Datenschutz ist weltweit ein heißes Thema, und es scheint, als würden in den Schlagzeilen kaum ein paar Tage vergehen, ohne dass Details zu irgendeiner Art von Datenleck oder -verstoß auftauchen. Im Bereich des Datenmanagements nehmen die gesetzlichen und regulatorischen Anforderungen zu; aber unternimmt Ihr Unternehmen alles Notwendige, um die vollständige Vernichtung von Daten zu gewährleisten, wenn es darauf ankommt? Lesen Sie weiter, um sich zu informieren und mehr zu erfahren.
Das Missverständnis „Löschen = Weg“
Allzu oft glauben Unternehmen, dass das Löschen von Dateien vom Desktop und das anschließende Leeren des „Papierkorbs“ eines Geräts die Daten dauerhaft von ihren Rechnern entfernt. Diejenigen, die nicht ganz so naiv sind, formatieren vielleicht sogar ein Laufwerk, um Informationen zu löschen, doch auch das reicht nicht aus.
Tatsächlich entfernen die meisten Methoden zur Datenlöschung lediglich die Verweise auf die Daten, nicht jedoch die Daten selbst. Das bedeutet, dass diese wiederhergestellt werden können, wenn ein Gerätebetreiber weiß, wie das geht – und häufig ist es so, dass bei Geräten, die weiterverkauft, recycelt oder entsorgt wurden, nachdem sie für ein Unternehmen das Ende ihrer Lebensdauer erreicht haben, auf alle darin gespeicherten sensiblen Informationen zugegriffen werden kann.
In einer viel zitierten Studie entsandte die Blancco Technology Group, ein Sicherheitsunternehmen, mit dem Procurri zusammenarbeitete, Forscher, um gebrauchte Festplatten und SSDs auf Online-Marktplätzen und bei Elektronikrecyclingunternehmen zu kaufen. Obwohl die meisten davon laut Beschreibung vor dem Verkauf datenlöschend aufbereitet worden waren, enthielten viele dennoch Informationen – und bei der Wiederherstellung stellte sich heraus, dass zu den zugänglichen Daten Mitarbeiterdaten, interne Unternehmensdokumente und persönliche Fotos gehörten.
Im Rahmen einer separaten Studie, die von Forschern der University of Hertfordshire im Vereinigten Königreich durchgeführt wurde, wurden gebrauchte Festplatten ausgewertet, auf denen Informationen wie ungeschützte Krankenakten, Finanztabellen und von früheren Besitzern zurückgelassene Anmeldedaten gespeichert waren.
Natürlich kann das unsachgemäße Löschen sensibler Daten verheerende Folgen für Unternehmen haben, die rechtlich und moralisch verpflichtet sind, sicherzustellen, dass diese Daten nicht mehr zugänglich sind.
Was passiert eigentlich , wenn man Daten löscht?
Technisch gesehen bedeutet das Drücken der „Löschen“-Taste bei einer Datei in der Regel lediglich, dass der Speicherplatz als frei markiert wird. Die zugrunde liegenden Daten bleiben an Ort und Stelle erhalten, bis sie durch neue Daten überschrieben werden. Mit Wiederherstellungstools lassen sich gelöschte Dateien oft innerhalb weniger Minuten wiederherstellen.
Jeder Speichertyp geht beim Löschen anders vor, da die zugrunde liegende Speichertechnologie Datenblöcke unterschiedlich verwaltet.
Löschen von Daten auf Festplatten
Herkömmliche Festplatten speichern Daten magnetisch auf rotierenden Platten. Wenn eine Datei von einer Festplatte gelöscht wird, entfernt das Dateisystem den Verweis auf die Datei; die eigentlichen Daten bleiben jedoch an Ort und Stelle erhalten, bis sie durch neue Daten überschrieben werden.
Das bedeutet, dass das bloße Löschen der Daten oder das Formatieren der Festplatten nicht ausreicht. Stattdessen ist ein sicheres Überschreiben der Daten oder die tatsächliche physische Zerstörung des Laufwerks erforderlich.
Löschen von Daten auf SSDs
Solid-State-Laufwerke (SSDs) speichern Daten in Flash-Speicher. Aufgrund von Wear-Leveling- und „Garbage-Collection“-Verfahren funktioniert dies etwas anders. Wenn eine Datei gelöscht wird, markiert das Betriebssystem (OS) den Block als ungenutzt. Der SSD-Controller kann ihn später mithilfe von Hintergrundprozessen löschen. Aufgrund des Wear-Leveling-Verfahrens können Daten jedoch in versteckten Speicherzellen verbleiben, die von herkömmlichen Löschprogrammen nicht ohne Weiteres überschrieben werden können.
Für SSDs bedeutet dies, dass oft spezielle Löschbefehle oder die kryptografische Datenlöschung die einzige Möglichkeit darstellen, die vollständige und unwiederherstellbare Vernichtung der Daten zu gewährleisten.
Löschen von Daten auf Mobilgeräten
Die meisten Mobilgeräte wie Smartphones und Tablets verwenden Flash-Speicher, der SSDs ähnelt, jedoch über zusätzliche Verschlüsselungsebenen und Betriebssystemschutzmaßnahmen verfügt. Bei Geräten mit Android oder iOS als Betriebssystem werden beim Löschen von Dateien in der Regel die Verweise auf diese Daten im Dateisystem entfernt. Anschließend wird eine Verschlüsselung auf Geräteebene über den Datenblock gelegt – daher ist ein vollständiges Zurücksetzen des Geräts auf die Werkseinstellungen oft die einzige Möglichkeit, die Verschlüsselungsschlüssel zu löschen.
Wenn die Verschlüsselung auf Geräteebene ordnungsgemäß implementiert ist, kann die Vernichtung der Verschlüsselungsschlüssel durch ein Zurücksetzen auf die Werkseinstellungen dazu führen, dass die Daten unlesbar werden. Ist ein Gerät jedoch falsch konfiguriert oder wurde das Zurücksetzen nicht vollständig durchgeführt, können die Daten möglicherweise dennoch wiederhergestellt werden.
Löschen von Daten auf Servern und Unternehmensspeicher-Arrays
Unternehmenssysteme wie SAN- (Storage Area Network) und NAS- (Network Attached Storage) Umgebungen erhöhen die Komplexität zusätzlich. Wenn Daten gelöscht werden, sind die Dateien häufig noch in Snapshots, Backups oder replizierten Volumes vorhanden – und in virtuellen Umgebungen können Daten auf virtuellen Festplatten oder in stillgelegten Speicherpools zurückbleiben. Speichersysteme nutzen oft Deduplizierung und Thin Provisioning, wodurch Fragmente über mehrere Festplatten verteilt bleiben können.
Da die Dateien an mehr als einem Ort vorhanden sind, müssen bei der Datenbereinigung alle Kopien, Snapshots und Replikate berücksichtigt werden – nicht nur der primäre Speicherort.
Die Risiken einer unzureichenden Datenlöschung
Werden Daten nicht ordnungsgemäß von IT-Geräten gelöscht, kann dies für Unternehmen erhebliche betriebliche und sicherheitsrelevante Risiken mit sich bringen. Häufig treten solche Risiken dann auf, wenn Hardware ausgemustert und zur ITAD-Verarbeitung an einen Dritten übergeben wird.
Das unmittelbarste Risiko besteht in der Offenlegung vertraulicher und/oder sensibler Informationen, was schwerwiegende rechtliche Konsequenzen für das Unternehmen haben kann, das für die Löschung der Daten verantwortlich ist. Das Durchsickern personenbezogener Daten kann zu Sicherheitsproblemen führen und verstößt gegen Compliance-Vorschriften wie das Datenschutzgesetz und die britische DSGVO (Datenschutz-Grundverordnung).
Aus geschäftlicher Sicht könnten sensible Informationen wie Forschungsergebnisse, Strategien oder Entwürfe ebenfalls ein Risiko darstellen, wenn darauf zugegriffen wird, da die Weitergabe von geistigem Eigentum das Unternehmen gegenüber Wettbewerbern in eine prekäre Lage bringen könnte. Möglicherweise sind auch Anmeldedaten und interne Systeminformationen vorhanden, die jedem, der in böswilliger Absicht darauf zugreift, einen Zugang zu den Unternehmenssystemen verschaffen könnten.
Jede Informationspanne, die auf eine unsachgemäße Datenlöschung zurückzuführen ist, kann weitreichende finanzielle und rufschädigende Folgen nach sich ziehen. Bußgelder von Aufsichtsbehörden und kostspielige Rechtsstreitigkeiten können sich auf Millionen belaufen, und der Verlust des Verbrauchervertrauens kann unermesslichen Schaden anrichten.
So sieht eine sichere Datenvernichtung aus
Procurri ist ein sicherer ITAD-Anbieter und bietet eine Vielzahl von Methoden zur Datenvernichtung an, die die vollständige Löschung aller auf den bearbeiteten Geräten gespeicherten Daten gewährleisten. Dazu gehören:
Datenlöschung
Die Datenlöschung ist ein softwaregestützter Vorgang, bei dem vorhandene Daten mit neuen Informationsmustern, beispielsweise zufälligen Nullen und Einsen, überschrieben werden. Dadurch wird sichergestellt, dass die ursprünglichen Daten nicht wiederhergestellt werden können, während die Hardware sicher wiederverwendet oder weiterverkauft werden kann. Nach Abschluss des Vorgangs wird dieser überprüft, und es kann ein Zertifikat über die Datenlöschung ausgestellt werden, das als Nachweis dafür dient, dass das Gerät datenfrei ist.
Entmagnetisierung
Bei diesem Verfahren werden magnetische Speichermedien wie Festplatten einem starken Magnetfeld ausgesetzt, wodurch die gespeicherten Daten dauerhaft gelöscht werden, da die magnetischen Muster auf der Platte zerstört werden. Nach der Entmagnetisierung ist das Laufwerk unbrauchbar, sodass die Informationen nicht mehr wiederhergestellt werden können.
Maskierung von Daten
In einigen Fällen können auch zusätzliche Techniken wie die Datenmaskierung eingesetzt werden, um sensible Informationen noch besser zu schützen. Bei diesem Ansatz werden Datenstrukturen verschlüsselt oder verändert, sodass auf die ursprünglichen Informationen nicht mehr zugegriffen werden kann und diese auch nicht mehr rekonstruiert werden können.
Physische Vernichtung von Geräten
Wenn höchste Sicherheitsanforderungen gelten oder das Gerät nicht mehr wiederverwendet oder recycelt werden kann, bietet Procurri die physische Vernichtung des Geräts an. Dazu gehören das industrielle Schreddern, Zerkleinern oder Verbiegen von Speichermedien, um sicherzustellen, dass die Hardware und die darauf gespeicherten Daten vollständig und unwiederherstellbar vernichtet werden. Die physische Vernichtung wird in der Regel bei Geräten am Ende ihrer Lebensdauer oder bei hochsensiblen Speichermedien angewendet.
Procurris Referenzen im Bereich der Datenvernichtung
Wir bei Procurri sind stolz darauf, dass unsere ITAD-Dienstleistungen durch eine Reihe anerkannter Branchenzertifizierungen und -standards untermauert werden, die unser Engagement für eine sichere, vorschriftsmäßige und nachprüfbare Datenvernichtung belegen. Diese Zertifizierungen tragen dazu bei, dass Unternehmen ihre IT-Geräte sicher aus dem Verkehr ziehen können, während sie gleichzeitig sensible Informationen schützen und gesetzliche Verpflichtungen erfüllen – und dabei sicher sein können, dass alle Daten garantiert vollständig gelöscht werden.
Zu unseren international anerkannten Management- und Sicherheitszertifizierungen zählen ISO 27001 für das Informationssicherheitsmanagement, ISO 9001 für das Qualitätsmanagement und ISO 14001 für das Umweltmanagement. Diese Zertifizierungen spiegeln die Einhaltung strenger Betriebs-, Sicherheits- und Nachhaltigkeitsstandards durch das Unternehmen in allen ITAD-Prozessen wider.
Darüber hinaus sind die Einrichtungen und Dienstleistungen von Procurri von der Asset Disposal and Information Security Alliance (ADISA) zertifiziert, die strenge Standards für die sichere Verwertung von IT-Geräten und die Datenlöschung festlegt. Die ADISA-Zertifizierung erfordert unabhängige Audits und forensische Tests, um sicherzustellen, dass die Datenvernichtungsverfahren eine Datenwiederherstellung wirksam verhindern.
Darüber hinaus halten wir uns an anerkannte Rahmenwerke zur Datensanierung wie die NIST SP 800-88-Richtlinien zur Datenträgerbereinigung, den HMG Infosec Standard 5 und den AAA-Standard der National Association for Information Destruction (NAID), um sicherzustellen, dass alle Methoden zur Datenlöschung und -vernichtung weltweit anerkannten Sicherheitsstandards entsprechen.
Die Einrichtungen von Procurri nutzen zertifizierte Löschtechnologie von Blancco, einem weithin anerkannten Anbieter von Software zur sicheren Datenlöschung. Dies ermöglicht die Löschung großer Datenmengen mit nachprüfbaren Berichten und Vernichtungsbescheinigungen für jedes verarbeitete Gerät; Blancco stuft uns als Anbieter mit Gold-Status ein.
Zusammen geben diese Zertifizierungen den Kunden die Gewissheit, dass die ITAD-Dienstleistungen von Procurri eine sichere, vorschriftsmäßige und lückenlos nachverfolgbare Datenvernichtung während des gesamten Entsorgungsprozesses gewährleisten. Möchten Sie sicherstellen, dass Ihre Daten ordnungsgemäß gelöscht werden? Nehmen Sie noch heute Kontakt mit unserem Team auf und lassen Sie uns über ITAD sprechen!
