Hallo zusammen. Ich habe zwei HDDs jeweils einmal mit Win7-Bordmitteln formatiert und anschließend einmal mit dem Western Digital Diagnostics Tool mit Nullen überschrieben.
Kann ich davon ausgehen, dass niemand mehr an die ehemaligen Daten kommt? Spezialisierte Recovery-Firmen mal ausgenommen.

Bei modernen Platten findet nicht mal mehr eine spezialisierte Firma noch was auswertbares, wenn sie einmal überschrieben ist.

Manchmal wird durch das Löschen jeder Sektor neu getestet und danach findet SMART in manchen Fällen die ersten Fehler.

Ansonsten ist das Löschen mit diversen Tools sicher. Andersrum kannst du ja mit den gängigen Suchtools drübergehen und es versuchen ;)

Bei modernen Platten findet nicht mal mehr eine spezialisierte Firma noch was auswertbares, wenn sie einmal überschrieben ist.Wenn sie die Platter in einen Laserscanner packen und direkt die Stärke des Magnetfelds auslesen schon. ;)
Aber das dürfte für den TS wohl kein Thema sein.

MfG
Rooter

Nein, klappt nicht mehr.

Interessant. Und wieso ist das bei modernen HDDs so und ältere sind dagegen "einfach" auszulesen?

Formatiere es nochmal unter MS-DOS
" Format (Laufwerk : ) "

Dann bist du auf der sicheren Seite

Festplatten sollte man nie verkaufen

Interessant. Und wieso ist das bei modernen HDDs so und ältere sind dagegen "einfach" auszulesen?

https://www.heise.de/security/meldung/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html Da ist eine Untersuchung dazu angegeben, kostenlos bekommt man über den gezeigten Link allerdings nur die Einführung.

Wenn ich das richtig verstanden habe, stimmte die Annahme mit dem mehrfachen Überschreiben für Festplatten nie. Sondern nur für Diskettenlaufwerke, wegen deren ungenauerer Kopfpositionierung bei um Größenordnungen breiteren Datenspuren/feldern.

Die Wahrscheinlichkeit, irgendetwas wiederherstellen zu können, ist auch nicht Null, sie sinkt aber zum einen mit zunehmender Plattenkapazität (=Datendichte), zudem wegen diverser physikalischer Effekte, die sich auf die Magnetisierung auswirken mit zunehmendem Gebrauch der Platte (und zwar vom erstmaligen Beschreiben an). Und mit zunehmender wiederherzustellender Datenmenge nimmt die Wahrscheinlichkeit, etwas Sinnvolles wiederherstellen zu können, exponentiell ab.

Konkret heißt das: Im untersuchten Idealfall, einer nagelneuen 1GB(!)-Platte, konnte ein einzelnes Bit mit 92-prozentiger Wahrscheinlichkeit wiederhergestellt werden. 8 bit (ein Ascii-Zeichen) zu 51%, 32bit (IP-Adresse) zu 7%. Letztgenannter Wert fiel allerdings bei einer gebrauchten Platte auf rund ein Millionenstel Prozent. Bei einem Kilobit stehen schon bei der neuen Platte 38 Nullen hinter dem Komma.

Das gilt für die 1GB-Platte im Neuzustand. Bei einer neueren 120GB-Platte im Neuzustand lagen die Wahrscheinlichkeiten für 1/8/32bit bei 87/32/1 Prozent. Für ein Kilobit stehen dann schon 62 Nullen hinter dem Komma. Bei der "gebrauchten" (vor dem Löschen drei Mal beschriebenen) 120GB-Platte sind es schon 199 Nullen.

Verwertbares lässt sich also in keinem Fall rekonstruieren.

Wer der Studie nicht traut und nicht ohnehin seine Platten mit TrueCrypt oder Veracrypt verschlüsselt, der muss sie halt physisch zerstören.

Wenn man so heiße Files auf der Platte hat und sichergestellt sein muss, das ein Käufer diese auf keinen Fall wiederherstellen kann, sollte man die Platte einfach nicht verkaufen.

Lohnt sich der Aufwand überhaupt?
Wenn die Platten einen Restwert von 20-30€ haben, würde ich mir das überlegen....ich selbst habe auf Grund des Restwertes und Zeitaufwand meine Platten nicht verkauft.
Die liegen jetzt im Keller für irgendwelche Bastelprojekte.

Wenn ich aber verkaufen würde, dann langsam formatieren, (oder eben ein tolles Tool) und dann würde ich die Platte komplett verschlüsseln, voll füllen..
Danach wieder formatieren und gut ist.

Also so wie Schloss zwei mal rumdrehen, wieder aufmachen und wieder zwei mal rumdrehen dann als vierfach verschlossen gilt, oder? :D

http://0cn.de/Datenschutz

In Windows Haken raus bei "Schnellformatierung" und alles ok. Dauert je nach Größe halt etwas (paar Stunden).
Noch sinnvoller ist es, die Platte in der Datenträgerverwaltung zu löschen und zu formatieren, so, dass sie auch nicht mehr im Win Explorer auftaucht, weil erst komplett neu eingerichtet, bzw. formatiert werden muss vom ersten bis zum letzten byte.

Bei modernen Platten findet nicht mal mehr eine spezialisierte Firma noch was auswertbares, wenn sie einmal überschrieben ist.
Definiere "modern". :tongue: Das geht schon sehr sehr lange nicht mehr, seit dem ersten Platten über 500 MB-1GB.
Formatiere es nochmal unter MS-DOS
" Format (Laufwerk : ) "

Dann bist du auf der sicheren Seite
Meiner Meinung nach klares Nein, da das Format-Kommando nur den MBR löscht und FAT bzw. Stammverzeichnis löscht, und ohne Quickformat wird nur die Platte auf defekte Sektoren überprüft. Da konnte man früher immer wieder was rausholen.
http://0cn.de/Datenschutz

In Windows Haken raus bei "Schnellformatierung" und alles ok. Dauert je nach Größe halt etwas (paar Stunden).
Macht das das gleiche wie ein clean all mit Diskpart? :confused:

Noch sinnvoller ist es, die Platte in der Datenträgerverwaltung zu löschen und zu formatieren, so, dass sie auch nicht mehr im Win Explorer auftaucht, weil erst komplett neu eingerichtet, bzw. formatiert werden muss vom ersten bis zum letzten byte.
Wie gesagt, ich kenne Formatieren nur so, daß es auf defekte Sektoren prüft.

Ich verwende immer DBAN (https://dban.org/), einmal nullen lassen, fertig.

Sagen wir mal so: Modern ist alles wo der Verkauf noch lohnt.
Bei den ganz alten Platten waren die Schreibzonen noch größer als der Lesespalt. Wurde ein Bit überschrieben dann entstand um es herum ein Halo in dem das vorherige Magnetfeld je nach vorheriger und aktueller Magnetisierung nachweisbar war.
Inzwischen sind die Schreibzonen so klein daß es schon ein ausgefuchstes physikalisches Modell der Magnetoberfläche braucht um das aktuelle Bit aus den Daten der umgebenden Bits zu rekonstruieren, sprich der Kopf kann die eigentlichen geschriebenen Bits nicht mehr einzeln detektieren, aus dem Signalverlauf wird immer gleich eine ganze Bitfolge rekonstruiert. Beim Schreiben muß auch ein spezieller Algorithmus befolgt werden, der dafür sorgt daß genug Bitwechsel in der Datenfolge sind und daß Korrekturdaten mitgeschieben werden.
Einmal drüber schreiben, egal ob mit Nullen, Random oder FF reicht um die vorherigen Daten komplett zu vernichten. Ausnahme sind evtl. noch vorhandene Daten in ausgemappten Sektoren.

Mal rein praktisch, wenn ich auf einer gebrauchten Platte einfach alle Partitionen lösche ist die Chance daß da noch jemand Daten findet schon nahe Null, da die wenigsten Käufer überhaupt wissen daß da noch was drauf sein könnte. Mit 50% Wahrscheinlichkeit kommt die Platte sogar als defekt zurück, weil sie "von Windows nicht gefunden wird" ;)

Meiner Meinung nach klares Nein, da das Format-Kommando nur den MBR löscht und FAT bzw. Stammverzeichnis löscht, und ohne Quickformat wird nur die Platte auf defekte Sektoren überprüft. Da konnte man früher immer wieder was rausholen.
Seit Windows 8* kann man dem format-Befehl den Parameter /p:x spendieren, der bewirkt, dass die Sektoren mit Nullen beschrieben werden.
x = 0 -- genau ein Durchgang, also null Wiederholung
x > 1 -- gewünschte Anzahl der Wiederholungen

x sollte man weise wählen, da y Durchgänge bei z Terrorbyte-Platten den einen oder anderen Tag benötigen können.


* Kann auch sein, dass es bei früheren Windowsen auch schon geht, aber erst ab Windos 8 ist mir die Existenz der Option bewusst geworden.

Das war ja nicht meine Frage, per Kommandozeile ist das mit der Option ja klar. Die Frage ist, ob das in der Oberfläche genau so gemacht wird, wenn Du bei Schnellformatierung das Häkchen wegmachst. Ich würde mal bezweifeln, daß dies dann Deinen erwähnte Parameter /p:x verwendet.

Update: Aus einem computerbase-Foreneintrag (https://www.computerbase.de/forum/showthread.php?t=1426195&highlight=formatieren)schließe ich, daß dann bei der normalen Formatierung über die Oberfläche wirklich die Platte genullt wird.

Sagen wir mal so: Modern ist alles wo der Verkauf noch lohnt.
Bei den ganz alten Platten waren die Schreibzonen noch größer als der Lesespalt. Wurde ein Bit überschrieben dann entstand um es herum ein Halo in dem das vorherige Magnetfeld je nach vorheriger und aktueller Magnetisierung nachweisbar war.
Woher hast Du diese Info oder hast Du weitere Quellen? Ich habe das mal vor einiger Zeit recheriert, das wurde so bei Festplatten selbst noch nirgendwo bewiesen. Dort, wor das Thema mal aufkam, war mit alten 8"-Disketten:
Overwriting Hard Drive Data: The Great Wiping Controversy (https://link.springer.com/chapter/10.1007%2F978-3-540-89862-7_21)
One of the chief controversies is that if a head positioning system is not exact enough, new data written to a drive may not be written back to the precise location of the original data. This track misalignment is argued to make possible the process of identifying traces of data from earlier magnetic patterns alongside the current track.
This was the case with high capacity floppy diskette drives, which have a rudimentary position mechanism. This was at the bit level and testing did not consider the accumulated error.
Nur hier konnte man noch selbst mit Tricks die Position der Schreib-Leseköpfe beeinflußen und ändern. Bei Festplatten ging das meiner Meinung nach gar nicht, und ich bin ja seit RLL und MFM mit dabei. :cool:

By default in Windows Vista and later versions, the format command writes zeros to the whole disk when a full format is performed.
-- Quelle: https://support.microsoft.com/en-us/help/941961/change-in-the-behavior-of-the-format-command-in-windows-vista-and-late

Ich wüsste jetzt keinen (logischen) Grund dafür, dass sich das Standardverhalten zwischen GUI und Kommandozeile unterschieden sollte. Der Artikel spricht ja nur vom "command" und nicht explizit von der command-line.

Ohne gefundenen Beleg:
/p:0 ist Standardverhalten bei "Full format" und Angabe des Parameters kann man weglassen. Wenn man einen Sektor hochhebt, um drunter zu gucken, ob da ein Gremlin sitzt, kann man auch gleich eine Null drunter legen.

Stimmt, die Seite hab ich sogar schon mal gelesen, mein Gedächnis...:rolleyes:

Hier nochmal das Thema, was Gutmann aufgeworfen hatte:
Secure Deletion of Data from Magnetic and Solid-State Memory (https://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html)
Und dazu die kritische Entgegnung:
Can Intelligence Agencies Read Overwritten Data? A response to Gutmann (http://www.nber.org/sys-admin/overwritten-data-guttman.html)

Dazu gibts auch einen Wiki-Eintrag, der leider nur auf englisch in die Details geht:
https://en.wikipedia.org/wiki/Gutmann_method

Ich behaupte mal, selbst bei den ersten Konsumerfestplatten ab 10 MB war eine Rekonstruktion bei einmaligem Überschreiben nicht mehr möglich.

Ich hab auch noch mit 5 1/4" Disketten angefangen ;)

Ganz alte Platten hatten noch eine amorphe magnetische Oberfläche. Hat man da ein Bit geschrieben, dann wanderte die alte Magnetisierung sozusagen nach außen und bildete eine Art magnetischen Wall um das neue Bit. Das konnte man natürlich über die Köpfe der Platte selbst nie auslesen, sondern das war das was da auf den sagenhaften Spindelständen noch rekonstruiert werden konnte.
Das endete dann mit der Ära der magnetischen Domänen auf der Plattenoberfläche und den GMR-Leseköpfen. Wenn so eine magnetische Domäne kippt dann bleibt die Nachbardomäne davon unberührt. Da bleibt vielleicht mal rechts und links neben der aktuellen Spur mal eine stehen beim Überschreiben, aber daraus dürfte nur hin und wieder mal ein einzelnes Bit rekonstruierbar sein. Und wie schon vorher erwähnt, bei aktuellen Platten nutzt einem nicht mal ein gefundenes Bit etwas, selbst wenn man nur genau dieses Bit braucht. Seine logische Bedeutung hängt von allen anderen Bits in dem geschriebenem Block ab.

Das ist aber sowieso hochgradig theoretisch. Für den Controller in der Platte ist gelöscht gelöscht. Wenn ich also eine alte MFM 80MB Platte verkaufen will und davon ausgehen muß daß der Käufer die für zehntausende Dollar auslesen will, wäre es vielleicht sinnvoller einfach mit dem Vorschlaghammer zu löschen.

Nochmals die Frage, ist Dir ein Fall bekannt, wo das jemals geschafft wurde, eine Festplatte mit den Randspurinformationen erfolgreich komplett auszulesen? Wie Du es korrekt sagtest, es ist eine hochgradig theoretische Möglichkeit, praktisch hat das - nach meinem Kenntnisstand - noch keiner geschafft. Nachgewiesen wurde es IMHO nur mit den ollen 8" Scheiben.

Als ich nach der Wende angefangen habe c´t zu lesen gab es Berichte über Datenrettung von gelöschten HDDs. Das war also irgendwann 1990.

Da muß ich mal glatt in meinem Archiv kramen, Festplatten kann man ja so oder so löschen. Damals galt eine neu formatierte Platte ja auch als gelöscht. :wink:

Bis jetzt fand ich /dev/zero immer ganz angenehm zum Überschreiben mit dd. Die Syntax des Befehls ändert sich eben einfach nicht und man weiß genau, was man bekommt. Wenn man Bitsalat will, kann man auch /dev/urandom nehmen. Im Gegensatz zu /dev/random blockt das mit Linux auch nicht.

mache ich auch immer mit dd if=/dev/zero of=<platte> bs=4k

maximale geschwindigkeit und transparenz was im hintergrund passiert.


Wenn man Bitsalat will, kann man auch /dev/urandom nehmen. Im Gegensatz zu /dev/random blockt das mit Linux auch nicht.

ist trotzdem viel langsamer. zeros kann man auf mehrere platten gleichzeitig mit mehreren hundert MB/s schreiben, urandom hat oft selbst mit einer platte auslastungsprobleme, auch wenn es faktor 10+ schneller als random ist.

Zum ganz schnellen "Löschen" haue ich mir übrigens einfach ein paar Mal mit einem Hammer auf den Hinterkopf, um das Passwort für die Vollverschlüsselung zu vergessen. Das hatte bisher noch den höchsten Durchsatz.

Ernsthaft: Gerade auf SSDs will man wahrscheinlich unbedingt Vollverschlüsselung nutzen. Dann muss man sich auch keine Sorgen machen,
wenn die Platte abhanden kommt oder man sie weiterverkaufen will.

Die SSDs können heute ganz schnell mit Secure Erase gelöscht werden, hab ich erst bei einigen gemacht, das ist eine Sache von Sekunden, auch unter Linux. :biggrin:

Secure Erase hat aber ein paar Fallstricke, die man mit einer Vollverschlüsselung für alle Konstellationen umgeht. Das funktioniert immer und man muss sich auch keine Sorgen machen, wenn man zB nur einzelne Dateien zuverlässig löschen möchte.

... wäre es vielleicht sinnvoller einfach mit dem Vorschlaghammer zu löschen.


Auch die Bruchstücke wäre für (viel) Geld noch auslesbar. Todsicher ist nur einschmelzen:
https://www.youtube.com/watch?v=toYk1yJKYTc

Macht außerdem mehr Spaß (eigene Erfahrung).

Werden Dateien nicht alle im NTFS MFT Tree (https://superuser.com/questions/254054/how-to-reset-an-ntfs-mft-for-no-tracks-of-deleted-files-names-to-be-found-there) "abgespeichert/gelistet"? Egal ob alles weg ist, solange noch die Liste einlesebar ist ... werden auch alle Daten angezeigt.

Wenn man beide Platten einbaut und diese dann per RAID formatiert? genuegt das nicht?