M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation
Um die Vertraulichkeit schutzbedürftiger Informationen sicherzustellen, müssen diese Informationen nach Gebrauch so vernichtet oder gelöscht werden, dass eine Rekonstruktion der Informationen mit hoher Wahrscheinlichkeit ausgeschlossen werden kann.
Zur sicheren Löschung oder Vernichtung müssen zum einen geeignete Verfahren und zum anderen geeignete Geräte, Anwendungen oder Dienstleistungen zur Verfügung stehen.
Es gibt verschiedene Methoden, um Informationen auf Datenträgern zu löschen oder zu vernichten. Eine kurze Darstellung findet sich in M 2.433 Überblick über Methoden zur Löschung und Vernichtung von Daten. Die Technische Leitlinie des BSI "Richtlinien für das Löschen und Vernichten von schutzbedürftigen Informationen auf analogen und digitalen Datenträgern" (BSI-TL 03420) gibt Empfehlungen für die derzeit gebräuchlichen Datenträger. Die wichtigsten werden hier kurz dargelegt.
Empfehlungen zum Löschen von Datenträgern
Die einfachen Löschkommandos der jeweiligen Betriebssysteme und auch die Formatierung der entsprechenden Datenträger reichen nicht aus, um dort gespeicherte Daten sicher zu löschen. Für das sichere Löschen sollten daher physikalische Maßnahmen wie die mechanische, thermische oder magnetische Behandlung des entsprechenden Datenträgers oder das gezielte, ein- oder mehrmalige Überschreiben des Datenträgers ausgewählt werden. Im Folgenden wird ein Überblick über Methoden zum Löschen gebräuchlicher Datenträger gegeben:
- Papierdokumente:
Keine zuverlässige Methode vorhanden.
- Mikrofilm, Mikrofiche:
Keine zuverlässige Methode vorhanden.
- Festplatten (mit magnetischen Datenträger), Magnetbandkassetten, Disketten:
- Überschreiben (nur bei funktionsfähigen Datenträgern anwendbar): Bei normalem Schutzbedarf können die Datenträger mit geeigneter handelsüblicher Software überschrieben werden. Bei VS-eingestuften Informationen müssen die entsprechenden Vorschriften hinsichtlich der Nutzung zugelassener Produkte beachtet werden. Das Überschreiben kann bei Datenträgern mit großem Speichervolumen sehr zeitaufwendig sein.
- Löschen mit Löschgeräten: Diese Methode ist auch bei hohem Schutzbedarf, z. B. für Verschlusssachen, geeignet.
Hinweis: Festplatten, ZIP-Disketten und verschiedene Magnetband-Kassetten sind nach Löschen mit Löschgeräten nicht mehr funktionsfähig.
- Festplatten mit Halbleiterspeicher (
SSD
/ Hybrid):
Für höheren Schutzbedarf ist derzeit noch keine zuverlässige Methode vorhanden. - Optische Datenträger (
CD
,
DVD
):
Wiederbeschreibbare Datenträger wie CD-RW oder DVD-RW können bei normalem Schutzbedarf durch Überschreiben mit beliebigen Daten gelöscht werden. - Flüchtige Halbleiterspeicher (
SRAM
,
DRAM
)
Zum Löschen sollte die Stromversorgung ausgeschaltet werden. Wenn vorhanden, muss vorher die Pufferbatterie entfernt werden.
Bei sehr hohem Schutzbedarf, bei VS -Geheim oder VS-Streng geheim eingestuften Informationen, muss vorher der Speicher mit beliebigen Daten einmal überschrieben werden. - Nichtflüchtige Halbleiterspeicher (
EPROM
,
EEPROM
)
- Überschreiben: Bei Verschlusssachen und sonstigen Daten mit hohem Schutzbedarf muss der gesamte Speicherbereich mit beliebigen Daten dreimal überschrieben werden.
- Löschen: Beim Löschen sind die Herstellerempfehlungen zu beachten. Bei EPROMs sollte die Einwirkungsdauer von UV-Licht dreimal länger sein als die Herstellerempfehlung.
-
USB
-Stick, Flash-Card, Flash-Disk,
PCMCIA
-Karten:
Bei hohem Schutzbedarf muss der gesamte Speicherbereich mit geeigneter Software dreimal überschrieben werden. - Chipkarten:
Keine zuverlässige Methode vorhanden.
- Multifunktionsgeräte (Kopierer, usw.) mit Festplatten:
Überschreiben: Bei normalem Schutzbedarf sollten die Informationen nach dem Ausdruck über eine Löschfunktion aus dem Zwischenspeicher gelöscht werden. Bei hohem Schutzbedarf muss die Festplatte mit geeigneter Software nach jedem Ausdruck überschrieben werden.
Bei Abgabe oder Aussonderung eines Gerätes muss M 2.400 Sichere Außerbetriebnahme von Druckern, Kopierern und Multifunktionsgeräten, beachtet werden.
Von der Nutzung der folgenden Methoden als Löschverfahren wird abgeraten, da diese nicht zuverlässig sind und Daten wieder rekonstruiert werden können:
- Löschkommandos
- Überschreiben einzelner Dateien
- High-Level-Formatierung
- Low-Level-Formatierung
Empfehlungen zum Vernichten von Datenträgern:
Verfahren zum Vernichten von Datenträgern sind in der technischen Leitlinie BSI-TL 03420 für die verschiedenen Medien beschrieben, z. B. für Papierdokumente, Mikrofilme, magnetische und optische Datenträger, Halbleiterspeicher und Chipkarten.
- Papierdokumente:
Papierdokumente sollten mit Aktenvernichtern zerkleinert werden. Bei normalem Schutzbedarf sollten hierfür Aktenvernichter der Sicherheitsstufe 3 nach DIN 32757-1 "Vernichten von Informationsträgern" bzw. der Zerkleinerungsnummer 6 nach DIN EN 15713 "Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln" genutzt werden, bei höherem Schutzbedarf solche der Sicherheitsstufe 4 oder 5 bzw. der Zerkleinerungsnummern 7 oder 8 (siehe auch M 2.435 Auswahl geeigneter Aktenvernichter). - Mikrofilm, Mikrofiche:
Zum mechanischen Zerkleinern sind keine geeigneten Geräte verfügbar. Daher sollten diese Datenträger verbrannt werden. Die Temperatur muss dabei über 300°C liegen, die Verweildauer mindestens 60 Minuten betragen. - Festplatten, Magnetbandkassetten:
Festplatten können mechanisch mit einem Shredder zerkleinert werden. Dabei darf bei hohem Schutzbedarf die Größe der entstehenden Partikel 300 Quadrat-Millimeter nicht überschreiten (bzw. die Anforderungen der DIN EN 15713 bei Zerkleinerungsnummer 6 sind zu erfüllen). Bei normalem Schutzbedarf sind Partikelgrößen bis 1000 Quadrat-Millimeter durchaus vertretbar. Sie können auch thermisch vernichtet werden, dafür muss das Festplattenlaufwerk mindestens 15 Minuten lang auf über 1.000°C erhitzt werden. Da die hierfür erforderliche Ausstattung teuer ist, kann auf zuverlässige Dienstleister zurückgegriffen werden (siehe M 2.436 Vernichtung von Datenträgern durch externe Dienstleister). - Magnetbänder:
Magnetbänder sollten mit Geräten zerkleinert werden, die die Anforderungen der DIN EN 15713 bei Zerkleinerungsnummer 6 erfüllen. Bei höherem Schutzbedarf sollte die Partikelgrößen höchstens 30 Quadrat-Millimeter betragen (Zerkleinerungsnummer 7). - Disketten, Optische Datenträger (CD, DVD):
Diese Datenträger können mechanisch mit einem Vernichter zerkleinert werden. Bei optischen Datenträgern darf die Größe der Partikel 200 Quadrat-Millimeter nicht überschreiten, bei höherem Schutzbedarf muss sie unter 10 Quadrat-Millimetern liegen. Sie können auch thermisch vernichtet werden, dafür müssen sie mindestens 60 Minuten lang auf über 300°C erhitzt werden. - Halbleiterspeicher (SRAM, DRAM, EPROM, EEPROM), USB-Stick, Flash-Speicher, PCMCIA-Karten:
Diese Datenträger können mit geeignetem Gerät mechanisch zerkleinert werden. Die Geräte sollen der Sicherheitsstufe 5 nach DIN 32757-1 bzw. DIN EN 15713 Zerkleinerungsnummer 8 entsprechen. Sie können auch verbrannt werden. Dafür müssen sie mindestens 15 Minuten lang auf über 800°C erhitzt werden. - Chipkarten:
Chipkarten können verbrannt oder mechanisch mit einem Vernichtungsgerät zerkleinert werden. Bei höherem Schutzbedarf sollten hierfür Vernichter der Sicherheitsstufe 5 nach DIN 32757-1 genutzt werden bzw. der Zerkleinerungsnummer 8 nach DIN EN 15713.
Welche Verfahren geeignet sind, um die in der Institution vorkommenden Daten oder Datenträger zu löschen oder zu vernichten, hängt von der Art der Datenspeicherung, der Datenträger und vom Grad der Schutzbedürftigkeit der Informationen ab. Auch ist zu berücksichtigen, welche weitere Verwendung der Datenträger geplant ist. Bei Datenträgern, die im gleichen gesicherten Bereich weiterverwendet werden sollen, kann der Aufwand zum Löschen niedriger angesetzt werden als bei Datenträgern, die den Anwendungsbereich verlassen und z. B. verkauft werden. Daher sollte eine Anforderungsanalyse vor der Auswahl durchgeführt werden, um geeignete Verfahren zu finden. Hierbei sollten unter anderem folgende Fragen beantwortet werden:
- Welche Datentypen (auf welchen Betriebssystemen und in welchen Anwendungen) und welche Datenträgertypen (z. B. optisch oder magnetisch) mit welchen Datenvolumen (z. B. Megabyte, Gigabyte, Terabyte) sollen sicher gelöscht werden?
- Wie hoch ist der Schutzbedarf der auf den Datenträgern gespeicherten Daten?
- Werden die Datenträger in einem geschützten Bereich verwendet?
- Wie groß ist die voraussichtliche Menge von Datenträgern eines Typs, der gelöscht bzw. vernichtet werden soll?
- Sind bereits Werkzeuge zum Löschen und Vernichten von Informationen vorhanden? Sind diese geeignet für den identifizierten Schutzbedarf und die vorhandenen Datenträger-Arten?
- Welche Arten von Lösch- und Vernichtungsverfahren existieren für den identifizierten Schutzbedarf und die vorhandenen Datenträger-Arten? Wie hoch ist der Schulungsaufwand, um diese zuverlässig zu benutzen?
Das Löschen von Daten oder Vernichten von Datenträgern sollte arbeitsplatz- und zeitnah durchgeführt werden, damit die Datenträger möglichst nicht zwischengelagert werden müssen. Damit wird in der Regel auch der Personenkreis, der mit den Datenträgern umgeht, eingeschränkt und die Sicherheit erhöht.
Je nach Schutzbedarf der Informationen und den verwendeten Datenträger müssen andere Werkzeuge oder Geräte verwendet werden, um die Daten zuverlässig zu löschen oder zu vernichten. Einige Werkzeuge und Geräte sind teuer in der Anschaffung bzw. nicht einfach korrekt zu bedienen. Daher kann es sinnvoll sein, hierfür Dienstleistungsverträge mit Externen abzuschließen. Zu diesem Zweck müssen die ausgesonderten Datenträger innerhalb der Institution eingesammelt werden. Dazu sollten an geeigneten Stellen einbruchsichere Behälter aufgestellt und regelmäßig geleert werden.
Es muss nachvollziehbar dokumentiert werden, welche Verfahren zum Löschen und Vernichten für die verschiedenen Datenarten und den jeweiligen Schutzbedarf ausgewählt wurden und wie diese anzuwenden sind.
Die Mitarbeiter müssen in die ausgewählten Verfahren zum Löschen und Vernichten von Informationen eingewiesen werden, vor allem, wenn sie die entsprechenden Werkzeuge selber benutzen sollen.
Prüffragen:
- Wurden für die verschiedenen Datenarten und den jeweiligen Schutzbedarf angemessene Verfahren zum Löschen oder Vernichten ausgewählt?
- Stehen für die verschiedenen Arten von Datenträgern geeignete Geräte und Werkzeuge zum zuverlässigen Löschen der gespeicherten Informationen zur Verfügung?
- Wurden die Mitarbeiter in die Verfahren zum Löschen und Vernichten von Informationen eingewiesen, vor allem in den Gebrauch der vorhandenen Werkzeuge und Geräte?