Laut einer aktuellen Studie des Unternehmens „Blancco“, das Lösungen zur Datenlöschung anbieten, stieg das Gewicht des angefallenen Elektroschrotts erstmals das Gesamtgewicht aller bisher gebauten Verkehrsflugzeuge. Ein Großteil davon entfällt auf aussortierte IT-Geräte, wobei die Zahl an IT-Geräten sogar deutlich zunimmt, um Mitarbeitern das Arbeiten im Homeoffice zu ermöglichen.
Daten im Sinne von Informationen und personenbezogenen Daten finden sich in Unternehmen sowohl in Papierform oder auf den Endgeräten (Laptops, Smartphones), Speichermedien (USB-Sticks, externe Festplatten), eigenen Rechenzentren, in der Cloud bei dedizierten Speicher- oder Hosting-Anbietern, aber auch bei Dritten wie dem Anbieter von Fernwartung von Maschinen oder Service-Diensten wie einem extern betriebenen Security Operations Center, um nur einige Möglichkeiten zu nennen.
Wir wollen hier auf einige Aspekte der Datenlöschung eingehen.
Nicht außer Acht lassen sollte man auch die Frage, wo die Daten langfristig liegen sollen, denn nicht jeder Cloud-Anbieter bietet langfristige Garantien und hat hier wirtschaftliche Angebote parat. Es ist in der Regel weder inhaltlich noch kommerziell ratsam, alle Daten, die ohnehin nur noch archiviert werden sollen, im laufenden Zugriff bei dem Cloud-Hoster liegen zu haben. Hier sollte auch aus Kostengründen geprüft werden, wie der Lebenszyklus der Daten am besten abgebildet werden kann.
Diese Vielfalt, die Dynamik und divergierende Anforderungen der Verfügbarkeit gegenüber den Speicherkosten und der Speicherorganisation bereiten den Unternehmen Schwierigkeiten, zudem es gilt, eine nachhaltige Strategie zur Entsorgung von IT-Geräten umzusetzen und die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität aller schutzwürdigen Daten aufrechtzuerhalten.
Normen und Standards helfen weiter
Die ISO/IEC 27001 ist ein internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS). Die Löschung von Datenträgern ist ein wichtiger Aspekt des ISMS, um sicherzustellen, dass vertrauliche Informationen nicht in falsche Hände geraten. Der Standard fordert, dass eine geregelte Vorgehensweise erforderlich ist, um Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten. Dabei müssen schutzbedürftige Informationen, die auf analogen und digitalen Datenträgern gespeichert sind, berücksichtigt werden.
Im Rahmen des BSI-IT Grundschutzes des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) beschreibt der Baustein CON.6 “Löschen und Vernichten”, wie Informationen in Institutionen sicher gelöscht und vernichtet werden können und wie ein entsprechendes Konzept dazu erstellt wird. Der Baustein beinhaltet nur die allgemeinen prozessualen, technischen und organisatorischen Anforderungen an das Löschen und Vernichten. Spezifische Anforderungen zum Löschen und Vernichten von Informationen finden sich hierüber hinaus in anderen Bausteinen, wie z. B. dem ISMS Sicherheitsmanagement, ORP Organisation und Personal, OPS Betrieb, IND Industrielle IT, APP Anwendungen, SYS IT-Systeme, NET Netze und Kommunikation und INF Infrastruktur.
Der VDA Information Security Assessment (ISA) Katalog im Rahmen des Austauschstandards „TISAX®“ ist ein Standard für Informationssicherheit im Automobilsektor, der auf dem ISO/IEC 27001 aufbaut und um weitere Branchenanforderungen ergänzt. Der Katalog enthält Anforderungen an die Informationssicherheit, die von Unternehmen in der Automobilindustrie erfüllt werden müssen. Auch dieser Katalog fordert, dass die Löschung von Daten und Datenträgern vollständig und zuverlässig erfolgen muss und definiert Mindeststandards, z. B. auf Basis der ISO 21964 für Papier "P4".
Die ISO/IEC 21964 ist sehr wichtig, denn sie ist ein internationaler Standard für die Vernichtung von Datenträgern. Der Standard enthält Anforderungen, definiert Begriffe und Prinzipien für die Vernichtung von Daten und Datenträgern (auch auf verschiedenen Datenträgern) um sicherzustellen, dass vertrauliche Informationen nicht in falsche Hände geraten.
NIST SP 800-88
Das in den USA beheimatete National Institute of Standards and Technology (NIST) hat eine Reihe von Sicherheitsstandards entwickelt, die von Unternehmen und Organisationen verwendet werden können, um ihre Cybersicherheit zu verbessern und die Compliance-Vorschriften erfolgreich zu erfüllen
Der NIST SP 800-88 ist ein Standard, der sich auf die Medien-Bereinigung bezieht. Er beschreibt die Verfahren, die angewendet werden sollten, um eine Wiederherstellung von Daten unmöglich zu machen. Der Standard gibt keine Methode zur Datenlöschung vor, sondern beschreibt Verfahren, die angewendet werden sollen, damit eine Wiederherstellung der Daten unmöglich gemacht wird.
So beschreibt er die drei Kategorien Clear, Purge und Destroy. Die Kategorie Clear bezieht sich auf die Entfernung von Informationen, die auf einem Datenträger gespeichert sind, ohne dass der Datenträger selbst beschädigt wird. Die Kategorie Purge bezieht sich auf die Entfernung von Informationen, die auf einem Datenträger gespeichert sind, indem der Datenträger mehrfach überschrieben wird. Die Kategorie Destroy bezieht sich auf die physische Zerstörung des Datenträgers.
Die Wahl der Kategorie hängt von der Art der Informationen ab, die auf dem Datenträger gespeichert sind, und von den Anforderungen an die Sicherheit der Informationen. Die Kategorie Destroy ist am besten geeignet, wenn die Informationen auf dem Datenträger höchst vertraulich sind und eine sehr hohe Sicherheitsstufe erfordern. Andererseits fällt dann durch das Schreddern des Datenträgers Elektroschrott an, der ggf. vermeidbar wäre und die Wiederverwendung des Datenträgers vereitelt.
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten innerhalb der EU regelt. Sie schreibt vor, dass personenbezogene Daten sicher und vertraulich behandelt werden müssen, dazu müssen sogenannte „TOMs“ – technisch-organisatorische Maßnahmen getroffen werden, die sowohl Speicherung als auch Löschung betreffen. Diese können i. d. R. bei den Richtlinien im ISMS integriert werden, und enthalten z. B. ein Löschkonzept, was den Anforderungen der DSGVO entspricht.
Environmental – Social – Governance (ESG)
Das Thema ESG hat in den letzten Jahren erheblich an Bedeutung gewonnen. Investoren erkennen zunehmend, dass ESG-Faktoren finanzielle Risiken und Chancen beeinflussen können. Durch die Integration von ESG-Kriterien in ihre Anlagestrategien können Investoren Unternehmen identifizieren, die langfristig nachhaltig und erfolgreich sein können, Zinshöhe für Investitionen oder gar die Investition selbst können davon beeinflusst werden. Daher ist in vielen großen Unternehmen das Thema relevant und das Reporting ist mit Sorgfalt aufzubauen. Denn auch wenn die Kosten von Datenträgern kontinuierlich sinken und in der Cloud quasi „unbegrenzt“ zur Verfügung stehen, wachsen die Datenmengen laufend an und brauchen Organisation.
Darüber hinaus gebraucht werden sowohl Hardware als auch Software, Personal und Infrastruktur, also Flächen, Strom für den Betrieb, die Kühlung und Datenleitungen. Dies wiederum hat Auswirkungen auf die Energiebilanz der Unternehmen und die Tendenz zur Datenhortung schadet somit den ESG-Bemühungen von Unternehmen, ihren Energieverbrauch und die Müllproduktion durch geschredderte Geräte zu kontrollieren und zu senken.
Doch auch jenseits von Umwelt und sozialen Werten werden Unternehmen mit guter Governance-Struktur und -Praxis vielfach als transparenter und vertrauenswürdiger angesehen, sie erzielen eine höhere ESG-Bewertung.
Die engere Zusammenarbeit zwischen den Abteilungen für Nachhaltigkeit, Fachabteilungen, dem Informationssicherheitsbeauftragten und IT kann helfen, die Datenmengen zu kontrollieren, Kosten transparent zu machen und besser zu steuern, um somit die Compliance-Ziele zu erfüllen. Eine im ISMS eingebettete sinnvolle Richtlinie für die Datenspeicherung und -löschung mit ESG-Bezug muss für diese Unternehmen Teil der Lösung sein.
Fazit zum Thema Datenlöschung
Die Sachlage ist also anspruchsvoll und vielfältig, zusammenfassend kann man folgende Ratschläge geben:
Führen Sie ein ISMS ein: Das ISMS (z. B. auf der Basis ISO/IEC 27001, TISAX®) ist die wichtigste Basis für die Umsetzung der Datenlöschung, da es alle relevanten Regelungen und Klassifikationsfragen dokumentiert und orchestriert. Integrieren Sie möglichst auch die DSGVO-Anforderungen, Dokumente sowie Prozesse, um dem Wildwuchs von Systemen und Regelungen sowie mehrfacher Dokumentation von z. B. Löschregeln vorzubeugen.
Berücksichtigen Sie schutzbedürftige Informationen: Die als „schutzbedürftig“ klassifizierten Informationen, die auf analogen und digitalen Datenträgern gespeichert sind, müssen identifiziert und dokumentiert werden. Die Anforderungen der o.g. Standards sollten hierbei beachtet werden. Die Basis für die Schutzbedürftigkeit liefert in der Regel die Bewertung im Rahmen einer Risikoanalyse zu der Information, dem Asset oder dem Dienstleister. Die Schutzziele sind Vertraulichkeit, Verfügbarkeit und Integrität der Daten.
Erstellen Sie ein Konzept für die Löschung von Daten und Datenträgern: Ein Konzept für die Löschung von Daten und Datenträgern ist erforderlich, um sicherzustellen, dass Daten und Datenträger vollständig und zuverlässig gelöscht oder vernichtet werden. Das Konzept sollte in einem ISMS eingebettet sein, Richtlinien, Prozess und alle relevanten Themen behandeln, es ist je nach Risiko die Anforderungen zu spezifizieren und nach Bedarf kann die ISO/IEC 27001, TISAX®, BSI IT-Grundschutz, DSGVO und NIST berücksichtigt werden. Das Konzept sollte auch Stichproben und Prüfungen beinhalten, ob die Maßnahmen erfolgreich sind. Zudem sollte die ESG-Problematik nicht unbeachtet bleiben, denn mit ESG-Berichten zeigt das Unternehmen seine Philosophie und die Perspektiven für umweltbewusstes und nachhaltiges Handeln.
Balance: Versuchen Sie eine Balance zwischen Machbarkeit, Verfügbarkeit der Daten und Kosten für die Speicherung bzw. Vernichtung herzustellen. Sie werden nicht allen Zielen gerecht werden können. Zudem spielt die Praktikabilität in der Praxis eine wesentliche Rolle und der Lebenszyklus der Informationen und personenbezogenen Daten ist zu beachten. Eine Risikobewertung sollte von der Unternehmensleitung abgesegnet werden, um Handlungssicherheit zu haben. Und denken Sie auch an die ESG-Themen, diese sind ggf. öffentlichkeitswirksam, sowohl im Guten als auch im Schlechten.
Führen Sie regelmäßig Schulungen durch: Regelmäßige Schulungen der Mitarbeiter z. B. im Rahmen von Awareness-Schulungen sind wichtig, um sicherzustellen, dass sie die Anforderungen verstehen und umsetzen können, und dann die richtigen Datenträger richtig zu entsorgen.
Achten Sie auf Lieferantenmanagement und zertifizierte Unternehmen: Wenn Sie mit anderen Unternehmen zusammenarbeiten, stellen Sie sicher, dass diese mindestens nach den gleichen Standards und Richtlinien arbeiten, wie Sie das definiert haben. Stellen Sie sicher, dass diese Unternehmen zertifiziert sind. Und prüfen Sie, ob zertifizierte Entsorgungs- oder Lösch-Unternehmen einsetzen.
Überprüfen Sie regelmäßig Ihre Prozesse: Regelmäßige Überprüfungen der Prozesse (z. B. im Rahmen interner oder externer Audits) und Ergebnisse sind notwendig, um sicherzustellen, dass sie den Anforderungen den Normen und internen Vorgaben entsprechen.
Hier geht es zur Studie von Blancco:
Rechtlicher Hinweis: Die Rechte an TISAX® liegen bei der ENX Association.
Comments