Informationsvernichtung. Teil 2
Deaktivierung von Entschlüsselungsschlüsseln und physische Zerstörung digitaler Speichermedien
Manchmal muss man Daten nicht direkt löschen – es reicht, den Zugriff darauf technisch unmöglich zu machen. Eine der zuverlässigsten Methoden ist das Deaktivieren der Entschlüsselungsschlüssel. In der Praxis kann dies sogar effektiver sein als die physische Zerstörung des Geräts – insbesondere, wenn man das Verschlüsselungssystem LUKS unter Linux verwendet.
LUKS verschlüsselt Daten mit einem zufällig generierten Master-Schlüssel. Dieser Master-Schlüssel wird wiederum mit einem Benutzerpasswort verschlüsselt. Das systеm erlaubt bis zu 8 verschiedene Passwörter (Key Slots von 0 bis 7), die jeweils denselben Master-Schlüssel entschlüsseln können.
Wenn alle Key Slots deaktiviert werden, ist der Master-Schlüssel nicht mehr zugänglich. Die Daten bleiben zwar physisch auf dem Datenträger, aber sie können nicht mehr entschlüsselt werden – selbst nicht mit professionellen Forensik-Tools. Den Status der Slots kann man im Linux-Terminal mit folgendem Befehl überprüfen:
sudo cryptsetup luksDump /dev/sdX
Wenn alle Key Slots als DISABLED angezeigt werden, bedeutet das, dass kein Passwort mehr existiert, das die Daten entschlüsseln könnte. Im Gegensatz zu einem “vergessenen Passwort” ist dieser Zustand technisch belegbar und nicht nur eine Behauptung.
Ein bestimmter Slot kann mit folgendem Befehl deaktiviert werden:
sudo cryptsetup luksKillSlot /dev/sdX N
wobei N die Slot-Nummer von 0 bis 7 ist.
Physische Zerstörung des Speichermediums
Dies ist die radikalste und sicherste Methode – die physische Zerstörung des Speichermediums. Wenn der Speicherchip beschädigt ist, ist eine Wiederherstellung selbst in spezialisierten Laboren unmöglich.
Deshalb bevorzugen fortgeschrittene Nutzer oft den Systemstart von USB-Sticks statt von internen Festplatten. Ein USB-Stick lässt sich im Ernstfall schnell entfernen und vernichten – das ist entscheidend bei sensiblen Daten.
Aufbau eines USB-Sticks
Ein typischer USB-Stick besteht aus drei Hauptkomponenten:
- Gehäuse (aus Kunststoff oder Metall)
- USB-Stecker
- Platine mit zwei Chips: einem Controller und einem Speicherchip
Ziel ist es, den Speicherchip zu zerstören. Ist er einmal gebrochen, verbrannt oder anderweitig beschädigt, sind die Daten endgültig verloren. Kein Labor kann sie zurückholen.
Empfehlungen zur Wahl des USB-Sticks
- Verwende günstige Kunststoff-Modelle mit großen Speicherchips (leichter zu beschädigen)
- Vermeide „militärisch geschützte“ Modelle wie von Kingston
- Bevorzuge Sticks mit leicht zerlegbarem oder wieder zusammensteckbarem Gehäuse
- Man kann die Platine eines hochwertigen Sticks auch in ein einfaches Plastikgehäuse umsetzen
Methoden zur physischen Zerstörung
- Platine mit der Hand zerbrechen
- Seitenschneider, Zangen oder Scheren verwenden
- Chip mit Feuerzeug oder Hitzequelle verbrennen
- Kontaktstellen mit Messer oder Nadel zerkratzen oder durchstechen
Zusammenfassung: Bewertung der Methoden zur Datenvernichtung
- Physische Zerstörung des Speichermediums – 100 % effektiv, sofortige Eliminierung
- Deaktivierung aller Verschlüsselungsslots – schnell, nachvollziehbar, zuverlässig
- Absichtlicher Verlust eines starken Passworts – kann funktionieren, aber riskant unter Druck
- Einfaches Überschreiben – grundlegender Schutz, nur gegen unerfahrene Nutzer wirksam
Die beste Strategie ist die Kombination mehrerer Methoden. Zum Beispiel:
- Erstelle eine verschlüsselte Partition mit LUKS
- Bewahre den Schlüssel getrennt vom Gerät auf
- Deaktiviere alle Slots bei Bedarf
- Zerstöre im Notfall den USB-Stick physisch
Nur ein mehrstufiger Ansatz garantiert, dass deine Daten endgültig gelöscht sind – unabhängig davon, wer Zugriff auf deine Hardware bekommt.