Bundesamt für Sicherheit in der Informationstechnik

M 2.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Das jeweils geeignete Vorgehen, Daten sicher zu löschen oder zu vernichten, hängt sowohl von der Art der Datenträger als auch vom Schutzbedarf dieser Informationen ab. Die Informationen sollten daher nach ihrem Schutzbedarf klassifiziert sein (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ).

Aus vielerlei Gründen, beispielsweise im Rahmen von Partnerschaften oder Outsourcing-Dienstleistungen, werden sensible Informationen, sowohl auf elektronischen Datenträgern als auch in analoger Form an Dritte übergeben. Vorher ist vertraglich zu regeln, zu welchem Zeitpunkt und in welcher Weise diese Datenträger vollständig zurückzugeben oder zu vernichten sind.

Eine Vielzahl von Gesetzen, Vorschriften und Regelungen, die je nach Art der Institution und ihrer Geschäftsprozesse stark variieren können (siehe auch M 2.340 Beachtung rechtlicher Rahmenbedingungen ), sind bei der Löschung oder Vernichtung von Daten einzuhalten. Die entsprechenden Speicher- und Löschfristen für die verschiedenen Arten von Daten müssen identifiziert und beachtet werden.

Für die unterschiedlichen Arten von Datenträgern müssen passende Methoden eingesetzt werden, um die darauf enthaltenen Informationen sicher zu löschen oder den gesamten Datenträger zu vernichten. Es ist für die Institution wichtig, einen Überblick über die Arten der eingesetzten Datenträger zu haben. Es kann zwischen analogen Datenträgern, wie beispielsweise Papier, Farbbändern von Schreibmaschinen und Faxgeräten sowie digitalen Datenträgern (elektronisch, magnetisch, optisch) unterschieden werden. In der Praxis werden analoge Datenträger oft unkontrolliert, zum Beispiel über Papierkörbe entsorgt, da sie als "Büromaterial" ohne besonderen Schutzbedarf betrachtet werden.

Die für die sichere Löschung oder Vernichtung von Informationen notwendige Vorgehensweise sollte für die Mitarbeiter in einer Sicherheitsrichtlinie festgelegt werden (siehe M 2.432 Richtlinie für die Löschung und Vernichtung von Informationen ). Welche Verfahren und Geräte für die verschiedenen Datenträger ausgewählt werden sollten, ist in M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten beschrieben. In größeren Institutionen kann es hilfreich sein, Formblätter anzubieten, auf denen alle wesentlichen Informationen und durchzuführende Aktionen (wie Mitarbeiter-Name, Art der gespeicherten Daten, Grund und Art der Entsorgung) abgefragt werden.

Da sich die Technik und Bauart der digitalen Datenträger ständig ändert und weiterentwickelt, müssen auch die Vorgehensweisen und Verfahren zum zuverlässigen Löschen und Vernichten stetig angepasst werden.

Falls für die Vernichtung von Datenträgern auf externe Dienstleister zurückgegriffen wird, muss die gesamte Entsorgung, von den Sammelstellen über den Transport bis zur Vernichtung beim Dienstleister angemessen abgesichert sein (siehe M 2.436 Vernichtung von Datenträgern durch externe Dienstleister ).

Zusätzlich ist es sinnvoll, die Mitarbeiter regelmäßig für den sorgfältigen Umgang mit sicherheitskritischen Informationen und IT-Komponenten zu sensibilisieren (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ).

Um sensible Dateien selektiv zu löschen, muss darauf geachtet werden, dass nicht nur die aktuelle Version, sondern auch alle Vorgängerversionen, temporäre Dateien, Dateifragmente, etc. gelöscht werden. Die Verantwortlichen müssen wissen, wo Betriebssystem und Applikationssoftware Kopien der bearbeiteten Daten anlegen. Eine strukturierte Datenhaltung erleichtert es, die Informationen wieder zu finden (siehe M 2.138 Strukturierte Datenhaltung ). Die Erfahrung zeigt allerdings, dass immer wieder Informationen übersehen werden, wenn Datenträger vor Weitergabe an Externe selektiv gelöscht werden. Es ist daher von dem selektiven Löschen abzuraten.

Müssen Datenträger repariert werden, können vertrauliche Daten in falsche Hände geraten, wenn die Datenträger vorher nicht sicher gelöscht wurden. Der externe Dienstleister muss sorgfältig ausgewählt werden (siehe M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters ). Es muss eine schriftliche Zusicherung erfolgen, dass die Informationen auf den entsprechenden Datenträgern weder gelesen noch kopiert werden, sofern dies nicht für die Durchführung des Reparaturauftrages notwendig ist.

Beim Löschen und Vernichten von Informationen ist auf die sichere Entsorgung von Datenträgern zu achten, auf denen sich Kopien der zu löschenden Daten befinden. Dazu gehören beispielsweise Backup-Datenträger aber auch RAID-Systeme. Nach der Außerbetriebnahme eines IT-Systems müssen auch die entsprechenden Datensicherungsmedien gelöscht oder unbrauchbar gemacht werden, sobald die darauf gespeicherten Daten nicht mehr benötigt werden.

Hinweis: Werden die Daten direkt bei der Speicherung auf digitale Datenträger durch ein geeignetes Verschlüsselungsprodukt verschlüsselt, entstehen viele der angesprochenen Probleme erst gar nicht. Bei Laptops ist eine vollständige Verschlüsselung der Daten grundsätzlich empfehlenswert. Bei Server-Architekturen ist eine Komplett-Verschlüsselung häufig nicht machbar. Je nach Technologie kann eine vollständige Verschlüsselung der Server-Festplatten mehr Aufwand und Kosten als eine spätere Vernichtung der Platten mit sich bringen. Dies betrifft insbesondere SAN/NAS-Architekturen.

Auch bei analogen Datenträgern finden sich häufig Kopien, so zum Beispiel Altakten in lange nicht benutzten Lagerräumen, die ebenfalls vernichtet werden müssen.

Bei einem hohen oder sehr hohen Schutzbedarf der Informationen ist die Löschung und die Vernichtung zu protokollieren, vor allem im Rahmen der Aussonderung von analogen und digitalen Datenträgern.

Prüffragen:

  • Sind die Speicher- und Löschfristen für die in der Institution gebräuchlichsten Informationen bekannt? Werden sie beachtet?

  • Sind geeignete Lösch- und Vernichtungsverfahren für alle Arten von in der Institution eingesetzten Datenträgern vorhanden?

  • Ist beim Einsatz externer Dienstleister für die Entsorgung geregelt, wie die Datenträger intern gesammelt und bis zur Abholung aufbewahrt werden?

  • Ist sichergestellt, dass bei der Löschung von Daten auch die Vorgängerversionen, temporären Dateien, Dateifragmente oder ähnliches gelöscht werden?

  • Werden Löschung und Vernichtung von Datenträgern oder Informationen mit hohem oder sehr hohem Schutzbedarf protokolliert?

Stand: 11. EL Stand 2009