RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

Sanktionen

Im Unternehmensverkehr gibt es zahlreiche Geheimhaltungspflichten. Auf dem Unternehmenslaptop könnten Daten von Geschäftspartnern hinterlegt sein, wie Konzepte oder Pläne, über deren Geheimhaltung sich das Unternehmen in einer strafbewehrten Geheimhaltungsvereinbarung verpflichtet hat. Wird dagegen verstoßen, drohen meist Vertragsstrafen von 10 000 Euro aufwärts. Daran sollte man denken, bevor man einen Datenträger unbedacht entsorgt oder im Gewährleistungsfall ohne Sicherung an den Hersteller einsendet.

Kümmert sich die Geschäftsführung nicht um die Frage der IT-Sicherheit und entsteht der Gesellschaft dadurch ein Schaden, kann der für das Unternehmen Verantwortliche zum Schadensersatz herangezogen werden. Versicherungen könnten wegen der Verletzung von Sorgfaltspflichten nicht zahlen. Es empfiehlt sich, in einer Sicherheitsleitlinie (Security Policy) die Schutzziele und allgemeine Sicherheitsmaßnahmen als offizielle Vorgaben des Unternehmens zu formulieren. Details zur IT-Sicherheit finden Sie in den IT-Grundschutz-Katalogen des BSI [1].

Neben vertraglichen Sanktionen und der Schadensersatzpflicht eines Geschäftsführers, der sich um IT-Sicherheit keine Sorgen macht, droht § 43 Absatz 2 Nummer 1 BDSG bis zu 300 000 Euro Bußgeld und die Gewinnabschöpfung an, wenn Daten entgegen dem Datenschutzrecht nicht gelöscht und damit fortgesetzt verarbeitet werden.

Welches Löschverfahren ist das Richtige?

Will man nicht alle Daten entsprechend der höchsten Sicherheitsstufe entsorgen, muss man sich überlegen, um welche Daten es geht, und wie sie jeweils rechtlich geschützt sind. Anhand dieser Einstufung kann man festlegen wie man den konkreten Datenträger behandelt, sodass der Löschvorgang ausreichend sicher ist, aber auch gleichzeitig das Kosten/Nutzen-Verhältnis im Blick bleibt.

Um Daten zu entsorgen, gibt es einerseits physikalische Maßnahmen mit einer mechanischen, thermischen oder magnetischen Behandlung des gesamten Datenträgers, wie etwa das Shreddern oder das Entmagnetisieren von Festplatten (sogenanntes Degaussen). Diese Verfahren führen leider dazu, dass die Festplatte danach nicht mehr verwendbar ist. Diese Techniken empfehlen sich zum Beispiel bei defekten Festplatten mit sensiblen Daten, die ohnehin nicht mehr nutzbar wären und die sich nicht überschreiben lassen.

Eine weitere Methode ist es, Datenträger ein- oder mehrmals gezielt zu überschreiben. Der Vorteil des Überschreibens ist: Man kann den Datenträger nach der Löschung erneut verwenden. Experten streiten heftig um die Frage, welche Maßnahme die sicherste ist.

Heiko Weiß von der sidave GmbH, ein Unternehmen, das die Löschung von Datenträgern per Entmagnetisierung oder Überschreiben anbietet, meint: "Es gab Fälle, bei denen man Partikel von geshredderten Datenträgern wieder auslesen konnte. Zudem kann es beim Shreddern keinen Einzelnachweis als Erfolgsmeldung geben, dass gerade dieser Datenträger vernichtet worden ist. Die Festplatte ist ja zerstört. Es kam vor, dass zu shreddernde Festplatten im An- und Verkauf gefunden worden sind. Hingegen verschafft das Degaussen dem Kunden die Sicherheit, dass die Daten auf dem Datenträger endgültig und unwiderruflich vernichtet worden sind. Der Kunde erhält ein Löschprotokoll mitsamt eines Fotos der Festplatte. Bei der Technik des Überschreibens liest unsere Löschsoftware vom Datenträger eindeutige Kennziffern wie die Seriennummer aus, sodass der Kunde sicher sein kann, dass wirklich seine Platte gelöscht worden ist. Der Löschbericht enthält neben einer einmaligen digitalen Signatur Angaben, wer wann welche und wessen Platte gelöscht hat. Es wird gegebenenfalls dokumentiert, dass Bereiche der Festplatte nicht erreicht werden konnten (zum Beispiel defekte Sektoren). Im Zweifelsfall kann sich der Kunde dann zusätzlich für ein weiteres Löschverfahren entscheiden." Die Kosten für alle diese Verfahren liegen zwischen 15 und 20 Euro pro Platte.

Marco Tessendorf, Geschäftsführer der procado consulting IT & Medienservice GmbH, meint dagegen: "Aufgrund der komplexen Struktur in Festplatten und SSDs kann ein sicheres Löschen durch Überschreiben meiner Meinung nach nicht gewährleistet werden. Wir empfehlen daher die physikalische Zerstörung des Datenträgers entweder durch Shreddern oder Entmagnetisieren."

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021