17. März 2022 Datenrettung und -wiederherstellung

Ob bei Ransomware-Befall, nach unbeabsichtigtem Löschen oder durch einen Hardware-Defekt: Daten können von einer Sekunde auf die andere nicht mehr verfügbar sein. Ein aktuelles Backup ist dabei oft der einzige Ausweg.

Forensic Science Technician Analyzing Evidence in Laboratory — Foto ©Microgen - stock.adobe.com

Je nach Art des Vorfalls beziehungsweise je nach Zustand des Systems oder Gerätes und dem Zugriff darauf, können unterschiedliche Methoden versucht werden, um die verlorengegangenen oder beschädigten Daten wiederzuerlangen.

Papierkorb und Dateifragmente

Gelöschte Dateien wandern normalerweise in den Papierkorb und sind daraus auch einfach wieder herstellbar, solange der Papierkorb in der Zwischenzeit noch nicht geleert wurde. Bei beschädigten Dateien kann auch versucht werden, diese mit einem anderen Programm zu öffnen und so zumindest Teile der Datei wiederherzustellen. Bei den gängigen Word-Dokumenten mit der Endung „.docx“ sind die Dateien zum Beispiel als ZIP-Archiv gespeichert und können mit einem entsprechenden Packprogramm geöffnet werden. Die einzelnen Teile der Datei, wie zum Beispiel Texte oder Bilder, sind als eigenständige Unterdateien darin enthalten und können separat aufgerufen und gesichert werden.

Backup und Dateiversionsverlauf

In einem Schadensfall ist im Idealfall ein aktuelles Backup der Daten durch einen regelmäßigen Backup-Prozess vorhanden. Dieses kann in Folge einfach wieder am Gerät oder – je nach Vorfall – einem Ersatzgerät eingespielt und verwendet werden. Als Vorsorge gegen Datenverlust sollten daher regelmäßig Daten-Backups erstellt werden.

Wie wichtig so ein Backup ist, erkennt man jedoch meist erst im Schadensfall, wenn es also schon zu spät ist. Aus diesem Grund aktivieren einige Betriebssysteme standardmäßig eine Art von Datensicherung, wie beispielsweise Systemabbilder, einen Dateiversionsverlauf (Schattenkopie) oder sogar komplette Daten-Backups. Diese Sicherungen sind jedoch in der Regel auf demselben Datenträger gespeichert und daher keine Hilfe bei Ransomware oder einem Hardware-Defekt. Deshalb empfiehlt es sich eine Sicherung mit einem darauf spezialisierten Backup-Programm zu erstellen und auf einem externen Datenträger oder verschlüsselt in der Cloud zu speichern. Weitere Informationen hierzu finden Sie unter Datensicherung und Wiederherstellung.

Wiederherstellungsprogramme

Wenn alle Stricke reißen und kein Backup der verlorengegangenen Daten existiert oder das Backup zu alt ist, bleibt nur noch der Versuch die Daten mittels spezieller Programme wiederherzustellen. Die Erfolgschancen bei dieser Methode hängen davon ab, ob die Dateien oder Teilbereiche davon überschrieben bzw. beschädigt wurden. Solch ein Recovery-Programm ist beispielsweise das Open-Source-Programm PhotoRec. Es ist Teil der Reparatursoftware TestDisk. TestDisk kann die gängigsten Dateisysteme und Partitionen reparieren oder eben mittels PhotoRec Dateien daraus wiederherstellen. Hierzu sind folgende Schritte nötig:

PhotoRec muss mit Administrator-Rechten gestartet werden.
Laufwerk und Partition auswählen auf dem sich die wiederherzustellenden Daten befinden.
Unter Dateiformate (bzw. Optionen in der Kommandozeilenversion) können Sie die Analyse auf bestimmte Dateitypen beschränken. Falls Sie beispielsweise nur ein Foto im JPG-Format wiederherstellen wollen, dann müssen Sie das Programm nicht nach allen unterstützten Formaten suchen lassen.
Dateipfad auswählen wohin die geretteten Daten gespeichert werden sollen. Im Falle eines beschädigten Datenträgers, sollte ein Speicherort auf einem anderen Datenträger ausgewählt werden.
Nun kann die Analyse gestartet werden, wobei PhotoRec selbstständig nach Dateien in den ausgewählten Dateiformaten sucht und in den Zielordner speichert.

Boot-Medien und Datenträger-Ausbau

Falls kein Zugriff auf das Betriebssystem mehr möglich ist, bleiben nurmehr die Möglichkeiten zur Verwendung von Boot-Medien oder einem Datenträger-Ausbau. Informationen zu diesen Varianten finden Sie in den entsprechenden Themenbereichen.

Hinweis

Wie man an diesen Beispielen sehen kann, sind herkömmliche Löschmethoden kein zuverlässiges Mittel um Dateien unlesbar zu machen. Mit einfachem Löschen einer Datei mittels Entfernen-Button oder aber auch nach dem Leeren des Papierkorbs sind die Speicherbereiche der Daten am Datenträger nur wieder für zukünftige Speichervorgänge freigegeben. Mit unzähligen Programmen lassen sie sich aber immer noch lesen und sind wiederherstellbar. Je weniger seit dem Löschen auf den Datenträger geschrieben wurde, desto höher sind die Chancen auf vollständige Wiederherstellung. Um Dateien zuverlässig und unwiederbringlich zu löschen, sollten darauf spezialisierte Programme verwendet werden.

Weitere Informationen

Überblick zu Datenrettung auf onlinesicherheit.gv.at

Letzte Aktualisierung: 17. März 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria