Datenrettung bei physisch beschädigter Hardware

Will man verlorene Daten von einer Festplatte wiederherstellen, muss man zunächst feststellen, ob es sich um ein Hardwareproblem handelt. Denn eine Software kann im Fall eines physischen Defektes der Festplatte keine Datenwiederherstellung zur Datenrettung durchführen.
Die Datenrettung bei einem physischen Defekt der Festplatte kann sehr teuer sein, da Spezialisten die Festplatte mit Hilfe spezieller Werkzeuge auseinander nehmen müssen, um das Problem zu beheben. Normalerweise geschieht dies in einem so genannten "Clean Room", in dem keinerlei Staub oder Schmutzpartikel in der Luft sind.

Grundwissen zur Datenrettung: Wie werden Daten auf der Festplatte gespeichert?

Die Formatierung einer Festplatte bereitet die organisierte Speicherung von Daten mit Hilfe eines Dateisystems vor. Der magnetische Platz auf der Festplatte wird in kleinere Speichereinheiten aufgeteilt. Dabei werden Sektoren zu je 512 Byte festgelegt, das ist die Standardgröße für die kleinste Speichereinheit.

Um die Festplatte effizienter zu gestalten, gruppiert das Betriebssystem diese Sektoren noch einmal in Blöcke, so genannte „Cluster“. Das Cluster-Konzept ist notwendig, damit das Betriebssystem mit großen Speichermedien umgehen kann.

Es ist durchaus möglich, dass eine Datei auf verschiedene Cluster in unterschiedlichen Bereichen der Festplatte verteilt gespeichert wird, was zu einer Fragmentierung der Festplatte führt. Die Komplexität der Fragmentierung kann die Wiederherstellung verlorener Dateien negativ beeinflussen. Deswegen ist es ratsam, die Festplatte in regelmäßigen Abständen zu defragmentieren.

Wie genau funktioniert die Datenwiederherstellung?

Der administrative Bereich auf der Festplatte ist das Hauptverzeichnis, also eine Liste
von Dateien und Unterverzeichnissen. In diesem Hauptverzeichnis werden folgende
Informationen vermerkt:

* der Dateiname
* die Dateigröße in Byte
* Datum und Uhrzeit der letzten Änderung
* Nummer des ersten Clusters der Datei

Anhand des ersten Clusters beginnt das Betriebssystem die Datei zu lokalisieren. Anschließend nutzt es die Informationen, die am Beginn der Festplatte in einer sogenannten Dateizuordnungstabelle (File Allocation Table, FAT) abgelegt sind, z.B. die Nummer des folgenden Clusters, wenn die Datei über mehrere Cluster verteilt ist.

Die Adresse einer jeden Datei wird also wie folgt beschrieben: Der erste Cluster wird im Hauptverzeichnis gelesen. Die folgenden Cluster-Nummern werden aus der Dateizuordnungstabelle gelesen.
Der Inhalt der Datei wird also an einem anderen Ort gespeichert als die Dateiinformationen in der Dateizuordnungstabelle. Dadurch wird die Datenrettung in der Dateizuordnungstabelle möglich.

In neueren Betriebssystemen (ab Windows NT aufwärts) sind die Dateizuordnungstabelle FAT und das Hauptverzeichnis ineinander integriert und durch die Masterdatentabelle (Master File Table, MFT) ersetzt worden. Dieses Dateisystem wird auch NTFS (NT File System) genannt. Eine Masterdatentabelle ist sehr komplex, doch das Grundprinzip der Verteilung der Dateiinformationen im ersten Startcluster und den daran nachfolgenden Clustern ist gleich geblieben.

Was genau passiert beim Löschen von Daten?

Wird unter Windows eine Datei gelöscht, so wird sie in den "Papierkorb" verschoben. Sie können sich den Windows ‚Papierkorb’ im Prinzip wie einen zusätzlichen Dateiordner vorstellen. Wirklich gelöscht ist die Datei, wenn der Papierkorb geleert oder die Datei ohne Zwischenstation Papierkorb gleich gelöscht wurde.

Wird eine Datei gelöscht, markiert das Betriebssystem den Dateinamen mit einem speziellen Zeichen in der Masterdateitabelle MFT, die bei Zugriff durch den Computer anzeigt, dass diese Datei gelöscht wurde. Das Betriebssystem markiert nun diese Cluster als freien, leeren Speicherplatz. Das bedeutet, dass dieser Speicherplatz nun von neuen Dateien genutzt werden kann. Das Betriebssystem löscht dabei nicht den Inhalt der einzelnen Cluster, er existiert also weiter und ist nur für das Betriebssystem als „frei“ markiert.

Das heißt: Dateien, die vom Betriebssystem nicht mehr lokalisiert werden können, aber in den „freigegebenen“ Clustern noch gespeichert sind, können von einer Datenrettungssoftware wieder hergestellt werden. Sind die betroffenen Cluster allerdings korrupt oder physisch beschädigt, ist eine Rettung eventuell nicht mehr möglich. Die meisten Programme zur Datenrettung gehen davon aus, dass Dateien in aufeinanderfolgenden Clustern gespeichert werden. Wenn jedoch die Dateizuordnungstabelle FAT und Masterdateitabelle MFT zerstört wurden, so ist damit auch die dort gespeicherte Information über die tatsächliche Fragmentierung, das heißt Verteilung der Informationen auf der Festplatte und der Speicherort der Datei verloren. Die gelöschte Datei ist also noch vorhanden, aber für wie lange?

Die einzige Möglichkeit, die gelöschten MFT-Daten oder die Inhalte der Datei selbst permanent zu löschen, ist diese durch andere, neue Dateien zu überschreiben. Das bedeutet, dass jegliche Nutzung des Computers und Speicherung von selbst kleinsten Dateien nach dem Datenverlust deren Wiederherstellung schwierig bis unmöglich machen kann.

Will man die Daten von der Festplatte retten, dann sollte der Wiederherstellungsprozess von einer zweiten Festplatte aus gestartet werden. Ansonsten kann es passieren, dass das Betriebssystem beim Versuch der Datenwiederherstellung, diese verlorenen Dateien überschreibt. Die Software zur Datenwiederherstellung sollte deshalb immer auf einer zweiten Festplatte und nicht auf der Festplatte, auf der sich die gelöschten Dateien befinden, installiert werden. Sie kann auch von CD oder einem externen Speichermedium (externe Festplatte, USB-Stick etc.) gestartet werden.

Datenwiederherstellung durch Suche nach gelöschten MFT-Informationen

Die meisten Datenwiederherstellungsprogramme suchen nach MFT-Einträgen, um Dateien zu retten. Dabei laufen folgende Aktionen im Hintergrund ab: Der MFT-Eintrag einer gelöschten Datei wird lokalisiert, dann werden die weiteren Cluster, die ursprünglich von der nun als gelöscht markierten Datei in Anspruch genommen wurden, überprüft. Dabei wird kontrolliert, ob diese Cluster bereits mit neuen Dateiinhalten überschrieben wurden.

Ein Cluster kann nur Informationen einer Datei beinhalten, das heißt wenn eine andere (neue) Datei dieses Cluster bereits nutzt, sind die Informationen der wiederherzustellenden Datei mit sehr hoher Wahrscheinlichkeit überschrieben und damit permanent zerstört. Diese Art der Datenwiederherstellung geht sehr schnell, da ja nur die MFT Einträge und Cluster kontrolliert und die identifizierbaren Informationen wiederhergestellt werden. Ist die Dateizuordnungstabelle jedoch korrupt, defekt oder überschrieben worden , kann diese Technik keine Daten wiederherstellen, auch wenn sich die Dateiinformationen noch immer auf der Festplatte befinden. Hier hilft nur die Suche nach nicht zugeordneten Dateien, also ohne Hilfe der MFT-Einträge.

Durchsuchung nach nicht zugeordneten, gelöschten Dateien

Eine gute Software zur Datenrettung sollte es ermöglichen, die Dateizuordnungstabelle MFT zu ignorieren und ebenfalls alle nicht zugewiesenen Cluster zu durchsuchen. Das bedeutet, dass man wissen muss, wie eine gelöschte Datei aussieht. Glücklicherweise haben die meisten Dateitypen einzigartige Kopf- und Fußzeilen. Diesen Aufbau macht sich die Software zu nutze und kann so die gesamte Festplatte nach den nicht zugeordneten Dateien durchsuchen. Dieser Suchvorgang dauert allerdings erheblich länger als die schnelle Suche in den MFT-Einträgen.

Warum sind einige Dateien teilweise korrupt nach der Wiederherstellung?

Wie schon in vorherigen Kapiteln beschrieben, belegt das Betriebssystem nur so viele Cluster auf der Festplatte, wie für eine Datei benötigt werden. Das kann bedeuten, dass die Originaldatei nur zum Teil überschrieben wurde und nur noch einen Teil des Inhalts wiederherstellt werden kann.

Leider ist auch dies manchmal nicht ausreichend, da die meisten Softwareanwendungen komplett intakte Dateien benötigen, um diese anzuzeigen. Die Wiederherstellung von teilweise korrupten Dateien ist ein weiterer, sehr spezieller Teilbereich der Datenrettung und setzt eine genaue Kenntnis der unterschiedlichen Dateitypen voraus.

Datenrettung von formatierter Festplatte

Formatiert man eine Festplatte, werden prinzipiell nur die Root Directory Einträge sowie die Dateizuordnungstabelle FAT beziehungsweise die Masterdateitabelle MFT gelöscht. Es ist möglich, eine komplette Formatierung der gesamten Festplatte, bei der alle Einträge gelöscht werden, durchzuführen. Dazu muss man jedoch vorher spezielle Optionen auswählen.

Es gibt eine Reihe von Tricks, die von den verschiedenen Programmen zur Datenrettung angewendet werden, um Dateien von formatierten Festplatten zu retten. Dazu gehört beispielsweise die Suche nach gelöschten Directory-Einträgen, die tatsächlich als Dateien auf dem Computer gespeichert werden. Wenn man einen solchen Directory-Eintrag findet, kann man daraus auch den Namen der Datei, das Anfangscluster sowie die Dateigröße ablesen. Die Datenrettungssoftware kann auch den Datenbereich einer formatierten Festplatte nach den Kopf- und Fußzeilen durchsuchen und somit einzelne Dateitypen lokalisieren.

Zum Autor: Graham Henley hat eigenen Angaben zufolge 15 Jahre Erfahrung im Bereich der Datenwiederherstellung: Zuerst war er zuständig für den Bereich Computerforensik innerhalb der Australischen Bundespolizei, dann widmete er sich als Direktor von PricewaterhouseCoopers Asia Pacific der Industriespionage im asiatisch pazifischen Raum. Das hieraus erfahrene Wissen setzt er als Mitgründer von GetData für die Entwicklung von Datenrettungssoftware ein.

GetData ist der Hersteller von verschiedenen Datenrettungsprogrammen wie Recover My Photos (für digitale Fotos und Videos), Recover My Email (für Outlook und Outlook Express), Recover My Files (für die Wiederherstellung und den speziellen Support von über 350 erschiedenen Dateitypen) und Recover My iPod (für Dateien, die auf dem iPod erloren gegangen sind). PC-Welt, Hans-Christian Dirscherl (bw)