Arbeitsspeicher als Datenrisiko?

In unserer Firma – ich arbeite in der IT-Abteilung – werden nicht nur die Festplatten/SSDs ausgemusterter Rechner vernichtet, sondern auch der Arbeitsspeicher. Dass RAM ein flüchtiger Speicher ist, weiß ich. Wie kann ausgemusterter Arbeitsspeicher dann zum Sicherheitsrisiko werden?

Die RAM-Chips selbst speichern keinerlei Daten ohne Stromversorgung; man spricht auch von Dynamic Random Access Memory (DRAM), weil der Inhalt jeder Speicherzelle alle paar Mikrosekunden "dynamisch" aufgefrischt werden muss. Auf einem Speichermodul (Dual Inline Memory Module, DIMM) sitzen allerdings nicht nur DRAM-Speicherchips, sondern stets auch ein sogenanntes Serial Presence Detect (SPD-)EEPROM, das (über die Schnittstelle I2C) mit dem System Management Bus (SMBus) des Mainboards verbunden ist.

Das SPD-EEPROM enthält im Wesentlichen ein "digitales Datenblatt" des DIMM, damit das BIOS des Mainboards den Speichercontroller passend konfigurieren kann. Prinzipiell könnte man jedoch einige wenige (Kilo-)Byte Informationen in das SPD-EEPROM schreiben, die wären dann dauerhaft gespeichert. Allerdings sind die SPD-EEPROMs typischerweise schreibgeschützt.

Angeblich kann die Software Thaiphoon Burner das SPD-EEPROM vieler Module beschreiben, das Tool DDR4 XMP Editor zumindest Speichermodule mit Extended Memory Profiles (XMP) – die allerdings nicht in üblichen Bürocomputern stecken dürften. Wurde eine solche Software auf dem Rechner genutzt, kann man nicht ausschließen, dass Daten auch stromlos erhalten bleiben.

In manchen Servern stecken zudem Non-Volatile-DIMMs (NVDIMMs), die außer flüchtigen DDR-SDRAM-Speicherchips auch nichtflüchtigen Speicher, etwa NAND-Flash-Chips, haben.

(ciw)