SSD-Technik: Wear-Leveling-Algorithmus, TRIM und Garbage Collection
Ein kurzer technischer Exkurs zur Betrachtung des Wear-Leveling-Algorithmus und des TRIM Befehls helfen zum besseren Verständnis der Vorgehensweise der Speicherung von Daten auf SSDs. Da durch die Degeneration der einzelnen Floating Gates bei jedem Löschvorgang die Lebensdauer der einzelnen Speicherzellen auf 3.000 bis 100.000 Schreibzyklen beschränkt ist, werden Wear-Leveling-Algorithmen eingesetzt. Der Controller verteilt hierbei die Schreibvorgänge dermaßen, dass alle NAND Speicherzellen etwa gleich häufig beschrieben werden.
Die Zuordnung der physikalischen Speicheradresse zur logischen Sektornummer wird ausschließlich in der SSD gespeichert und ist von außen nicht ersichtlich. Die Durchführung von Defragmentierungen auf Betriebssystemebene ist deshalb für die Lebensdauer der SSDs kontraproduktiv und nicht zielführend. Da bei SSDs jede Zelle vor dem nächsten Überschreiben zuerst gelöscht werden muss, wurden die Verfahren TRIM und Garbage Collection entwickelt. Mit Hilfe des TRIM-Befehls teilt das Betriebssystem dem Datenträger mit, welche Datenbereiche bereits als gelöscht markiert wurden und somit bei allfälligen Löschzyklen nicht mehr kopiert werden müssen. Die Garbage Collection bewirkt in Leerlaufzeiten das proaktive Löschen der nicht mehr benötigten Sektoren.
SSD: Reservesektoren verhindern vollständiges Löschen
Punkten kann die SSD aus forensischer Sicht – je nachdem, auf welcher Seite man sitzt und welche Absicht verfolgt wird. Ein vollständiges Löschen der Daten auf einer SSD ist deutlich schwieriger als mit einer herkömmlichen Festplatte.
Grund hierfür sind die bei der SSD verwendeten Reservespeicher, die durchschnittlich 10 Prozent des Gesamtvolumens ausmachen können. Zwar verfügen auch herkömmliche Festplatten über Reservesektoren; deren Verwendungszweck unterscheidet sich aber deutlich von denen der SSD. Ist beispielsweise ein Sektor einer mechanischen Festplatte defekt, so wird der Inhalt des Sektors an einer anderen Stelle abgespeichert und in der Growing-Defects-Liste eingetragen, so dass dieser Sektor umgeleitet und nicht mehr angesprochen wird. Eben diese defekten Sektoren werden selbst von professioneller Software nicht angesprochen. Aus forensischer Sicht ist mitunter viel Aufwand nötig, um diese Sektoren auszulesen. Anders verhält es sich bei einer SSD.
Gerade aufgrund des Wear-Leveling-Algorithmus kann es vorkommen, dass nicht alle – und insbesondere nicht die aktuellsten Daten - gelöscht werden. Daran ändert auch professionelle Software nichts. Der wesentliche Unterschied zur Festplatte besteht in der Tatsache, dass bei der SSD die nicht überschriebenen oder gelöschten Bereiche nicht defekt, sondern in den meisten Fällen noch voll funktionsfähig sind. Umgangssprachlich gesprochen: man kommt an die Daten heran. Im Bereich der forensischen Beweissicherung ist dies interessant, um wertvolle Daten zu rekonstruieren.
Möchte man Daten hingegen unwiederbringlich löschen, dann ist im Hinblick auf die Reservespeicher bei SSDs mit anderen Methoden vorzugehen. Eine Möglichkeit ist das mehrfache Überschreiben der SSD. Aufgrund des Wear-Leverling-Algorithmus steigt bei mehrfachem Überschreiben die Wahrscheinlichkeit, dass die Reservesektoren ebenfalls überschrieben werden. Allerdings verringert sich durch die mehrfachen Schreibzyklen auch die Lebensdauer der SSD.
Automatische Verschlüsselung auf der SSD mit fatalen Folgen
Eine sehr negative Entwicklung ist die inzwischen weit verbreitete selbstständige Verschlüsselung der Rohdaten auf der SSD. Diese vom Controller durchgeführte Verschlüsselung erfolgt oft ohne das Wissen und die Eingabe eines Passwortes seitens des Anwenders. Gerade diese Form der Verschlüsselung stößt nicht nur in der Datenrettungsbranche auf blankes Unverständnis.
Dabei ist nicht die Verschlüsselung an sich, sondern der Mehrwert fraglich. Ist keine Passworteingabe notwendig, dann kann jeder User, der diese SSD funktionsfähig in die Hände bekommt, die Daten des Besitzers einsehen.
Der Schutz durch Verschlüsselung greift hier also nicht. Sollte kein Zugriff mehr möglich sein, sei es durch Beschädigung des Controllers oder auch durch Firmwarefehler, so hat man keine Möglichkeit mehr, an die Daten zu gelangen. In einigen Fällen können nicht einmal professionelle Datenretter helfen. Hier arbeitet die Kryptographie an einer Stelle, wo sie es nicht soll. Weshalb Storage-Hersteller verstärkt auf diese Form der Verschlüsselung zurückgreifen bleibt bisher deren Geheimnis – ein Mehrwert für den Kunden ist zumindest vordergründig nicht zu erkennen.