Bundesamt für Sicherheit in der Informationstechnik

G 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente

Wenn Datenträger oder Dokumente nicht geeignet entsorgt werden, können hieraus unter Umständen Informationen extrahiert werden, die Dritten nicht in die Hände fallen sollten.

Beispiele:

  • Angreifer müssen nicht immer komplizierte technische Attacken austüfteln, um über Schwachstellen in IT-Systemen an Informationen zu gelangen. Viel einfacher und erfolgreicher kann die Informationsgewinnung aus der Mülltonne (Dumpster Diving) sein. Büromüll, wie beispielsweise Disketten, CD-ROM s, interne Telefonbücher oder auch die aktuellen Erfolgsbilanzen, ist im Allgemeinen nicht besonders schmutzig und kann sehr viele interessante und weiterverwertbare Informationen enthalten.
  • CD-ROMs können zur Wiederverwertung an vielen Stellen abgegeben werden. Leider wird hierbei häufig nicht bedacht, dass auch CD-ROMs mit "alten" Datensicherungen oder anderen Dateien für Externe noch interessante Informationen enthalten können. Das Zerkratzen der Oberfläche reicht hier nicht, um Interessierte an der Auswertung von Informationen erfolgreich zu hindern.

Auch alte oder defekte IT-Systeme enthalten häufig eine Vielzahl von spannenden Informationen. So hat eine Test-Kaufreihe einer Computer-Zeitschrift ergeben, dass auf 90 % der gebraucht gekauften Festplatten noch die vollständigen Informationen der vorherigen Besitzer enthalten waren.

Beispiele:

  • Zwei Wissenschaftler vom Massachusetts Institute of Technology haben untersucht, wie viele sensitive Daten über den Handel mit gebrauchten Computern und Computerkomponenten in die Hände Unbefugter gelangen. Ihre Untersuchung ergab, dass nur 10 % der IT-Komponenten so gesäubert worden waren, dass keine Daten rekonstruiert werden konnten. Die übrigen Platten enthielten unter anderem Pornographie, Liebesbriefe, Kreditkartennummern oder Patientendaten. Der "Hauptgewinn" war eine Festplatte, die zuvor offensichtlich in einem Geldautomaten eingebaut war, und auf der neben Kontonummern und Kontoständen auch ein Teil der verwendeten Software zu finden war.
  • Der Käufer eines ausgemusterten Behördencomputers wandte sich an Datenschutzbeauftragte und Presse, nachdem er darauf die nur scheinbar gelöschten Daten eines Nachlassgerichtes rekonstruieren konnte.

Sind für Telearbeiter am häuslichen Arbeitsplatz keine geeigneten Möglichkeiten vorhanden, um Datenträger und Dokumente geeignet zu entsorgen, wandern diese erfahrungsgemäß meist in den Hausmüll. Auch dort, wo unterwegs gearbeitet wird, besteht die bedauerliche Neigung, Entwürfe und anderes "Unnützes" direkt in die nächsten Papierkörbe zu geben oder einfach liegen zu lassen, sei es im Hotel oder in der Bahn.

Beispiel:

  • So wurden bereits aus Patientenakten von den Nachbarskindern Papierflugzeuge gebastelt. Diese waren von einem Telearbeiter als Altpapier zur Entsorgung vor die Haustür gestellt worden. Da die brisanten Papierflugzeuge anschließend überall in der Nachbarschaft zu finden waren, war dies bald als Nachricht über den schlechten Datenschutz einer Klinik in der Lokalpresse zu lesen.

Stand: 10. EL Stand 2008