So vernichten Sie Daten und Datenträger richtig

Im April dieses Jahres entdeckte ein Passant in Kassel einen geöffneten Karton mit vertraulichen Unterlagen eines renommierten Finanzdienstleisters in einem Container. Die Dokumente verzeichneten unter anderem Namen, Adressen, Geburtsdaten sowie Angaben zum Jahreseinkommen - für die Öffentlichkeit problemlos zugänglich. Dieses Negativbeispiel steht exemplarisch für die unsachgemäße Datenvernichtung, denn als gelöscht gelten letztendlich nur die Daten, die de facto unkenntlich gemacht werden. Damit wertvolle Informationen nicht in falsche Hände geraten, empfiehlt es sich, Managementsysteme für die Informationssicherheit nach ISO 27001 sowie dem IT-Grundschutz in die Unternehmenslandschaft zu integrieren.

Ganz gleich, ob im Berufs- oder Privatleben - viele Menschen gehen fahrlässig mit persönlichen Daten um. Laut einer Studie der Universität Freiburg fand eine Gruppe von Wissenschaftlern in 1.135 privaten Mülltonnen 540 Kontoauszüge, 519 Kreditkartenbelege sowie 210 Unterschriften und sogar 40 PINs und TANs. Zudem entdeckten sie Unterlagen aus einer Arztpraxis, Rezepte und Medikamentenpläne mit konkreten Patientenangaben.

Die Studie sowie das Negativbeispiel zeigen: Die Vielfalt an Datenträgern - vom klassischen Papier über CDs bis hin zu Festplatten, USB-Sticks und weiteren - gestaltet die sichere Vernichtung vertraulicher Daten zu einem komplexen Prozess. Hinzu kommen Nachweispflichten insbesondere bei der Übergabe an spezialisierte Dienstleister.

Regeln für den sicheren Umgang mit Daten

Unternehmen können derartige Datenpannen umgehen. Um ein angemessenes Schutzniveau in der Informationsverarbeitung sowie der Datenträgervernichtung herbeizuführen, eignen sich Managementsysteme. Diese gewährleisten die Informationssicherheit gemäß der ISO 27001 sowie dem Bundesdatenschutzgesetz (BDSG) und dem IT-Grundschutz.

So ist beispielsweise das primäre Ziel der Informationssicherheit nach der ISO 27001 die Sicherstellung eines angemessenen Schutzes von Informationen wie zum Beispiel die sichere Handhabung und Entsorgung von Speichermedien. Dabei gilt es, diese vor ihrer Weitergabe oder Entsorgung daraufhin zu überprüfen, ob alle sensiblen Daten ordnungsgemäß entfernt wurden. Außerdem legt die ISO 27001 die physische und umgebungsbezogene Sicherheit sowie die der Betriebsmittel fest und beschreibt Verfahren für den Umgang mit Wechselmedien.

Hier sind insbesondere die folgenden Controls aus ISO/IEC 27001 - Annex A zu beachten. Diese beschreiben die entsprechenden Maßnahmenziele und Maßnahmen:

A.9 Physische und umgebungsbezogene Sicherheit

• A.9.2 Sicherheit von Betriebsmitteln

• A.9.2.6 Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

A.10 Betriebs- und Kommunikationsmanagement

• A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien

• A.10.7.1 Verwaltung von Wechselmedien

• A.10.7.2 Entsorgung von Medien

Die diversen Klassen von Daten

Die Informationen werden dabei in einer "Information Classification Policy" in Bezug auf ihre Werte, gesetzlichen Anforderungen sowie Sensibilität und Kritikalität für die Organisation klassifiziert. So lassen sich zur Kennzeichnung der Informationen sowie für den richtigen Umgang in Übereinstimmung mit dem Klassifizierungsschema entsprechende Verfahren entwickeln und umsetzen.

Auch der IT-Grundschutz definiert anhand von Richtlinien die korrekte Vorgehensweise für die Löschung und Vernichtung von Informationen und Datenträgern und gibt einen umfassenden Überblick über entsprechende Verfahren. Hierzu zählen unter anderem die Anschaffung von Geräten zur Entsorgung der Daten sowie die Vernichtung von Datenträgern durch externe Dienstleister und die Einweisung aller Mitarbeiter in diese Methoden. Denn sie hängen vom Datenträger, dessen Speichertechnologie und der Schutzklasse der Informationen ab. Je nach Schutzbedarf der Daten und dem Speichermedium müssen andere Werkzeuge oder Geräte für eine zuverlässige Datenvernichtung verwendet werden.

Die entsprechenden Bausteine im IT-Grundschutz:

• M 2.431 - Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen

• M 2.432 - Richtlinie für die Löschung und Vernichtung von Informationen

• M 2.433 - Überblick über Methoden zur Löschung und Vernichtung von Daten

• M 2.434 - Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten

• M 2.436 - Vernichtung von Datenträgern durch externe Dienstleister

• M 2.167 - Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten

• M 3.67 - Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten

• M 4.32 - Physikalisches Löschen der Datenträger vor und nach Verwendung

• M 7.15 - Datenschutzgerechte Löschung/Vernichtung

Das BDSG regelt den Umgang mit personenbezogenen Daten, die entweder manuell oder mit Unterstützung von Informations- oder Kommunikationssystemen verarbeitet werden. Dabei erfolgt die Einordnung in ein Datenschutzkonzept. Dieses enthält technische sowie organisatorische Maßnahmen und legt fest, dass Berechtigte zur Benutzung eines Daten¬verabeitungssystems ausschließlich auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen. Insbesondere gelten diese Vorschriften auch bei der Entsorgung und Vernichtung von Speichermedien. Bei personenbezogenen Daten, die im Auftrag Dritter erhoben oder verarbeitet werden, zeichnet der Auftraggeber für die Einhaltung der Vorschriften zum Datenschutz verantwortlich.

Informationsträger sicher vernichten

Eine mögliche und sinnvolle Lösung zur Umsetzung derartiger Sicherheitsanforderungen ist die DIN 66399 "Büro- und Datentechnik - Vernichtung von Datenträgern". Diese formuliert genaue Ansprüche an eine ordnungsgemäße Datenvernichtung und wurde kürzlich um zwei weitere Sicherheitsstufen ergänzt, um die sichere Vernichtung von Daten einfacher handhaben und damit wirtschaftlich angemessen agieren zu können. Die Norm beschreibt erstmals neben den technischen Aspekten auch die Prozessschritte, die es zu beachten gilt.

Die neue DIN zur Datenträgervernichtung (DIN 66399) basiert auf der geschlossenen Prozess-Sicherheit. Sie erfüllt alle datenschutzrechtlichen Anforderungen und unterstützt gleichzeitig die Geschäftsabläufe kosten- und zeitoptimiert. Dabei umfasst sie drei Teile: Der erste Teil DIN 66399-1 behandelt die Grundlagen und Begriffe, mit deren Hilfe die Zuordnung der Schutzklassen erfolgt und der Nutzer den Schutzbedarf seiner Daten ermitteln kann. In der DIN 66399-2 sind die Anforderungen an die Maschinen zur Vernichtung von entsprechenden Datenträgern definiert. Je höher hierbei der Grad der physikalischen Zerstörung ist, desto höher ist auch der Energie-, Personal- und Maschinenaufwand. Die DIN 66399-3 (DIN Spec) formuliert die technischen und organisatorischen Anforderungen an die Prozesse der Datenträgervernichtung. Dabei werden die Prozesse und Kriterien definiert und der Gesamtprozess wird schließlich abgesichert.

Grundschutz durch Normen und Standards

Mit der Integration der Sicherheitsanforderungen der DIN 66399 in die ISO/IEC 27001 oder die ISO 27001 nach IT-Grundschutz in die Unternehmenslandschaft gehen Verantwortliche einen wichtigen Schritt in Richtung Sicherheit. Denn derartige Normen zählen mittlerweile zum zentralen Baustein im unternehmensweiten operationellen Risikomanagement. Im Fokus dabei stehen zum einen die Einhaltung regulatorischer und gesetzlicher Anforderungen und zum anderen die Ausrichtung an den betrieblichen Bedingungen, um unnötige Datenpannen frühzeitig zu verhindern.

Die Normen legen unter anderem fest, welche Informationen auf Datenträgern vor der Weitergabe an Dritte oder der vollständigen Entsorgung so gelöscht werden müssen, dass eine Rekonstruktion ausgeschlossen ist. Darüber hinaus dienen die Richtlinien dazu, auch die Mitarbeiter für das Thema Datenschutz zu sensibilisieren und sie beim Löschen oder Vernichten von Daten hinsichtlich der richtigen Verfahren zu unterstützen.

So können Unternehmen bei strengster Einhaltung der Sicherheitsanforderungen in Zukunft derartige Fauxpas wie das Entsorgen von vollständig lesbaren Daten im Müllcontainer verhindern und somit auch die Vermögenswerte des Unternehmens bewahren und schützen.

IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten.

RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.

RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren.

Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen.

NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.