133720
Goto Top

Datenträger sicher löschen

Hallo.

Ich brauche mal Hilfe.
Und zwar benötige ich einen bootbaren USB-Stick mit dessen Zweck ich anschließend die komplette Festplatte (SSD, M.2 usw.) überschreiben kann.
Wir haben hier Windows-Rechner im Einsatz. Teilweise mit Bitlocker verschlüsselt.

DBan habe ich getestet. Läßt sich unter UEFI scheinbar nicht starten.
Gibt es ein Linux Live-System in dem DBan schon drin ist. Alternativ ginge auch nwipe.
Es muss allerdings ein Gesamtkonstrukt sein mit auch ein nicht IT-Profi klar kommt. Stick rein booten Tool starten fertig.

Könnt ihr mir etwas empfehlen ?

Merci.

Content-ID: 5821207466

Url: https://administrator.de/forum/datentraeger-sicher-loeschen-5821207466.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

DerWoWusste
DerWoWusste 03.02.2023 aktualisiert um 15:50:21 Uhr
Goto Top
Nutze Herstellertools, die secure erase bieten. Wenn du keine für eure Plattenhersteller findest, kaufe für 15 Dollars parted magic, das hat eine secure-erase-Funktion und kann uefi secure boot. Erspart Arbeit.
https://partedmagic.com/nvme-secure-erase/
ipzipzap
ipzipzap 03.02.2023 um 16:05:07 Uhr
Goto Top
Franz-Josef-II
Franz-Josef-II 03.02.2023 um 16:06:19 Uhr
Goto Top
Also ich habe da eine eigene "Löschstation", sprich HD hinein, booten, erledigt.

Du willst zum PC und löschen? Gibt's da ein Linux, daß mit SecureBoot zurechtkommt? Ansonsten SecureBoot abdrehen .... ansonsten übers BIOS die Verschlüsselungssdchlüssel "entsorgen" und paßt.
pantox
pantox 03.02.2023 aktualisiert um 16:11:50 Uhr
Goto Top
Hallo Raucherbein,

schonmal DBAN UEFI Versionversucht?

Mit Rufus kann man daraus zumindest einen GPT kompatiblen Stick erzeugen, läuft laut Beschreibung jedoch nur auf 64-Bit Systemen.

Edit: Grad nochmal zum Thema nachgelesen, DBAN ist nur für HDD, SSD und NVME benötigen spezielle Löschtools, wie das bereits vorgeschlagene PartedMagic

hf, pantox
Trommel
Trommel 03.02.2023 aktualisiert um 16:48:06 Uhr
Goto Top
Moin,

https://www.toolhouse.de/produkt/toolstarshredder/

kann HDDs und SSDs sowie NVMe's sicher löschen mit Zertifikat (Überschreiben, (Enhanced) Secure Erase), NVMe Erase etc etc...). Die Automatisierungen kannst Du dir vorher basteln, man muss dann "nur noch" auswählen und optional ein paar Felder ausfüllen. UEFI kann es. Da kannst Du dich austun, bis der Lesekopf ausgelutscht auf den Spindeln liegt (oder eben der Chip glüht..)

Schönes WE.

Trommel
ChriBo
ChriBo 03.02.2023 aktualisiert um 16:23:34 Uhr
Goto Top
Hi,
Es muss allerdings ein Gesamtkonstrukt sein mit auch ein nicht IT-Profi klar kommt. Stick rein booten Tool starten fertig.
Gibt es leider nicht (für kleines Geld).
Das von @DerWoWusste vorgeschlagene partedmagic ist eine gute Wahl, erfordert aber manuelle Einstellungen des Users und es gibt kein wirkliches Reporting, d.h keine Kontrolle über Erfolg oder Nichterfolg der Löschung.

Als funktionierendes Tool kann ich dir Blancco Disk Eraser nennen, hier sind "nur" ein paar Voreinstellungen zu machen, dann ist <Stick rein booten Tool starten fertig> erfüllt. die Verantwortlichen haben dann auch Zugriff auf die Reports.
Wenn du mehr darüber wissen willst: PM an mich

Zu Blancco Drive Eraser gibt es noch Alternativen: Certus, Securaze, toolstarshredder etc. da fehlt mir aber die Erfahrung.

Gruß
CH
DerWoWusste
DerWoWusste 03.02.2023 um 17:51:35 Uhr
Goto Top
keine Kontrolle über Erfolg oder Nichterfolg der Löschung.
Wie soll die denn aussehen? Vertrauen muss man in jedem Fall drauf, nachprüfen ist nicht möglich.
MacLeod
MacLeod 03.02.2023 um 18:05:57 Uhr
Goto Top
Hallo
Toolhouse macht das. Mit anerkanntem Zertifikat. Und das kann im betrieblichen Umfeld entscheidend sein.
MfG,
MacLeod
133720
133720 05.02.2023 um 20:36:30 Uhr
Goto Top
Danke für die Rückmeldungen.

Die BIOS-Einstellungen sollen so belassen werden.
Ebenso soll keine Festplatte ausgebaut werden.

Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.

Meine Idee war eine Live-Linux System auf einen USB-Stick bereit zu stellen. Damit sollte es dann auch keine kompatibilitätsprobleme mit BIOS oder UEFI oder sonst etwas geben.
Hat da jemand Erfahrung ?
DerWoWusste
DerWoWusste 06.02.2023 um 09:22:49 Uhr
Goto Top
Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.
Erklär mir da mal bitte. Meine Links: https://partedmagic.com/store/ und https://partedmagic.com/nvme-secure-erase/
Trommel
Trommel 06.02.2023 um 09:37:44 Uhr
Goto Top
Zitat von @DerWoWusste:

Die kostenpflichtigen Modelle sehen entweder unseröis aus, weil keine Preise angegeben sind oder sind anderes gammelig.
Erklär mir da mal bitte. Meine Links: https://partedmagic.com/store/ und https://partedmagic.com/nvme-secure-erase/

Na is halt "gammelig" face-wink

Trommel
5175293307
5175293307 06.02.2023 aktualisiert um 09:44:23 Uhr
Goto Top
Live-Linux der Wahl mit nvm-cli, dann
sudo nvme list
sudo nvme format -s1 <device>
Gruß wurstel


Zitat von @Trommel:
Na is halt "gammelig" face-wink
Hauptsache es macht seine Sache gründlich, da braucht man doch keine fancy GUI !
Franz-Josef-II
Franz-Josef-II 06.02.2023 um 09:44:52 Uhr
Goto Top
Zitat von @133720:
Die BIOS-Einstellungen sollen so belassen werden.
Ebenso soll keine Festplatte ausgebaut werden.

Wenn da jetzt der USB-Boot verboten ist, was z.B. bei uns der Fall ist, dann kann der User nichts machen. 🤣
Trommel
Trommel 06.02.2023 aktualisiert um 10:17:23 Uhr
Goto Top
Zitat von @5175293307:
Zitat von @Trommel:
Na is halt "gammelig" face-wink
Hauptsache es macht seine Sache gründlich, da braucht man doch keine fancy GUI !

Fair enough ! Wenn der Endnutzer damit klar kommt . Wobei ich trotzdem auf ein Protokoll bestehen würde...
Er hat ja auch nach einem Linux mit DBan o.ä. gefragt, das hatte ich etwas überlesen, von daher passt die Rückmeldung schon. Die anderen Lösungen sind aber sicher auch zielführend ... Schönen Montag

Trommel
Nebellicht
Nebellicht 06.02.2023 aktualisiert um 10:51:09 Uhr
Goto Top
Das Windows eigene CMD Tool cipher macht gute Dienste.
learn.microsoft.com/de-de/windows-server/administration/windows-commands/cipher

cipher /W: G: 

Gruß Nebellicht
133720
Lösung 133720 06.02.2023 um 11:46:43 Uhr
Goto Top
Ich schließe das Thema mal und probier es in einem Linux-Forum.
Der Moderator hat mein anderen Thema im Linux-Channel geschlossen. Doppelpost usw.
Ich möchte das Ganze auch nicht überstrapazieren.

Danke und tschö.
DerWoWusste
DerWoWusste 06.02.2023 um 11:49:43 Uhr
Goto Top
Ich möchte das Ganze auch nicht überstrapazieren.
Auf Rückfragen antworten sollte noch drin sein.
5175293307
5175293307 06.02.2023 aktualisiert um 11:55:19 Uhr
Goto Top
Zitat von @133720:

Ich schließe das Thema mal und probier es in einem Linux-Forum.
??
ShutterJx
ShutterJx 09.02.2023 um 08:43:01 Uhr
Goto Top
Hallöchen, auch wenn das Thema vielleicht beendet ist,
wäre es nicht eine Möglichkeit die Festplatten mit Diskpart und "clean /all" zu löschen? Setzt die Festplatte auch wieder auf null.

https://www.diskpart.com/de/articles/diskpart-clean-all.html

Vielleicht hilft es.
Ich wünsch euch was!
5175293307
5175293307 09.02.2023 aktualisiert um 09:00:28 Uhr
Goto Top
Zitat von @ShutterJx:
wäre es nicht eine Möglichkeit die Festplatten mit Diskpart und "clean /all" zu löschen? Setzt die Festplatte auch wieder auf null.
Nein, wegen der Arbeitsweise einer NVME, keine wasserdichte Option.
ShutterJx
ShutterJx 09.02.2023 um 09:17:58 Uhr
Goto Top
Zitat von @5175293307:
Nein, wegen der Arbeitsweise einer NVME, keine wasserdichte Option.

Kannst du da mal bitte interessehalber ein Link dazu schicken? Weil beim besten Willen, ich finde nichts dazu, dass sich bei NVMEs die nullen wieder umschreiben lassen oder ähnliches..
5175293307
5175293307 09.02.2023 aktualisiert um 09:50:35 Uhr
Goto Top
Weil SSDs im Gegensatz zu klassischen HDDs (ohne Flasherweiterung) sogenannte Spare Areas/Over-Provisioning nutzen um Daten abseits des für das OS sichtbaren Speichers abzulegen (z.B. fürs wear leveling) und diesen Speicher kann Diskpart nicht erreichen, es können dort also durchaus noch sensible Daten verbleiben, die sich auslesen lassen wenn man kein secure erase durchführt. Bei einem secure erase wird im Gegensatz zu diskpart auch dieser "Ersatzspeicher" sicher gelöscht.
https://www.thomas-krenn.com/de/wiki/Solid-State_Drive#:~:text=Die%20Gr% ....
https://www.thomas-krenn.com/de/wiki/SSD_Over-Provisioning_mit_hdparm
ShutterJx
ShutterJx 09.02.2023 um 09:54:03 Uhr
Goto Top
Zitat von @5175293307:

Weil SSDs im Gegensatz zu klassischen HDDs (ohne Flasherweiterung) sogenannte Spare Areas/Over-Provisioning nutzen um Daten abseits des für das OS sichtbaren Speichers abzulegen (z.B. fürs wear leveling) und diesen Speicher kann Diskpart nicht erreichen, es können dort also durchaus noch sensible Daten verbleiben, die sich auslesen lassen wenn man kein secure erase durchführt. Bei einem secure erase wird im Gegensatz zu diskpart auch dieser "Ersatzspeicher" sicher gelöscht.

Okay danke erstmal für die Info, wieder was gelernt. Allerdings habe ich dazu auch noch was gefunden, wo mich interessieren würde, was du dazu sagst:


"So banal ist ein Secure Erease nicht, dabei wird ein Passwort vergeben und wenn das BIOS die ATA Sicherheitsfunktionen einfriert um Schädlingen keine Chance zu geben, was auch sinnvoll ist, muss man die SSD kurz stromlos machen um dieser Sperre wieder aufzuheben. Daher empfehle ich lieber das Überschreiben mit DISKPART, welches Teil von Windows ist und auch auf den Installations- und Recoverymedien ist. Die kann man booten und dann Shift+F10 drücken um eine Eingabeaufforderung zu erhalten. Steckt die SSD in einem Rechner der Windows hat, dann öffnet man eine cmd.exe und gibt dort ein:

diskpart
list disk
select disk x (x steht für die Nummer des Laufwerks aus list disk, die richtige Platte sollte an der Kapazität erkennen sein, sonst andere Platten besser vorher abklemmen um Datenverlust zu vermeiden)
clean all
exit

clean statt clean all löscht nur alle Partitionierungsinformationen, clean all überschreibt alle adressierbaren LBAs der SSD mit 00 und dauert entsprechend länger, man kann danach auch nichts mehr widerherstellen. Selbst die Reste die noch irgendwo in der Spare Area stecken kann ein User nicht mehr auslsen, weil man an diese nicht mehr ran kommen kann und der Controller beim Auslesen der LBAs immer nur 00 zurückgeben wird. Man müsste schon die NANDs ablöten und auslesen und dazu noch hoffen, dass die Idle-GC diese ja nun ungültigen Datenreste nicht auch schon gelöscht hat. Problematisch sind bei Diskpart nur HPAs, da diese nicht überschrieben werden, aber wer nutzt schon eine HPA und schreibt dann da noch sensible Daten rein?"

Quelle: https://www.hardwareluxx.de/community/threads/ssd-richtig-l%C3%B6schen.1 ...
Nutzer: "Holt"
5175293307
5175293307 09.02.2023 aktualisiert um 10:02:46 Uhr
Goto Top
weil man an diese nicht mehr ran kommen kann
Das ist eben falsch gedacht. Ein Profi kommt da eben sehr wohl dran.
In diesem Beitrag geht es ja um "sicher" löschen. Ein clean all als Allheilmittel alleine genutzt bringt es also nicht "wasserdicht" zu Stande.
Meine Devise, Speicher den ich mir kaufe verlässt mein Haus niemals mehr, und wird an seinem Lebensende mit Thermit endgültig terminiert sofern er irgendwann mal sensible Daten beherbergt hat.
ShutterJx
ShutterJx 09.02.2023 um 10:01:58 Uhr
Goto Top
Nungut, dann weiß ich vorerst bescheid. Ich danke für die Infos ;)

Schönen Tag noch!
chriscar
chriscar 10.02.2023 um 10:24:25 Uhr
Goto Top
Ich lösche alle Partitionen auf dem zu löschenden Laufwerk und verschlüssele anschließend das komplette Laufwerk mit VeraCrypt. Was Spare Areas und Over-Provisioning betrifft: Da beim Verschlüsseln Daten auf das Laufwerk geschrieben werden, müsste sich der Inhalt in den Spare Areas doch auch ändern, wenn ich das richtig verstehe.
5175293307
5175293307 10.02.2023 aktualisiert um 10:42:42 Uhr
Goto Top
Zitat von @chriscar:
Da beim Verschlüsseln Daten auf das Laufwerk geschrieben werden, müsste sich der Inhalt in den Spare Areas doch auch ändern, wenn ich das richtig verstehe.
Nein nicht zwingend, das bestimmt der Controller selbst was da landet. Es bleibt halt immer ein Rest-Risiko das dort doch noch etwas sensibles verbleibt, auch wenn das Risiko gering ist das sich damit noch etwas anfangen lässt.
Bei einem SecureErase/Sanitize wird übrigens zusätzlich der sogenannte FTL (FileTranslationLayer) zurückgesetzt der die Zuordnung von logischen zu physischen Zellen übersetzt.
Mehr Stoff zum Lesen
https://www.google.com/search?q=Secure+erase+flash+filetype%3Apdf