Meist machen sich Unternehmen in erster Linie Gedanken darüber, wie sie die ständig wachsenden Datenbestände kostengünstig und sicher speichern können. Doch auch der umgekehrte Fall ist relevant: Daten, die nicht mehr benötigt werden, müssen gelöscht werden - und zwar so, dass Datenschutzgesetze und Compliance-Regeln eingehalten werden.
So verlangt Artikel 17 der neuen EU-Datenschutzgrundverordnung (EU-DSGVO), dass Unternehmen personenbezogene Daten von Kunden löschen, wenn diese Informationen nicht mehr benötigt werden oder wenn die betreffende Person die Löschung verlangt. Unternehmen müssen laut der DSGVO zudem nachweisen, dass sie Datenträger mit personenbezogenen Informationen sachgerecht gelöscht beziehungsweise vernichtet haben.
Um die Löschaufforderung von Betroffenen umzusetzen, ist es zum einen erforderlich, Daten in Anwendungen zu löschen. Dies ist insbesondere bei Datenbanksystemen problematisch, bei denen die personenbezogenen Daten von Betroffenen mit anderen Informationen in Beziehung stehen. Das Löschen ist bisher in den Anwendungen teilweise nicht oder nur mit Zusatzmodulen möglich, beispielsweise SAP Information Livecycle Management.
Um diese Anforderung zukünftig umzusetzen, müssen Unternehmen ein Löschkonzept erstellen. Darin wird ausgehenden von den Prozessen, in denen personenbezogene Daten verarbeitet werden, die Vorgehensweise der Löschung definiert. Als erster Schritt in Richtung eines Löschkonzeptes ist es bereits jetzt empfehlenswert, bei den Herstellern der Anwendungen aktiv nachzufragen, wie eine Löschung von Daten in der Anwendung umgesetzt wurde beziehungsweise künftig umgesetzt wird.
Zum anderes ist es notwendig, Daten auf vorhandenen Speichermedien, Rechnern und Storage-Komponeneten gesetzeskonform zu vernichten. Doch das ist leichter gesagt als getan. Allzu oft tappen Unternehmen in folgende "Falle": Die IT-Abteilung ersetzt alte Server, Storage-Systeme oder Notebooks durch neue Modelle. Manche der Oldies werden verschrottet, andere als Gebrauchtware verkauft. Dumm nur, wenn die neuen Besitzer auf den SSDs oder Festplatten solcher Systeme noch Geschäftsdaten des Vorbesitzers vorfinden.
Erster Schritt: Datenbestände und Speichersysteme erfassen
Im ersten Schritt gilt es somit zu ermitteln, wo welche Informationen gespeichert sind, auf SSDs und Festplatten, auf Mobilsystemen, Magnetbändern, Sticks oder DVDs. Hinzu kommen Speichersysteme wie Network-Attached-Storage-Server (NAS). Sogar Drucker und Multifunktionssysteme enthalten Festplatten, auf denen sie Druckdaten zwischenspeichern.
Zudem ist sicherzustellen, dass die gesetzlichen Aufbewahrungsfristen eingehalten werden. Abrechnungsunterlagen und Steuerunterlagen müssen beispielsweise 10 Jahre bewahrt werden; bei medizinischen Daten können es 30 Jahre sein. Einfach drauf los zu löschen, ist daher nicht zu empfehlen. Vielmehr ist es notwendig, eine Art Datenmanagement zu etablieren. Es erinnert die IT-Abteilungen beziehungsweise Datenschutzbeauftragte daran, wann bestimmte Daten gelöscht werden sollten.
Art der Unterlagen | Aufbewahrungsfrist (Jahre) |
Abrechnungsunterlagen (soweit Buchungsbelege) | 10 |
Abschreibungsunterlagen | 10 |
Abtretungserklärung nach Erledigung | 6 |
Änderungsnachweise der EDV-Buchführung | 10 |
Akkreditive | 6 |
Aktenvermerke (soweit Buchungsbelege) | 10 |
Angebote, die zu einem Auftrag geführt haben | 6 |
Anlagenvermögensbücher und -karteien | 10 |
Arbeitsanweisungen für EDV-Buchführung | 10 |
Ausfuhrbelege | 10 |
Ausgangsrechnungen | 10 |
Im zweiten Schritt gilt es die richtige Methode für Löschen von Daten zu finden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinen IT-Grundschutz-Katalogen einen Fragenkatalog bereit, mit dessen Hilfe Unternehmen eine Anforderungsanalyse durchführen können. Zu berücksichtigen ist beispielsweise:
Ob die SSDs, Festplatten oder Magnetbänder nach dem Löschen weiterhin benutzt sollen. Wenn nicht können, sie geschreddert werden.
Welche Datenträger und Datentypen vorhanden sind, etwa Word- und Excel-Dateien, Einträge in Datenbanken, Adressinformationen cetera.
Ob zertifizierte Tools für das sichere Löschen vorhanden sind und Mitarbeiter diese bedienen können.
Welchen Schutzbedarf die gespeicherten Daten haben und ob sich diese Informationen mit den vorhandenen Werkzeugen gesetzeskonform vernichten lassen.
"Delete" ist keine Lösung
In der Regel muss ein Unternehmen spezielle Lösch-Tools einsetzen. Denn einfach eine Datei mithilfe des "Ent"-Knopf auf der Tastatur zu löschen und anschließend den Papierkorb des Rechners zu entleeren, reicht nicht aus. In diesem Fall werden nur die Verweise auf die gelöschten Dateien entfernt. Sie zeigen dem Betriebssystem, wo die Daten gespeichert sind. Die Informationen selbst bleiben erhalten. Das ist im Übrigen auch beim Formatieren von Datenträgern wie Festplatten der Fall.
Das BSI empfiehlt daher, ein "Leasing" durchzuführen. Dabei werden Daten auf einem Datenträger durch ein mehrmaliges Überschreiben mit Zufallszahlen (Nullen und Einsen) unlesbar gemacht. Das erfolgt mit kommerziellen Tools wie Blancco, das in Versionen für Server, PCs, mobile Endgeräte und Speicher-Systeme zur Verfügung steht. Zudem gibt es kostenlose Software, beispielsweise DBAN und Parted Magic. Wer sich unsicher ist, welche Software er verwenden kann, sollte sich bei Fachleuten informieren, etwa Datenschutzexperten von Bechtle. Sie wissen, mit welchen Tools ein sicheres Erasing durchgeführt werden kann und übernehmen auf Wunsch "Datenlösch-Aufgaben".
Drei bis sieben Mal "erasen"
Laut BSI reichen bei normalen Geschäftsdaten drei Erasing-Vorgänge aus, bei vertraulichen Informationen ist ein siebenmaliges Überschreiben angesagt. Das gilt beispielsweise für Verschluss-Sachen von Behörden, medizinische Daten sowie Entwicklungsunterlagen von Unternehmen.
Nach Einschätzung des BSI ist es in jedem Fall besser, den kompletten Datenträger zu löschen. Das selektive Entfernen einzelner Dateien von einer Festplatte oder SSD ist problematisch. Denn Kopien oder Teile der Daten können auch in anderen Bereichen eines Speichermediums vorhanden sein, etwa im Cache-Speicher, der Firmware von Controllern oder in Auslagerungsdateien.
SSDs erfordern eine Sonderbehandlung
Für SSDs gelten spezielle Regeln. Denn ein Überschreiben mit Zufallszahlen lässt Bereiche auf dem Flash-Speicher unangetastet. Diese sind für das "Over-Provisioning" reserviert. Dieser Speicherbereich wird vom Controller der SSD dazu genutzt, um die Performance zu erhöhen.
Um eine SSD sicher zu löschen, kann paradoxerweise ein Befehl verwendet werden, der eigentlich für Festplatten vorgesehen ist: ATA Secure Erase. Er eignet sich für Solid State Drives, die über den SATA-Bus an einen Rechner angebunden sind. Außerdem liefern Anbieter von SSDs wie Samsung, Western Digital, Intel oder Micron ihre Flash-Speicher mit Tools aus, mit denen der Nutzer ein "Erasing" durchführen kann. Diese Werkzeuge sind zudem bei Flash-Speichern die erste Wahl, die nicht SATA, sondern die NVMe-Schnittstelle (Non-Volatile Memory Express) verwenden. Sie nutzt das schnellere PCI-Express-Protokoll. Daher kann NVMe kann mit ATA Secure Erase nichts anfangen.
Rohe Gewalt anwenden!
Wenn Datenträger wie SSDs, Festplatten, Speicherkarten oder DVDs nicht mehr weiterverwendet werden, bietet sich eine "rabiate" Art der Datenlöschung an: das Shreddern der Datenträger. Allerdings erfordert das spezielle Systeme, und die kann sich nicht jedes Unternehmen leisten. Eines ist der Degausser. Er setzt magnetische Datenspeicher wie Festplatten oder Magnetbänder von Bandlaufwerken starken magnetischen Feldern aus. Dadurch werden die Datenträger unwiederbringlich vernichtet. Allerdings kosten die preisgünstigsten Degausser rund 5.000 Euro. Damit kommen sie vor allem für kleine und mittelständische Unternehmen kaum in Betracht.
Auch das normgerechte Shreddern alter Festplatten, SSDs und Speicherkarten ist eine Wissenschaft für sich. Die DIN 66399 sieht dafür drei Schutzklassen vor, vom normalen bis zum sehr hohen Schutzbedarf der Daten. Hinzu kommen sieben Sicherheitsstufen: Die Stufe 1 gilt für allgemeine Daten, etwa Broschüren und Kataloge. Die höchste Stufe 7 ist für streng geheime Informationen vorgesehen. Damit nicht genug: Es gibt noch sechs Unterkategorien von Datenträgern, darunter "H" für Festplatten, "O" für optische Medien wie DVDs und "T" für Bänder und Kassetten, etwa von Bandlaufwerken. Elektronische Datenträger wie USB-Sticks, SSDs und Smartphones und fallen unter die Kategorie "E".
Je nach Vertraulichkeit der Daten einer Festplatte oder einem anderen Speichermedium gibt die DIN vor, in wie kleine Partikel ein Datenträger geschreddert werden muss. Ein Beispiel: Bei einer Festplatte mit geheimen Unterlagen aus der Entwicklungsabteilung (Sicherheitsstufe 6, Schutzklasse 3) dürfen die Teile maximal eine Fläche von 320 Quadratmillimetern haben. Auch beim Schreddern haben Unternehmen zwei Optionen: Diese Aufgabe einem Dienstleister anvertrauen oder ein Schreddersystem anzuschaffen, das im Büro Platz findet. Solche Systeme, etwa das Intimus FlashEx, sind in der Lage, Smartphones, SSDs und Speichersticks zu zerkleinern.
Fachleute heranziehen
Es liegt auf der Hand, dass angesichts dieser komplexen Ausgangslage nicht jedes Unternehmen Mitarbeiter dafür abstellen kann, Datenträger fachgerecht löschen oder vernichten. Zudem fehlt es oft am Know-how und den entsprechenden Werkzeugen. Daher ist es für viele Unternehmen einfacher und letztlich auch preisgünstiger, das Löschen von Daten beziehungsweise Entsorgen von Datenträgern Fachleuten zu überlassen, beispielsweise Experten von Bechtle.
Solche Fachleute wissen, welche Datenlösch-Verfahren für welchen Zweck in Betracht kommen und welche Technologien über die erforderlichen Zertifizierungen verfügen, etwa gemäß "Common Criteria ISO/ IEC 15408 (CC)" und der europäischen Norm "Information Technology Security Evaluation Criteria" (ITSEC). Zudem haben solche Experten den Überblick darüber, welche Tools Institutionen empfehlen, beispielsweise das BSI, das amerikanische National Institute of Standards and Technologies (NIST), das-DoD (Department of Defense) und die NATO.
Löschen muss dokumentiert werden
Auf Wunsch übernehmen Systemhäuser wie Bechtle die Aufgabe, Daten vor Ort beim Kunden fachgerecht zu löschen. Das gilt auch für Informationen, die auf ausgemusterten Storage-Systemen lagern. Dienstleister bieten zudem an, ausgediente Festplatten, Flash-Speicher und DVDs zu vernichten. Das erfolgt entweder beim Kunden, etwa mithilfe einer mobilen Schredderanlage, oder beim Dienstleister.
Unternehmen sollten darauf achten, dass sie vom Datenlöschspezialisten ein Testat erhalten, in dem dieser das ordnungsgemäße Vernichten der Datenbestände oder der Datenträger bestätigt. Ein solches Zertifikat enthält folgende Informationen:
Wann die Datenlöschung durchgeführt wurde,
wie lange dies dauerte,
welche Medien gelöscht wurden (Daten zum Hersteller, Modell und der Größe der gelöschten Festplatte oder SSD sowie deren Seriennummer) sowie
welches Löschverfahren zum Einsatz kam.
Auch wer Daten in Eigenregie löscht, muss eine solche Dokumentation erstellen. Dies bedeutet letztlich, dass für die Prozesse Datenlöschen und "Datenträger-Vernichtung Mitarbeiter abgestellt werden sollten. In vielen Unternehmen dürfte diese Aufgabe der Datenschutzbeauftragte zusammen mit Fachleuten der IT-Abteilung übernehmen. Gleich, ob ein Unternehmen das Entsorgen von Daten selbst vornimmt oder die Hilfe von Dienstleistern in Anspruch nimmt: Auf die leichte Schulter sollte die fachgerechte Vernichtung von obsoleten Datenbeständen nicht genommen werden.