M 2.434 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: Beschaffungsstelle, IT-Sicherheitsbeauftragter, Leiter IT

Typischerweise werden in den meisten Institutionen für die verschiedenen Arten von Datenträgern unterschiedliche Werkzeuge zur Löschung oder Vernichtung der darauf gespeicherten Daten eingesetzt. Einige davon an den Arbeitsplätzen der Mitarbeiter, andere zentralisiert, beispielsweise beim IT-Support. Vor der Beschaffung eines Werkzeugs sollten die Anforderungen und Rahmenbedingungen ermittelt werden, um ein für den jeweiligen Anwendungsfall geeignetes Werkzeug zu finden. Bei der Auswahl von Geräten zur Löschung oder Vernichtung von Daten sind die Anforderungen zu berücksichtigen, die in M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten festgelegt wurden.

Die Anforderungen an die jeweiligen Werkzeuge zur Löschung oder Vernichtung von Daten sollten dokumentiert werden, um auf Basis der Dokumentation regelmäßig prüfen zu können, ob die Anforderungen durch die ausgewählten Werkzeug erfüllt werden.

Die Anforderungen an Aktenvernichter sind in M 2.435 Auswahl geeigneter Aktenvernichter beschrieben. Die Anforderungen an Werkzeuge zur Löschung oder Vernichtung elektronischer Datenträger sind stark von deren Bauart und Einsatzzweck bestimmt. Im Vordergrund steht die Erfüllung der Sicherheitsanforderungen der Institution. Geklärt werden sollte unter anderem:

Werden Daten unabsichtlich gelöscht, kann dies ganze Geschäftsprozesse stören. Daher sollte geklärt werden, ob sich die Schnittstellen und Zugänge zur Verwendung dieser Werkzeuge ausreichend absichern lassen.

Wie diese Anforderungen konkretisiert werden können, soll am Beispiel an einem Anforderungsprofil zum sicheren Löschen von Festplatten aufgezeigt werden.

Beispiel:

Um Festplatten zu löschen, gibt es eine Vielzahl auf dem Markt verfügbarer Werkzeuge. Die wesentlichen Unterscheidungsmerkmale sind hierbei:

Bei der Auswahl von Löschwerkzeugen für Festplatten sollte darauf geachtet werden, dass die ausgewählte Lösung die folgenden Anforderungen erfüllt:

Da es für Anwender schwierig ist, solche Implementierungsfehler festzustellen, sollten möglichst Produkte beschafft wurden, die von unabhängigen Stellen getestet wurden. Bevorzugt sollte auf Tests zurückgegriffen werden, bei denen alle Testkriterien offengelegt werden, wie z. B. Tests, die auf CC oder ISO- bzw. DIN -Normen basieren. Wenn hier keine aktuellen Prüfungen vorliegen, sollten ersatzweise IT-Fachzeitschriften vor einer Beschaffung gesichtet werden, die regelmäßig Tests von Lösch-Werkzeugen durchführen.

Prüffragen: