M 2.435 Auswahl geeigneter Aktenvernichter
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Organisation
Verantwortlich für Umsetzung: Beschaffungsstelle, IT-Sicherheitsbeauftragter
Mit Aktenvernichtern können Papier-Dokumente, aber auch Chipkarten und CD s so zerschnitten werden, dass aus den Fragmenten die ursprünglichen Informationen nicht mehr ohne weiteres ausgelesen werden können. Ob und mit welchem Aufwand die Informationen rekonstruiert werden können, hängt von der Güte des benutzten Geräts ab. Anforderungen an solche Geräte werden in den Normen DIN 32757-1 "Vernichten von Informationsträgern" bzw. DIN EN 15713 "Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln" beschrieben. Es ist zu beachten, dass für die verschiedenen Materialien unterschiedliche Anforderungen an die Größe des vernichteten Materials notwendig sind. Ein Vernichter für Papier ist nicht unbedingt ausreichend für die Vernichtung von Chipkarten oder ähnlichem.
In der Norm DIN 32757-1 sind fünf Sicherheitsstufen definiert. Die neuere Norm DIN EN 15713 sieht als Stufen acht sogenannte Zerkleinerungsnummern vor. Grundlage für die Zuordnung in eine Sicherheitsstufe ist die Größe der von den Aktenvernichtern erzeugten Partikel. In den niedrigeren Sicherheitsstufen gibt es Aktenvernichter, die das Material in schmale Streifen schneiden (Streifenschnitt) oder solche, die durch eine andere Schnitttechnik Partikel erzeugen (Kreuzschnitt). Bei Streifenschnitt gibt es allerdings eine hohe Wahrscheinlichkeit, dass sich die Dokumente wieder zusammensetzen lassen. Vor allem bei einer geringen Durchmischung, also nur wenigen zerkleinerten Dokumenten, lassen sich bei Streifenschnitt selbst sehr schmal geschnittene Dokumente der Sicherheitsstufe 3 bzw. der Zerkleinerungsnummer 6 wieder rekonstruieren. Aktenvernichter mit Streifenschnitt haben allerdings einen höheren Durchsatz als solche mit Kreuzschnitt, so dass es durchaus sinnvoll sein kann, diese bei großen Dokumentenmengen einzusetzen, da dann die Partikel besser durchmischt werden. Bei Streifenschnitt entsteht allerdings allerdings auch ein höherer Platzbedarf, so dass der Auffangbehälter regelmäßig geleert werden muss.
Um Dokumente mit schutzbedürftigen Informationen zu entsorgen, sollten daher Aktenvernichter mit Partikelschnitt ( z. B. Kreuzschnitt ab Sicherheitsstufe 3 bzw. Zerkleinerungsnummer 6) verwendet werden. Bei den im folgenden genannten Werten erfordert die DIN 32757-1 eine Einhaltung von 90 %, 10 % einer Stichprobe dürfen größer sein.
- Sicherheitsstufe 1 / Zerkleinerungsnummer 5 (oder niedriger): Die Partikelgröße darf bei Kreuzschnitt 2000 Quadrat-Millimeter nicht überschreiten. Bei Streifenschnitt dürfen die Streifen nicht breiter als 12 Millimeter sein. Die Reproduktion der Informationen ist ohne besondere Hilfsmittel und Fachkenntnisse, jedoch nur unter Zeitaufwand möglich. Geräte dieser Sicherheitsstufe sind nicht für gewerbliche oder behördliche Zwecke geeignet.
- Sicherheitsstufe 2 / Zerkleinerungsnummer 5: Die Partikelgröße darf 800 Quadrat-Millimeter nicht überschreiten. Bei Streifenschnitt darf die Streifenbreite maximal 6 Millimeter betragen. Die Reproduktion der Informationen ist nur mit Hilfsmitteln und besonderem Zeitaufwand möglich. Geräte der Sicherheitsstufe 2 sollten nur eingesetzt werden, wenn große Mengen Dokumente zerkleinert werden sollen.
- Sicherheitsstufe 3 / Zerkleinerungsnummer 6: Die Partikelgröße darf 320 Quadrat-Millimeter nicht überschreiten. Bei Streifenschnitt darf die Streifenbreite maximal 2 Millimeter betragen. Bei Mikrofilmen, Chipkarten und ähnlichen Datenträgern darf die Partikelgröße 1 Quadrat-Millimeter nicht überschreiten. Die Reproduktion der Informationen ist nur mit erheblichem Aufwand (Personen, Hilfsmittel, Zeit) möglich.
- Sicherheitsstufe 4 / Zerkleinerungsnummer 7: Die Partikelgröße darf 30 Quadrat-Millimeter nicht überschreiten. Bei Mikrofilmen, Chipkarten und ähnlichen Datenträgern darf die Partikelgröße 0,5 Quadrat-Millimeter nicht überschreiten. Die Reproduktion der Informationen ist nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen möglich.
- Sicherheitsstufe 5 / Zerkleinerungsnummer 8: Die Partikelgröße darf 10 Quadrat-Millimeter nicht überschreiten. Bei Mikrofilmen, Chipkarten und ähnlichen Datenträgern darf die Partikelgröße 0,2 Quadrat-Millimeter nicht überschreiten. Die Reproduktion der Informationen ist nahezu unmöglich.
Die Norm DIN 32757-1 enthält keine Vorgaben für die Partikelgröße bei Datenträgern. Das BSI empfiehlt bei Festplatten eine Partikelgröße von maximal 300 Quadratmillimetern und bei CDs oder DVD s eine Partikelgröße von maximal 200 Quadrat-Millimetern, bei höherem Schutzbedarf muss sie unter 10 Quadrat-Millimetern liegen (siehe auch M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten).
Für die Vernichtung von Informationsträgern mit normalem Schutzbedarf sollten Vernichtungsgeräte der Sicherheitsstufe 3 (mit den oben genannten Einschränkungen), oder höher verwendet werden. Aktenvernichter der Sicherheitsstufen 1 und 2 sollten nur für nicht vertrauliche Informationen benutzt werden, also z. B. für Informationsträger, die nur unlesbar gemacht werden sollen. Bei höherem Schutzbedarf sollten Geräte der Sicherheitsstufen 4 oder 5 eingesetzt werden.
Bei der Wahl der geeigneten Sicherheitsstufe sollten die Anwender folgendes beachten, um eine Optimierung von Kosten und Sicherheit zu erreichen:
- Je kleiner die Partikelgröße, umso größer ist die Sicherheit bei der Vernichtung. Allerdings wird die Sicherheit auch erhöht, wenn Aktenvernichter eine hohe Durchsatzleistung haben und deswegen schon beim Vernichtungsvorgang eine Vermischung der Partikel erfolgt. Umgekehrt reduzieren kleine Durchsatzmengen die Sicherheit, insbesondere wenn Farbe oder andere Eigenschaften des Vernichtungsguts eine Rekonstruktion erleichtern.
- Bei kleinerer Partikelgröße wird die Durchsatzleistung des Gerätes geringer. Um eine gewünschte Durchsatzmenge zu erreichen, ist die Anschaffung eines leistungsmäßig größeren und damit teureren Aktenvernichters erforderlich. In diesem Fall ist zu prüfen, ob die Randbedingungen eine niedrigere Sicherheitsstufe und damit ein billigeres Gerät zulassen, wenn dadurch die Sicherheit nicht beeinträchtigt wird.
Das soll an zwei Beispielen verdeutlicht werden:
- Eine Behörde muss häufig Akten der Geheimhaltungsstufen Geheim und Streng geheim vernichten. Wegen des eher geringen Umfangs der Akten ist keine große Durchsatzleistung zu erwarten. In diesem Fall muss ein Aktenvernichter der Sicherheitsstufe 5 eingesetzt werden.
- In einem Unternehmen fallen in der Masse offene Dokumente und Dokumente bis zur Geheimhaltungsstufe Vertraulich zur Vernichtung an. Höher klassifizierte Dokumente sind nur selten zu vernichten. Hier ist ein Aktenvernichter der Sicherheitsstufe 4 vertretbar. Die höher klassifizierten Dokumente sind dann zusammen mit anderen, z. B. offenen Unterlagen, zu vernichten, um eine ausreichende Vermischung der Partikel zu erreichen.
Datenträger mit Dokumenten in verkleinerter Darstellung (z. B. Mikrofilm, Mikrofiche) sowie Magnetstreifenkarten, Chipkarten, CDs und DVDs können grundsätzlich ebenfalls mit geeigneten Vernichtungsgeräten vernichtet werden. Um dieselbe Sicherheitsstufe zu erreichen, müssen diese aber in kleinere Partikelgrößen zerschnitten werden. In der Norm DIN 32757-1 sind auch für Mikrofilme Partikelgrößen vorgegeben. Derzeit sind aber keine Mikrofilmvernichter mehr erhältlich. Eine Vernichtung ist deshalb nur durch Verbrennen oder Einschmelzen möglich.
Hinweis: Von verschiedenen Herstellern werden Aktenvernichter der Sicherheitsstufe Level 6 angeboten. Diese Sicherheitsstufe ist in den Anforderungen der US-amerikanischen Sicherheitsbehörde NSA (NSA/CSS Specification 02-01) spezifiziert. Die geforderte Partikelgröße ist hierbei nicht größer als 1 x 5 Quadrat-Millimeter. Diese Geräte übertreffen die Anforderungen der Sicherheitsstufe 5 nach DIN 32757-1.
Prüffragen:
- Werden für die Vernichtung schutzbedürftiger Informationen Aktenvernichter mit Kreuzschnitt verwendet?
- Ist bei der Auswahl des Aktenvernichters die Durchsatzmenge beachtet worden?
- Entspricht die Partikelgröße dem Schutzbedarf der Informationen?