04. April 2018 - Sebastian Evers
Speichermedium mit Datenverlust:
Zur Wiederherstellung spezifizierte Daten:
Der RAID 5 Server eines Kunden ist ausgefallen. Bei der Schilderung des Ausfallhergangs wurde mitgeteilt, dass das RAID System "gecrashed" und offline sei. Zur Fehlerbehebung wurde der mutmaßlich defekte RAID-Controller herstellerseitig ausgetauscht. Nach dem Ersetzen des Server-Controllers musste festgestellt werden, dass die fünf HDDs im ProLiant Server nicht vom Controller erkannt werden. Als die Festplatten dann endlich von RAID-Controller erkannt wurden, war allerdings nur eines der beiden logischen Laufwerken sichtbar.
Das in Deutschland befindliche System wurde per Direktkurier aus knapp 600 Kilometern Entfernung abgeholt und in Attingos Laborstätte transportiert. Bei der ersten Schadensevaluierung der Festplatten konnten keine physischen Beschädigungen an den Datenträgern selbst festgestellt werden. Die Rohdaten der fünf im Server involvierten Festplatten konnten für die 1 zu 1 Kopien zu einhundert Prozent ausgelesen werden. Bei der nachfolgenden Analyse wurde die ursprüngliche Anordnung der RAID-Festplatten im Verbund ermittelt. Dabei mussten die Techniker feststellen, dass der Inhalt des Arrays kein positives Bild abgab. Auch in permutabler Variation schien es, als wäre der RAID-Verbund folgenschwer in Mitleidenschaft gezogen worden.
Fehlerfreie Stichproben einiger größerer fragmentierter Dateiformate stimmten die Techniker optimistisch - trotz des desaströsen Zustands - ein verwertbares Ergebnis liefern zu können. Attingo konnte mit speziellen Verfahren die vorhergehenden RAID-Parameter des Arrays bestimmen und teilweise auch Bestandteile des ursprünglichen NTFS Dateisystems wiederherstellen. Verschiedene lösungsorientierte Herangehensweisen lieferten Ergebnisse qualitativer Diversität. Dazu zählten unter anderem die Rekonstruktion existenter Dateien, die Wiederherstellung gelöschter Dateien, anonymer Dateien mit Verzeichnisstrukturen und die Datenrettung von Dateien ohne existierende Verzeichnisstrukturen. Aus den unterschiedlichen Datenrettungsergebnissen konnte ein für den Kunden verwertbares Ergebnis generiert und der bisherige Datenverlust maßgeblich minimiert werden.
Es musste diagnostiziert werden, dass das RAID 5 ursprünglich über fünf Festplattenlaufwerke verlaufen ist. Eine Festplatte wurde aus dem ursprünglichen Verbund entnommen, formatiert und partiell mit Daten der softwarebasierten Wiederherstellungsversuche überschrieben. Danach wurde ein neues RAID 5 Array über die vier übrigen Festplatten angelegt und die Daten stellenweise mit der neuen Parität überschrieben. Zusätzlich wurden neue logische Laufwerke erstellt und unter anderem auch die Recovery Software aufgespielt. Durch diese Maßnahmen wurden mehrere Millionen Sektoren mit Nutzdaten überschrieben. Damit sind auch wichtige Dateisysteminformationen verloren gegangen.