Thinkpad datensicher (!) zur Reparatur einsenden

tp390x

tp390x

Active member
Registriert
18 Dez. 2013
Beiträge
226
Moin,

mein fast neues Thinkpad muss leider nochmal zum Verkäufer zur Reparatur, deswegen müssen Firmendaten 'runter'. Festplatte ausbauen ist leider keine Option wegen der dann notwendigen Öffnung des Gerätes (das ist einer der Reklamationspunkte...) - wie mache ich das am sichersten?

Daten runterkopieren ist klar, kann ich die Bereiche 'einfach' mit Daten 'vollmüllen' und dann wieder löschen? Oder wie kriege ich das *sicher* runter?

Es geht darum, dass die 'Gefahr' eines Tausches besteht, und Firmendaten natürlich intern bleiben müssen - wer weiss, wo die Daten sonst landen?!

Die SSD soll nach der Reparatur eh' getauscht werden (aufgerüstet), dafür müssen dann eh' alle Daten rüberkopiert werden.

Oder sollte ich erst die HDD spiegeln (auf die neue), dann alles löschen und entsprechend plattmachen?

Sorry, hatte den Fall noch nie...

[edit] erstes 'm' ergänzt
 
Zuletzt bearbeitet:
Lenovo hat die Option, dass man die Geräte ohne SSD einsenden kann - kostet glaub ich an die 20-50€ extra und kann man jederzeit dazu buchen. Das würde sich hier doch anbieten?

SSDs sind bei Lenovo CRUs und jederzeit ohne Garantieverlust ausbaubar.

Ansonsten würde ich bei einer modernen SSD eigentlich einfach einen ATA secure erase anstupsen - da wiped sich der Controller der SSD selbst. Normalerweise wird nur der Schlüssel sicher gelöscht, die Daten liegen dann zwar noch physisch im NAND, aber AES256 verschlüsselt (bei den meisten SSDs) und damit mit digitalen Rechnern nicht antastbar. Quantencomputer könnten das irgendwann mal ändern, aber die gibt's noch ne ganze Weile nicht.

Wenn's sicherer sein soll, ATA secure erase, Platte einmal vollschreiben mit irgendwas, dann nochmal secure erase.

Nur Nullen (dban etc) bringt bei modernen SSDs aber nur bedingt was, wear leveling sei Dank überleben da immer etliche Datenbereiche.
 
ebastler schrieb:
Lenovo hat die Option, dass man die Geräte ohne SSD einsenden kann - kostet glaub ich an die 20-50€ extra und kann man jederzeit dazu buchen. Das würde sich hier doch anbieten?
Zum Vergrößern anklicken....
nein, da nicht Lenovo Vk ist, auserdem ist das ausbauen der Platte (vor Einsendung) *nicht* möglich, weil es dann einen der Reklamationspunkte beschädigen könnte...

ebastler schrieb:
Ansonsten würde ich bei einer modernen SSD eigentlich einfach einen ATA secure erase anstupsen - da wiped sich der Controller der SSD selbst. Normalerweise wird nur der Schlüssel sicher gelöscht, die Daten liegen dann zwar noch physisch im NAND, aber AES256 verschlüsselt (bei den meisten SSDs) und damit mit digitalen Rechnern nicht antastbar.
Zum Vergrößern anklicken....
äh... Ok, ich werde mich hier mal reinlesen - bin doch eher der Nichtwisser ;)

ebastler schrieb:
Wenn's sicherer sein soll, ATA secure erase, Platte einmal vollschreiben mit irgendwas, dann nochmal secure erase.
Zum Vergrößern anklicken....
ui...

Aber wie kann ich denn, wenn ich die Platte gelöscht habe, nochmal vollschreiben? Ohne Ausbau! Ggf Start vom Stick?

Danke, das wird ja noch etwas Arbeit...
 
tp390x schrieb:
nein, da nicht Lenovo Vk ist
Zum Vergrößern anklicken....
Das sollte kein Problem darstellen, Garantie läuft trotzdem immer über sie und nach ihren Bedingungen...
tp390x schrieb:
weil es dann einen der Reklamationspunkte beschädigen könnte
Zum Vergrößern anklicken....
...das ändert die Sache aber natürlich.

tp390x schrieb:
äh... Ok, ich werde mich hier mal reinlesen - bin doch eher der Nichtwisser ;)
Zum Vergrößern anklicken....
Genau, bei Thinkpads sollte das immer im Bootmenü gehen - sehr nützlich, bei den meisten "normalen" PCs muss man entweder mit Kommandozeilen-Befehlen unter Linux arbeiten, oder botofähige USB Sticks vom SSD Hersteller basteln. Beides kein Spaß.
Ich für meinen Teil belasse es mit einem Secure Erase, aber da muss man halt drauf vertrauen, dass der Hersteller der SSD nicht bei der Schlüssel-Generierung geschlampt hat. Dann könnte es jemand mit sehr viel Wissen und Resourcen eventuell knacken - außer großen Sicherheitsforschern und Regierungsbehörden sehe ich da aber ehrlich gesagt auch Schwarz.

Wenn die Daten wirklich wichtig sind, entweder ein Linux von USB starten und einmal die ganze Platte mit Nullen oder Randomness vollschreiben, oder ggf einfach ein neues Windows auf der SSD installieren, dann die Platte vollschreiben mit irrelevanten Dingen, oder DBAN o.Ä. nutzen. Bin da selbst nicht sonderlich bewandert da ich keine wichtigen Daten habe für die sich der Aufwand lohnen würde...
 
ebastler schrieb:
Das sollte kein Problem darstellen, Garantie läuft trotzdem immer über sie und nach ihren Bedingungen...
Zum Vergrößern anklicken....
hätte refurbished dabeischreiben sollen ;) - ist nur die Gebraucht-Gewährleistung, nix mehr Lenovo...

Den Rest werde ich die Tage mal in Angriff nehmen :)
 
Wieso kein Vor Ort Service für das neue ThinkPad ? Die meisten haben ja ab Werk 12 Monate Premier Service inkl. vor Ort Herstellerservice.
 
sorry, das 'fast neu' ist missverständlich, das isses nur bei mir... Da fehlt das 'm' zu Beginn, hab's gerade nachgetragen!

Gerätealter knapp >3 Jahre...
 
Inhalt der SSD als Vollbackup der gesamten Platte z.B. mit VEEAM Agent for Windows auf externes Laufwerk sichern, zuvor noch einen Wiederherstellungs-Boot-Stick erstellen.
Anschließend vom Wiederherstellungs-Boot-Stick booten, Recovery aufrufen, das Image auswählen und Abbrechen (dient nur als Test, ob booten und Auswahl des Images funktioniert).
Danach die SSD löschen und Rechner einschicken.

Nach Reparatur vor Wiederherstellung alle Partitionen auf der SSD löschen und anschließend vom Wiederherstellungs-Stick booten und SSD wieder herstellen.
 
tp390x schrieb:
Festplatte ausbauen ist leider keine Option wegen der dann notwendigen Öffnung des Gerätes (das ist einer der Reklamationspunkte...)
[...]
auserdem ist das ausbauen der Platte (vor Einsendung) *nicht* möglich, weil es dann einen der Reklamationspunkte beschädigen könnte...
Zum Vergrößern anklicken....
Vielleicht wäre es ganz praktisch, wenn du hier nicht in Rätseln schreiben würdest. Warum genau kann die SSD nicht ausgebaut werden? Vielleicht ergeben sich ja noch neue Ideen, wenn man diesbezüglich Details kennt.
 
TP-1234 schrieb:
Vielleicht wäre es ganz praktisch, wenn du hier nicht in Rätseln schreiben würdest. Warum genau kann die SSD nicht ausgebaut werden? Vielleicht ergeben sich ja noch neue Ideen, wenn man diesbezüglich Details kennt.
Zum Vergrößern anklicken....
siehe:
tp390x schrieb:
nein, da nicht Lenovo Vk ist, auserdem ist das ausbauen der Platte (vor Einsendung) *nicht* möglich, weil es dann einen der Reklamationspunkte beschädigen könnte...
Zum Vergrößern anklicken....
Leider gibt es einige Gebrauchthändler, die eine Art Siegel anbringen und somit einen Gewährleistungsausschluss androhen, wenn dieses beschädigt wurde.
Eigentlich ein KO-Kriterium für solch einen Händler, da ein bestimmungsgemäßer Gebrauch hierdurch eingeschränkt wird.
 
tp390x schrieb:
Aber wie kann ich denn, wenn ich die Platte gelöscht habe, nochmal vollschreiben?
Zum Vergrößern anklicken....
Warum willst Du denn wieder etwas draufschreiben nachdem sie bereits leer ist? Secure Erase weist den Laufwerkscontroller an, sämtliche Bereiche des Laufwerks zu überschreiben, auch die Reserveblöcke. Danach ist von den Daten nichts übrig.

Da Du uns sogar verschweigst, um welches Modell es sich handelt, hier mal auf Verdacht der Link zum entsprechenden Tool von Lenovo:

ThinkPad Drive Erase Utility for Resetting the Cryptographic Key and Erasing the Solid State Drive - ThinkPad - Lenovo Support DE

support.lenovo.com support.lenovo.com
 
linrunner schrieb:
Secure Erase weist den Laufwerkscontroller an, sämtliche Bereiche des Laufwerks zu überschreiben, auch die Reserveblöcke. Danach ist von den Daten nichts übrig.
Zum Vergrößern anklicken....
Da entscheidet das Laufwerk. Bei SEDs wird lediglich der decryption Key genullt, die Daten bleiben liegen. Vor ein paar Jahren hat ein Forscher am Chaos Communication Congress bei manchen Herstellern ziemlich wilde Lücken in der Schlüssel-Generierung gefunden und genutzt um an Daten zu kommen. Angriffsvektor ist sehr gering, aber durchaus möglich.
 
Daten von SSDs können im Gegensatz zu HDDs prinzipbedingt nicht sicher gelöscht werden.
Secure Erase ist eine proprietäre Implementierung des jeweiligen Herstellers. Was der konkret ausgeführte Befehl tatsächlich mit den Daten macht ist nicht überprüfbar.

Das Überschreiben des gesamten Datenträgers mit z.B. Nullen oder Zufallszahlen, wie man es bei HDDs machen würde, geht bei SSDs nicht. Zu Fehlerkorrekturzwecken haben sie einen kleinen Anteil zusätzlicher Speicherzellen, die für den Nutzer nicht zugreifbar sind. (Overprovisioning) Diese zusätzlichen Speicherzellen werden im Rahmen des Wear-Levellings firmwareseitig hin- und hergetauscht.
Eine Zelle die du heute beschreibst kann morgen im Overprovisioning, und daher nicht für die manuelle Löschung sichtbar sein. Überrmorgen kann sie wieder sichtbar sein und die Daten auslesbar.
Wiederholtes Überschreiben erhöht die Wahrscheinlichkeit, irgendwann mehr Zellen im Overprovisioning zu treffen, erhöht aber lediglich asymptotisch die Wahrscheinlichkeit, ohne jemals 100% zu erreichen.

Wenn die Daten wirklich so wichtig sind, dass sie nicht in fremde Hände geraten dürfen, dann müsst ihr jetzt zwei Konsequenzen ziehen:
1. Die durch den Ausbau dieser SSD oder die Nichteinsendung dieses Geräts entstehenden Kosten abschreiben.
2. Ab sofort alle eure sensiblen Daten verschlüsseln, und zwar betriebssystemseitig (quelloffene Software), nicht datenträgerseitig (proprietäre Firmware). Dann braucht ihr beim nächsten mal nur die Schlüssel löschen, und könnt die Datenträger abgeben.
 
ebastler schrieb:
Angriffsvektor ist sehr gering, aber durchaus möglich.
Zum Vergrößern anklicken....

hikaru schrieb:
Daten von SSDs können im Gegensatz zu HDDs prinzipbedingt nicht sicher gelöscht werden.
Zum Vergrößern anklicken....
Ihr seid so schlau, nur was nutzen eure Einwürfe/Vorschläge dem TE in der konkreten Situation?

Wenn er das (seins, nicht das der Firma) ThinkPad einfach abschreiben könnte, hätte er den Thread nicht eröffnet. Secure Erase ist für ihn machbar und muss hier reichen.
 
Statt den gesamten Massenspeicher vollzuschreiben, würde es schon helfen nach dem Löschen nochmal "irgendwas" zu machen, das sollte jegliche Wiederherstellbarkeit stark limitieren.
Also: Linux-USB-Stick ran, beim "Setup" dann die Platte komplett "löschen" (also die Partitionstabelle), aber dann eben tatsächlich auch das Linux drüberschreiben. Sollte schonmal massiv helfen.
 
Was soll ich sagen, "mach secure erase das reicht 10000%ig?". Das wäre eine glatte Lüge. Wird es reichen? Fast sicher. Ist es garantiert genug? Nein.

Ich hab gesagt was er machen kann, was ich machen würde, und die Risiken dazu aufgezählt. Die Entscheidung muss der TE treffen.
 
linrunner schrieb:
Da Du uns sogar verschweigst, um welches Modell es sich handelt,
Zum Vergrößern anklicken....
sorry, danke trotzdem für den Link. Muss das mal in die Signatur packen ;) ist ein T490s.

Das Problem ist kein Siegel, sondern dass (wie auch geschrieben) das Gehäuse ein Teil der Problematik ist. Wenn ich das jetzt aufschraube, würde ich auch als Vk sagen "na, da warst Du ja selber dran, jetzt kannste nicht mehr reklamieren dass das Gehäuse unsauber montoert wurde, vielleicht haste das ja selber kaputtgeschraubt" - den Verdacht könnte ich sogar nachvollziehen.

Deswegen erstmal die 'alte' SSD drinlassen und nach Rückkehr des Gerätes aufrüsten.
 
Im BIOS beim T490s gibt es unter Security -> Think Shield Secure Wipe.
Das muss auf enabled stehen, dann müsste man mit F12 dieses item booten können im App Menü.

Das müsste dann eigentlich der Secure Erase für die SSD sein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben