Titelbild

Unterschiede bei der Datenvernichtung: Löschen vs. Entmagnetisieren vs. Schreddern

Eines der größten Risiken für Unternehmen im Bereich der IT-Infrastruktur tritt erst dann auf, wenn die Hardware das Unternehmen bereits verlassen hat – wodurch es unerkannt bleibt und oft in Vergessenheit gerät. Es handelt sich dabei um das Risiko, dass Daten auf datentragenden Geräten zurückbleiben, sobald diese vom Unternehmen nicht mehr genutzt werden. Sensible Daten können, wenn sie in die falschen Hände geraten, zu Informationslecks, Reputationsschäden für das Unternehmen und hohen finanziellen Strafen führen, falls gesetzliche Vorschriften verletzt werden.

Es gibt viele verschiedene Arten der Datenvernichtung, die jeweils für unterschiedliche Geräte und Datentypen geeignet sind. Bei Procurri bieten wir einen umfassenden ITAD-Service (IT Asset Disposition) an, dessen Datenvernichtungsdienste gewährleisten, dass von keinem der von uns bearbeiteten Geräte Daten wiederhergestellt werden können.

Warum die Datenvernichtung wichtig ist

Wenn elektronische Geräte an ITAD-Anbieter übergeben werden, sollten sie zuvor einem umfassenden Datenlöschungsprozess unterzogen worden sein, um sicherzustellen, dass alle auf den Geräten verbliebenen Daten vollständig gelöscht wurden und weder von neuen Nutzern derselben Geräte noch von Personen, die recycelte Materialien aus diesen Geräten verwenden, wiederhergestellt oder abgerufen werden können. Ausgemusterte Laptops, Server und Speichergeräte können nach wie vor große Mengen an wiederherstellbaren Daten enthalten, wodurch IT-Geräte am Ende ihrer Lebensdauer ein anhaltendes Sicherheitsrisiko darstellen.

Einige ITAD-Anbieter bieten Dienstleistungen zur Datenvernichtung für datentragende Geräte an, doch in vielen Fällen löschen Unternehmen entweder lediglich Dateien, führen einen Werksreset durch oder geben ihre Elektronikgeräte einfach weiter, ohne überhaupt zu prüfen, welche Daten darauf gespeichert sind. Keine dieser Vorgehensweisen stellt eine ordnungsgemäße und gründliche Datenvernichtung dar, und in vielen Fällen lassen sich sensible Informationen mit einfachen Softwaretools wiederherstellen. Daher könnte jedes datentragende Gerät, das ein Unternehmen verlässt, zu einem Ziel für einen Datenleck werden.

Unternehmen sind gesetzlich und behördlich verpflichtet, die von ihnen verarbeiteten Daten zu schützen – selbst wenn diese auf einem Gerät gespeichert sind, das von ihnen nicht mehr genutzt wird. Rahmenwerke wie die DSGVO, ISO/IEC-Normen und immer strengere Kundenaudits erfordern nachweisbare und überprüfbare Verfahren zur Datenlöschung. Die Nichteinhaltung dieser Vorschriften kann zu hohen Geldstrafen führen. So wurde beispielsweise British Airways im Jahr 2020 gemäß der DSGVO mit einer Geldstrafe von 20 Millionen Pfund belegt, nachdem bei einem Cyberangriff die persönlichen Daten und Zahlungsdaten von mehr als 400.000 Kunden offengelegt worden waren. Die Aufsichtsbehörden stellten unzureichende Sicherheitskontrollen fest, was verdeutlicht, wie Versäumnisse beim Datenschutz zu schwerwiegenden finanziellen Einbußen und Reputationsschäden führen können.

Für Unternehmen, ihre Kunden, Lieferanten und Interessengruppen ist es unerlässlich, dass die Verantwortung für die Daten nicht aus den Augen verloren wird, selbst wenn die Hardware innerhalb eines Unternehmens das Ende ihrer Nutzungsdauer oder Funktionsfähigkeit erreicht. Darüber hinaus müssen sie sicherstellen, dass – unabhängig davon, ob sie selbst oder ein ITAD-Anbieter die Datenvernichtung durchführt – die am besten geeignete Methode zum Einsatz kommt, die sich an den Risiken, den Compliance-Anforderungen und den betrieblichen Gegebenheiten orientiert.

Was versteht man unter Datenvernichtung?

Unter Datenvernichtung oder Datensanierung versteht man den Vorgang, bei dem Daten dauerhaft aus IT-Systemen entfernt werden, sodass sie für keinerlei Zwecke – sei es in böswilliger Absicht, durch Missbrauch oder anderweitig – wiederhergestellt werden können. Dabei werden die Daten über das übliche Löschen hinaus weiterverarbeitet, um sicherzustellen, dass die Informationen vollständig unlesbar und unwiederherstellbar sind.

Das angewandte Verfahren kann logischer oder physikalischer Natur sein und wird nach Abschluss einem Verifizierungsprozess unterzogen, um sicherzustellen, dass es korrekt und vollständig durchgeführt wurde.

Bei der logischen Datenvernichtung werden die Daten mithilfe von Software überschrieben, während die physische Vernichtung das Schreddern, Zerkleinern oder Entmagnetisieren von Speichermedien umfasst.

Arten der Datenvernichtung: Datenlöschung

Die Datenlöschung ist ein sicheres Verfahren zur Datensanierung, bei dem Informationen dauerhaft von Speichermedien entfernt werden, indem vorhandene Daten mit anderen Daten überschrieben werden. Dadurch werden die Daten vollständig unzugänglich, sodass sensible Informationen nicht mit forensischen Werkzeugen rekonstruiert werden können. Am häufigsten wird die Datenlöschung eingesetzt, wenn Unternehmen IT-Ressourcen wiederverwenden, umfunktionieren oder weiterverkaufen möchten, ohne dabei das Risiko von Datenlecks einzugehen.

Datenlöschung: So funktioniert es

Die Datenlöschung erfolgt softwaregestützt und funktioniert durch das Überschreiben der auf einem Gerät gespeicherten Daten. Die Software identifiziert die Daten und schreibt neue Daten über jeden zugänglichen Bereich des Laufwerks. Das Überschreiben kann entweder nach zufälligen Mustern oder nach vordefinierten Sequenzen erfolgen, manchmal auch nach mehreren davon. Früher wurden bei der Datenlöschung Muster und Sequenzen übereinandergeschichtet, um die Wiederherstellung der Daten so schwierig wie möglich zu machen; dies galt insbesondere für HDD (Festplatten). Bei moderneren Speichergeräten werden heute jedoch nur noch wenige Durchläufe verwendet, dafür aber in Verbindung mit Verifizierungswerkzeugen.

Die Datenlöschung wird bei Festplatten (HDDs), Solid-State-Laufwerken (SSDs) und Mobilgeräten angewendet, wobei für SSDs und Flash-basierte Speichermedien aufgrund von Wear-Leveling und versteckten Speicherbereichen spezielle Tools erforderlich sind.

Datenlöschung: Zertifizierung

Viele Datenlöschtools entsprechen branchenweit anerkannten Standards wie NIST SP 800-88, in dem je nach Sensibilität der Daten und Risikoprofil Stufen wie „Clear“ und „Purge“ definiert sind. Die Überprüfung und Berichterstattung sind entscheidend, um die Einhaltung der Vorschriften nachzuweisen und Prüfungsnachweise zu liefern. Die Datenlöschdienste von Procurri sind alle NIST-zertifiziert.

Datenlöschung: Vor- und Nachteile

Das Löschen von Daten gilt als kosteneffiziente Methode zur Datenvernichtung, insbesondere im Vergleich zu physischen Vernichtungsmethoden bei großen Mengen an Geräten. Das Löschen von Daten kann äußerst effektiv sein und es Unternehmen dennoch ermöglichen, durch Wiederverwendung oder Weitervermarktung einen Wert zu erzielen sowie durch die Verlängerung der Lebenszyklen der Geräte den Elektronikschrott zu reduzieren.

Es gibt jedoch eine Reihe von Szenarien, in denen die Datenlöschung keine Rolle spielt. Beschädigte oder fehlerhafte Laufwerke lassen sich möglicherweise nicht löschen, und manche verschlüsselte Speichermedien können nicht zuverlässig überschrieben werden. Bei moderneren SSDs und Mobilgeräten sperren einige OEMs (Original Equipment Manufacturers) ihre Hardware, sodass für eine vollständige Datenlöschung herstellerspezifische oder spezielle Tools erforderlich sind.

Es ist von entscheidender Bedeutung, dass Geräte, bei denen eine Datenlöschung durchgeführt wurde, nach Abschluss des Vorgangs ordnungsgemäß überprüft werden. Ohne eine solche Überprüfung riskieren Unternehmen, gegen Vorschriften zu verstoßen.

Arten der Datenvernichtung: Entmagnetisierung

Das Entmagnetisieren ist ein Verfahren zur Datenvernichtung, bei dem Informationen dauerhaft von magnetischen Speichermedien entfernt werden, indem diese einem starken Magnetfeld ausgesetzt werden. Der Begriff „Entmagnetisieren“ leitet sich vom Wort „Gauss“ ab. Ein „Gauss“ ist eine Einheit zur Messung der Magnetstärke. Das Entmagnetisieren wird vor allem bei Festplatten und Magnetbändern eingesetzt, bei denen ein Höchstmaß an Datensicherheit erforderlich ist.

Entmagnetisierung: So funktioniert es

Bei der Entmagnetisierung werden magnetische Datenträger einem starken Magnetfeld ausgesetzt, das die Ausrichtung der zur Datenspeicherung genutzten magnetischen Domänen stört. Sobald diese Domänen neutralisiert sind, sind die ursprünglichen Daten vollständig unwiederherstellbar und nicht mehr erkennbar.

Ein Entmagnetisierer erzeugt ein Magnetfeld, das stark genug ist, um die magnetischen Muster auf einem Speichermedium zu löschen. Dieses Feld sorgt dafür, dass die magnetischen Domänen effektiv zufällig verteilt oder neutralisiert werden, wodurch alle gespeicherten Daten in einem einzigen Vorgang zerstört werden. In den meisten Fällen werden dabei auch wichtige Servospuren auf Festplatten gelöscht, die für die Funktionsfähigkeit des Laufwerks unerlässlich sind.

Entmagnetisierung: Akkreditierung

Der Entmagnetisierungsprozess unterliegt einer Reihe anerkannter Normen, die für die dafür verwendeten Geräte gelten. Dazu gehören Zertifizierungen wie NIST, ADISA und NAID AAA.

Entmagnetisierung: Vor- und Nachteile

Im Gegensatz zur softwarebasierten Datenlöschung beruht die Entmagnetisierung nicht auf dem Zugriff auf oder dem Überschreiben von Daten und setzt daher keine Funktionsfähigkeit des Laufwerks voraus. Dadurch eignet sie sich besonders für Szenarien zur Vernichtung hochsensibler Daten. Einer der Hauptvorteile der Entmagnetisierung ist ihre extrem hohe Wirksamkeit bei magnetischen Datenträgern wie Festplatten und Sicherungsbändern. Sie bietet ein hohes Maß an Sicherheit und eignet sich daher für klassifizierte oder streng vertrauliche Daten. Der Vorgang ist zudem sehr schnell, sodass große Mengen an Laufwerken oder Bändern in kurzer Zeit vernichtet werden können.

Allerdings weist die Entmagnetisierung auch einige Einschränkungen auf. Sie eignet sich nicht für SSDs, USB-Sticks oder nichtmagnetische Speichermedien, da sie dort schlichtweg nicht funktionieren würde. Die Entmagnetisierung macht das Laufwerk dauerhaft unbrauchbar, sodass die Geräte nicht wiederverwendet oder weiterverkauft werden können. Zudem sind Entmagnetisierungsgeräte teuer, was im Vergleich zur Datenlöschung zu höheren Kosten pro Einheit führt. Oft sind eine fachgerechte Handhabung, geschulte Bediener und Zertifizierungen erforderlich, was die Komplexität des Betriebs erhöht – all dies wird von Procurri angeboten.

Arten der Datenvernichtung: Schreddern

Das Schreddern ist eine Methode zur Datenvernichtung, bei der Informationen dauerhaft gelöscht werden, indem Speichermedien physisch in kleine Fragmente zerkleinert werden. Es handelt sich um einen physikalischen Vorgang, der sicherstellt, dass Daten unter keinen Umständen wiederhergestellt werden können. Das Schreddern eignet sich für eine Vielzahl von Hardwaretypen, darunter Festplatten, SSDs, mobile Geräte und Magnetbänder.

Aktenvernichtung: So funktioniert es

Die Geräte werden mithilfe von Maschinen in Industriequalität physisch zerstört, wodurch das Material in Fragmente zerkleinert wird. Auf diese Weise werden sowohl die Hardware selbst als auch die darauf gespeicherten Daten unwiederherstellbar zerstört.

Aktenvernichtung: Zertifizierung

Industrielle Aktenvernichter werden eingesetzt, um Speichermedien in Partikel einer bestimmten Größe zu zerkleinern. Die erforderliche Partikelgröße wird häufig durch gesetzliche Normen, branchenbezogene Compliance-Anforderungen oder kundenspezifische Sicherheitsrichtlinien vorgegeben. Kleinere Partikelgrößen bieten ein höheres Maß an Sicherheit und können je nach Sensibilität der auf den Geräten gespeicherten Daten die am besten geeignete Vorgehensweise darstellen.

Aktenvernichtung: Vor- und Nachteile

Das Schreddern bietet die höchstmögliche Sicherheit bei der Datenvernichtung. Der Vorgang lässt sich einfach erklären und nachprüfen, wodurch er sich ideal für Audits und behördliche Überprüfungen eignet. Durch die physische Zerstörung der Datenträger schließt das Schreddern das Risiko einer Datenwiederherstellung vollständig aus.

Diese Endgültigkeit bedeutet, dass das Schreddern nur für Hardware geeignet ist, die sich tatsächlich am Ende ihrer Nutzungsdauer befindet und in keiner Weise recycelt oder wiederaufbereitet werden kann.

Die Wahl einer Methode zur Datenvernichtung

Bei der Entsorgung von IT-Hardware ist es unerlässlich, die am besten geeignete Methode zu wählen, abhängig von:

  • Die nächsten geplanten Maßnahmen in Bezug auf die Hardware
  • Die Sensitivitätsstufe der auf der Hardware gespeicherten Daten
  • Die Art der Hardware oder des Mediengeräts
  • Das zur Verfügung stehende Budget
  • Regulatorische und gesetzliche Anforderungen

Um mehr darüber zu erfahren, welche Option für Ihr Unternehmen und dessen ITAD-Anforderungen am besten geeignet ist, wenden Sie sich an die Experten. Fordern Sie jetzt einen Rückruf von Procurri an und begeben Sie sich auf den sichersten und nachhaltigsten Weg zur ITAD!