Sprengen von Festplatten

Neulich stieß ich auf Golem auf einen Bericht des Hackers Zoz Brooks, der beschrieb, wie Festplatten so beschädigt werden können, dass auch eine forensische Analyse keine nennenswerten Ergebnisse bringt. Einige der angedachten Ideen sind der Einsatz u. a. von Plasmaschneider, Thermit, Sauerstoff und Sprengstoff. Brooks‘ Plan ist es, das digitale Gedächtnis magnetischer Datenträger unterhalb einer Minute auf Knopfdruck durch Sprengung dauerhaft zu löschen. Der Praxistest zeigt: es funktioniert.

Der Munroe-Effekt verspricht Effizienz

Bei seiner Vernichtungsvariante mittels Sprengstoff setzt Brooks auf den sogenannten Munroe-Effekt. Hierbei ist hochbrisanter Sprengstoff, wie z. B. Semtex, um eine kegelförmige Metalleinlage eingebracht, der mit der Unterseite auf die Festplatte gerichtet ist. Die Detonation resultiert in der Vereinigung der Explosionsfronten in einer Art Stachel, der punktgenau ein Loch auch in zentimeterdicke Stahlplatten sprengt. Das sprengtechnische Verfahren ist auch als Hohlladungsprinzip bekannt und wird z. B. in Panzerabwehrmunition eingesetzt. Das Grundprinzip findet sich in einer Animation hier. Der Vorteil von Hohlladungen: die Explosionsfront ist punktgenau „dosierbar“, so dass die Hauptwirkung der Detonation sich auf die Ausprägung des Stachels konzentriert und Schäden im näheren Umfeld (theoretisch) bei der Sprengung minimiert werden.

Praktische Umsetzung

Versuchsanordung
Versuchsanordung (klick zum Vergrößern)

Da die Idee von Brooks neugierig macht, habe ich diese umgesetzt mit dem Ziel, neben der Löschung von drei 3,5-Zoll-Festplatten auch gleichzeitig Kunstwerke der Zerstörung zu schaffen. Aus Zeitmangel wurde aber erst einmal auf den von Brooks beschrieben Einsatz von Hohlladungen verzichtet und der Akt der Zerstörung nur mit aufgelegten Ladungen vollzogen. Diese wurden nicht verdämmt, d. h. mit einer Schicht aus Sand, etc. abgedeckt, um die Verschmutzung der Sprengobjekte zu reduzieren.

Folgende Mengen wurden eingesetzt:

Methode 1: 40 Gramm des Gesteinssprengstoffs Eurodyn (Schlagpatrone)

Methode 2: 5 Gramm Pentaerythrityltetranitrat (PETN) in Form von abgelängter 12-Gramm/Meter-Sprengschnur Methode 3: 20 Gramm Semtex (zu sehen als weißer Streifen, der durch die Sprengschnur gezündet wird

 

Alle drei Ladungen wurden mittels sogenannter Leitfeuerzündung unter Verwendung von 12-g/m-Sprengschnur und einem elektrischen Kurzzeitzünder zur Detonation motiviert. Leitfeuerzündung bedeutet, mittels Sprengschnur eine oder mehrere Schlagpatronen/Ladungen zu zünden (hiermit lassen sich teurere elektrische Zünder einsparen).

Gute Ergebnisse auch mit kleinen Mengen

Ergebnis: Garantie- und Gewährleistungsansprüche für alle drei Festplatten dürften sich nach der Sprengung nicht mehr durchsetzen lassen. Der Detonationsdruck sorgte für eine Verformung auch der Scheiben aller Plattenstapel. Die bei der Sprengung freigesetzte Detonationswärme brachte das Metall partiell zum Schmelzen. Beim Einsatz des Gesteinssprengstoffs Eurodyn 2000 trat eine Plattierung von Schreib-/Lesekopf, dem Metall des Datenträgers und des Gehäuses ein, d. h. alle drei Bauteile wurden sprengtechnisch „verschweißt“ und konnten selbst unter Zuhilfenahme von Schraubstock und Rohrzange nicht voneinander getrennt werden.

Sprengtechnisches Optimierungpotential vorhanden

Zukünftige könnten folgende Verbesserungsmöglichkeiten geprüft werden:

  • Platzierung mehrerer Festplatten nebeneinander (ohne Zwischenabstand)
  • Positionierung der Sprengladung in horizontaler Richtung (statt wie im Versuch in Vertikalrichtung) direkt über dem Lesekopf
  • Beschränken auf Sprengschnur (Eurodyn und Semtex sind aufwändiger in der Vorbereitung)
  • Reduzierung der Sprengstoffmenge auf 1,2 Gramm (10 cm von 12-g/m-Sprengschnur entsprechend der Festplattenbreite)
  • Verwenden eines mit Wasser gefüllten Schlauchs zur Reduzierung der Sprengstoffmenge und des bei der Sprengung entstehenden Schalls.

Hohe rechtliche Auflagen verhindern praktische Anwendung im Rechenzentrum

Aber zurückkommend auf Brooks‘ Vorschlag, Verfahren der Sprengtechnik im Rechenzentrumsumfeld einzusetzen, um bei einem Polizeieinsatz noch schnell Datenbestände sprengen zu können, lässt sich kurzum sagen, dass das nette Gedankenexperimente sind.

Jedoch sind diese – zumindest für Deutschland – absolut praxisfern, sofern man sich im rechtlichen Rahmen bewegen möchte [die folgenden Zeilen verstehen sich nicht als Rechtsberatung]. Denn zum einen kollidiert der Wunsch der Vorhaltung sprengfähiger Vorrichtungen mit dem Sprengstoffgesetz. Dieses legt beispielsweise fest, dass nur befähigte (Rechenzentrums-)Mitarbeiter Zugang zu Sprengstoffen haben dürfen.

Kritischer dagegen gestaltet sich die Sache mit der Aufbewahrung/Lagerung von Sprengstoffen und Zündern: Hier wird nach der 2. Verordnung zum Sprengstoffgesetz (2. SprengV) die Lagerung in genehmigungspflichtigen Sprengstofflagern gefordert. Diese müssen in Anhängigkeit zur Menge bauliche Anforderungen erfüllen sowie Mindestabstände zu Infrastruktureinrichtungen haben.

Brooks könnte argumentieren, für seine Anwendung mit kleinen Hohlladungen ja nur wenige Gramm Sprengmittel vorhalten zu wollen, denn hier ist das Sprengstoffgesetz (etwas) entgegenkommend, indem es für „kleine Mengen“ ein paar Ausnahmen ermöglicht. Geregelt ist dies (so, jetzt tief Luft holen, um die Gesetzesquelle in einem Satz vorlesen zu können) in der Richtlinie zur Aufbewahrung von Explosivstoffen und Gegenständen mit Explosivstoff sowie von sonstigen explosionsgefährlichen Stoffen außerhalb eines Lagers (kleine Mengen) nach Nummer 4 des Anhangs zu § 2 der 2. Verordnung zum Sprengstoffgesetz (2. SprengV) in Verbindung mit Anlage 6 zum Anhang der 2. Sprengverordnung zum Sprengstoffgesetz. Oder kurz: Lagerrichtlinie 410. Wobei hier festgelegt ist, dass die maximale Aufbewahrungsdauer außerhalb eines genehmigten Lagers nur eine Woche betragen darf. Man darf annehmen, dass der Betrieb eines Rechenzentrums länger als eine Woche andauern soll.

 

Weiterhin gibt es noch die Technische Regel zum Sprengstoffrecht (SprengTR310). Die dortigen Regelungen (u. a. Notwendigkeit der Belehrung von Anwesenden, Maßnahmen zur Sicherstellung der Personenfreiheit im Sprengbereich z. B. durch Absperrmaßnahmen, Geben von Sprengsignalen, etc.) sind mit Brooks‘ Ideen einer schnellen Sprengung von Datengut ebenfalls inkompatibel.

Kostenlose Vernichtung durch zertifizierte Unternehmen statt Sprengung

Bleibt nur noch zusammenfassend festzustellen: die sprengtechnische Vernichtung von Datenträgern selbst mit kleinen Mengen an Sprengstoff ist kostengünstig (außerhalb von Rechenzentren) möglich. Der Einsatz von Linearladungen (Sprengschnur) stellt eine schnelle und effiziente Möglichkeit dar. 100 Meter 12-g/m-Sprengschnur kosten rund 90 Euro. Pro Festplatte werden rund 20 cm Sprengschnur benötigt, das sind dann also Kosten von 18 Cent. Ein elektrischer Sprengzünder schlägt dann entsprechend anteilig mit rund drei Euro brutto zu Buche.

Aber nun die Enttäuschung: einige auf die Entsorgung von Datenträger spezialisierte Unternehmen bieten die kostenfreie Vernichtung von Datenträgern an, welche die von Bundesamt für die Sicherheit in der Informationstechnik (BSI) vorgegebenen Standards vollumfänglich erfüllen. Der Hintergrund: Gewinnung von Ersatzteilen aus nicht mehr erhältlichen Festplatten zur Rettung zukünftiger Datenbestände auf baugleichen Datenträgern.

Insofern ist die sprengtechnische Datenträgervernichtung zwar eine nette Idee, in der Praxis aber nicht wirklich einsetzbar. Aber Sprengen klingt aber eben irgendwie doch spannender...