IT-Forensik: Datenwiederherstellung mit TRIM

Der Zustand des Betriebssystems, explizit der von SSD Festplatten lässt sich auf den ersten Blick nicht erkennen. Selbst erfahrene Computerspezialisten brauchen hier Unterstützung durch diverse Tools oder Eingabebefehle. Besonders kritisch wird es dann, wenn Daten verloren gegangen sind. Mit TRIM können aber auch Freelancer wie Sie und ich auf digitale Spurensuche gehen, um Daten auf SSD Festplatten wieder herzustellen. 

Die SSD Garbage Collection und die TRIM-Funktion

Daten werden auf den einzelnen Festplatten ganz unterschiedlich gespeichert. Das ist in erster Linie den verschiedenen Bauweisen geschuldet. Während Daten bei SATA-Laufwerken auf Magnetplatten geschrieben werden, funktioniert das bei flashbasierten SSD-Speichermedien in Blöcken. Die Steuerung übernimmt hierbei ein sogenannter SSD-Controller.

Im Gegensatz zu HDD Festplatten befinden sich auf einer SSD keine beweglichen Bauteile. Über den genauen Unterschied zwischen HDD und SSD können Sie sich hier informieren. Dementsprechend werden die jeweiligen Daten beim Speichern zunächst auf sogenannte Seiten geschrieben. Sind genügend solcher Seiten zusammengekommen, speichert die SSD diese in einem Block. 

Ist die SSD leer, macht sich das dadurch bemerkbar, dass die Schreibvorgänge insgesamt schneller vonstatten gehen. Das liegt ganz einfach daran, dass der Controller als Steuerungselement nicht erst nach offenen oder freien Blöcken Ausschau halten muss. Dieser Schreibvorgang verzögert sich jedoch, wenn das Laufwerk bereits einige gespeicherte Daten enthält. In diesem Fall schreibt der Controller die einzelnen Seiten de facto um, löscht Daten aus diesen Blöcken und beginnt erst dann mit dem neuen Schreibvorgang. Dieses permanente Löschen und Neuschreiben der Daten nennt man den Garbage-Collections-Prozess, der stetig stattfindet, solange der PC in Betrieb ist.

Tipp der Redaktion:

Stetigkeit bringt insbesondere für Freelancer Vorteile, bewegt man sich doch kontinuierlich und in der Regel störungsfrei auf ein Ziel zu.

Die TRIM-Funktion ist sozusagen in der Garbage Collection verankert. Als Befehl sorgt TRIM dafür, dass stets jener Speicherplatz auf der SSD-Festplatte geleert wird, dem nichts zugewiesen ist. Für Sie als Freelancer, der die ganze Arbeitszeit über am Computer sitzt bietet der gesamte Prozess einen großen Vorteil: Er läuft nahtlos ab, ohne dass Sie eine nennenswerte Verlangsamung bemerken. Allerdings birgt dieser Vorteil auch einen Nachteil in sich. Denn aufgrund der stetigen Löschung und Neuschreibung gehen auch ursprüngliche Versionen einzelner Daten schnell verloren, wenn der Speicherplatz nicht zugewiesen wurde.

Nicht zugewiesener Speicherplatz

Eigentlich ist es genau dieser besondere Speicherplatz ideal, um Teile von verlorenen Dateien oder einzelne Daten wiederzufinden. Auch wenn Daten gelöscht wurden, können sie in der Regel einfach wiederhergestellt werden. Wenn Sie beispielsweise eine Datei löschen, landet diese zunächst in Ihrem digitalen Papierkorb. Ihr Betriebssystem weiß zwar nun, dass der Inhalt nicht mehr benötigt wird und somit der bisherige Speicherplatz freigegeben werden kann. Aber Sie als Freelancer haben dennoch jederzeit die Möglichkeit, genau diese Datei wiederherzustellen, in dem Sie den Papierkorb öffnen und auf “Wiederherstellen” klicken.

Doch was hat der freigewordene Speicherplatz nun mit der TRIM-Funktion und der Datenwiederherstellung zu tun? Ein Beispiel:

• Sie löschen eine Datei mit der Größe von 13615 Byte.
• In den freigewordenen und nicht zugewiesenen Speicherplatz wird eine neue Datei mit einer Größe von 10 Byte gelegt.
• Damit verbleiben an dieser Stelle 13605 Bytes wiederherstellbarer Daten.

Doch Vorsicht! Das Herunterfahren auf üblichen Weg birgt auch Risiken für Ihre Daten. Unter Umständen können durch Schadsoftware, Viren und dergleichen Daten zerstört werden, wenn das System nicht mit einem Kennwort geschützt ist. Daher empfiehlt sich an dieser Stelle ein hartes Herunterfahren, indem der Startknopf des PCs solange gedrückt wird, bis sich das Gerät ausschaltet. Durch diesen Abbruch wird der Garbage-Collection-Prozess sowie TRIM automatisch gestoppt und es kommt zu keiner weiteren Zerstörung Ihrer Daten.

Das funktioniert im Übrigen auch, wenn Sie einmal das Gefühl haben, dass sich ungewollt ein bösartiges Programm auf Ihrem Computer installiert hat oder gerade dabei ist, sich in Ihrem System festzusetzen. Für Freelancer besteht dieses Problem oftmals, wenn Dateien von unbekannten Absendern eintreffen oder aus Versehen E-Mail-Anhänge geöffnet werden.

Tipp der Redaktion:

Ist Ihre SSD verschlüsselt, geben Sie unbedingt den Code an. Nur so vermeiden Sie beim harten Herunterfahren, dass es zu Verzögerungen kommt und die Festplatte am Ende doch in Mitleidenschaft gezogen wird.

SSD Festplatten sind besonders bei Freelancern beliebt, da sie ausgesprochen schnelle und effiziente Speichermedien sind. Die Garbage-Collection-Prozesse mit der TRIM-Funktion unterstützen die Funktionsweise einer SSD. Allerdings sind es genau diese Prozesse, die mitunter bei der IT-Forensik auch Probleme verursachen können. Sind Sie sich bei der Datenwiederherstellung unsicher, empfiehlt sich im Zweifelsfall immer, einen Experten um Rat zu fragen.