Verbesserte Datensicherheit auf kommunaler Ebene dank neuem Konzept zur Entsorgung von IT-Geräten

Nachdem bei einer Kommunalverwaltung ,18 für die Verschrottung vorgesehene Festplatten spurlos verschwanden, entschied sich die Behörde für die Überarbeitung ihrer Verfahren zur Entsorgung von IT-Geräten, um sich vor künftigen Datenlecks zu schützen. Dadurch wurden mehrere Schwachstellen beseitigt, die zuvor bei der ausschließlichen Nutzung physischer Verfahren zur Datenvernichtung auftraten.

Vivian Cullipher Vivian ist von Beruf Autorin und Redakteurin und hat schon vor LinkedIn und dem iPhone über technologiebezogene Themen für Behörden und B2B-Organisationen berichtet. Als Kommunikations- und Content-Managerin bei Blancco unterstützt sie die Entwicklung von Texten für das Web, die sozialen Medien und andere Kommunikationskanäle von Blancco, die thought leadership sind

Kommunalverwaltung geht neue Wege beim Datenschutz und macht softwarebasierte Datenlöschung zur Pflicht

In Behörden kommt es immer wieder zu Datenpannen, zum Beispiel wenn Speichermedien das Ende ihrer Nutzungsdauer erreicht haben. In einigen Fällen können solche Datenpannen zu einer Verschärfung der Datenschutzrichtlinien führen.

Ein solcher Fall ereignete sich in Japan, wo eine Kommunalverwaltung seitdem neue Wege geht, um Daten auf nicht länger benötigten Speichermedien zu schützen. Die Behörde hat den Einsatz der softwarebasierten Datenlöschung für Altgeräte als Reaktion auf diesen Vorfall mittlerweile zwingend vorgeschrieben, und zwar unabhängig davon, ob die Geräte an einen Leasinggeber zurückgegeben, intern oder extern wiederverwendet oder am Ende vernichtet werden sollen.

Die physische Vernichtung von IT-Geräten hat drei zentrale Schwachstellen

Viele Behörden lassen gebrauchte Festplatten und IT-Geräte (wie PCs oder Laptops) physikalisch schreddern oder anderweitig zerstören, um zu verhindern, dass die darauf gespeicherten Daten in unbefugte Hände gelangen. Dies kann je nach Art des Geräts und des angewandten Vernichtungsverfahrens effektiv sein. Dennoch weist die physische Vernichtung mehrere potenzielle Schwachstellen auf, die dazu führen können, dass vertrauliche Behördendaten in den Besitz von Unbefugten gelangen.

Ineffektive Verfahren zum Entfernen von Daten vermitteln ein falsches Gefühl der Sicherheit.

Bevor Behörden ihre aussortierte Hardware an einen Anbieter für IT-Asset-Disposition (ITAD-Anbieter) oder an ein Recyclingunternehmen übergeben, um diese dort vernichten zu lassen, versuchen sie häufig, die darauf befindlichen Daten zu entfernen. Leider hat unsere Umfrage ergeben, dass mehr als ein Drittel aller Organisationen dabei auf unzureichende Verfahren wie Formatierung, Überschreiben mit kostenlosen Tools oder andere ineffektive Methoden setzt.

Das hat häufig zur Folge, dass auf den Geräten noch Daten vorhanden sind, ohne dass sich die Behörde dessen bewusst ist. Sobald sich die Hardware nicht mehr in der geschützten Umgebung der Behörde befindet, ist es für Unbefugte ein Leichtes, diese Daten mit gängigen forensischen Tools wiederherzustellen.

Bei der manuellen physischen Vernichtung besteht die Gefahr der Manipulation.

Selbstverständlich gibt es absolut seriöse Anbieter für die Entsorgung von Festplatten und IT-Geräten. Dennoch weist die physische Vernichtung Schwachstellen auf. Der Verbleib der Geräte muss in jeder Phase dokumentiert werden. Das beginnt mit der genauen Bestandserfassung der zu vernichtenden Geräte. Anschließend muss der beauftragte Entsorger den sicheren Transport und die sichere Aufbewahrung sicherstellen und überwachen. Im letzten Schritt muss die erfolgreiche Vernichtung eines jeden einzelnen Speichermediums überprüft und bestätigt werden.

Dies kann erheblich aufwendiger sein, als es auf den ersten Blick scheinen mag:

• Bei den meisten physischen Vernichtungsverfahren gibt es keine Möglichkeit, die Seriennummern der IT-Geräte effizient zu erfassen – Die physische Vernichtung ist zeitintensiv und häufig mit einem hohen manuellen Aufwand verbunden. Dies macht sich insbesondere dann bemerkbar, wenn Tausende Geräte vernichtet werden sollen und dies entsprechend dokumentiert werden muss. Als Vernichtungsnachweis werden die Geräte häufig fotografiert und deren Seriennummern notiert. Sobald ein Gerät aber beispielsweise in einem Schredder zerkleinert wurde, ist es nicht länger möglich, die Seriennummer zu lesen. Das heißt, dass es in Wahrheit keinen Beweis dafür gibt, dass es sich bei der zerkleinerten Festplatte tatsächlich um die Festplatte handelt, die im Vorfeld fotografiert wurde.
• Bei hohen Stückzahlen wird die erfolgreiche Vernichtung häufig nur stichprobenartig überprüft – Da es bei der physischen Vernichtung in der Regel keine Möglichkeit zur durchgehenden digitalen Nachverfolgung der Geräte gibt, müssen oft Hunderte, wenn nicht Tausende von Geräten manuell mit den ursprünglichen Bestandslisten abgeglichen werden. Dieser Abgleich erfolgt häufig lückenhaft oder stichprobenartig. Dadurch besteht die Gefahr, dass intakte Speichermedien nicht erfasst werden und bei der Vernichtung durchrutschen.

Bei der physischen Vernichtung können vertrauliche Datenreste zurückbleiben.

Bei der Wahl des physischen Vernichtungsverfahrens muss die Art der Festplatte berücksichtigt werden, um sicherzustellen, dass die Daten unwiderruflich vernichtet werden. Einige Verfahren, die für Hard-Disk Drives (HDDs) mit Magnetplatten geeignet sein können, sind für flashbasierte Solid-State Drives (SSDs) vollkommen ungeeignet.

Damit es hier nicht zu Datenpannen kommt, müssen Behörden bzw. die von ihnen beauftragten Entsorger entweder alle Geräte sortieren und die jeweils geeigneten Vernichtungsverfahren anwenden oder spezielle Anlagen einsetzen, wie z. B. einen Schredder mit einer Partikelgröße von maximal 2 mm, um alle IT-Assets zu vernichten. Bei einer Partikelgröße von mehr als 2 mm können ganze SSD-Chips intakt bleiben. Auch die Entmagnetisierung ist bei SSDs absolut wirkungslos.

Besserer Datenschutz für Behörden: Daten im Vorfeld kontrolliert vor Ort löschen

Die Verwaltung der japanischen Präfektur Kanagawa hat als Reaktion auf den Verlust von 18 Festplatten, die für die physische Vernichtung vorgesehen waren, ihre Richtlinien zur Vernichtung von IT-Geräten aktualisiert, um die genannten Schwachstellen zu beseitigen. Die Präfektur hat in ihren „Maßnahmen zur Verhinderung von Datenlecks bei Speichermedien mit Behördendaten (PDF auf Japanisch)“ einige wichtige Maßnahmen zum Schutz ihrer gebrauchten Speichermedien beschlossen:

1. Alle Geräte müssen vor der Wiederverwendung oder Vernichtung gelöscht werden. Bevor die IT-Geräte die Behörde verlassen oder einem anderen Nutzer zur Verfügung gestellt werden, müssen die Mitarbeiter der Präfektur – und kein externer Anbieter – zuerst alle Festplatten und Geräte vor Ort löschen.
   • Systeme, Festplatten und IT-Geräte, die zum Speichern von nicht vertraulichen Daten genutzt werden, dürfen nach Durchführung der softwarebasierten Datenlöschung wiederverwendet werden. Leasinggeräte müssen zweimal gelöscht werden: zuerst von der Präfekturverwaltung und anschließend vom Leasinggeber.
   • Festplatten, auf denen vertrauliche Daten gespeichert sind, dürfen nicht wiederverwendet werden. Diese müssen zuerst mit einer zugelassenen Software gelöscht und anschließend von einem externen professionellen Entsorger vernichtet werden.
   • Der Verzicht auf die softwarebasierte Datenlöschung ist ausschließlich bei HDD-basierten Servern gestattet, und auch nur dann, wenn eine erfolgreiche Datenlöschung aufgrund von mechanischen Problemen, defekten Festplatten oder wegen anderer Probleme nicht möglich ist. In diesem Fall sind die Festplatten zu entmagnetisieren. Allerdings müssen die Festplatten nach der Entmagnetisierung vernichtet werden, da eine vollständige Datenvernichtung beim Entmagnetisieren nicht garantiert werden kann.
   • Mobilgeräte sind gemäß dem in der NIST SP 800-88 beschriebenen Crypto-Erase-Standard zu löschen.
2. Datenträger sind vor Ort zu löschen. Datenlöschung, Entmagnetisierung und Vernichtung müssen vor Ort durchgeführt werden. Die Datenlöschung ist Aufgabe der Mitarbeiter der Präfekturverwaltung.
3. Die Datenlöschung muss unter Aufsicht erfolgen. Alle Lösch- und Vernichtungsverfahren sind von zwei oder mehr Mitarbeitern der Präfekturverwaltung zu überwachen und zu überprüfen. Dazu gehören das Fotografieren der Geräte sowie der Abgleich aller Geräte anhand der Seriennummern.

IDie Nutzung kostenloser Software oder nicht zertifizierter Produkte ist untersagt. Vielmehr muss die eingesetzte Datenlöschsoftware entweder intern oder durch einen professionellen externen Anbieter getestet und zertifiziert worden sein.

Darüber hinaus muss die softwarebasierte Datenlöschung folgende Kriterien erfüllen:

• Alle Daten auf der Festplatte müssen mindestens einmal (oder nur einmal, je nach Empfehlung gemäß NIST SP 800-88) vollständig überschrieben werden.
• Jeder Überschreibungsvorgang muss überprüft und dokumentiert werden.
• Für jedes Gerät muss ein Löschzertifikat erstellt werden.

Die softwarebasierte Datenlöschung bietet Schutz für Behördendaten

Die Verwaltung der Präfektur Kanagawa verhindert durch die verpflichtende Vorgabe zur Nutzung einer qualitativ hochwertigen Datenlöschsoftware vor Ort, dass bei Wiederverwendung oder Vernichtung von Altgeräten zuvor gespeicherte Daten in die falschen Hände gelangen können. Damit hat die Präfekturverwaltung eine zusätzliche Sicherheitsebene zum Schutz der Daten ihrer Bürger eingeführt. So ist selbst bei Verlust oder Diebstahl eines Geräts sichergestellt, dass alle zuvor darauf befindlichen Daten gelöscht wurden.

Gleichzeitig wurden durch die Vorgabe, dass jeder Schritt von Mitarbeitern zu überwachen ist, quasi alle Schwachstellen in der Kontrollkette beseitigt, die dazu führen könnten, dass Geräte verloren gehen oder gestohlen werden. Die Präfektur setzt dabei auf eine Datenlöschsoftware, die nahtlos in ihr internes IT-Asset-Management-System integriert werden konnte. So kann die Präfektur jedes Gerät im Rahmen des Löschprozesses problemlos nachverfolgen. Die Software erstellt im Anschluss an die Datenlöschung automatisch einen auditfähigen Löschbericht, der durch eine digitale Signatur und einen manipulationssicheren Audit-Trail geschützt ist. Das ist in vielen Bereichen der physischen Vernichtung so nicht möglich.

Ein weiterer Vorteil der softwarebasierten Datenlöschung ist, dass die Speichermedien nicht zerstört werden, sondern wiederverwendet werden können, ohne Angst haben zu müssen, dass sensible Daten versehentlich weitergegeben werden.

Die Präfektur hat den Schutz der Daten ihrer Bürger damit auf eine neue Stufe gehoben.

Blancco unterstützt Behörden mit Lösungen zur sicheren Datenlöschung

Blancco hat eine sichere und effiziente Software zum Löschen von Behördendaten von Festplatten, PCs, Servern, Mobilgeräten und sonstiger Hardware entwickelt. Unsere Lösungen erfüllen die Anforderungen von mehr als 25 weltweiten Löschstandards und wurden weltweit von mehr als 15 staatlichen Stellen und führenden Prüforganisationen geprüft, zertifiziert, zugelassen und empfohlen. Für eine vollständige End-to-End-Kontrolle der Datenlöschung haben Behörden sogar die Möglichkeit, vorhandene Asset-Management-Lösungen mittels API-Integration miteinander zu verknüpfen und so die Erstellung manipulationssicherer Löschberichte und die Nachverfolgung von Geräten zu optimieren.

Dies ist für Einrichtungen des öffentlichen Sektors ein wichtiger Schritt hin zu mehr Datenschutz.

Fordern Sie noch heute Ihre kostenlose Testversion der Datenlöschung für Behörden an

Erfahren Sie, wie wir Ihrer Behörde helfen können, Daten auf Altgeräten zu schützen, bevor diese wiederverwendet oder vernichtet werden. Fordern Sie noch heute Ihre kostenlose Testversion zur Datenlöschung an.

Das könnte Sie interessieren:

Daten in der Ferne

Wie Blancco Unternehmen und öffentlichen Einrichtungen bei der Einhaltung des NIST SP 800-88 Standards unterstützt

[Infografik] Ein internationaler Blick auf die SSD-Vernichtung im öffentlichen Sektor

Datensicherheit + Nachhaltigkeit: Wie verbessert eine umweltschonende Geräteentsorgung Datenschutz & Compliance