Slack Space
Der Slack Space ist der ungenutzte Speicherbereich auf der Festplatte in einem Computersystem, wenn eine Datei nicht den gesamten Platz benötigt, den ihm das Betriebssystem zugewiesen hat. Die Erforschung der im Slack Space versteckten Inhalte wird besonders im Bereich der IT-Forensik genutzt.
Um zu begreifen, warum der Slack Space so eine wichtige Rolle beim Aufspüren von Daten auf Festplatten spielt, muss man zuerst verstehen, wie Dateien auf einer Festplatte gespeichert werden. Computer mit herkömmlichen Festplatten legen Daten in einem abgeschlossenen Bereich ab, der mehrere sich drehende Platten enthält. Jede Platte besteht aus genau definierten Bereichen, den Sektoren. Die meisten Betriebssysteme unterstützen standardmäßig nur Sektoren mit einer maximalen Größe von 512 Byte. Wenn eine 400 Byte große Textdatei in einem solchen Sektor abgespeichert wird, dann bleiben 112 Byte freier Platz über. Bei einer brandneuen Festplatte in einem Computer ist der gesamte Bereich in den Sektoren, der noch nicht belegt wurde, leer. Das ändert sich aber nach und nach, wenn der Rechner verwendet wird.
Sobald später eine Datei wieder gelöscht wird, entfernt das Betriebssystem die Datei nicht wirklich. Stattdessen gibt es den Speicherplatz, den sie belegt hat, wieder frei. Wenn eine neue, nur 200 große Datei in dem Bereich gespeichert wird, den vorher die 400 Byte große Textdatei belegt hat, dann finden sich dort noch 200 Byte an Inhalten aus der vorherigen Datei sowie die schon vorher vorhandenen 112 Byte an freiem Speicher. Diese Dateireste werden auch als latente oder schlummernde Daten bezeichnet. Ermittler können wertvolle Hinweise über die frühere Nutzung des Computers aus diesen Artefakten gewinnen. Daraus ergeben sich möglicherweise weitere Untersuchungen. 2016 hat zum Beispiel das Federal Bureau of Investigation (FBI) berichtet, dass es Millionen von E-Mail-Fragmenten geprüft hat, die sich im Slack Space auf privat genutzten Servern der vorherigen US-Außenministerin Hillary Clinton befanden. Damit sollte herausgefunden werden, ob die Server für die verbotene Speicherung und Übertragung vertraulicher Daten genutzt worden waren.
Von einem technischen Standpunkt aus gesehen, ist der Slack Space nichts anderes als der Unterschied zwischen der logischen und der physischen Größe einer Festplatte. Die logische Größe einer Datei wird durch ihre tatsächliche Größe bestimmt und in Byte angegeben. Die physische Größe ist dagegen abhängig von der Anzahl der von der Datei belegten Sektoren. In den meisten Betriebssystemen, insbesondere auch unter Windows, werden jeweils vier Sektoren zu Gruppen beziehungsweise Clustern zusammengefasst, die häufig 2048 Byte groß sind.
Ein Beispiel: Die logische Größe einer Datei beträgt 1280 Byte. Sie belegt jedoch einen Cluster aus vier Sektoren, so dass ihre physische Größe rund 2048 Byte beträgt. Die Differenz zwischen 2048 und 1280 ist 768. Das bedeutet, dass der Slack Space der Datei 768 Byte groß ist.