊ 11.3.2 Frühzeitiger Austausch
◊ 11.3.3 Stresssimulation vor
Einsatz
• 12 Fazit und Ausblick
Inhaltsverzeichnis
2
• 13 Fußnoten
• 14 Literatur- und Quellenverzeichnis
• 15 Rechtsquellenverzeichnis
• 16 Anhang
1 Abkürzungsverzeichnis
Abkürzung
BIOS
CRC
DIY
DNBG
DBMS
FAT
FiR
GDPdU
IMW
kopal
MFT
MS
MTBF
MTTR
NVRAM
RAM
RDR
SMART
SSD
SOX
USB
USV
ZFS
Bedeutung
Basic Input Output System
Cyclic Redundancy Check (zyklische Redundanzprüfung)
Do-It-Yourself
Gesetz über die Deutsche Nationalbibliothek
Datenbankmanagementsysteme
File Allocation Table
Forschungsinstitut für Rationalisierung e.V. an der RWTH Aachen
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
Bildungsinstitut der mittelständischen Wirtschaft
Projekt zum kooperativer Aufbau eines Langzeitarchivs digitaler Informationen
Master File Table
Microsoft
Mean Time Between Failure
Mean Time To Recover
Non Volatile RAM (Arbeitsspeicher, der bei Entfernung der Betriebsspannung
die Daten nicht verliert)
Random Access Memory (Arbeitsspeicher mit wahlfreiem Zugriff)
Remote Data Recovery
Self Monitoring, Analysis and Reporting Technology
Solid State Drvie
Sarbanes-Oxley Act
Universal Serial Bus
unterbrechungsfreie Stromversorgung
Pseudo-Akronym für Suns Dateisystem[1]
2 Abbildungsverzeichnis
Abbildung-Nr.
4-1
5-1
6-1
6-2
1 Abkürzungsverzeichnis
Bezeichnung
In Diskettenboxen archiviert Ulrich von Bülow das Werk
Thomas Strittmatters
Drei Komponenten einer Backup Strategie
Ursachen für Datenverlust
Verbrannte Fesplatte
3
6-3
6-4
6-5
6-6
7-1
8-1
9-1
9-2
11-1
Mechanisch zerstörte Festplatte
Festplatte mit Headcrash
Festplatte mit beschädigter Metallbeschichtung
DVD-R mit defekter Randversiegelung
Ausfallraten bezogen auf die Betriebsdauer von Festplatten
Wissensdokumentation in befragten Unternehmen
HD Temperatur und Fehlerrate
Untersuchung im Reinraum
Prinzip eines Failover-Systems
3 Tabellenverzeichnis
Tabelle Nr.
6-1
7-1
8-1
10-1
Bezeichnung
Symptome für
Datenfehler
Lebenserwartung von
Speichermedien
Aufbewahrungsfristen
nach HGB
Erfolgschancen der
Datenrettung
4 Einführung
Quelle: Schiffhauer (2005b), S. 89
Abbildung 4-1: In Diskettenboxen archiviert Ulrich von Bülow das Werk Thomas Strittmatters
Im derzeitigen Informationszeitalter[2] übersteigt der Wert von auf Speichersystemen abgelegten Informationen
bei weitem den monetären Wert der Systeme selbst[3]. Es existieren Geschäftsmodelle, wie z.B. Suchmaschinen,
die alleine auf der Speicherung und Verarbeitung von elektronisch gespeicherten Informationen beruhen. Auch
die Speicherung des kulturellen und historischen Wissens einer Gesellschaft schreitet immer weiter in Richtung
digitaler Medien fort[4]. Während sich der Datenverlust von Unternehmensdaten meistens noch in Zahlen
ausdrücken lässt[5], ist dies bei Kulturgütern kaum mehr möglich[3].
Die zur Speicherung der Informationen verwendeten Datenträger besitzen große Unterschiede in der jeweiligen
Lebenserwartung[6]. Zusammen mit der Vielzahl an Möglichkeiten, durch die ein Datenverlust entstehen kann[7],
2 Abbildungsverzeichnis
4
ergibt sich ein großer Bedarf an Methoden der Datenrettung.
Diese Fallstudie gibt einen allgemeinen Überblick aktueller Methoden und Grenzen der Rettung verloren
gegangener Daten. Dabei betrachtet sie neben vor allem aus finanziellen Gründen überwiegend Unternehmen und
Institutionen verfügbaren Methoden auch solche für den privaten Anwender. Im Rahmen dieser Fallstudie ist ein
umfassender Überblick aller für Unternehmen und Privatanwender verfügbaren Programme und
Vorgehensweisen auf Grund der vorhandenen Quantität nicht möglich. Sie beschränkt sich daher auf die
Betrachtung ausgewählter Tools und Methoden, die sich auf dem Gebiet der Datenrettung bewährt haben. Als
Kriterium wird die Verwendung durch führende professionelle Datenretter herangezogen, zu denen zum Beispiel
Attingo, Kroll Ontrack und Kuert gehören.
Nach der Klärung begrifflicher Grundlagen geht diese Fallstudie auf die Ursachen für Datenverluste ein und
betrachtet im Anschluss die Lebenserwartung aktueller Datenspeichersysteme. Im Folgenden wird nach der
Darstellung der Motivation für die Rettung verloren gegangener Daten, sowohl auf die für das private Umfeld als
auch die für Unternehmen möglichen Methoden der Datenrettung eingegangen. Nachdem die Grenzen der
Datenrettung dargestellt wurden, werden Strategien zur Vermeidung von Datenverlust vorgestellt. Abschließend
werden die gewonnenen Erkenntnisse zusammengefasst und ein Ausblick auf zukünftige Entwicklungen gegeben.
5 Begriffsdefinition
5.1 Daten
Um Datenrettung verstehen zu können, bedarf es einer Definition des Begriffs Daten. Daten wird in dieser
Fallstudie im Sinne der ISO/IEC 2382-1 verwendet. Sie beschreibt Daten als Gebilde von Zeichen zur Darstellung
von Informationen[8]. Diese Gebilde werden in der Form von strukturlosen Dateien oder in strukturierten
Datenbankendateien gespeichert. Die Dateivarianten reichen von einfachen Textdateien über Bild-, Ton- und
Video-Dateien bis hin zu umfangreichen Dateien eines Datenbankmanagementsystems. Solche Datenbanken
können betriebs- und finanzwirtschaftliche Daten eines Unternehmens enthalten oder auch einen Wissensspeicher
repräsentieren, wie zum Beispiel die Datenbank hinter dem winfwiki. Im gleichen Umfang vielfältig sind die in
den Dateien oder Datenbanken gespeicherten Informationen. Sie reichen von der an einem Computer verfassten
Einkaufsliste bis hin zu den Archiven der deutschen Nationalbibliothek. Dieses Spektrum an Informationen
verdeutlicht auch die unterschiedliche Qualität eines Datenverlustes und der damit verbundenen Notwendigkeit
einer Datenrettung.
5.2 Speichersysteme
Die in Dateien oder Datenbanken gespeicherten Informationen werden auf physischen Datenträgern abgelegt.
Diese Datenträger werden als Speichersysteme bezeichnet. Diese Fallstudie beschäftigt sich mit aktuellen
Speichersystemen. Historische Systeme, wie zum Beispiel Lochkarten und Disketten werden wegen ihrer
vernachlässigbaren Bedeutung somit nicht besprochen.
Aktuelle Speichersysteme lassen sich unter anderem nach dem Medium unterscheiden, das die Daten speichert.
Als Datenträgermedien werden in dieser Fallstudie optische Datenträger (z.B. CDs und DVDs in ihren
beschreibbaren Formaten), magnetische Datenträger (z.B. Bandlaufwerke und Festplatten) sowie elektronische
Datenträger (z.B. USB-Sticks, Chipkarten) betrachtet.
Unabhängig vom verwendeten Medium werden die Dateien in einem sie ordnenden Dateisystem verwaltet, das
ebenfalls auf den Datenträgern abgelegt ist. Diese Dateisysteme enthalten Datenstrukturen, in denen neben dem
4 Einführung
5
Namen der Datei und weiteren Attributen auch deren Position auf dem Datenträger gespeichert sind. Diese
Datenstrukturen haben in ihrer ursprünglichen Art Tabellenform und werden daher auch FAT (File Allocation
Table) genannt[9]. Je nach verwendetem Medium und dem darauf aufbauenden Dateisystem werden die Daten
nicht am Stück, sondern in einzelnen Fragmenten (auch Segmenten, Blöcken, oder Clustern) abgelegt. Dies kann
dazu führen, dass eine einzelne Datei über weite Bereiche des Datenträgers verteilt abgespeichert ist. Man spricht
dann von einer Fragmentierung der Datei bzw. des Datenträgers.
5.3 Abgrenzung der Begriffe Backup, Restore, Recovery
In Anlehnung an: Düsing; Jach-Reinke (1999), S. 140
Abbildung 5-1: Drei Komponenten einer Backup Strategie
Die drei in Abbildung 5-1 genannten Begriffe Backup, Restore und Recovery lassen sich mit Datensicherung,
Datenwiederherstellung und Datenrettung übersetzen.
5.3.1 Backup
Bei der Datensicherung kann man grundsätzlich zwei Typen von Backups unterscheiden: physische und logische
Backups. Das physische Backup sichert die physisch vom Betriebssystem auf dem Datenträger gespeicherten
Dateien. Dies umfasst sowohl Dateien wie Dokumente, Bilder etc. als auch die Dateien des Datenbanksystems.
Diese Backupmethode kann sowohl bei laufendem Datenbankmanagementsystem (online) als auch bei beendetem
Datenbankmanagementsystem (offline) durchgeführt werden[10]. Bei einer Sicherung der so genannten
Systemdateien des Betriebssystems[11] trifft man häufig auf die Schwierigkeit, dass diese Dateien vom
Betriebssystem gegen Lesen, und damit gegen eine Sicherung, gesperrt sind. Als Beispiel für eine solche Datei sei
die Windows-Registrierungsdatei aufgeführt. Backups, die solche Dateien einschließen sollen, können oftmals
nur mit spezieller Software oder in einem Offline-Betrieb des gesamten Systems durchgeführt werden. Im
Gegensatz zum physischen Backup kann das logische Backup nur bei laufender Anwendung bzw. laufender
Datenbank durchgeführt werden. Es beschreibt den "Export von Teilen oder der gesamten Datenbank aus dem
Datenbankmanagementsystem heraus."[12]
5.3.2 Restore
Bei der Datenwiederherstellung können je nach Bedarf einzelne Dateien der Datensicherung wiederhergestellt
werden oder auch alle gesicherten Dateien in einem Zug[10]. Anders als im allgemeinen Sprachgebrauch üblich
bezieht Düsing die Begriffe vollständig und unvollständig auf die Vollständigkeit der Daten nach der
Datenwiederherstellung und nicht auf den physischen Restore-Vorgang[12]. In diesem Sinne wird bei einem
vollständigen physischen Restore lediglich die defekte Datendatei wiederhergestellt, wodurch die gesamten Daten
wieder vollständig im System vorliegen. Beim unvollständigen Restore werden auch sämtliche noch intakten
Dateien im System überschrieben. Diese können dabei unter Umständen bereits aktuellere Daten enthalten, als
5.2 Speichersysteme
6
ihre gesicherten Versionen auf dem Backupmedium.
Der logische Restore-Vorgang importiert die im logischen Backup-Vorgang exportierten Daten wieder in eine
Datenbank. Auf diese Weise ist eine selektive Datenwiederherstellung möglich, wie zum Beispiel die
Rücksicherung einzelner Datensätze.
5.3.3 Recovery
Ist keine Datenrücksicherung mehr möglich, da kein Backup mit den gewünschten Daten existiert oder der
Datenverlust zu schwerwiegend ist, muss eine Datenrettung durchgeführt werden. Die so genannte Instance
Recovery (sofortige Datenrettung) ist eine besondere Form der Datenrettung. Wird zum Beispiel der Computer
auf dem ein Datenbankmanagementsystem (DBMS) läuft, ungeplant neu gestartet, so wurden unter Umständen
noch nicht alle Daten in der Datenbank abgelegt. Moderne Datenbankmanagementsysteme führen dafür ein so
genanntes Logfile, in dem sämtliche Befehle aufgezeichnet werden, durch welche die Datenbank verändert wird.
Die eigentliche Ausführung der Datenänderungen geschieht aus Geschwindigkeitsgründen häufig nur im
Arbeitsspeicher des Rechners. Je nach DBMS wird in regelmäßigen Abständen die Datenbankdatei auf den
neuesten Stand gebracht. Dabei versieht das DBMS die Datenbank mit einem sogenannten Checkpoint
(Prüfpunkt), über den es feststellen kann, auf welchem Stand die Daten in der Datenbankdatei sind. Nach dem
ungeplanten Neustart des Rechners erkennt das DBMS, dass der Stand des Logfiles nicht mit dem der
Datenbankdatei übereinstimmt und kann somit alle ausstehenden Datenänderungen erneut durchführen[13].
Ähnliche Strategien werden auch von so genannten ausfallsicheren Systemen verfolgt, bei denen im Fehlerfall ein
zweites System die Arbeit übernimmt(siehe Kapitel 11.2).
Für den Fall, dass keine solchen Strategien existieren oder das Logfile der Datenbank ebenfalls beschädigt ist,
kann ein Datenrettungsversuch des Mediums (Media Recovery) gestartet werden(siehe Kapitel 9). Im günstigsten
Fall können die Daten vollständig wiederhergestellt werden. Im Falle eines Datenverlustes spricht man von einer
unvollständigen Media Recovery.
5.4 Forensik
Computerforensik ist das zentrale Element für gerichtsfeste Beweissicherung und fundierte Analyse verfügbaren
Materials, in diesem Fall der Datenträger, im Zusammenhang mit verschiedenen Formen der Kriminalität. Der
Computerforensikexperte ist der kompetente Partner im Kampf gegen die Zunahme und das Ausufern von
Internet- und Wirtschaftskriminalität im vertraulichen Rahmen eines Unternehmens[14]. Da im kriminellen
Umfeld häufig versucht wird Beweise zu vernichten, ist das Thema Datenrettung für die Wiederherstellung dieser
Beweise von größter Bedeutung.
5.5 File-Header
Nahezu jede Datei beginnt mit einem sogenannten Dateikopf(auch File-Header, Signatur). In diesem Header sind
Metadaten der Datei enthalten. Eine Bilddatei enthält in ihrem Header beispielsweise Daten über die Anzahl der
Farben, deren Zusammensetzung und die Größe des Bildes[15]. Eine Audiodatei enthält in ihrem Header Daten
wie die Länge der Datei, die Anzahl der Kanäle (z.B. Mono oder Stereo) und die Abtastrate[16] der Audiodaten.
Nicht nur speziell für diese Dateien entwickelte Programme müssen die Datei anhand ihrer Metadaten als Datei
eines speziellen Typs erkennen können. Diese Daten sind auch für eine Datenrettung bzw. -wiederherstellung
nützlich und teils unentbehrlich.
5.3.2 Restore
7
5.6 Carving Tools
Carving Tools, auch File-Carver (von engl. carve für schneiden) genannt, dienen zum zusammenfügen von
Dateien, zu denen der entsprechende Eintrag in der File Allocation Table (FAT) verloren gegangen ist. Carving
Tools basieren auf einfachen forensischen Grundsätzen. Sie kleben zerstückelte (zerschnittene) Dateien wieder
zusammen und kopieren deren Daten in eine neue, wieder lesbare, Datei. Dabei profitieren die Programme davon,
dass die meisten Dateitypen, beispielsweise das Bildformat *.jpg, über eine Signatur am Anfang und Ende der
Daten verfügen, über die der Dateityp erkannt werden kann. *.jpg Dateien starten immer mit der hexadezimalen
Zeichenfolge 0xffd8ffe00010, gefolgt vom eigentlichen Dateiinhalt mit den jeweiligen Bilddaten. Das Ende der
Datei ist durch 0xffd9 markiert. Ein File-Carver schneidet nun die Datensegmente beginnend mit der
Startkennzeichnung und endend mit der Endkenzeichnung aus dem Datenträger aus und rekonstruiert mit den
dazwischen liegenden Daten die ursprüngliche Datei[17].
6 Entstehung von Datenfehlern
in Anlehnung an: Kroll Ontrack (2004), S. 2
Abbildung 6-1: Ursachen für Datenverlust
Um die verschiedenen Methoden der Datenrettung untersuchen zu können, bedarf es zunächst eine Analyse der
Ursachen für den Verlust von Daten. Abbildung 6-1 zeigt die fünf häufigsten Gründe in der Reihenfolge ihres
Auftretens:
• Hardwarefehler nehmen mit 59% den größten Anteil der Ursachen ein,
• Anwenderfehler belegen mit mehr als einem Viertel den zweiten Platz,
• Programm- oder Softwarefehler belegen inkl. Viren 13%, wovon ein Drittel alleine auf
• Viren entfällt, weshalb diese gesondert behandelt werden. Schließlich gelangen
• Umweltbedingungen mit 2% auf den letzten Platz.
6.1 Symptome
Bevor auf die einzelnen Kategorien eingegangen wird, sollen zunächst typische Symptome aufgezeigt werden, die
auf einen Datenverlust schließen lassen. Tabelle 6-1 stellt zwölf ausgewählte Anzeichen für Datenverlust dar,
führt diese auf mögliche Ursachen zurück und teilt sie den oben genannten Kategorien zu. Die Tabelle hat keinen
Anspruch auf Vollständigkeit, sondern dient zur Verdeutlichung einiger typischer Situationen, die im
5.6 Carving Tools
8
Zusammenhang mit Datenverlust auftreten können.
Tabelle 6-1: Symptome für Datenfehler
Symptom
Mögliche Ursache
Kategorie
Eine DVD-R lässt sich nicht mehr
lesen.
Die DVD wurde falsch gelagert.
Hardwarefehler
Festplatten sind aus einem
RAID-Verbund verschwunden.
RAID-Controller defekt.
Hardwarefehler
Die Festplatte klackert.
Die Elektronik der Festplatte funktioniert
nicht mehr einwandfrei.
Hardwarefehler
Die Festplatte dreht sich nicht mehr.
Der Motor der Festplatte ist ausgefallen.
Hardwarefehler
Die Festplatte gibt klingelnde oder
pfeifende Geräusche von sich.
Die Festplatte hat einen Headcrash erlitten,
bei dem wenigstens einer der Köpfe auf dem
Datenträger aufgesetzt hat.
Hardwarefehler
Das Betriebssystem startet nicht mehr.
Es erscheint die Fehlermeldung "Kein
System gefunden."
Der Datenträger wurde formatiert und/oder
partitioniert.
Anwenderfehler
Eine Datei oder ein Verzeichnis kann
nicht mehr gefunden werden.
Die Datei oder das Verzeichnis wurden
gelöscht.
Anwenderfehler
Einige Programme lassen sich nicht
mehr starten.
Das System wurde neu installiert.
Anwenderfehler
Das Betriebssystem will einen gerade
eingesteckten USB-Stick neu
formatieren, der vorher noch
funktioniert hat.
Der USB-Stick wurde zuvor aus seinem
Steckplatz entfernt, während das
Betriebssystem die FAT geschrieben hat.
Anwenderfehler
Dateien werden nur noch mit einer
Größe von 0 Bytes angezeigt.
Softwarefehler im Betriebssystem.[18][19]
Programmfehler
Ein Dokument wird nicht mehr korrekt
dargestellt.
Ein Virenscanner hat versucht, das Dokument
Viren
von einem Virus zu befreien.
Die Festplatte riecht verbrannt oder die
Chips sind schwarz.
Es ist eine Überspannung aufgetreten.
Umweltbedingungen
6.2 Hardwarefehler
Abbildung 6-1 ist zu entnehmen, dass Hardwarefehler mit 59% aller Datenverluste das größte Risiko darstellen.
Es können verschiedene Arten an Hardwaredefekten unterschieden werden, die im Folgenden erläutert werden.
6.1 Symptome
9
6.2.1 Mechanische Beschädigungen
Quelle: Attingo (2009), s. p.
Abbildung 6-3: Mechanisch
Abbildung 6-4: Festplatte mit
Abbildung 6-5: Festplatte mit beschädigter
zerstörte Festplatte
Headcrash
Metallbeschichtung
Auf den Abbildungen 6-3 bis 6-5 sind einige häufige Ursachen für eine Mechanische Beschädigung abgebildet.
Dabei gibt es bei allen drei Fehlern eine Chance auf Datenrettung:
• Mechanisch zerstörte Festplatte
• Festplatte mit Headcrash
• Festplatte mit beschädigter Metallbeschichtung
6.2.2 Erschütterungen
Erschütterungen können durch verschiedene Umstände auftreten. Gerade in Zeiten in denen Notebooks und
Externe Festplatten immer verbreiteter sind, ist davon auszugehen, dass die Speichermedien verstärkt durch einen
Sturz erschüttert werden. Die Konsequenzen aus einem Sturz können unter anderem ein Headcrash sein, da der
Schreib- und Lesekopf durch die Erschütterung kurzfristig auf der Platte aufsetzt und so den auf Abbildung 6-4
gezeigten Ring erzeugt. Darüber hinaus können Beschädigungen wie auf Abbildung 6-3 nur durch
Gewaltanwendung erzeugt werden. Bei einer Festplatte, bei der die einzelnen Zylinder gebrochen sind, können
von den vorhandenen Teilen immer noch Daten wiederhergestellt werden. Nähere Informationen zu
Wiederherstellungsmaßnahmen können Kapitel 9 entnommen werden. Ob eine solche Zerstörung dabei mit
Absicht oder versehentlich durch einen Unfall erzeugt wurde spielt für die Datenrettungsexperten keine Rolle.
6.2.3 Stromausfall
Ein Stromausfall birgt die Gefahr eines Headcrashs. Wird genau in dem Moment auf die Festplatte zugegriffen, in
der der Strom ausfällt, kann der Schreib- und Lesekopf auf die Festplatte fallen, während diese sich noch dreht.
Damit können wie auf Abbildung 6-4 gezeigte typische Spuren eines Headcrashs entstehen. Der Schreib- und
Lesekopf hat einen Ring auf den Datenträger gekratzt. In diesem Bereich ist dadurch die magnetische
Beschichtung beschädigt worden, die die Daten enthält.
In Serverräumen werden klassisch USVs eingesetzt um im Falle eines Stromausfalls sicherzustellen, dass
Schreib- und Lesebefehle sauber abgebrochen und das System problemlos heruntergefahren werden kann.
6.2.4 Nutzungsgrad
Wie in Abbildung 6-1 dargestellt, ist eine häufige Ursache für Datenverluste die technische Fehlfunktion der
Hardware. Dabei unterscheiden wir in diesem Kapitel zwischen der zeitlichen Alterung und der Alterung durch
6.2.1 Mechanische Beschädigungen
10
die eigentliche Nutzung. Dabei stellt sich auch die Frage wie Datenfehler entstehen, wenn das Medium,
beispielsweise eine Festplatte, nicht genutzt wird. Auf der anderen Seite stellt eine große Laufzeit der Hardware
ebenfalls Ansprüche an hohe Hardwarequalität. Dabei kommt es gerade bei langen Laufzeiten verstärkt zu
Fehlern. Die Fehlerwahrscheinlichkeit steigt in beiden Fällen.
Dabei ist zu betrachten, nach welchen Laufzeiten und ab welchem Alter verstärkt Fehler zu beobachten sind und
bis zu welcher Laufzeit bzw. welchem Alter eine bedenkenlose Nutzung empfehlenswert ist (siehe Kapitel 7).
• Alterung
Quelle: Wells (2008), S.83
Abbildung 6-6: DVD-R mit defekter Randversiegelung
Bei optischen Datenträgern lassen sich vor allem drei Varianten der Alterung unterscheiden. Die beiden
häufigsten Arten resultieren aus der Beschädigung der reflektierenden metallischen Schicht. Die erste Variante
stellt sich in Form von Löchern ein, die wie durch den Laser gebrannt aussehen. Die zweite Alterserscheinung
umfasst die großflächige Ablösung der Metallschicht. Als dritte Alterungsvariante existiert das Eindringen von
Luft oder Feuchtigkeit am Rand des optischen Mediums, was aus unzureichender Versiegelung der einzelnen
Schichten resultiert[20].
• Laufzeit
Wie Fehler durch lange Laufzeit vermieden werden können wird im Kapitel 11.3.2 beschrieben. Generell kommt
es bei Gebrauchsgegenständen bei häufigem und permanenten Gebraucht verstärkt zu Abnutzungserscheinungen.
Dies schließt Datenträger nicht aus. Damit kann davon ausgegangen werden, dass umso mehr Datenfehler
auftreten, je länger die Laufzeit eines Mediums ist.
6.2.5 Weitere technische Fehlerquellen
Als mögliche weitere Fehlerquelle kommt das Versagen des Festplattensteuergerätes (Controller) durch
Überhitzung in Frage. Ein solcher Fall tritt dann selten als Einzelfall auf, da die Festplatten in großen Chargen
produziert werden und sie somit ein annähernd gleiches Fehlverhalten zeigen.
Sollte sich ein Schreib- und Lesekopf in seiner Ruheposition verklemmen oder sollte dieser Aufgrund von
Umwelteinflüssen festgerostet sein, lässt sich dadurch nicht unbedingt auf Datenfehler schließen. Nur weil die
Festplatte technisch nicht mehr in der Lage ist die vorhandenen Daten zu lesen, ist nicht zwangsläufig ein
Datenverlust eingetreten. Ein solches Laufwerk mit defekter Mechanik und unbeschädigten Daten sollte
Spezialisten übergeben werden. Sie sind in der Lage, die auf der Festplatte vorhandenen Daten wieder zu
extrahieren und so wieder nutzbar zu machen.
6.2.4 Nutzungsgrad
11
Auch weitere außerhalb der eigentlichen Speichermedien befindliche Komponenten können für einen
Datenverlust verantwortlich sein. Dazu zählen zum Beispiel eine defekte Netzwerkkarte, ein defekter
RAM-Baustein im Arbeitsspeicher des Rechners oder ein defektes oder schlecht abgeschirmtes Verbindungskabel
im Rechner. Solche Defekte bringen häufig schleichenden Datenverlust mit sich, da teilweise nur einzelne Bits in
den Dateien den falschen Wert aufweisen[21].
6.3 Anwenderfehler
Eine weitere häufige Ursache für Datenverluste, ist der Anwender selber. So ist ein Anwenderfehler die zweit
häufigste Ursache für verlorene oder beschädigte Daten. 26% aller Datenverluste sind auf Anwenderfehler
zurückzuführen. Dazu zählt insbesondere das versehentliche Löschen von Dateien durch Formatierung oder durch
Ersetzen der aktuellen Datei durch eine ältere Version(siehe Abbildung 6-1). Ebenfalls bringt die gemeinsame
Bearbeitung von Dateien auf Netzlaufwerken die Gefahr mit sich Dateien zu beschädigen. Da in solchen
Situationen mehrere Personen gleichzeitig auf die Datei zugreifen wollen, können die Bearbeitungen sich
gegenseitig beeinflussen. Als Beispiel sei eine Datei zur Terminplanung oder Anmeldung zu einem Seminar oder
einer Veranstaltung genannt, bei der sich alle Mitarbeiter einer Abteilung eintragen müssen.
Datenbankmanagementsysteme versuchen solchen Problemen durch geeignete Techniken (z.B. Sperren eines
Datensatzes während der Bearbeitung) aus dem Weg zu gehen.
Neben diesen nachvollziehbaren Gründen gibt es ebenfalls Fälle, die Aufgrund ihrer Kuriosität erwähnenswert
sind. Kroll Ontrack kürt jährlich diese Fälle in einer Top-10 Liste. Im Jahr 2008 sind darin beispielsweise die
folgenden Ursachen vertreten[22]:
• zerbissene SD Karte durch ein Kleinkind
• Laptop im Ofen zusammen mit einem Hähnchen gebacken
• Staubsauger löst Speicherteile von der USB-Platine
In diesen drei Fällen konnten jeweils alle Daten wieder hergestellt werden.
6.4 Software- und Programmfehler
Zudem kann es auch zu Logikfehlern innerhalb der Verzeichnisstruktur kommen. Geht das vorliegende
Dateiverzeichnis beispielsweise auf Grund eines falschen Eintrags von einer falschen Dateigröße aus, so werden
die Daten beim Lesen oder Schreiben abgeschnitten, obwohl die Daten technisch korrekt vorliegen. Häufig tritt
diese Ursache in Verwendung virtueller RAID-Systeme mit dynamischer Speicherverwaltung auf. Diese
verkleinern im Fehlerfall das RAID-Segment und bereits geschriebene Daten fallen aus dem entsprechenden
Bereich heraus[23].
Programmierfehler in Anwendungen sind ein weiterer Grund, weshalb Daten nicht korrekt geschrieben werden
können. So kann es zu so genannten Buffer-Overflows kommen, sobald eine zu speichernde Variable mehr
Speicher benötigt als ihr zuvor zugewiesen wurde. Eine weitere Möglichkeit ist das Überschreiben einer
Arraygrenze (eine begrenzte Liste mit Variablen) und auch die Verwendung von Zeigern auf bereits durch andere
Anwendungen belegten Speicheradressen im RAM.
6.2.5 Weitere technische Fehlerquellen
12
6.5 Viren
Unter den Bedrohungen durch Software, nehmen die Viren(von lat. virus für Gift) ein eigenes Themenfeld ein. In
dieser Fallstudie werden Viren als Computerprogramme definiert, die sich mit dem Ziel sich selbst weiter zu
verbreiten in ein Computersystem einschleichen. Eine Unterscheidung zwischen den einzelnen Kategorien dieser
Programme (Viren, Würmer, trojanische Pferde) wird hier nicht vorgenommen. Bei allen anderen Ursachen für
Datenverlust tritt dieser nicht mit Vorsatz ein. Im Gegensatz dazu wird bei einigen Typen von Viren ein
Datenverlust explizit angestrebt. Diese Programme werden auch Malware (von engl. Malicious Software für
bösartige Software) genannt.
Die kes Sicherheitsstudie aus dem Jahr 2006 beziffert die bei den 163 befragten Unternehmen aufgetretenen
durchschnittlichen Kosten einer Viren-Infektion auf 18.000?[24]. Dabei ist zu beachten, dass bei den befragten
Unternehmen durchschnittlich 38 solcher Vorfälle jährlich auftraten. Somit ist der hierdurch entstehende Schaden
nicht zu vernachlässigen.
6.5.1 Viren ohne Auswirkung auf die Daten
Ein Großteil der Viren schädigt jedoch die Daten nicht direkt. Stattdessen entsteht der Schaden durch eine
Blockierung des Systems. Das Replikationsziel der Viren lastet die verfügbaren Ressourcen so stark aus, dass eine
produktive Arbeit mit dem System nicht mehr möglich ist. Ein Datenverlust kann in diesem Fall zum Beispiel
dadurch auftreten, dass die Datenverbindung bei einer über das Internet angeschlossenen Datenbank
zusammenbricht. Die in diesem Moment noch nicht in der Datenbank abgelegten Informationen gehen verloren.
Da das Internet auch aus anderen Gründen nicht zur Verfügung stehen kann, ist die entsprechende Software in der
Regel auf den Zusammenbruch der Verbindung vorbereitet. Somit wird das Risiko eines Datenverlustes über die
beschriebenen Viren im Normalfall minimiert.
6.5.2 Viren mit Auswirkung auf die Daten
Viren als Grund für einen Datenverlust[25] existieren. Dieser basiert in den meisten Fällen darauf, dass die Viren
in ihrem Streben sich zu verbreiten Programme derart überschreiben oder modifizieren, dass diese nun als
Hauptaufgabe die Verbreitung der Viren übernehmen. Dies kann als Nebeneffekt dazu führen, dass die von diesen
Programmen erzeugten Dateien nicht mehr korrekt abgespeichert werden.
Das Ziel eines Datenverlustes kann auch als Hauptzweck des Virus auftreten. So ersetzt der MIX-1 Virus
auszudruckende Buchstaben durch andere Buchstaben. Der Text "Sehr geehrte Damen und Herren" wird zum
Beispiel durch "Rahr gaahrta Deman ond Harran" ersetzt. Dies führt zumindest für eine Verstimmung der
Empfänger, sollte ein solcher Brief ungeprüft verschickt werden[25].
Viren können in besonderen Fällen dazu eingesetzt werden, Hardware zu zerstören. Eine Möglichkeit ist die
gezielte Übertaktung einzelner Komponenten des Rechnersystems, was über eine Überhitzung zur physischen
Zerstörung der Komponente führen kann. Eine andere Möglichkeit ist die Ausnutzung nicht offiziell
dokumentierter Befehle für Festplatten, die die Köpfe in nicht erlaubte Positionen bewegen und so die Hardware
zerstören. Die Entwickler solcher Viren sehen sich der Schwierigkeit der heterogenen Hardwareverbreitung
ausgesetzt. So unterscheiden sich zum Beispiel bereits die auf dem Markt befindlichen technischen Eigenschaften
von Prozessoren oder Festplatten immens. Von daher lohnt es sich für einen Entwickler in der Regel nicht, einen
solchen Virus für eine allgemeine Verbreitung zu entwickeln. Da der Anteil gezielter Angriffe auf einige Firmen
sehr stark ist[24], besteht hier oftmals auch durch Vertrauensbruch Kenntnis der eingesetzten Hardware. Dies führt
zur gezielten Entwicklung solcher Viren mit dem Ziel ein speziell ausgewähltes Unternehmen anzugreifen.
6.5 Viren
13
Abschließend seien noch die Viren DATACRIME-II und Michelangelo genannt, die die auf einem
Speichermedium befindlichen Daten durch eine Zerstörung der FAT unlesbar machen, bzw. bestimmte Bereiche
der Speichermedien mit zufälligen Daten überschreiben[25]. Gerade die letzte Variante der Überschreibung mit
zufälligen Daten ist aus der Sicht der Datenrettung besonders schwierig. Diese Daten können in den meisten
Fällen ohne eine Sicherheitskopie nicht wiederhergestellt werden.
6.6 Umweltbedingungen
6.6.1 Hitze
Abbildung 6-2: Verbrannte Fesplatte
Daten und die Speichersysteme auf denen sie gehalten werden, können wie bereits beschrieben durch interne
Fehler beschädigt werden oder komplett verloren gehen. Seltener, dafür aber meist verheerender ist der Einfluss
durch die Umwelt oder höhere Gewalt auf die Speichersysteme. Feuer spielt nicht nur eine direkte Rolle durch
Hitzeeinwirkung sondern auch durch den dabei entstehenden Rauch. In einem Serverraum kann der Rauch durch
die Klimaanlage abgesaugt werden. Ursachen für Brände können durchgeschmorte Kabel sein[26].
6.6.2 Blitzschlag und Stromausfälle
Speichersysteme können, zum Beispiel durch Blitzschläge, Überspannungen ausgesetzt werden. Werden diese
nicht durch Sicherungen oder USVs abgefangen, können sie neben der möglichen Zerstörung der Hardware für
fehlerhafte Schreibvorgänge sorgen, indem die elektrisch übertragene Bitfolge verändert wird.
Stromausfälle im Schreibprozess auf Speichermedien sorgen ebenfalls für den Totalverlust der noch zu
schreibenden Daten. Dies kann bis zu einem Headcrash der Lese- und Schreibköpfe einer Festplatte führen. In
Serversystemen wird in der Regel der sofortige Stromausfall durch USVs verhindert, welche dem System im
Durchschnitt 20 Minuten Laufzeit gewähren, bevor es heruntergefahren werden muss.
6.6.3 Feuchtigkeit
Hochwasser oder Sprinkleranlagen stellen eine weitere Gefahr auf den Datenbestand dar. Komplette
Rechenzentren können durch Wasserschäden ausfallen. Wasserschäden im privaten Umfeld resultieren meist aus
der Unachtsamkeit eines Anwenders. Offene Flaschen oder volle Gläser neben dem Notebook sind schnell
umgestoßen. Der Defekt der Elektronik ist eine mögliche Folge.
6.5.2 Viren mit Auswirkung auf die Daten
14
7 Lebenserwartung von aktuellen Speichersystemen
Nachdem verschiedene Gründe für die Entstehung von Datenfehlern angesprochen wurden, stellt sich nun die
Frage wie lange die verwendeten Medien ihre auf ihnen gespeicherten Daten speichern können, bevor die Daten
ganz oder teilweise nicht mehr lesbar sind. Nach einer Studie aus dem Jahr 2003 werden jährlich zwischen 3,4
und 5,6 Exabytes[27] an Daten gespeichert[28]. Bei diesen Datenmengen wird die Notwendigkeit verlässlicher
Speichermedien sehr deutlich.
Obwohl bereits diverse Studien[29] zur Haltbarkeit von Speichermedien erstellt wurden, wird vor allem im Bereich
der optischen Datenspeicherung die geringe Verfügbarkeit von Vergleichsdaten beklagt[30]. Die meisten
verfügbaren Daten kämen von den Herstellern der entsprechenden Speichermedien selbst. Sie basierten meistens
auf der Extrapolation von Untersuchungen geringen Umfangs zu beschleunigten Alterungsbedingungen[30].
Einer vergleichbaren Herausforderung sieht man sich bei der Ermittlung der entsprechenden Daten für andere
Formen von Speichermedien gegenübergestellt.
Im Folgenden werden die Lebenserwartungen der gebräuchlichsten Datenträger vorgestellt.
7.1 Optische Datenträger
Wenngleich die Datenspeicherung auf optischen Medien nur einen relativ geringen Anteil am Gesamtvolumen der
gespeicherten Daten hat[28], ist deren Relevanz nicht unerheblich. Die Langzeitarchivierung auf solchen
Datenträgern ist für Bibliotheken wie zum Beispiel die Deutsche Nationalbibliothek von großer Bedeutung[31].
Ebenso erfolgt bei Privatpersonen die Archivierung in der Regel auf optischen Datenträgern und nur selten auf
Magnetbändern.
Die meisten Aussagen zur Haltbarkeit von optischen Datenträgern wie CDs und DVDs, vor allem in den durch
den Anwender selbst beschreibbaren Formaten, kommen überwiegend von Herstellerseite. So ist bei ihnen von
einer Lebenserwartung zwischen 10 und 100 Jahren die Rede[32]. Bereits durchgeführte Studien gehen daher
häufig von einer anderen Seite an das Thema Lebenserwartung heran. Sie prüfen ebenfalls unter schlechten
Bedingungen (beschleunigte Alterung), welche Umweltfaktoren besonders schädlich das jeweilige Material
beeinflussen. Daraus schließen sie im Gegensatz zu den Herstellern nicht auf eine absolute Haltbarkeit, sondern
auf die relative Haltbarkeit der einzelnen optischen Speichermedien zueinander[33]. Klassische CD-R-Medien
können nach diesen Untersuchungen eine relativ bessere Haltbarkeit aufweisen, als zum Beispiel die mit mehr
Daten bespielbaren DVD-Rs. Als Ergebnis lässt sich zusammenfassen, dass vor allem ein optimaler Umgang und
eine entsprechende Lagerung die Haltbarkeit der optischen Datenträger entscheidend beeinflusst. Hierzu gehören
[34]
• die Vermeidung der Einstrahlung von direktem Sonnelicht,
• einer Luftfeuchtigkeit zwischen 20% bis 50% und einer Temperatur um 20 Grad Celsius, sowie
• Vermeidung von der Verwendung von Etiketten für die Beschriftung der Medien.
7.2 Magnetische Datenträger
Magnetische Datenträger sind mit weit über 90% Gesamtanteil dasjenige Medium, welches am häufigsten für die
Datenaufbewahrung verwendet wird[28]. Daher wird für die Rettung der Daten dieser Medien der größte Aufwand
getrieben[35].
7 Lebenserwartung von aktuellen Speichersystemen
15
7.2.1 Magnetbänder
Gerade im Umfeld von Unternehmen werden Datensicherungen vor allem auf Magnetbändern durchgeführt[36].
Da ihnen somit die Aufgabe der Langzeitarchivierung zufällt, ist die Betrachtung dieser Medien besonders
wichtig. Die Lebenszeit der Magnetbänder hängt vor allem von zwei Faktoren ab: der Zusammensetzung des
Bandmaterials und der späteren Lagerung der Bänder. Bei der Zusammensetzung gibt es sowohl Unterschiede im
verwendeten Trägermaterial, der darauf aufgetragenen magnetischen Beschichtung und des Klebstoffes, der diese
beiden Schichten verbindet. Bänder mit Trägermaterial aus Polyester sind zum Beispiel haltbarer als solche aus
Celluloseacetat. Doch vor allem der die beiden Schichten verbindende Klebstoff hat entscheidenden Einfluss auf
die Haltbarkeit des Bandes[37].
Die Lagerung der Bänder kann die Lebensdauer entscheidend beeinflussen. Während optimal gelagerte Bänder
bis zu 50 Jahre haltbar sind[38], kann sich die Haltbarkeit bei unsachgemäßer Lagerung bis auf unter 10 Jahre
reduzieren[39]. Die ISO-Norm 18923 beschreibt die optimalen Lagerbedingungen mit einem Temperaturbereich
zwischen 11 und 23 Grad Celsius bei einer relativen Luftfeuchtigkeit zwischen 20% und 50%[40].
7.2.2 Festplatten
Festplatten werden für die Datenspeicherung in nahezu allen Computersystemen verwendet. Sie enthalten
Datenbanken mit den aktuellen unternehmenskritischen Daten. Bereits bei durchschnittlichen Unternehmen haben
die auf den Festplatten gespeicherten Daten einen Wert von bis zu 50% des Unternehmenswertes[41] Bei
Unternehmen wie dem Suchmaschinenbetreiber Google, dessen Geschäftsmodell alleine auf den auf Festplatten
gespeicherten Daten basiert, ist die Verfügbarkeit der Datenbank überlebensnotwendig. Daher wundert es nicht,
dass gerade solche Unternehmen die Lebenserwartung von Festplatten als Datenträger in eigenen Studien
untersuchen lassen[42].
In Anlehnung an: Schroeder (2006), Kap. 4.2
Abbildung 7-1: Ausfallraten bezogen auf die Betriebsdauer von Festplatten
Durch die Wichtigkeit dieses Speichermediums wurde die Überwachung der Korrektheit der Datenspeicherung
auf der Festplatte in die Hardware selbst integriert. Die SMART Technologie (Self Monitoring, Analysis and
Reporting Technology)[43] wurde bereits 1992 von IBM und Compaq ins Leben gerufen. Ziel war es eine
vorausschauende Fehleranalysemethode zu erstellen, die möglichst frühzeitig vor einem anstehenden Datenverlust
warnt. Aus der Entwicklung solcher Software lässt sich somit schließen, dass Festplatten ihren bevorstehenden
Ausfall ankündigen. Eine von Nisha Talagala und David Patterson durchgeführte Untersuchung kam zu der
Erkenntnis, dass vor dem eigentlichen Ausfall sich die von SMART angezeigten Fehler häufen[44]. Allerdings gibt
es auch unvorhersehbare Fehler, wie zum Beispiel Spannungsspitzen, die die Elektronik der Laufwerke zerstören
können[45].
Hersteller geben typische Lebenserwartungen von 1 Mio. Stunden MTBF (Mean Time Between Failure) für ihre
Festplatten an[46]. Bei durchgehender Nutzung würde dies einer Lebenserwartung von über 100 Jahren
entsprechen, bis im Durchschnitt ein Fehler auftritt. Die bisher durchgeführten Studien zeigen jedoch eine
7.2.1 Magnetbänder
16
wesentliche höhere Austauschrate[47]. Dabei ist zu beobachten, dass die meisten Fehler entweder innerhalb des
ersten Jahres auftreten, sich dann erst wieder nach einer Betriebsdauer von 5 bis 7 Jahren häufen. Dabei ist die
Intensität der Nutzung der Festplatte nicht entscheidend[48]. Eine mögliche Begründung ergibt sich aus der
Es-überleben-nur-die-Stärksten - Theorie[48], wodurch sich Instabilitäten bei der Produktion schon bald nach
Beginn der Benutzung zeigen. Die Studien kommen zu der Erkenntnis, dass Festplatten mit hoher
Wahrscheinlichkeit bald nach dem Auftreten der ersten SMART-Fehler ausfallen[49]. Insgesamt ergibt sich eine
Lebenserwartung von 2-5 Jahren, nach denen Festplatten ausgetauscht werden sollten[50].
7.3 Elektronische Speichermedien
Zu den elektronischen Speichermedien zählen
1. Der Arbeitsspeicher eines Computers
2. Chipkarten mit Mikroprozessoren
3. Flash-Speicher.
Bei den drei aufgeführten Arten werden nur die Flash-Speicher zur gezielten Langzeitdatenspeicherung
verwendet.
7.3.1 Arbeitsspeicher
Der Vollständigkeit halber sei als Speichermedium der Arbeitsspeicher eines Computers aufgeführt. Obwohl
dieser nicht zur Langzeitdatenhaltung geeignet ist, werden dennoch die eigentlichen Daten vor Ihrer Bearbeitung
in den Arbeitsspeicher eines Computers geladen.[51]. Über die Lebenserwartung der Speicherchips selbst wird in
den dazu gehörenden technischen Datenblättern keine Angaben gemacht[52]. Jedoch muss die momentan in ihnen
gespeicherte Information je nach Typ alle 15µs-64ms aufgefrischt werden, da sie ansonsten verloren geht[53]. Eine
Sonderform stellen die batteriegepufferten Speicherbausteine, die so genannten nonvolatile RAMs (NVRAM) dar.
Diese werden zum Beispiel beim sogenannten BIOS verwendet, das das grundlegende Startprogramm eines
Computers enthält. Die Lebensdauer der in ihnen gespeicherten Daten ist dabei durch die Batterielebensdauer
begrenzt[54].
7.3.2 Chipkarten mit Mikroprozessoren
Chipkarten mit Mikroprozessoren werden in verschiedenen Ausprägungen verwendet. Die auf ihnen
gespeicherten Informationen dienen zum Beispiel zur Gewährung von Zugangsrechten(Chipkarten mit
Türöffnerfunktion), dem Nachweis bestehender Vertragsverhältnisse (Gesundheitskarte, Fahrausweis, SIM-Karte
im Handy) oder auch zur Speicherung von und der Zugangsgewährung zu Bargeld(ec- oder Geldkarte).
Verglichen mit auf sonstigen Datenträgern gespeicherten Daten ist der Verlust dieser Informationen durch
Alterung vernachlässigbar, da die auf ihnen gespeicherten Informationen ebenfalls bei der kartenausgebenden
Stelle vorliegen. Allenfalls bei Telefon- und Geldkarten kann dadurch ein finanzieller Verlust entstehen, der im
Fall von Geldkarten auf 200? limitiert ist[55]. Die Lebenserwartung einer Chipkarte für die Zeiterfassung oder
Zugangskontrolle wird mit 100.000 Schreibzyklen bzw. 10 Jahren Datenhaltung angegeben[56]. Diese Angabe
lässt darauf schließen, dass das verwendete Speichermodul einen Flash-Speicher enthält.
7.2.2 Festplatten
17
7.3.3 Flash-Speicher
Flash-Speicher werden zum Beispiel in USB-Sticks, Digitalkameras, PDAs und MP3-Playern verwendet[57]. Der
Trend wächst, Flash-Speicher auch in Enterprise-Systemen zum Beispiel als schnelle Speichermedien für Logfiles
oder sogar als Cache-Ersatz einzusetzen[58]. Obwohl Flash-Speicher ihre Daten beliebig lange speichern können
und auch beliebig oft gelesen werden können, haben sie nur eine begrenzte Lebenserwartung. Das Beschreiben
eines Flash-Speichers funktioniert nur nach vorherigem Löschen, das - wie ein Kamerablitz (Flash) - ganze
Speicherbereiche auf einmal umfasst. Jeder Löschzyklus verringert die Lebenserwartung der einzelnen
Speicherzellen. Insgesamt ergibt sich je nach Typ eine Lebenserwartung von 10.000, 100.000 oder bis zu 1
Millionen Löschzyklen[59]. Durch ausgeklügelte Speichertechniken und bis zu 50%iger Reservekapazität kommt
ein Flash-Speicher dennoch auf eine durchschnittliche Lebenserwartung von fünf Jahren[60].
7.4 Zusammenfassung
Die sehr unterschiedlichen Lebenserwartungen der Speichermedien auch bei optimalen Bedingungen sind im
Folgenden in Tabellenform zusammengefasst.
Tabelle 7-1: Lebenserwartung von Speichermedien
Durchschnittliche Lebenserwartung
unter optimalen Bedingungen
Speichermedium
Optische Speichermedien (Standardqualität)
010 - 20 Jahre
Optische Speichermedien (Archivqualität)
100 Jahre
Magnetbänder
010 - 50 Jahre
Festplatten
005 Jahre
DRAM-Speicher
ohne Angabe (ca. 15µs bis 64ms zur Datenhaltung)
Chipkarten mit Microcontrollern
010 Jahre
Flash-Speicher
005 Jahre
Durch die sehr hohen Lebenserwartungen von Magnetbändern und optischen Speichermedien stellt sich neben der
physisch machbaren Lebenserwartung auch die Frage, ob nach einer bestimmten Zeit noch technische Geräte und
Programme existieren, die die Speichermedien lesen können. Die Aufbewahrung entsprechender Geräte über neue
Gerätedimensionen hinweg und das Wissen über die zur Zeit der Datensicherung verwendeten Speicherformate
stellt folglich eine zusätzliche Herausforderung da. Auf dieses Thema wird bei der Besprechung der Strategien
zur Verhinderung von Datenverlusten in Kapitel 11 noch einmal detaillierter eingegangen.
8 Motivation der Datenrettung
Die Motivation der Datenrettung lässt sich auf zwei wesentliche Aspekte zusammenfassen:
• Wert von Informationen
• damit verbundene Kosten
Im Folgenden werden die damit verbundenen Themen näher betrachtet.
7.3.3 Flash-Speicher
18
8.1 Finanzielle Gründe
Es gibt unterschiedliche Ursachen, aus denen eine gespeicherte Information einen finanziellen Wert darstellt. Im
einfachsten Fall sei Tätigkeit die Eingabe der Informationen durch Mitarbeiter in ein System genannt. Der
Vorgang des Eingebens stellt durch die Bezahlung des Mitarbeiters einen Wert dar: "Um das Wörterbuch der
Brüder Grimm zu digitalisieren, tippten zwei Teams von je 20 Chinesen die 300 Millionen Zeichen ab"[61]. Auf
der anderen Seite übertrifft der Wert der eingegebenen Information an sich den Wert der mit dem Vorgang des
Eingebens verbundenen Arbeit bei weitem. Als verdeutlichendes Beispiel seien hier die Erfassung von
Forschungsergebnissen von Firmen oder Universitäten und der Wert der Informationen in der Suchdatenbank von
Google genannt. Bei solchen Datenquellen kommt eine Neuerfassung der Daten in der Regel nicht in Frage oder
ist technisch unmöglich. Auch eine finanzielle Entschädigung durch eine Versicherung deckt nur in seltenen
Fällen den entstandenen Schaden. Die Ursache dafür ist der nur schwer zu beziffernde Wert von Information.
Versicherungen rechnen mit einem Wert von 1.000 ? je Megabyte Daten[62].
Die Motivation für eine Datenrettung liegt also darin, den monetären und ideellen Wert dieses immateriellen
Vermögens (der Daten) wieder herzustellen.
8.2 Forensik
Beim Kampf gegen die Internetkriminalität spielt die Datenrettung von vorsätzlich vernichteten oder beschädigten
Datenträgern eine entscheidende Rolle. Nur mit Hilfe von forensischen Untersuchungen von Originalkopien oder
Images[63] von Datenträgern sowie einer durchgängigen Protokollierung lässt sich ein beweiskräftiges Ergebnis
erzielen.[64] Das Ziel dieser Untersuchungen ist es die Cyberkriminalität einzuschränken, indem die Täter mit den
Methoden der Forensik überführt werden. Dabei werden die forensischen Untersuchungen durch den Einsatz von
Carving Tools unterstützt. Die Methoden der Wiederherstellung werden im Kapitel 9 näher behandelt.
8.3 Spionage
Ähnlich der Forensik wird auch bei der (Wirtschafts-)Spionage versucht auf Daten Zugriff zu erhalten, die bereits
gelöscht wurden. Hierbei handelt es sich in der Regel um einen illegalen Akt, in dem Datenträger ausspioniert
werden sollen. Dieser Versuch wird zum Beispiel bei beschädigten, zerstörten oder formatierten Datenträgern
unternommen. Das Ziel liegt darin, wertvolle unternehmensspezifische Informationen zu erlangen. Dies kann bei
der Unternehmenskommunikation eines konkurrierenden Unternehmens anfangen und endet bei der Auswertung
alter Backups. Diese können sich auf Festplatten befinden die ausgemustert wurden, und vor oder nach der
Verschrottung gekauft oder gestohlen wurden. Hierdurch will oftmals die Konkurrenz die auf diesen Medien
verbliebenen Informationen retten, um daraus zu profitieren. Können zum Beispiel die Ertragslage des
Unternehmens oder geplante Schritte ermittelt werden, kann dies einen entscheidenden strategischen Vorteil mit
sich bringen. In solchen Fällen muss davon ausgegangen werden, dass der Wert der wiederhergestellten
Informationen wesentlich höher ist als die Kosten der Datenrettung.
8.4 Vermeidung von Wissensverlust
8.1 Finanzielle Gründe
19
In Anlehnung an: FiR (2001), S. 14
Abbildung 8-1: Wissensdokumentation in befragten Unternehmen
Um die Schwere der Auswirkungen eines Wissensverlustes von Spezialwissen bei Unternehmen abschätzen zu
können, wurde Ende 2001 eine Studie durch die RWTH Aachen durchgeführt. Sie untersuchte, in welcher Form
das Wissen in den Unternehmen gespeichert und gesichert wird. Dazu wurde eine Umfrage an 152 Unternehmen
verschickt. Die Rücklaufquote betrug ca 30 %[65]. Das FiR ermittelte daraus, dass der Großteil des Wissens in den
Köpfen der Mitarbeiter gespeichert ist und nur ein geringer Teil in Dokumenten oder Datenbanken abgelegt wird.
[66]
Bei dem in den Köpfen der Mitarbeiter gespeichertem Wissen besteht die Gefahr des Know-How-Verlustes,
sobald ein Mitarbeiter das Unternehmen verlässt. Darum versuchen Unternehmen verstärkt das Wissen in
Wissensdatenbanken abzulegen. Die Motivation zur Datenrettung dieser Daten wird folglich hin zu diesen
Datenbanken verschoben.
Daraus folgt neben organisatorischen Überlegungen für die Unternehmen, dass der Teil des digital gespeicherten
Wissens einer besonderen Schutzwürdigkeit unterliegt. Im Ernstfall eines Datenverlustes muss dieses Wissen
wieder hergestellt werden.
8.5 Rechtliche Vorgaben
Ein weiterer Aspekt sind die gesetzlichen Regelungen zur Sicherung von Daten. Die Motivation der
Gesetzgebung liegt weniger in der Aufbewahrung von Wissen, als vielmehr in der Nachvollziehbarkeit der
betriebs- und finanzwirtschaftlichen Prozesse der Unternehmen. Das deutsche HGB zielt zum Beispiel vor Allem
auf Gläubigerschutz hin, was durch die im HGB verankerten Imparitäts-, Vorsichts- und Realisationsprinzipien
deutlich wird[67]. So gibt der Gesetzgeber zum Beispiel vor, wie lange kaufmännische Dokumente aufgehoben
werden müssen[68]. Dabei sieht das HGB zwei verschiedene Aufbewahrungsfristen vor:
Tabelle 8-1: Aufbewahrungsfristen nach HGB
10 Jahre
Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse,
Einzelabschlüsse[69], Lageberichte, Konzernabschlüsse,
8.4 Vermeidung von Wissensverlust
6 Jahre
Alle Dokumente die nicht 10 Jahre
aufbewahrt werden müssen. Dazu zählen
20
Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen insbesondere Handelsbriefe und
Arbeitsanweisungen und sonstigen Organisationsunterlagen[70].
Geschäftspapiere[72], bei denen die
Darüber hinaus gilt dies auch für Belege für Buchungen in den vom elektronischen Varianten nicht
Unternehmen zu führenden Büchern[71].
ausgeschlossen werden (z.B. Emails).
Die Aufbewahrungsfrist beginnt mit dem Ende des betroffenen Kalenderjahres[73].
Für elektronische Datenspeicher werden die Anforderungen durch die GDPdU (Grundsätze zum Datenzugriff und
zur Prüfbarkeit digitaler Unterlagen) geregelt. Aufgrund der gesetzlichen Vorgabe sind Unternehmen bestrebt
diese Daten im Ernstfall zu retten. Die Motivation der Datenrettung durch die Unternehmen besteht hierbei in der
Pflicht, diese Daten zur Verfügung stellen zu können.
Neben den deutschen Gesetzen zu Datenaufbewahrungsfristen gibt es international weitere Vorschriften. Eine der
bedeutendsten ist der SOX (Sarbanes-Oxley Act), der an Unternehmen besondere Anforderungen stellt, wenn sie
an der US-amerikanischen Börse notiert sind. Diese Unternehmen müssen ein geeignetes Konzept zur
Datensicherung ausweisen. Da SOX nicht zwischen inländischen und ausländischen Firmen unterscheidet, kann
dies auch auf deutsche Firmen Auswirkungen haben. Einige der größten betroffenen Unternehmen in Deutschland
sind DaimlerChrysler, E.ON, Deutsche Bank und SAP[74]. Da es weitreichende Auswirkungen auf das Geschäft in
den USA haben kann den Vorschriften des SOX nicht nach zu kommen, setzen auch Unternehmen diese
Vorgaben um, obwohl sie nicht an der US-Börse notiert und damit nicht dazu verpflichtet sind. Sie versprechen
sich davon ein besseres Image bei Anlegern und ein gesteigertes Vertrauen in das Unternehmen am US-Markt.
Ein Beispiel für ein solches Unternehmen ist die Bayer AG.
9 Methoden der Datenrettung
Nach der Vorstellung der verschiedenen Argumente für die Datenrettung wird im Folgenden auf die Methoden
der Datenrettung eingegangen. Verschiedene Speichermedien lassen sich meist nur mit unterschiedlichen Tools
und Techniken bearbeiten und für eine Datenrettung präparieren. Viele Methoden sind aufwendig oder können
nur unter äußerst sensiblen Umständen durchgeführt werden.
9.1 Selbst durchführbare Methoden
Datenverluste im Privatbereich sind nicht selten. Endanwender beschäftigen sich weniger mit dem Schutz vor
Verlusten und sind folglich weniger abgesichert. Allerdings muss nicht jeder Datenfehler oder technische Defekt
zwangsläufig zum Totalverlust der auf dem Medium gespeicherten Daten führen. Es gibt zahlreiche
Softwarelösungen im Bereich der Datenwiederherstellung, die den Anwender bei der Datenrettung unterstützen.
Im Folgenden soll im Umfeld der Privatanwender überprüft werden, in wiefern kostenlose und professionelle
Tools den Anwender bei der Datenrettung unterstützen können.
9.1.1 Kostenlose Tools
Bei der Betrachtung kostenloser Tools beschränkt sich diese Fallstudie auf Tools, die unter einem Microsoft
Betriebssystem ausgeführt werden können.
• Datenrettung auf Flash-Speichern
Flash-Speicher, wie SD-Karten oder auch Solid State Drives (zu dt. Festkörperlaufwerk), speichern Informationen
in Arrays von Speicherzellen. Diese Arrays sind in Form eines Einzelchips implementiert. Es werden hierbei zwei
Speichervarianten unterschieden, NAND- und NOR-Speicher, die sich durch Ihre Speichertechnik und ihre
8.5 Rechtliche Vorgaben
21
Lebenserwartung unterscheiden. Größere Flash-Speichermedien, wie z.B. Solid State Drives mit 64GB
Speicherplatz, bestehen aus mehreren NAND-Chips, auf denen die Daten verteilt gespeichert werden. Die Daten
werden von dem Flash-Speicher-Controller nicht in im Klartext (hexadezimal) in den NAND-Speicher
geschrieben, sondern in einer speziellen hexadezimalen Kodierung. Eine Eigenschaft von NAND-Speichern ist
die auf Paging[75] basierende Schreib- bzw. Programmiertechnik. Unzugängliche Daten auf einem Flash-Speicher
können mit Hilfe eines physischen Abbildes gerettet werden. Programme wie so genannte NAND-Reader sind in
der Lage den Hex-Code zu entschlüsseln und Benutzerdaten wiederherzustellen.
• Funktionsweise von Freeware-Tools auf Festplatten
Privatanwender bemerken Datenverluste oftmals nicht sofort. Es werden beispielsweise Dateien vorzeitig
gelöscht, die später doch noch einmal gebraucht werden. Wird ein Datenverlust bemerkt, sollte keine neue
Software installiert werden und nach Möglichkeit auch auf das Verschieben oder Erstellen neuer Dateien
verzichtet werden. Somit bleibt die Möglichkeit bestehen, dass der durch die gelöschte Datei belegte Cluster der
Festplatte nicht neu beschrieben wird.
Wird eine Datei unter Windows gespeichert, so sucht das Betriebssystem einen freigegebenen Cluster und
schreibt die Bytes der Datei hinein. Wird diese Datei gelöscht, so wird lediglich der Eintrag im MFT (Master File
Table, ähnlich der FAT) gelöscht. Die zu einer Datei gehörenden Datenblöcke, Zugriffsberechtigungen und
Attribute werden von Windows im MFT eingetragen. Das Betriebssystem ändert damit nicht die in den Dateien
enthaltenen Informationen.
Die meisten kostenlosen Tools, darunter PhotoRec oder GetDataBack, machen sich die oben beschriebene
Eigenschaft des Betriebssystems zu Nutze. Im MFT befinden sich noch die Einträge von gelöschten Dateien. Die
Tools ermitteln auf diese Weise bereits aus dem Papierkorb gelöschte Dateien und bieten die Möglichkeit, diese
wiederherzustellen. Sie ermitteln die Wahrscheinlichkeit einer erfolgreichen Wiederherstellung und bewerten
diese zum Beispiel mit "Gut", "Mittel" und "Schwach". Währenddessen lokalisiert das Tool den MFT-Eintrag zu
einer bereits gelöschten Datei. Im Anschluss wird der Cluster untersucht, den die zuvor gelöschte Datei genutzt
hat. Hierbei wird geprüft, ob der Bereich bereits durch eine andere Datei neu belegt wird. Ist dies nicht der Fall,
ist es möglich die Datei wiederherzustellen. Sollte der MFT selbst korrupt, defekt oder sogar gelöscht worden
sein, so ist eine Wiederherstellung mit einem solchen Programm nicht mehr möglich.
• Datenrettung mittels TestDisk [76]
Durch das Löschen der Partitionstabelle[77] einer Festplatte zum Beispiel durch schwerwiegende Softwarefehler
kann es vorkommen, dass ganze Laufwerke nicht mehr verfügbar scheinen. Festplattenhersteller bieten für alle
Modelle Tools an um eine Festplatte zu analysieren und ggf. wieder bootfähig zu machen. Diese Programme sind
zur Analyse nützlich, jedoch nicht für eine Datenrettung geeignet. TestDisk bietet darüber hinaus weitere
Funktionen an.
TestDisk ist eine freie verfügbare Software, welche unter der GNU General Public Licence (GPL)[78]
veröffentlicht ist. TestDisk wird unter DOS installiert und muss mit Administratorrechten ausgeführt werden. Es
lässt sich in der Kommandozeile von DOS ausführen und bietet die Möglichkeit ein Logfile zu erstellen, in dem
alle durchgeführten Schritte protokolliert werden. Das Tool findet alle angeschlossenen Festplatten und bietet
verschiedene Typen von Partitionstabellen zur Wiederherstellung an. Mit der Analysefunktion werden
verwendbare und rohe (bisher nicht benutzte) Partitionen angezeigt. Darüber hinaus gewährt es einen Blick in die
Verzeichnisse und Dateien dieser Partitionen. Somit ermöglicht dieses Tool die Neuerstellung der
Partitionstabelle. Im Anschluss kann die Partition wieder verwendet werden, ohne dass Daten verloren gegangen
sind.
Sollen einzelne Dateien gerettet werden können, so dürfen diese nicht auf demselben Datenträger zurückgesichert
werden. Wird dies trotzdem getan, so besteht die Möglichkeit eines noch größeren Datenverlustes oder eines
9.1.1 Kostenlose Tools
22
Totalverlustes[79].
• Datenrettung mittels Photorec - Ein Begleitprogramm zu TestDisk
PhotoRec orientiert sich nicht am Dateisystem, sondern sucht Dateien an Hand bekannter Headerinformationen
auf Byteebene. So kann das Tool auch noch Daten retten, wenn der Datenträger bereits neu formatiert ist und
somit alle MTF oder FAT geleert wurden. Die Vorgehensweise gleicht dabei der von TestDisk. Es wird ebenfalls
beim Systemstart oder unter der Kommandozeile von DOS ausgeführt, um im Anschluss die zu durchsuchenden
Partitionen auszuwählen.
9.1.2 Professionelle Software
Als Beispiel für professionelle Software wurden Ontrack EasyRecovery? Professional und Ontrack
EasyRecovery? DataRecovery (LITE) miteinander verglichen.
Beide Tools erkennen dieselben Controllertypen bei Festplatten (S-ATA, IDE etc.). Die Lite-Version der
Software kann lediglich 25 Dateien je Suchlauf speichern und ist nicht in der Lage sich in einem Suchlauf auf
bestimmte Dateitypen zu beschränken. Die kostenpflichtige Variante bietet darüber hinaus zusätzliche Analyseund Diagnosewerkzeuge. Diese ermöglichen zum Beispiel eine grafische Darstellung der Speicherbelegung.
Dateispezifische Suchfunktionen bieten Optionen, um zum Beispiel Office-Dateiformate oder Foto-, Audio- und
Videodateien gezielt zu finden. Zudem ist eine direkte Datenreparatur möglich, die es erlaubt beschädigte Daten
zu komplettieren und benötigt daher keinen zweiten Datenträger um Daten zwischenzuspeichern.
Je nach Umfang des Datenverlustes ist die Software mit der Maßgabe auszuwählen, dass ihr Funktionsumfang bei
der Wiederherstellung benötigt wird. Soll zum Beispiel ein komplettes Fotoarchiv wiederhergestellt werden ist
ein Tool zu wählen, welches dieser Aufgabe gerecht wird. Eine Mindestanforderung ist hierbei die Fähigkeit,
Bilddateien im gewünschten Umfang und mit entsprechender Qualität (Verlässlichkeit) finden zu können.
9.1.3 Vorbeugen
Quelle: Barroso et al.(2007), S. 6
Abbildung 9-1: HD Temperatur und Fehlerrate
Vorbeugen[80] steht mit der Verlängerung der Lebensdauer von Datenträgern in engem Kontext. Daher werden
einleitend genannte Ursachen für Verluste aufgegriffen. Die meisten Hardwaredefekte treten direkt an der
Festplatte auf. Kratzer auf dem Datenträger, wie zum Beispiel durch Head-Crashs, werden meist durch Schütteln
9.1.2 Professionelle Software
23
oder Bewegen des Datenträgers während des Betriebes verursacht. Eine weitere Ursache kann die abrupte
Unterbrechung der Stromversorgung während des Betriebes sein (siehe auch Kapitel 6.2.3). Der Anwender muss
dafür Sorge tragen, dass der PC oder das Notebook während des Betriebs ruhig steht und dauerhaft mit Strom
versorgt wird, solange diese nicht gewollt abgeschaltet werden.
Die Fehleranfälligkeit erhöht sich auch durch die Umgebungstemperatur. Es sollte vermieden werden, die
Hardware in der Sonne zu platzieren. Abbildung 9-1 zeigt die Abhängigkeit der jährlichen durchschnittlichen
Fehlerrate bei Festplatten bezogen auf ihre Umgebungstemperatur. Die Untersuchung[81] von über 100.000
Festplatten ergab, dass die durchschnittliche Fehlerrate bei einer Umgebungstemperatur zwischen 35°C und 40°C
am geringsten ist.
Es sollte ebenfalls vermieden werden bei Platinen oder sonstigen Kontakten freiliegender Flächen (beispielsweise
Controllerstecker oder ggf. auch die Unterseite einer Festplatte) anzufassen oder mit aggressiven Chemikalien zu
reinigen.
Die Synchronisation der wichtigsten Daten mit zusätzlichen in- und externen Datenträgern wie USB-Sticks oder
Festplatten ist eine weitere Möglichkeit einem Datenverlust vorzubeugen. Intern lässt sich so eine
Synchronisation zum Beispiel mit einem RAID-System realisieren. Werden optische Medium zur Datensicherung
herangezogen, so sollten hierfür qualitativ hochwertige Rohlinge verwendet werden. Bei Flash-Speichern und
anderen externen Geräten kann es nötig sein, diese beim Entfernen vom Computer über eine Software sicher zu
trennen (gewöhnlich im Betriebssystem integriert). Dadurch wird sichergestellt, dass sich alle zu sichernden
Daten auf dem Medium befinden. Der Einsatz einer stets aktuellen Antivirensoftware ist gerade für technisch
unerfahrene Benutzer sehr wichtig (siehe dazu Kapitel 6.5).
9.1.4 Sofortmaßnahmen im Fall eines Datenverlustes
Professionelle Datenretter und auf Datenrettungsthemen spezialisierte Onlineportale bieten Checklisten zu
Sofortmaßnahmen im Falle eines Datenverlustes an[82]. Sie enthalten nützliche Tipps bei Anwenderfehlern,
verdeutlichen aber auch, dass bei mechanischen Beschädigungen oder ungewöhnlichem Verhalten (z.B. seltsame
Geräusche) ein professioneller Datenretter eingeschaltet werden sollte.
Schadensbegrenzung ist ein wichtiger Punkt wenn ein Datenverlust bemerkt wird[83]. Damit sich bereits gelöschte
oder defekte Daten wiederherstellen lassen ist es ratsam, sämtliche Schreibzugriffe auf den Datenträger
einzustellen. Um den Schaden selber evaluieren zu können, sollte untersucht werden, ob eine Kopie der Daten
vorhanden ist: Möglicherweise ist die Aufarbeitung einer alten Datei weniger zeit- und kostenintensiv als eine
Datenrettung.
In RAID-Systemen wird meist eine Fehlermeldung ausgegeben, sobald das System einen Datenträger als defekt
einstuft. Das System verliert damit die Möglichkeit auf redundante Datenspeicherung. Sofern nicht sicher
ermittelt wurde welche der Festplatten des RAID-Verbundes den Defekt aufweist, sollte keine der Festplatten
vorschnell getauscht werden. In solchen Fällen bieten viele Datenrettungsgesellschaften eine kostenlose Hotline
an.
9.2 Professionelle Datenrettung
9.1.3 Vorbeugen
24
9.2.1 Vorgehensweise am Beispiel von Kroll Ontrack
Die Aufgabe der professionellen Datenrettung reicht weit über das Finden zufällig gelöschter oder beschädigter
Dateien hinaus. Es existieren Szenarien, bei denen sogar das Finden und Auslesen kleinster Magnetpartikel und
"Datensplitter" notwendig wird. Die entsprechenden Operationen an den Speichermedien selbst können nur in
speziell konstruierten Reinräumen oder in speziell dafür vorgesehenen so genannten LaminarFlow-Systemen mit
Reinraumtischen vorgenommen werden. Diese müssen der Reinraumklasse 100 nach ISO 14644 (ISO 5)
entsprechen. Diese definiert eine maximale Anzahl von 100 Luftpartikeln mit einer maximalen Größe von 0,5
Mikrometern im Durchmesser je Kubikmeter Luft. [84] Auf diese Weise wird verhindert, dass sich Staubpartikel
auf einer geöffneten Festplatte ablegen können oder eine zu hohe Luftfeuchtigkeit zu Kondenswasser im
Speichermedium führt.
Die Schadensevaluierung erfolgt auf verschiedene Weise. Sie unterscheidet sich je nachdem ob ein
Hardwaredefekt oder ein Softwarefehler vorliegt[85]. Die Evaluierung erfolgt in vielen Fällen über eine
audiovisuelle Kontrolle aller Komponenten bis hin zur Zerlegung einzelner Komponenten unter dem
Mikroskop[86]. Die Vorgehensweise unterscheidet sich ebenfalls nach der Art des Speichermediums, da diese
bereits mechanisch unterschiedlich aufgebaut sind. Festplatten sind oftmals mechanisch beschädigt und müssen
somit in ihrer Funktion wieder hergestellt werden.
Beschreibt ein Kunde beispielsweise einen Datenverlust durch einen Softwarefehler, so wird bei der Evaluierung
versucht, alle Daten auf ein intaktes Speichermedium zu kopieren. Nachfolgend werden Strukturanalysen über das
vorliegende Dateisystem durchgeführt. Mit Hilfe betriebseigener Softwaretools wird versucht das Dateisystem
auszulesen. So kann eine Liste mit wieder herstellbaren Daten und deren Beschädigungsgrad erstellt und der
Schadensgrad eingestuft werden.
Bei Hardwaredefekten ist dieser bei 60% der Fälle[85] so schwerwiegend, dass eine Evaluierung des Mediums nur
in einem Reinraum vorgenommen werden kann. Die Evaluierung erfolgt durch Analytiker und Mechaniker. Der
Analytiker versucht mittels Struktur- und Systemanalyse die einzelnen Bereiche auf dem Datenträger nach
Relevanz einzustufen und wieder herstellbare Sektoren ausfindig zu machen. Damit wird der Beschädigungsgrad
eingeschätzt. Würden die im Unternehmen entwickelten Vorgehensweisen und Verfahrensmuster nicht
eingehalten, wäre eine schnelle Recherche nach Datenbeständen auf mehreren Gigabyte großen Datenträgern
nicht effizient durchführbar[79].
Nach der Evaluierung werden weitere Maßnahmen zur Wiederherstellung der Daten eingeleitet.
9.2.2 Durchführung der Datenrettung
Kroll Ontrack verwendet bei der Datenwiederherstellung auf Softwareebene proprietäre Tools, deren
Funktionsweise ähnlich den bereits beschriebenen kostenpflichtigen Tools ist. Der Wiederherstellungsvorgang auf
Softwareebene besteht aus einem Mix von DIY-Maßnahmen und betriebseigener Tools.
9.2.2.1 Remote Data Recovery von Kroll Ontrack
Eine innovative Methode der Datenwiederherstellung ist die sogenannte Remote Data Recovery (RDR). Die Idee
dahinter besteht darin, den Datenträger nicht vor Ort beim Dienstleister reparieren zu lassen, sondern die
Datenrettung über ein Netzwerk und insbesondere über eine sichere Internetverbindung beim Kunden vor Ort
durchzuführen. Dazu bietet Kroll Ontrack die Option einer sogenannten Online-Datenrettung. Voraussetzung für
diese Methode ist allerdings ein Ausschluss eines technischen Defekts des Datenträgers. Statt die Datenträger aus
dem System auszubauen kann via Client (RDR Quickstart Software) eine Verbindung zu einem RDR-Server
aufgebaut werden. Sollte das System nicht bootfähig sein, so ist die Software auch als selbst bootende Diskette
oder CD erhältlich. Nach Start der Software wird die gewünschte Verbindungsmethode ausgewählt. Es kann sich
dabei um eine Modem-, ISDN- oder DSL-Verbindung handeln. Bevor der Wiederherstellungsprozess beginnt,
9.2.1 Vorgehensweise am Beispiel von Kroll Ontrack
25
wird eine proprietäre Technik eingesetzt, welche sämtliche Änderungen am Zielsystem protokolliert. So wird
sichergestellt, dass alle Schritte reversibel sind. Im Anschluss wird ein Diagnosetool ausgeführt, welches die
Ursache des Datenverlustes feststellt. Die Möglichkeiten dieser Reparaturtools reichen von der Wiederherstellung
gelöschter Dateien über die Korrektur defekter Dateisysteme (FAT/MFT) bis hin zur Rettung von
RAID-Konfigurationsdaten. Ontrack gibt die Erfolgchancen bei Einsatz dieser Methode mit über 50% an[87].
9.2.2.2 Datenrettung im Labor / Reinraum
Abbildung 9-2: Untersuchung im Reinraum
Können verlorene Daten nicht mittels Struktur- oder Systemanalyse aufgefunden werden oder ist das
Speichermedium bereits technisch zu stark beschädigt, wird dieses in einem Reinraum (siehe Kapitel 9.2.1) weiter
untersucht.
Der erste Schritt im Labor ist immer der Versuch, die Daten des defekten Datenträgers auf ein intaktes identisches
Speichermedium zu übertragen (siehe Kapitel 9.2.1). So entsteht ein vollständiges physisches Abbild.
Festplattensysteme, die mechanische Fehler aufweisen wie zum Beispiel einen Defekt der Schreib- und
Leseköpfe, werden zur Bearbeitung in einem Reinraum geöffnet und demontiert. Die einzelnen Scheiben des
Datenträgers werden in einem neuen Gehäuse und mit neuer Mechanik (inklusive Steuerungsplatine) wieder
zusammengesetzt. Oftmals können in solchen Fällen der vollständigen Rekonstruktion der Mechanik sämtliche
Daten fehlerfrei auf ein neues Festplattensystem übertragen werden.
In Fällen eines Wasserschadens wird vor der Analyse und den Arbeiten im Reinraum ein spezielles
Trocknungsverfahren vorgenommen. Bei Schäden dieser Art, einschließlich Brandschäden oder Stürzen aus
großer Höhe, wird die Feinmechanik unter einem Mikroskop demontiert bzw. getrennt. Eine Wiederherstellung
der Daten kann meistens nur Byte für Byte erfolgen und Stunden bis Tage dauern.
Kuert gibt an seinen Reinraum nach ISO 14644-1 zu betreiben. In dem Reinraum wird mit spezieller,
mehrstufiger Luftfiltertechnik und Klimaanlage dafür gesorgt, dass die Luftreinheit gewährleistet wird. Speziell
auf die Umstände angepasste Arbeitskleidung, Werkzeug und sogar fusselfreies Papier sind Vorschrift. Der
Zugang zum Reinraum führt durch Schleusen, in denen Material und Personen so genannten Luftduschen
unterzogen werden[88].
9.2.2.1 Remote Data Recovery von Kroll Ontrack
26
9.2.2.3 Datenrettung auf Festplatten und RAID-Systemen
Sind die Verzeichniseinträge im FAT/MFT nicht mehr vorhanden, so wird eine Suche nach den Daten stark
erschwert. Die Analytiker kennen den Aufbau der verschiedenen Dateisysteme sehr genau. Je nach Fehlerfall
stehen hier betriebseigene Prozeduren zur Rekonstruktion der Daten zur Verfügung. Oft ist es möglich eine
Signatursuche durchzuführen, und so anhand der Headerinformationen der Dateien und je nach
Fragmentierungsgrad derselben die Daten wiederherzustellen. Die Stärke der Fragmentierung ist
ausschlaggebend, sobald die Dateien die Clustergröße des Dateisystems überschreiten. Diese Schwierigkeit tritt
besonders bei aufgrund ihrer Größe häufig hoch fragmentierten Datenbankdateien auf.
In RAID-Systemen kommt neben der Komplexität des Dateisystems noch die Aufteilung in so genannte
DataChunks[89] und ParityChunks[90] über mehrere Festplatten hinzu. Jeder Hersteller hat hier eigene Parameter,
welche neben der Reihenfolge der Datenträger, zusätzlich entschlüsselt werden müssen. Um die RAID-Struktur
abzubilden wird eine Simulationssoftware verwendet, da häufig die Controller nicht verfügbar sind oder ebenfalls
Beschädigungen erlitten haben[86].
10 Erfolgsaussichten der Datenrettung
Eine konkrete Zahl oder Tabelle für die Erfolgsaussicht einer Datenrettung lässt sich nicht angeben. Dazu ist die
Datenrettung von zu vielen Faktoren abhängig. Ein wichtiger Einflussfaktor ist die richtige Behandlung des
Speichermediums, nachdem ein Schaden eingetreten ist. So sollte eine Festplatte nach einem Wasserschaden
keinesfalls getrocknet oder das Wasser rausgeschüttelt werden. Kroll Ontrack empfiehlt in diesem Fall die
Festplatte in Nasse Tücher einzuwickeln und in einem Antistatikbeutel an Kroll Ontrack zu schicken[91]. Ohne
eigenmächtige Rettungsversuche verspricht Kroll Ontrack eine hohe Erfolgswahrscheinlichkeit für die
Datenrettung[92].
10.1 Erfahrungswerte
Um die Chancen einer Datenrettung richtig einschätzen und angeben zu können, greifen die Anbieter auf
Erfahrungswerte zurück. Die wichtigste Vorraussetzung für eine erfolgreiche Datenrettung ist dabei der Zustand
des Speichermediums selbst.
Kroll Ontrack gibt eine durchschnittliche Erfolgsquote von 80% aller Datenrettungsversuche[86] an. Bei
technischen Fehlern hängt der Erfolg von diversen Faktoren ab. Oftmals ist die Verfügbarkeit von Ersatzteilen des
Herstellers entscheidend. Der kritischste Faktor bei der Datenrettung ist verfügbare Zeit und die Geduld des
Kunden. Er kann in der Regel nicht über einen langen Zeitraum auf die Datenrettung warten[86]. Brekle führt ein
gutes, erfahrenes und flexibles Forschungs- und Entwicklungsteam als unerlässlich an, um auch zukünftig
erfolgreich in der Branche zu bleiben[86].
Die rasche Weiterentwicklung der Speichermedien und der ihnen zugrunde liegenden Technik bestätigt diese
Aussage. Die nächste Generation von Speichersystemen steht schon vor dem Sprung auf dem Markt[93]. Die
SATA Technologie ist erst wenige Jahre auf dem Markt. Doch schon jetzt wird über die Solid State Disk als
möglicher Nachfolger gesehen[94]. Sind die Anbieter nicht in der Lage diesen Entwicklungen zu folgen, sinken die
Chancen auf eine Datenrettung. Solchen Anbietern droht die Gefahr vom Markt zu verschwinden, da diese für
mögliche Kunden uninteressant werden.
Weitere Anbieter für Datenrettungen gehen von den nachfolgend Beschrieben Chancen und Vorraussetzungen
aus:
9.2.2.3 Datenrettung auf Festplatten und RAID-Systemen
27
• HDDLab spricht auf seiner Homepage von einer Erfolgsquote von über 95% bei der Datenrettung von
NAND-Speichern[95]. Dazu zählen unter anderem USB-Sticks, Speicherkarten und Solid State Drives.
Unter der Vorraussetzung, dass der Speicher weder zerstört noch verschlüsselt ist könnten technisch bis
zu 99% die Daten ausgelesen werden[95].
• Ein weiterer Anbieter für Datenrettungsmaßnahmen, Crash PC-Service GmbH, verspricht auf seiner
Homepage innerhalb von 2-3 Tagen in über 90% der Fälle die Daten retten zu können. Dies liege weit
über dem Marktdurchschnitt[96].
• Die Erfolgsaussicht ist immer abhängig von der Art und Stärke der Beschädigung des Speichermediums.
Versehentlich gelöschte Daten können, da das Speichermedium noch intakt ist, zu annähernd 100%
wiederhergestellt werden[97].
Tabelle 10-1: Erfolgschancen der Datenrettung
Anbieter
Erfolgsquote (nach eigenen Angaben)
Advanced NTFS Recovery
bis zu 100 %
Attingo
90 %
Crash PC-Service GmbH
90 %
HDDLab
95 %
Kuert
80 %
Kroll Ontrack
80 %
10.2 Grenzen der Datenrettung
Trotz aller moderner Technik und immer ausgefeilteren Tools lassen sich nicht immer alle Informationen
wiederherstellen. Extreme Bedingungen wie große Hitze, gewaltsame Zerstörung oder einstürzende Gebäude
bringen selbst die Experten auf dem Gebiet der Datenrettung an ihre Grenzen.
Die genauen Gründe für eine gescheiterte Datenrettung lassen sich nicht so einfach benennen, da immer ein
Zusammenspiel von mehreren Faktoren eine Rolle spielt. In der Regel sind massive Hardwaredefekte sowie
falsche Benutzerinteraktionen die Gründe für eine gescheiterte Datenrettung[86]. Abbildung 6-2 ist zu entnehmen,
dass zu den möglichen Hardwarefehlern auch geschmolzene Festplatten zählen können. Selbst bei diesen besteht
noch die Chance auf evtl. nicht geschmolzenen Teilen Datenfragmente finden und retten zu können[86]. Da
Dateien häufig fragmentiert auf der Festplatte abgespeichert sind kann von einem Glücksfall gesprochen werden,
wenn in diesem Extremfall alle Fragmente auf dem nicht geschmolzenen Teil der Festplatte liegen. Das
geschmolzene Gehäuse und der defekte Lesekopf stellen nur ein geringeres Problem dar, da diese Teile
austauschbar sind.
Weitere Gründe für das Scheitern von Datenrettungen sind der Einsatz von Defragmentierungsprogrammen nach
versehentlichem Löschen von Dateien oder der Einsatz besonderer Programme zur Datenlöschung.
Defragmentierungsprogramme stellen die Experten vor das Problem, das dadurch so genannte
Slack-Dateien[98](englisch slack für Schlupf) überschrieben werden. Beim Einsatz eines Programms zur
Datenlöschung stehen die Chancen für eine Datenrettung bei annähernd 0%[99]. Solche Programme überschreiben
die leeren Bereiche auf dem Speichermedium mit Datenmustern, die eine Rekonstruktion der ursprünglichen
Daten unterbinden. An dieser Stelle sei darauf hingewiesen, dass dies aus Datenschutzgründen zu begrüßen ist,
obwohl es für eine Datenrettung fatal ist.[100].
10.1 Erfahrungswerte
28
Der Einsturz des Kölner Stadtarchivs stellt einen besonders sichtbaren Fall der Grenzen der Datenrettung dar. Wie
schnell es gehen kann, dass eine große Anzahl von Informationen für immer verloren geht, zeigt diese
Katastrophe. Beim Einsturz des Archivs am 03.03.2009 sackten 18 Regalkilometer mit wertvollen historischen
Informationen in den Boden. Dabei wurden die Daten unter Tonnen von Schutt begraben. Ein großer Teil der
Dokumente ist beschädigt oder für immer verloren. Regen und Grundwasser haben ihr übriges dazu beigetragen
da erst mit der Rettung der Daten begonnen werden konnte, sobald keine weitere Einsturzgefahr mehr bestand.
Alleine im Bereich der rund 20.000 Urkunden sind viele zu lange der Witterung ausgesetzt gewesen, um gerettet
zu werden[101]. Obwohl der Versicherungswert von 400 Millionen ?[101] eine detaillierte Suche nach Überresten in
den Trümmern zulässt, werden viele Daten nicht wiederherzustellen sein.
Im Fall des Einsturzes des Kölner Stadtarchivs handelt es sich größtenteils um nicht digitale Speichermedien.
Sollte ein Unglück mit ähnlichen Auswirkungen zum Beispiel bei der deutschen Nationalbibliothek auftreten,
wären mittlerweile auch große Mengen digital archivierter Dokumente betroffen[102].
11 Strategien zur Verhinderung von Datenverlusten
Datenrettung ist das letzte Mittel, um verloren gegangene Daten wieder zugreifbar zu machen. Die nicht
unerhebliche Bedeutung der Daten durch den damit verbundenen Wert für Unternehmen rechtfertigt nicht das
Risiko eines Datenverlustes. Daher werden im folgenden Abschnitt Strategien zur Verhinderung von
Datenverlusten vorgestellt.
Zwei verschiedene Adressaten müssen für die Strategien der Vorbeugung von Datenverlusten unterschieden
werden: Strategien für Unternehmen und Strategien für das private Umfeld. Während die Unternehmen für dieses
Thema sensibilisiert sind, wird die Datensicherung im privaten Umfeld häufig aus Gründen der Bequemlichkeit
vernachlässigt. Als professionelles Datenrettungsunternehmen empfiehlt Kroll Ontrack für den Privatanwender
die folgende Strategie:"
1. Ein Imagevollbackup in regelmäßigen Abständen
2. Automatische inkrementelle Backups auf eine zweite Festplatte
3. Regelmäßige Sicherung der Daten zur Langzeitarchivierung in verschlüsselte Container[zum Schutz vor
unerlaubtem Zugriff, Anm. des Autors] und brennen auf DVD
4. Auslagerung der wichtigen Daten übers WEB zu einem Online Backup Hoster"[103]
Bei der Betrachtung der für Unternehmen interessanten Strategien lassen sich Hardwarestrategien,
Softwarestrategien und organisatorische Strategien unterscheiden.
11.1 Hardware-Strategien
Das Schlüsselwort für Hardware-Strategien lautet Redundanz. In diesem Fall ist damit das mehrfache Einbringen
gleicher Hardwarekomponenten gemeint, die die Daten oder den Datenfluss über mehrere Komponenten
verteilen. Dabei reicht das Spektrum der Möglichkeiten zur Schaffung von Redundanz von Maßnahmen im
abzusichernden System selbst über standortbasierte Maßnahmen bis hin zu standortübergreifenden
Vorgehensweisen.
11.1.1 Im System
Im datenhaltenden Computersystem selbst gibt es mehrere mögliche Schwachstellen, die Datenverlust auslösen
können. Wie bereits im Kapitel 6.2.5 beschrieben, können dies die Stromversorgung, der Festplattencontroller
10.2 Grenzen der Datenrettung
29
oder auch die Netzwerkinfrastruktur sein. Um hier eine Erhöhung der Verlässlichkeit zu erreichen, können diese
Komponenten mehrfach im entsprechenden Computersystem eingesetzt werden. Als Beispiel sei die Absicherung
der Stromversorgung durch ein zweites Netzteil oder der Einbau eines zweiten Festplattencontrollers zur
Erhöhung der Übertragungssicherheit der Daten auf die Festplatten genannt. Die Festplatten können ebenfalls
redundant ausgelegt werden, zum Beispiel in Form so genannter RAID-Verbünde (Redundant Array of
Independant Disks)[104]. Hierbei werden die Daten mittels spezieller Techniken über mehrere Festplatten verteilt.
Dieses Vorgehen basiert auf der Annahme, "dass Daten über alle Datenträger im Array konsistent verteilt werden
können"[105]. Je nach angewandter Verteilmethode kann neben der reinen Erhöhung der Datensicherheit auch ein
gleichzeitiger Geschwindigkeitsgewinn erreicht werden.
Wird die Absicherung von Komponenten weiter perfektioniert, führt dies zu einer vollständigen Überwachung
sowie nahezu vollständiger redundanter Auslegung der einzelnen Bestandteile des Computersystems.
Als weitere Methode, die im System selbst angewendet werden kann sei der direkte Einbau von Backupsystemen
in das System genannt. Das Spektrum reicht von Bandlaufwerken über externe Festplatten bis hin zu CD- oder
DVD-Brennern, die in regelmäßigen Abständen automatisch die entsprechenden Daten sichern.
11.1.2 Am Standort
Solche Backupsysteme können auch außerhalb des eigentlichen Computersystems angebracht werden. Hier sei
zum Beispiel der Einsatz von zentralen Band-Backupsystemen genannt, die eigenständig von den entsprechenden
Servern die Daten sichern. Eine weitere Möglichkeit der automatischen Datensicherung ist das zeitgesteuerte
Kopieren der Daten auf einen zweiten Rechner in regelmäßigen Abständen. Der Nachteil solcher backupbasierter
Datensicherungssysteme besteht darin, dass es eine zeitliche Lücke zwischen den gesicherten Daten und den
aktuell im System befindlichen Daten gibt. Diejenigen Daten, die zwischen dem zuletzt durchgeführten Backup
und dem Zeitpunkt des Datenverlustes erzeugt wurden, gehen dabei verloren.
Verlässt man den Blick auf die Komponenten innerhalb des Computersystems, so kann das Computersystem auch
als Ganzes als System der Datenhaltung betrachtet werden. In diesem Fall ergeben sich neue Risiken eines
Datenverlustes. So können zum Beispiel durch einen Stromausfall die noch im Hauptspeicher des Systems
liegenden Daten nicht mehr auf die Festplatten geschrieben werden. Abhilfe schafft hier der Einsatz einer
unterbrechungsfreien Stromversorgung (USV), die den Server bei Stromausfall koordiniert herunterfahren kann.
Quelle: Double-Take (2009), S. 1
Abbildung 11-1: Prinzip eines Failover-Systems
Die nächste Stufe der Absicherung ist die vollständige Loslösung der Daten und des Betriebssystems selbst von
spezifischer Hardware. Diese Technik wird Hardware-Virtualisierung genannt. Sie kann zum einen dafür
verwendet werden, um mehrere virtuelle Rechner (virtuelle Maschinen) auf einer gemeinsamen Hardware laufen
zu lassen. Damit wird die zur Verfügung stehende Kapazität besser ausgenutzt. Zum anderen ermöglicht sie die
11.1.1 Im System
30
Entwicklung sogenannter Failover-Systeme. Failover-Systeme werden verwendet, wenn Daten oder
Informationen hochverfügbar sein sollen. Die Idee dahinter ist, dass das zweite System die Arbeit nahtlos
übernehmen kann, sollte das Hauptsystem nicht mehr ordnungsgemäß funktionieren.
Abbildung 11-1 zeigt das Prinzip eines solchen Systems. Bei Ausfall des Hauptsystems werden dessen Aufgaben
sofort durch ein zweites System übernommen. Dazu wird die Aktivität des Hauptrechners permanent überwacht.
Zusätzlich werden alle Daten über das lokale Netzwerk oder sogar über das Internet zu einem Zweitrechner
übertragen (Replication). Im Fehlerfall wird für die Anwender des Hauptsystems transparent auf das
Failover-System umgeschaltet. Ist das Hauptsystem im Nachhinein wieder betriebsbereit, kann dieses über das
Backup-System wiederhergestellt werden (Restore). Als Beispiel für ein solches System sei die Failover-Lösung
der Firma Double-Take genannt. Bei diesen Systemen handelt es sich um eine Kombination einer
Software-Lösung zusammen mit einer zusätzlichen Hardware-Redundanz.
11.1.3 Standortübergreifend
Im Sinne eines so genannten Business Continuity Plans kann die Datensicherung auch standortübergreifend
betrachtet werden. Hierbei handelt es sich um ein Konzept zur Sicherstellung der Betriebsfähigkeit eines
Unternehmens im Falle des Ausfalls eines Standortes. Sollte der gesamte Serverraum zum Beispiel durch das
Eintreten einer Naturkatastrophe, wie Hochwasser oder Feuer, nicht mehr verwendbar sein, nützen die bisherigen
Datensicherungsstrategien nicht viel.
Der einfachste Schritt der standortübergreifenden Datensicherung besteht darin, eine Kopie der Backups der
Daten außerhalb des Standorts der Datenentstehung zu speichern. Dies könnte zum Beispiel im Tresor einer Bank
oder in einer Filiale des Unternehmens erfolgen.
Neben der reinen Auslagerung der Backups besteht auch die Möglichkeit des Einsatzes standortübergreifender
redundanter Rechnersysteme oder redundanter Rechenzentren. Diese gleichen sich permanent über spezielle
eigene Leitungen oder über das Internet ab und können im Falle eines Ausfalls die nahtlos Arbeit übernehmen. Da
die Kapazität der Leitungen jedoch begrenzt ist, besteht auch hier oftmals ein inhaltlicher Versatz im Datenstand
zwischen den Systemen. Daher ergibt sich ein Abgleich der unternehmenskritischen Daten als
Mindestanforderung.
Bei entsprechenden Kapazitäten bringt diese Technik noch einen positiven Nebeneffekt mit sich. Handelt es sich
bei den Datenbanken um Systeme auf die vorwiegend lesend zugegriffen wird, können die beiden Standorte auch
zeitgleich zur Lastverteilung der Anfragen eingesetzt werden. Wird auf die Systeme schreibend zugegriffen
ergeben sich dadurch neue Herausforderungen. Aktualisieren zum Beispiel zwei Anwender gleichzeitig den
gleichen Datensatz stellt sich die Frage, welche der beiden Änderungen die Maßgebende ist.
11.2 Software-Strategien
Viele der aufgezeigten Hardware-Strategien benötigen die entsprechende softwareseitige Unterstützung zur
Verwaltung und Koordination der einzelnen Komponenten. Bei der oben bereits angeführten Virtualisierung von
Rechnersystemen handelt es sich um eine der höchsten Ausbaustufen: die Hardware wird vollständig emuliert und
damit von der darunter liegenden physischen Hardware entkoppelt.
Auch wenn man nicht bis zur vollständigen Emulation der Hardwarekomponenten geht, können Methoden der
Datensicherung mittels Software betrachtet werden. Die bereits erwähnte Hardware RAID-Lösung lässt sich auch
ausschließlich in Software realisieren. Dies bringt den Vorteil mit sich, dass auch nicht speziell für Server
11.1.2 Am Standort
31
entwickelte Festplatten verwendet werden können, und so die Speicherungstechnik unabhängig von der
verwendeten Hardware wird. Zusätzlich entfallen die Anschaffungskosten für die entsprechenden Hardware
RAID-Controller. Red Hat schreibt in ihrem Linux Handbuch zum Thema Software-RAID, dass "mit den
heutigen schnellen CPUs [..] die Leistung von Software-RAID die von Hardware-RAID [übertrifft]"[106]. Dies
impliziert jedoch den Hauptnachteil der Software-RAID-Lösung: Eine Software-RAID-Lösung belastet die CPU
des Rechnersystems. Bei der Verwendung von rechenintensiven Anwendungen sollte daher auf ein
Hardware-RAID-System nicht verzichtet werden.
RAID-Systeme können den Datenverlust im Rechnersystem minimieren. Jedoch sind auch die RAID-Systeme
selbst nicht vor Fehlern geschützt. Daher sollten sie unbedingt um zusätzliche regelmäßige Backups auf externen
Medien ergänzt werden. Hierfür gibt es die klassischen Software-Backup-Lösungen, die in der Regel mit einer
entsprechenden Hardware zusammenarbeiten. Für den privaten Anwender sei hier beispielsweise das Tool
Drivesnapshot[107] angeführt, das automatische Backups des gesamten Systems während des Betriebs durchführen
kann. Eine Besonderheit dieses Tools besteht darin, dass es sogar durch das Betriebssystem gesperrte Dateien
mitsichern kann, wie zum Beispiel die Windows-Registrierung.
11.3 Organisatorische Strategien
Die bisher aufgezeigte Strategie der permanenten Datenredundanzhaltung und der Verwendung von
Backupsoftware sollte um eine ausgereifte Backup-Strategie ergänzt werden.
11.3.1 Definition einer Backup-Strategie
Bei der Definition einer solchen Backup-Strategie lassen sich die folgenden vier Ziele unterscheiden[108]:
1. Minimierung des Datenverlustes im Fehlerfall
2. Schutz der Datenbank vor möglichen Fehlern
3. Erhöhung der Mean Time Between Failure (MTBF)
4. Reduzierung der Mean Time To Recover (MTTR).
Da die Ursachen und Strategien für den Umgang mit dem zweiten und dritten Punkt bereits behandelt wurden,
wird an dieser Stelle nicht weiter auf diese Punkte eingegangen.
Die Minimierung des Datenverlustes im Fehlerfall kann nicht alleine durch die bereits angesprochenen Hard- und
Softwarestrategien erreicht werden. Ein Backupmedium ist wertlos, wenn es zwar physisch noch intakt ist, die zu
dem Medium passende Hard- und Software jedoch nicht mehr zur Verfügung steht. Bei der Planung einer
Backup-Strategie sollte die geplante Aufbewahrungsdauer der Daten berücksichtigt werden. Gerade im Bereich
von Archiven und Bibliotheken kommt diesem Umstand eine besondere Bedeutung zu. Rohde-Enslin empfiehlt
daher auch in seinem kleinen Ratgeber für die Bewahrung digitaler Daten in Museen: "Verwenden Sie allgemein
verbreitete Software, ein weit verbreitetes Betriebssystem und einen Typ von Speichermedien, der oft anzutreffen
ist. Speichern Sie Ihre Daten in einem möglichst allgemein verbreiteten und von möglichst vielen Programmen
les? und interpretierbaren Format"[109].
Die Reduzierung der Wiederherstellungszeit der Daten bei einem Datenverlust ist ein nicht zu unterschätzender
Faktor. Die Auswirkungen durch den Ausfall des entscheidenden Computers eines an der Börse spekulierenden
Unternehmens können erheblich sein. Aus diesem Beispiel lässt sich erkennen, dass die Anforderungen an eine
entsprechende Strategie eng mit den Geschäfts- und den operativen Anforderungen des Unternehmens verknüpft
sind[108]. Nachdem eine für das jeweilige Unternehmen passende Strategie aufgestellt ist, muss sowohl die
11.2 Software-Strategien
32
technische Funktion der Strategie als auch der Zielerreichungsgrad regelmäßig geprüft werden. Der regelmäßige
Test eines Backups bezogen auf seine Gültigkeit und Funktionalität ist die einzige Möglichkeit sicherzustellen,
dass die geplante Strategie die MTTR reduziert und die MTBF erhöht[108].
Ein weiterer Aspekt bei der Strategiefindung ist die Notwendigkeit des Festhaltens historischer Zustände. Wird
zum Beispiel die datenhaltende Software ausgetauscht, da die Firma ihr grundlegendes Verwaltungssystem
aktualisiert, genügt es nicht die jeweils aktuellen Daten gesichert zu haben. Die Sicherung des Datenbestandes
zum Zeitpunkt der Umstellung kann eine entscheidende Maßnahme sein, um später auffallende Ungereimtheiten
in den Daten nachweisen und korrigieren zu können. Ebenfalls kann die langfristige Sicherung der Geschäftsdaten
zu einem Jahresabschluss hin sinnvoll sein, um historische Betrachtungen und Entwicklungen darstellen zu
können.
Die größte Ausbaustufe der externen Datenarchivierung stellt die vollständige Delegation der Datensicherung an
externe Unternehmen dar[110]. Während dies für öffentlich zugängliche Daten einer Nationalbibliothek
unproblematisch ist, birgt dies jedoch die erneute Gefahr des verminderten Schutzes interner Firmengeheimnisse.
Als Beispielprojekt für ein solches Geschäftsmodell sei das Projekt kopal (kooperativer Aufbau eines
Langzeitarchivs digitaler Informationen) genannt, das seit Mitte 2007 seinen Betrieb in Zusammenarbeit mit der
deutschen Nationalbibliothek aufgenommen hat[111]. Zumindest für private Anwender bietet sich eine solche
Lösung an, da die Möglichkeiten einer professionellen Datensicherungsstrategie am heimischen PC kaum zu
realisieren sind. Als ein Anbieter solcher webbasierter Lösungen für den Privatanwender sei www.gigabank.de
genannt, die sichere Online Backups zu einem Festpreis für die Dauer von fünf Jahren garantieren. Dabei ist eine
Sicherung bis 1GB Datenvolumen kostenfrei, was für ein Backup der wichtigsten Dokumente aus dem
Privatbereich genügt[112]. Dieser kostenfreie Platz reicht allerdings nicht aus, um sämtliche Urlaubsfotos und die
dazu gehörenden Urlaubsvideos zu archivieren. Ob ein Privatanwender dann ein erweitertes Datenvolumen
erwirbt, hängt vom individuellen Sicherheitsbedürfnis des Nutzers ab.
11.3.2 Frühzeitiger Austausch
Eine vorbeugende organisatorische Strategie besteht darin diejenigen Datenträger, die für das Unternehmen
überlebensnotwendige Daten enthalten, frühzeitig auszutauschen. Dies ist allerdings mit fortlaufenden
Investitionen verbunden, die jedoch durch den Wert der Daten gerechtfertigt werden. Eine mögliche
Vorgehensstrategie ist es die bestehenden Rechnersysteme mit dem Ablauf Ihrer steuerlichen
Abschreibungsphase auszutauschen und so gleichzeitig mit dem aktuellen Stand der
Geschwindigkeitsentwicklung der Rechnersysteme Schritt zu halten.
Bei der Datenerhaltung der jeweils aktuellen Geschäftsdaten darf jedoch auch die Lesbarkeit der bereits
archivierten Daten nicht vernachlässigt werden. Neben dem Test der Lesbarkeit der Daten direkt nach dem
Backup gehört zu der Strategie auch das rechtzeitige Kopieren der Daten auf neue Backupmedien, bevor diese aus
Gründen der Alterung nicht mehr lesbar sind. Neben der Aktualisierung und Überprüfung des Trägermaterials der
Daten darf auch die Verwendung entsprechender allgemeingültiger Datenspeicherformate nicht außer Acht
gelassen werden: Es nützt nichts, dass das Medium noch lesbar ist, wenn kein Programm mehr existiert, dass die
Daten verarbeiten kann. In seiner Empfehlung für die Bewahrung digitaler Daten in Museen schreibt
Rohde-Enslin, dass "Daten zu speichern [nicht damit] [..] identisch [sei] [..], Daten für lange Zeit zur Verfügung
zu haben."[109]. Die Langzeiterhaltung von Daten ist "als eine eigenständige Aufgabe an[zusehen], die nicht mit
einer einmaligen Anstrengung zu bewältigen ist."[109]
11.3.1 Definition einer Backup-Strategie
33
11.3.3 Stresssimulation vor Einsatz
In Kapitel 7.2.2 wurde die Eigenschaft von fehleranfälligen Festplatten erwähnt, dass ihre ersten Fehler schon
nach kurzer Betriebsdauer auftreten. Diese Beobachtung lässt sich in eine Strategie umsetzen. Ein neues System
wird vor dem Übergang in den Echtbetrieb zunächst einige Zeit (z.B. eine Woche) einem Belastungstest
unterworfen, der möglichst alle Komponenten mit der maximalen Datenverarbeitungsrate belastet. Für einen
solchen Test bietet sich zum Beispiel das SQLIO Disk Subsystem Benchmark Tool[113] von Microsoft an. SQLIO
simuliert bei entsprechender Konfiguration Lese- und Schreibzugriffe auf Festplatte und Hauptspeicher, das
Erstellen von Prüfpunkten in der Datenbank, das Sichern von Daten, das Sortieren von Daten sowie das
vorausschauende Lesen von Daten[114] unter Ausnutzung aller zur Verfügung stehenden Ressourcen.
Die Idee hinter einem solchen Tool ist diejenige, dass wenn bei möglichst hoher Belastung in einem
überschaubaren Zeitraum kein Fehler auftritt die Wahrscheinlichkeit sinkt, dass das System unter
Produktionsmängeln leidet.
12 Fazit und Ausblick
Die größte Motivation für die Datenrettung von Speichersystemen besteht in der Wiederherstellung von Wissen
und Erfahrungswerten. Ihr monetärer Wert lässt sich nur schwer abschätzen, kann aber bis zur Existenzbedrohung
von Firmen oder dem Verlust der kulturellen Wurzeln einer Gesellschaft reichen.
Im Falle eines Datenverlustes besteht eine durchschnittliche Erfolgsaussicht von 80% diese wiederherzustellen.
Diese auf den ersten Blick sehr positive Zahl bedeutet im konkreten Einzelfall, dass entscheidende Informationen
verloren sein können. Im Falle von einmaligen kulturellen Gütern ist dies ein nicht wieder gutzumachender
Verlust.
Trotz immer professioneller werdender Software im Freeware- bzw. GNU-Bereich ist eine Datenrettung nicht
immer leicht durchzuführen. Gerade technisch unerfahrene Anwender geraten bei Datenverlusten in Panik und
überstürzen das eigene und dadurch unüberlegte Vorgehen bei der Datenrettung. Falsche Methodik führt schnell
zum Totalverlust. Ein Bewusstsein für die Sensibilität der Daten und deren Struktur zu entwickeln ist hilfreich,
um im Ernstfall zu wissen was zu tun ist, und was nicht. Durch die Evaluierung des Schadens erfolgt eine
Abschätzung, ob sich die Datenrettung lohnt oder die Daten durch eigene Backups schneller wiederhergestellt
werden können. Bei technischen bzw. mechanischen Problemen ist spezielles Werkzeug und eine entsprechend
präparierte Umgebung notwendig, um die Datenträger zu analysieren. Generell ist Prävention der erste Schritt zu
einem sicheren Datenbestand - gleich ob in einem Rechenzentrum oder im privaten Umfeld.
Dabei darf ein Aspekt nicht außer Acht gelassen werden: Die geplante Archivierungsdauer. Nicht nur eine
optimale Lagerung ist für die Lesbarkeit der gesicherten Informationen entscheidend, sondern auch die
Verwendung allgemeingültiger Dateiformate und standardisierter technischer Medien. Bei digitalisierten
Kulturgütern darf die Bedeutung der katastrophensicheren Aufbewahrung nicht unterschätzt werden. Eines der
bekanntesten Beispiele für eine solche Vernichtung ist der Brand der Bibliothek zu Alexandria[115]. Auf die
heutige Zeit übertragen bedeutet das in der Konsequenz die Einführung einer standortübergreifenden
Backupstrategie.
Die Entwicklung neuer Hard- und Softwaretechniken zur Verhinderung eines Datenverlustes durch ausgefallene
Hardwarekomponenten oder Anwenderfehler schreitet voran. Das Dateisystem ZFS[1] bezeichnet Sun
Microsystems selbst als "Datenmanagement der nächsten Generation"[116]. ZFS beinhaltet dabei gleich mehrere
spezielle Konzepte, um die Datensicherheit zu erhöhen: Zum einen werden alle geschriebenen Daten mit einer
Checksumme versehen, durch die beim erneuten Lesen der Daten Fehler erkannt werden können. Da ZFS
11.3.3 Stresssimulation vor Einsatz
34
zusätzlich so genannte Paritätsinformationen ablegt, können die fehlerhaften Daten aus diesen Daten
wiederhergestellt werden. ZFS ist in diesem Sinne selbstheilend[117]. Als weiteres Sicherheitskonzept werden
geänderte Daten nicht physisch überschrieben, sondern in noch freien Bereichen der Festplatte abgelegt[118]. Auf
diese Art ist es möglich auf eine ältere Version der gleichen Datei zuzugreifen, sollte diese versehentlich
überschrieben worden sein. Allerdings kann diese Technik nur so lange funktionieren, wie noch genügend freier
Platz auf den Laufwerken zur Verfügung steht, um solche Schattenkopien zu erstellen. Die Anwendung dieser
Technik bleibt nicht auf die Dateiebene beschränkt. In ZFS kann eine solche Schattenkopie auch gleich von einem
ganzen Datenbereich (Dateisystem-Image) erstellt werden. Jedoch genügt bei dieser Erstellung schon das
Auftreten eines Fehlers in einem einzelnen Bit, damit das so erstellte Image unbrauchbar wird[119]. Obwohl die
Technik eines solchen Dateisystems bereits viele Fehler abmildern kann, werden die Daten dadurch zum Beispiel
nicht gegen Fehler durch Umwelteinflüsse geschützt. Die Einrichtung einer entsprechenden Backuplösung kann
dadurch folglich nicht ersetzt werden.
Im Bereich der Software-Backuplösungen treten vermehrt Geschäftsmodelle zur dezentralen Datensicherung auf,
wie zum Beispiel kopal oder Gigabank. Die dezentrale Datensicherung ermöglicht es gleich mehrere Risiken für
Datenverlust auszuschließen. Zum einen ist davon auszugehen, dass ein auf die externe Sicherung von Daten
spezialisiertes Unternehmen über ein umfangreiches Backupkonzept verfügt, dass in dieser Form von einem
einzelnen Unternehmen oder einer Privatperson schon aus finanziellen Gründen nicht aufgestellt werden kann.
Zum anderen wird das Risiko des Datenverlustes durch Umwelteinflüsse verringert, da die Daten losgelöst von
ihrer Entstehung aufbewahrt werden. Bei der Auswahl der entsprechenden Anbieter ist eine vorherige Analyse der
Backupstrategie des Anbieters sinnvoll. Besitzt diese zum Beispiel keine Elemente der Katastrophensicherheit, so
ist der Sinn der Datenauslagerung zu diesem Anbieter fraglich.
Bei der externen Auslagerung der Daten sollte der Aspekt der Vertraulichkeit der Daten nicht außer Acht gelassen
werden. Wird bekannt, dass ein bestimmter Anbieter die Daten mit den Firmengeheimnissen namhafter
Unternehmen sichert (ein fiktives Beispiel wäre die Original-Rezeptur einer coffeinhaltigen Limonade), so wird
dieser für gezielte Angriffe durch Viren oder Wirtschaftsspionage attraktiv. Vor diesem Hintergrund bleibt es
offen, ob konservativ eingestellte Unternehmen einen solchen Schritt gehen werden. Andererseits erscheint dieser
Weg eine einfache und kostengünstige Möglichkeit der Datensicherung für private Anwender zu sein.
Zusammenfassend lässt sich sagen, dass sowohl die Anforderungen an die Datenrettung, als auch die
Möglichkeiten zur Datenrettung stetig fortschreiten. Die zunehmende Integration großer Datenspeicher in
mobilen Geräten (MP3-Player, Netbooks) lässt die Gefahren eines Datenverlustes ansteigen. Der Übergang von
Festplatten zu elektronischen Speichermedien (z.B. SSD) bringt durch den Wegfall mechanischer Komponenten
eine höhere physische Belastbarkeit mit sich. Solche Medien wie USB-Sticks sind von der Möglichkeit
mechanischer Beschädigung jedoch nicht befreit (z. B. durch versehentliches Treten auf einen USB-Stick), so
dass es auch in diesem Bereich weitere Anforderungen an die professionellen Datenretter geben wird[86]. Die
durchgehende Verwendung präventiver Maßnahmen, der Aufbau einer Datensicherungsstrategie und das richtige
Vorgehen im Fall eines Datenverlustes bleibt von entscheidender Bedeutung: Gehen die Daten erst gar nicht
verloren, brauchen sie auch nicht gerettet zu werden.
13 Fußnoten
1. ? 1,0 1,1 Vgl. Bonwick (2006), s. p.
2. ? Vgl. Castells (2001), passim
3. ? 3,0 3,1 Vgl. Heuer (2005), S. 94
4. ? Vgl. Schiffhauer (2005a), S. 86
5. ? Vgl. Mörgenthaler (2006), S. 22
6. ? S. Kapitel 7
7. ? S. Kapitel 6
12 Fazit und Ausblick
35
8. ? Vgl. ISO/IEC 2382-1 (1994)
9. ? Vgl. Microsoft (2000), s. p.
10. ? 10,0 10,1 Vgl. Düsing; Jach-Reinke (1999), S. 140
11. ? Systemdateien werden von einem Betriebssystem verwendet, um dessen grundlegende Funktion
sicherzustellen. Dies können Konfigurationsdateien sein oder Dateien der Speicherverwaltung.
12. ? 12,0 12,1 Düsing; Jach-Reinke (1999), S. 140
13. ? Vgl. Düsing; Jach-Reinke (1999), S. 140f.
14. ? Vgl. Böhret (2004) S. 38
15. ? Vgl. Meier et al. (2004), S. 43
16. ? Die Abtastrate gibt an, wie viele einzelne Werte pro Sekunde in der Datei gespeichert sind.
17. ? Vgl. Kelm (2008), S. 56
18. ? Microsoft Windows XP konnte in der Version vor SP1 nicht mit Festplatten umgehen, die größer als
137 GB waren. Bei Dateien die sich in diesem Speicherbereich befanden, hat Windows die Indexeinträge
der FAT zurückgesetzt. Die Programmierer gingen davon aus, dass es Festplatten solcher Kapazität in
einem PC nicht geben kann.
20. ? Vgl. Iraci (2005) S. 142ff.
21. ? Vgl. Patterson; Talagala (1999), S. 1
22. ? Vgl. Kroll Ontrack (2008a)
23. ? Vgl. hierzu Hilt, Reder (2008)
24. ? 24,0 24,1 Vgl. Mörgenthaler (2006), S. 5ff.
25. ? 25,0 25,1 25,2 Vgl. Dargers (1995), Kap. 2
26. ? Vgl. Doemens (2007), s. p.
27. ? 1024 MB (Megabyte) = 1 GB (Gigabyte)
1024 GB = 1 PB(Petabyte)
1024 PB = 1 EB (Exabyte)
28. ? 28,0 28,1 28,2 Vgl. Lyman; Varian (2003), Kap. 1.III
29. ? Vgl. u.a. Gibson; Schroeder (2006), passim; Barroso et al. (2007), passim
30. ? 30,0 30,1 Vgl. Barroso et al. (2007), S. 1
31. ? S. §2f DNBG
32. ? Vgl. Verbatim (2007), S. 6
33. ? Vgl. Iraci (2005), S. 135f.
34. ? Vgl. Rohde-Enslin (2004), S. 39f.
35. ? S. Kapitel 9.2.2
36. ? Vgl. Lyman; Varian (2003), Kap. 4.III
37. ? Vgl. Bigourdan et al. (2006), u.a. S. 5f., S. 14
38. ? Vgl. Judge et al. (2005), Kap. 4
39. ? Vgl. van Bogart (1995), Kap. 4.2
40. ? Vgl. ISO 18923 (2000)
41. ? Vgl. Böhret (2004), S. 8f.
42. ? Vgl. u.a. Barroso et al. (2007), S. 1f.
43. ? Vgl. Cabla (2006), S. 27ff.
44. ? Vgl. Patterson; Talagala (1999), S. 15
45. ? Vgl. Seagate (2009b), s. p.
46. ? Vgl. z.B. Seagate (2009a), S.2
47. ? Vgl. u.a. Gibson; Schroeder (2006), Kap. 7
48. ? 48,0 48,1 Vgl. Barroso et al. (2007), S. 5
49. ? Vgl. Barroso et al. (2007), S. 2, S. 6
50. ? Vgl. Gibson; Schroeder (2006), Kap. 7
51. ? Vgl. von Neumann et al. (1947), S. 2
52. ? Vgl. u.a. Samsung (1999), passim; AMIC Technology (2004), passim
13 Fußnoten
36
53. ? Vgl. u.a. Samsung (1999), S. 3-6
54. ? Vgl. u.a. DALLAS (2006), passim
55. ? Vgl. EURO Kartensysteme (2009), s. p.
56. ? Vgl. Borsari + Meier (2009), S. 2
57. ? Vgl. Benz (2006), s. p.
58. ? Vgl. Leventhal (2008), S. 28f.
59. ? Vgl. Benz (2006), s. p.; Leventhal (2008), S. 27
60. ? Vgl. Leventhal (2008), S. 28
61. ? Schiffhauer (2005a), S. 86
62. ? Vgl. Kroll Ontrack (2008b), S. 3
63. ? Ein Image eines Datenträgers ist eine vollständige Sicherung aller Daten des Datenträgers zu einem
bestimmten Zeitpunkt.
64. ? Vgl. Böhret (2004), S. 39
65. ? Vgl. FiR (2001), S. 3
66. ? Vgl. FiR (2001), S. 13
67. ? S. §252 Abs. 1 Nr. 4 HGB
68. ? S. §238 u. §257 HGB
69. ? S. §325 Abs. 2a HBG
70. ? S. §257 Abs. 1 Nr. 1 HGB
71. ? S. §238 Abs. 1 sowie §257 Abs. 1 Nr. 4 HGB
72. ? S. §257 Abs. 1 Nr. 2 u. 3 sowie Abs. 4 HGB
73. ? S. §257 Abs. 5
74. ? Vgl. Atkins (2003), s. p.
75. ? Paging ist eine Methode zur Optimierung der Speichernutzung. Dabei werden die Daten in gleich große
(z.B. 4Kb) Abschnitte unterteilt, die so genannten Seiten bzw. Kacheln.
76. ? Vgl. Grenier (2009), passim
77. ? Eine Partitionstabelle enthält zum Beispiel die Informationen über logischen Laufwerke, die sich auf der
physischen Festplatte befinden.
78. ? Die GPL ist eine von der Free Software Foundation herausgegebene Lizenz zur Lizenzierung freier
Software.
79. ? 79,0 79,1 Vgl. Kroll Ontrack (2008b), S. 11
80. ? Vgl. Kroll Ontrack (2007), s. p.
81. ? Vgl. Barroso et al. (2007), S. 5f.
82. ? Vgl. u.a. adcommunications (2009), s. p.; Kroll Ontrack (2009a), s. p.
83. ? Vgl. Fast-Detect (2009), s. p.
84. ? Vgl. ISO 14644-1:1999 (2008), Klasse ISO 5 (Cleanroom)
85. ? 85,0 85,1 Vgl. Böhret (2004), S. 23
86. ? 86,0 86,1 86,2 86,3 86,4 86,5 86,6 86,7 Vgl. Brekle (2009), s. p.
87. ? Vgl. Kroll Ontrack (2004), S. 8
88. ? Vgl. Kuert (2009), s. p.
89. ? DataChunks beschreiben die Verteilung der Dateiabschnitte über mehrere Datenträger hinweg.
90. ? ParityChunks enthalten Checksummeninformationen, mit denen die Integrität der Daten geprüft werden
kann. Im Fehlerfall kann aus ihnen die ursprüngliche Datei rekonstruiert werden. ParityChunks könenn
ebenfalls über mehrere Festplatten verteilt sein.
93. ? Vgl. u.a. CDRINFO (2009), s. p.
94. ? Vgl. u.a. Leventhal (2008), passim
95. ? 95,0 95,1 Vgl. HDDLab (2007), s. p.
96. ? Vgl. Crash PC Service (2007), s. p.
97. ? Vgl. Advanced NTFS Recovery (2008), s. p.
13 Fußnoten
37
98. ? Slack-Dateien sind zum Beispiel bereits gelöschte Dateien. Sie werden vom Dateisystem jedoch nicht
angezeigt, da die in ihnen noch physisch enthaltenen Daten zu keiner aktuellen Datei zugeordnet sind.
99. ? Vgl. Kroll Ontrack (2008b), S. 12
100. ? S. Kapitel 8.3
101. ? 101,0 101,1 Vgl. Dietmar (2009), s. p.
102. ? Vgl. Schiffhauer (2005), passim
103. ? Brekle (2009), s. p.
104. ? Vgl. Red Hat (2003), Kap. 3
105. ? Red Hat (2003), Kap. 3.1
106. ? Red Hat (2003), Kap. 3.3.2
107. ? Herstellerseite erreichbar unter www.drivesnapshot.de
108. ? 108,0 108,1 108,2 Vgl. Düsing; Jach-Reinke (1999), S. 139
109. ? 109,0 109,1 109,2 Rohde-Enslin (2004), S. 45
110. ? Vgl. Honsel (2007), Sp. 1
111. ? Informationen zum Projekt unter kopal.langzeitarchivierung.de
112. ? Vgl. Gigabank (2009), s. p.
113. ? Link zum Download
115. ? Vgl. Budik (1850), S. 375f.
116. ? Drewanz (2007), S. 29
117. ? Vgl. Diedrich (2008), S. 194 u. 196f.
118. ? Vgl. Diedrich (2008), S. 194
119. ? Vgl. Diedrich (2008), S. 199
14 Literatur- und Quellenverzeichnis
adcommunications adcommunications (Hrsg.): Checkliste Datenrettung: Sofortmaßnahmen, o.J.,
(2009)
http://www.datenrettung-hilfe.info/checkliste.html (11.06.2009, 12:45)
Advanced NTFS Advanced NTFS Recovery (Hrsg.): Gelöschte Dateien wiederherstellen, 2008,
Recovery (2008) http://www.ntfsrecovery.com/de/geloeschte-dateien-wiederherstellen.php (07.06.2009, 13:49)
AMIC
AMIC Technology Corp. (Hrsg.): A43L4616 4M X 16 Bit X 4 Banks Synchronous DRAM, Version 0.
Technology
2004, http://www.datasheetcatalog.org/datasheets2/10/1089527_1.pdf (03.06.2009, 22:48)
(2004)
Attingo Datenrettung GmbH (Hrsg.): Attingo Presseservice - Pressefotos, 2009,
Attingo (2009)
http://www.attingo.com/de/datenrettung/datenverlust/presse/pressefotos.html (07.06.2009, 13:53)
Atkins, Paul S.: Der Sarbanes-Oxley Act: Zielsetzungen, Inhalt und Implementierungsstand, 13.02.200
Atkins (2003)
http://www.sec.gov/news/speech/spch020503psag.htm (11.06.2009, 13:25)
Barroso et al.
Barroso, Luiz A.; Pinheiro, Eduardo; Weber, Wolf-Dietrich: Failure Trends in a Large Disk Drive
(2007)
Population, Google Inc. (Hrsg.), 2007, http://labs.google.com/papers/disk_failures.pdf (01.06.2009, 21:
Benz, Benjamin: Erinnerungskarten: Die Technik der Flash-Speicherkarten, in: c't magazin für comput
Benz (2006)
technik, 2006, Ausgabe 23, Heise Zeitschriften Verlag, in: eMedia GmbH (Hrsg.): c'tplusrom - Wissen
Abruf, Halbjahres-CD Ausgaben 14-26, Heise Zeitschriften Verlag, Hannover 2006
Bigourdan, Jean-Louis; Reilly, James M.; Santoro, Karen; Salesin, Gene: THE PRESERVATION OF
Bigourdan et al. MAGNETIC TAPE COLLECTIONS: A PERSPECTIVE, Image Permanence Institute, Rochester Insti
(2006)
of Technology (Hrsg.), 2006,
http://www.imagepermanenceinstitute.com/shtml_sub/NEHTapeFinalReport.pdf (01.06.2009, 13:02)
Böhret (2004)
38
Böhret, Peter: "Daten auf der Spur": Handbuch zur Datenrettung und Computer Forensik, Kroll Ontrac
GmbH (Hrsg.), 2004, http://www.ontrack.de/library/pdf/HandbuchDatenrettung.pdf (01.05.2009, 12:15
Bonwick, Jeff: You say zeta, I say zetta, 04.05.2006,
Bonwick (2006)
http://blogs.sun.com/bonwick/entry/you_say_zeta_i_say (11.06.2009, 10:25)
Borsari + Meier Borsari + Meier AG (Hrsg.): Chipkarte S-2, 2009, http://www.borsari-meier.ch/MTC/S2.pdf (10.06.20
(2009)
11:29)
Brekle (2009)
Brekle, Kathrin: Schriftliches Interview mit Kathrin Brekle, Kroll Ontrack, vom 09.06.2009
Budik, P. A.: Die Bibliothek zu Alexandria, in: SERAPEUM. Zeitschrift für Bibliothekswissenschaft,
Handschriftenkunde und ältere Literatur., Band 11, XI. Jahrgang, Nr. 24, Dr. Robert Naumann(Hrsg.),
Budik (1850)
Weigel, Leipzip 1850,
http://www.digizeitschriften.de/index.php?id=loader&tx_jkDigiTools_pi1[IDDOC]=236929 (11.06.20
10:18), S. 369-377
Cabla, Lubomir: HDAT2 User?s Manual, http://www.hdat2.com/files/hdat2en_4_52.pdf, 17.09.2006,
Cabla (2006)
(12.06.2009, 20:59)
Castells, Manuel: Die Netzwerkgesellschaft. Band I Das Informationszeitalter, Leske&Budrich, Oplade
Castells (2001)
2001
cdrinfo.com (Hrsg.): Samsung to Mass-produce Next Generation PRAM Memory in June, 04.05.2009,
CDRINFO (2009)
http://www.cdrinfo.com/Sections/News/Details.aspx?NewsId=25280 (11.06.2009, 21:52)
Crash PC Service Crash PC Service (Hrsg.): Absatz Technik & Erfolgschance, 2007,
(2007)
http://www.data-recovery.de/Datenrettung.html (07.06.2009, 22:09)
DALLAS Semiconductors (Hrsg.): DS2030W 3.3V Single-Piece 256kb Nonvolatile SRAM, Rev 3; 10
DALLAS (2006)
2006, http://datasheets.maxim-ic.com/en/ds/DS2030W.pdf (02.06.2009, 10:18)
Dargers, Torsten: Computerviren - Ein Überblick, Universität Hamburg(Hrsg.), 1995,
Dargers (1995)
http://agn-www.informatik.uni-hamburg.de/vtc/pcvir_dt.htm (09.06.2009, 07:57)
Diedrich, Oliver: Speichermeister: Das Solaris-Dateisystem ZFS, in: c't magazin für computer technik,
Diedrich (2008)
Ausgabe 21, Heise Zeitschriften Verlag GmbH & Co. KG, Hannover 2008, S. 194-199
Dietmar, Carl: Verlorene Schätze im Stadtarchiv Köln, Kölner Stadtanzeiger (Hrsg.), 03.03.2009,
Dietmar (2009)
http://www.ksta.de/html/artikel/1236027626764.shtml (07.06.2009, 19:51)
Doemens, Karl: Blackout im Bundestag, Handelsblatt (Hrsg.), 06.07.2007,
Doemens (2007) http://www.handelsblatt.com/politik/das-politische-feature/blackout-im-bundestag;1290640 (11.06.200
20:01)
Double-Take
Double-Take Software (Hrsg.): How Double-Take Works, 2009,
(2009)
http://de.doubletake.com/_docs/pdf/dt-product-overview.pdf (08.06.2009, 12:18)
Drewanz, Detlef: News @ Solaris, Sun Microsystems(Hrsg.), 2007,
Drewanz (2007)
http://de.sun.com/sunnews/events/2007/sundays/pdf/magdeburg/5_news_solaris.pdf (11.06.2009, 10:54
Düsing, C.; Jach-Reinke, H.-J.: Entwicklung einer Backup und Recovery Strategie für die
Düsing;
Oracle-8-Infrastruktur des IMW, in: IMW - Institutsmitteilung Nr. 24, IMW (Hrsg.),
Jach-Reinke
http://www.imw.tu-clausthal.de/fileadmin/Bilder/Forschung/Publikationen/Mitt_1999/99_24.pdf
(1999)
(01.06.2009, 18:01), Eschborn 1999, S. 139-144
eMedia GmbH (Hrsg.): c'tplusrom - Wissen zum Abruf, Halbjahres-CD Ausgaben 14-26, Heise
eMedia (2006)
Zeitschriften Verlag, Hannover 2006
eMedia GmbH (Hrsg.): ix abo+ Schneller Zugriff 2008, CD 2008, Heise Zeitschriften Verlag, Hannove
eMedia (2008)
2008
EURO
EURO Kartensysteme GmbH (Hrsg.): GeldKarte laden und entladen, 2009,
Kartensysteme
http://www.geldkarte.de/_www/de/pub/geldkarte/privatnutzer/geldkarte_im_einsatz/laden_und_entlade
(2009)
(10.06.2009, 11:02)
39
Fast-Detect (2009)
FiR (2001)
Gibson; Schroeder
(2006)
Gigabank (2009)
Grenier (2009a)
Grenier (2009b)
HDDLab (2007)
Heuer (2005)
Honsel (2007)
IMW (1999)
Iraci (2005)
ISO/IEC 2382-1
(1994)
ISO 14644-1:1999
(2008)
ISO 18923 (2000)
Judge et al. (2005)
Kelm (2008)
Kroll Ontrack
(2004)
Kroll Ontrack
(2006)
Kroll Ontrack
(2007)
Fast-Detect (Hrsg.): Datenrettung: Sofortmaßnahmen, 2009,
http://datenrettung.fast-detect.de/recovery/wastun.html (07.06.2009, 12:47)
FiR - Forschungsinstitut für Rationalisierung e.V. an der RWTH Aachen (Hrsg.): Expertenstudie Wissensmanagement in technischen Dienstleistungsunternehmen, Aachen 2001
Gibson, Garth A.; Schroeder, Bianca: Disk failures in the real world: What does an MTTF of 1,000,000
hours mean to you?, 2006, http://www.usenix.org/events/fast07/tech/schroeder/schroeder_html/index.h
(01.06.2009, 19:14)
Gigabank (Hrsg.): Persönliche Datensicherung - Preise, 2009,
https://www.gigabank.de/de/gigabank/preise.php (10.06.2009, 10:28)
Grenier, Christophe: TestDisk DE - TestDisk Datenrettung, 19.04.2009,
http://www.cgsecurity.org/wiki/TestDisk_DE (10.06.2009, 23:01)
Grenier, Christophe: TestDisk DE - TestDisk Datenrettung, 19.04.2009,
http://www.cgsecurity.org/wiki/PhotoRec_DE (10.06.2009, 23:05)
HDDLab (Hrsg.): Datenrettung SD, MMC und CF Speicherkarten, 2007,
http://www.hddlab.de/datenrettung/articles/speicherkarten_datenrettung.html (07.06.2009, 12:49)
Heuer, Steffan.: Online in die Vergangenheit, in: tr Technology Review, 2005, Ausgabe Januar, Heise
Zeitschriften Verlag, Hannover 2005, S. 92-95
Honsel, Gregor: Hundert Jahre auf Band, in: tr Technology Review, 2007, Ausgabe August, Heise
IMW (Hrsg.): IMW - Institutsmitteilung Nr. 24, Eschborn 1999
Iraci, Joe.:The Relative Stabilities of Optical Disc Formats, RESTAURATOR-International Journal for
Preservation of Library and Archival Material Volume 26 Number 2, K.G. Saur(Hrsg.),
http://aic.stanford.edu/sg/emg/library/pdf/iraci/relativeStabilitiesOpticalDiscs.pdf (01.06.2009, 19:59),
München 2005, S. 134-150
International Standard Organization (Hrsg.): Information technology - Vocabulary - Fundamental terms
Stand: 15.02.1994, Genf 1994
International Organization for Standardization (Hrsg.): ISO 14644-1:1999 - Cleanrooms and associated
controlled environments -- Part 1: Classification of air cleanliness mit Stand vom 05.12.2008, Genf 200
International Standard Organization (Hrsg.): 2000?Imaging materials?Polyester-base magnetic tape?Sto
practices, Genf 2000
Judge, J. S.; Miller, G.; Schmidt, R. G.; Weiss, R. D.:Media Stability and Life Expectancies of Megnet
Tape for Use with IBM 3590 and Digital Linear Tape Systems,
http://storageconference.org/2003/papers/15_Judge-Media.pdf (01.06.2009, 12:52), in: RESTAURATO
International Journal for the Preservation of Library and Archival Material Volume 26 Number 2, K.G.
Saur(Hrsg.), München 2005, S. 134-150
Kelm, Stefan: Rausgefischt: Daten wiederherstellen mit Open-Source-Tools, in: iX Magazin für
professionelle Informationstechnik, 2008, Ausgabe 05, Heise Zeitschriften Verlag, in: eMedia GmbH
(Hrsg.): ix abo+ Schneller Zugriff 2008, CD 2008, Heise Zeitschriften Verlag, Hannover 2008
Kroll Ontrack (Hrsg.): Whitepaper Achieve Data Security & Rapid ROI with Remote Data Recovery, 2
http://www.ontrack.de/images/nav/Kroll%20Ontrack_Whitepaper_RDR%20(english).pdf (01.05.2009,
12:08)
Kroll Ontrack (Hrsg.): Hohe Erfolgsaussichten bei Datenrettung nach Wasserschaden, Pressemitteilung
31.03.2006, 2006, http://www.ontrack.de/pressemitteilungen/index.aspx?getPressRelease=36717
(01.06.2009, 18:03)
Kroll Ontrack (Hrsg.): Die Unwettersaison ist da - gute Erfolgsaussichten für Datenrettung nach
Wasserschaden - Erfolgreiche Datenrettung nur durch ausgewiesene Experten und bei Einsatz moderns
40
Kroll Ontrack
(2007)
Kroll Ontrack
(2008a)
Kroll Ontrack
(2008b)
Kroll Ontrack
(2009a)
Kuert (2009)
Leventhal (2008)
Lyman; Varian
(2003)
Meier et al. (2004)
Microsoft (2000)
Microsoft (2007)
Microsoft (2009)
Mörgenthaler
(2006)
Patterson;
Talagala (1999)
Red Hat (2003)
Rohde-Enslin
(2004)
Samsung (1999)
Saur (2005)
Schiffhauer
(2005a)
Schiffhauer
(2005b)
Schiffhauer
(2005c)
Schiffhauer
(2005d)
Technologie, Pressemitteilung vom 20.07.2007, 2007,
http://www.ontrack.de/pressemitteilungen/index.aspx?getPressRelease=55227 (01.06.2009, 17:58)
Hardwarejournal (Hrsg.): Datenverlust vorbeugen vom Juli 2007, Juli 2007,
http://www.hardwarejournal.de/tip-datenverlust-vorbeugen.htm (05.06.2009, 19:43)
Kroll Ontrack Inc. (Hrsg.): Datenrettung - Pressemitteilung, 03.12.2008,
http://www.ontrack.de/pressemitteilungen/index.aspx?getPressRelease=61213 (11.06.2009, 11:38)
Kroll Ontrack GmbH (Hrsg.): Whitepaper Datenrettung, 2008,
http://www.ontrack.de/library/pdf/HandbuchDatenrettung.pdf (01.05.2006, 12:59)
Kroll Ontrack Inc. (Hrsg.): Was tun bei Datenverlust?, 2009, http://www.ontrack.de/tipps-datenverlust/
(01.05.2009, 13:05)
Kuert Datenrettung Deutschland GmbH (Hrsg.): Datenwiederherstellung, o. J.,
http://www.datenambulanz.de/datenwiederherstellung/ (03.05.2009, 12:08)
Leventhal, Adam: FLASH STORAGE Today, in: ACM QUEUE, 2008, Ausgabe Juli/August, The
Association for Computing Machinery, Inc.(Hrsg.), New York 2008, S. 26-30
Lyman, Peter; Varian, Hal R.: How Much Information? 2003, 2003,
http://www2.sims.berkeley.edu/research/projects/how-much-info-2003/index.htm (01.06.2009, 19:08)
Meier, Nikolaus; Precht, Manfred; Tremel, Dieter: EDV-Grundwissen: Einführung in Theorie und Prax
modernen EDV, Pearson Education (Hrsg.), 7. Auflage, Addison-Wesley, München 2004
Microsoft (Hrsg.): FAT32 File System Specification, 06.12.2000,
http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx (11.06.2009, 15:05)
Microsoft (Hrsg.): Aktivieren von 48-Bit-LBA-Unterstützung für ATAPI-Laufwerke in Windows XP,
in: http://support.microsoft.com/default.aspx/kb/303013 (09.06.2009, 20:05)
Microsoft (Hrsg.): How to use the SQLIOSim utility to simulate SQL Server activity on a disk subsyste
in: http://support.microsoft.com/?scid=kb%3Ben-us%3B231619&x=17&y=1 (07.06.2009, 10:55)
Mörgenthaler, Thomas: Lagebericht zur Informationssicherheit, in: <kes>, Die Zeitschrift für
Informtions-Sicherheit, special, Auszüge aus <kes> 2006#4/6, Microsoft Deutschland GmbH (Hrsg.), 2
http://www.kes.info/archiv/material/studie2006/kes-Microsoft-Studie 2006 (Sonderdruck).pdf (01.06.2
18:30)
Patterson, David, Talagala, Nisha: An Analysis of Error Behavior in a Large Storage System, Universit
California at Berkeley (Hrsg.), Berkeley 1999
Red Hat Inc. (Hrsg.): Red Hat Linux 9 - Red Hat Linux Handbuch benutzerdefinierter Konfiguration, 2
http://www.tu-chemnitz.de/docs/lindocs/RH9/RH-DOCS/rhl-cg-de-9/index.html (06.06.2009, 21:02)
Rohde-Enslin, S.: Nicht von Dauer: Kleiner Ratgeber für die Bewahrung digitaler Daten in Museen,
nestor/IfM (Hrsg.), 2004, http://edoc.hu-berlin.de/series/nestor-ratgeber/1/PDF/1.pdf (01.06.2009, 12:3
Samsung Electronics (Hrsg.): KM432S2030C 2M x 32 SDRAM Synchronous DRAM LVTTL, Revisio
1.1, 1999, http://www.datasheetcatalog.org/datasheets2/11/1188896_1.pdf (03.06.2009, 22:45)
Saur, K.G.(Hrsg.).: RESTAURATOR-International Journal for the Preservation of Library and Archiva
Material Volume 26 Number 2, München 2005
Schiffhauer, Nils: Wider das globale Vergessen, in: tr Technology Review, 2005, Ausgabe Januar, Heis
Schiffhauer, Nils: Bleibende Poesie, in: tr Technology Review, 2005, Ausgabe Januar, Heise Zeitschrif
Verlag, Hannover 2005, S. 89-91
Schiffhauer, Nils: Papier-Tempel, in: tr Technology Review, 2005, Ausgabe Januar, Heise Zeitschriften
Verlag, Hannover 2005, S. 98-99
Schiffhauer, Nils: Das Gedächtnis der Nation, in: tr Technology Review, 2005, Ausgabe Januar, Heise
41
Seagate (Hrsg.): Datenblatt "Die SV35.4 Series", 2009,
http://www.seagate.com/docs/pdf/de-DE/datasheet/disc/ds_sV35_4.pdf (03.06.2009, 19:42)
Seagate (Hrsg.): Playing It S.M.A.R.T., 2009,
Seagate (2009b) http://seagate.custkb.com/seagate/crm/selfservice/search.jsp?DocId=194645&NewLang=en&Hilite=sm
(01.06.2009, 19:10)
van Bogar, John W.C.: Magnetic Storage and Handling, A Guide for Libraries and Archives., National
van Bogart (1995) Media Lab, and The Commission on Preservation and Access (Hrsg.), 1995,
http://www.clir.org/pubs/reports/pub54/ (01.06.2009, 18:32)
Verbatim (Hrsg.): Archival Grade DVD-R - White Paper, 2007,
Verbatim (2007)
http://www.verbatim.com.au/technotes/Archival_DVD.pdf (01.06.2009, 20:01)
Burks, Arthur W.; Goldstine, Herman H.; von Neumann, John: Preliminary discussion of the logical de
von Neumann et
of an electronic computer instrument, The University of Michigan (Hrsg.), Michigan 1947,
al. (1947)
http://deepblue.lib.umich.edu/bitstream/2027.42/3972/5/bab6286.0001.001.pdf (03.06.2009, 23:05)
Wells, David P.: Predicting the longevity of DVD-R media by periodic analysis of parity, jitter and exx
Wells (2008)
performance parameters, 2008, http://contentdm.lib.byu.edu/ETD/image/etd2526.pdf (01.06.2009, 12:3
Seagate (2009a)
15 Rechtsquellenverzeichnis
DNBG
GDPdU
HGB
SOX
Gesetz über die Deutsche Nationalbibliothek vom 22. Juni 2006 (BGBl. I S.
1338), das durch Artikel 15 Abs. 62 des Gesetzes vom 5. Februar 2009 (BGBl.
I S. 160) geändert worden ist
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDPdU), BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316 - 136/01 Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnummer
4100-1, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 69 des
Gesetzes vom 17. Dezember 2008 (BGBl. I S. 2586) geändert worden ist
Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (codified as
amended in scattered sections of 15 U.S.C.).
16 Anhang
Schriftliches Interview vom 09.06.2009 mit Frau Kathrin Brekle, Kroll Ontrack GmbH
Fragenkatalog Datenrettung auf Speichermedien
professionelle Datenrettung'
Im Rahmen einer Fallstudie zum Thema Datenrettung auf Speichermedien würde ich gerne auf die Aussagen
möglichst praxisnah zu bleiben. (Whitepaper der Unternehmensseite wurden bereits entnommen) Daher ein
Abrundung des Bereichs ?professionelle Datenrettung? stellten. Ich bitte Sie so ausführlich wie nötig
da sich in einem persönlichen Interview möglicherweise weitere Randfragen zu kleineren Details ergebe
Ich bedanke mich vorab herzlich dafür, dass Sie sich die Zeit nehmen konnten, um diesen Fragebogen zu
1. Wie wird eine Schadensevaluierung vorgenommen?
Antwort Ontrack: Audiovisuelle Kontrolle aller Komponenten bis zum zerlegen der Einzelteile und Ansic
2.
Unterscheidet sich die Vorgehensweise dabei nach Speichermedium?
15 Rechtsquellenverzeichnis
42
(HDD, Flash, optisches Medium, Tape)
Antwort Ontrack: Ja, diese Medien sind physisch schon anders aufgebaut. Festplatten müssen wieder in
hergestellt werden, Tapes können teilweise gesplict werden. Es gibt generelle Prozed
aber meist gibt es eine spezielle Prozedur bis runter zur unterschiedliche Revision
3. Wie funktioniert eine Datenrettung in Tape-Libraries? (kurzer Einblick genügt)
Antwort Ontrack: Es geht immer um einzelne Tapes oder Tape Sets. Die Bänder werden komplett duplizier
selbstentwickelten Software Tools ausgelesen.
4. Wie gehen Sie vor wenn FAT/MFT nicht mehr vorhanden sind?
Antwort Ontrack: Die Reparatur setzt die Kenntnis des genauen Aufbaus des NTFS- bzw. FAT-Dateisystems
je nach Fehlerfall unterschiedliche Ansätze, um Daten rekonstrieren zu können.
5. Wie wird erkannt welche Blöcke zu einer Datei gehören, wenn der FAT/MFT fehlt?
Antwort Ontrack: Bei FAT gibt es die Verzeichniseinträge und dort für jede Datei der Startcluster und
Der Rest ist dann eine Frage der Fragmentierung. Oft ist nicht alles weg, insbesonde
noch die Bitmap und kann dann in den verloren Bereichen eine Datei-Signatur-Suche du
6. Spielt die Stärke der Fragmentierung bei der Wiederherstellung eine Rolle?
Antwort Ontrack: Ja - diese kann extrem wichtig sein, insbesondere bei Dateien größer als die Cluster
lästige Streifen in den Urlaubsbildern haben?
7.
Unterscheidet sich die Erfolgsquote der Wiederherstellung kompletter Systeme bei verschiedenen Be
oder erfolgt die Sicherung rein bitweise?
Ergänzung zur Frage: Erschwert die Art des Dateisystems (ext3 vs FAT/NTFS) den Wiederherstellungsproz
Antwort Ontrack: Nein - jedes Dateisystem hat Vorteile und Nachteile. Das kommt auf den Einzelfall an
8. Wirkt sich der Dateityp auf den Erfolg der Wiederherstellung aus?
Antwort Ontrack: Ja, man stelle sich eine hoch fragmentierte MySQL Datenbank Datei vor, die gelöscht
schwierig. Dagegen ist der interne Aufbau einer MS SQL Datei solch einer Datenrettun
9. Sind Daten zu retten, selbst wenn der identifizierende Typschlüssel fehlt? (Beispiel JPG)
Antwort Ontrack: JPG Dateien haben immer die gleiche Header Signatur und können wiederhergestellt wer
10. Ab welchem Beschädigungsgrad ist eine Datenrettung auf genannten Speichermedien unmöglich? --> H
Antwort Ontrack: Kann man so nicht sagen, es ist möglich, dass in den Fragmenten die wir wiederherges
gesuchte Datei steckt. Im Regelfall sind Hardware Fehler und falsche Userinteraktion
dass wir keine Daten wieder herstellen können.
11.
Unterscheidet sich die Vorgehensweise in der Evaluierung und Wiederherstellung zwischen normalen
verschiedenen RAID-Verbunden? Wenn "ja" wie?
Antwort Ontrack: Zur Komplexität des herkömmlichen Dateisystems wie es auf einer einzelnen Festplatte
dann noch die Aufteilung des Dateisystemes in DataChunks und ParityChunks über mehre
Hersteller hat hier eigene Parameter die im Einzelpuzzle erst einmal erkannt werden
Reihenfolge der Festplatten. Danach braucht man ein Software Simulationstool für die
Controler meist defekt ist oder nicht zur Verfügung steht. Handelt es sich dann um e
sehr oft die verschiedensten proprietären Linux Derivate zum Einsatz.
12. Können Sie die Erfolgschancen nach Verlustursache eingrenzen?
Antwort Ontrack: eine Wiederherstellungsquote von 80% aller Datenrettungen ist realistisch
16 Anhang
43
13. Welche Reparaturen sind möglich, wenn der Datenverlust technischer Natur ist? (Beispiel Elektron
Antwort Ontrack: Das hängt vom Hersteller, dem Festplattentyp und der Verfügbarkeit genau der Ersatzt
Revision und Firmware ab, bzw. auch der Zusammenarbeit mit den Festplattenhersteller
Bereitschaft des Kunden auf die Daten zu warten. Wann wird es eng? Entscheidend ist
auch ein erfahrenes und flexibles R&D Team für Software- und Hardwareentwicklung zu
Technologie bleibt nicht stehen. SSD Festplatten sind schon im Markt
14. Entspricht ein Reinraum einer produktionsnahen Umgebung? Wie wird dies erreicht?
Antwort Ontrack: Diverse Bilder in der Presse sind leider fiktiv. Es genügt ein Arbeitsplatz der Klas
Zum letztmaligen auslesen benötigen wir keine Produktivumgebung.
15.
Welche technischen Hilfsmittel stehen den Experten in einem Reinraum zur Verfügung?
(Mikroskope, elektrische Mittel, mechanische Mittel)
Antwort Ontrack: - keine Auskunft -
16.
Wie ist die quantitative und die qualitative Entwicklung zu rettender Daten?
(z.B. Zunahme, Abnahme)
Antwort Ontrack: Das kann man so nicht sagen. Wenn es strukturelle Beschädigungen im Verzeichnisbaum
Verzeichnisnamen nicht mehr haben, aber alle JPG Aufnahmen, dann wäre ein Kunde ein
seine Kundendaten über die Auftragsnummer im Verzeichnisnamen speichert damit nicht
obwohl die eigentlichen Daten perfekt und 100%ig sind.
17. Gibt es besonders unsichere Medien?
Antwort Ontrack: Das hängt von den Lagerbedingungen und dem Zweck ab. Für den Privatgebrauch gibt es
Speicherplatz im Internet umsonst für 1GB auf fünf Jahre. Die Bequemlichkeit ist der
18.
Welche "schwachen" Signale weisen auf einen baldigen Ausfall einer Komponente im Privatbereich h
(Zum Beispiel "rattern" der Festplatte)
Antwort Ontrack: Hier gibt es vielfältige Tools welche direkt eingebaute Festplatten überwachen z.B.
19. Bitte nennen Sie ein Tool, das sie Privatanwendern empfehlen würden.
Antwort Ontrack: Ontrack Easy Recovery zur Datenrettung, z.B. www.gigabank.de<http://www.gigabank.de>
Privatbereich (es gibt aber auch immer mehr andere ...)
20.
Gibt es generelle Unterschiede zwischen Freeware und kostenpflichtigen Tools? Wie schätzen Sie d
von Freeware-Tools ein?
Antwort Ontrack: Meist ist es eine Sache der Convenience und den unterstützten Features. Die Frage is
Anbieter auch sich mit ProgrammUpdates an die Marktentwicklung anpasst oder auch neu
in der Vergangenheit integriert hat).
21.
Wie kann ein Privatanwender komfortabel einem Datenverlust vorbeugen?
(möglichst wenige manuelle Eingriffe)
Antwort Ontrack:
1. Ein Imagevollbackup in regelmäßigen Abständen
2. Automatische inkrementelle Backups auf eine zweite Festplatte
3. Regelmäßige Sicherung der Daten zur Langzeitarchivierung in verschlüsselte Contai
4. Auslagerung der wichtigen Daten übers WEB zu einem Online Backup Hoster
22.
Wie schätzen Sie die zukünftige Entwicklung im Bereich der Datenrettung ein? Sehen Sie neue Gefa
Flash-Disks im Server Bereich, Cloud Computing)? Sehen Sie neue Chancen?
Antwort Ontrack: Mechanische Beschädigungen der Elektronik wird es weiter geben, insbesondere wenn al
die rotierenden Scheiben weg sind und man mit den neuen Geräten ruppiger umgehen kan
ein Marketing Name. Die Daten sind entweder intern im Unternehmen oder auf möglicher
16 Anhang
44
externen Speichern untergebracht. Meist ist die Sicherheit bei externen Dienstleiste
eigenen Serverraum
16 Anhang
45

Inhaltsverzeichnis

Transcrição

Documentos relacionados

Factsheet - Stellar Phoenix Data Recovery 6 Win - Pro

Als PDF - TobiTech

CBL Datenrettung eröffnet Sitz in Zürich

Daten speichern, sichern, retten

Computer Forensik Ermittlung elektronischer Beweise

Ontrack® EasyRecoveryTM - PRO-4

10 Tipps zum Schutz vor Datenverlust

Bestellschein herunterladen

Redundant Array of Independent / Inexpensive Disks Zu

Recuva_Datenrettung