Aus Winfwiki

Wechseln zu: Navigation, Suche

Autor:	Holger Janßen, Andreas Sickau
Modul:	Fallstudien / Wissenschaftliches Arbeiten
Standort:	FOM - Duisburg

Inhaltsverzeichnis

1 Einleitung
2 Datenschutz und rechtliche Grundlagen
- 2.1 Vorgaben des Datenschutzgesetzes
- 2.2 Empfehlungen zur sicheren Löschung von Daten
3 Daten und Datenträger in Unternehmen
4 Technische Grundlagen
5 Datenträgerbereinigung in der Praxis
- 5.1 Studien und Untersuchungen
- 5.2 Ursachen unzureichender Datenlöschung
6 Organisatorische Maßnahmen zur sicheren Löschung
7 Technische Maßnahmen zur sicheren Löschung
8 Fazit
9 Glossar
10 Fußnoten
11 Literatur- und Quellenverzeichnis
12 Rechtsquellenverzeichnis

Abkürzungsverzeichnis

Abkürzung	Bedeutung
BDSG	Bundesdatenschutzgesetz
BSI	Bundesamt für Sicherheit in der Informationstechnik
DoD	Department of Defense (amerikanisches Verteidigungsministerium)
LSÜG	Landessicherheitsüberprüfungsgesetz
NAS	Network Attached Storage
PDA	Personal Digital Assistant
SAN	Storage Area Network
SMART	Self-Monitoring, Analysis and Reporting Technology
VS	Vertraulichkeitsstufe
VSA	Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen
WORM	Write Once Read Multiple

Abbildungsverzeichnis

Abb.-Nr.	Abbildung
Abb. 1:	Warnmeldung MS Windows beim Leeren des Papierkorbes
Abb. 2	Warnmeldung MS Windows beim Formatieren einer Partition
Abb. 3:	Beispielhafter (vereinfachter) Prozess einer Datenwiederaufbereitung
Abb. 4:	Degausser DG.02 (Ontrack Data Recovery)

Tabellenverzeichnis

Tab. Nr.	Quelle
Tabelle 1:	Vordefinierte Vertraulichkeitsstufen des BSI
Tabelle 2:	Für Unternehmen angepasste BSI-Vertraulichkeitsstufen
Tabelle 3:	Gegenüberstellung ausgewählter Überschreibverfahren
Tabelle 4:	Überschreibmuster nach DoD-Vorgaben
Tabelle 5:	Überschreibmuster nach Peter Gutmann
Tabelle 6:	Vernichtungsvorschriften für Datenträger

1 Einleitung

Die jüngst publik gewordenen Datenschutz-Skandale in England (z.B. Verlust einer CD mit persönlichen Daten von rund 25 Millionen Kindergeldempfängern) oder bei großen deutschen Unternehmen, wie z.B. Deutsche Bahn AG, Deutsche Telekom AG, LIDL, Müller etc., haben gezeigt wie wichtig Datenschutz für öffentliche Organisationen, Unternehmen aber auch jede Privatperson ist. ^[1]

Die Skandale zeigen aber auch, dass diesem Thema immer noch nicht die notwendige Aufmerksamkeit und Beachtung geschenkt wird. Teilweise wird bei den genannten Fällen sogar geltendes Recht wissentlich umgangen.
Dabei resultiert die Pflicht zum Datenschutz nicht allein aus den gesetzlichen Datenschutzbestimmungen, sondern sollte auch im besonderen Interesse des Unternehmens selbst liegen. Die Folgen für Unternehmen bei Verletzungen des Datenschutzes reichen dabei von Imageschäden und damit verbundenen Umsatzeinbußen bis zu strafrechtlichen Folgen.

Neben den genannten Skandalen, die vor allem personenbezogene Daten der eigenen Mitarbeiter und Kunden betreffen, lauern in öffentlichen Organisationen, Unternehmen und bei Privatpersonen häufig noch weitere, meist unterschätzte oder sogar unbekannte Gefahren, so dass sensible Daten in falsche Hände geraten können.
Ein solches Risiko stellen z.B. Datenspeicher von IT-Systemen dar, die im Falle der Ausmusterung wichtige, persönliche oder geheime Daten enthalten können, selbst dann, wenn die Datenträger „bereinigt" wurden. So existiert häufig die Falschannahme, dass ein einfaches Löschen der Daten durch betriebssysteminterne Funktionen oder das Formatieren eines Datenträgers ausreichend ist, um die Daten unwiederbringlich zu löschen.
Aus diesem Grund ist es wichtig, sich mit dem Thema der sicheren Datenträgerbereinigung zu beschäftigen.

Diese Facharbeit beschäftigt sich mit dem sicheren Löschen von Datenträgern unter Berücksichtigung der gesetzlichen Anforderungen. Der Fokus liegt dabei auf Unternehmen sowie digitalen Daten und Datenträgern.
Nach Beschreibung der rechtlichen Grundlagen beschäftigt sich der erste Teil der Facharbeit mit den wesentlichen Daten, Datenträgern und Prozessen in Unternehmen. Durch die Betrachtung der technischen Eigenschaften von Datenträgern und der Arbeitsweise von Betriebssystemen werden Risiken der Datenträgerbereinigung verdeutlicht, die durch aktuelle Untersuchungen bestätigt werden. Unter Berücksichtigung dieser Erkenntnisse werden technische und organisatorische Maßnahmen zum sicheren Umgang mit Daten und Datenträgern vorgestellt und bewertet.

2 Datenschutz und rechtliche Grundlagen

Für Privatpersonen und Unternehmen gibt es keine rechtlichen Vorgaben wie mit Datenträgern zu verfahren ist, wenn diese defekt sind, nicht mehr benötigt oder an Dritte weitergegeben werden. Jede Person oder jedes Unternehmen hat selber dafür Sorge zu tragen, dass bei der Verwendung oder der Weitergabe von Datenträgern – unabhängig um welche Art von Datenträgern es sich handelt – diese so weitergegeben werden, dass persönliche oder Firmeninteressen dadurch nicht beeinträchtigt werden.

Eine Ausnahme stellt das Bundesdatenschutzgesetz (BDSG) dar, sofern auf dem Datenträger personenbezogene Daten gespeichert wurden. Das BDSG definiert was personenbezogene Daten sind, wie diese erhoben und verwendet werden dürfen^[2]. Speichert ein Unternehmen personenbezogene Daten auf einem Datenträger, sind bei der Nutzung sowie der Veräußerung des Datenträgers die Regelungen des BDSG und GG^[3] zu beachten.

2.1 Vorgaben des Datenschutzgesetzes

Das Bundesdatenschutzgesetz schreibt in §28 Abs. 1 und §20 Abs. 2 vor, dass personenbezogene Daten nur zur Erfüllung der eigenen Geschäftszwecke erhoben, gespeichert, verarbeitet und weitergegeben werden dürfen^[4]. Das bedeutet, dass ein Unternehmen personenbezogene Daten zu Abrechnungszwecken und der weiteren geschäftlichen Notwendigkeiten erheben und übermitteln darf - eine Weitergabe der Daten an Dritte ist jedoch nicht erlaubt^[5].
Aus diesen Punkten lässt sich ableiten, dass ein Datenträger nicht an Dritte weitergegeben werden darf, wenn die personenbezogenen Daten nicht unwiederbringlich gelöscht sind oder der Dritte zur Übernahme der Daten nicht berechtigt ist. Die Zweckbindung des §31 BDSG definiert dieses Verhalten^[6].

Gleiche Bedingungen gelten auch für den umgekehrten Fall. Der Käufer/Empfänger eines Datenträgers hat als Eigentümer das Recht rekonstruierbare Daten auf einem Datenträger wiederherzustellen. Wird nach der Datenwiederherstellung festgestellt, dass es sich um personenbezogene Daten handelt, welche der Eigentümer nicht erheben darf, ist der Eigentümer des Datenträgers verpflichtet die Daten weder einzusehen noch zu nutzen bzw. weiter zu veräußern^[7].

Werden personenbezogene Daten nicht im Sinne des BDSG verwendet, können laut §43 Abs. 1 und 2 Bußgelder bis zu 250.000 € fällig werden^[8].

Um den Missbrauch bzw. den falschen Umgang mit personenbezogenen Daten zu verhindern, sind Unternehmen verpflichtet organisatorische Maßnahmen zu treffen, welche regeln, dass personenbezogene Daten innerhalb des Unternehmens nur im Sinne des BDSG verwendet werden^[9]^[10]^[11].

2.2 Empfehlungen zur sicheren Löschung von Daten

Neben personenbezogenen Daten speichern öffentliche Einrichtungen, Unternehmen sowie Privatpersonen weitere vertrauliche bis streng vertrauliche Informationen auf Datenträgern. Jede dieser Institutionen hat ein berechtigtes Interesse daran, dass diese Daten nicht an Dritte weitergegeben werden. Aus diesen Gründen haben verschiedene Institutionen Empfehlungen oder Standards herausgegeben, wie vertrauliche Daten gelöscht werden können oder müssen.

Weitere Informationen zu den genannten Empfehlungen werden in Abschnitt Technische Maßnahmen zur sicheren Löschung dieser Facharbeit erläutert.

3 Daten und Datenträger in Unternehmen

3.1 Daten

In den letzten Jahren sind das Bewusstsein und die Bedeutung der IT-Sicherheit gestiegen. Im Rahmen von Compliance Regelungen und einem ganzheitlichen Risikomanagement^[12] ist die IT-Sicherheit inzwischen auch für die Unternehmensführung ein wichtiges Instrument der Verantwortung gegenüber den Stakeholdern, d.h. den Mitarbeitern, Kunden, Aktionären, Gläubigern oder Anteilseignern gerecht zu werden.
Daher ist es heutzutage selbstverständlich, dass ein großer Aufwand betrieben wird, um aktuelle IT-Systeme und die darin enthaltenen Informationen gegen unautorisierte Zugriffe (vor allem von außen) zu schützen. Dagegen ist das Bewusstsein, dass Daten nach einer unvollständigen Löschung auf nicht mehr benötigten Datenträgern in falsche Hände gelangen können, kaum vorhanden. Oftmals gibt es dazu keine definierten Verfahren und Prozesse, wie nach Nutzung der Systeme mit den nicht mehr verwendeten Datenträgern umgegangen werden soll.
So können erhebliche Sicherheitslücken entstehen, wenn nicht mehr benötigte Datenträger weitergegeben werden, ohne dabei sicherzustellen, dass die darauf gespeicherten Informationen sicher gelöscht sind und nicht wiederhergestellt werden können.
Zu diesen sensiblen und vertraulichen Unternehmensdaten gehören beispielsweise folgende Informationen:

Interne Betriebsdaten
Kennwörter / Zugangsdaten
E-Mails
Konstruktionszeichnungen
Rezepturen
Studien
Strategische Konzepte
Kundendaten
Mitarbeiterdaten
Finanzdaten:
- Budgets
- Kostpreise
- Bilanzdaten
- Gehaltslisten
- Einkaufspreise
- Umsätze

Die Auflistung möglicher Unternehmensdaten, die durch einen nicht angemessenen Umgang mit Altsystemen unabsichtlich oder aber auch böswillig nach Außen gelangen können, macht deutlich, dass es neben den (datenschutz-) rechtlichen Gründen ein großes Eigeninteresse eines jeden Unternehmens geben sollte, diesen Prozess über den kompletten Lebenszyklus der Informationen (Information Lifecycle Management^[13]) kontrolliert zu gestalten.

3.2 Datenträger

Aufgrund des technischen Fortschritts einerseits und der gestiegenen Anforderungen andererseits, setzen Unternehmen eine Vielzahl von IT-Systemen ein, die teilweise in immer schnelleren Zyklen ausgetauscht werden. So führen die erhöhten Anforderungen an Flexibilität und Erreichbarkeit der Mitarbeiter dazu, dass Daten verteilt und mehrfach, temporär oder dauerhaft (z.B. im Rahmen der Datensicherung) gespeichert werden.
Die Komplexität wird deutlich, wenn man sich die wesentlichen in Unternehmen eingesetzten IT-Systeme anschaut:

IT Systeme mit integriertem Speicher (Komplettsysteme)

Computer / Laptop
Drucker
Fax
Scanner
Mobil- und digitale Festnetztelefone
Handhelds (PDA, Blackberry)

Datenspeicher

Festplatten aus Server-/Storagesystemen
Magnetbänder
Disketten
Speicherkarten
USB-Sticks
CDs / DVDs

Unterschieden werden Komplettsysteme (wie Mobiltelefone oder PC) und die tatsächlichen Datenträger. Komplettsysteme enthalten Standard- oder Spezialversionen der genannten Datenspeicher, auf die ein direkter Zugriff (physisch und logisch) nicht immer möglich ist. Teilweise sind die Speicher vollständig integriert (z.B. bei Druckern), so dass diese i.d.R. als eine Einheit entsorgt werden.

3.3 Umgang mit Datenträgern

Die Wege, wie diese Geräte und damit ggf. auch vertrauliche Unternehmensdaten auf Datenträgern oder Komplettsystemen ein Unternehmen verlassen können sind vielschichtig und Risiken nicht immer offensichtlich:

Rückgabe von geleasten PCs, Laptops oder Kopierern nach Vertragsablauf
Ausmusterung nicht mehr benötigter Datenträger durch
- Verkauf oder Versteigerung (z.B. bei eBay)
- Weitergabe bzw. Verschenken an Mitarbeiter
- Entsorgung als Elektroschrott
- Entsorgung durch einen externen Anbieter
Betriebsinterne Weitergabe / -nutzung
Garantiefälle defekter Hardware

Ist bei einer geplanten Ausmusterung von funktionstüchtigen Komplettsystemen oder Datenträgern deutlich, dass die darauf gespeicherten Daten vorher sicher gelöscht werden sollten, bestehen auch Varianten bei denen dieses Gefahrenbewusstsein nicht so offensichtlich zu erwarten ist (z. B. betriebsinterne Weitergabe, Garantiefälle).

4 Technische Grundlagen

Neben Kenntnis der betrieblichen Prozesse ist es wichtig, die technischen Eigenschaften der verschiedenen Datenträgertechnologien und die Arbeitsweise von Betriebssystemen zu verstehen. Nur mit dem Verständnis, wie Daten abgelegt und verwaltet werden, können Verfahren und technische Maßnahmen definiert werden, um Datenträger sicher und zuverlässig wiederaufzubereiten.

4.1 Datenträger

Es gibt verschiedene Datenträgertechnologien, die spezifische technische Eigenschaften und Merkmale haben. Abhängig von diesen Eigenschaften gibt es unterschiedliche Anforderungen an die Bereinigung und Entsorgung. Grundsätzlich unterscheidet man folgende Datenträger^[14]:

1. Elektronisch: Flash-Speicher sind Halbleiter-Chips, bei denen das Speichern und Löschen der digitalen Daten durch elektrische Spannung erfolgt. Wenn Spannung durch die Karten strömt, sammeln sich die Elektronen in den mikroskopisch kleinen Zellen und bilden so eine Karte verschiedener Ladungen. Die Lebensdauer dieser Speicherchips liegt bei ca. 100.000 Schreib- und Löschzyklen.

Speicherkarte (z.B. SD, MMC, CF)
USB-Stick

2. Magnetisch: Magnetische Datenträger speichern analoge oder digitale Informationen, indem kleine magnetische Bereiche magnetisiert werden. Die Medien werden mittels eines oder mehrerer Lese/Schreibköpfe gelesen und beschrieben, indem der magnetische Flusswechsel (Polung) auf der Plattenoberfläche zum Lesen in einen elektrischen Stromfluss umgewandelt wird. Beim Schreiben verhält es sich umgekehrt.

Magnetband, (z.B. DLT)
Magnetkarte
Festplatte
Diskette

3. Optisch: Ein Laserstrahl liest mikroskopisch kleine Löcher (Pits) oder flache Strecken (Lands), womit die Spiegelung des Lasers digital als 1 oder als 0 interpretiert wird. Die optische Speicherung nutzt dabei die Reflexions- und Beugungseigenschaften des Speichermediums aus. In der Regel bestehen die Datenträger aus drei Schichten: der unteren, durchsichtigen aber stabilen, Schutzschicht, der mittleren Trägerschicht und der oberen Deckschicht.

CD
DVD
Blu-ray Disc
HD-DVD

4. Magneto-Optisch: Magneto-optische Datenträger kombinieren Vorzüge der magnetischen und optischen Speicherungstechnologie. Daten werden magnetisch geschrieben und optisch über Laser ausgelesen. Zum Schreiben wird die Oberfläche durch Laser über die Curietemperatur erhitzt. Damit verschwindet die Magnetisierung der Oberfläche und nach Herunterkühlen unter die Curietemperatur wird mit dem Magnetkopf geschrieben.

MiniDisc
MO-Disk

Unternehmensdaten werden heutzutage in der Regel zentral, auf Festplattensystemen wie Fileservern, NAS oder SAN abgelegt. Festplatten zeichnen sich dabei vor allem durch schnelle Zugriffszeiten und hohe Kapazitäten aus. Für das Backup bzw. die Archivierung werden meist Magnetbänder eingesetzt, da diese neben einer langen Haltbarkeit eine hohe Kapazität haben und das kostengünstigste Medium zu Sicherung größerer Datenmengen sind.
Während optische Medien meist zur Datensicherung kleinere Bestände und zum Datenaustausch eingesetzt werden, zeichnen sich Flash-Speicher durch leichte Handhabung, geringe Größe, geringer Zugriffszeit und Robustheit aus. Diese werden in einer Vielzahl von (mobilen-) Geräten wie z.B. Laptops, Mobiltelefonen und Digitalkameras eingesetzt.

4.2 Datenverwaltung in Betriebssystemen

Logisch zusammenhängende Daten werden in Form von Dateien abgelegt. Ein Betriebssystem liest und schreibt Dateien unter Ansteuerung der Hardware und spezifischer Codierungsverfahren auf einem Datenträger. Dabei werden Dateien nach bestimmten Organisationsprinzipien, dem sog. Dateisystem verwaltet. Bekannte Dateisysteme sind z.B. für Windows-Betriebssysteme FAT32, NTFS und für Linux/Unix-Betriebssysteme ext4, ReiserFS, JFS. Abhängig vom Datenträger gibt es noch weitere Dateisysteme (z.B. iso9660 und udf bei CD/DVD).
Ein Dateisystem stellt eine Schicht des Betriebssystems dar, auf die andere Schichten darüber (Betriebssystem, Anwendungen) über Klartext-Namen zugreifen können. Bei einem Zugriff werden diese Namen werden durch das Dateisystem in physische Adressen (bei Festplatten Blocknummer, Spur, Sektor usw.) auf dem Speichermedium umgesetzt. Dazu wird der physikalische Aufbewahrungsort in Verwaltungsstrukturen (z.B. Dateizuordnungstabellen) abgelegt.
In der Ebene darunter kommuniziert das Dateisystem dazu mit dem jeweiligen Gerätetreiber und der Firmware des Datenträgers. Die kleinste Verwaltungseinheit (Aufbewahrungsort) eines Dateisystems ist ein Cluster (Block), so dass jede Datei mindestens den Platz eines Clusters einnehmen muss, auch wenn sie kleiner ist.

Das Löschen einer Datei wird von allen gängigen Betriebssysteme aus Gründen der schnelleren Reaktionszeit so realisiert, dass die zu löschende Datei nur in den Verwaltungsstrukturen des Dateisystems als „gelöscht" und die von ihr belegten Cluster als „frei" markiert werden (logisches Löschen).^[15] Trotzdem suggeriert MS Windows, dass beim Leeren des Papierkorbes die Daten selbst gelöscht werden^[16]: "Sollen alle Elemente des Papierkorbes wirklich gelöscht werden?"

Abb. 1: Warnmeldung MS Windows beim Leeren des Papierkorbes

Ähnlich verhält es sich bei der Formatierung einer Festplatte. Tatsächlich werden nur die Verwaltungsstrukturen gelöscht und eine neue Struktur angelegt, MS Windows allerdings erweckt den Eindruck, dass alle Dateien unwiederbringlich gelöscht werden: "ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST":

Abb. 2: Warnmeldung MS Windows beim Formatieren einer Partition

In beiden Fällen bleiben die eigentlichen Daten so lange unangetastet, bis sie mehr oder weniger zufällig und vielleicht unvollständig durch neue Dateien überschrieben werden. Zudem kann es passieren, dass eine neu abgespeicherte Datei im letzten Cluster nur wenig Platz braucht und somit Reste einer alten Datei nicht vollständig überschrieben werden.
In den beschriebenen Fällen können die Verwaltungsinformationen mittels geeigneter Werkzeuge wiederhergestellt werden, so dass ein Zugriff auf die Daten möglich ist.
Möglich ist eine Wiederherstellung durch den Einsatz entsprechender (teilweise kostenloser) Anwendungsprogramme^[17]. Des Weiteren gibt es Firmen, die sich auf die Wiederherstellung von Daten spezialisiert haben^[18]. In speziell zur Datenwiederherstellung ausgerüsteten Labors stehen vielfältige technische Möglichkeiten zur Verfügung mit denen, unter Berücksichtigung der technischen Eigenschaften des Datenträgers, eine Wiederherstellung der Daten möglich ist.

4.3 Datenkopien

Manchmal sind Informationen teilweise oder vollständig rekonstruierbar, obwohl die Dateien vollständig und zuverlässig gelöscht wurden. Ein Grund dafür kann sein, dass (temporäre) Kopien dieser Daten angelegt werden, die bei einer Datenlöschung beachtet werden müssen^[19]:

Temporäre Dateien und Sicherungskopien:
Durch Anwendungsprogramme oder Betriebssystemfunktionen, wie z.B. Kopieren, Verschieben, Shadow copies, Verschlüsselungs-/ Kompressionsaufrufe werden temporäre Dateien und Sicherungskopien angelegt. Teilweise werden diese Dateien (bzw. der Verweis auf diese Dateien) automatisch gelöscht.
Auslagerungsdateien (Swap, Hibernation Files):
Betriebssysteme lagern regelmäßig bestimmte Bereiche des Arbeitsspeichers auf die Festplatte aus, die auch nutzerspezifische Daten enthalten.
Journale:
Moderne Dateisysteme führen Journale, in denen alle Dateioperationen protokolliert werden, so dass eine schnelle Wiederherstellung im Falle eines Systemabsturzes ermöglicht werden soll.
Datenspiegelungen:
Daten werden auf verschiedenen Festplattenverbünden redundant abgespeichert, um eine höhere Datensicherheit zu erreichen.

5 Datenträgerbereinigung in der Praxis

5.1 Studien und Untersuchungen

Aufgrund der Bedeutung für die Unternehmen wäre anzunehmen, dass es Prozesse und Verfahren gibt, die die fachgerechte Entsorgung von Altdatenträgern regeln, so dass sensible Unternehmensdaten nicht „in falsche Hände" gelangen.
Aktuelle Untersuchungen zeigen allerdings, dass die gängige Praxis häufig anders aussieht. So gibt es verschiedene Studien und Untersuchungen in denen gebrauchte Datenträger erworben und auf die Möglichkeit eines Zugangs zu den gespeicherten Daten überprüft wurden^[20]^[21]^[22].

Dabei wurde nachgewiesen, dass ohne großen Aufwand sensible Patientendaten einer Krankenkasse oder Buchungsinformationen einer Bank zugreifbar gemacht werden konnten. In anderen Fällen enthielten bei Ebay verkaufte Festplatten noch Unternehmensdaten jeder Art, wie Berichte über Umsatz- und Marktanteile, Strategiepapiere, Geschäftskorrespondenz (mit dem Vermerk „streng vertraulich"), Personalinformationen und Korrespondenz-Daten oder komplette Listen der Telefonnummern des Vorstandes.

5.2 Ursachen unzureichender Datenlöschung

Die Ergebnisse der Untersuchungen machen deutlich, dass den Anforderungen an eine sichere Datenlöschung und kontrollierte Entsorgung von Datenträgern häufig nicht nachgekommen wird. Die wesentlichen Ursachen dafür sind:

1. Unwissenheit über Datenspeicherung bzw. Anforderungen an eine sichere Datenlöschung

Der Hauptgrund ist auf Unwissenheit bzw. fehlendes technisches Knowhow zurückzuführen:

Der Löschbefehls löscht nicht die Daten, sondern nur den Dateieintrag in den Verwaltungsstrukturen des Dateisystems
Freigegebene Speicherbereiche werden zufällig und unvollständig mit neuen Daten überschrieben
Daten lassen sich auch von defekten Datenträgern wiederherstellen
Betriebssysteme und Programme erzeugen automatisch Kopien von Daten
Speicher können temporäre gespeicherte Daten enthalten (z.B. können interne Speicher in Druckern sämtliche der zuletzt gedruckten Dokumente enthalten)

2. Mangelnde Sensibilisierung / Ignoranz

Ein Mangel an Sensibilisierung und Unwissenheit über gesetzliche Anforderungen können dazu führen, dass Risiken falsch eingeschätzt werden. So wird oft die Tatsache, dass ein neuer Besitzer theoretisch Daten wiederherstellen kann, als unkritisch eingeschätzt. Begründet wird dies häufig damit, dass die Daten alt sind und nicht mehr benötigt werden oder dass jemand anderes damit sowieso nichts anfangen kann.
Im schlimmsten Falle führt Ignoranz dazu, dass die Datenträger überhaupt nicht gelöscht werden, so dass die Informationen für den zukünftigen Besitzer ohne Aufwand zugänglich sind.

3. Fehlende organisatorische Maßnahmen

In vielen Unternehmen gibt es keine verbindlichen, standardisierten Prozesse zur Entsorgung der Altdatenträger. Ebenso gibt es meist keine geeigneten Schulungs-, Aufklärungs- und Sensibiliserungsmaßnahmen für die verantwortlichen Mitarbeiter. Auch in IT-Sicherheitskonzepten^[23] fehlt häufig die Berücksichtigung dieser wichtigen Prozesse und es gibt keine klare Festlegung von Verantwortlichkeiten.
Dies führt dazu, dass es auf das Verantwortungsbewusstsein und die technischen Fähigkeiten einzelner Mitarbeiter ankommt und im betrieblichen Alltag keine Priorität findet.

4. Unsachgemäße Ausführung externer Dienstleister

Einige Unternehmen haben die fachgerechte Entsorgung an externe Dienstleister vergeben. Auch in diesem Fall muss sichergestellt werden, dass die Daten sicher gelöscht werden.

6 Organisatorische Maßnahmen zur sicheren Löschung

Wie bereits im Abschnitt Datenkopien beschrieben, muss für eine sichere Löschung von Daten der gesamte Datenträger wiederaufbereitet werden, da nicht bekannt ist ob und an welchen Stellen noch Datenkopien vorhanden sind. Aus diesem Grund müssen Maßnahmen getroffen werden, dass Datenträger beim Verlassen des Unternehmens oder beim Wechsel in einen anderen Sicherheitsbereich vollständig wiederaufbereitet werden.

Um Datenträger aus Sicht des Datenschutzes und der internen IT-Sicherheit zuverlässig wieder aufzubereiten, müssen innerhalb des Unternehmens organisatorische Prozesse etabliert werden, die gewährleisten, dass nicht ordentlich wiederaufbereitete Datenträger das Unternehmen verlassen. Die Art der möglichen Wiederaufbereitung ist dabei vom Vertraulichkeitsgrad der Daten, sowie dem Zustand und der Art des Datenträgers abhängig. Abhängig von diesen Faktoren kann eine Wiederaufbereitung durch Überschreiben stattfinden oder der Datenträger wird durch mechanische bzw. thermische Zerstörung vernichtet^[24].

Da vielen Mitarbeitern die Tragweite einer unzureichenden Datenlöschung aus Sicht des Unternehmens und des Datenschutzes nicht bewusst ist, sollte der zu etablierende Prozess Bestandteil der IT-Sicherheitsrichtlinie des Unternehmens werden. Die IT-Sicherheitsrichtlinie wird von der Geschäftsführung verabschiedet und stellt dadurch eine Weisung für alle Mitarbeiter dar.
Um einen entsprechenden Prozess erstellen zu können, muss innerhalb des Unternehmens zunächst festgestellt werden, in welche Sicherheitsstufen die Daten eingeordnet werden. Je nach Sicherheitsstufe der Daten kommen unterschiedliche Aufbereitungsverfahren für die Datenträger in Betracht.

6.1 Bestimmung des Schutz- und Vertraulichkeitsbedarfs von Daten

Das BSI unterscheidet grundsätzlich zwischen vier Vertraulichkeitsstufen. Diese stellen für öffentliche Institutionen eine verbindliche Vorgabe dar. Für Unternehmen können diese Einstufungen einen Anhaltspunkt für eigene Sicherheitseinstufungen bieten^[25]^[26]^[27].

Schutzniveau	Schutzbedarf
streng geheim	die Kenntnisnahme dieser Informationen durch Unbefugte kann lebenswichtige Interessen der BRD oder seiner Länder gefährden
geheim	die Kenntnisnahme dieser Informationen durch Unbefugte kann der Sicherheit der BRD oder einer seiner Länder schweren Schaden zufügen
VS-Vertraulich	die Kenntnisnahme dieser Information durch Unbefugte kann für die BRD oder eines seiner Länder schädlich sein
VS-nur für den Dienstgebrauch	die Kenntnisnahme dieser Information durch Unbefugte kann für die Interessen der BRD oder seiner Länder nachteilig sein

Tabelle 1: Vordefinierte Vertraulichkeitsstufen des BSI

Eine Adaption dieser Sicherheitsstufen abgeleitet auf privatwirtschaftliche Unternehmen könnte dabei wie folgt aussehen:

Schutzniveau	Schutzbedarf
streng geheim	wichtige Firmengeheimnisse (z.B. Alleinstellungsmerkmale oder einmalige Rezepturen)
geheim	aktuelle Planungen zur Firmenentwicklung; personenbezogene Daten mit hohem Schutzbedürfnis
VS-Vertraulich	personenbezogene Daten mit normalem Schutzbedürfnis
VS-nur für den Dienstgebrauch	aktuelle Geschäftsvorgänge (Bestellungen…)

Tabelle 2: Für Unternehmen angepasste BSI-Vertraulichkeitsstufen

Bei privatwirtschaftlichen Unternehmen ist bei der Einstufung jedoch nicht nur der Informationsgehalt der Daten zu beachten, sondern auch der mögliche Schaden der durch einen Datenverlust an Dritte entstehen kann: Entstehen dem Unternehmen nur geringe Kosten durch einen Datenverlust und die Kosten für eine Wiederaufbereitung nach dem Schutzniveau „streng geheim" liegen weit über dem möglichen Verlust, ist die Einstufung des Datenträgers ggf. anzupassen.

6.2 Beispielhafter Prozessablauf zur sicheren Datenträgerwiederaufbereitung

Nach der Definition der Sicherheitsniveaus kann daraus ein entsprechender Prozess abgeleitet werden. Innerhalb dieses Prozesses sind folgende Faktoren zu berücksichtigen:

Ist der Datenträger mehrfach beschreibbar?
Ist der Datenträger voll funktionsfähig?
Welcher Sicherheitseinstufung unterliegt der Datenträger?

Ein daraus abgeleiteter Sicherheitsprozess ist im Folgenden beispielhaft und vereinfacht dargestellt. Der Prozess stellt den Hauptablauf zur Datenträgerwiederaufbereitung (DWA0.xy) dar. Die Unterprozesse (DWA1.xy bis DWA3.xy) sind der Einfachheit halber nicht aufgeführt, können aber aus dem Abschnitt Technische Maßnahmen zur sicheren Löschung entsprechend abgeleitet werden.

Abb. 3: Beispielhafter (vereinfachter) Prozess einer Datenwiederaufbereitung

Durch Etablierung eines solchen Prozesses innerhalb eines Unternehmens, soll sichergestellt werden, dass kein Datenträger unbewusst und ohne Wiederaufbereitung das Unternehmen verlässt. Nur so kann jegliches Risiko für das Unternehmen vermieden werden.
Der Prozess regelt, dass je nach Art und Zustand des Datenträgers die richtigen Maßnahmen durchgeführt werden.

Anmerkung zu DWA1 - sichere Einlagerung:
Die Einlagerung eines Datenträgers kann eine Möglichkeit zur Wiederaufbereitung darstellen. Hierfür gibt es vor allem folgenden Grund: Der Sicherheitsbedarf der Daten ist für ein Überschreiben zu hoch, die Kosten für eine Zerstörung sind ebenfalls sehr hoch; gegebenenfalls verringert sich im Laufe der Lagerzeit der Sicherheitsbedarf der Daten, so dass ein Überschreiben wieder als alternative Wiederaubereitung in Betracht kommt.

Anmerkung zu DWA2 - Wiederaufbereitung durch Überschreiben:
Anhand von Prüfprotokollen oder Meldungen der Hardwareüberwachunssoftware (z.B. SMART-Meldungen) muss zunächst sichergestellt sein, dass keine Daten in fehlerhaften Sektoren vorhanden sind. Anschließend kann ein Überschreiben nach den im Abschnitt Technische Maßnahmen zur sicheren Löschung genannten Schritten erfolgen.

Anmerkung zu DWA3 - Wiederaufbereitung durch Zerstörung:
Die Zerstörung des Datenträgers kann intern oder durch ein externes Dienstleistungsunternehmen erfolgen. Wird ein externes Unternehmen mit der Zerstörung von Datenträgern beauftragt, so ist sicherzustellen, dass das Unternehmen sich verpflichtet die gespeicherten Daten auf dem Datenträger nicht einzusehen bzw. weiter zu verwenden.
Es sollte eine vertragliche Grundlage zwischen dem Auftraggeber und dem Auftragnehmer geben, in dem dieser Sachverhalt geregelt wird. Weiterhin sollten sich das Unternehmen und alle angestellten Mitarbeiter dazu verpflichten, die Datenträger nur zur Vernichtung und im Rahmen gesetzlicher Regelungen zu verwenden. Bei der pro Datenrettung unterschreiben beispielsweise alle Mitarbeiter eine vom Bundesbeauftragten für den Datenschutz veröffentliche Verpflichtugserklärung. In dieser Verpflichtungserklärung heisst es unter anderem, dass "Verstöße gegen das Datengeheimnis [..] nach §§ 44, 43 Absatz 2 BDSG sowie nach anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden" können. "In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeits- oder dienstrechtlicher Schweigepflichten liegen."^[28]^[29].

6.3 Sicherung des Prozessablaufs

Da sich die Kontrolle, Einhaltung und Anpassung dieses Prozesses - vor allem in großen Unternehmen - sehr schwierig gestalten kann, sollten verantwortliche Mitarbeiter für diese Aufgaben festgelegt werden, welche die Einhaltung des Prozesses kontrollieren und Anpassungen an neue Gegebenheiten vornehmen. Auch die Eingliederung der Datenträger zu Sicherheitsstufen sollte mit den verantwortlichen Mitarbeitern abgestimmt werden.
Im Rahmen des allgemeinen Qualitätsmanagement kann dann durch Audits eine Sicherstellung des Prozesses gewährleistet und ggf. Unzulänglichkeiten aufgedeckt werden.

7 Technische Maßnahmen zur sicheren Löschung

Um die auf einem Datenträger enthaltenen Daten sicher zu löschen, stehen – abhängig von der Art, dem Zustand und dem Vertraulichkeitsgrad der Daten – verschiedene Mechanismen zur Verfügung. Diese fangen beim einfachen Überschreiben der Daten an und enden bei der Zerstörung des Datenträgers.

Datenträger, die nicht mehr, nur noch teilweise funktionsfähig oder nur einmal beschreibbar (z.B. CD-Rom, Worm-Datenträger) sind, können nur durch Vernichtung des Datenträgers sicher wiederaufbereitet werden^[30]. Die einzige Alternative stellt die Einlagerung innerhalb des Unternehmens dar, bis ein Zeitpunkt erreicht wird, zu dem die Daten einem geringeren Vertraulichkeitsbedarf unterliegen.

7.1 Wiederaufbereitung durch Überschreiben

Daten, die auf wiederbeschreibbaren Datenträgern gespeichert sind, können durch ein Überschreiben wiederaufbereitet werden. Die unterschiedlichen Möglichkeiten der Wiederaufbereitung sind abhängig von der Art des Datenträgers.

7.1.1 Magnetische Datenträger

Um wiederbeschreibbare magnetische Datenträger, wie Festplatten oder Magnetbänder, durch Überschreiben sicher zu löschen, müssen zunächst zwei Bedingungen erfüllt sein^[31]^[32]:

Der Datenträger muss voll funktionsfähig sein und darf keine fehlerhaften Sektoren aufweisen.
Das Schutzniveau der Daten darf VS-Vertraulich (oder eine entsprechende Stufe) nicht übersteigen.

Fehlerhafte Sektoren auf einem Datenträger können nicht direkt beschrieben werden. Sind auf einem Datenträger fehlerhafte Sektoren vorhanden, ist ein vollständiges Überschreiben nicht mehr möglich. Die Magnetisierung des Sektors bleibt erhalten und kann ggf. im Labor wieder ausgelesen werden^[33].

Laut BSI und DoD eignet sich die Datenträgerwiederaufbereitung durch Überschreiben ebenfalls nicht für streng vertrauliche Daten, da magnetische Datenträger auch nach einer Änderung der Polarisation in den Randbereichen des Sektors eine Restmagnetisierung (Remanenz) aufweisen, die auf einen ursprünglichen Zustand schließen lassen kann. In aufwendigen und teuren Rettungsversuchen in einem Labor könnten so Daten wiederhergestellt werden.
Ist ein Datenträger voll funktionsfähig und hat ein geringes Sicherheitsniveau, kann dieser durch Überschreiben wiederaufbereitet werden. Für eine sichere Löschung von magnetischen Datenträgern müssen die gesamten Bereiche des Datenträgers mit einem Muster mehrfach überschrieben werden. Für diese Überschreibverfahren sind unterschiedliche Vorgaben und Empfehlungen herausgegeben worden, wie solch ein Überschreiben stattzufinden hat, damit eine Datenwiederherstellung nicht mehr möglich ist.

Verfahren	Anzahl der Überschreibvorgänge	Verwendung von Zufallszahlen	Schutz gegen ausführliche Laboranalysen
Single Pass 0 oder 1	1	Nein	Sehr gering
VS IT-Richtlinien	7	Nein	Gering
DoD 5220.22-M ECE	7	Ja (dreimal)	Mittel
Gutmann	35	Ja (achtmal)	Sehr hoch

Tabelle 3: Gegenüberstellung ausgewählter Überschreibverfahren (in Anlehnung an: Landesamt für Verfassungsschutz Baden-Württemberg^[34]

7.1.1.1 Single Pass

Das Single Pass – Verfahren überschreibt den Datenträger einmalig mit einem 0- oder 1-Bit in einem einfachen Durchlauf. Dieses Verfahren gilt laut BSI und DoD jedoch als unsicher.

7.1.1.2 Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinen Richtlinien zum Geheimschutz von Verschlusssachen (VS) beim Einsatz von Informationstechnik (VS IT-Richtlinie) Regelungen zum sicheren Löschen von Datenträgern veröffentlicht. Diese definieren ein Überschreibverfahren mit sieben Durchläufen. Die ersten sechs Durchläufe werden dabei abwechselnd mit dem Überschreibmuster 0x00 und 0xFF vorgenommen. Der letzte Durchlauf erfolgt mit dem Bitmuster 0xAA.

Anmerkung: Um Disketten auch durch mehrmaliges Überschreiben sicher löschen zu können, sind spezielle Laufwerke nötig. Durch ein einfaches Diskettenlaufwerk kann keine sichere Löschung garantiert werden^[35].

7.1.1.3 Department of Defense

Das amerikanische Verteidigungsministerium, Department of Defense (DoD), hat ebenfalls einen Standard zum sicheren Löschen von Daten für öffentliche Einrichtungen herausgegeben^[36]. Dieser Standard gilt lediglich für Daten welche einen geringeren Vertraulichkeitsgrad haben als "geheim".

Der Standard des Verteidigungsministeriums wird als DoD 5220.22-M ECE bezeichnet. Dieser basiert ebenfalls auf einem siebenfachen Überschreibalgorithmus. Im Gegensatz zum Standard des BSI werden hier jedoch nicht nur fest vorgegebene Überschreibmuster verwendet, sondern auch Zufallszahlen.

Durchgang	Bitmuster
1 – 3	vorgegebenes Bitmuster nach DoD 5220.22-M
4	Bitmuster generiert durch Zufallszahlen
5 – 7	vorgegebenes Bitmuster nach DoD 5220.22-M

Tabelle 4: Überschreibmuster nach DoD-Vorgaben

Die Verwendung von Zufallszahlen soll eine Gleichverteilung der Magnetisierung auf dem Datenträger erhöhen und dadurch eine Wiederherstellung im Labor erschweren.

7.1.1.4 Gutmann

Das von Peter Gutmann im Jahr 1996 entwickelte Verfahren nimmt auch Überschreibvorgänge mit Zufallsmustern und festgelegten Mustern vor. Im Gegensatz zu den anderen Verfahren werden jedoch 35 Überschreibvorgänge vorgenommen^[37].

Durchgang	Bitmuster
1 – 4	Bitmuster generiert durch Zufallszahlen
5 – 31	vordefinierte Bitmuster
32 – 35	Bitmuster generiert durch Zufallszahlen

Tabelle 5: Überschreibmuster nach Peter Gutmann

Durch die hohe Anzahl an Überschreibvorgängen sollen jegliche Wiederherstellungsmöglichkeiten – auch in aufwendigen Laboranalysen – unmöglich gemacht werden, da auch von den Restmagnetisierungen in den Randbereichen der Datenblöcke durch die Menge an Überschreibvorgängen nicht mehr auf ihren ursprünglichen Zustand geschlossen werden kann.

7.1.2 Elektronische Datenspeicher

Bei elektronischen Datenspeichern ist zunächst zwischen flüchtigen und nicht flüchtigen Speichern zu unterscheiden. Der flüchtige Speicher – wie Arbeitsspeicher in Computerarbeitsplätzen – verliert seinen Dateninhalt sobald die angelegte Spannung vom System entfernt wird. Laut Bundesamt für Sicherheit in der Informationstechnik „kann jedoch nicht ausgeschlossen werden, dass nach dem Löschen über 'Spuren' in den Speicherzellen ein Rückschluss auf die vorher gespeicherten Daten möglich ist"^[38]. Aus diesem Grunde sollten nicht flüchtige und flüchtige Speicher durch Überschreiben sicher wiederaufbereitet werden.
Elektronische Datenträger weisen keine Randbereiche auf, die auf die ursprünglichen Daten schließen lassen können, wie dies bei magnetischen Datenspeichern durch das Magnetfeld möglich ist. Stattdessen können die Speicherzellen nur zwei Zustände einnehmen. Daher müssen elektronische Datenträger nur einmal mit einem Muster überschrieben werden, ohne dass eine Rekonstruktion der ursprünglichen Daten möglich ist^[39].

7.1.3 Optische Datenspeicher

Bei wiederbeschreibbaren optischen Datenträgern kann laut BSI nicht ausgeschlossen werden, dass nach einem Überschreiben die Originaldaten nicht wiederhergestellt werden können. Besteht ein erhöhter Schutzbedarf der gespeicherten Daten, ist ein Überschreiben der Daten nicht ausreichend^[40]^[41].

7.1.4 Magneto-optische Datenspeicher

Bei den magneto-optischen Datenspeichern verhält es sich genauso wie bei den wiederbeschreibbaren optischen Datenträgern. Auch hier gibt es laut BSI keine Erkenntnisse über eine mögliche Datenrekonstruktion nach einem Überschreiben des gesamten Datenträgers. Um magneto-optische Datenträger sicher wiederaufzubereiten bleibt nur die Vernichtung des Datenträgers^[42].

7.1.5 Datenspeicher in Komplettsystemen

Für Komplettsysteme gelten die Maßnahmen, die auch für die enthaltenen Einzelkomponenten gelten. Werden in einem Kopiersystem beispielsweise Festplatten als Datenträger verwendet, so sind diese bei einer Veräußerung des Gerätes ebenfalls - wie eine Festplatte aus einem PC-Arbeitsplatzsystem - wiederaufzubereiten^[43].

7.1.6 Problematiken bei der Wiederaufbereitung durch Überschreiben

Auch wenn verschiedene Überschreibalgorithmen – allen voran die Gutmann-Algorithmus – als sichere Methoden zur Wiederaufbereitung von Datenträgern gelten, bleibt immer noch ein Restrisiko vorhanden, dass für besondere sensible Daten ein weitergehendes Vorgehen nötig macht.
Insbesondere Festplatten haben neben der Problematik eventuell noch vorhandener Restmagnetisierung in den Randbereichen auch noch die Möglichkeit defekte Sektoren auf der Festplatte als fehlerhaft zu markieren und für zukünftige Zugriffe auszuschließen, ohne die Festplatte komplett als defekt auszugeben. Das Betriebssystem respektive der Anwender bemerkt von den defekten Sektoren nichts.
Beim Überschreiben werden die „bad sectors" ebenfalls nicht überschrieben, da diese für die Anwendung nicht bekannt sind - sofern der Hersteller des Datenträgers keine spezialisierte Software zum Überschreiben zur Verfügung stellt. In spezialisierten Laboren ist es dann unter Umständen möglich die Daten in den defekten Sektoren auszulesen und zu rekonstruieren.

7.2 Wiederaufbereitung durch Zerstörung

Neben einer Datenträgerwiederaufbereitung durch Überschreiben können Datenträger auch durch verschiedenste Maßnahmen physikalisch wiederaufbereitet werden. Diese Verfahren stellen eine 100%ige Sicherheit vor einer Datenwiederherstellung dar, führen aber auch zu einer vollständigen Zerstörung des Datenträgers.

7.2.1 Magnetische Datenträger

Für magnetische Datenträger existieren mehrere Methoden um durch Zerstörung eine vollständige Wiederaufbereitung zu erreichen.

7.2.1.1 Einsatz von Starken Magnetfeldern

Abb. 4: Degausser DG.02 (Ontrack Data Recovery)

Mit Hilfe so genannter Degausser können magnetische Datenträger durch die Verwendung sehr starker Magnetfelder zerstört werden. Ein Degausser erzeugt ein so starkes Magnetfeld, dass auf den Datenträgern auch die Servo- und Serviceinformationen gelöscht werden. Der Datenträger wird dadurch unbrauchbar.
Der Vorteil des Einsatzes von Degaussern ist, dass neben den nutzbaren Bereichen des Datenträgers auch die „bad sectors" gelöscht werden^[44].
Der Nachteil jedoch ist, dass neben der vollständigen Zerstörung des Datenträgers diese Art der Wiederaufbereitung oftmals nicht in einem Unternehmen selbst vorgenommen werden kann, da einerseits die Anschaffungskosten eines Degaussers – inkl. einer BSI-Zertifizierung^[45] – sehr hoch und kaum Tischgeräte verfügbar sind.

7.2.1.2 Erhitzen der Datenträger

Magnetische Datenträger können ebenfalls durch Erhitzung zerstört werden. Dabei müssen diese einer Temperatur ausgesetzt werden, die über der Curietemperatur (bei Festplatten ca. 700°C und mindestens 15-minütiger Verweildauer innerhalb der Temperatur) liegt. Durch die hohe Temperatur verlieren alle ferromagnetischen Stoffe in der Festplatte ihren aktuellen Zustand und werden zufällig ausgerichtet^[46].
Für Festplatten gilt als Richtwert eine 15-minütige Erhitzung der Datenträger bei über 700°C; für Magnetdatenbänder eine 60-minütige Erhitzung bei über 300°C^[47].
Dadurch, dass die Temperatur zur Löschung der Daten so hoch, hat diese Variante den Nebeneffekt, dass auch alle weitere Hardware an der Festplatte zerstört wird und somit nicht mehr funktionsfähig ist.

7.2.1.3 Schreddern der Datenträger

Als weitere Alternative zur sicheren Vernichtung von magnetischen Datenbändern bietet sich die Vernichtung durch Zerstückelung (Schreddern) an. Beim Schreddern müssen die Abfallstoffe kleiner als 300 mm² sein, um eine Datenrekonstruktion auch in Laboren unmöglich zu machen.

7.2.2 Weitere Datenträger

Für alle weiteren Datenträger – elektronische, optische und magneto-optische – kommen laut BSI als Zerstörungsmethoden das thermische Erhitzen und das Zerkleinern in Betracht. Die folgende Tabelle zeigt, welche Bedingungen dabei erfüllt werden müssen^[48].

	Vernichtung durch Zerkleinerung	Vernichtung durch thermische Erhitzung
Datenträger	max. Stückgröße	Mindesttemperatur	Verweildauer
flüchtige Halbleiterspeicher	≤ 10 mm²	mehr als 800°C	15 Minuten
nicht flüchtige Halbleiterspeicher	≤ 10 mm²	mehr als 800°C	15 Minuten
USB-Sticks, Speicherkarten…	≤ 10 mm²	mehr als 800°C	15 Minuten
optische Datenträger	≤ 200 mm² bei der Speicherung von streng geheimen Daten ≤ 10 mm²	mehr als 300°C	60 Minuten

Tabelle 6: Vernichtungsvorschriften für Datenträger

Für magneto-optische Datenträger gelten die gleichen Vorgaben wie für Festplatten. Die Daten werden zwar optisch gelesen, die eigentliche Speicherung findet aber auf einem magnetischen Medium statt.

7.3 Wirksamkeit der Wiederaufbereitungsmaßnahmen

Die Wiederaubereitungsmaßnahmen durch Zerstörung bieten eine 100%-ige Sicherheit vor Datenrekonstruktionen, bringen jedoch auch den Nachteil mit sich, dass die Datenträger nach der Wiederaufbereitung nicht mehr verwendet werden können. Bei Datenträgern die nicht Eigentum des Unternehmens sind (z.B. bei geleasten Komplettsystemen mit Festplatten) ist eine Wiederaufbereitung durch Zerstörung somit ggf. nicht möglich.

Laut BSI, DoD und Peter Gutmann bieten Datenträgerwiederaufbereitungen durch Überschreiben keine ausreichende Sicherheit vor einer möglichen Datenrekonstruktion. Inzwischen sind bereits Studien durchgeführt und veröffentlicht worden, die darlegen, dass eine Datenrekonstruktion bereits nach einem einmaligen Überschreibvorgang nicht mehr möglich ist^[49]^[50]. Die immer wieder angesprochenen Unsicherheiten beziehen sich größtenteils auf Disketten, da hier die Positioniermechanismen der Laufwerke teilweise sehr ungenau waren und neue Daten nicht direkt an die Position der alten Daten geschrieben wurden. So ist es unter Umständen möglich vorher geschriebene Daten zu rekonstruieren. Für neuere magnetische Datenträger gilt diese Einschränkung nicht mehr, wie die Laborversuche von Wright und Kleiman zeigen^[51].
Daraus ergibt sich, dass magnetische Datenträger auch durch ein einfaches Überschreiben bereits sicher wiederaufbereitet werden können, sofern der Datenträger voll funktionsfähig ist. Die Problematik der fehlerhaften Sektoren besteht weiter und kann ggf. eine Zerstörung des Datenträgers notwendig machen.

8 Fazit

Aufgrund der beschriebenen Komplexität und der betrieblichen Praxis in Unternehmen wird deutlich, dass die wesentliche Anforderung zur sicheren Datenträgerbereinigung weniger eine technische als organisatorische Herausforderung darstellt. Dabei ist von großer Bedeutung, dass es ein Bewusstsein für den Umgang mit sensiblen Daten über den kompletten Lebenszyklus gibt. Lässt sich dieser Prozess in kleineren Unternehmen vergleichsweise einfach überblicken und etablieren, nimmt die Komplexität in großen, dezentralen Unternehmen bzw. Konzernen deutlich zu. Deshalb müssen Mitarbeiter für die Kontrolle und Koordination zur sicheren Datenträgerbereinigung verantwortlich gemacht und mit notwendigen Befugnissen ausgestattet werden. Die Wirksamkeit der Maßnahmen muss dabei regelmäßig überprüft und ggf. auditiert werden, so dass die Prozesse an sich verändernde Rahmenbedingungen angepasst werden. Die eigentliche technische Umsetzung ist dagegen vergleichsweise einfach zu realisieren, da sich diese auf drei Möglichkeiten (überschreiben, zerstören, dauerhaftes Einlagern) beschränkt.

Zusammengefasst kann festgestellt werden, dass durch einen in den alltäglichen Unternehmensablauf integrierten Prozess, eine bedarfsgerechte und sichere Datenträgerbereinigung langfristig sicherstellt werden kann. So kann den Anforderungen der Stakeholder im Rahmen von Compliance Regelungen entsprochen und Datenschutzskandale mit rechtlichen und finanziellen Folgen verhindert werden.

9 Glossar

Begriff	Bedeutung
bad sector	siehe Fehlerhafte Sektoren
Bitmuster	Bezeichnet eine Kombination binären Daten (0 und 1) die auf einen Datenträger geschrieben werden.
Curietemperatur	Die Curietemperatur bezeichnet die Temperatur an der magnetische Teilchen in einem Datenträger ihre magnetischen Eigenschaften verlieren. Ein Rückschluss auf die zuvor gespeicherten Daten ist nach der Erhitzung auf die Curietemperatur nicht mehr möglich.
Datenträgerwiederaufbereitung	Der Begriff Datenträgerwiederaufbereitung bezeichnet Verfahren zur sicheren Löschung eines Datenträgers. Darunter kann auch die Zerstörung des Datenträgers fallen.
Degausser	Ein Gerät zur Erzeugung starker Magnetfelder, mit denen magnetische Datenträger vollständig gelöscht werden können.
Fehlerhafte Sektoren	Beschädigte Sektoren auf einer Festplatte die nicht mehr zur Datenspeicherung verwendet werden können. Meist verfügt die Festplattenintelligenz über Mechanismen diese Sektoren gegenüber dem Betriebssystem zu verstecken, so dass die Funktionalität der Festplatte zunächst erhalten bleibt.
Ferromagnetismus	Bezeichnet den allgemein bekannten Magnetismus wie dieser beispielsweise von Wandmagneten bekannt ist.
Information Lifecycle Management	"Information Lifecycle Management (ILM) ist ein Storage Management-Konzept, welches Informationsobjekte während der gesamten Lebenszeit aktiv verwaltet. Dabei bestimmt eine Regelmaschine unter Berücksichtigung von Vorgaben aus den Geschäftsprozessen und der Bewertung der Kostenstrukturen der Speicherhierarchie in einem Optimierungsprozess den best geeigneten Speicherplatz für die verwalteten Informationsobjekte."^[52]
Remanenz	Wird auch als Magnetfeld bezeichnet und bezeichnet die Bereiche eines Sektors die ihre ursprüngliche Ausrichtung beibehalten obwohl bereits eine Umpolung des Sektors stattgefunden hat.
Servoinformationen	Servoinformationen werden bei der Herstellung eines Datenträgers auf den Datenträger geschrieben und können nachträglich nicht verändert werden. Die Servoinformationen beinhalten Informationen für die Schreib- und Leseköpfe des Datenträgers um diese korrekt zu positionieren.
SMART	Bietet eine permanente Überwachung wichtiger Parameter verschiedener Hardwarekomponenten, mit der Möglichkeit eventuelle eintretende Defekte frühzeitig zu erkennen und dem Benutzer zu melden, so dass ein Hardwaretausch rechtzeitig durchgeführt werden kann.
Stakeholder	Als Stakeholder werden alle Personengruppen bezeichnet, die ein Interesse am Unternehmen, einem Projekt oder einem Prozess haben.
WORM-Datenträger	Datenträger die sich nur einmal beschreiben, jedoch mehrfach lesen lassen. Auch nur einfach beschreibbare CDs und DVDs gehören zu den WORM-Datenträgern. Es sind beispielsweise auch Magnetdatenbänder mit dieser Eigenschaft verfügbar.

10 Fußnoten

↑ Vgl. Managementgesellschaft für Datenschutz (2009)
↑ Vgl. §4 BDSG
↑ Das Recht auf informationelle Selbsbestimmung wird aus den Artikeln 1 und 2 Grundgesetz abgeleitet.
↑ Arbeitskreis „Technische und Organisatorischen Datenschutzfragen“ (2004), Seite 6
↑ Vgl. Bake, Blobel, Münch (2004), Seite 39
↑ Vgl. Bake, Blobel, Münch (2004), Seite 24
↑ Paragraph §903 BGB (Befugnisse des Eigentümer) besagt, dass der Eigentümer einer Sache nach Belieben mit der Sache verfahren kann, sofern keine Gesetze oder Rechte Dritter diese Regelung einschränken.
↑ Vgl. §1-3 BDSG
↑ Vgl. Bake, Blobel, Münch (2004), Seite 15
↑ Vgl. Haaz, Heiko (2003), Seiten 24 und 36
↑ Vgl. Anlage zu §9 Abs. 1 BDSG
↑ Vgl. Holleben von, Dr. Kevin Max (2008)
↑ Vgl. Bitkom (Hrsg., 2004)
↑ Vgl. Recovery Labs (Hrsg., 2009)
↑ vgl. Reinke, Dr. Thomas (2004), passim
↑ Vgl. BSI (Hrsg.), Sicheres Löschen unter Windows-Betriebssystemen, http://www.bsi.de/gshb/deutsch/m/m04056.htm (09.06.09, 21:23)
↑ Ein kostenloses Wiederherstellungsprogramm ist beispielsweise PC Inspector, siehe http://www.pcinspector.de/
↑ Unternehmen, die eine solche Dienstleistung anbieten sind z.B. Data recovery (http://www.data-recovery.de/Startseite.html) und Kroll Ontrack Data Recovery (http://www.ontrack.de/)
↑ Vgl. BSI (Hrsg.), Sicheres Löschen von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm (09.06.09, 21:15)
↑ Vgl. Garfinkel, Simson L.; Shelat, Abhi (2004), passim
↑ Vgl. O&O Software (Hrsg., 2007), passim
↑ Vgl. Heise (2008)
↑ Vgl. BSI (Hrsg.), IT Sicherheitskonzept, http://www.bsi.bund.de/gshb/webkurs/gskurs/seiten/s2500.htm (09.06.09, 21:15)
↑ Vgl. Arbeitskreis „Technische und organisatorische Datenschutzfragen“ (2004), passim
↑ Vgl. VSA: § 1 Abs. 1, §§ 7, 8 und 9
↑ Vgl. LSÜG: § 5 Abs. 2
↑ Vgl. Landesamt für Verfassungsschutz Baden-Württemberg (2004), Seiten 1 - 2
↑ Vgl. pro Datenrettung, passim
↑ Vgl. Bundesbeauftragter für den Datenschutz (2006), passim
↑ Vgl. BSI: M 2.167 Sicheres Löschen von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm (Stand: 10.06.2009, 14:37)
↑ Vgl. BSI (2007), Seite 6 f.
↑ Vgl. Gutmann, Peter (1996), Abschnitt 5
↑ Vgl. Arbeitskreis „Technische und organisatorische Datenschutzfragen“ (2004), Seite 12 f.
↑ Vgl. Landesamt für Verfassungsschutz Baden-Württemberg (2004), Seite 19
↑ Vgl. BSI (1999), Seite 2
↑ Vgl. DoD (2006), Seite 19
↑ Vgl. Gutmann, Peter (1996), Abschnitt 3
↑ Vgl. BSI (Hrsg.): M 2.167 Sicheres Löschen von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm (Stand: 31.05.2009, 14:33)
↑ Vgl. Winzker, Marco (2007), Seite 143
↑ Vgl. BSI (Hrsg.): M 2.167 Sicheres Löschen von Datenträgern, Abschnitt Vernichtung von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm, (31.05.2009, 14:33)
↑ Vgl. BSI (2007), Seite 8
↑ Vgl. BSI (2007), Seite 8
↑ Vgl. BSI (2007), Seite 12
↑ Vgl. Kroll Ontrack GmbH (Hrsg.) (2007a), Seite 4
↑ Vgl. Kroll Ontrack GmbH (2007b), passim
↑ Eine Liste mit allen vom BSI nach DIN 33858 zertifizierten Geräten kann in der Produktliste TL 03400 (BSI 7500) des BSI nachgeschlagen werden.
↑ Vgl. BSI (Hrsg.) 2007, Seite 14
↑ Vgl. BSI (Hrsg.) 2007, Seite 15 f.
↑ Vgl. Wright, Craig; Kleiman, Dave (2008), passim
↑ Vgl. National Bureau of Economic Research Cambridge (2003), passim
↑ Vgl. Wright, Craig; Kleiman, Dave (2008), Seite 1 f.
↑ Vgl. Bitkom (2004), Seite 4

11 Literatur- und Quellenverzeichnis

Arbeitskreis „Technische und organisatorische Datenschutzfragen“ (2004)	„Sicheres Löschen magnetischer Datenträger“ - Grundlagen, Werkzeuge und Empfehlungen aus Sicht des Datenschutzes
Bake, Blobel, Münch (2004)	Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen
Bitkom (2004)	Information Lifecycle Management, http://www.bitkom.org/files/documents/BITKOM_Leitfaden_ILM__Stand_21-04-2004.pdf (31.05.2009, 10:21)
Bitkom (2008)	Leitfaden zum sicheren Datenlöschen, www.bitkom.org/files/documents/Leitfaden_Sicheres_Datenloeschen_Version_2-0_vom_300508.pdf (31.05.2009, 10:21)
BSI	Bundesamt für Sicherheit in der Informationstechnik, http://www.bsi.de
BSI (1999)	Hinweisblatt Nr. 11 zu VSIT § 12 – Wiederaufbereiten von VS-Datenträgern
BSI (2007)	Richtlinien für das Löschen und Vernichten von schutzbedürftigen Informationen auf analogen und digitalen Datenträgern
BSI (2008a)	IT-Grundschutz-Kataloge, http://www.bsi.de/gshb/deutsch/download/it-grundschutz-kataloge_2008_EL10_de.pdf (31.05.2009, 10:21)
BSI (2008b)	BSI-Standard 100-1 Managementsysteme für Informationssicherheit (ISMS)
BSI (2008c)	BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise
BSI (2008d)	BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz
BSI (2008e)	BSI-Standard 100-4 Notfallmanagement
Bundesbeauftragter für den Datenschutz (2006)	Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG) zur Wahrung des Datengeheimnisses
Department of Defense (2006)	NATIONAL INDUSTRIAL SECURITY PROGRAM OPERATING MANUAL DoD 5220.22-M
Fischer, Marcus (2008)	Ubuntu GNU/linux, 3. Auflage, Galileo Press, Bonn 2008, ISBN 978-3-8362-1150-5
Garfinkel, Simson L.; Shelat, Abhi (2004)	Remembrance of Data Passed: A Study of Disk Sanitization Practices, www.usenix.org/events/lisa04/tech/talks/garfinkel.pdf (31.05.2009, 10:21)
Garfinkel, Simson L. (2006)	New directions in disk forensics, http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Garfinkel.pdf (31.05.2009, 10:21)
Grünendahl, Ralf-T.; Steinbacher, Andreas F.; Will Peter H.L. (2009)	Das IT-Gesetz: Compliance in der IT-Sicherheit, 1. Auflage, Vieweg+Teubner (GWV), Wiesbaden 2009, ISBN 3834895598
Gutmann, Peter (1996)	Department of Computer Science University of Auckland: Secure Deletion of Data from Magnetic and Solid-State Memory
Haaz, Heiko (2003)	Tätigkeitsfeld Datenschutzbeauftragter
Heise (2008)	Erneut Festplatte mit Daten britischer Bürger verkauft, http://www.heise.de/newsticker/Erneut-Festplatte-mit-Daten-britischer-Buerger-verkauft--/meldung/115021 (09.06.2009, 21:10)
Heise (2009)	Sicheres Löschen, http://www.heise.de/security/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt--/news/meldung/121855/ (31.05.2009, 10:21)
Holleben von, Dr. Kevin Max (2008)	IT-Risiko-Management, http://www.computerwoche.de/knowledge_center/compliance_recht/1869910/ (31.05.2009, 10:21)
Korge, Tobias (2009)	Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, 1. Auflage, Springer, Berlin 2009, ISBN 3540887482
Kroll Ontrack GmbH (2009)	Datenlöschung, http://www.ontrack.de/datenloeschung/ (31.05.2009, 10:21)
Landesamt für Verfassungsschutz Baden-Württemberg (2004)	Übersicht über die wesentlichen Änderungen der Verwaltungsvorschrift des Innenministeriums Baden-Württemberg zum materiellen und organisatorischen Schutz von Verschlusssachen
Managementgesellschaft für Datenschutz (2009)	Datenschutzskandale im Überblick, http://www.datenschutzskandale.de/ (31.05.2009, 10:21)
National Bureau of Economic Research Cambridge (2003)	Can Intelligence Agencies Read Overwritten Data? A response to Gutmann., http://www.nber.org/sys-admin/overwritten-data-gutmann.html (12.06.2009, 15:00)
O&O Software (2007)	Deutschland Deine Daten 2007, http://www2.oo-software.com/press/ddd2007_de.pdf (31.05.2009, 10:21)
pro Datenrettung	Datenschutz bei Datenrettung & Datenwiederherstellung - das Datengeheimnis, http://www.pro-datenrettung.net/datenschutz-bdsg-bei-datenrettung.html (31.05.2009, 14:37)
Recovery Labs (2009)	Datenträger, http://www.recoverylabs.net/services/geraete-retten/pc-card.htm (31.05.2009, 14:30)
Reinke, Dr. Thomas (2004)	Sicheres Löschen magnetischer Datenträger, http://www.lfd.m-v.de/dschutz/informat/magloe/magloe.html (31.05.2009, 14:30)
Winzker, Marco (2007)	Elektronik für Entscheider: Grundwissen für Wirtschaft und Technik
Wright, Craig; Kleiman, Dave (2008)	Overwriting Hard Drive Data: The Great Wiping Controversy, 1. Auflage, Springer-Verlag GmbH, Berlin 2008, ISBN 978-3-540-89861-0

12 Rechtsquellenverzeichnis

BDSG	Bundesdatenschutzgesetz
BGB	Bürgerliches Gesetzbuch
GG	Grundgesetz
LSÜG	Landessicherheitsüberprüfungsgesetz
VSA	Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen

[0] Vgl. Managementgesellschaft für Datenschutz (2009)

[1] Vgl. §4 BDSG

[2] Das Recht auf informationelle Selbsbestimmung wird aus den Artikeln 1 und 2 Grundgesetz abgeleitet.

[3] Arbeitskreis „Technische und Organisatorischen Datenschutzfragen“ (2004), Seite 6

[4] Vgl. Bake, Blobel, Münch (2004), Seite 39

[5] Vgl. Bake, Blobel, Münch (2004), Seite 24

[6] Paragraph §903 BGB (Befugnisse des Eigentümer) besagt, dass der Eigentümer einer Sache nach Belieben mit der Sache verfahren kann, sofern keine Gesetze oder Rechte Dritter diese Regelung einschränken.

[7] Vgl. §1-3 BDSG

[8] Vgl. Bake, Blobel, Münch (2004), Seite 15

[9] Vgl. Haaz, Heiko (2003), Seiten 24 und 36

[10] Vgl. Anlage zu §9 Abs. 1 BDSG

[11] Vgl. Holleben von, Dr. Kevin Max (2008)

[12] Vgl. Bitkom (Hrsg., 2004)

[13] Vgl. Recovery Labs (Hrsg., 2009)

[14] vgl. Reinke, Dr. Thomas (2004), passim

[15] Vgl. BSI (Hrsg.), Sicheres Löschen unter Windows-Betriebssystemen, http://www.bsi.de/gshb/deutsch/m/m04056.htm (09.06.09, 21:23)

[16] Ein kostenloses Wiederherstellungsprogramm ist beispielsweise PC Inspector, siehe http://www.pcinspector.de/

[17] Unternehmen, die eine solche Dienstleistung anbieten sind z.B. Data recovery (http://www.data-recovery.de/Startseite.html) und Kroll Ontrack Data Recovery (http://www.ontrack.de/)

[18] Vgl. BSI (Hrsg.), Sicheres Löschen von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm (09.06.09, 21:15)

[19] Vgl. Garfinkel, Simson L.; Shelat, Abhi (2004), passim

[20] Vgl. O&O Software (Hrsg., 2007), passim

[21] Vgl. Heise (2008)

[22] Vgl. BSI (Hrsg.), IT Sicherheitskonzept, http://www.bsi.bund.de/gshb/webkurs/gskurs/seiten/s2500.htm (09.06.09, 21:15)

[23] Vgl. Arbeitskreis „Technische und organisatorische Datenschutzfragen“ (2004), passim

[24] Vgl. VSA: § 1 Abs. 1, §§ 7, 8 und 9

[25] Vgl. LSÜG: § 5 Abs. 2

[26] Vgl. Landesamt für Verfassungsschutz Baden-Württemberg (2004), Seiten 1 - 2

[27] Vgl. pro Datenrettung, passim

[28] Vgl. Bundesbeauftragter für den Datenschutz (2006), passim

[29] Vgl. BSI: M 2.167 Sicheres Löschen von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm (Stand: 10.06.2009, 14:37)

[30] Vgl. BSI (2007), Seite 6 f.

[31] Vgl. Gutmann, Peter (1996), Abschnitt 5

[32] Vgl. Arbeitskreis „Technische und organisatorische Datenschutzfragen“ (2004), Seite 12 f.

[33] Vgl. Landesamt für Verfassungsschutz Baden-Württemberg (2004), Seite 19

[34] Vgl. BSI (1999), Seite 2

[35] Vgl. DoD (2006), Seite 19

[36] Vgl. Gutmann, Peter (1996), Abschnitt 3

[37] Vgl. BSI (Hrsg.): M 2.167 Sicheres Löschen von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm (Stand: 31.05.2009, 14:33)

[38] Vgl. Winzker, Marco (2007), Seite 143

[39] Vgl. BSI (Hrsg.): M 2.167 Sicheres Löschen von Datenträgern, Abschnitt Vernichtung von Datenträgern, https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm, (31.05.2009, 14:33)

[40] Vgl. BSI (2007), Seite 8

[41] Vgl. BSI (2007), Seite 8

[42] Vgl. BSI (2007), Seite 12

[43] Vgl. Kroll Ontrack GmbH (Hrsg.) (2007a), Seite 4

[44] Vgl. Kroll Ontrack GmbH (2007b), passim

[45] Eine Liste mit allen vom BSI nach DIN 33858 zertifizierten Geräten kann in der Produktliste TL 03400 (BSI 7500) des BSI nachgeschlagen werden.

[46] Vgl. BSI (Hrsg.) 2007, Seite 14

[47] Vgl. BSI (Hrsg.) 2007, Seite 15 f.

[48] Vgl. Wright, Craig; Kleiman, Dave (2008), passim

[49] Vgl. National Bureau of Economic Research Cambridge (2003), passim

[50] Vgl. Wright, Craig; Kleiman, Dave (2008), Seite 1 f.

[51] Vgl. Bitkom (2004), Seite 4

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

Maßnahmen zur sicheren Löschung von Daten auf verschiedenen Datenträgern