freshidea - stock.adobe.com
Methoden zur Datenbereinigung: Standards, Praktiken, Gesetze
Nicht mehr benötigte Daten zu entfernen ist für den Datenschutz und das Recht auf Vergessen eine wichtige Aufgabe, die rechtssicher durchgeführt und dokumentiert werden muss.
Es gibt immer wieder Situationen, in denen Anwender Datenträger bereinigen – also die Daten vollständig entfernen – müssen. Typischerweise findet das im Rahmen der Datenspeicherung und -archivierung statt. Je nach der Situation müssen die Daten vollständig von den Speichermedien entfernt werden.
Möglicherweise ist es erforderlich, die Medien zu zerstören, auf denen die Daten gespeichert sind. Datenbereinigung beschreibt den Vorgang der vollständigen und irreversiblen Zerstörung von Daten auf einem Speichermedium.
Zu den Medien, die sich bereinigen lassen, gehören Festplatten, Flash-Speicher, Bänder sowie CDs und DVDs in den entsprechenden Laufwerken. Nach einer ordnungsgemäßen Bereinigung sollten keine verwertbaren Restdaten mehr vorhanden sein.
Selbst fortgeschrittene forensische Tools sollten dann keine Daten wiederherstellen können. Als Datenbereinigungstechniken gibt es spezifische Software zur Löschung von Daten sowie Hardware zum Löschen. Das können Laufwerke oder Geräte sein, die sich mit dem Speichermedium verbinden und die Daten löschen. Auch da ist die Folge, dass das Medium physisch zerstört wird und sich keine Daten von dem Speichergerät wiederherstellen lassen.
Bedeutung der Datenbereinigung bei Backups
Gesicherte Daten müssen, je nach den Datenaufbewahrungsrichtlinien des Unternehmens, sobald sie nicht mehr benötigt werden oder das Verfallsdatum (bei einigen Betriebssystem als Expiration Date in den Dateiattributen festlegbar) überschritten ist, entweder archiviert oder vernichtet werden. Solange die Daten vor Ort lagern, können Anwender je nach Speichermedium verschiedene Techniken zur Datenbereinigung, also zur vollständigen Vernichtung der Daten, anwenden.
Falls das Unternehmen Auditierungen über sich ergehen lassen muss, ist es hilfreich, ein Vernichtungszertifikat auszustellen. Diese Dokumente weist dem Auditor im Falle eines Audits der IT-Organisation die Datenvernichtungsmethoden und -maßnahmen nach.
Werden die Daten außerhalb des eigenen Standorts gespeichert, zum Beispiel in einem Cloud-Backup-Speicher, muss der Cloud-Anbieter die Kundendaten für seine Auftraggeber vernichten. Die Provider müssen dann nachweisen, dass die Daten ordnungsgemäß und vollständig vernichtet worden sind und nicht wiederhergestellt werden können.
Bevor man einen Vertrag mit einem Cloud-Speicher- oder einem anderen Managed-Service-Anbieter abschließt, sollte man sich erkundigen, welche Prozesse der Provider für die Datenvernichtung verwendet und wie das Unternehmen die vollständige Vernichtung der Daten dokumentiert.
Fehlt seitens des Dienstleisters die Beschreibung der Prozesse zur Datenvernichtung, kann das bedeuten, dass die Daten möglicherweise wiederhergestellt werden können. Die Gefahr einer Wiederherstellung ist besonders groß, wenn der Speicheranbieter einen Cyberangriff erleidet, bei dem sich die Eindringlinge Zugang zu den Kundendaten verschaffen.
Standards und Best-Practices
Das Buch „Contracted Destruction for Records and Information Media“ von ARMA International enthält einen Leitfaden für die Beauftragung von Daten- und Medienvernichtungs-Services. Es dürfte sowohl für Anwender als auch für Datenvernichtungsanbieter hilfreich sein.
Die NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitization (Februar 2015, National Institute of Standards and Technology), enthält ebenfalls eine detaillierte Anleitung zur Sanierung von Datenspeichermedien. Diese basiert auf der Kategorisierung der Vertraulichkeit von Informationen durch ein Unternehmen. Sie enthält wichtige Bestimmungen eines anderen weit verbreiteten NIST-Standards, SP 800-53, Recommended Security Controls for Federal Information Systems and Organizations.
Weitere Standards und Vorschriften, die sich mit Techniken zur Datenbereinigung befassen, sind unter anderem die folgenden:
- die Datenschutz-Grundverordnung (DSGVO) in mehreren Abschnitten, zum Beispiel in Artikel 17, Recht auf Löschung (Recht auf Vergessen)
- PCI DSS (Payment Card Industry Data Security Standard) Abschnitte 3.1, 3.2, 9.8.2 und 10.7
- ISO/IEC 27001, Information Security Management, Abschnitte A.8.3.2, Entsorgung von Datenträgern, und A.11.2.7, Sichere Entsorgung oder Wiederverwendung von Geräten
- New York State Cybersecurity Requirements of Financial Services Companies 23 NYCRR 500, Section 500.13, Limitations on Data Retention
Die Erstellung einer Richtlinie ist wichtig
Der erste Schritt zur korrekten Datenvernichtung ist eine Richtlinie für das Unternehmen. Diese ergänzt die Richtlinie zur Datenaufbewahrung und -archivierung. Einige Verfahren, die übernommen werden können, sind in aktuellen US-Gesetzen wie dem Sarbanes-Oxley (SOX) Act und dem Health Insurance Portability and Accountability Act (HIPAA) enthalten.
Eine Datenvernichtungsrichtlinie stellt sicher, dass die Inhalte von nicht mehr verwendeten Geräten und Medien sicher entfernt, zerstört oder überschrieben werden. Es sollte extrem schwierig oder unmöglich sein, diese Daten später wiederherzustellen. Eine Datenvernichtungsrichtlinie verringert auch die Wahrscheinlichkeit eines Datenlecks oder eines Datenschutzverstoßes und reduziert damit die rechtliche Gefährdung eines Unternehmens.
Zusätzlich zu einer Datenvernichtungsrichtlinie sollte ein Unternehmen über formale Dokumentationsverfahren verfügen, die den Prozess zur Vernichtung der Daten und Medien bestätigen. Die meisten aktuellen Gesetze, die Richtlinien und Verfahren zur Datenverwaltung vorschreiben, verlangen auch eine formale Dokumentation aller Datenaufbewahrungs- und -vernichtungsaktivitäten. Dies kann im Zweifelsfalle den Nachweis erbringen, dass die fraglichen Daten nicht mehr existieren.
Eine der wichtigsten Komponenten in einer Datenvernichtungsrichtlinie und den dazugehörigen Vernichtungsprozeduren ist die Technik, die zur sicheren Vernichtung der Daten und Speichermedien verwendet wird.
Vier Techniken werden regelmäßig verwendet:
- Überschreiben. Üblicherweise mit Software ausgeführt, überschreibt dieser Prozess einfach und sicher das Speichermedium mit neuen Daten. Er wird auch als Wiping bezeichnet und ist so einfach wie das Schreiben der gleichen Daten (zum Beispiel alle Nullen und Einsen oder ein bestimmtes Zeichenmuster) über das gesamte Speichermedium.
- Entmagnetisieren. Bei dieser Technik wird das Magnetfeld eines Datenträgers oder Laufwerks mit einem Degausser elektronisch entfernt. Bei richtiger Anwendung macht Degaussing einen Datenträger unbrauchbar. Es kann jedoch möglich sein, dass der Hersteller den Datenträger im Werk neu formatiert.
- Verschlüsselung. Die Verschlüsselung wird normalerweise verwendet, um Daten vor unbefugtem Zugriff zu schützen. Mit einer starken Verschlüsselung kann der Zugriff auf die Daten auf einem Speichergerät unmöglich gemacht werden. Indem alle auf einem Gerät gespeicherten Daten verschlüsselt werden und ein sehr starker Schlüssel verwendet wird, wird der Zugriff auf die Daten effektiv verhindert. Die Zerstörung des Verschlüsselungsschlüssels durch Löschen der Codes macht die verschlüsselten Daten dauerhaft unzugänglich.
- Physische Zerstörung. Diese Technik gilt allgemein als die sicherste und dauerhafteste Art der Datenbereinigung. Der Datenträger muss gründlich zerstört werden, da selbst ein kleines Stück des Datenträgers noch Daten enthalten kann. Typische Techniken sind das Zerbrechen der Datenträger durch Zerkleinern oder Schreddern, das Verbrennen der Datenträger, das Auftragen von ätzenden Chemikalien (beispielsweise Säuren) auf die Oberfläche des Datenträgers, das Verdampfen oder Verflüssigen der Datenträger oder das Anlegen einer extrem hohen Spannung an den Datenträger.
Relevante Gesetzgebung
Die DSGVO enthält wenig konkreten Anforderungen zum Vernichten beziehungsweise Löschen von (personenbezogenen Daten) auf digitalen oder elektronischen Datenträgern. Für eine unternehmensinterne Richtlinie zur Datenvernichtung kann man die DIN-Norm zur Aktenvernichtung heranziehen, die unter anderem die Partikelgröße beim Schreddern beschreibt und eine Aussage zu elektronischen Datenträgern umfasst. Auch Bitkom hat einen Leitfaden zum Datenlöschen herausgegeben.
SOX verlangt von Unternehmen, dass sie strenge Richtlinien und Verfahren zur Aufbewahrung von Aufzeichnungen einführen, schreibt aber kein bestimmtes Datenspeicherformat vor. Es verlangt von den Unternehmensverantwortlichen, interne Kontrollen für ihre Informationen einzurichten, um Vollständigkeit, Korrektheit und schnellen Zugriff zu gewährleisten. SOX fordert jedoch auch, dass Wirtschaftsprüfungsgesellschaften, die börsennotierte Unternehmen prüfen, die entsprechenden Prüfungsunterlagen für mindestens sieben Jahre nach Abschluss der Prüfung aufbewahren müssen. Bei Verstößen drohen Geldstrafen von bis zu 10 Millionen US-Dollar und 20 Jahre Gefängnis.
Ähnlich wie die SOX-Gesetzgebung konzentriert sich die HIPAA-Gesetzgebung auf den Schutz elektronischer persönlicher Gesundheitsinformationen. Die Datenbereinigung im HIPAA findet sich in der Security Rule (Subpart C) in den Abschnitten §164.306, Security Standards; §164.308, Administrative Safeguards; und §164.314, Organizational Requirements.
Durch den effektiven Einsatz von Datenbereinigungsverfahren kann das Risiko des Diebstahls wertvoller Daten oder deren Kompromittierung minimiert werden. Es gibt verschiedene Lösungsansätze zum dauerhaften Vernichten von Daten und Medien. Mit einer Richtlinie zur Datenbereinigung können Anwender ihre Anforderungen an die Datenvernichtung kosteneffizient erfüllen und die relevanten Gesetze einhalten.