Licht auf der Schattenseite der IT
Datenretter befassen sich täglich mit den Folgen dessen, was wir nicht gerne wahrhaben wollen: Technik versagt und im Umgang mit der Technik machen Menschen Fehler. Die 20jährige Geschichte von CBL Data Recovery Technologies – in Deutschland bekannt als CBL Datenrettung – kann man als Geschichte des weltweiten Erfolgs eines kanadischen Unternehmens lesen. Man kann sie aber auch als Technologiegeschichte lesen, als Versuch, Licht auf die Schattenseite der Datenspeichertechnologien zu bringen. Datenverlust ist für die Hersteller der Speichermedien in der Regel kein Thema. Deshalb ist die Geschichte der Datenrettung die fortdauernde Bemühung, Daten dort zu rekonstruieren, wo es technisch nicht vorgesehen ist.
Die Geschäftsidee von Bill Margeson und Zhengong Chang war zunächst, Computerfestplatten zu reparieren. Doch schon die ersten Kontakte mit Kunden machte den beiden klar, dass diesen nicht so sehr der Ausfall eines teuren technischen Geräts Sorgen bereitete, sondern der Verlust der Daten. Und so wurde im Oktober 1993 in Markham, Ontario, nahe Toronto CBL Data Recovery Technologies gegründet.
Die ersten Jahre waren geprägt von der Überwindung der physikalischen Probleme um an Daten zu kommen, doch 1999 begann man bei CBL auch mit der Programmierung eigener Softwaretools. Anlass war die dringende Hilfsanfrage eines besonderen Kunden: der Abteilung Kommunikation und Netzwerk im chinesischen State Information Center. 1989 waren über 10.000 Rechner in der Volksrepublik von CIH-Virus infiziert worden. CBL entwickelte ein Softwareprogramm, dass die Aktivierung des Virus verhindern sollte. Das Programm wurde landesweit eingesetzt und am 26. April 1999 wurden tatsächlich in China nur in 55 Rechner der Virus aktiv, Rechner auf denen Software nicht installiert worden war. Dieser ungeplante Ausflug in die Softwareentwicklung ermutigte den Datenretter, verstärkt eigene Software für seine speziellen Anforderungen zu schreiben. So wurden ab 2002 Tools zur RAID-Datenrettung entwickelt, die es erlauben, die Daten von den einzelnen Platten rekonstruieren, ohne den RAID-Controller zu benötigen.
Die Hilfe im Zusammenhang mit dem CIH-Virus blieb nicht ohne Folgen. Im Jahr 2000 eröffnete CBL Data Recovery Technologies in Beijing das erste Datenrettungslabor der Volksrepublik als Joint Venture. Weitere Labors wurden eröffnet, beispielsweise in Newcastle, dann 2001 in Armonk, New York, und CBL Datenrettung in Kaiserslautern.
Der sichere Weg
Ein Fall im Jahr 1994 etablierte ein methodisches Grundprinzip in der Datenrettung. Die Festplatte eines Ermittlers im Prozess gegen den Serienmörder Paul Bernardo war durch einen Sturz zerstört worden. Die CBL-Techniker reparierten Platine, Leseköpfe und mehrere Komponenten des Datenträgers im Reinraum und schafften es, die Platte zum Laufen zu bringen. CBL-Mitgründer Zhengong Chang war an diesem Tag selbst im Labor. Angesichts der Brisanz der Daten und zweier bewaffneter Justizmitarbeiter vor der Tür entschied er sich spontan, auf Nummer sicher zu gehen und das Laufwerk nicht an einen schnellen Rechner mit einer leeren Festplatte zu hängen, sondern sofort mit dem Kopieren der Daten zu starten. 500 Disketten mussten vollgeschrieben werden, doch „Der sichere Weg“ erwies sich als richtig. Nachdem die Festplatte ausgeschaltet war, lies sie sich nie wieder in Betrieb nehmen. Seither heißt es: Wenn Du Daten vom Laufwerk holen kannst, tu es sofort. Vertraue niemals darauf, dass Deinen Reparaturbemühungen von Dauer sind. Und: Arbeite bei der logischen Rekonstruktion von Dateien aus Rohdaten niemals auf dem Originaldatenträger sondern mit einem forensischen Klon.
Höchster Datenschutz
Die Zusammenarbeit mit Behörden führte dazu, dem Thema Datenschutz besondere Aufmerksamkeit zu widmen. Das fängt bei der Zugangsbeschränkung und Videoüberwachung der Labors an und geht bis zur unwiederbringlichen Vernichtung der Arbeitskopie der wiederhergestellten Daten, nach Abschluss einen Falls. Mit dem CBL Datenschredder entwickelte das Unternehmen ein eigenes, frei verfügbares Tool das Daten vernichtet. Es überschreibt die Daten mehrmals nach verschiedenen Standards wie 5220.22-M des US-Verteidigungsministeriums, den Richtlinien des BSI zum Geheimschutz von VS beim Einsatz von IT (VSITR) oder der DSX-Methode der kanadischen Bundespolizei. Das seit 2005 verfügbare schlanke und effektive Programm ist ein mittlerweile hunderttausendfach heruntergeladenes Standardtool für jeden, der eine Festplatte frei von privaten Daten weitergeben will.
Forschung und Entwicklung
Obwohl CBL seit 2005 mit dem Data Storage Institute in Singapur zusammenarbeitet und 2008 ein eigenes Forschungs- und Entwicklungsprogramm aufgesetzt hat, ist auch die Grundlagenforschung in der Datenrettung meist durch konkrete Datenverlustfälle angestoßen. Ein wegweisender Fall im Bereich der physikalischen Schäden war der Fall „Kabeljau“ 1997: Ein Forschungsschiff der kanadischen Regierung war gesunken und mit ihm eine Festplatte. Sie enthielt die Ergebnisse einer gerade abgeschlossenen dreijährigen Studie zu den Kabeljau-Populationen vor Neufundland. Um die Daten von der geborgenen Festplatte retten zu können, fingen die Datenretter an, die Zusammensetzung der in Wasser gelösten Partikel zu erforschen. Bei der Verunreinigung durch Meerwasser setzen sich sowohl organische wie anorganische Stoffe auf der Datenträgeroberfläche ab, für die jeweils eigene Reinigungsmethoden entwickelt werden mussten. Was damals mit der Untersuchung von Meerwasser unter dem Elektronenmikroskop begann, führte zu einem besonderen Verständnis für die Verschiedenartigkeit von Wasserschäden. CBL hat in diesem Bereich eine Reihe von Methoden entwickelt und weltweit immer wieder erfolgreich eingesetzt, wie zuletzt bei Schäden durch die deutschen Flutkatastrophen im Juni 2013.
Firmware-Manipulationen
Im Wesentlichen sind es zwei Abschnitte des Datenrettungsprozesses, in denen neue Technologien die ständige Weiterentwicklung der Methoden fordert: Der erste Abschnitt ist die Herstellung der Lesebereitschaft des Datenträgers. Nach der Anfertigung des forensischen Klons kommt der zweite: Die Rekonstruktion nutzbarer Daten. Bis man einen defekten Datenträger so weit hat, dass man Daten auslesen kann, sind je nach Schadensursache die unterschiedlichsten Manipulationen nötig, vom Austausch elektronischer Bauteile bis hin zu Reinraumjobs wie dem Wechsel von Schreib/Leseköpfen. Die mechanische Weiterentwicklung führt zu zusätzlichen Herausforderungen wie zum Beispiel Plattenstapel auf einen neuen Spindelmotor zu setzen, ohne die Position der Platten zueinander zu ändern. Doch eine Entwicklung des damaligen Herstellers Maxtor erschwerte die Reparatur von Festplatten durch den Tausch von Teilen: Seit 2003 enthält die Firmware Angaben zu den individuellen Eigenschaften der verbaute Einzelteile und Defekten auf der Datenträgeroberfläche. Dies ermöglicht es den Herstellern erfolgreich Teile zu verwenden, die nach den engeren Spezifikationen zuvor Ausschuss gewesen wären. Die Analyse von Firmware wurde unumgänglich, ihre Manipulation führte aber auch zu manchem Durchbruch. So konnte CBL 2008 allein durch Firmware-Maßnahmen die Erfolgsquote bei Festplatten mit Perpendicular Recording-Technologie von 64 auf 85 Prozent steigern.
Datensalat
Hat man den defekten Datenträger dazu „überredet“ sich auslesen zu lassen, müssen aus den Rohdaten nutzbaren Dateien rekonstruiert werden. Nur wenn der Kunde seine vermissten Daten wieder verwenden kann, gilt eine Datenrettung als erfolgreich und nur dann stellt CBL eine Rechnung. Da man bei den Kanadiern und ihren Kollegen weltweit bei der logischen Rekonstruktion von Daten konsequent auf Ebene der Festplattensektoren mit hexadezimalen Daten arbeitet, konnten CBL Methoden entwickeln, um beispielsweise die Muster in den Datenfragmenten eines zerstörten RAID zu entdecken und diese auch ohne die Informationen eines RAID-Controllers zusammenzusetzen. Auch hier kommen immer wieder Herausforderungen hinzu, zum Beispiel die Wear-Leveling-Algorithmen bei SSDs. Deren Controller verteilt die Schreibvorgänge so, dass alle Speicherzellen etwa gleich häufig beschrieben werden. Die Zuordnung der physikalischen Speicheradresse zur logischen Sektornummer wird ausschließlich in der SSD gespeichert und ist von außen nicht ersichtlich. In der Datenrettung hat man es daher mit auf der ganzen SSD verteilten Fragmenten zu tun. Die Rekonstruktion eines einzelnen Datenträgers wird dadurch ähnlich komplex, wie die eines ganzen RAID-Arrays.
Immer individuell
Die Digitalisierung hat alle Lebensbereiche ergriffen und waren es von 20 Jahren zunächst Geschäftsleute, die einen Datenretter aufsuchten, wenden sich heutzutage auch viele Privatanwender an Datenretter und solche, die sich dafür ausgeben. Was hier auf fallengelassenen externen Festplatten und Notebooks verloren geht, hat vielleicht keinen wirtschaftlichen dafür aber einen hohen ideellen Wert. Auch seriöse Dienstleister, haben angesichts der großen Zahl von scheinbar ähnlichen Fällen versucht, Datenrettung zu „industrialisieren“. Doch jede Standardisierung der Verfahren wurde mit einem Einbrechen der Erfolgsquoten bezahlt. Datenretter, die wie CBL weiterhin jeden Fall individuell analysieren, merken dies daran, dass sie häufiger Datenträger bekommen, an denen sich schon anderer Datenretter versucht haben. Erfolgsquoten von bis zu 90 Prozent sind auch heute in der Datenrettung nur zu erreichen, wenn man jeden Fall als einzigartig anerkennt und behandelt. Dies hat auch einen Aspekt, der über die technischen Probleme hinausgeht. In 20 Jahren Kundenbetreuung hat es sich bei CBL bewährt, den Kunden als erstes zu fragen: Was haben Sie verloren und warum ist das für Sie ein Problem? Erfolg einer Datenrettung misst sich für den Betroffenen nämlich nicht an Datenmengen sondern, ob ein bestimmtes Problem gelöst werden kann. Daraus ergeben sich beispielsweise Prioritäten in der Rekonstruktion. Wenn eine Zulassungsarbeit abgegeben werden muss oder die Lohnbuchhaltung ansteht, sind das die Daten, nach denen zuerst gesucht werden muss. Jede Anwendersituation ist individuell, jede Schadensursache, jede Datenablagelogik, jede Softwaresituation, jede Hardwarekonstellation, jede Firmware. Nur eines haben alle Datenverlustfälle gemeinsam: Sie bedeuten für den Anwender zwar dunkle Stunden, aber die Hoffnung darauf, dass die verloren Daten von Tapes, RAIDs, virtuellen Servern, HDDs, SSDs, USB-Sticks, Memorycards oder Smartphones wieder ans Licht gebracht werden können, ist mehr als begründet.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
CBL Data Recovery Technologies, 1993 in Markham bei Toronto gegründet, ist ein führender Anbieter von Dienstleistungen der Computerdatenrettung und Computerforensik. Das seit 2000 bestehende deutsche Labor firmiert als CBL Datenrettung und hat seinen Sitz in Kaiserslautern. Mit proprietären Methoden stellt CBL Daten von allen möglichen beschädigten Datenträgern wie Festplatten, Magnetbändern, anderen magnetischen, optischen oder Flash-Speichern wieder her. CBL bietet seine Dienste weltweit an und unterhält ein Netzwerk von Labors, Servicezentren und autorisierten Partnern in Argentinien, Australien, Barbados, Brasilien, China, Deutschland, Frankreich, Großbritannien, Indien, Japan, Österreich, Singapur, Taiwan und den Vereinigten Staaten. Gebührenfreie Rufnummer für Deutschland: 0800 55 00 999, internationale gebührenfreie Rufnummer: 00800 873888 64
Datum: 12.09.2014 - 21:48 Uhr
Sprache: Deutsch
News-ID 1529
Anzahl Zeichen:
Kontakt-Informationen:
Kategorie:
Datenrettung
Art der Fachartikel: Unternehmensinformation
Versandart: Veröffentlichung
Freigabedatum: 12.09.2014
Dieser Fachartikel wurde bisher 184 mal aufgerufen.
