SSD – sicher löschen.

Jeder, der seinen alten Notebook oder PC gebraucht weiterverkauft, sollte seine Festplatte sicher löschen. Richtig? Richtig.

Bei einer Festplatte ja nicht unbedingt so das große Problem -> einfach mehrere Tage mit random data überschreiben. Bei einer SSD sieht das schon etwas kniffeliger aus. Dachte ich. Aber eigentlich geht es da noch viel einfacher/schneller, wenn man weiß wie.

(Wir ersparen uns allen jetzt mal die Diskussion darüber, ob und wie hochmotivierte Daten-Restauratoren mittels Unmengen an Geld und Equipment es doch noch schaffen könnten einzelne Bits einer mehrfach überschriebenen Festplatte zu retten. Wenn ihr 100% Sicherheit wollt, dass alle Bits vernichtet sind, dann bleibt letztlich nur der Hardware-Shredder! – Ja, das gibt es.)

Zurück zur SSD. Es gibt wohl 3 Arten von SSDs:

  1. Ganz alte ohne TRIM Support.
  2. Neuere mit TRIM Support.
  3. Ganz neue mit TRIM Support und Verschlüsselung.

Grundsätzlich bieten viele SSDs noch die Option „Secure Erase“, das allein vom Namen her schon genau dafür gedacht ist. Nämlich eine SSD in den Werkszustand zurückzusetzen. Wenn ihr aber keinen physikalischen Zugriff auf die SSD bzw. den Rechner habt, dann gibt es da eine kleine aber feine Schwierigkeit. Findige Köpfe wollten nämlich das unbeabsichtigte Löschen verhindern und deshalb setzt das BIOS nach dem Boot eine SSD in den Status „frozen“. Man kann da viel rumtricksen, um die SSD in den Status „not frozen“ zu bekommen, aber das war für mich nicht möglich, da ich keinen physikalischen Zugriff hatte, da ich einen Root-Server mit SSD, den ich gekündigt habe, löschen musste.

Bei 1. habt ihr prinzipiell erstmal schlechte Karten – hier würde mir persönlich das mehrfache Überschreiben, Löschen, Neuformatieren, Software-Encryption und wieder beschreiben reichen. Sicher ist das aber nicht wirklich, da es immer noch sein kann, dass Reste bestehen bleiben.

Bei 2. und 3. gibt es nun den schönen TRIM-Befehl, mit dem man grundsätzlich jeden leeren Sektor auf 00 zurücksetzen kann. Der einzige Unterschied ist, dass man bei 3. noch die Option hat einfach das Verschlüsselungspasswort zu ändern und sich dann theoretisch auch auf die Verschlüsselung verlassen könnte.

Empfehlen würde ich aber grundsätzlich ein TRIM aller Sektoren. Am einfachsten geht das wiederum mit Linux (zum Beispiel von einer RescueCD gebootet). Und genau das, habe ich dann auch getan.

Zunächst muss man wissen, wie viele Sektoren die SSD hat. Das geht am einfachsten mit

fdisk -lu /dev/sda

Disk /dev/sda: 240.1 GB, 240057409536 bytes, 468862128 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Danach kann man mittels folgendem Einzeiler die gesamte SSD trimmen:

i=0; while [ $i -lt 468862128 ]; do echo $i:40000; i=$(((i+40000))); done \
| hdparm –trim-sector-ranges-stdin /dev/sda

Die Schleife ist wichtig, da hdparm nur eine begrenzte Anzahl an Sektoren gleichzeitig trimmen kann. Damit auch das nicht unbedacht passiert, muss man bei hdparm noch den Parameter „–please-destroy-my-drive“ angeben.

Danach war die SSD leer. Naja, was heisst leer. In allen Sektoren stand jetzt 0x00. Reicht mir.

Einen Nachteil bei TRIM gibt es – der Spare-Bereich der SSD wird hier nicht gelöscht. Das passiert nur beim Secure Erase. Solltet ihr die Möglichkeit zum Secure Erase haben, dann macht dies. Wenn euch nur TRIM bleibt, so wie mir, dann müsst ihr damit leben, dass der Spare-Bereich nicht gelöscht wird. Ich hoffe aber mal, dass ein vorhergehendes vollständiges Beschreiben der SSD, den Spare-Bereich zumindest in Mitleidenschaft gezogen hat.

Flattr this!