Privacy Handbuch

Die für Festplatten emfpohlenen Tools funktionieren nicht mit Flash basierten Solid State Disks (SSDs). Um die Speicherzellen zu schonen, sorgt die interne Steuerelektronik dafür, dass für jeden Schreibvorgang andere Zellen genutzt werden. Ein systematisches Überschreiben einzelner Dateien ist nicht möglich. Erasing Data from Flash Drives (PDF).

Für SSDs ist die TRIM Funktion zu aktivieren. Dabei werden den Speicherzellen eines Blocks einige Zeit nach dem Löschen der Datei auf den Ursprungszustand zurück gesetzt. Weitere Maßnahmen zum sicheren Löschen sind nicht nötig.

Windows: aktiviert TRIM standardmäßig, wenn bei der Installation eine SSD Festplatte gefunden wurde. Mit fogendem Befehl kann man prüfen, ob TRIM aktiv ist: > fsutil behavior query disabledeletenotify Wenn ein Wert = 0 ausgegeben wird, ist Trim aktiviert. Wird ein Wert = 1 ausgegeben (weil man eine SSD nachträglich eingebaut hat oder den AHCI Mode im BIOS erst nachträglich aktiviert), aktiviert man die Trim Funktion mit dem Kommando: > fsutil behavior set disabledeletenotify 0 Mit fsutil wird das Trimmen lediglich aktiviert. Ob es wirklich funktioniert, kann man mit dem kleinen Tool trimcheck prüfen. Das Tool ist in einem Verzeichnis auf dem Datenträger abzulegen, den man testen möchte, und als Administrator zu starten.
Linuxer haben für das Trimmen der Datenträger drei Möglichkeiten:
1. Standardmäßig verwenden in dem meisten Linux Distributionen "Batched TRIM" (empfohlen). Einmal pro Woche werden alle eingebauten SSDs gesäubert.
  Mit folgendem Kommando kann man prüfen, ob die Säuberung aktiv ist: > sudo systemctl status fstrim.timer fstrim.timer - discard unsed blocks once a week Loaded: loaded Active: active (waiting) ... Aktivierung/Deaktivierung der wöchtentliche Säuberung erfolgt mit: > sudo systemctl enable/disable fstrim.timer
2. Alternativ kann man "Online TRIM" verwenden, um ungenutzte Blöcke unmittelbar nach dem Löschen der Dateien zu säubern. Für unverschlüsselte Datenträger wird es in "/etc/fstab" aktiviert, indem man die Mountoption "discard" hinzufügt: UUID=[NUMSLETTER] / ext4 discard,noatime,errors=remount-ro 0 1 Bei LUKS verschlüsselten Datenträgern ist "Online TRIM" in "/etc/crypttab" zu aktivieren, indem man die Mountoption "discard" hinzufügt: sda2_crypt /dev/sda2 none luks,discard Nach dem Ändern der Mountoptionen in "/etc/fstab" oder "/etc/crypttab" ist es eine gute Idee, die initramfs Images neu zu bauen: > sudo update-initramfs -u -k all
3. Außerdem kann man das Trimmen eines SSD Datenträgers per Hand starten: > sudo fstrim <Mountpoint> Linux Distributionen ohne systemd enthalten in der Regel ein Cron-Script, das wöchentlich den fstrim Befehl für alle internen Datenträger aufruft.

Hinweis: damit TRIM funktioniert, muss im BIOS der "SATA AHCI Modus" aktiviert sein.

Gesamten Datenträger säubern

Wenn man die Haupt-Festplatte (SSD) mit dem Betriebssystem in einem Laptop/PC löschen möchte, muss man von einem anderen Datenträger Booten. Man könnte einfach eine Live-DVD diverser Linux Systeme nehmen (z.B. Linux Mint), dass man auf einen USB-Stick brennt und dann als Bootmedium verwendet. Evtl. muss man die nvme-cli Toolbox noch installieren.

Wenn man die SSD Festplatte säubern will, muss man zwischen SATA und NVMe unterscheiden:

SATA SSDs lassen sich am einfachsten komplett bereinigen, wenn der Datenträger den ATA-Befehl "SECURE-ERASE" unterstützt. Diese Funktion muss allerdings durch den Datenträger bereitgestellt werden. Linuxer können dafür das Tool "hdparm" nutzen.

Als erstes ist zu prüfen, ob "SECURE-ERASE" vom Device unterstützt wird:
> sudo hdparm -I /dev/sda Das Ergebnis muss einen Abschnitt "Security" enthalten und muss auf "not frozen" stehen. Falls die Ausgabe "frozen" liefert, wird "SECURE-ERASE" im Bios des Rechners blockiert. Security: Master password revision code = 64060 supported not enabled not locked not frozen expired: security count supported: enhanced erase
Hinweis: wenn der Zustand "frozen" ist statt "not frozen", kann man den Rechner suspendieren, mit einem Tastendruck wieder aufwecken und es nochmal versuchen.
Dann kann man ein Passwort setzen und den Datenträger vollständig löschen: > sudo hdparm --user-master u --security-set-pass p /dev/sda > sudo hdparm --user-master u --security-erase-enhanced p /dev/sda
NVMe SSDs können unter Linux mit der Toolbox nvme-cli gereinigt werden. Die Toolbox kann bei den gängigen Linux Distributionen mit dem Paketmanager installiert werden: Ubuntu/Mint: > sudo apt install nvme-cli Fedora: > sudo dnf install nvme-cli Man kann sich anzeigen lassen, welche NVMe SSDs vorhanden sind: > sudo nvme list "SECURE-ERASE" für ein Device (z.B. "/dev/nvme0n1") startet man mit folgendem Kommando: > sudo nvme format -s1 <device> -n 0xffffffff Wenn das Kommando einen Fehler anzeigt, kann man den Rechner suspendieren, mit einem Tastendruck wieder aufwecken und es nochmal versuchen. Oft funktioniert es dann. > systemctl suspend
Falls beides nicht funktioniert, bleibt nur das einfache Überschreiben des Datenträgers. Dabei werden aber nicht alle Speicherzellen garantiert gelöscht: > dd if=/dev/zero of=/dev/sda

Tools zum Löschen von SSDs im BIOS von Laptops

Einige Laptop Hersteller integrieren Tools zum sicheren Löschen eingebauter SSDs ins BIOS:

Moderne Lenovo ThinkPads ab T490/T590 haben mit "ThinkShield secure wipe" eine eingebaute BIOS Erweiterung zum sicheren Löschen der Festplatte.
1. Als erstes muss "ThinkShield secure wipe" im BIOS aktiviert werden. Dafür öffnet man die BIOS Einstellungen (Taste F1 beim Booten) und geht dort zum Reiter "Security".
2. Wenn "ThinkShield secure wipe" aktiviert wurde, öffnet man beim Booten die Bootauswahl (Taste F12 beim Booten) und wählt auf dem Reiter "App Menu" die App "ThinkShield".
Für ältere Lenovos ThinkPad Laptops bis einschließlich T480/T580 gibt es die ThinkPad Drive Erasing CD, die man auf einen USB "brennen" kann. Von diesem Stick bootet man (Taste F12 beim Booten) und kann dann die eingebaute Festplatte sicher shreddern.
Bei Business Laptops von Asus findet man das Secure Erase Tool im BIOS (Taste F2 beim Booten) unter "Tools" und kann dort die eingebaute Festplatte direkt löschen ohne Neustart.
Business Laptops von HP haben ebenfalls ein Secure Erase Tool im BIOS (Taste F10 beim Booten). Man findet es auf dem Reiter "Security" unter "Hard Drive Untilities" und kann dort ebenfalls die eingebaute Festplatte direkt löschen ohne Neustart.
Laptops von Dell bringen das Dell Data Wipe Tool im BIOS mit (Taste F2 beim Booten).
1. Dell Data Wipe kann man unter "Maintainance - Data Wipe - Wipe at next boot" aktivieren und muss es beim Speicher der BIOS Settings 2x bestätigen.
2. Nach dem Reboot wird man noch 2x gefragt, ob man die eingebauten Datenträger wirklich wirklich shreddern will und dann werden sie sicher gelöscht.

Hinweis: damit ein Spaßvogel nicht einfach mal die Festplatte löscht, sollte man ein Administrator Passwort bzw. Supervisor Passwort setzen, um Unbefugten den Zugang zum BIOS zu verwehren.

Lizenz: Public Domain