M 2.527 Sicheres Löschen in SAN-Umgebungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Werden die in einer Speicherlösung erfassten Daten nicht länger benötigt, müssen diese gelöscht werden. Institutionen finden im Baustein B 1.15 Löschen und Vernichten von Daten bereits eine Vielzahl relevanter Maßnahmen zum sicheren Löschen von Daten. Insbesondere M 2.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen geht auf die Problematik der selektiven Datenlöschung ein, die auch in modernen Speicherlösungen von Bedeutung ist.

Das sichere Löschen von Daten in SAN-Umgebungen stellt insbesondere bei der Nutzung durch unterschiedliche Mandanten, wie sie beispielsweise bei Cloud-Storage anzutreffen ist, eine besondere Herausforderung dar. Daher ist hier die Umsetzung zusätzlicher Maßnahmen zu empfehlen.

Verfahren zum sicheren Löschen in SAN-Umgebungen müssen bei der Planung von Notfalltests und -übungen von Speicherlösungen (siehe auch Maßnahme M 6.98 Notfallvorsorge und Notfallreaktion für Speicherlösungen) beachtet werden. Bei solchen Tests und Übungen werden in kurzer Zeit große Datenmengen in vielen LUNs mit gegebenenfalls unterschiedlichem Schutzbedarf erzeugt, die nach Abschluss des Tests wieder gelöscht werden müssen. Vergleichbares gilt, wenn bei einem Desaster-Fall LUNs kopiert wurden und nach der Bewältigung des Desasters mehrfach vorliegen.

Grundsätzlich bestehen folgende Möglichkeiten zur Löschung von Daten in SAN-Umgebungen:

Die dargestellten Verfahren zum Löschen von Daten in einem Speichersystem sind vielschichtig und komplex. Den Verantwortlichen einer Institution sollte daher bewusst sein, dass dem sicheren Löschen von Daten ein besonderes Augenmerk gewidmet werden muss.

Aufgrund der Funktionsweise moderner SAN-Umgebungen ist die Wiederherstellung von Daten jedoch mit einem extrem hohen Aufwand verbunden, sodass derzeit bei normalem Schutzbedarf das Löschen einer LUN als ausreichend sicher angesehen wird.

Das Überschreiben einer LUN unter Einbeziehung aller möglichen zugehörigen Speichersegmente sollte bei einem erhöhten Schutzbedarf hinsichtlich der Vertraulichkeit geprüft werden.

Wird eine Speicherlösung außer Betrieb genommen, so sind die Inhalte der Maßnahme M 2.361 Außerbetriebnahme von Speicherlösungen umzusetzen.

Prüffragen: