Im direkten Vergleich von magnetischen Festplatten (HDD) mit Solid State Disks (SSD) schneiden die klassischen Datenträger oftmals schlecht ab. Reduziert auf bestimmte Benchmark-Werte mögen solche Vergleiche gerade noch zulässig sein. Doch berücksichtigt man Punkte wie Ausfallwahrscheinlichkeiten, Lebensdauer und Architektur der Datenträger sowie die Möglichkeiten der Datenrekonstruktion nach einem Notfall, sieht die Bilanz anders aus.
Mechanische Festplatten können im Vergleich zur SSD auf eine sehr lange Historie im Endkundenmarkt zurückblicken. Die erste magnetische Festplatte stammt aus dem Jahr 1956 und hatte eine für heutige Maßstäbe lächerliche Speicherkapazität von 5 MB bei einem Gewicht von circa einer Tonne.
Mitte der achtziger Jahre fanden immer mehr Computer den Weg in die Privathaushalte. Zu dieser Zeit lag die durchschnittliche Festplatten-Kapazität schon bei gut 200 MB.
Verstärkt ging in den Neunzigern die Bauweise von bis dato üblichen 5,25 Zoll auf 3,5 Zoll über. 1992/93 wurde die Schallmauer von 1 GB durchbrochen, zehn Jahre später haben Hersteller die Kapazität um den Faktor 300 gesteigert. Im Jahr 2007 gelang der Durchbruch auf 1 TB, neueste Modelle haben eine Kapazität von inzwischen 4 TB.
Die Dichte der Datenaufzeichnung wurde immer größer, die Zugriffszeiten immer kürzer, und die Anforderungen an die mechanischen Komponenten immer höher. Die Geschichte der SSD ist deutlich jünger. Der Einsatz in kommerziellen und militärischen Produkten begann in den Neunzigern, eine Marktreife hat die SSD allerdings erst 2006/2007 erreicht. Mittlerweile werden in PCIe-Bauweise auch bei SSDs schon Kapazitäten von mehr als 2 TB erreicht, allerdings zu deutlich höheren Preisen als bei mechanischen Festplatten. Im klassischen Festplattenformat liegt die Kapazität derzeit bei etwa 500 bis 600 GB.
Die klassische Festplatte – Feinmechanik mit Schwächen
Betrachtet man die Architektur einer mechanischen Festplatte, so stellt man sehr schnell fest, dass sich diese massiv von der einer SSD unterscheidet. Dies beginnt schon mit dem Einsatz der verbauten Komponenten sowie der Art und Weise, wie Daten gespeichert werden.
Bei mechanischen Festplatten werden die Daten auf Magnetscheiben gespeichert und mit Hilfe von Schreib-Leseköpfen ausgelesen oder beschrieben. Je nach Modell und Kapazität der Festplatte sind heutzutage ein bis fünf Magnetscheiben, die einen sogenannten Plattenstack bilden, und die dazu entsprechenden ein bis zehn verbauten Schreib-/Leseköpfe üblich.
Die Rotationsgeschwindigkeit hat von anfänglichen 1.200 Umdrehungen pro Minute (rpm) über die Jahre stetig zugenommen. Gängige Umdrehungsgeschwindigkeiten liegen bei Desktop Festplatten mittlerweile bei 7.200 Umdrehungen pro Minute, im Serverumfeld sind sogar 15.000 Umdrehungen pro Minute nicht ungewöhnlich. Durch die Rotation der mit 250 Umdrehungen pro Sekunde drehenden Magnetscheiben entsteht ein dünnes Luftpolster auf dem die Schreib-/Leseköpfe schweben.
Erst bei voller Umdrehungszahl bewegen sich die Köpfe aus der Parkposition, da diese sonst auf den Magnetscheiben aufliegen und durch Adhäsion festkleben würden. Entsprechend können mechanische Einwirkungen wie Stürze oder Erschütterungen schwerwiegende Schäden auf den Datenträgeroberflächen hervorrufen und Beschädigungen am Lager und an den Schreib-/Leseeinheiten verursachen. Ebenso können Luftdruckveränderungen negative Auswirkungen auf das Luftposter haben. Insbesondere in höheren Lagen kann es vorkommen, dass durch die dünne Luft das Polster nicht mehr ausreichend ist. In Folge dessen schlagen die Köpfe auf die Datenträgeroberflächen auf und verursachen einen klassischen Headcrash.
Solid State Disk – hoher Aufwand bei physikalischen und logischen Schäden
Gerade in solchen Momenten wird die SSD gerne als alternatives Allheilmittel herbeigerufen. Der große Vorteil ist dabei der Verzicht auf jegliche Form beweglicher Komponenten. Doch der sichere Schein trügt, denn die Tatsache fehlender Mechanik allein macht eine SSD noch nicht zu einem ausfallsicheren Medium.
Die wichtigsten Komponenten einer SSD sind zum einen der Controller und zum anderen die Speichereinheiten, auch NAND-Flash Bausteine genannt. Gerade für Hersteller von SSD-Datenträgern stellt dies eine besondere Herausforderung dar, denn es gibt eine Vielzahl verschiedener Anbieter an Herstellern von Controllern, gleiches gilt für die NAND-Bausteine.
Problematisch ist dies deshalb, weil unterschiedliche Controller auch unterschiedliche Algorithmen verwenden. So kommt es nicht selten vor, dass SSD-Hersteller bei einem Modell während des Produktionszyklus Controller wie auch Speicherbausteine verschiedener Lieferanten verbauen. Wo gerade bei HDDs die exakt baugleichen Komponenten innerhalb einer Modellreihe ein entscheidender Lösungsansatz zur physikalischen Instandsetzung sind, scheitert dieser Ansatz bei SSDs öfters aufgrund der fehlenden Konsequenz im Einsatz der verbauten Komponenten.
Speicherbausteine sind die zweite wesentliche Komponente einer SSD. Je nach Kapazität sind bis zu 64 Speicherbausteine nicht unüblich, diese sind teilweise auch noch in Sandwichbauweise auf dem Datenträger verbaut. Gerade die Kombination und die Qualität der Controller und Speicherbausteine haben enormen Einfluss auf die Geschwindigkeit der SSD – und noch viel mehr auf die Zuverlässigkeit, da die Qualität der Algorithmen mitunter zu wünschen übrig lässt. Doch gerade Controllerausfälle sind eine nicht seltene Fehlerursache für Datenverlust.
Berücksichtigt man, dass in der Regel keine Dokumentation über die Funktion der verwendeten Algorithmen vorhanden ist, ist offensichtlich welche Anforderungen an einen professionellen Datenretter gestellt sind, falls die SSD tatsächlich ausfällt oder defekt ist.
Spezialanbieter für Datenrettung stecken deshalb als Voraussetzung für eine erfolgreiche und im Notfall rasche Datenrettung viel Zeit in Forschung und Entwicklung. Hervorzuheben ist das Reverse Engineering der verwendeten Algorithmen der im Markt erhältlichen Controller.
Doch für die physikalische Datenrettung ist ebenfalls das Know-how über den Aufbau der verwendeten Speicherchips vonnöten. Das sorgfältige Auslöten der einzelnen Speicherbänke ist notwendig, wobei bei steigender Zahl der Speicherbausteine der Aufwand der Techniker linear zunimmt. Gerade im Bereich der physikalischen Datenrettung ist der Aufwand bei herkömmlichen Festplatten meist deutlich geringer. Zwar nimmt auch hier der Arbeitsaufwand bei mechanischen Schäden mit der Anzahl der verbauten Schreib-/Leseeinheiten und Magnetscheiben zu, jedoch in deutlich geringerem Umfang als bei einer SSD.
Auch im Bereich der logischen Datenrettung zeigen sich deutliche Unterschiede zwischen herkömmlichen Festplatten und SSDs – auch hier eher zum Nachteil der SSD. Sind die Daten der einzelnen Speicherchips vollständig ausgelesen, dann ist die Arbeit noch lange nicht beendet. Gerade das Zusammenfügen dieses Datenpuzzles ist sehr zeit- und rechenaufwendig. Während in der Regel die Durchschnittsbearbeitungszeit bei mechanischen Festplatten zwischen zwei und vier Tagen liegt, kann diese bei SSDs je nach konkretem Schadensbild zwischen einigen Stunden bis hin zu wenigen Wochen betragen. Des Weiteren sind bei SSDs Schäden im Bereich der Firmware häufig verbreitet und können fatale Auswirkungen haben.
SSD-Technik: Wear-Leveling-Algorithmus, TRIM und Garbage Collection
Ein kurzer technischer Exkurs zur Betrachtung des Wear-Leveling-Algorithmus und des TRIM Befehls helfen zum besseren Verständnis der Vorgehensweise der Speicherung von Daten auf SSDs. Da durch die Degeneration der einzelnen Floating Gates bei jedem Löschvorgang die Lebensdauer der einzelnen Speicherzellen auf 3.000 bis 100.000 Schreibzyklen beschränkt ist, werden Wear-Leveling-Algorithmen eingesetzt. Der Controller verteilt hierbei die Schreibvorgänge dermaßen, dass alle NAND Speicherzellen etwa gleich häufig beschrieben werden.
Die Zuordnung der physikalischen Speicheradresse zur logischen Sektornummer wird ausschließlich in der SSD gespeichert und ist von außen nicht ersichtlich. Die Durchführung von Defragmentierungen auf Betriebssystemebene ist deshalb für die Lebensdauer der SSDs kontraproduktiv und nicht zielführend. Da bei SSDs jede Zelle vor dem nächsten Überschreiben zuerst gelöscht werden muss, wurden die Verfahren TRIM und Garbage Collection entwickelt. Mit Hilfe des TRIM-Befehls teilt das Betriebssystem dem Datenträger mit, welche Datenbereiche bereits als gelöscht markiert wurden und somit bei allfälligen Löschzyklen nicht mehr kopiert werden müssen. Die Garbage Collection bewirkt in Leerlaufzeiten das proaktive Löschen der nicht mehr benötigten Sektoren.
SSD: Reservesektoren verhindern vollständiges Löschen
Punkten kann die SSD aus forensischer Sicht – je nachdem, auf welcher Seite man sitzt und welche Absicht verfolgt wird. Ein vollständiges Löschen der Daten auf einer SSD ist deutlich schwieriger als mit einer herkömmlichen Festplatte.
Grund hierfür sind die bei der SSD verwendeten Reservespeicher, die durchschnittlich 10 Prozent des Gesamtvolumens ausmachen können. Zwar verfügen auch herkömmliche Festplatten über Reservesektoren; deren Verwendungszweck unterscheidet sich aber deutlich von denen der SSD. Ist beispielsweise ein Sektor einer mechanischen Festplatte defekt, so wird der Inhalt des Sektors an einer anderen Stelle abgespeichert und in der Growing-Defects-Liste eingetragen, so dass dieser Sektor umgeleitet und nicht mehr angesprochen wird. Eben diese defekten Sektoren werden selbst von professioneller Software nicht angesprochen. Aus forensischer Sicht ist mitunter viel Aufwand nötig, um diese Sektoren auszulesen. Anders verhält es sich bei einer SSD.
Gerade aufgrund des Wear-Leveling-Algorithmus kann es vorkommen, dass nicht alle – und insbesondere nicht die aktuellsten Daten - gelöscht werden. Daran ändert auch professionelle Software nichts. Der wesentliche Unterschied zur Festplatte besteht in der Tatsache, dass bei der SSD die nicht überschriebenen oder gelöschten Bereiche nicht defekt, sondern in den meisten Fällen noch voll funktionsfähig sind. Umgangssprachlich gesprochen: man kommt an die Daten heran. Im Bereich der forensischen Beweissicherung ist dies interessant, um wertvolle Daten zu rekonstruieren.
Möchte man Daten hingegen unwiederbringlich löschen, dann ist im Hinblick auf die Reservespeicher bei SSDs mit anderen Methoden vorzugehen. Eine Möglichkeit ist das mehrfache Überschreiben der SSD. Aufgrund des Wear-Leverling-Algorithmus steigt bei mehrfachem Überschreiben die Wahrscheinlichkeit, dass die Reservesektoren ebenfalls überschrieben werden. Allerdings verringert sich durch die mehrfachen Schreibzyklen auch die Lebensdauer der SSD.
Automatische Verschlüsselung auf der SSD mit fatalen Folgen
Eine sehr negative Entwicklung ist die inzwischen weit verbreitete selbstständige Verschlüsselung der Rohdaten auf der SSD. Diese vom Controller durchgeführte Verschlüsselung erfolgt oft ohne das Wissen und die Eingabe eines Passwortes seitens des Anwenders. Gerade diese Form der Verschlüsselung stößt nicht nur in der Datenrettungsbranche auf blankes Unverständnis.
Dabei ist nicht die Verschlüsselung an sich, sondern der Mehrwert fraglich. Ist keine Passworteingabe notwendig, dann kann jeder User, der diese SSD funktionsfähig in die Hände bekommt, die Daten des Besitzers einsehen.
Der Schutz durch Verschlüsselung greift hier also nicht. Sollte kein Zugriff mehr möglich sein, sei es durch Beschädigung des Controllers oder auch durch Firmwarefehler, so hat man keine Möglichkeit mehr, an die Daten zu gelangen. In einigen Fällen können nicht einmal professionelle Datenretter helfen. Hier arbeitet die Kryptographie an einer Stelle, wo sie es nicht soll. Weshalb Storage-Hersteller verstärkt auf diese Form der Verschlüsselung zurückgreifen bleibt bisher deren Geheimnis – ein Mehrwert für den Kunden ist zumindest vordergründig nicht zu erkennen.
Festplatte vs. SSD: Fazit
Datenverlust kann passieren – davor ist man ohne Backup weder mit einer herkömmlichen Festplatte noch mit einer SSD gefeit. Als großes Plus muss man der SSD zugute halten, dass diese aufgrund des Fehlens mechanischer Komponenten erschütterungsunempfindlich ist. Somit können SSDs in Bereichen eingesetzt werden, in denen klassische Festplatten scheitern, beispielsweise in Umgebungen mit stark schwankenden Luftverhältnissen oder permanenten Vibrationen.
Der Aufwand für die physikalische Rekonstruktion der Daten nach einem Notfall ist jedoch insbesondere bei SSDs mit viele Speicherchips um ein Vielfaches höher als bei mechanischen Festplatten. Solange die in den SSD-Controllern verwendeten Algorithmen die bisherige Fehleranfälligkeit besitzen, sollten sich IT-Entscheider genau überlegen, in welchen Szenarien der Umstieg von einer mechanischen Festplatte auf eine SSD sinnvoll ist. (rb)