Standards und Normen

So vernichten Sie Daten und Datenträger richtig

02. Dezember 2013
Frank Lach ist Senior Consultant der CARMAO GmbH.
Beachten Anwender geltende Sicherheitsstandards, lassen sich die Gefahren eines Datenverlustes eindämmen und sensible Informationen sicher vernichten.

Im April dieses Jahres entdeckte ein Passant in Kassel einen geöffneten Karton mit vertraulichen Unterlagen eines renommierten Finanzdienstleisters in einem Container. Die Dokumente verzeichneten unter anderem Namen, Adressen, Geburtsdaten sowie Angaben zum Jahreseinkommen - für die Öffentlichkeit problemlos zugänglich. Dieses Negativbeispiel steht exemplarisch für die unsachgemäße Datenvernichtung, denn als gelöscht gelten letztendlich nur die Daten, die de facto unkenntlich gemacht werden. Damit wertvolle Informationen nicht in falsche Hände geraten, empfiehlt es sich, Managementsysteme für die Informationssicherheit nach ISO 27001 sowie dem IT-Grundschutz in die Unternehmenslandschaft zu integrieren.

Vorschriften: Gesetzliche Standards sollen für einen sicheren Umgang mit Daten sorgen.
Vorschriften: Gesetzliche Standards sollen für einen sicheren Umgang mit Daten sorgen.
Foto: Telekom

Ganz gleich, ob im Berufs- oder Privatleben - viele Menschen gehen fahrlässig mit persönlichen Daten um. Laut einer Studie der Universität Freiburg fand eine Gruppe von Wissenschaftlern in 1.135 privaten Mülltonnen 540 Kontoauszüge, 519 Kreditkartenbelege sowie 210 Unterschriften und sogar 40 PINs und TANs. Zudem entdeckten sie Unterlagen aus einer Arztpraxis, Rezepte und Medikamentenpläne mit konkreten Patientenangaben.

Die Studie sowie das Negativbeispiel zeigen: Die Vielfalt an Datenträgern - vom klassischen Papier über CDs bis hin zu Festplatten, USB-Sticks und weiteren - gestaltet die sichere Vernichtung vertraulicher Daten zu einem komplexen Prozess. Hinzu kommen Nachweispflichten insbesondere bei der Übergabe an spezialisierte Dienstleister.

Regeln für den sicheren Umgang mit Daten

Unternehmen können derartige Datenpannen umgehen. Um ein angemessenes Schutzniveau in der Informationsverarbeitung sowie der Datenträgervernichtung herbeizuführen, eignen sich Managementsysteme. Diese gewährleisten die Informationssicherheit gemäß der ISO 27001 sowie dem Bundesdatenschutzgesetz (BDSG) und dem IT-Grundschutz.

So ist beispielsweise das primäre Ziel der Informationssicherheit nach der ISO 27001 die Sicherstellung eines angemessenen Schutzes von Informationen wie zum Beispiel die sichere Handhabung und Entsorgung von Speichermedien. Dabei gilt es, diese vor ihrer Weitergabe oder Entsorgung daraufhin zu überprüfen, ob alle sensiblen Daten ordnungsgemäß entfernt wurden. Außerdem legt die ISO 27001 die physische und umgebungsbezogene Sicherheit sowie die der Betriebsmittel fest und beschreibt Verfahren für den Umgang mit Wechselmedien.

Hier sind insbesondere die folgenden Controls aus ISO/IEC 27001 - Annex A zu beachten. Diese beschreiben die entsprechenden Maßnahmenziele und Maßnahmen:

A.9 Physische und umgebungsbezogene Sicherheit

  • A.9.2 Sicherheit von Betriebsmitteln

  • A.9.2.6 Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

A.10 Betriebs- und Kommunikationsmanagement

  • A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien

  • A.10.7.1 Verwaltung von Wechselmedien

  • A.10.7.2 Entsorgung von Medien