Standards und Normen

So vernichten Sie Daten und Datenträger richtig

03.06.2015 von Frank Lach

Beachten Anwender geltende Sicherheitsstandards, lassen sich die Gefahren eines Datenverlustes eindämmen und sensible Informationen sicher vernichten.

Regeln für den sicheren Umgang mit Daten

Unternehmen können Datenpannen umgehen. Um ein angemessenes Schutzniveau in der Informationsverarbeitung sowie der Datenträgervernichtung herbeizuführen, eignen sich Managementsysteme. Diese gewährleisten die Informationssicherheit gemäß der ISO 27001 sowie dem Bundesdatenschutzgesetz (BDSG) und dem IT-Grundschutz.

So ist beispielsweise das primäre Ziel der Informationssicherheit nach der ISO 27001 die Sicherstellung eines angemessenen Schutzes von Informationen wie zum Beispiel die sichere Handhabung und Entsorgung von Speichermedien. Dabei gilt es, diese vor ihrer Weitergabe oder Entsorgung daraufhin zu überprüfen, ob alle sensiblen Daten ordnungsgemäß entfernt wurden. Außerdem legt die ISO 27001 die physische und umgebungsbezogene Sicherheit sowie die der Betriebsmittel fest und beschreibt Verfahren für den Umgang mit Wechselmedien.

Hier sind insbesondere die folgenden Controls aus ISO/IEC 27001 - Annex A zu beachten. Diese beschreiben die entsprechenden Maßnahmenziele und Maßnahmen:

A.9 Physische und umgebungsbezogene Sicherheit

A.9.2 Sicherheit von Betriebsmitteln
A.9.2.6 Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

A.10 Betriebs- und Kommunikationsmanagement

A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien
A.10.7.1 Verwaltung von Wechselmedien
A.10.7.2 Entsorgung von Medien

Die besten Tools zur Datenrettung -

Gehen wirklich so viele Daten durch Hacker-Angriffe oder Viren verloren?
IT-Profis werden das bestätigen, aber auch darauf hinweisen, dass eine weitaus größere Anzahl von Informationen durch versehentlich gelöschte Dateien oder defekte Hardware "verschwindet". Wir stellen Tools vor, die bei einer solchen Datenkatastrophe helfen können.

Tools zur Datenrettung
Datenrettung integriert: Über den Reiter „Vorgängerversion“ des Windows-Systems können auch zuvor bereits gelöschte Versionen einzelner Dateien und Ordner unter Windows 7 wiederhergestellt werden.

Tools zur Datenrettung
Die wichtigste Voraussetzung, damit Anwender unter Windows 7 vorherige Dateiversionen wiederherstellen können: Der Systemschutz muss für den jeweiligen Datenträger konfiguriert und aktiviert sein.

Tools zur Datenrettung
Microsofts Lösung zu Wiederherstellung von Dateien unter Windows 8/8.1: Der Dateiversionsverlauf erlaubt es dem Betriebssystem, auf einem externen Datenträger automatisch verschiedene Versionen der Dateien abzulegen.

Tools zur Datenrettung
Die eigentliche gute Idee des Dateiversionsverlaufs ist in der Praxis eingeschränkt: Obwohl die Nutzer unter Windows 8.x direkt aus dem Explorer darauf zugreifen können, kann das Betriebssystem so nur Dateien sichern und wiederherstellen, die sich in Windows-Bibliotheken befinden.

Tools zur Datenrettung
Weitgehende Unterstützung auch in deutscher Sprache: Die Freeware Recuva aus dem bekannten Softwarehaus Piriform hilft mittels Assistenten auch wenig erfahrenen Nutzern bei der Wiederherstellung der Daten.

Tools zur Datenrettung
Sieben Festplattenbereiche und viele Dateien: Das Einlesen der Daten kann auch bei einer schnellen Anwendung, wie hier die Software Recuva, doch eine gewisse Zeit in Anspruch nehmen.

Tools zur Datenrettung
Gefunden – das heißt aber noch nicht gerettet. Die Software sagt es in diesem Fall eindeutig: Diese Datei ist so nicht wiederherzustellen, da Teile von ihr bereits wieder mit einem anderem Programm überschrieben wurden.

Tools zur Datenrettung
Wenn die Suche weitergehen soll oder muss: Mit der freien Lösung Recuva können Nutzer auch nach bestimmen Begriffen in den Dateien suchen und dabei zuvor, die Zahl der zu durchsuchenden Dateien via Filter reduzieren.

Tools zur Datenrettung
Unfreiwillig komisch: Grundsätzlich ist der Gedanke immer gut, eine lokalisierte Version der Software anzubieten. Allerdings kann das bei Einsatz von Übersetzungs-Software leicht schiefgehen, wie dieses Beispiel der Software „Easy Data Recovery Wizard“ aus China zeigt.

Tools zur Datenrettung
Moderne stringente Oberfläche: Der „Easy Data Recovery Wizard“ ist schlicht und übersichtlich aufgebaut, stört allerdings mit häufiger Werbung.

Tools zur Datenrettung
Rettung abgeschlossen: Als eine der wenigen Testversionen, kann der „Easy Data Recovery Wizard“ die geretteten Dateien auch wirklich abspeichern. Allerdings nur bis zu einer Grenze von 1024 MByte.

Tools zur Datenrettung
Vollständig an das Windows-8-Design angepasst: Die Datenrettungslösung „GetDataBack Simple“ verlangt etwas Gewöhnung bei der Oberfläche. Auch gelang es den Testern bis zum Schluss nicht zu klären, wie und warum die Software die Hintergrundfarbe zwischen „Blau“ und „Grün“ wechselte…

Tools zur Datenrettung
Bereits während des Scan-Vorgangs sehen, was gefunden wurde: Wählt der Nutzer nicht explizit die Option „Silent“ aus, so kann er bei „GetDataBack Simple“ bereits einen Blick darauf bekommen, welche Bilder beispielsweise auf der Platte zu finden waren.

Tools zur Datenrettung
Der Cursor bringt es an den Tag: Der Begriff „Sophistication“ wird den wenigsten Anwender von „GetBackData“ viel sagen – so wissen sie, dass sie dahinter ein Tiefen-Scan des Laufwerks verbirgt.

Tools zur Datenrettung
Etwas gewöhnungsbedürftig: Die Oberfläche der Datenrettungssoftware von Stellar Data Recovery folgt nicht den gängigen Windows-Konventionen.

Tools zur Datenrettung
Daten gefunden: „Stellar Phoenix Windows Data Recovery“ zeigt hier die gefundenen Textdateien und gibt eine Vorschau auf deren Inhalt.

Tools zur Datenrettung
Sehr praktische Funktion, wenn bereits ein größeres Unglück geschehen ist: Die Instant-Version von „O&O DiskRecovery“ kann durchgeführt werden, ohne das wichtige Datenbereiche überschrieben werden.

Tools zur Datenrettung
Drei Suchmethoden mit unterschiedlichen Ansätzen: Dadurch kann die „DiskRecovery“-Software sehr viele Dateien und Partitionen wiederfinden und häufig auch wiederherstellen.

Tools zur Datenrettung
Übersichtlich dargestellt: Nach dem Durchsuchen der Laufwerke und Partitionen kann der Nutzer auch bei „O&O DiskRecovery“ leicht auswählen, welche der gefundenen Dateien wiederhergestellt werden sollen.

Tools zur Datenrettung
Das neue Server-Dateisystem ReFS von Microsoft wird zwar von Windows 8.1 richtig erkannt und kann auch beschrieben werden – die Software zur Datenrettung kann aber zumeist nichts damit anfangen.

Die diversen Klassen von Daten

Die Informationen werden dabei in einer "Information Classification Policy" in Bezug auf ihre Werte, gesetzlichen Anforderungen sowie Sensibilität und Kritikalität für die Organisation klassifiziert. So lassen sich zur Kennzeichnung der Informationen sowie für den richtigen Umgang in Übereinstimmung mit dem Klassifizierungsschema entsprechende Verfahren entwickeln und umsetzen.

Detailinformationen: Die ISO-27001-Norm beschreibt diverse Klassen von Daten.
Foto: Datenbank_mickey-hoo

Auch der IT-Grundschutz definiert anhand von Richtlinien die korrekte Vorgehensweise für die Löschung und Vernichtung von Informationen und Datenträgern und gibt einen umfassenden Überblick über entsprechende Verfahren. Hierzu zählen unter anderem die Anschaffung von Geräten zur Entsorgung der Daten sowie die Vernichtung von Datenträgern durch externe Dienstleister und die Einweisung aller Mitarbeiter in diese Methoden. Denn sie hängen vom Datenträger, von dessen Speichertechnologie und der Schutzklasse der Informationen ab. Je nach Schutzbedarf der Daten und dem Speichermedium müssen andere Werkzeuge oder Geräte für eine zuverlässige Datenvernichtung verwendet werden.

Die entsprechenden Bausteine im IT-Grundschutz:

M 2.431 - Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen
M 2.432 - Richtlinie für die Löschung und Vernichtung von Informationen
M 2.433 - Überblick über Methoden zur Löschung und Vernichtung von Daten
M 2.434 - Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten
M 2.436 - Vernichtung von Datenträgern durch externe Dienstleister
M 2.167 - Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten
M 3.67 - Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten
M 4.32 - Physikalisches Löschen der Datenträger vor und nach Verwendung
M 7.15 - Datenschutzgerechte Löschung/Vernichtung

Das BDSG regelt den Umgang mit personenbezogenen Daten, die entweder manuell oder mit Unterstützung von Informations- oder Kommunikationssystemen verarbeitet werden. Dabei erfolgt die Einordnung in ein Datenschutzkonzept. Dieses enthält technische sowie organisatorische Maßnahmen und legt fest, dass Berechtigte zur Benutzung eines Datenverabeitungssystems ausschließlich auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen. Insbesondere gelten diese Vorschriften auch bei der Entsorgung und Vernichtung von Speichermedien. Bei personenbezogenen Daten, die im Auftrag Dritter erhoben oder verarbeitet werden, zeichnet der Auftraggeber für die Einhaltung der Vorschriften zum Datenschutz verantwortlich.

Informationsträger sicher vernichten

Eine mögliche und sinnvolle Lösung zur Umsetzung derartiger Sicherheitsanforderungen ist die DIN 66399 "Büro- und Datentechnik - Vernichtung von Datenträgern". Diese formuliert genaue Ansprüche an eine ordnungsgemäße Datenvernichtung und wurde kürzlich um zwei weitere Sicherheitsstufen ergänzt, um die sichere Vernichtung von Daten einfacher handhaben und damit wirtschaftlich angemessen agieren zu können. Die Norm beschreibt erstmals neben den technischen Aspekten auch die Prozessschritte, die es zu beachten gilt.

Der sichere Weg: Die neue DIN 66399 ist in drei Spezifikationen unterteilt, die die sichere Vernichtung von Informationsträgern regelt.
Foto: Attingo

Die DIN zur Datenträgervernichtung (DIN 66399) basiert auf der geschlossenen Prozesssicherheit. Sie erfüllt alle datenschutzrechtlichen Anforderungen und unterstützt gleichzeitig die Geschäftsabläufe kosten- und zeitoptimiert. Dabei umfasst sie drei Teile: Der erste Teil DIN 66399-1 behandelt die Grundlagen und Begriffe, mit deren Hilfe die Zuordnung der Schutzklassen erfolgt und der Nutzer den Schutzbedarf seiner Daten ermitteln kann. In der DIN 66399-2 sind die Anforderungen an die Maschinen zur Vernichtung von entsprechenden Datenträgern definiert. Je höher hierbei der Grad der physikalischen Zerstörung ist, desto höher ist auch der Energie-, Personal- und Maschinenaufwand. Die DIN 66399-3 (DIN Spec) formuliert die technischen und organisatorischen Anforderungen an die Prozesse der Datenträgervernichtung. Dabei werden die Prozesse und Kriterien definiert, und der Gesamtprozess wird schließlich abgesichert.

Grundschutz durch Normen und Standards

Mit der Integration der Sicherheitsanforderungen der DIN 66399 in die ISO/IEC 27001 oder die ISO 27001 nach IT-Grundschutz in die Unternehmenslandschaft gehen Verantwortliche einen wichtigen Schritt in Richtung Sicherheit. Denn derartige Normen zählen mittlerweile zum zentralen Baustein im unternehmensweiten operationellen Risikomanagement. Im Fokus dabei stehen zum einen die Einhaltung regulatorischer und gesetzlicher Anforderungen und zum anderen die Ausrichtung an den betrieblichen Bedingungen, um unnötige Datenpannen frühzeitig zu verhindern.

Die Normen legen unter anderem fest, welche Informationen auf Datenträgern vor der Weitergabe an Dritte oder der vollständigen Entsorgung so gelöscht werden müssen, dass eine Rekonstruktion ausgeschlossen ist. Darüber hinaus dienen die Richtlinien dazu, auch die Mitarbeiter für das Thema Datenschutz zu sensibilisieren und sie beim Löschen oder Vernichten von Daten hinsichtlich der richtigen Verfahren zu unterstützen.

So können Unternehmen bei strengster Einhaltung der Sicherheitsanforderungen in Zukunft derartige Fauxpas wie das Entsorgen von vollständig lesbaren Daten im Müllcontainer verhindern und somit auch die Vermögenswerte des Unternehmens bewahren und schützen. (hal)