ATA Secure Erase
Insbesondere SSDs lassen sich mit dem "ATA Secure Erase"-Kommando schnell und unkompliziert auf Hardwareebene löschen. Dieses Kommando kann man mit diversen Linux-Livesystemen ausführen, gerade bei M.2 NVMe-Laufwerken funktionieren diese jedoch nicht immer. ThinkPads bieten daher eine bequeme, mehr oder weniger ins BIOS/UEFI integrierte Möglichkeit zum Löschen der SSD sowie zum Zurücksetzen des Schlüssels einer vollverschlüsselten (FDE) SSD.
Generation T61 (Merom-CPU) bis T410 (Arrandale-CPU)
Bei diesen Geräten bietet Lenovo eine Bootdisk zum Download an, die eine BIOS-Erweiterung freischaltet. Das TP muss von der Boot-CD gestartet werden, dann tippt man drvmenu -e und drückt Enter, um die Erweiterung freizuschalten. Dadurch wird im "Security"-Untermenü des BIOS ein Menü "Solid State Drive" eingefügt, sobald eine SSD installiert ist, sowie ein weiteres Menü "Disk Encryption", falls die SSD Full Disk Encryption (FDE) unterstützt.
Generation T420 (Sandy Bridge-CPU) bis T480 (Kaby Lake R-CPU)
Für diese Geräte gibt es eine UEFI-Erweiterung zum Download. Hier lädt man einfach das ZIP-Archiv herunter und extrahiert die Datei BOOTX64.efi. Nun formatiert man einen USB-Stick mit FAT32 und MBR-Partitionsschema, erstellt darauf einen Ordner "EFI" und darin einen Ordner "BOOT". In diesen Ordner kopiert man nun die Datei BOOTX64.efi. Nun kann man das ThinkPad von dem USB-Stick starten (dafür muss jedoch der UEFI only- oder UEFI first-Bootmodus ausgewählt sein) und wird von einem Assistenten durch den Secure Erase- oder Key Reset-Prozess geleitet.
Ab Generation T490 (Whiskey Lake-CPU) und X1 Extreme (Coffee Lake H-CPU)
Ab diesen Serien wurde das UEFI-Modul in das UEFI integriert. Vorausgesetzt, dass es unter "Security" -> "ThinkShield secure wipe" aktiviert ist, kann man im per F12 aufrufbaren Bootmenü das "App Menu" auswählen und dort "ThinkShield secure wipe" starten. Auch hier wird man dann von einem Assistenten durch den Prozess geleitet.
Hier ist jedoch zu empfehlen, diese Option nur bei Bedarf zu aktivieren oder ein Passwort für BIOS und Bootmenü festzulegen. Ansonsten kann bei unautorisiertem Zugriff auf das Gerät ohne weiteres in weniger als einer Minute die SSD komplett gelöscht werden.
