Inhaltsverzeichnis
Transcrição
Inhaltsverzeichnis
Datenrettung_auf_Speichersystemen Name des Autors / der Autoren: Jan Beushausen, Andreas Pelekies, Michael Schmulder Titel der Arbeit: "Datenrettung auf Speichersystemen" Hochschule und Studienort: FOM Köln-Nord Inhaltsverzeichnis • 1 Abkürzungsverzeichnis • 2 Abbildungsverzeichnis • 3 Tabellenverzeichnis • 4 Einführung • 5 Begriffsdefinition ♦ 5.1 Daten ♦ 5.2 Speichersysteme ♦ 5.3 Abgrenzung der Begriffe Backup, Restore, Recovery ◊ 5.3.1 Backup ◊ 5.3.2 Restore ◊ 5.3.3 Recovery ♦ 5.4 Forensik ♦ 5.5 File-Header ♦ 5.6 Carving Tools • 6 Entstehung von Datenfehlern ♦ 6.1 Symptome ♦ 6.2 Hardwarefehler ◊ 6.2.1 Mechanische Beschädigungen ◊ 6.2.2 Erschütterungen ◊ 6.2.3 Stromausfall ◊ 6.2.4 Nutzungsgrad ◊ 6.2.5 Weitere technische Fehlerquellen ♦ 6.3 Anwenderfehler ♦ 6.4 Software- und Programmfehler ♦ 6.5 Viren ◊ 6.5.1 Viren ohne Auswirkung auf die Daten ◊ 6.5.2 Viren mit Auswirkung auf die Daten ♦ 6.6 Umweltbedingungen ◊ 6.6.1 Hitze ◊ 6.6.2 Blitzschlag und Stromausfälle ◊ 6.6.3 Feuchtigkeit • 7 Lebenserwartung von aktuellen Speichersystemen ♦ 7.1 Optische Datenträger ♦ 7.2 Magnetische Datenträger ◊ 7.2.1 Magnetbänder Inhaltsverzeichnis 1 Datenrettung_auf_Speichersystemen ◊ 7.2.2 Festplatten ♦ 7.3 Elektronische Speichermedien ◊ 7.3.1 Arbeitsspeicher ◊ 7.3.2 Chipkarten mit Mikroprozessoren ◊ 7.3.3 Flash-Speicher ♦ 7.4 Zusammenfassung • 8 Motivation der Datenrettung ♦ 8.1 Finanzielle Gründe ♦ 8.2 Forensik ♦ 8.3 Spionage ♦ 8.4 Vermeidung von Wissensverlust ♦ 8.5 Rechtliche Vorgaben • 9 Methoden der Datenrettung ♦ 9.1 Selbst durchführbare Methoden ◊ 9.1.1 Kostenlose Tools ◊ 9.1.2 Professionelle Software ◊ 9.1.3 Vorbeugen ◊ 9.1.4 Sofortmaßnahmen im Fall eines Datenverlustes ♦ 9.2 Professionelle Datenrettung ◊ 9.2.1 Vorgehensweise am Beispiel von Kroll Ontrack ◊ 9.2.2 Durchführung der Datenrettung ⋅ 9.2.2.1 Remote Data Recovery von Kroll Ontrack ⋅ 9.2.2.2 Datenrettung im Labor / Reinraum ⋅ 9.2.2.3 Datenrettung auf Festplatten und RAID-Systemen • 10 Erfolgsaussichten der Datenrettung ♦ 10.1 Erfahrungswerte ♦ 10.2 Grenzen der Datenrettung • 11 Strategien zur Verhinderung von Datenverlusten ♦ 11.1 Hardware-Strategien ◊ 11.1.1 Im System ◊ 11.1.2 Am Standort ◊ 11.1.3 Standortübergreifend ♦ 11.2 Software-Strategien ♦ 11.3 Organisatorische Strategien ◊ 11.3.1 Definition einer Backup-Strategie ◊ 11.3.2 Frühzeitiger Austausch ◊ 11.3.3 Stresssimulation vor Einsatz • 12 Fazit und Ausblick Inhaltsverzeichnis 2 Datenrettung_auf_Speichersystemen • 13 Fußnoten • 14 Literatur- und Quellenverzeichnis • 15 Rechtsquellenverzeichnis • 16 Anhang 1 Abkürzungsverzeichnis Abkürzung BIOS CRC DIY DNBG DBMS FAT FiR GDPdU IMW kopal MFT MS MTBF MTTR NVRAM RAM RDR SMART SSD SOX USB USV ZFS Bedeutung Basic Input Output System Cyclic Redundancy Check (zyklische Redundanzprüfung) Do-It-Yourself Gesetz über die Deutsche Nationalbibliothek Datenbankmanagementsysteme File Allocation Table Forschungsinstitut für Rationalisierung e.V. an der RWTH Aachen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Bildungsinstitut der mittelständischen Wirtschaft Projekt zum kooperativer Aufbau eines Langzeitarchivs digitaler Informationen Master File Table Microsoft Mean Time Between Failure Mean Time To Recover Non Volatile RAM (Arbeitsspeicher, der bei Entfernung der Betriebsspannung die Daten nicht verliert) Random Access Memory (Arbeitsspeicher mit wahlfreiem Zugriff) Remote Data Recovery Self Monitoring, Analysis and Reporting Technology Solid State Drvie Sarbanes-Oxley Act Universal Serial Bus unterbrechungsfreie Stromversorgung Pseudo-Akronym für Suns Dateisystem[1] 2 Abbildungsverzeichnis Abbildung-Nr. 4-1 5-1 6-1 6-2 1 Abkürzungsverzeichnis Bezeichnung In Diskettenboxen archiviert Ulrich von Bülow das Werk Thomas Strittmatters Drei Komponenten einer Backup Strategie Ursachen für Datenverlust Verbrannte Fesplatte 3 Datenrettung_auf_Speichersystemen 6-3 6-4 6-5 6-6 7-1 8-1 9-1 9-2 11-1 Mechanisch zerstörte Festplatte Festplatte mit Headcrash Festplatte mit beschädigter Metallbeschichtung DVD-R mit defekter Randversiegelung Ausfallraten bezogen auf die Betriebsdauer von Festplatten Wissensdokumentation in befragten Unternehmen HD Temperatur und Fehlerrate Untersuchung im Reinraum Prinzip eines Failover-Systems 3 Tabellenverzeichnis Tabelle Nr. 6-1 7-1 8-1 10-1 Bezeichnung Symptome für Datenfehler Lebenserwartung von Speichermedien Aufbewahrungsfristen nach HGB Erfolgschancen der Datenrettung 4 Einführung Quelle: Schiffhauer (2005b), S. 89 Abbildung 4-1: In Diskettenboxen archiviert Ulrich von Bülow das Werk Thomas Strittmatters Im derzeitigen Informationszeitalter[2] übersteigt der Wert von auf Speichersystemen abgelegten Informationen bei weitem den monetären Wert der Systeme selbst[3]. Es existieren Geschäftsmodelle, wie z.B. Suchmaschinen, die alleine auf der Speicherung und Verarbeitung von elektronisch gespeicherten Informationen beruhen. Auch die Speicherung des kulturellen und historischen Wissens einer Gesellschaft schreitet immer weiter in Richtung digitaler Medien fort[4]. Während sich der Datenverlust von Unternehmensdaten meistens noch in Zahlen ausdrücken lässt[5], ist dies bei Kulturgütern kaum mehr möglich[3]. Die zur Speicherung der Informationen verwendeten Datenträger besitzen große Unterschiede in der jeweiligen Lebenserwartung[6]. Zusammen mit der Vielzahl an Möglichkeiten, durch die ein Datenverlust entstehen kann[7], 2 Abbildungsverzeichnis 4 Datenrettung_auf_Speichersystemen ergibt sich ein großer Bedarf an Methoden der Datenrettung. Diese Fallstudie gibt einen allgemeinen Überblick aktueller Methoden und Grenzen der Rettung verloren gegangener Daten. Dabei betrachtet sie neben vor allem aus finanziellen Gründen überwiegend Unternehmen und Institutionen verfügbaren Methoden auch solche für den privaten Anwender. Im Rahmen dieser Fallstudie ist ein umfassender Überblick aller für Unternehmen und Privatanwender verfügbaren Programme und Vorgehensweisen auf Grund der vorhandenen Quantität nicht möglich. Sie beschränkt sich daher auf die Betrachtung ausgewählter Tools und Methoden, die sich auf dem Gebiet der Datenrettung bewährt haben. Als Kriterium wird die Verwendung durch führende professionelle Datenretter herangezogen, zu denen zum Beispiel Attingo, Kroll Ontrack und Kuert gehören. Nach der Klärung begrifflicher Grundlagen geht diese Fallstudie auf die Ursachen für Datenverluste ein und betrachtet im Anschluss die Lebenserwartung aktueller Datenspeichersysteme. Im Folgenden wird nach der Darstellung der Motivation für die Rettung verloren gegangener Daten, sowohl auf die für das private Umfeld als auch die für Unternehmen möglichen Methoden der Datenrettung eingegangen. Nachdem die Grenzen der Datenrettung dargestellt wurden, werden Strategien zur Vermeidung von Datenverlust vorgestellt. Abschließend werden die gewonnenen Erkenntnisse zusammengefasst und ein Ausblick auf zukünftige Entwicklungen gegeben. 5 Begriffsdefinition 5.1 Daten Um Datenrettung verstehen zu können, bedarf es einer Definition des Begriffs Daten. Daten wird in dieser Fallstudie im Sinne der ISO/IEC 2382-1 verwendet. Sie beschreibt Daten als Gebilde von Zeichen zur Darstellung von Informationen[8]. Diese Gebilde werden in der Form von strukturlosen Dateien oder in strukturierten Datenbankendateien gespeichert. Die Dateivarianten reichen von einfachen Textdateien über Bild-, Ton- und Video-Dateien bis hin zu umfangreichen Dateien eines Datenbankmanagementsystems. Solche Datenbanken können betriebs- und finanzwirtschaftliche Daten eines Unternehmens enthalten oder auch einen Wissensspeicher repräsentieren, wie zum Beispiel die Datenbank hinter dem winfwiki. Im gleichen Umfang vielfältig sind die in den Dateien oder Datenbanken gespeicherten Informationen. Sie reichen von der an einem Computer verfassten Einkaufsliste bis hin zu den Archiven der deutschen Nationalbibliothek. Dieses Spektrum an Informationen verdeutlicht auch die unterschiedliche Qualität eines Datenverlustes und der damit verbundenen Notwendigkeit einer Datenrettung. 5.2 Speichersysteme Die in Dateien oder Datenbanken gespeicherten Informationen werden auf physischen Datenträgern abgelegt. Diese Datenträger werden als Speichersysteme bezeichnet. Diese Fallstudie beschäftigt sich mit aktuellen Speichersystemen. Historische Systeme, wie zum Beispiel Lochkarten und Disketten werden wegen ihrer vernachlässigbaren Bedeutung somit nicht besprochen. Aktuelle Speichersysteme lassen sich unter anderem nach dem Medium unterscheiden, das die Daten speichert. Als Datenträgermedien werden in dieser Fallstudie optische Datenträger (z.B. CDs und DVDs in ihren beschreibbaren Formaten), magnetische Datenträger (z.B. Bandlaufwerke und Festplatten) sowie elektronische Datenträger (z.B. USB-Sticks, Chipkarten) betrachtet. Unabhängig vom verwendeten Medium werden die Dateien in einem sie ordnenden Dateisystem verwaltet, das ebenfalls auf den Datenträgern abgelegt ist. Diese Dateisysteme enthalten Datenstrukturen, in denen neben dem 4 Einführung 5 Datenrettung_auf_Speichersystemen Namen der Datei und weiteren Attributen auch deren Position auf dem Datenträger gespeichert sind. Diese Datenstrukturen haben in ihrer ursprünglichen Art Tabellenform und werden daher auch FAT (File Allocation Table) genannt[9]. Je nach verwendetem Medium und dem darauf aufbauenden Dateisystem werden die Daten nicht am Stück, sondern in einzelnen Fragmenten (auch Segmenten, Blöcken, oder Clustern) abgelegt. Dies kann dazu führen, dass eine einzelne Datei über weite Bereiche des Datenträgers verteilt abgespeichert ist. Man spricht dann von einer Fragmentierung der Datei bzw. des Datenträgers. 5.3 Abgrenzung der Begriffe Backup, Restore, Recovery In Anlehnung an: Düsing; Jach-Reinke (1999), S. 140 Abbildung 5-1: Drei Komponenten einer Backup Strategie Die drei in Abbildung 5-1 genannten Begriffe Backup, Restore und Recovery lassen sich mit Datensicherung, Datenwiederherstellung und Datenrettung übersetzen. 5.3.1 Backup Bei der Datensicherung kann man grundsätzlich zwei Typen von Backups unterscheiden: physische und logische Backups. Das physische Backup sichert die physisch vom Betriebssystem auf dem Datenträger gespeicherten Dateien. Dies umfasst sowohl Dateien wie Dokumente, Bilder etc. als auch die Dateien des Datenbanksystems. Diese Backupmethode kann sowohl bei laufendem Datenbankmanagementsystem (online) als auch bei beendetem Datenbankmanagementsystem (offline) durchgeführt werden[10]. Bei einer Sicherung der so genannten Systemdateien des Betriebssystems[11] trifft man häufig auf die Schwierigkeit, dass diese Dateien vom Betriebssystem gegen Lesen, und damit gegen eine Sicherung, gesperrt sind. Als Beispiel für eine solche Datei sei die Windows-Registrierungsdatei aufgeführt. Backups, die solche Dateien einschließen sollen, können oftmals nur mit spezieller Software oder in einem Offline-Betrieb des gesamten Systems durchgeführt werden. Im Gegensatz zum physischen Backup kann das logische Backup nur bei laufender Anwendung bzw. laufender Datenbank durchgeführt werden. Es beschreibt den "Export von Teilen oder der gesamten Datenbank aus dem Datenbankmanagementsystem heraus."[12] 5.3.2 Restore Bei der Datenwiederherstellung können je nach Bedarf einzelne Dateien der Datensicherung wiederhergestellt werden oder auch alle gesicherten Dateien in einem Zug[10]. Anders als im allgemeinen Sprachgebrauch üblich bezieht Düsing die Begriffe vollständig und unvollständig auf die Vollständigkeit der Daten nach der Datenwiederherstellung und nicht auf den physischen Restore-Vorgang[12]. In diesem Sinne wird bei einem vollständigen physischen Restore lediglich die defekte Datendatei wiederhergestellt, wodurch die gesamten Daten wieder vollständig im System vorliegen. Beim unvollständigen Restore werden auch sämtliche noch intakten Dateien im System überschrieben. Diese können dabei unter Umständen bereits aktuellere Daten enthalten, als 5.2 Speichersysteme 6 Datenrettung_auf_Speichersystemen ihre gesicherten Versionen auf dem Backupmedium. Der logische Restore-Vorgang importiert die im logischen Backup-Vorgang exportierten Daten wieder in eine Datenbank. Auf diese Weise ist eine selektive Datenwiederherstellung möglich, wie zum Beispiel die Rücksicherung einzelner Datensätze. 5.3.3 Recovery Ist keine Datenrücksicherung mehr möglich, da kein Backup mit den gewünschten Daten existiert oder der Datenverlust zu schwerwiegend ist, muss eine Datenrettung durchgeführt werden. Die so genannte Instance Recovery (sofortige Datenrettung) ist eine besondere Form der Datenrettung. Wird zum Beispiel der Computer auf dem ein Datenbankmanagementsystem (DBMS) läuft, ungeplant neu gestartet, so wurden unter Umständen noch nicht alle Daten in der Datenbank abgelegt. Moderne Datenbankmanagementsysteme führen dafür ein so genanntes Logfile, in dem sämtliche Befehle aufgezeichnet werden, durch welche die Datenbank verändert wird. Die eigentliche Ausführung der Datenänderungen geschieht aus Geschwindigkeitsgründen häufig nur im Arbeitsspeicher des Rechners. Je nach DBMS wird in regelmäßigen Abständen die Datenbankdatei auf den neuesten Stand gebracht. Dabei versieht das DBMS die Datenbank mit einem sogenannten Checkpoint (Prüfpunkt), über den es feststellen kann, auf welchem Stand die Daten in der Datenbankdatei sind. Nach dem ungeplanten Neustart des Rechners erkennt das DBMS, dass der Stand des Logfiles nicht mit dem der Datenbankdatei übereinstimmt und kann somit alle ausstehenden Datenänderungen erneut durchführen[13]. Ähnliche Strategien werden auch von so genannten ausfallsicheren Systemen verfolgt, bei denen im Fehlerfall ein zweites System die Arbeit übernimmt(siehe Kapitel 11.2). Für den Fall, dass keine solchen Strategien existieren oder das Logfile der Datenbank ebenfalls beschädigt ist, kann ein Datenrettungsversuch des Mediums (Media Recovery) gestartet werden(siehe Kapitel 9). Im günstigsten Fall können die Daten vollständig wiederhergestellt werden. Im Falle eines Datenverlustes spricht man von einer unvollständigen Media Recovery. 5.4 Forensik Computerforensik ist das zentrale Element für gerichtsfeste Beweissicherung und fundierte Analyse verfügbaren Materials, in diesem Fall der Datenträger, im Zusammenhang mit verschiedenen Formen der Kriminalität. Der Computerforensikexperte ist der kompetente Partner im Kampf gegen die Zunahme und das Ausufern von Internet- und Wirtschaftskriminalität im vertraulichen Rahmen eines Unternehmens[14]. Da im kriminellen Umfeld häufig versucht wird Beweise zu vernichten, ist das Thema Datenrettung für die Wiederherstellung dieser Beweise von größter Bedeutung. 5.5 File-Header Nahezu jede Datei beginnt mit einem sogenannten Dateikopf(auch File-Header, Signatur). In diesem Header sind Metadaten der Datei enthalten. Eine Bilddatei enthält in ihrem Header beispielsweise Daten über die Anzahl der Farben, deren Zusammensetzung und die Größe des Bildes[15]. Eine Audiodatei enthält in ihrem Header Daten wie die Länge der Datei, die Anzahl der Kanäle (z.B. Mono oder Stereo) und die Abtastrate[16] der Audiodaten. Nicht nur speziell für diese Dateien entwickelte Programme müssen die Datei anhand ihrer Metadaten als Datei eines speziellen Typs erkennen können. Diese Daten sind auch für eine Datenrettung bzw. -wiederherstellung nützlich und teils unentbehrlich. 5.3.2 Restore 7 Datenrettung_auf_Speichersystemen 5.6 Carving Tools Carving Tools, auch File-Carver (von engl. carve für schneiden) genannt, dienen zum zusammenfügen von Dateien, zu denen der entsprechende Eintrag in der File Allocation Table (FAT) verloren gegangen ist. Carving Tools basieren auf einfachen forensischen Grundsätzen. Sie kleben zerstückelte (zerschnittene) Dateien wieder zusammen und kopieren deren Daten in eine neue, wieder lesbare, Datei. Dabei profitieren die Programme davon, dass die meisten Dateitypen, beispielsweise das Bildformat *.jpg, über eine Signatur am Anfang und Ende der Daten verfügen, über die der Dateityp erkannt werden kann. *.jpg Dateien starten immer mit der hexadezimalen Zeichenfolge 0xffd8ffe00010, gefolgt vom eigentlichen Dateiinhalt mit den jeweiligen Bilddaten. Das Ende der Datei ist durch 0xffd9 markiert. Ein File-Carver schneidet nun die Datensegmente beginnend mit der Startkennzeichnung und endend mit der Endkenzeichnung aus dem Datenträger aus und rekonstruiert mit den dazwischen liegenden Daten die ursprüngliche Datei[17]. 6 Entstehung von Datenfehlern in Anlehnung an: Kroll Ontrack (2004), S. 2 Abbildung 6-1: Ursachen für Datenverlust Um die verschiedenen Methoden der Datenrettung untersuchen zu können, bedarf es zunächst eine Analyse der Ursachen für den Verlust von Daten. Abbildung 6-1 zeigt die fünf häufigsten Gründe in der Reihenfolge ihres Auftretens: • Hardwarefehler nehmen mit 59% den größten Anteil der Ursachen ein, • Anwenderfehler belegen mit mehr als einem Viertel den zweiten Platz, • Programm- oder Softwarefehler belegen inkl. Viren 13%, wovon ein Drittel alleine auf • Viren entfällt, weshalb diese gesondert behandelt werden. Schließlich gelangen • Umweltbedingungen mit 2% auf den letzten Platz. 6.1 Symptome Bevor auf die einzelnen Kategorien eingegangen wird, sollen zunächst typische Symptome aufgezeigt werden, die auf einen Datenverlust schließen lassen. Tabelle 6-1 stellt zwölf ausgewählte Anzeichen für Datenverlust dar, führt diese auf mögliche Ursachen zurück und teilt sie den oben genannten Kategorien zu. Die Tabelle hat keinen Anspruch auf Vollständigkeit, sondern dient zur Verdeutlichung einiger typischer Situationen, die im 5.6 Carving Tools 8 Datenrettung_auf_Speichersystemen Zusammenhang mit Datenverlust auftreten können. Tabelle 6-1: Symptome für Datenfehler Symptom Mögliche Ursache Kategorie Eine DVD-R lässt sich nicht mehr lesen. Die DVD wurde falsch gelagert. Hardwarefehler Festplatten sind aus einem RAID-Verbund verschwunden. RAID-Controller defekt. Hardwarefehler Die Festplatte klackert. Die Elektronik der Festplatte funktioniert nicht mehr einwandfrei. Hardwarefehler Die Festplatte dreht sich nicht mehr. Der Motor der Festplatte ist ausgefallen. Hardwarefehler Die Festplatte gibt klingelnde oder pfeifende Geräusche von sich. Die Festplatte hat einen Headcrash erlitten, bei dem wenigstens einer der Köpfe auf dem Datenträger aufgesetzt hat. Hardwarefehler Das Betriebssystem startet nicht mehr. Es erscheint die Fehlermeldung "Kein System gefunden." Der Datenträger wurde formatiert und/oder partitioniert. Anwenderfehler Eine Datei oder ein Verzeichnis kann nicht mehr gefunden werden. Die Datei oder das Verzeichnis wurden gelöscht. Anwenderfehler Einige Programme lassen sich nicht mehr starten. Das System wurde neu installiert. Anwenderfehler Das Betriebssystem will einen gerade eingesteckten USB-Stick neu formatieren, der vorher noch funktioniert hat. Der USB-Stick wurde zuvor aus seinem Steckplatz entfernt, während das Betriebssystem die FAT geschrieben hat. Anwenderfehler Dateien werden nur noch mit einer Größe von 0 Bytes angezeigt. Softwarefehler im Betriebssystem.[18][19] Programmfehler Ein Dokument wird nicht mehr korrekt dargestellt. Ein Virenscanner hat versucht, das Dokument Viren von einem Virus zu befreien. Die Festplatte riecht verbrannt oder die Chips sind schwarz. Es ist eine Überspannung aufgetreten. Umweltbedingungen 6.2 Hardwarefehler Abbildung 6-1 ist zu entnehmen, dass Hardwarefehler mit 59% aller Datenverluste das größte Risiko darstellen. Es können verschiedene Arten an Hardwaredefekten unterschieden werden, die im Folgenden erläutert werden. 6.1 Symptome 9 Datenrettung_auf_Speichersystemen 6.2.1 Mechanische Beschädigungen Quelle: Attingo (2009), s. p. Quelle: Attingo (2009), s. p. Quelle: Attingo (2009), s. p. Abbildung 6-3: Mechanisch Abbildung 6-4: Festplatte mit Abbildung 6-5: Festplatte mit beschädigter zerstörte Festplatte Headcrash Metallbeschichtung Auf den Abbildungen 6-3 bis 6-5 sind einige häufige Ursachen für eine Mechanische Beschädigung abgebildet. Dabei gibt es bei allen drei Fehlern eine Chance auf Datenrettung: • Mechanisch zerstörte Festplatte • Festplatte mit Headcrash • Festplatte mit beschädigter Metallbeschichtung 6.2.2 Erschütterungen Erschütterungen können durch verschiedene Umstände auftreten. Gerade in Zeiten in denen Notebooks und Externe Festplatten immer verbreiteter sind, ist davon auszugehen, dass die Speichermedien verstärkt durch einen Sturz erschüttert werden. Die Konsequenzen aus einem Sturz können unter anderem ein Headcrash sein, da der Schreib- und Lesekopf durch die Erschütterung kurzfristig auf der Platte aufsetzt und so den auf Abbildung 6-4 gezeigten Ring erzeugt. Darüber hinaus können Beschädigungen wie auf Abbildung 6-3 nur durch Gewaltanwendung erzeugt werden. Bei einer Festplatte, bei der die einzelnen Zylinder gebrochen sind, können von den vorhandenen Teilen immer noch Daten wiederhergestellt werden. Nähere Informationen zu Wiederherstellungsmaßnahmen können Kapitel 9 entnommen werden. Ob eine solche Zerstörung dabei mit Absicht oder versehentlich durch einen Unfall erzeugt wurde spielt für die Datenrettungsexperten keine Rolle. 6.2.3 Stromausfall Ein Stromausfall birgt die Gefahr eines Headcrashs. Wird genau in dem Moment auf die Festplatte zugegriffen, in der der Strom ausfällt, kann der Schreib- und Lesekopf auf die Festplatte fallen, während diese sich noch dreht. Damit können wie auf Abbildung 6-4 gezeigte typische Spuren eines Headcrashs entstehen. Der Schreib- und Lesekopf hat einen Ring auf den Datenträger gekratzt. In diesem Bereich ist dadurch die magnetische Beschichtung beschädigt worden, die die Daten enthält. In Serverräumen werden klassisch USVs eingesetzt um im Falle eines Stromausfalls sicherzustellen, dass Schreib- und Lesebefehle sauber abgebrochen und das System problemlos heruntergefahren werden kann. 6.2.4 Nutzungsgrad Wie in Abbildung 6-1 dargestellt, ist eine häufige Ursache für Datenverluste die technische Fehlfunktion der Hardware. Dabei unterscheiden wir in diesem Kapitel zwischen der zeitlichen Alterung und der Alterung durch 6.2.1 Mechanische Beschädigungen 10 Datenrettung_auf_Speichersystemen die eigentliche Nutzung. Dabei stellt sich auch die Frage wie Datenfehler entstehen, wenn das Medium, beispielsweise eine Festplatte, nicht genutzt wird. Auf der anderen Seite stellt eine große Laufzeit der Hardware ebenfalls Ansprüche an hohe Hardwarequalität. Dabei kommt es gerade bei langen Laufzeiten verstärkt zu Fehlern. Die Fehlerwahrscheinlichkeit steigt in beiden Fällen. Dabei ist zu betrachten, nach welchen Laufzeiten und ab welchem Alter verstärkt Fehler zu beobachten sind und bis zu welcher Laufzeit bzw. welchem Alter eine bedenkenlose Nutzung empfehlenswert ist (siehe Kapitel 7). • Alterung Quelle: Wells (2008), S.83 Abbildung 6-6: DVD-R mit defekter Randversiegelung Bei optischen Datenträgern lassen sich vor allem drei Varianten der Alterung unterscheiden. Die beiden häufigsten Arten resultieren aus der Beschädigung der reflektierenden metallischen Schicht. Die erste Variante stellt sich in Form von Löchern ein, die wie durch den Laser gebrannt aussehen. Die zweite Alterserscheinung umfasst die großflächige Ablösung der Metallschicht. Als dritte Alterungsvariante existiert das Eindringen von Luft oder Feuchtigkeit am Rand des optischen Mediums, was aus unzureichender Versiegelung der einzelnen Schichten resultiert[20]. • Laufzeit Wie Fehler durch lange Laufzeit vermieden werden können wird im Kapitel 11.3.2 beschrieben. Generell kommt es bei Gebrauchsgegenständen bei häufigem und permanenten Gebraucht verstärkt zu Abnutzungserscheinungen. Dies schließt Datenträger nicht aus. Damit kann davon ausgegangen werden, dass umso mehr Datenfehler auftreten, je länger die Laufzeit eines Mediums ist. 6.2.5 Weitere technische Fehlerquellen Als mögliche weitere Fehlerquelle kommt das Versagen des Festplattensteuergerätes (Controller) durch Überhitzung in Frage. Ein solcher Fall tritt dann selten als Einzelfall auf, da die Festplatten in großen Chargen produziert werden und sie somit ein annähernd gleiches Fehlverhalten zeigen. Sollte sich ein Schreib- und Lesekopf in seiner Ruheposition verklemmen oder sollte dieser Aufgrund von Umwelteinflüssen festgerostet sein, lässt sich dadurch nicht unbedingt auf Datenfehler schließen. Nur weil die Festplatte technisch nicht mehr in der Lage ist die vorhandenen Daten zu lesen, ist nicht zwangsläufig ein Datenverlust eingetreten. Ein solches Laufwerk mit defekter Mechanik und unbeschädigten Daten sollte Spezialisten übergeben werden. Sie sind in der Lage, die auf der Festplatte vorhandenen Daten wieder zu extrahieren und so wieder nutzbar zu machen. 6.2.4 Nutzungsgrad 11 Datenrettung_auf_Speichersystemen Auch weitere außerhalb der eigentlichen Speichermedien befindliche Komponenten können für einen Datenverlust verantwortlich sein. Dazu zählen zum Beispiel eine defekte Netzwerkkarte, ein defekter RAM-Baustein im Arbeitsspeicher des Rechners oder ein defektes oder schlecht abgeschirmtes Verbindungskabel im Rechner. Solche Defekte bringen häufig schleichenden Datenverlust mit sich, da teilweise nur einzelne Bits in den Dateien den falschen Wert aufweisen[21]. 6.3 Anwenderfehler Eine weitere häufige Ursache für Datenverluste, ist der Anwender selber. So ist ein Anwenderfehler die zweit häufigste Ursache für verlorene oder beschädigte Daten. 26% aller Datenverluste sind auf Anwenderfehler zurückzuführen. Dazu zählt insbesondere das versehentliche Löschen von Dateien durch Formatierung oder durch Ersetzen der aktuellen Datei durch eine ältere Version(siehe Abbildung 6-1). Ebenfalls bringt die gemeinsame Bearbeitung von Dateien auf Netzlaufwerken die Gefahr mit sich Dateien zu beschädigen. Da in solchen Situationen mehrere Personen gleichzeitig auf die Datei zugreifen wollen, können die Bearbeitungen sich gegenseitig beeinflussen. Als Beispiel sei eine Datei zur Terminplanung oder Anmeldung zu einem Seminar oder einer Veranstaltung genannt, bei der sich alle Mitarbeiter einer Abteilung eintragen müssen. Datenbankmanagementsysteme versuchen solchen Problemen durch geeignete Techniken (z.B. Sperren eines Datensatzes während der Bearbeitung) aus dem Weg zu gehen. Neben diesen nachvollziehbaren Gründen gibt es ebenfalls Fälle, die Aufgrund ihrer Kuriosität erwähnenswert sind. Kroll Ontrack kürt jährlich diese Fälle in einer Top-10 Liste. Im Jahr 2008 sind darin beispielsweise die folgenden Ursachen vertreten[22]: • zerbissene SD Karte durch ein Kleinkind • Laptop im Ofen zusammen mit einem Hähnchen gebacken • Staubsauger löst Speicherteile von der USB-Platine In diesen drei Fällen konnten jeweils alle Daten wieder hergestellt werden. 6.4 Software- und Programmfehler Zudem kann es auch zu Logikfehlern innerhalb der Verzeichnisstruktur kommen. Geht das vorliegende Dateiverzeichnis beispielsweise auf Grund eines falschen Eintrags von einer falschen Dateigröße aus, so werden die Daten beim Lesen oder Schreiben abgeschnitten, obwohl die Daten technisch korrekt vorliegen. Häufig tritt diese Ursache in Verwendung virtueller RAID-Systeme mit dynamischer Speicherverwaltung auf. Diese verkleinern im Fehlerfall das RAID-Segment und bereits geschriebene Daten fallen aus dem entsprechenden Bereich heraus[23]. Programmierfehler in Anwendungen sind ein weiterer Grund, weshalb Daten nicht korrekt geschrieben werden können. So kann es zu so genannten Buffer-Overflows kommen, sobald eine zu speichernde Variable mehr Speicher benötigt als ihr zuvor zugewiesen wurde. Eine weitere Möglichkeit ist das Überschreiben einer Arraygrenze (eine begrenzte Liste mit Variablen) und auch die Verwendung von Zeigern auf bereits durch andere Anwendungen belegten Speicheradressen im RAM. 6.2.5 Weitere technische Fehlerquellen 12 Datenrettung_auf_Speichersystemen 6.5 Viren Unter den Bedrohungen durch Software, nehmen die Viren(von lat. virus für Gift) ein eigenes Themenfeld ein. In dieser Fallstudie werden Viren als Computerprogramme definiert, die sich mit dem Ziel sich selbst weiter zu verbreiten in ein Computersystem einschleichen. Eine Unterscheidung zwischen den einzelnen Kategorien dieser Programme (Viren, Würmer, trojanische Pferde) wird hier nicht vorgenommen. Bei allen anderen Ursachen für Datenverlust tritt dieser nicht mit Vorsatz ein. Im Gegensatz dazu wird bei einigen Typen von Viren ein Datenverlust explizit angestrebt. Diese Programme werden auch Malware (von engl. Malicious Software für bösartige Software) genannt. Die kes Sicherheitsstudie aus dem Jahr 2006 beziffert die bei den 163 befragten Unternehmen aufgetretenen durchschnittlichen Kosten einer Viren-Infektion auf 18.000?[24]. Dabei ist zu beachten, dass bei den befragten Unternehmen durchschnittlich 38 solcher Vorfälle jährlich auftraten. Somit ist der hierdurch entstehende Schaden nicht zu vernachlässigen. 6.5.1 Viren ohne Auswirkung auf die Daten Ein Großteil der Viren schädigt jedoch die Daten nicht direkt. Stattdessen entsteht der Schaden durch eine Blockierung des Systems. Das Replikationsziel der Viren lastet die verfügbaren Ressourcen so stark aus, dass eine produktive Arbeit mit dem System nicht mehr möglich ist. Ein Datenverlust kann in diesem Fall zum Beispiel dadurch auftreten, dass die Datenverbindung bei einer über das Internet angeschlossenen Datenbank zusammenbricht. Die in diesem Moment noch nicht in der Datenbank abgelegten Informationen gehen verloren. Da das Internet auch aus anderen Gründen nicht zur Verfügung stehen kann, ist die entsprechende Software in der Regel auf den Zusammenbruch der Verbindung vorbereitet. Somit wird das Risiko eines Datenverlustes über die beschriebenen Viren im Normalfall minimiert. 6.5.2 Viren mit Auswirkung auf die Daten Viren als Grund für einen Datenverlust[25] existieren. Dieser basiert in den meisten Fällen darauf, dass die Viren in ihrem Streben sich zu verbreiten Programme derart überschreiben oder modifizieren, dass diese nun als Hauptaufgabe die Verbreitung der Viren übernehmen. Dies kann als Nebeneffekt dazu führen, dass die von diesen Programmen erzeugten Dateien nicht mehr korrekt abgespeichert werden. Das Ziel eines Datenverlustes kann auch als Hauptzweck des Virus auftreten. So ersetzt der MIX-1 Virus auszudruckende Buchstaben durch andere Buchstaben. Der Text "Sehr geehrte Damen und Herren" wird zum Beispiel durch "Rahr gaahrta Deman ond Harran" ersetzt. Dies führt zumindest für eine Verstimmung der Empfänger, sollte ein solcher Brief ungeprüft verschickt werden[25]. Viren können in besonderen Fällen dazu eingesetzt werden, Hardware zu zerstören. Eine Möglichkeit ist die gezielte Übertaktung einzelner Komponenten des Rechnersystems, was über eine Überhitzung zur physischen Zerstörung der Komponente führen kann. Eine andere Möglichkeit ist die Ausnutzung nicht offiziell dokumentierter Befehle für Festplatten, die die Köpfe in nicht erlaubte Positionen bewegen und so die Hardware zerstören. Die Entwickler solcher Viren sehen sich der Schwierigkeit der heterogenen Hardwareverbreitung ausgesetzt. So unterscheiden sich zum Beispiel bereits die auf dem Markt befindlichen technischen Eigenschaften von Prozessoren oder Festplatten immens. Von daher lohnt es sich für einen Entwickler in der Regel nicht, einen solchen Virus für eine allgemeine Verbreitung zu entwickeln. Da der Anteil gezielter Angriffe auf einige Firmen sehr stark ist[24], besteht hier oftmals auch durch Vertrauensbruch Kenntnis der eingesetzten Hardware. Dies führt zur gezielten Entwicklung solcher Viren mit dem Ziel ein speziell ausgewähltes Unternehmen anzugreifen. 6.5 Viren 13 Datenrettung_auf_Speichersystemen Abschließend seien noch die Viren DATACRIME-II und Michelangelo genannt, die die auf einem Speichermedium befindlichen Daten durch eine Zerstörung der FAT unlesbar machen, bzw. bestimmte Bereiche der Speichermedien mit zufälligen Daten überschreiben[25]. Gerade die letzte Variante der Überschreibung mit zufälligen Daten ist aus der Sicht der Datenrettung besonders schwierig. Diese Daten können in den meisten Fällen ohne eine Sicherheitskopie nicht wiederhergestellt werden. 6.6 Umweltbedingungen 6.6.1 Hitze Quelle: Attingo (2009), s. p. Abbildung 6-2: Verbrannte Fesplatte Daten und die Speichersysteme auf denen sie gehalten werden, können wie bereits beschrieben durch interne Fehler beschädigt werden oder komplett verloren gehen. Seltener, dafür aber meist verheerender ist der Einfluss durch die Umwelt oder höhere Gewalt auf die Speichersysteme. Feuer spielt nicht nur eine direkte Rolle durch Hitzeeinwirkung sondern auch durch den dabei entstehenden Rauch. In einem Serverraum kann der Rauch durch die Klimaanlage abgesaugt werden. Ursachen für Brände können durchgeschmorte Kabel sein[26]. 6.6.2 Blitzschlag und Stromausfälle Speichersysteme können, zum Beispiel durch Blitzschläge, Überspannungen ausgesetzt werden. Werden diese nicht durch Sicherungen oder USVs abgefangen, können sie neben der möglichen Zerstörung der Hardware für fehlerhafte Schreibvorgänge sorgen, indem die elektrisch übertragene Bitfolge verändert wird. Stromausfälle im Schreibprozess auf Speichermedien sorgen ebenfalls für den Totalverlust der noch zu schreibenden Daten. Dies kann bis zu einem Headcrash der Lese- und Schreibköpfe einer Festplatte führen. In Serversystemen wird in der Regel der sofortige Stromausfall durch USVs verhindert, welche dem System im Durchschnitt 20 Minuten Laufzeit gewähren, bevor es heruntergefahren werden muss. 6.6.3 Feuchtigkeit Hochwasser oder Sprinkleranlagen stellen eine weitere Gefahr auf den Datenbestand dar. Komplette Rechenzentren können durch Wasserschäden ausfallen. Wasserschäden im privaten Umfeld resultieren meist aus der Unachtsamkeit eines Anwenders. Offene Flaschen oder volle Gläser neben dem Notebook sind schnell umgestoßen. Der Defekt der Elektronik ist eine mögliche Folge. 6.5.2 Viren mit Auswirkung auf die Daten 14 Datenrettung_auf_Speichersystemen 7 Lebenserwartung von aktuellen Speichersystemen Nachdem verschiedene Gründe für die Entstehung von Datenfehlern angesprochen wurden, stellt sich nun die Frage wie lange die verwendeten Medien ihre auf ihnen gespeicherten Daten speichern können, bevor die Daten ganz oder teilweise nicht mehr lesbar sind. Nach einer Studie aus dem Jahr 2003 werden jährlich zwischen 3,4 und 5,6 Exabytes[27] an Daten gespeichert[28]. Bei diesen Datenmengen wird die Notwendigkeit verlässlicher Speichermedien sehr deutlich. Obwohl bereits diverse Studien[29] zur Haltbarkeit von Speichermedien erstellt wurden, wird vor allem im Bereich der optischen Datenspeicherung die geringe Verfügbarkeit von Vergleichsdaten beklagt[30]. Die meisten verfügbaren Daten kämen von den Herstellern der entsprechenden Speichermedien selbst. Sie basierten meistens auf der Extrapolation von Untersuchungen geringen Umfangs zu beschleunigten Alterungsbedingungen[30]. Einer vergleichbaren Herausforderung sieht man sich bei der Ermittlung der entsprechenden Daten für andere Formen von Speichermedien gegenübergestellt. Im Folgenden werden die Lebenserwartungen der gebräuchlichsten Datenträger vorgestellt. 7.1 Optische Datenträger Wenngleich die Datenspeicherung auf optischen Medien nur einen relativ geringen Anteil am Gesamtvolumen der gespeicherten Daten hat[28], ist deren Relevanz nicht unerheblich. Die Langzeitarchivierung auf solchen Datenträgern ist für Bibliotheken wie zum Beispiel die Deutsche Nationalbibliothek von großer Bedeutung[31]. Ebenso erfolgt bei Privatpersonen die Archivierung in der Regel auf optischen Datenträgern und nur selten auf Magnetbändern. Die meisten Aussagen zur Haltbarkeit von optischen Datenträgern wie CDs und DVDs, vor allem in den durch den Anwender selbst beschreibbaren Formaten, kommen überwiegend von Herstellerseite. So ist bei ihnen von einer Lebenserwartung zwischen 10 und 100 Jahren die Rede[32]. Bereits durchgeführte Studien gehen daher häufig von einer anderen Seite an das Thema Lebenserwartung heran. Sie prüfen ebenfalls unter schlechten Bedingungen (beschleunigte Alterung), welche Umweltfaktoren besonders schädlich das jeweilige Material beeinflussen. Daraus schließen sie im Gegensatz zu den Herstellern nicht auf eine absolute Haltbarkeit, sondern auf die relative Haltbarkeit der einzelnen optischen Speichermedien zueinander[33]. Klassische CD-R-Medien können nach diesen Untersuchungen eine relativ bessere Haltbarkeit aufweisen, als zum Beispiel die mit mehr Daten bespielbaren DVD-Rs. Als Ergebnis lässt sich zusammenfassen, dass vor allem ein optimaler Umgang und eine entsprechende Lagerung die Haltbarkeit der optischen Datenträger entscheidend beeinflusst. Hierzu gehören [34] • die Vermeidung der Einstrahlung von direktem Sonnelicht, • einer Luftfeuchtigkeit zwischen 20% bis 50% und einer Temperatur um 20 Grad Celsius, sowie • Vermeidung von der Verwendung von Etiketten für die Beschriftung der Medien. 7.2 Magnetische Datenträger Magnetische Datenträger sind mit weit über 90% Gesamtanteil dasjenige Medium, welches am häufigsten für die Datenaufbewahrung verwendet wird[28]. Daher wird für die Rettung der Daten dieser Medien der größte Aufwand getrieben[35]. 7 Lebenserwartung von aktuellen Speichersystemen 15 Datenrettung_auf_Speichersystemen 7.2.1 Magnetbänder Gerade im Umfeld von Unternehmen werden Datensicherungen vor allem auf Magnetbändern durchgeführt[36]. Da ihnen somit die Aufgabe der Langzeitarchivierung zufällt, ist die Betrachtung dieser Medien besonders wichtig. Die Lebenszeit der Magnetbänder hängt vor allem von zwei Faktoren ab: der Zusammensetzung des Bandmaterials und der späteren Lagerung der Bänder. Bei der Zusammensetzung gibt es sowohl Unterschiede im verwendeten Trägermaterial, der darauf aufgetragenen magnetischen Beschichtung und des Klebstoffes, der diese beiden Schichten verbindet. Bänder mit Trägermaterial aus Polyester sind zum Beispiel haltbarer als solche aus Celluloseacetat. Doch vor allem der die beiden Schichten verbindende Klebstoff hat entscheidenden Einfluss auf die Haltbarkeit des Bandes[37]. Die Lagerung der Bänder kann die Lebensdauer entscheidend beeinflussen. Während optimal gelagerte Bänder bis zu 50 Jahre haltbar sind[38], kann sich die Haltbarkeit bei unsachgemäßer Lagerung bis auf unter 10 Jahre reduzieren[39]. Die ISO-Norm 18923 beschreibt die optimalen Lagerbedingungen mit einem Temperaturbereich zwischen 11 und 23 Grad Celsius bei einer relativen Luftfeuchtigkeit zwischen 20% und 50%[40]. 7.2.2 Festplatten Festplatten werden für die Datenspeicherung in nahezu allen Computersystemen verwendet. Sie enthalten Datenbanken mit den aktuellen unternehmenskritischen Daten. Bereits bei durchschnittlichen Unternehmen haben die auf den Festplatten gespeicherten Daten einen Wert von bis zu 50% des Unternehmenswertes[41] Bei Unternehmen wie dem Suchmaschinenbetreiber Google, dessen Geschäftsmodell alleine auf den auf Festplatten gespeicherten Daten basiert, ist die Verfügbarkeit der Datenbank überlebensnotwendig. Daher wundert es nicht, dass gerade solche Unternehmen die Lebenserwartung von Festplatten als Datenträger in eigenen Studien untersuchen lassen[42]. In Anlehnung an: Schroeder (2006), Kap. 4.2 Abbildung 7-1: Ausfallraten bezogen auf die Betriebsdauer von Festplatten Durch die Wichtigkeit dieses Speichermediums wurde die Überwachung der Korrektheit der Datenspeicherung auf der Festplatte in die Hardware selbst integriert. Die SMART Technologie (Self Monitoring, Analysis and Reporting Technology)[43] wurde bereits 1992 von IBM und Compaq ins Leben gerufen. Ziel war es eine vorausschauende Fehleranalysemethode zu erstellen, die möglichst frühzeitig vor einem anstehenden Datenverlust warnt. Aus der Entwicklung solcher Software lässt sich somit schließen, dass Festplatten ihren bevorstehenden Ausfall ankündigen. Eine von Nisha Talagala und David Patterson durchgeführte Untersuchung kam zu der Erkenntnis, dass vor dem eigentlichen Ausfall sich die von SMART angezeigten Fehler häufen[44]. Allerdings gibt es auch unvorhersehbare Fehler, wie zum Beispiel Spannungsspitzen, die die Elektronik der Laufwerke zerstören können[45]. Hersteller geben typische Lebenserwartungen von 1 Mio. Stunden MTBF (Mean Time Between Failure) für ihre Festplatten an[46]. Bei durchgehender Nutzung würde dies einer Lebenserwartung von über 100 Jahren entsprechen, bis im Durchschnitt ein Fehler auftritt. Die bisher durchgeführten Studien zeigen jedoch eine 7.2.1 Magnetbänder 16 Datenrettung_auf_Speichersystemen wesentliche höhere Austauschrate[47]. Dabei ist zu beobachten, dass die meisten Fehler entweder innerhalb des ersten Jahres auftreten, sich dann erst wieder nach einer Betriebsdauer von 5 bis 7 Jahren häufen. Dabei ist die Intensität der Nutzung der Festplatte nicht entscheidend[48]. Eine mögliche Begründung ergibt sich aus der Es-überleben-nur-die-Stärksten - Theorie[48], wodurch sich Instabilitäten bei der Produktion schon bald nach Beginn der Benutzung zeigen. Die Studien kommen zu der Erkenntnis, dass Festplatten mit hoher Wahrscheinlichkeit bald nach dem Auftreten der ersten SMART-Fehler ausfallen[49]. Insgesamt ergibt sich eine Lebenserwartung von 2-5 Jahren, nach denen Festplatten ausgetauscht werden sollten[50]. 7.3 Elektronische Speichermedien Zu den elektronischen Speichermedien zählen 1. Der Arbeitsspeicher eines Computers 2. Chipkarten mit Mikroprozessoren 3. Flash-Speicher. Bei den drei aufgeführten Arten werden nur die Flash-Speicher zur gezielten Langzeitdatenspeicherung verwendet. 7.3.1 Arbeitsspeicher Der Vollständigkeit halber sei als Speichermedium der Arbeitsspeicher eines Computers aufgeführt. Obwohl dieser nicht zur Langzeitdatenhaltung geeignet ist, werden dennoch die eigentlichen Daten vor Ihrer Bearbeitung in den Arbeitsspeicher eines Computers geladen.[51]. Über die Lebenserwartung der Speicherchips selbst wird in den dazu gehörenden technischen Datenblättern keine Angaben gemacht[52]. Jedoch muss die momentan in ihnen gespeicherte Information je nach Typ alle 15µs-64ms aufgefrischt werden, da sie ansonsten verloren geht[53]. Eine Sonderform stellen die batteriegepufferten Speicherbausteine, die so genannten nonvolatile RAMs (NVRAM) dar. Diese werden zum Beispiel beim sogenannten BIOS verwendet, das das grundlegende Startprogramm eines Computers enthält. Die Lebensdauer der in ihnen gespeicherten Daten ist dabei durch die Batterielebensdauer begrenzt[54]. 7.3.2 Chipkarten mit Mikroprozessoren Chipkarten mit Mikroprozessoren werden in verschiedenen Ausprägungen verwendet. Die auf ihnen gespeicherten Informationen dienen zum Beispiel zur Gewährung von Zugangsrechten(Chipkarten mit Türöffnerfunktion), dem Nachweis bestehender Vertragsverhältnisse (Gesundheitskarte, Fahrausweis, SIM-Karte im Handy) oder auch zur Speicherung von und der Zugangsgewährung zu Bargeld(ec- oder Geldkarte). Verglichen mit auf sonstigen Datenträgern gespeicherten Daten ist der Verlust dieser Informationen durch Alterung vernachlässigbar, da die auf ihnen gespeicherten Informationen ebenfalls bei der kartenausgebenden Stelle vorliegen. Allenfalls bei Telefon- und Geldkarten kann dadurch ein finanzieller Verlust entstehen, der im Fall von Geldkarten auf 200? limitiert ist[55]. Die Lebenserwartung einer Chipkarte für die Zeiterfassung oder Zugangskontrolle wird mit 100.000 Schreibzyklen bzw. 10 Jahren Datenhaltung angegeben[56]. Diese Angabe lässt darauf schließen, dass das verwendete Speichermodul einen Flash-Speicher enthält. 7.2.2 Festplatten 17 Datenrettung_auf_Speichersystemen 7.3.3 Flash-Speicher Flash-Speicher werden zum Beispiel in USB-Sticks, Digitalkameras, PDAs und MP3-Playern verwendet[57]. Der Trend wächst, Flash-Speicher auch in Enterprise-Systemen zum Beispiel als schnelle Speichermedien für Logfiles oder sogar als Cache-Ersatz einzusetzen[58]. Obwohl Flash-Speicher ihre Daten beliebig lange speichern können und auch beliebig oft gelesen werden können, haben sie nur eine begrenzte Lebenserwartung. Das Beschreiben eines Flash-Speichers funktioniert nur nach vorherigem Löschen, das - wie ein Kamerablitz (Flash) - ganze Speicherbereiche auf einmal umfasst. Jeder Löschzyklus verringert die Lebenserwartung der einzelnen Speicherzellen. Insgesamt ergibt sich je nach Typ eine Lebenserwartung von 10.000, 100.000 oder bis zu 1 Millionen Löschzyklen[59]. Durch ausgeklügelte Speichertechniken und bis zu 50%iger Reservekapazität kommt ein Flash-Speicher dennoch auf eine durchschnittliche Lebenserwartung von fünf Jahren[60]. 7.4 Zusammenfassung Die sehr unterschiedlichen Lebenserwartungen der Speichermedien auch bei optimalen Bedingungen sind im Folgenden in Tabellenform zusammengefasst. Tabelle 7-1: Lebenserwartung von Speichermedien Durchschnittliche Lebenserwartung unter optimalen Bedingungen Speichermedium Optische Speichermedien (Standardqualität) 010 - 20 Jahre Optische Speichermedien (Archivqualität) 100 Jahre Magnetbänder 010 - 50 Jahre Festplatten 005 Jahre DRAM-Speicher ohne Angabe (ca. 15µs bis 64ms zur Datenhaltung) Chipkarten mit Microcontrollern 010 Jahre Flash-Speicher 005 Jahre Durch die sehr hohen Lebenserwartungen von Magnetbändern und optischen Speichermedien stellt sich neben der physisch machbaren Lebenserwartung auch die Frage, ob nach einer bestimmten Zeit noch technische Geräte und Programme existieren, die die Speichermedien lesen können. Die Aufbewahrung entsprechender Geräte über neue Gerätedimensionen hinweg und das Wissen über die zur Zeit der Datensicherung verwendeten Speicherformate stellt folglich eine zusätzliche Herausforderung da. Auf dieses Thema wird bei der Besprechung der Strategien zur Verhinderung von Datenverlusten in Kapitel 11 noch einmal detaillierter eingegangen. 8 Motivation der Datenrettung Die Motivation der Datenrettung lässt sich auf zwei wesentliche Aspekte zusammenfassen: • Wert von Informationen • damit verbundene Kosten Im Folgenden werden die damit verbundenen Themen näher betrachtet. 7.3.3 Flash-Speicher 18 Datenrettung_auf_Speichersystemen 8.1 Finanzielle Gründe Es gibt unterschiedliche Ursachen, aus denen eine gespeicherte Information einen finanziellen Wert darstellt. Im einfachsten Fall sei Tätigkeit die Eingabe der Informationen durch Mitarbeiter in ein System genannt. Der Vorgang des Eingebens stellt durch die Bezahlung des Mitarbeiters einen Wert dar: "Um das Wörterbuch der Brüder Grimm zu digitalisieren, tippten zwei Teams von je 20 Chinesen die 300 Millionen Zeichen ab"[61]. Auf der anderen Seite übertrifft der Wert der eingegebenen Information an sich den Wert der mit dem Vorgang des Eingebens verbundenen Arbeit bei weitem. Als verdeutlichendes Beispiel seien hier die Erfassung von Forschungsergebnissen von Firmen oder Universitäten und der Wert der Informationen in der Suchdatenbank von Google genannt. Bei solchen Datenquellen kommt eine Neuerfassung der Daten in der Regel nicht in Frage oder ist technisch unmöglich. Auch eine finanzielle Entschädigung durch eine Versicherung deckt nur in seltenen Fällen den entstandenen Schaden. Die Ursache dafür ist der nur schwer zu beziffernde Wert von Information. Versicherungen rechnen mit einem Wert von 1.000 ? je Megabyte Daten[62]. Die Motivation für eine Datenrettung liegt also darin, den monetären und ideellen Wert dieses immateriellen Vermögens (der Daten) wieder herzustellen. 8.2 Forensik Beim Kampf gegen die Internetkriminalität spielt die Datenrettung von vorsätzlich vernichteten oder beschädigten Datenträgern eine entscheidende Rolle. Nur mit Hilfe von forensischen Untersuchungen von Originalkopien oder Images[63] von Datenträgern sowie einer durchgängigen Protokollierung lässt sich ein beweiskräftiges Ergebnis erzielen.[64] Das Ziel dieser Untersuchungen ist es die Cyberkriminalität einzuschränken, indem die Täter mit den Methoden der Forensik überführt werden. Dabei werden die forensischen Untersuchungen durch den Einsatz von Carving Tools unterstützt. Die Methoden der Wiederherstellung werden im Kapitel 9 näher behandelt. 8.3 Spionage Ähnlich der Forensik wird auch bei der (Wirtschafts-)Spionage versucht auf Daten Zugriff zu erhalten, die bereits gelöscht wurden. Hierbei handelt es sich in der Regel um einen illegalen Akt, in dem Datenträger ausspioniert werden sollen. Dieser Versuch wird zum Beispiel bei beschädigten, zerstörten oder formatierten Datenträgern unternommen. Das Ziel liegt darin, wertvolle unternehmensspezifische Informationen zu erlangen. Dies kann bei der Unternehmenskommunikation eines konkurrierenden Unternehmens anfangen und endet bei der Auswertung alter Backups. Diese können sich auf Festplatten befinden die ausgemustert wurden, und vor oder nach der Verschrottung gekauft oder gestohlen wurden. Hierdurch will oftmals die Konkurrenz die auf diesen Medien verbliebenen Informationen retten, um daraus zu profitieren. Können zum Beispiel die Ertragslage des Unternehmens oder geplante Schritte ermittelt werden, kann dies einen entscheidenden strategischen Vorteil mit sich bringen. In solchen Fällen muss davon ausgegangen werden, dass der Wert der wiederhergestellten Informationen wesentlich höher ist als die Kosten der Datenrettung. 8.4 Vermeidung von Wissensverlust 8.1 Finanzielle Gründe 19 Datenrettung_auf_Speichersystemen In Anlehnung an: FiR (2001), S. 14 Abbildung 8-1: Wissensdokumentation in befragten Unternehmen Um die Schwere der Auswirkungen eines Wissensverlustes von Spezialwissen bei Unternehmen abschätzen zu können, wurde Ende 2001 eine Studie durch die RWTH Aachen durchgeführt. Sie untersuchte, in welcher Form das Wissen in den Unternehmen gespeichert und gesichert wird. Dazu wurde eine Umfrage an 152 Unternehmen verschickt. Die Rücklaufquote betrug ca 30 %[65]. Das FiR ermittelte daraus, dass der Großteil des Wissens in den Köpfen der Mitarbeiter gespeichert ist und nur ein geringer Teil in Dokumenten oder Datenbanken abgelegt wird. [66] Bei dem in den Köpfen der Mitarbeiter gespeichertem Wissen besteht die Gefahr des Know-How-Verlustes, sobald ein Mitarbeiter das Unternehmen verlässt. Darum versuchen Unternehmen verstärkt das Wissen in Wissensdatenbanken abzulegen. Die Motivation zur Datenrettung dieser Daten wird folglich hin zu diesen Datenbanken verschoben. Daraus folgt neben organisatorischen Überlegungen für die Unternehmen, dass der Teil des digital gespeicherten Wissens einer besonderen Schutzwürdigkeit unterliegt. Im Ernstfall eines Datenverlustes muss dieses Wissen wieder hergestellt werden. 8.5 Rechtliche Vorgaben Ein weiterer Aspekt sind die gesetzlichen Regelungen zur Sicherung von Daten. Die Motivation der Gesetzgebung liegt weniger in der Aufbewahrung von Wissen, als vielmehr in der Nachvollziehbarkeit der betriebs- und finanzwirtschaftlichen Prozesse der Unternehmen. Das deutsche HGB zielt zum Beispiel vor Allem auf Gläubigerschutz hin, was durch die im HGB verankerten Imparitäts-, Vorsichts- und Realisationsprinzipien deutlich wird[67]. So gibt der Gesetzgeber zum Beispiel vor, wie lange kaufmännische Dokumente aufgehoben werden müssen[68]. Dabei sieht das HGB zwei verschiedene Aufbewahrungsfristen vor: Tabelle 8-1: Aufbewahrungsfristen nach HGB 10 Jahre Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse[69], Lageberichte, Konzernabschlüsse, 8.4 Vermeidung von Wissensverlust 6 Jahre Alle Dokumente die nicht 10 Jahre aufbewahrt werden müssen. Dazu zählen 20 Datenrettung_auf_Speichersystemen Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen insbesondere Handelsbriefe und Arbeitsanweisungen und sonstigen Organisationsunterlagen[70]. Geschäftspapiere[72], bei denen die Darüber hinaus gilt dies auch für Belege für Buchungen in den vom elektronischen Varianten nicht Unternehmen zu führenden Büchern[71]. ausgeschlossen werden (z.B. Emails). Die Aufbewahrungsfrist beginnt mit dem Ende des betroffenen Kalenderjahres[73]. Für elektronische Datenspeicher werden die Anforderungen durch die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) geregelt. Aufgrund der gesetzlichen Vorgabe sind Unternehmen bestrebt diese Daten im Ernstfall zu retten. Die Motivation der Datenrettung durch die Unternehmen besteht hierbei in der Pflicht, diese Daten zur Verfügung stellen zu können. Neben den deutschen Gesetzen zu Datenaufbewahrungsfristen gibt es international weitere Vorschriften. Eine der bedeutendsten ist der SOX (Sarbanes-Oxley Act), der an Unternehmen besondere Anforderungen stellt, wenn sie an der US-amerikanischen Börse notiert sind. Diese Unternehmen müssen ein geeignetes Konzept zur Datensicherung ausweisen. Da SOX nicht zwischen inländischen und ausländischen Firmen unterscheidet, kann dies auch auf deutsche Firmen Auswirkungen haben. Einige der größten betroffenen Unternehmen in Deutschland sind DaimlerChrysler, E.ON, Deutsche Bank und SAP[74]. Da es weitreichende Auswirkungen auf das Geschäft in den USA haben kann den Vorschriften des SOX nicht nach zu kommen, setzen auch Unternehmen diese Vorgaben um, obwohl sie nicht an der US-Börse notiert und damit nicht dazu verpflichtet sind. Sie versprechen sich davon ein besseres Image bei Anlegern und ein gesteigertes Vertrauen in das Unternehmen am US-Markt. Ein Beispiel für ein solches Unternehmen ist die Bayer AG. 9 Methoden der Datenrettung Nach der Vorstellung der verschiedenen Argumente für die Datenrettung wird im Folgenden auf die Methoden der Datenrettung eingegangen. Verschiedene Speichermedien lassen sich meist nur mit unterschiedlichen Tools und Techniken bearbeiten und für eine Datenrettung präparieren. Viele Methoden sind aufwendig oder können nur unter äußerst sensiblen Umständen durchgeführt werden. 9.1 Selbst durchführbare Methoden Datenverluste im Privatbereich sind nicht selten. Endanwender beschäftigen sich weniger mit dem Schutz vor Verlusten und sind folglich weniger abgesichert. Allerdings muss nicht jeder Datenfehler oder technische Defekt zwangsläufig zum Totalverlust der auf dem Medium gespeicherten Daten führen. Es gibt zahlreiche Softwarelösungen im Bereich der Datenwiederherstellung, die den Anwender bei der Datenrettung unterstützen. Im Folgenden soll im Umfeld der Privatanwender überprüft werden, in wiefern kostenlose und professionelle Tools den Anwender bei der Datenrettung unterstützen können. 9.1.1 Kostenlose Tools Bei der Betrachtung kostenloser Tools beschränkt sich diese Fallstudie auf Tools, die unter einem Microsoft Betriebssystem ausgeführt werden können. • Datenrettung auf Flash-Speichern Flash-Speicher, wie SD-Karten oder auch Solid State Drives (zu dt. Festkörperlaufwerk), speichern Informationen in Arrays von Speicherzellen. Diese Arrays sind in Form eines Einzelchips implementiert. Es werden hierbei zwei Speichervarianten unterschieden, NAND- und NOR-Speicher, die sich durch Ihre Speichertechnik und ihre 8.5 Rechtliche Vorgaben 21 Datenrettung_auf_Speichersystemen Lebenserwartung unterscheiden. Größere Flash-Speichermedien, wie z.B. Solid State Drives mit 64GB Speicherplatz, bestehen aus mehreren NAND-Chips, auf denen die Daten verteilt gespeichert werden. Die Daten werden von dem Flash-Speicher-Controller nicht in im Klartext (hexadezimal) in den NAND-Speicher geschrieben, sondern in einer speziellen hexadezimalen Kodierung. Eine Eigenschaft von NAND-Speichern ist die auf Paging[75] basierende Schreib- bzw. Programmiertechnik. Unzugängliche Daten auf einem Flash-Speicher können mit Hilfe eines physischen Abbildes gerettet werden. Programme wie so genannte NAND-Reader sind in der Lage den Hex-Code zu entschlüsseln und Benutzerdaten wiederherzustellen. • Funktionsweise von Freeware-Tools auf Festplatten Privatanwender bemerken Datenverluste oftmals nicht sofort. Es werden beispielsweise Dateien vorzeitig gelöscht, die später doch noch einmal gebraucht werden. Wird ein Datenverlust bemerkt, sollte keine neue Software installiert werden und nach Möglichkeit auch auf das Verschieben oder Erstellen neuer Dateien verzichtet werden. Somit bleibt die Möglichkeit bestehen, dass der durch die gelöschte Datei belegte Cluster der Festplatte nicht neu beschrieben wird. Wird eine Datei unter Windows gespeichert, so sucht das Betriebssystem einen freigegebenen Cluster und schreibt die Bytes der Datei hinein. Wird diese Datei gelöscht, so wird lediglich der Eintrag im MFT (Master File Table, ähnlich der FAT) gelöscht. Die zu einer Datei gehörenden Datenblöcke, Zugriffsberechtigungen und Attribute werden von Windows im MFT eingetragen. Das Betriebssystem ändert damit nicht die in den Dateien enthaltenen Informationen. Die meisten kostenlosen Tools, darunter PhotoRec oder GetDataBack, machen sich die oben beschriebene Eigenschaft des Betriebssystems zu Nutze. Im MFT befinden sich noch die Einträge von gelöschten Dateien. Die Tools ermitteln auf diese Weise bereits aus dem Papierkorb gelöschte Dateien und bieten die Möglichkeit, diese wiederherzustellen. Sie ermitteln die Wahrscheinlichkeit einer erfolgreichen Wiederherstellung und bewerten diese zum Beispiel mit "Gut", "Mittel" und "Schwach". Währenddessen lokalisiert das Tool den MFT-Eintrag zu einer bereits gelöschten Datei. Im Anschluss wird der Cluster untersucht, den die zuvor gelöschte Datei genutzt hat. Hierbei wird geprüft, ob der Bereich bereits durch eine andere Datei neu belegt wird. Ist dies nicht der Fall, ist es möglich die Datei wiederherzustellen. Sollte der MFT selbst korrupt, defekt oder sogar gelöscht worden sein, so ist eine Wiederherstellung mit einem solchen Programm nicht mehr möglich. • Datenrettung mittels TestDisk [76] Durch das Löschen der Partitionstabelle[77] einer Festplatte zum Beispiel durch schwerwiegende Softwarefehler kann es vorkommen, dass ganze Laufwerke nicht mehr verfügbar scheinen. Festplattenhersteller bieten für alle Modelle Tools an um eine Festplatte zu analysieren und ggf. wieder bootfähig zu machen. Diese Programme sind zur Analyse nützlich, jedoch nicht für eine Datenrettung geeignet. TestDisk bietet darüber hinaus weitere Funktionen an. TestDisk ist eine freie verfügbare Software, welche unter der GNU General Public Licence (GPL)[78] veröffentlicht ist. TestDisk wird unter DOS installiert und muss mit Administratorrechten ausgeführt werden. Es lässt sich in der Kommandozeile von DOS ausführen und bietet die Möglichkeit ein Logfile zu erstellen, in dem alle durchgeführten Schritte protokolliert werden. Das Tool findet alle angeschlossenen Festplatten und bietet verschiedene Typen von Partitionstabellen zur Wiederherstellung an. Mit der Analysefunktion werden verwendbare und rohe (bisher nicht benutzte) Partitionen angezeigt. Darüber hinaus gewährt es einen Blick in die Verzeichnisse und Dateien dieser Partitionen. Somit ermöglicht dieses Tool die Neuerstellung der Partitionstabelle. Im Anschluss kann die Partition wieder verwendet werden, ohne dass Daten verloren gegangen sind. Sollen einzelne Dateien gerettet werden können, so dürfen diese nicht auf demselben Datenträger zurückgesichert werden. Wird dies trotzdem getan, so besteht die Möglichkeit eines noch größeren Datenverlustes oder eines 9.1.1 Kostenlose Tools 22 Datenrettung_auf_Speichersystemen Totalverlustes[79]. • Datenrettung mittels Photorec - Ein Begleitprogramm zu TestDisk PhotoRec orientiert sich nicht am Dateisystem, sondern sucht Dateien an Hand bekannter Headerinformationen auf Byteebene. So kann das Tool auch noch Daten retten, wenn der Datenträger bereits neu formatiert ist und somit alle MTF oder FAT geleert wurden. Die Vorgehensweise gleicht dabei der von TestDisk. Es wird ebenfalls beim Systemstart oder unter der Kommandozeile von DOS ausgeführt, um im Anschluss die zu durchsuchenden Partitionen auszuwählen. 9.1.2 Professionelle Software Als Beispiel für professionelle Software wurden Ontrack EasyRecovery? Professional und Ontrack EasyRecovery? DataRecovery (LITE) miteinander verglichen. Beide Tools erkennen dieselben Controllertypen bei Festplatten (S-ATA, IDE etc.). Die Lite-Version der Software kann lediglich 25 Dateien je Suchlauf speichern und ist nicht in der Lage sich in einem Suchlauf auf bestimmte Dateitypen zu beschränken. Die kostenpflichtige Variante bietet darüber hinaus zusätzliche Analyseund Diagnosewerkzeuge. Diese ermöglichen zum Beispiel eine grafische Darstellung der Speicherbelegung. Dateispezifische Suchfunktionen bieten Optionen, um zum Beispiel Office-Dateiformate oder Foto-, Audio- und Videodateien gezielt zu finden. Zudem ist eine direkte Datenreparatur möglich, die es erlaubt beschädigte Daten zu komplettieren und benötigt daher keinen zweiten Datenträger um Daten zwischenzuspeichern. Je nach Umfang des Datenverlustes ist die Software mit der Maßgabe auszuwählen, dass ihr Funktionsumfang bei der Wiederherstellung benötigt wird. Soll zum Beispiel ein komplettes Fotoarchiv wiederhergestellt werden ist ein Tool zu wählen, welches dieser Aufgabe gerecht wird. Eine Mindestanforderung ist hierbei die Fähigkeit, Bilddateien im gewünschten Umfang und mit entsprechender Qualität (Verlässlichkeit) finden zu können. 9.1.3 Vorbeugen Quelle: Barroso et al.(2007), S. 6 Abbildung 9-1: HD Temperatur und Fehlerrate Vorbeugen[80] steht mit der Verlängerung der Lebensdauer von Datenträgern in engem Kontext. Daher werden einleitend genannte Ursachen für Verluste aufgegriffen. Die meisten Hardwaredefekte treten direkt an der Festplatte auf. Kratzer auf dem Datenträger, wie zum Beispiel durch Head-Crashs, werden meist durch Schütteln 9.1.2 Professionelle Software 23 Datenrettung_auf_Speichersystemen oder Bewegen des Datenträgers während des Betriebes verursacht. Eine weitere Ursache kann die abrupte Unterbrechung der Stromversorgung während des Betriebes sein (siehe auch Kapitel 6.2.3). Der Anwender muss dafür Sorge tragen, dass der PC oder das Notebook während des Betriebs ruhig steht und dauerhaft mit Strom versorgt wird, solange diese nicht gewollt abgeschaltet werden. Die Fehleranfälligkeit erhöht sich auch durch die Umgebungstemperatur. Es sollte vermieden werden, die Hardware in der Sonne zu platzieren. Abbildung 9-1 zeigt die Abhängigkeit der jährlichen durchschnittlichen Fehlerrate bei Festplatten bezogen auf ihre Umgebungstemperatur. Die Untersuchung[81] von über 100.000 Festplatten ergab, dass die durchschnittliche Fehlerrate bei einer Umgebungstemperatur zwischen 35°C und 40°C am geringsten ist. Es sollte ebenfalls vermieden werden bei Platinen oder sonstigen Kontakten freiliegender Flächen (beispielsweise Controllerstecker oder ggf. auch die Unterseite einer Festplatte) anzufassen oder mit aggressiven Chemikalien zu reinigen. Die Synchronisation der wichtigsten Daten mit zusätzlichen in- und externen Datenträgern wie USB-Sticks oder Festplatten ist eine weitere Möglichkeit einem Datenverlust vorzubeugen. Intern lässt sich so eine Synchronisation zum Beispiel mit einem RAID-System realisieren. Werden optische Medium zur Datensicherung herangezogen, so sollten hierfür qualitativ hochwertige Rohlinge verwendet werden. Bei Flash-Speichern und anderen externen Geräten kann es nötig sein, diese beim Entfernen vom Computer über eine Software sicher zu trennen (gewöhnlich im Betriebssystem integriert). Dadurch wird sichergestellt, dass sich alle zu sichernden Daten auf dem Medium befinden. Der Einsatz einer stets aktuellen Antivirensoftware ist gerade für technisch unerfahrene Benutzer sehr wichtig (siehe dazu Kapitel 6.5). 9.1.4 Sofortmaßnahmen im Fall eines Datenverlustes Professionelle Datenretter und auf Datenrettungsthemen spezialisierte Onlineportale bieten Checklisten zu Sofortmaßnahmen im Falle eines Datenverlustes an[82]. Sie enthalten nützliche Tipps bei Anwenderfehlern, verdeutlichen aber auch, dass bei mechanischen Beschädigungen oder ungewöhnlichem Verhalten (z.B. seltsame Geräusche) ein professioneller Datenretter eingeschaltet werden sollte. Schadensbegrenzung ist ein wichtiger Punkt wenn ein Datenverlust bemerkt wird[83]. Damit sich bereits gelöschte oder defekte Daten wiederherstellen lassen ist es ratsam, sämtliche Schreibzugriffe auf den Datenträger einzustellen. Um den Schaden selber evaluieren zu können, sollte untersucht werden, ob eine Kopie der Daten vorhanden ist: Möglicherweise ist die Aufarbeitung einer alten Datei weniger zeit- und kostenintensiv als eine Datenrettung. In RAID-Systemen wird meist eine Fehlermeldung ausgegeben, sobald das System einen Datenträger als defekt einstuft. Das System verliert damit die Möglichkeit auf redundante Datenspeicherung. Sofern nicht sicher ermittelt wurde welche der Festplatten des RAID-Verbundes den Defekt aufweist, sollte keine der Festplatten vorschnell getauscht werden. In solchen Fällen bieten viele Datenrettungsgesellschaften eine kostenlose Hotline an. 9.2 Professionelle Datenrettung 9.1.3 Vorbeugen 24 Datenrettung_auf_Speichersystemen 9.2.1 Vorgehensweise am Beispiel von Kroll Ontrack Die Aufgabe der professionellen Datenrettung reicht weit über das Finden zufällig gelöschter oder beschädigter Dateien hinaus. Es existieren Szenarien, bei denen sogar das Finden und Auslesen kleinster Magnetpartikel und "Datensplitter" notwendig wird. Die entsprechenden Operationen an den Speichermedien selbst können nur in speziell konstruierten Reinräumen oder in speziell dafür vorgesehenen so genannten LaminarFlow-Systemen mit Reinraumtischen vorgenommen werden. Diese müssen der Reinraumklasse 100 nach ISO 14644 (ISO 5) entsprechen. Diese definiert eine maximale Anzahl von 100 Luftpartikeln mit einer maximalen Größe von 0,5 Mikrometern im Durchmesser je Kubikmeter Luft. [84] Auf diese Weise wird verhindert, dass sich Staubpartikel auf einer geöffneten Festplatte ablegen können oder eine zu hohe Luftfeuchtigkeit zu Kondenswasser im Speichermedium führt. Die Schadensevaluierung erfolgt auf verschiedene Weise. Sie unterscheidet sich je nachdem ob ein Hardwaredefekt oder ein Softwarefehler vorliegt[85]. Die Evaluierung erfolgt in vielen Fällen über eine audiovisuelle Kontrolle aller Komponenten bis hin zur Zerlegung einzelner Komponenten unter dem Mikroskop[86]. Die Vorgehensweise unterscheidet sich ebenfalls nach der Art des Speichermediums, da diese bereits mechanisch unterschiedlich aufgebaut sind. Festplatten sind oftmals mechanisch beschädigt und müssen somit in ihrer Funktion wieder hergestellt werden. Beschreibt ein Kunde beispielsweise einen Datenverlust durch einen Softwarefehler, so wird bei der Evaluierung versucht, alle Daten auf ein intaktes Speichermedium zu kopieren. Nachfolgend werden Strukturanalysen über das vorliegende Dateisystem durchgeführt. Mit Hilfe betriebseigener Softwaretools wird versucht das Dateisystem auszulesen. So kann eine Liste mit wieder herstellbaren Daten und deren Beschädigungsgrad erstellt und der Schadensgrad eingestuft werden. Bei Hardwaredefekten ist dieser bei 60% der Fälle[85] so schwerwiegend, dass eine Evaluierung des Mediums nur in einem Reinraum vorgenommen werden kann. Die Evaluierung erfolgt durch Analytiker und Mechaniker. Der Analytiker versucht mittels Struktur- und Systemanalyse die einzelnen Bereiche auf dem Datenträger nach Relevanz einzustufen und wieder herstellbare Sektoren ausfindig zu machen. Damit wird der Beschädigungsgrad eingeschätzt. Würden die im Unternehmen entwickelten Vorgehensweisen und Verfahrensmuster nicht eingehalten, wäre eine schnelle Recherche nach Datenbeständen auf mehreren Gigabyte großen Datenträgern nicht effizient durchführbar[79]. Nach der Evaluierung werden weitere Maßnahmen zur Wiederherstellung der Daten eingeleitet. 9.2.2 Durchführung der Datenrettung Kroll Ontrack verwendet bei der Datenwiederherstellung auf Softwareebene proprietäre Tools, deren Funktionsweise ähnlich den bereits beschriebenen kostenpflichtigen Tools ist. Der Wiederherstellungsvorgang auf Softwareebene besteht aus einem Mix von DIY-Maßnahmen und betriebseigener Tools. 9.2.2.1 Remote Data Recovery von Kroll Ontrack Eine innovative Methode der Datenwiederherstellung ist die sogenannte Remote Data Recovery (RDR). Die Idee dahinter besteht darin, den Datenträger nicht vor Ort beim Dienstleister reparieren zu lassen, sondern die Datenrettung über ein Netzwerk und insbesondere über eine sichere Internetverbindung beim Kunden vor Ort durchzuführen. Dazu bietet Kroll Ontrack die Option einer sogenannten Online-Datenrettung. Voraussetzung für diese Methode ist allerdings ein Ausschluss eines technischen Defekts des Datenträgers. Statt die Datenträger aus dem System auszubauen kann via Client (RDR Quickstart Software) eine Verbindung zu einem RDR-Server aufgebaut werden. Sollte das System nicht bootfähig sein, so ist die Software auch als selbst bootende Diskette oder CD erhältlich. Nach Start der Software wird die gewünschte Verbindungsmethode ausgewählt. Es kann sich dabei um eine Modem-, ISDN- oder DSL-Verbindung handeln. Bevor der Wiederherstellungsprozess beginnt, 9.2.1 Vorgehensweise am Beispiel von Kroll Ontrack 25 Datenrettung_auf_Speichersystemen wird eine proprietäre Technik eingesetzt, welche sämtliche Änderungen am Zielsystem protokolliert. So wird sichergestellt, dass alle Schritte reversibel sind. Im Anschluss wird ein Diagnosetool ausgeführt, welches die Ursache des Datenverlustes feststellt. Die Möglichkeiten dieser Reparaturtools reichen von der Wiederherstellung gelöschter Dateien über die Korrektur defekter Dateisysteme (FAT/MFT) bis hin zur Rettung von RAID-Konfigurationsdaten. Ontrack gibt die Erfolgchancen bei Einsatz dieser Methode mit über 50% an[87]. 9.2.2.2 Datenrettung im Labor / Reinraum Quelle: Attingo (2009), s. p. Abbildung 9-2: Untersuchung im Reinraum Können verlorene Daten nicht mittels Struktur- oder Systemanalyse aufgefunden werden oder ist das Speichermedium bereits technisch zu stark beschädigt, wird dieses in einem Reinraum (siehe Kapitel 9.2.1) weiter untersucht. Der erste Schritt im Labor ist immer der Versuch, die Daten des defekten Datenträgers auf ein intaktes identisches Speichermedium zu übertragen (siehe Kapitel 9.2.1). So entsteht ein vollständiges physisches Abbild. Festplattensysteme, die mechanische Fehler aufweisen wie zum Beispiel einen Defekt der Schreib- und Leseköpfe, werden zur Bearbeitung in einem Reinraum geöffnet und demontiert. Die einzelnen Scheiben des Datenträgers werden in einem neuen Gehäuse und mit neuer Mechanik (inklusive Steuerungsplatine) wieder zusammengesetzt. Oftmals können in solchen Fällen der vollständigen Rekonstruktion der Mechanik sämtliche Daten fehlerfrei auf ein neues Festplattensystem übertragen werden. In Fällen eines Wasserschadens wird vor der Analyse und den Arbeiten im Reinraum ein spezielles Trocknungsverfahren vorgenommen. Bei Schäden dieser Art, einschließlich Brandschäden oder Stürzen aus großer Höhe, wird die Feinmechanik unter einem Mikroskop demontiert bzw. getrennt. Eine Wiederherstellung der Daten kann meistens nur Byte für Byte erfolgen und Stunden bis Tage dauern. Kuert gibt an seinen Reinraum nach ISO 14644-1 zu betreiben. In dem Reinraum wird mit spezieller, mehrstufiger Luftfiltertechnik und Klimaanlage dafür gesorgt, dass die Luftreinheit gewährleistet wird. Speziell auf die Umstände angepasste Arbeitskleidung, Werkzeug und sogar fusselfreies Papier sind Vorschrift. Der Zugang zum Reinraum führt durch Schleusen, in denen Material und Personen so genannten Luftduschen unterzogen werden[88]. 9.2.2.1 Remote Data Recovery von Kroll Ontrack 26 Datenrettung_auf_Speichersystemen 9.2.2.3 Datenrettung auf Festplatten und RAID-Systemen Sind die Verzeichniseinträge im FAT/MFT nicht mehr vorhanden, so wird eine Suche nach den Daten stark erschwert. Die Analytiker kennen den Aufbau der verschiedenen Dateisysteme sehr genau. Je nach Fehlerfall stehen hier betriebseigene Prozeduren zur Rekonstruktion der Daten zur Verfügung. Oft ist es möglich eine Signatursuche durchzuführen, und so anhand der Headerinformationen der Dateien und je nach Fragmentierungsgrad derselben die Daten wiederherzustellen. Die Stärke der Fragmentierung ist ausschlaggebend, sobald die Dateien die Clustergröße des Dateisystems überschreiten. Diese Schwierigkeit tritt besonders bei aufgrund ihrer Größe häufig hoch fragmentierten Datenbankdateien auf. In RAID-Systemen kommt neben der Komplexität des Dateisystems noch die Aufteilung in so genannte DataChunks[89] und ParityChunks[90] über mehrere Festplatten hinzu. Jeder Hersteller hat hier eigene Parameter, welche neben der Reihenfolge der Datenträger, zusätzlich entschlüsselt werden müssen. Um die RAID-Struktur abzubilden wird eine Simulationssoftware verwendet, da häufig die Controller nicht verfügbar sind oder ebenfalls Beschädigungen erlitten haben[86]. 10 Erfolgsaussichten der Datenrettung Eine konkrete Zahl oder Tabelle für die Erfolgsaussicht einer Datenrettung lässt sich nicht angeben. Dazu ist die Datenrettung von zu vielen Faktoren abhängig. Ein wichtiger Einflussfaktor ist die richtige Behandlung des Speichermediums, nachdem ein Schaden eingetreten ist. So sollte eine Festplatte nach einem Wasserschaden keinesfalls getrocknet oder das Wasser rausgeschüttelt werden. Kroll Ontrack empfiehlt in diesem Fall die Festplatte in Nasse Tücher einzuwickeln und in einem Antistatikbeutel an Kroll Ontrack zu schicken[91]. Ohne eigenmächtige Rettungsversuche verspricht Kroll Ontrack eine hohe Erfolgswahrscheinlichkeit für die Datenrettung[92]. 10.1 Erfahrungswerte Um die Chancen einer Datenrettung richtig einschätzen und angeben zu können, greifen die Anbieter auf Erfahrungswerte zurück. Die wichtigste Vorraussetzung für eine erfolgreiche Datenrettung ist dabei der Zustand des Speichermediums selbst. Kroll Ontrack gibt eine durchschnittliche Erfolgsquote von 80% aller Datenrettungsversuche[86] an. Bei technischen Fehlern hängt der Erfolg von diversen Faktoren ab. Oftmals ist die Verfügbarkeit von Ersatzteilen des Herstellers entscheidend. Der kritischste Faktor bei der Datenrettung ist verfügbare Zeit und die Geduld des Kunden. Er kann in der Regel nicht über einen langen Zeitraum auf die Datenrettung warten[86]. Brekle führt ein gutes, erfahrenes und flexibles Forschungs- und Entwicklungsteam als unerlässlich an, um auch zukünftig erfolgreich in der Branche zu bleiben[86]. Die rasche Weiterentwicklung der Speichermedien und der ihnen zugrunde liegenden Technik bestätigt diese Aussage. Die nächste Generation von Speichersystemen steht schon vor dem Sprung auf dem Markt[93]. Die SATA Technologie ist erst wenige Jahre auf dem Markt. Doch schon jetzt wird über die Solid State Disk als möglicher Nachfolger gesehen[94]. Sind die Anbieter nicht in der Lage diesen Entwicklungen zu folgen, sinken die Chancen auf eine Datenrettung. Solchen Anbietern droht die Gefahr vom Markt zu verschwinden, da diese für mögliche Kunden uninteressant werden. Weitere Anbieter für Datenrettungen gehen von den nachfolgend Beschrieben Chancen und Vorraussetzungen aus: 9.2.2.3 Datenrettung auf Festplatten und RAID-Systemen 27 Datenrettung_auf_Speichersystemen • HDDLab spricht auf seiner Homepage von einer Erfolgsquote von über 95% bei der Datenrettung von NAND-Speichern[95]. Dazu zählen unter anderem USB-Sticks, Speicherkarten und Solid State Drives. Unter der Vorraussetzung, dass der Speicher weder zerstört noch verschlüsselt ist könnten technisch bis zu 99% die Daten ausgelesen werden[95]. • Ein weiterer Anbieter für Datenrettungsmaßnahmen, Crash PC-Service GmbH, verspricht auf seiner Homepage innerhalb von 2-3 Tagen in über 90% der Fälle die Daten retten zu können. Dies liege weit über dem Marktdurchschnitt[96]. • Die Erfolgsaussicht ist immer abhängig von der Art und Stärke der Beschädigung des Speichermediums. Versehentlich gelöschte Daten können, da das Speichermedium noch intakt ist, zu annähernd 100% wiederhergestellt werden[97]. Tabelle 10-1: Erfolgschancen der Datenrettung Anbieter Erfolgsquote (nach eigenen Angaben) Advanced NTFS Recovery bis zu 100 % Attingo 90 % Crash PC-Service GmbH 90 % HDDLab 95 % Kuert 80 % Kroll Ontrack 80 % 10.2 Grenzen der Datenrettung Trotz aller moderner Technik und immer ausgefeilteren Tools lassen sich nicht immer alle Informationen wiederherstellen. Extreme Bedingungen wie große Hitze, gewaltsame Zerstörung oder einstürzende Gebäude bringen selbst die Experten auf dem Gebiet der Datenrettung an ihre Grenzen. Die genauen Gründe für eine gescheiterte Datenrettung lassen sich nicht so einfach benennen, da immer ein Zusammenspiel von mehreren Faktoren eine Rolle spielt. In der Regel sind massive Hardwaredefekte sowie falsche Benutzerinteraktionen die Gründe für eine gescheiterte Datenrettung[86]. Abbildung 6-2 ist zu entnehmen, dass zu den möglichen Hardwarefehlern auch geschmolzene Festplatten zählen können. Selbst bei diesen besteht noch die Chance auf evtl. nicht geschmolzenen Teilen Datenfragmente finden und retten zu können[86]. Da Dateien häufig fragmentiert auf der Festplatte abgespeichert sind kann von einem Glücksfall gesprochen werden, wenn in diesem Extremfall alle Fragmente auf dem nicht geschmolzenen Teil der Festplatte liegen. Das geschmolzene Gehäuse und der defekte Lesekopf stellen nur ein geringeres Problem dar, da diese Teile austauschbar sind. Weitere Gründe für das Scheitern von Datenrettungen sind der Einsatz von Defragmentierungsprogrammen nach versehentlichem Löschen von Dateien oder der Einsatz besonderer Programme zur Datenlöschung. Defragmentierungsprogramme stellen die Experten vor das Problem, das dadurch so genannte Slack-Dateien[98](englisch slack für Schlupf) überschrieben werden. Beim Einsatz eines Programms zur Datenlöschung stehen die Chancen für eine Datenrettung bei annähernd 0%[99]. Solche Programme überschreiben die leeren Bereiche auf dem Speichermedium mit Datenmustern, die eine Rekonstruktion der ursprünglichen Daten unterbinden. An dieser Stelle sei darauf hingewiesen, dass dies aus Datenschutzgründen zu begrüßen ist, obwohl es für eine Datenrettung fatal ist.[100]. 10.1 Erfahrungswerte 28 Datenrettung_auf_Speichersystemen Der Einsturz des Kölner Stadtarchivs stellt einen besonders sichtbaren Fall der Grenzen der Datenrettung dar. Wie schnell es gehen kann, dass eine große Anzahl von Informationen für immer verloren geht, zeigt diese Katastrophe. Beim Einsturz des Archivs am 03.03.2009 sackten 18 Regalkilometer mit wertvollen historischen Informationen in den Boden. Dabei wurden die Daten unter Tonnen von Schutt begraben. Ein großer Teil der Dokumente ist beschädigt oder für immer verloren. Regen und Grundwasser haben ihr übriges dazu beigetragen da erst mit der Rettung der Daten begonnen werden konnte, sobald keine weitere Einsturzgefahr mehr bestand. Alleine im Bereich der rund 20.000 Urkunden sind viele zu lange der Witterung ausgesetzt gewesen, um gerettet zu werden[101]. Obwohl der Versicherungswert von 400 Millionen ?[101] eine detaillierte Suche nach Überresten in den Trümmern zulässt, werden viele Daten nicht wiederherzustellen sein. Im Fall des Einsturzes des Kölner Stadtarchivs handelt es sich größtenteils um nicht digitale Speichermedien. Sollte ein Unglück mit ähnlichen Auswirkungen zum Beispiel bei der deutschen Nationalbibliothek auftreten, wären mittlerweile auch große Mengen digital archivierter Dokumente betroffen[102]. 11 Strategien zur Verhinderung von Datenverlusten Datenrettung ist das letzte Mittel, um verloren gegangene Daten wieder zugreifbar zu machen. Die nicht unerhebliche Bedeutung der Daten durch den damit verbundenen Wert für Unternehmen rechtfertigt nicht das Risiko eines Datenverlustes. Daher werden im folgenden Abschnitt Strategien zur Verhinderung von Datenverlusten vorgestellt. Zwei verschiedene Adressaten müssen für die Strategien der Vorbeugung von Datenverlusten unterschieden werden: Strategien für Unternehmen und Strategien für das private Umfeld. Während die Unternehmen für dieses Thema sensibilisiert sind, wird die Datensicherung im privaten Umfeld häufig aus Gründen der Bequemlichkeit vernachlässigt. Als professionelles Datenrettungsunternehmen empfiehlt Kroll Ontrack für den Privatanwender die folgende Strategie:" 1. Ein Imagevollbackup in regelmäßigen Abständen 2. Automatische inkrementelle Backups auf eine zweite Festplatte 3. Regelmäßige Sicherung der Daten zur Langzeitarchivierung in verschlüsselte Container[zum Schutz vor unerlaubtem Zugriff, Anm. des Autors] und brennen auf DVD 4. Auslagerung der wichtigen Daten übers WEB zu einem Online Backup Hoster"[103] Bei der Betrachtung der für Unternehmen interessanten Strategien lassen sich Hardwarestrategien, Softwarestrategien und organisatorische Strategien unterscheiden. 11.1 Hardware-Strategien Das Schlüsselwort für Hardware-Strategien lautet Redundanz. In diesem Fall ist damit das mehrfache Einbringen gleicher Hardwarekomponenten gemeint, die die Daten oder den Datenfluss über mehrere Komponenten verteilen. Dabei reicht das Spektrum der Möglichkeiten zur Schaffung von Redundanz von Maßnahmen im abzusichernden System selbst über standortbasierte Maßnahmen bis hin zu standortübergreifenden Vorgehensweisen. 11.1.1 Im System Im datenhaltenden Computersystem selbst gibt es mehrere mögliche Schwachstellen, die Datenverlust auslösen können. Wie bereits im Kapitel 6.2.5 beschrieben, können dies die Stromversorgung, der Festplattencontroller 10.2 Grenzen der Datenrettung 29 Datenrettung_auf_Speichersystemen oder auch die Netzwerkinfrastruktur sein. Um hier eine Erhöhung der Verlässlichkeit zu erreichen, können diese Komponenten mehrfach im entsprechenden Computersystem eingesetzt werden. Als Beispiel sei die Absicherung der Stromversorgung durch ein zweites Netzteil oder der Einbau eines zweiten Festplattencontrollers zur Erhöhung der Übertragungssicherheit der Daten auf die Festplatten genannt. Die Festplatten können ebenfalls redundant ausgelegt werden, zum Beispiel in Form so genannter RAID-Verbünde (Redundant Array of Independant Disks)[104]. Hierbei werden die Daten mittels spezieller Techniken über mehrere Festplatten verteilt. Dieses Vorgehen basiert auf der Annahme, "dass Daten über alle Datenträger im Array konsistent verteilt werden können"[105]. Je nach angewandter Verteilmethode kann neben der reinen Erhöhung der Datensicherheit auch ein gleichzeitiger Geschwindigkeitsgewinn erreicht werden. Wird die Absicherung von Komponenten weiter perfektioniert, führt dies zu einer vollständigen Überwachung sowie nahezu vollständiger redundanter Auslegung der einzelnen Bestandteile des Computersystems. Als weitere Methode, die im System selbst angewendet werden kann sei der direkte Einbau von Backupsystemen in das System genannt. Das Spektrum reicht von Bandlaufwerken über externe Festplatten bis hin zu CD- oder DVD-Brennern, die in regelmäßigen Abständen automatisch die entsprechenden Daten sichern. 11.1.2 Am Standort Solche Backupsysteme können auch außerhalb des eigentlichen Computersystems angebracht werden. Hier sei zum Beispiel der Einsatz von zentralen Band-Backupsystemen genannt, die eigenständig von den entsprechenden Servern die Daten sichern. Eine weitere Möglichkeit der automatischen Datensicherung ist das zeitgesteuerte Kopieren der Daten auf einen zweiten Rechner in regelmäßigen Abständen. Der Nachteil solcher backupbasierter Datensicherungssysteme besteht darin, dass es eine zeitliche Lücke zwischen den gesicherten Daten und den aktuell im System befindlichen Daten gibt. Diejenigen Daten, die zwischen dem zuletzt durchgeführten Backup und dem Zeitpunkt des Datenverlustes erzeugt wurden, gehen dabei verloren. Verlässt man den Blick auf die Komponenten innerhalb des Computersystems, so kann das Computersystem auch als Ganzes als System der Datenhaltung betrachtet werden. In diesem Fall ergeben sich neue Risiken eines Datenverlustes. So können zum Beispiel durch einen Stromausfall die noch im Hauptspeicher des Systems liegenden Daten nicht mehr auf die Festplatten geschrieben werden. Abhilfe schafft hier der Einsatz einer unterbrechungsfreien Stromversorgung (USV), die den Server bei Stromausfall koordiniert herunterfahren kann. Quelle: Double-Take (2009), S. 1 Abbildung 11-1: Prinzip eines Failover-Systems Die nächste Stufe der Absicherung ist die vollständige Loslösung der Daten und des Betriebssystems selbst von spezifischer Hardware. Diese Technik wird Hardware-Virtualisierung genannt. Sie kann zum einen dafür verwendet werden, um mehrere virtuelle Rechner (virtuelle Maschinen) auf einer gemeinsamen Hardware laufen zu lassen. Damit wird die zur Verfügung stehende Kapazität besser ausgenutzt. Zum anderen ermöglicht sie die 11.1.1 Im System 30 Datenrettung_auf_Speichersystemen Entwicklung sogenannter Failover-Systeme. Failover-Systeme werden verwendet, wenn Daten oder Informationen hochverfügbar sein sollen. Die Idee dahinter ist, dass das zweite System die Arbeit nahtlos übernehmen kann, sollte das Hauptsystem nicht mehr ordnungsgemäß funktionieren. Abbildung 11-1 zeigt das Prinzip eines solchen Systems. Bei Ausfall des Hauptsystems werden dessen Aufgaben sofort durch ein zweites System übernommen. Dazu wird die Aktivität des Hauptrechners permanent überwacht. Zusätzlich werden alle Daten über das lokale Netzwerk oder sogar über das Internet zu einem Zweitrechner übertragen (Replication). Im Fehlerfall wird für die Anwender des Hauptsystems transparent auf das Failover-System umgeschaltet. Ist das Hauptsystem im Nachhinein wieder betriebsbereit, kann dieses über das Backup-System wiederhergestellt werden (Restore). Als Beispiel für ein solches System sei die Failover-Lösung der Firma Double-Take genannt. Bei diesen Systemen handelt es sich um eine Kombination einer Software-Lösung zusammen mit einer zusätzlichen Hardware-Redundanz. 11.1.3 Standortübergreifend Im Sinne eines so genannten Business Continuity Plans kann die Datensicherung auch standortübergreifend betrachtet werden. Hierbei handelt es sich um ein Konzept zur Sicherstellung der Betriebsfähigkeit eines Unternehmens im Falle des Ausfalls eines Standortes. Sollte der gesamte Serverraum zum Beispiel durch das Eintreten einer Naturkatastrophe, wie Hochwasser oder Feuer, nicht mehr verwendbar sein, nützen die bisherigen Datensicherungsstrategien nicht viel. Der einfachste Schritt der standortübergreifenden Datensicherung besteht darin, eine Kopie der Backups der Daten außerhalb des Standorts der Datenentstehung zu speichern. Dies könnte zum Beispiel im Tresor einer Bank oder in einer Filiale des Unternehmens erfolgen. Neben der reinen Auslagerung der Backups besteht auch die Möglichkeit des Einsatzes standortübergreifender redundanter Rechnersysteme oder redundanter Rechenzentren. Diese gleichen sich permanent über spezielle eigene Leitungen oder über das Internet ab und können im Falle eines Ausfalls die nahtlos Arbeit übernehmen. Da die Kapazität der Leitungen jedoch begrenzt ist, besteht auch hier oftmals ein inhaltlicher Versatz im Datenstand zwischen den Systemen. Daher ergibt sich ein Abgleich der unternehmenskritischen Daten als Mindestanforderung. Bei entsprechenden Kapazitäten bringt diese Technik noch einen positiven Nebeneffekt mit sich. Handelt es sich bei den Datenbanken um Systeme auf die vorwiegend lesend zugegriffen wird, können die beiden Standorte auch zeitgleich zur Lastverteilung der Anfragen eingesetzt werden. Wird auf die Systeme schreibend zugegriffen ergeben sich dadurch neue Herausforderungen. Aktualisieren zum Beispiel zwei Anwender gleichzeitig den gleichen Datensatz stellt sich die Frage, welche der beiden Änderungen die Maßgebende ist. 11.2 Software-Strategien Viele der aufgezeigten Hardware-Strategien benötigen die entsprechende softwareseitige Unterstützung zur Verwaltung und Koordination der einzelnen Komponenten. Bei der oben bereits angeführten Virtualisierung von Rechnersystemen handelt es sich um eine der höchsten Ausbaustufen: die Hardware wird vollständig emuliert und damit von der darunter liegenden physischen Hardware entkoppelt. Auch wenn man nicht bis zur vollständigen Emulation der Hardwarekomponenten geht, können Methoden der Datensicherung mittels Software betrachtet werden. Die bereits erwähnte Hardware RAID-Lösung lässt sich auch ausschließlich in Software realisieren. Dies bringt den Vorteil mit sich, dass auch nicht speziell für Server 11.1.2 Am Standort 31 Datenrettung_auf_Speichersystemen entwickelte Festplatten verwendet werden können, und so die Speicherungstechnik unabhängig von der verwendeten Hardware wird. Zusätzlich entfallen die Anschaffungskosten für die entsprechenden Hardware RAID-Controller. Red Hat schreibt in ihrem Linux Handbuch zum Thema Software-RAID, dass "mit den heutigen schnellen CPUs [..] die Leistung von Software-RAID die von Hardware-RAID [übertrifft]"[106]. Dies impliziert jedoch den Hauptnachteil der Software-RAID-Lösung: Eine Software-RAID-Lösung belastet die CPU des Rechnersystems. Bei der Verwendung von rechenintensiven Anwendungen sollte daher auf ein Hardware-RAID-System nicht verzichtet werden. RAID-Systeme können den Datenverlust im Rechnersystem minimieren. Jedoch sind auch die RAID-Systeme selbst nicht vor Fehlern geschützt. Daher sollten sie unbedingt um zusätzliche regelmäßige Backups auf externen Medien ergänzt werden. Hierfür gibt es die klassischen Software-Backup-Lösungen, die in der Regel mit einer entsprechenden Hardware zusammenarbeiten. Für den privaten Anwender sei hier beispielsweise das Tool Drivesnapshot[107] angeführt, das automatische Backups des gesamten Systems während des Betriebs durchführen kann. Eine Besonderheit dieses Tools besteht darin, dass es sogar durch das Betriebssystem gesperrte Dateien mitsichern kann, wie zum Beispiel die Windows-Registrierung. 11.3 Organisatorische Strategien Die bisher aufgezeigte Strategie der permanenten Datenredundanzhaltung und der Verwendung von Backupsoftware sollte um eine ausgereifte Backup-Strategie ergänzt werden. 11.3.1 Definition einer Backup-Strategie Bei der Definition einer solchen Backup-Strategie lassen sich die folgenden vier Ziele unterscheiden[108]: 1. Minimierung des Datenverlustes im Fehlerfall 2. Schutz der Datenbank vor möglichen Fehlern 3. Erhöhung der Mean Time Between Failure (MTBF) 4. Reduzierung der Mean Time To Recover (MTTR). Da die Ursachen und Strategien für den Umgang mit dem zweiten und dritten Punkt bereits behandelt wurden, wird an dieser Stelle nicht weiter auf diese Punkte eingegangen. Die Minimierung des Datenverlustes im Fehlerfall kann nicht alleine durch die bereits angesprochenen Hard- und Softwarestrategien erreicht werden. Ein Backupmedium ist wertlos, wenn es zwar physisch noch intakt ist, die zu dem Medium passende Hard- und Software jedoch nicht mehr zur Verfügung steht. Bei der Planung einer Backup-Strategie sollte die geplante Aufbewahrungsdauer der Daten berücksichtigt werden. Gerade im Bereich von Archiven und Bibliotheken kommt diesem Umstand eine besondere Bedeutung zu. Rohde-Enslin empfiehlt daher auch in seinem kleinen Ratgeber für die Bewahrung digitaler Daten in Museen: "Verwenden Sie allgemein verbreitete Software, ein weit verbreitetes Betriebssystem und einen Typ von Speichermedien, der oft anzutreffen ist. Speichern Sie Ihre Daten in einem möglichst allgemein verbreiteten und von möglichst vielen Programmen les? und interpretierbaren Format"[109]. Die Reduzierung der Wiederherstellungszeit der Daten bei einem Datenverlust ist ein nicht zu unterschätzender Faktor. Die Auswirkungen durch den Ausfall des entscheidenden Computers eines an der Börse spekulierenden Unternehmens können erheblich sein. Aus diesem Beispiel lässt sich erkennen, dass die Anforderungen an eine entsprechende Strategie eng mit den Geschäfts- und den operativen Anforderungen des Unternehmens verknüpft sind[108]. Nachdem eine für das jeweilige Unternehmen passende Strategie aufgestellt ist, muss sowohl die 11.2 Software-Strategien 32 Datenrettung_auf_Speichersystemen technische Funktion der Strategie als auch der Zielerreichungsgrad regelmäßig geprüft werden. Der regelmäßige Test eines Backups bezogen auf seine Gültigkeit und Funktionalität ist die einzige Möglichkeit sicherzustellen, dass die geplante Strategie die MTTR reduziert und die MTBF erhöht[108]. Ein weiterer Aspekt bei der Strategiefindung ist die Notwendigkeit des Festhaltens historischer Zustände. Wird zum Beispiel die datenhaltende Software ausgetauscht, da die Firma ihr grundlegendes Verwaltungssystem aktualisiert, genügt es nicht die jeweils aktuellen Daten gesichert zu haben. Die Sicherung des Datenbestandes zum Zeitpunkt der Umstellung kann eine entscheidende Maßnahme sein, um später auffallende Ungereimtheiten in den Daten nachweisen und korrigieren zu können. Ebenfalls kann die langfristige Sicherung der Geschäftsdaten zu einem Jahresabschluss hin sinnvoll sein, um historische Betrachtungen und Entwicklungen darstellen zu können. Die größte Ausbaustufe der externen Datenarchivierung stellt die vollständige Delegation der Datensicherung an externe Unternehmen dar[110]. Während dies für öffentlich zugängliche Daten einer Nationalbibliothek unproblematisch ist, birgt dies jedoch die erneute Gefahr des verminderten Schutzes interner Firmengeheimnisse. Als Beispielprojekt für ein solches Geschäftsmodell sei das Projekt kopal (kooperativer Aufbau eines Langzeitarchivs digitaler Informationen) genannt, das seit Mitte 2007 seinen Betrieb in Zusammenarbeit mit der deutschen Nationalbibliothek aufgenommen hat[111]. Zumindest für private Anwender bietet sich eine solche Lösung an, da die Möglichkeiten einer professionellen Datensicherungsstrategie am heimischen PC kaum zu realisieren sind. Als ein Anbieter solcher webbasierter Lösungen für den Privatanwender sei www.gigabank.de genannt, die sichere Online Backups zu einem Festpreis für die Dauer von fünf Jahren garantieren. Dabei ist eine Sicherung bis 1GB Datenvolumen kostenfrei, was für ein Backup der wichtigsten Dokumente aus dem Privatbereich genügt[112]. Dieser kostenfreie Platz reicht allerdings nicht aus, um sämtliche Urlaubsfotos und die dazu gehörenden Urlaubsvideos zu archivieren. Ob ein Privatanwender dann ein erweitertes Datenvolumen erwirbt, hängt vom individuellen Sicherheitsbedürfnis des Nutzers ab. 11.3.2 Frühzeitiger Austausch Eine vorbeugende organisatorische Strategie besteht darin diejenigen Datenträger, die für das Unternehmen überlebensnotwendige Daten enthalten, frühzeitig auszutauschen. Dies ist allerdings mit fortlaufenden Investitionen verbunden, die jedoch durch den Wert der Daten gerechtfertigt werden. Eine mögliche Vorgehensstrategie ist es die bestehenden Rechnersysteme mit dem Ablauf Ihrer steuerlichen Abschreibungsphase auszutauschen und so gleichzeitig mit dem aktuellen Stand der Geschwindigkeitsentwicklung der Rechnersysteme Schritt zu halten. Bei der Datenerhaltung der jeweils aktuellen Geschäftsdaten darf jedoch auch die Lesbarkeit der bereits archivierten Daten nicht vernachlässigt werden. Neben dem Test der Lesbarkeit der Daten direkt nach dem Backup gehört zu der Strategie auch das rechtzeitige Kopieren der Daten auf neue Backupmedien, bevor diese aus Gründen der Alterung nicht mehr lesbar sind. Neben der Aktualisierung und Überprüfung des Trägermaterials der Daten darf auch die Verwendung entsprechender allgemeingültiger Datenspeicherformate nicht außer Acht gelassen werden: Es nützt nichts, dass das Medium noch lesbar ist, wenn kein Programm mehr existiert, dass die Daten verarbeiten kann. In seiner Empfehlung für die Bewahrung digitaler Daten in Museen schreibt Rohde-Enslin, dass "Daten zu speichern [nicht damit] [..] identisch [sei] [..], Daten für lange Zeit zur Verfügung zu haben."[109]. Die Langzeiterhaltung von Daten ist "als eine eigenständige Aufgabe an[zusehen], die nicht mit einer einmaligen Anstrengung zu bewältigen ist."[109] 11.3.1 Definition einer Backup-Strategie 33 Datenrettung_auf_Speichersystemen 11.3.3 Stresssimulation vor Einsatz In Kapitel 7.2.2 wurde die Eigenschaft von fehleranfälligen Festplatten erwähnt, dass ihre ersten Fehler schon nach kurzer Betriebsdauer auftreten. Diese Beobachtung lässt sich in eine Strategie umsetzen. Ein neues System wird vor dem Übergang in den Echtbetrieb zunächst einige Zeit (z.B. eine Woche) einem Belastungstest unterworfen, der möglichst alle Komponenten mit der maximalen Datenverarbeitungsrate belastet. Für einen solchen Test bietet sich zum Beispiel das SQLIO Disk Subsystem Benchmark Tool[113] von Microsoft an. SQLIO simuliert bei entsprechender Konfiguration Lese- und Schreibzugriffe auf Festplatte und Hauptspeicher, das Erstellen von Prüfpunkten in der Datenbank, das Sichern von Daten, das Sortieren von Daten sowie das vorausschauende Lesen von Daten[114] unter Ausnutzung aller zur Verfügung stehenden Ressourcen. Die Idee hinter einem solchen Tool ist diejenige, dass wenn bei möglichst hoher Belastung in einem überschaubaren Zeitraum kein Fehler auftritt die Wahrscheinlichkeit sinkt, dass das System unter Produktionsmängeln leidet. 12 Fazit und Ausblick Die größte Motivation für die Datenrettung von Speichersystemen besteht in der Wiederherstellung von Wissen und Erfahrungswerten. Ihr monetärer Wert lässt sich nur schwer abschätzen, kann aber bis zur Existenzbedrohung von Firmen oder dem Verlust der kulturellen Wurzeln einer Gesellschaft reichen. Im Falle eines Datenverlustes besteht eine durchschnittliche Erfolgsaussicht von 80% diese wiederherzustellen. Diese auf den ersten Blick sehr positive Zahl bedeutet im konkreten Einzelfall, dass entscheidende Informationen verloren sein können. Im Falle von einmaligen kulturellen Gütern ist dies ein nicht wieder gutzumachender Verlust. Trotz immer professioneller werdender Software im Freeware- bzw. GNU-Bereich ist eine Datenrettung nicht immer leicht durchzuführen. Gerade technisch unerfahrene Anwender geraten bei Datenverlusten in Panik und überstürzen das eigene und dadurch unüberlegte Vorgehen bei der Datenrettung. Falsche Methodik führt schnell zum Totalverlust. Ein Bewusstsein für die Sensibilität der Daten und deren Struktur zu entwickeln ist hilfreich, um im Ernstfall zu wissen was zu tun ist, und was nicht. Durch die Evaluierung des Schadens erfolgt eine Abschätzung, ob sich die Datenrettung lohnt oder die Daten durch eigene Backups schneller wiederhergestellt werden können. Bei technischen bzw. mechanischen Problemen ist spezielles Werkzeug und eine entsprechend präparierte Umgebung notwendig, um die Datenträger zu analysieren. Generell ist Prävention der erste Schritt zu einem sicheren Datenbestand - gleich ob in einem Rechenzentrum oder im privaten Umfeld. Dabei darf ein Aspekt nicht außer Acht gelassen werden: Die geplante Archivierungsdauer. Nicht nur eine optimale Lagerung ist für die Lesbarkeit der gesicherten Informationen entscheidend, sondern auch die Verwendung allgemeingültiger Dateiformate und standardisierter technischer Medien. Bei digitalisierten Kulturgütern darf die Bedeutung der katastrophensicheren Aufbewahrung nicht unterschätzt werden. Eines der bekanntesten Beispiele für eine solche Vernichtung ist der Brand der Bibliothek zu Alexandria[115]. Auf die heutige Zeit übertragen bedeutet das in der Konsequenz die Einführung einer standortübergreifenden Backupstrategie. Die Entwicklung neuer Hard- und Softwaretechniken zur Verhinderung eines Datenverlustes durch ausgefallene Hardwarekomponenten oder Anwenderfehler schreitet voran. Das Dateisystem ZFS[1] bezeichnet Sun Microsystems selbst als "Datenmanagement der nächsten Generation"[116]. ZFS beinhaltet dabei gleich mehrere spezielle Konzepte, um die Datensicherheit zu erhöhen: Zum einen werden alle geschriebenen Daten mit einer Checksumme versehen, durch die beim erneuten Lesen der Daten Fehler erkannt werden können. Da ZFS 11.3.3 Stresssimulation vor Einsatz 34 Datenrettung_auf_Speichersystemen zusätzlich so genannte Paritätsinformationen ablegt, können die fehlerhaften Daten aus diesen Daten wiederhergestellt werden. ZFS ist in diesem Sinne selbstheilend[117]. Als weiteres Sicherheitskonzept werden geänderte Daten nicht physisch überschrieben, sondern in noch freien Bereichen der Festplatte abgelegt[118]. Auf diese Art ist es möglich auf eine ältere Version der gleichen Datei zuzugreifen, sollte diese versehentlich überschrieben worden sein. Allerdings kann diese Technik nur so lange funktionieren, wie noch genügend freier Platz auf den Laufwerken zur Verfügung steht, um solche Schattenkopien zu erstellen. Die Anwendung dieser Technik bleibt nicht auf die Dateiebene beschränkt. In ZFS kann eine solche Schattenkopie auch gleich von einem ganzen Datenbereich (Dateisystem-Image) erstellt werden. Jedoch genügt bei dieser Erstellung schon das Auftreten eines Fehlers in einem einzelnen Bit, damit das so erstellte Image unbrauchbar wird[119]. Obwohl die Technik eines solchen Dateisystems bereits viele Fehler abmildern kann, werden die Daten dadurch zum Beispiel nicht gegen Fehler durch Umwelteinflüsse geschützt. Die Einrichtung einer entsprechenden Backuplösung kann dadurch folglich nicht ersetzt werden. Im Bereich der Software-Backuplösungen treten vermehrt Geschäftsmodelle zur dezentralen Datensicherung auf, wie zum Beispiel kopal oder Gigabank. Die dezentrale Datensicherung ermöglicht es gleich mehrere Risiken für Datenverlust auszuschließen. Zum einen ist davon auszugehen, dass ein auf die externe Sicherung von Daten spezialisiertes Unternehmen über ein umfangreiches Backupkonzept verfügt, dass in dieser Form von einem einzelnen Unternehmen oder einer Privatperson schon aus finanziellen Gründen nicht aufgestellt werden kann. Zum anderen wird das Risiko des Datenverlustes durch Umwelteinflüsse verringert, da die Daten losgelöst von ihrer Entstehung aufbewahrt werden. Bei der Auswahl der entsprechenden Anbieter ist eine vorherige Analyse der Backupstrategie des Anbieters sinnvoll. Besitzt diese zum Beispiel keine Elemente der Katastrophensicherheit, so ist der Sinn der Datenauslagerung zu diesem Anbieter fraglich. Bei der externen Auslagerung der Daten sollte der Aspekt der Vertraulichkeit der Daten nicht außer Acht gelassen werden. Wird bekannt, dass ein bestimmter Anbieter die Daten mit den Firmengeheimnissen namhafter Unternehmen sichert (ein fiktives Beispiel wäre die Original-Rezeptur einer coffeinhaltigen Limonade), so wird dieser für gezielte Angriffe durch Viren oder Wirtschaftsspionage attraktiv. Vor diesem Hintergrund bleibt es offen, ob konservativ eingestellte Unternehmen einen solchen Schritt gehen werden. Andererseits erscheint dieser Weg eine einfache und kostengünstige Möglichkeit der Datensicherung für private Anwender zu sein. Zusammenfassend lässt sich sagen, dass sowohl die Anforderungen an die Datenrettung, als auch die Möglichkeiten zur Datenrettung stetig fortschreiten. Die zunehmende Integration großer Datenspeicher in mobilen Geräten (MP3-Player, Netbooks) lässt die Gefahren eines Datenverlustes ansteigen. Der Übergang von Festplatten zu elektronischen Speichermedien (z.B. SSD) bringt durch den Wegfall mechanischer Komponenten eine höhere physische Belastbarkeit mit sich. Solche Medien wie USB-Sticks sind von der Möglichkeit mechanischer Beschädigung jedoch nicht befreit (z. B. durch versehentliches Treten auf einen USB-Stick), so dass es auch in diesem Bereich weitere Anforderungen an die professionellen Datenretter geben wird[86]. Die durchgehende Verwendung präventiver Maßnahmen, der Aufbau einer Datensicherungsstrategie und das richtige Vorgehen im Fall eines Datenverlustes bleibt von entscheidender Bedeutung: Gehen die Daten erst gar nicht verloren, brauchen sie auch nicht gerettet zu werden. 13 Fußnoten 1. ? 1,0 1,1 Vgl. Bonwick (2006), s. p. 2. ? Vgl. Castells (2001), passim 3. ? 3,0 3,1 Vgl. Heuer (2005), S. 94 4. ? Vgl. Schiffhauer (2005a), S. 86 5. ? Vgl. Mörgenthaler (2006), S. 22 6. ? S. Kapitel 7 7. ? S. Kapitel 6 12 Fazit und Ausblick 35 Datenrettung_auf_Speichersystemen 8. ? Vgl. ISO/IEC 2382-1 (1994) 9. ? Vgl. Microsoft (2000), s. p. 10. ? 10,0 10,1 Vgl. Düsing; Jach-Reinke (1999), S. 140 11. ? Systemdateien werden von einem Betriebssystem verwendet, um dessen grundlegende Funktion sicherzustellen. Dies können Konfigurationsdateien sein oder Dateien der Speicherverwaltung. 12. ? 12,0 12,1 Düsing; Jach-Reinke (1999), S. 140 13. ? Vgl. Düsing; Jach-Reinke (1999), S. 140f. 14. ? Vgl. Böhret (2004) S. 38 15. ? Vgl. Meier et al. (2004), S. 43 16. ? Die Abtastrate gibt an, wie viele einzelne Werte pro Sekunde in der Datei gespeichert sind. 17. ? Vgl. Kelm (2008), S. 56 18. ? Microsoft Windows XP konnte in der Version vor SP1 nicht mit Festplatten umgehen, die größer als 137 GB waren. Bei Dateien die sich in diesem Speicherbereich befanden, hat Windows die Indexeinträge der FAT zurückgesetzt. Die Programmierer gingen davon aus, dass es Festplatten solcher Kapazität in einem PC nicht geben kann. 19. ? Vgl. Microsoft (2007), s. p. 20. ? Vgl. Iraci (2005) S. 142ff. 21. ? Vgl. Patterson; Talagala (1999), S. 1 22. ? Vgl. Kroll Ontrack (2008a) 23. ? Vgl. hierzu Hilt, Reder (2008) 24. ? 24,0 24,1 Vgl. Mörgenthaler (2006), S. 5ff. 25. ? 25,0 25,1 25,2 Vgl. Dargers (1995), Kap. 2 26. ? Vgl. Doemens (2007), s. p. 27. ? 1024 MB (Megabyte) = 1 GB (Gigabyte) 1024 GB = 1 PB(Petabyte) 1024 PB = 1 EB (Exabyte) 28. ? 28,0 28,1 28,2 Vgl. Lyman; Varian (2003), Kap. 1.III 29. ? Vgl. u.a. Gibson; Schroeder (2006), passim; Barroso et al. (2007), passim 30. ? 30,0 30,1 Vgl. Barroso et al. (2007), S. 1 31. ? S. §2f DNBG 32. ? Vgl. Verbatim (2007), S. 6 33. ? Vgl. Iraci (2005), S. 135f. 34. ? Vgl. Rohde-Enslin (2004), S. 39f. 35. ? S. Kapitel 9.2.2 36. ? Vgl. Lyman; Varian (2003), Kap. 4.III 37. ? Vgl. Bigourdan et al. (2006), u.a. S. 5f., S. 14 38. ? Vgl. Judge et al. (2005), Kap. 4 39. ? Vgl. van Bogart (1995), Kap. 4.2 40. ? Vgl. ISO 18923 (2000) 41. ? Vgl. Böhret (2004), S. 8f. 42. ? Vgl. u.a. Barroso et al. (2007), S. 1f. 43. ? Vgl. Cabla (2006), S. 27ff. 44. ? Vgl. Patterson; Talagala (1999), S. 15 45. ? Vgl. Seagate (2009b), s. p. 46. ? Vgl. z.B. Seagate (2009a), S.2 47. ? Vgl. u.a. Gibson; Schroeder (2006), Kap. 7 48. ? 48,0 48,1 Vgl. Barroso et al. (2007), S. 5 49. ? Vgl. Barroso et al. (2007), S. 2, S. 6 50. ? Vgl. Gibson; Schroeder (2006), Kap. 7 51. ? Vgl. von Neumann et al. (1947), S. 2 52. ? Vgl. u.a. Samsung (1999), passim; AMIC Technology (2004), passim 13 Fußnoten 36 Datenrettung_auf_Speichersystemen 53. ? Vgl. u.a. Samsung (1999), S. 3-6 54. ? Vgl. u.a. DALLAS (2006), passim 55. ? Vgl. EURO Kartensysteme (2009), s. p. 56. ? Vgl. Borsari + Meier (2009), S. 2 57. ? Vgl. Benz (2006), s. p. 58. ? Vgl. Leventhal (2008), S. 28f. 59. ? Vgl. Benz (2006), s. p.; Leventhal (2008), S. 27 60. ? Vgl. Leventhal (2008), S. 28 61. ? Schiffhauer (2005a), S. 86 62. ? Vgl. Kroll Ontrack (2008b), S. 3 63. ? Ein Image eines Datenträgers ist eine vollständige Sicherung aller Daten des Datenträgers zu einem bestimmten Zeitpunkt. 64. ? Vgl. Böhret (2004), S. 39 65. ? Vgl. FiR (2001), S. 3 66. ? Vgl. FiR (2001), S. 13 67. ? S. §252 Abs. 1 Nr. 4 HGB 68. ? S. §238 u. §257 HGB 69. ? S. §325 Abs. 2a HBG 70. ? S. §257 Abs. 1 Nr. 1 HGB 71. ? S. §238 Abs. 1 sowie §257 Abs. 1 Nr. 4 HGB 72. ? S. §257 Abs. 1 Nr. 2 u. 3 sowie Abs. 4 HGB 73. ? S. §257 Abs. 5 74. ? Vgl. Atkins (2003), s. p. 75. ? Paging ist eine Methode zur Optimierung der Speichernutzung. Dabei werden die Daten in gleich große (z.B. 4Kb) Abschnitte unterteilt, die so genannten Seiten bzw. Kacheln. 76. ? Vgl. Grenier (2009), passim 77. ? Eine Partitionstabelle enthält zum Beispiel die Informationen über logischen Laufwerke, die sich auf der physischen Festplatte befinden. 78. ? Die GPL ist eine von der Free Software Foundation herausgegebene Lizenz zur Lizenzierung freier Software. 79. ? 79,0 79,1 Vgl. Kroll Ontrack (2008b), S. 11 80. ? Vgl. Kroll Ontrack (2007), s. p. 81. ? Vgl. Barroso et al. (2007), S. 5f. 82. ? Vgl. u.a. adcommunications (2009), s. p.; Kroll Ontrack (2009a), s. p. 83. ? Vgl. Fast-Detect (2009), s. p. 84. ? Vgl. ISO 14644-1:1999 (2008), Klasse ISO 5 (Cleanroom) 85. ? 85,0 85,1 Vgl. Böhret (2004), S. 23 86. ? 86,0 86,1 86,2 86,3 86,4 86,5 86,6 86,7 Vgl. Brekle (2009), s. p. 87. ? Vgl. Kroll Ontrack (2004), S. 8 88. ? Vgl. Kuert (2009), s. p. 89. ? DataChunks beschreiben die Verteilung der Dateiabschnitte über mehrere Datenträger hinweg. 90. ? ParityChunks enthalten Checksummeninformationen, mit denen die Integrität der Daten geprüft werden kann. Im Fehlerfall kann aus ihnen die ursprüngliche Datei rekonstruiert werden. ParityChunks könenn ebenfalls über mehrere Festplatten verteilt sein. 91. ? Vgl. Kroll Ontrack (2007), s. p. 92. ? Vgl. Kroll Ontrack (2006), s. p. 93. ? Vgl. u.a. CDRINFO (2009), s. p. 94. ? Vgl. u.a. Leventhal (2008), passim 95. ? 95,0 95,1 Vgl. HDDLab (2007), s. p. 96. ? Vgl. Crash PC Service (2007), s. p. 97. ? Vgl. Advanced NTFS Recovery (2008), s. p. 13 Fußnoten 37 Datenrettung_auf_Speichersystemen 98. ? Slack-Dateien sind zum Beispiel bereits gelöschte Dateien. Sie werden vom Dateisystem jedoch nicht angezeigt, da die in ihnen noch physisch enthaltenen Daten zu keiner aktuellen Datei zugeordnet sind. 99. ? Vgl. Kroll Ontrack (2008b), S. 12 100. ? S. Kapitel 8.3 101. ? 101,0 101,1 Vgl. Dietmar (2009), s. p. 102. ? Vgl. Schiffhauer (2005), passim 103. ? Brekle (2009), s. p. 104. ? Vgl. Red Hat (2003), Kap. 3 105. ? Red Hat (2003), Kap. 3.1 106. ? Red Hat (2003), Kap. 3.3.2 107. ? Herstellerseite erreichbar unter www.drivesnapshot.de 108. ? 108,0 108,1 108,2 Vgl. Düsing; Jach-Reinke (1999), S. 139 109. ? 109,0 109,1 109,2 Rohde-Enslin (2004), S. 45 110. ? Vgl. Honsel (2007), Sp. 1 111. ? Informationen zum Projekt unter kopal.langzeitarchivierung.de 112. ? Vgl. Gigabank (2009), s. p. 113. ? Link zum Download 114. ? Vgl. Microsoft (2009), s. p. 115. ? Vgl. Budik (1850), S. 375f. 116. ? Drewanz (2007), S. 29 117. ? Vgl. Diedrich (2008), S. 194 u. 196f. 118. ? Vgl. Diedrich (2008), S. 194 119. ? Vgl. Diedrich (2008), S. 199 14 Literatur- und Quellenverzeichnis adcommunications adcommunications (Hrsg.): Checkliste Datenrettung: Sofortmaßnahmen, o.J., (2009) http://www.datenrettung-hilfe.info/checkliste.html (11.06.2009, 12:45) Advanced NTFS Advanced NTFS Recovery (Hrsg.): Gelöschte Dateien wiederherstellen, 2008, Recovery (2008) http://www.ntfsrecovery.com/de/geloeschte-dateien-wiederherstellen.php (07.06.2009, 13:49) AMIC AMIC Technology Corp. (Hrsg.): A43L4616 4M X 16 Bit X 4 Banks Synchronous DRAM, Version 0. Technology 2004, http://www.datasheetcatalog.org/datasheets2/10/1089527_1.pdf (03.06.2009, 22:48) (2004) Attingo Datenrettung GmbH (Hrsg.): Attingo Presseservice - Pressefotos, 2009, Attingo (2009) http://www.attingo.com/de/datenrettung/datenverlust/presse/pressefotos.html (07.06.2009, 13:53) Atkins, Paul S.: Der Sarbanes-Oxley Act: Zielsetzungen, Inhalt und Implementierungsstand, 13.02.200 Atkins (2003) http://www.sec.gov/news/speech/spch020503psag.htm (11.06.2009, 13:25) Barroso et al. Barroso, Luiz A.; Pinheiro, Eduardo; Weber, Wolf-Dietrich: Failure Trends in a Large Disk Drive (2007) Population, Google Inc. (Hrsg.), 2007, http://labs.google.com/papers/disk_failures.pdf (01.06.2009, 21: Benz, Benjamin: Erinnerungskarten: Die Technik der Flash-Speicherkarten, in: c't magazin für comput Benz (2006) technik, 2006, Ausgabe 23, Heise Zeitschriften Verlag, in: eMedia GmbH (Hrsg.): c'tplusrom - Wissen Abruf, Halbjahres-CD Ausgaben 14-26, Heise Zeitschriften Verlag, Hannover 2006 Bigourdan, Jean-Louis; Reilly, James M.; Santoro, Karen; Salesin, Gene: THE PRESERVATION OF Bigourdan et al. MAGNETIC TAPE COLLECTIONS: A PERSPECTIVE, Image Permanence Institute, Rochester Insti (2006) of Technology (Hrsg.), 2006, http://www.imagepermanenceinstitute.com/shtml_sub/NEHTapeFinalReport.pdf (01.06.2009, 13:02) Böhret (2004) 14 Literatur- und Quellenverzeichnis 38 Datenrettung_auf_Speichersystemen Böhret, Peter: "Daten auf der Spur": Handbuch zur Datenrettung und Computer Forensik, Kroll Ontrac GmbH (Hrsg.), 2004, http://www.ontrack.de/library/pdf/HandbuchDatenrettung.pdf (01.05.2009, 12:15 Bonwick, Jeff: You say zeta, I say zetta, 04.05.2006, Bonwick (2006) http://blogs.sun.com/bonwick/entry/you_say_zeta_i_say (11.06.2009, 10:25) Borsari + Meier Borsari + Meier AG (Hrsg.): Chipkarte S-2, 2009, http://www.borsari-meier.ch/MTC/S2.pdf (10.06.20 (2009) 11:29) Brekle (2009) Brekle, Kathrin: Schriftliches Interview mit Kathrin Brekle, Kroll Ontrack, vom 09.06.2009 Budik, P. A.: Die Bibliothek zu Alexandria, in: SERAPEUM. Zeitschrift für Bibliothekswissenschaft, Handschriftenkunde und ältere Literatur., Band 11, XI. Jahrgang, Nr. 24, Dr. Robert Naumann(Hrsg.), Budik (1850) Weigel, Leipzip 1850, http://www.digizeitschriften.de/index.php?id=loader&tx_jkDigiTools_pi1[IDDOC]=236929 (11.06.20 10:18), S. 369-377 Cabla, Lubomir: HDAT2 User?s Manual, http://www.hdat2.com/files/hdat2en_4_52.pdf, 17.09.2006, Cabla (2006) (12.06.2009, 20:59) Castells, Manuel: Die Netzwerkgesellschaft. Band I Das Informationszeitalter, Leske&Budrich, Oplade Castells (2001) 2001 cdrinfo.com (Hrsg.): Samsung to Mass-produce Next Generation PRAM Memory in June, 04.05.2009, CDRINFO (2009) http://www.cdrinfo.com/Sections/News/Details.aspx?NewsId=25280 (11.06.2009, 21:52) Crash PC Service Crash PC Service (Hrsg.): Absatz Technik & Erfolgschance, 2007, (2007) http://www.data-recovery.de/Datenrettung.html (07.06.2009, 22:09) DALLAS Semiconductors (Hrsg.): DS2030W 3.3V Single-Piece 256kb Nonvolatile SRAM, Rev 3; 10 DALLAS (2006) 2006, http://datasheets.maxim-ic.com/en/ds/DS2030W.pdf (02.06.2009, 10:18) Dargers, Torsten: Computerviren - Ein Überblick, Universität Hamburg(Hrsg.), 1995, Dargers (1995) http://agn-www.informatik.uni-hamburg.de/vtc/pcvir_dt.htm (09.06.2009, 07:57) Diedrich, Oliver: Speichermeister: Das Solaris-Dateisystem ZFS, in: c't magazin für computer technik, Diedrich (2008) Ausgabe 21, Heise Zeitschriften Verlag GmbH & Co. KG, Hannover 2008, S. 194-199 Dietmar, Carl: Verlorene Schätze im Stadtarchiv Köln, Kölner Stadtanzeiger (Hrsg.), 03.03.2009, Dietmar (2009) http://www.ksta.de/html/artikel/1236027626764.shtml (07.06.2009, 19:51) Doemens, Karl: Blackout im Bundestag, Handelsblatt (Hrsg.), 06.07.2007, Doemens (2007) http://www.handelsblatt.com/politik/das-politische-feature/blackout-im-bundestag;1290640 (11.06.200 20:01) Double-Take Double-Take Software (Hrsg.): How Double-Take Works, 2009, (2009) http://de.doubletake.com/_docs/pdf/dt-product-overview.pdf (08.06.2009, 12:18) Drewanz, Detlef: News @ Solaris, Sun Microsystems(Hrsg.), 2007, Drewanz (2007) http://de.sun.com/sunnews/events/2007/sundays/pdf/magdeburg/5_news_solaris.pdf (11.06.2009, 10:54 Düsing, C.; Jach-Reinke, H.-J.: Entwicklung einer Backup und Recovery Strategie für die Düsing; Oracle-8-Infrastruktur des IMW, in: IMW - Institutsmitteilung Nr. 24, IMW (Hrsg.), Jach-Reinke http://www.imw.tu-clausthal.de/fileadmin/Bilder/Forschung/Publikationen/Mitt_1999/99_24.pdf (1999) (01.06.2009, 18:01), Eschborn 1999, S. 139-144 eMedia GmbH (Hrsg.): c'tplusrom - Wissen zum Abruf, Halbjahres-CD Ausgaben 14-26, Heise eMedia (2006) Zeitschriften Verlag, Hannover 2006 eMedia GmbH (Hrsg.): ix abo+ Schneller Zugriff 2008, CD 2008, Heise Zeitschriften Verlag, Hannove eMedia (2008) 2008 EURO EURO Kartensysteme GmbH (Hrsg.): GeldKarte laden und entladen, 2009, Kartensysteme http://www.geldkarte.de/_www/de/pub/geldkarte/privatnutzer/geldkarte_im_einsatz/laden_und_entlade (2009) (10.06.2009, 11:02) 14 Literatur- und Quellenverzeichnis 39 Datenrettung_auf_Speichersystemen Fast-Detect (2009) FiR (2001) Gibson; Schroeder (2006) Gigabank (2009) Grenier (2009a) Grenier (2009b) HDDLab (2007) Heuer (2005) Honsel (2007) IMW (1999) Iraci (2005) ISO/IEC 2382-1 (1994) ISO 14644-1:1999 (2008) ISO 18923 (2000) Judge et al. (2005) Kelm (2008) Kroll Ontrack (2004) Kroll Ontrack (2006) Kroll Ontrack (2007) Fast-Detect (Hrsg.): Datenrettung: Sofortmaßnahmen, 2009, http://datenrettung.fast-detect.de/recovery/wastun.html (07.06.2009, 12:47) FiR - Forschungsinstitut für Rationalisierung e.V. an der RWTH Aachen (Hrsg.): Expertenstudie Wissensmanagement in technischen Dienstleistungsunternehmen, Aachen 2001 Gibson, Garth A.; Schroeder, Bianca: Disk failures in the real world: What does an MTTF of 1,000,000 hours mean to you?, 2006, http://www.usenix.org/events/fast07/tech/schroeder/schroeder_html/index.h (01.06.2009, 19:14) Gigabank (Hrsg.): Persönliche Datensicherung - Preise, 2009, https://www.gigabank.de/de/gigabank/preise.php (10.06.2009, 10:28) Grenier, Christophe: TestDisk DE - TestDisk Datenrettung, 19.04.2009, http://www.cgsecurity.org/wiki/TestDisk_DE (10.06.2009, 23:01) Grenier, Christophe: TestDisk DE - TestDisk Datenrettung, 19.04.2009, http://www.cgsecurity.org/wiki/PhotoRec_DE (10.06.2009, 23:05) HDDLab (Hrsg.): Datenrettung SD, MMC und CF Speicherkarten, 2007, http://www.hddlab.de/datenrettung/articles/speicherkarten_datenrettung.html (07.06.2009, 12:49) Heuer, Steffan.: Online in die Vergangenheit, in: tr Technology Review, 2005, Ausgabe Januar, Heise Zeitschriften Verlag, Hannover 2005, S. 92-95 Honsel, Gregor: Hundert Jahre auf Band, in: tr Technology Review, 2007, Ausgabe August, Heise Zeitschriften Verlag, Hannover 2007, S. 23-24 IMW (Hrsg.): IMW - Institutsmitteilung Nr. 24, Eschborn 1999 Iraci, Joe.:The Relative Stabilities of Optical Disc Formats, RESTAURATOR-International Journal for Preservation of Library and Archival Material Volume 26 Number 2, K.G. Saur(Hrsg.), http://aic.stanford.edu/sg/emg/library/pdf/iraci/relativeStabilitiesOpticalDiscs.pdf (01.06.2009, 19:59), München 2005, S. 134-150 International Standard Organization (Hrsg.): Information technology - Vocabulary - Fundamental terms Stand: 15.02.1994, Genf 1994 International Organization for Standardization (Hrsg.): ISO 14644-1:1999 - Cleanrooms and associated controlled environments -- Part 1: Classification of air cleanliness mit Stand vom 05.12.2008, Genf 200 International Standard Organization (Hrsg.): 2000?Imaging materials?Polyester-base magnetic tape?Sto practices, Genf 2000 Judge, J. S.; Miller, G.; Schmidt, R. G.; Weiss, R. D.:Media Stability and Life Expectancies of Megnet Tape for Use with IBM 3590 and Digital Linear Tape Systems, http://storageconference.org/2003/papers/15_Judge-Media.pdf (01.06.2009, 12:52), in: RESTAURATO International Journal for the Preservation of Library and Archival Material Volume 26 Number 2, K.G. Saur(Hrsg.), München 2005, S. 134-150 Kelm, Stefan: Rausgefischt: Daten wiederherstellen mit Open-Source-Tools, in: iX Magazin für professionelle Informationstechnik, 2008, Ausgabe 05, Heise Zeitschriften Verlag, in: eMedia GmbH (Hrsg.): ix abo+ Schneller Zugriff 2008, CD 2008, Heise Zeitschriften Verlag, Hannover 2008 Kroll Ontrack (Hrsg.): Whitepaper Achieve Data Security & Rapid ROI with Remote Data Recovery, 2 http://www.ontrack.de/images/nav/Kroll%20Ontrack_Whitepaper_RDR%20(english).pdf (01.05.2009, 12:08) Kroll Ontrack (Hrsg.): Hohe Erfolgsaussichten bei Datenrettung nach Wasserschaden, Pressemitteilung 31.03.2006, 2006, http://www.ontrack.de/pressemitteilungen/index.aspx?getPressRelease=36717 (01.06.2009, 18:03) Kroll Ontrack (Hrsg.): Die Unwettersaison ist da - gute Erfolgsaussichten für Datenrettung nach Wasserschaden - Erfolgreiche Datenrettung nur durch ausgewiesene Experten und bei Einsatz moderns 14 Literatur- und Quellenverzeichnis 40 Datenrettung_auf_Speichersystemen Kroll Ontrack (2007) Kroll Ontrack (2008a) Kroll Ontrack (2008b) Kroll Ontrack (2009a) Kuert (2009) Leventhal (2008) Lyman; Varian (2003) Meier et al. (2004) Microsoft (2000) Microsoft (2007) Microsoft (2009) Mörgenthaler (2006) Patterson; Talagala (1999) Red Hat (2003) Rohde-Enslin (2004) Samsung (1999) Saur (2005) Schiffhauer (2005a) Schiffhauer (2005b) Schiffhauer (2005c) Schiffhauer (2005d) Technologie, Pressemitteilung vom 20.07.2007, 2007, http://www.ontrack.de/pressemitteilungen/index.aspx?getPressRelease=55227 (01.06.2009, 17:58) Hardwarejournal (Hrsg.): Datenverlust vorbeugen vom Juli 2007, Juli 2007, http://www.hardwarejournal.de/tip-datenverlust-vorbeugen.htm (05.06.2009, 19:43) Kroll Ontrack Inc. (Hrsg.): Datenrettung - Pressemitteilung, 03.12.2008, http://www.ontrack.de/pressemitteilungen/index.aspx?getPressRelease=61213 (11.06.2009, 11:38) Kroll Ontrack GmbH (Hrsg.): Whitepaper Datenrettung, 2008, http://www.ontrack.de/library/pdf/HandbuchDatenrettung.pdf (01.05.2006, 12:59) Kroll Ontrack Inc. (Hrsg.): Was tun bei Datenverlust?, 2009, http://www.ontrack.de/tipps-datenverlust/ (01.05.2009, 13:05) Kuert Datenrettung Deutschland GmbH (Hrsg.): Datenwiederherstellung, o. J., http://www.datenambulanz.de/datenwiederherstellung/ (03.05.2009, 12:08) Leventhal, Adam: FLASH STORAGE Today, in: ACM QUEUE, 2008, Ausgabe Juli/August, The Association for Computing Machinery, Inc.(Hrsg.), New York 2008, S. 26-30 Lyman, Peter; Varian, Hal R.: How Much Information? 2003, 2003, http://www2.sims.berkeley.edu/research/projects/how-much-info-2003/index.htm (01.06.2009, 19:08) Meier, Nikolaus; Precht, Manfred; Tremel, Dieter: EDV-Grundwissen: Einführung in Theorie und Prax modernen EDV, Pearson Education (Hrsg.), 7. Auflage, Addison-Wesley, München 2004 Microsoft (Hrsg.): FAT32 File System Specification, 06.12.2000, http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx (11.06.2009, 15:05) Microsoft (Hrsg.): Aktivieren von 48-Bit-LBA-Unterstützung für ATAPI-Laufwerke in Windows XP, in: http://support.microsoft.com/default.aspx/kb/303013 (09.06.2009, 20:05) Microsoft (Hrsg.): How to use the SQLIOSim utility to simulate SQL Server activity on a disk subsyste in: http://support.microsoft.com/?scid=kb%3Ben-us%3B231619&x=17&y=1 (07.06.2009, 10:55) Mörgenthaler, Thomas: Lagebericht zur Informationssicherheit, in: <kes>, Die Zeitschrift für Informtions-Sicherheit, special, Auszüge aus <kes> 2006#4/6, Microsoft Deutschland GmbH (Hrsg.), 2 http://www.kes.info/archiv/material/studie2006/kes-Microsoft-Studie 2006 (Sonderdruck).pdf (01.06.2 18:30) Patterson, David, Talagala, Nisha: An Analysis of Error Behavior in a Large Storage System, Universit California at Berkeley (Hrsg.), Berkeley 1999 Red Hat Inc. (Hrsg.): Red Hat Linux 9 - Red Hat Linux Handbuch benutzerdefinierter Konfiguration, 2 http://www.tu-chemnitz.de/docs/lindocs/RH9/RH-DOCS/rhl-cg-de-9/index.html (06.06.2009, 21:02) Rohde-Enslin, S.: Nicht von Dauer: Kleiner Ratgeber für die Bewahrung digitaler Daten in Museen, nestor/IfM (Hrsg.), 2004, http://edoc.hu-berlin.de/series/nestor-ratgeber/1/PDF/1.pdf (01.06.2009, 12:3 Samsung Electronics (Hrsg.): KM432S2030C 2M x 32 SDRAM Synchronous DRAM LVTTL, Revisio 1.1, 1999, http://www.datasheetcatalog.org/datasheets2/11/1188896_1.pdf (03.06.2009, 22:45) Saur, K.G.(Hrsg.).: RESTAURATOR-International Journal for the Preservation of Library and Archiva Material Volume 26 Number 2, München 2005 Schiffhauer, Nils: Wider das globale Vergessen, in: tr Technology Review, 2005, Ausgabe Januar, Heis Zeitschriften Verlag, Hannover 2005, S. 82-87 Schiffhauer, Nils: Bleibende Poesie, in: tr Technology Review, 2005, Ausgabe Januar, Heise Zeitschrif Verlag, Hannover 2005, S. 89-91 Schiffhauer, Nils: Papier-Tempel, in: tr Technology Review, 2005, Ausgabe Januar, Heise Zeitschriften Verlag, Hannover 2005, S. 98-99 Schiffhauer, Nils: Das Gedächtnis der Nation, in: tr Technology Review, 2005, Ausgabe Januar, Heise Zeitschriften Verlag, Hannover 2005, S. 100-102 14 Literatur- und Quellenverzeichnis 41 Datenrettung_auf_Speichersystemen Seagate (Hrsg.): Datenblatt "Die SV35.4 Series", 2009, http://www.seagate.com/docs/pdf/de-DE/datasheet/disc/ds_sV35_4.pdf (03.06.2009, 19:42) Seagate (Hrsg.): Playing It S.M.A.R.T., 2009, Seagate (2009b) http://seagate.custkb.com/seagate/crm/selfservice/search.jsp?DocId=194645&NewLang=en&Hilite=sm (01.06.2009, 19:10) van Bogar, John W.C.: Magnetic Storage and Handling, A Guide for Libraries and Archives., National van Bogart (1995) Media Lab, and The Commission on Preservation and Access (Hrsg.), 1995, http://www.clir.org/pubs/reports/pub54/ (01.06.2009, 18:32) Verbatim (Hrsg.): Archival Grade DVD-R - White Paper, 2007, Verbatim (2007) http://www.verbatim.com.au/technotes/Archival_DVD.pdf (01.06.2009, 20:01) Burks, Arthur W.; Goldstine, Herman H.; von Neumann, John: Preliminary discussion of the logical de von Neumann et of an electronic computer instrument, The University of Michigan (Hrsg.), Michigan 1947, al. (1947) http://deepblue.lib.umich.edu/bitstream/2027.42/3972/5/bab6286.0001.001.pdf (03.06.2009, 23:05) Wells, David P.: Predicting the longevity of DVD-R media by periodic analysis of parity, jitter and exx Wells (2008) performance parameters, 2008, http://contentdm.lib.byu.edu/ETD/image/etd2526.pdf (01.06.2009, 12:3 Seagate (2009a) 15 Rechtsquellenverzeichnis DNBG GDPdU HGB SOX Gesetz über die Deutsche Nationalbibliothek vom 22. Juni 2006 (BGBl. I S. 1338), das durch Artikel 15 Abs. 62 des Gesetzes vom 5. Februar 2009 (BGBl. I S. 160) geändert worden ist Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BMF-Schreiben vom 16. Juli 2001 - IV D 2 - S 0316 - 136/01 Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnummer 4100-1, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 69 des Gesetzes vom 17. Dezember 2008 (BGBl. I S. 2586) geändert worden ist Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (codified as amended in scattered sections of 15 U.S.C.). 16 Anhang Schriftliches Interview vom 09.06.2009 mit Frau Kathrin Brekle, Kroll Ontrack GmbH Fragenkatalog Datenrettung auf Speichermedien professionelle Datenrettung' Im Rahmen einer Fallstudie zum Thema Datenrettung auf Speichermedien würde ich gerne auf die Aussagen möglichst praxisnah zu bleiben. (Whitepaper der Unternehmensseite wurden bereits entnommen) Daher ein Abrundung des Bereichs ?professionelle Datenrettung? stellten. Ich bitte Sie so ausführlich wie nötig da sich in einem persönlichen Interview möglicherweise weitere Randfragen zu kleineren Details ergebe Ich bedanke mich vorab herzlich dafür, dass Sie sich die Zeit nehmen konnten, um diesen Fragebogen zu 1. Wie wird eine Schadensevaluierung vorgenommen? Antwort Ontrack: Audiovisuelle Kontrolle aller Komponenten bis zum zerlegen der Einzelteile und Ansic 2. Unterscheidet sich die Vorgehensweise dabei nach Speichermedium? 15 Rechtsquellenverzeichnis 42 Datenrettung_auf_Speichersystemen (HDD, Flash, optisches Medium, Tape) Antwort Ontrack: Ja, diese Medien sind physisch schon anders aufgebaut. Festplatten müssen wieder in hergestellt werden, Tapes können teilweise gesplict werden. Es gibt generelle Prozed aber meist gibt es eine spezielle Prozedur bis runter zur unterschiedliche Revision 3. Wie funktioniert eine Datenrettung in Tape-Libraries? (kurzer Einblick genügt) Antwort Ontrack: Es geht immer um einzelne Tapes oder Tape Sets. Die Bänder werden komplett duplizier selbstentwickelten Software Tools ausgelesen. 4. Wie gehen Sie vor wenn FAT/MFT nicht mehr vorhanden sind? Antwort Ontrack: Die Reparatur setzt die Kenntnis des genauen Aufbaus des NTFS- bzw. FAT-Dateisystems je nach Fehlerfall unterschiedliche Ansätze, um Daten rekonstrieren zu können. 5. Wie wird erkannt welche Blöcke zu einer Datei gehören, wenn der FAT/MFT fehlt? Antwort Ontrack: Bei FAT gibt es die Verzeichniseinträge und dort für jede Datei der Startcluster und Der Rest ist dann eine Frage der Fragmentierung. Oft ist nicht alles weg, insbesonde noch die Bitmap und kann dann in den verloren Bereichen eine Datei-Signatur-Suche du 6. Spielt die Stärke der Fragmentierung bei der Wiederherstellung eine Rolle? Antwort Ontrack: Ja - diese kann extrem wichtig sein, insbesondere bei Dateien größer als die Cluster lästige Streifen in den Urlaubsbildern haben? 7. Unterscheidet sich die Erfolgsquote der Wiederherstellung kompletter Systeme bei verschiedenen Be oder erfolgt die Sicherung rein bitweise? Ergänzung zur Frage: Erschwert die Art des Dateisystems (ext3 vs FAT/NTFS) den Wiederherstellungsproz Antwort Ontrack: Nein - jedes Dateisystem hat Vorteile und Nachteile. Das kommt auf den Einzelfall an 8. Wirkt sich der Dateityp auf den Erfolg der Wiederherstellung aus? Antwort Ontrack: Ja, man stelle sich eine hoch fragmentierte MySQL Datenbank Datei vor, die gelöscht schwierig. Dagegen ist der interne Aufbau einer MS SQL Datei solch einer Datenrettun 9. Sind Daten zu retten, selbst wenn der identifizierende Typschlüssel fehlt? (Beispiel JPG) Antwort Ontrack: JPG Dateien haben immer die gleiche Header Signatur und können wiederhergestellt wer 10. Ab welchem Beschädigungsgrad ist eine Datenrettung auf genannten Speichermedien unmöglich? --> H Antwort Ontrack: Kann man so nicht sagen, es ist möglich, dass in den Fragmenten die wir wiederherges gesuchte Datei steckt. Im Regelfall sind Hardware Fehler und falsche Userinteraktion dass wir keine Daten wieder herstellen können. 11. Unterscheidet sich die Vorgehensweise in der Evaluierung und Wiederherstellung zwischen normalen verschiedenen RAID-Verbunden? Wenn "ja" wie? Antwort Ontrack: Zur Komplexität des herkömmlichen Dateisystems wie es auf einer einzelnen Festplatte dann noch die Aufteilung des Dateisystemes in DataChunks und ParityChunks über mehre Hersteller hat hier eigene Parameter die im Einzelpuzzle erst einmal erkannt werden Reihenfolge der Festplatten. Danach braucht man ein Software Simulationstool für die Controler meist defekt ist oder nicht zur Verfügung steht. Handelt es sich dann um e sehr oft die verschiedensten proprietären Linux Derivate zum Einsatz. 12. Können Sie die Erfolgschancen nach Verlustursache eingrenzen? Antwort Ontrack: eine Wiederherstellungsquote von 80% aller Datenrettungen ist realistisch 16 Anhang 43 Datenrettung_auf_Speichersystemen 13. Welche Reparaturen sind möglich, wenn der Datenverlust technischer Natur ist? (Beispiel Elektron Antwort Ontrack: Das hängt vom Hersteller, dem Festplattentyp und der Verfügbarkeit genau der Ersatzt Revision und Firmware ab, bzw. auch der Zusammenarbeit mit den Festplattenhersteller Bereitschaft des Kunden auf die Daten zu warten. Wann wird es eng? Entscheidend ist auch ein erfahrenes und flexibles R&D Team für Software- und Hardwareentwicklung zu Technologie bleibt nicht stehen. SSD Festplatten sind schon im Markt 14. Entspricht ein Reinraum einer produktionsnahen Umgebung? Wie wird dies erreicht? Antwort Ontrack: Diverse Bilder in der Presse sind leider fiktiv. Es genügt ein Arbeitsplatz der Klas Zum letztmaligen auslesen benötigen wir keine Produktivumgebung. 15. Welche technischen Hilfsmittel stehen den Experten in einem Reinraum zur Verfügung? (Mikroskope, elektrische Mittel, mechanische Mittel) Antwort Ontrack: - keine Auskunft - 16. Wie ist die quantitative und die qualitative Entwicklung zu rettender Daten? (z.B. Zunahme, Abnahme) Antwort Ontrack: Das kann man so nicht sagen. Wenn es strukturelle Beschädigungen im Verzeichnisbaum Verzeichnisnamen nicht mehr haben, aber alle JPG Aufnahmen, dann wäre ein Kunde ein seine Kundendaten über die Auftragsnummer im Verzeichnisnamen speichert damit nicht obwohl die eigentlichen Daten perfekt und 100%ig sind. 17. Gibt es besonders unsichere Medien? Antwort Ontrack: Das hängt von den Lagerbedingungen und dem Zweck ab. Für den Privatgebrauch gibt es Speicherplatz im Internet umsonst für 1GB auf fünf Jahre. Die Bequemlichkeit ist der 18. Welche "schwachen" Signale weisen auf einen baldigen Ausfall einer Komponente im Privatbereich h (Zum Beispiel "rattern" der Festplatte) Antwort Ontrack: Hier gibt es vielfältige Tools welche direkt eingebaute Festplatten überwachen z.B. 19. Bitte nennen Sie ein Tool, das sie Privatanwendern empfehlen würden. Antwort Ontrack: Ontrack Easy Recovery zur Datenrettung, z.B. www.gigabank.de<http://www.gigabank.de> Privatbereich (es gibt aber auch immer mehr andere ...) 20. Gibt es generelle Unterschiede zwischen Freeware und kostenpflichtigen Tools? Wie schätzen Sie d von Freeware-Tools ein? Antwort Ontrack: Meist ist es eine Sache der Convenience und den unterstützten Features. Die Frage is Anbieter auch sich mit ProgrammUpdates an die Marktentwicklung anpasst oder auch neu in der Vergangenheit integriert hat). 21. Wie kann ein Privatanwender komfortabel einem Datenverlust vorbeugen? (möglichst wenige manuelle Eingriffe) Antwort Ontrack: 1. Ein Imagevollbackup in regelmäßigen Abständen 2. Automatische inkrementelle Backups auf eine zweite Festplatte 3. Regelmäßige Sicherung der Daten zur Langzeitarchivierung in verschlüsselte Contai 4. Auslagerung der wichtigen Daten übers WEB zu einem Online Backup Hoster 22. Wie schätzen Sie die zukünftige Entwicklung im Bereich der Datenrettung ein? Sehen Sie neue Gefa Flash-Disks im Server Bereich, Cloud Computing)? Sehen Sie neue Chancen? Antwort Ontrack: Mechanische Beschädigungen der Elektronik wird es weiter geben, insbesondere wenn al die rotierenden Scheiben weg sind und man mit den neuen Geräten ruppiger umgehen kan ein Marketing Name. Die Daten sind entweder intern im Unternehmen oder auf möglicher 16 Anhang 44 Datenrettung_auf_Speichersystemen externen Speichern untergebracht. Meist ist die Sicherheit bei externen Dienstleiste eigenen Serverraum 16 Anhang 45