Kann ich Daten von einem verschlüsselten Speicher retten?

Es ist wahrscheinlich kein Geheimnis, dass die moderne Welt stark von digitalen Technologien abhängig ist. Das macht die Sicherheit sensibler Informationen zu einem immer wichtigeren Thema. Nicht nur Unternehmen und Institutionen, sondern auch Privatanwender legen zunehmend Wert auf den Schutz ihrer wertvollen Daten. Kundeninformationen, Geschäftsgeheimnisse, geistiges Eigentum, Buchhaltungsunterlagen oder jede persönlichen Daten wie Identität, Gesundheits- und Finanzinformationen sind anfällig für Cyberangriffe, insbesondere wenn sie ungeschützt bleiben. Angesichts dieser Bedrohung setzen immer mehr Menschen Verschlüsselungstools auf ihren Speichergeräten ein. Diese Tools führen mathematische Berechnungen durch, um Daten zu verschlüsseln und sicherzustellen, dass sie für Unbefugte unlesbar sind. Gleichzeitig sind solche Dateien nicht immun gegen Systemfehler oder Beschädigungen, ganz zu schweigen von Datenverlustrisiken, die durch die Implementierung dieser Technologie entstehen können. Es gibt sogar die weit verbreitete Überzeugung, dass verschlüsselte Daten nicht wiederhergestellt werden können. Tatsächlich erhöht die Verschlüsselung zwar die Komplexität der Datenrettung, verhindert sie aber in den meisten Fällen nicht vollständig.

Besonderheiten der Datenrettung von verschlüsselten Speichern

Verschlüsselungstools wandeln Daten in Chiffretext um, der nur mit Entschlüsselungsinformationen, normalerweise einem Kennwort oder einer eindeutigen Folge von Symbolen, dem sogenannten Entschlüsselungsschlüssel, lesbar gemacht werden kann. Das Fehlen dieser Informationen macht es unmöglich, das Laufwerk weder für autorisierte Benutzer noch für ein Programm zur Datenwiederherstellung zu entschlüsseln. Darüber hinaus reserviert jedes Verschlüsselungsinstrument einen bestimmten Bereich auf dem zu verschlüsselnden Speicher zu, in dem spezielle Metadaten gespeichert werden, die für den Entschlüsselungsvorgang unerlässlich sind. Der genaue Speicherort und Inhalt dieses Bereichs variiert je nach Verschlüsselungslösung. Wird dieser Bereich jedoch beschädigt oder überschrieben, können die verschlüsselten Daten nicht mehr entschlüsselt werden, unabhängig vom Grund der Beschädigung. Das bedeutet, dass sie für jede Software und sogar für autorisierte Benutzer, die das korrekte Passwort oder den entsprechenden Wiederherstellungsschlüssel besitzen, unzugänglich werden.

Wenn Sie über das richtige Kennwort/den richtigen Entschlüsselungsschlüssel verfügen und die kritischen Metadaten nicht erheblich beschädigt wurden, besteht in der Regel eine gute Chance, dass Dateien von einer verschlüsselten Festplatte gerettet werden können. Allerdings gibt es beim Umgang mit solchen Datenträgern noch einige weitere Faktoren zu berücksichtigen:

  • Wenn das Laufwerk fehlerhafte Sektoren aufweist (unabhängig davon, ob es verschlüsselt ist oder nicht), wird dringend empfohlen, es zu klonen und mit seinem Disk-Image zu arbeiten. Die Tatsache ist, dass die Anzahl der beschädigten Sektoren während des Betriebs des Geräts tendenziell zunimmt und es buchstäblich unmöglich ist, vorherzusagen, welcher Bereich des Laufwerks als nächstes betroffen sein wird (beispielsweise kann es der Bereich sein, der wichtige Entschlüsselungsmetadaten enthält). Dasselbe gilt für Festplatten mit hoher Kapazität und geringer Leistung – das Laufwerk kann der Arbeitslast möglicherweise nicht standhalten und während des Vorgangs ausfallen, was die Datenwiederherstellung komplizierter oder sogar unmöglich macht.

Warnung: Machen Sie sich bitte mit den Besonderheiten des Prozesses der Erstellung von Disk-Images für defekte Festplatten vertraut.

  • Wenn Sie nicht sicher sind, ob Sie das richtige Entschlüsselungskennwort/den richtigen Entschlüsselungsschlüssel haben, versuchen Sie nicht, das Laufwerk in Ihrem Betriebssystem zu entschlüsseln, da es nach mehreren Versuchen mit einem falschen Kennwort/Schlüssel gesperrt werden kann. Verwenden Sie stattdessen die Entschlüsselungstechniken der Datenwiederherstellungssoftware, die das physische Gerät anspricht und dessen Betrieb emuliert, sodass Sie das Kennwort durch ein Ausschlussverfahren erraten können.
  • Beim Überschreiben können die Daten nicht wiederhergestellt werden. Beachten Sie in diesem Zusammenhang, dass nicht nur das Speichern neuer Informationen durch den Benutzer zum Überschreiben führen kann. Auch reguläre Betriebssystemvorgänge können Ihre verlorenen oder gelöschten Dateien vernichten, ganz zu schweigen vom TRIM-Befehl, der automatisch auf SSDs ausgeführt wird, der Verwendung von Schredderprogrammen oder der vollständigen Formatierung des Laufwerks.
  • Wenn die Verschlüsselung auf dem Systemstartlaufwerk in macOS 10.13 High Sierra und höher aktiviert wurde, müssen Sie den Systemintegritätsschutz (SIP) deaktivieren, wie der Artikel Entsperren des Zugriffs auf macOS-Laufwerke gezeigt, um die Datenwiederherstellung darauf zu ermöglichen. Beachten Sie auch, dass das Verfahren für interne Laufwerke auf Macs, die auf Apple Silicon (M1 und höher) oder T2-Sicherheitschips basieren, nicht funktioniert.
  • Bevor Sie versuchen, Daten selbst zu entschlüsseln und wiederherzustellen, stellen Sie sicher, dass Ihr Laufwerk intakt ist. Wenn Sie einen physischen Schaden an dem Laufwerk vermuten, bringen Sie es zu einem zuverlässigen Datenrettungszentrum, da Ihre eigenen Wiederherstellungsversuche die Situation verschlimmern und Ihren Speicher irreparabel zerstören können.

So stellt man Dateien auf einem verschlüsselten Speichergerät wieder her

Wenn die Daten nach einem logischen Fehler von Ihrer verschlüsselten Festplatte verloren gingen, z. B. aufgrund eines unerwarteten Herunterfahrens des Systems, eines Betriebssystemabsturzes oder eines versehentlichen Löschvorgangs, aber Sie immer noch über mindestens eines der von Ihrem Verschlüsselungsdienstprogramm bereitgestellten Schutzelemente (Kennwort, Wiederherstellungsschlüssel, Schlüsseldatei usw.) verfügen, kann ein geeignetes Datenwiederherstellungstool die fehlenden Dateien leicht zurückbringen. SysDev Laboratories hat in diesem Bereich umfangreiche Forschungen durchgeführt, die Technologie hinter den verschiedenen Verschlüsselungsprogrammen untersuchend. Diese Erkenntnisse wurden in die Softwarelösungen UFS Explorer und Recovery Explorer implementiert. Die Programme verwenden effiziente Entschlüsselungstechniken für die gängigsten Verschlüsselungsmethoden wie BitLocker, LUKS (sowohl LUKS1 als auch LUKS2), TrueCrypt, VeraCrypt, FileVault 2 und APFS-Verschlüsselung. Dadurch kann der Benutzer den Speicher direkt in der Programmoberfläche entsperren und wie ein unverschlüsseltes Gerät behandeln.

Führen Sie die folgenden Schritte aus, um Ihre Dateien mithilfe von UFS Explorer Professional Recovery auf einem verschlüsselten Volumen wiederherzustellen:

  1. Laden Sie die Anwendung herunter und installieren Sie sie auf dem Computer. Sein Betriebssystem muss mit der Programmversion übereinstimmen.

    Hinweis: Wenn Sie Probleme mit der Installation des Programms haben, lesen Sie bitte die Installationsanleitung für UFS Explorer Professional Recovery.

  2. Verbinden Sie Ihr verschlüsseltes Gerät mit dem Computer. Verwenden Sie nach Möglichkeit die schnellste verfügbare Schnittstelle.

    Hinweis: Wenn Sie interne Festplatte von einem anderen Computer anschließen müssen, können Sie die Festplatte an das Motherboard Ihres PCs anschließen oder das Laufwerk extern über einen USB-zu-SATA-Adapter verbinden.

  3. Starten Sie die Software und ändern Sie bei Bedarf deren Parameter in der entsprechenden Registerkarte.

  4. Suchen Sie nach Ihrem verschlüsselten Laufwerk/Volumen unter den verbundenen Speichern im linken Bereich des Hauptbildschirms. Es kann in der Regel durch das gelbe Vorhängeschloss-Symbol identifiziert werden. In unserem Beispiel wird ein mit LUKS verschlüsseltes Volumen verwendet. Öffnen Sie das Kontextmenü und wählen Sie die Option "Verschlüsselte Speicherung entschlüsseln".

    Beachten Sie: Wenn Sie mit einer mit FileVault 2 verschlüsselter HFS+-Partition arbeiten, wählen Sie stattdessen im Kontextmenü die Option "Als Apple Core Storage öffnen".

    Hinweis: Wenn Sie mehr darüber erfahren möchten, wie verschiedene Laufwerke und Volumen in der Oberfläche von UFS Explorer gekennzeichnet werden, lesen Sie bitte den Artikel Identifizierung verschiedener Speicher und Technologien.

  5. Wählen Sie die Entschlüsselungsmethode, die der angewandten Verschlüsselungstechnologie entspricht, und geben Sie das richtige Benutzerkennwort an, oder kopieren Sie den Wiederherstellungsschlüssel aus der Datei und fügen Sie ihn in das Feld ein.

    Wenn das Kennwort aus irgendeinem Grund nicht druckbare Symbole enthält, muss es als Hexadezimalcode angegeben werden und "Kennworttransformation" muss als "Hexadezimalcode decodieren" aktiviert sein.

  6. Nach erfolgreicher Entschlüsselung wird das Volumen vom Programm eingebunden und in der Liste der verbundenen Speicher angezeigt. Wählen Sie es aus (in unserem Beispiel haben wir eine exFAT-Partition) und starten Sie den Scan nach verlorenen Daten über die entsprechende Option in der Symbolleiste oder im Kontextmenü des Speichers.

    Hinweis: Weitere Informationen zu Dateisystemen und ihren Typen finden Sie in den Grundlagen von Dateisystemen.

  7. Geben Sie die gewünschten Scan-Parameter an. Wenn Sie sich bezüglich des Dateisystemtyps sicher sind, deaktivieren Sie die übrigen Dateisysteme. Drücken Sie danach "Scan starten" und warten Sie, bis der Vorgang abgeschlossen ist.

    Hinweis: Wenn Sie Hilfe beim Einrichten des Scanvorgangs benötigen, lesen Sie bitte die Anweisungen zum Durchführen eines Speicherscans.

  8. Untersuchen Sie das angezeigte Dateisystem-Ergebnis: Sie können die Dateien nach Namen, Datum, Typ sortieren, die schnelle oder erweiterte Suche verwenden und eine Vorschau von Bildern, Videos, Audiodateien oder PDF-Dokumenten anzeigen. Drücken Sie danach "Permanente Auswahl bestimmen" und wählen Sie die Elemente aus, die Sie kopieren möchten, indem Sie die Häkchen direkt daneben setzen.

    Hinweis: Die Informationen in Auswertung und Speicherung der Ergebnisse der Datenwiederherstellung können Ihnen die Arbeit mit den erhaltenen Ordnern und Dateien erleichtern.

  9. Drücken Sie auf "Auswahl speichern" und wählen Sie im Popup-Fenster einen Zielordner für diese Dateien. Stellen Sie sicher, dass Sie sie auf einem anderen logischen Datenträger als dem, von dem sie wiederhergestellt werden, speichern. Andernfalls werden die aktuellen Daten auf dem Laufwerk überschrieben und es besteht keine Chance, sie wiederherzustellen.

    Hinweis: Der gesamte Prozess der Wiederherstellung von Dateien, die von mit bestimmten Technologien geschützten Speichern verloren gegangen oder gelöscht wurden, wird auch in den Artikeln zur Datenrettung von LUKS, BitLocker und APFS-verschlüsselten Volumen ausführlich erläutert.

Letzte Aktualisierung: 05. Juni 2024