Bundesamt für Sicherheit in der Informationstechnik

M 2.434 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT, Leiter Organisation

Verantwortlich für Umsetzung: Beschaffungsstelle, IT-Sicherheitsbeauftragter, Leiter IT

Typischerweise werden in den meisten Institutionen für die verschiedenen Arten von Datenträgern unterschiedliche Werkzeuge zur Löschung oder Vernichtung der darauf gespeicherten Daten eingesetzt. Einige davon an den Arbeitsplätzen der Mitarbeiter, andere zentralisiert, beispielsweise beim IT-Support. Vor der Beschaffung eines Werkzeugs sollten die Anforderungen und Rahmenbedingungen ermittelt werden, um ein für den jeweiligen Anwendungsfall geeignetes Werkzeug zu finden. Bei der Auswahl von Geräten zur Löschung oder Vernichtung von Daten sind die Anforderungen zu berücksichtigen, die in M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten festgelegt wurden.

Die Anforderungen an die jeweiligen Werkzeuge zur Löschung oder Vernichtung von Daten sollten dokumentiert werden, um auf Basis der Dokumentation regelmäßig prüfen zu können, ob die Anforderungen durch die ausgewählten Werkzeug erfüllt werden.

Die Anforderungen an Aktenvernichter sind in M 2.435 Auswahl geeigneter Aktenvernichter beschrieben. Die Anforderungen an Werkzeuge zur Löschung oder Vernichtung elektronischer Datenträger sind stark von deren Bauart und Einsatzzweck bestimmt. Im Vordergrund steht die Erfüllung der Sicherheitsanforderungen der Institution. Geklärt werden sollte unter anderem:

  • Können die Daten entsprechend ihres Schutzbedarfs zuverlässig gelöscht werden?
  • Hat eine unabhängige Institution wie das BSI das Produkt nach anerkannten Sicherheitskriterien wie den Common Criteria ( CC ) zertifiziert oder für den Einsatz im Geheimschutz-Bereich zugelassen?
  • Lässt sich das Produkt einfach installieren, konfigurieren und nutzen?
  • Kann das Produkt so konfiguriert werden, dass die vorgegebenen Sicherheitsziele erreicht werden können?
  • Können wichtige Konfigurationsparameter vor Veränderungen durch unbefugte Benutzer geschützt werden?
  • Enthält die mitgelieferte Produktdokumentation eine genaue Darstellung aller technischen und administrativen Details?
  • Ist die Leistungsfähigkeit des Produktes der Größe des Benutzerkreises angemessen?
  • Können Mitarbeiter die Werkzeuge ohne größere Schulungsmaßnahmen effektiv, sicher und fehlerfrei nutzen?
  • Wie hoch sind die Anschaffungskosten der Produkte? Wie hoch sind die voraussichtlichen laufenden Kosten (Wartung, Betrieb, Support)?

Werden Daten unabsichtlich gelöscht, kann dies ganze Geschäftsprozesse stören. Daher sollte geklärt werden, ob sich die Schnittstellen und Zugänge zur Verwendung dieser Werkzeuge ausreichend absichern lassen.

Wie diese Anforderungen konkretisiert werden können, soll am Beispiel an einem Anforderungsprofil zum sicheren Löschen von Festplatten aufgezeigt werden.

Beispiel:

Um Festplatten zu löschen, gibt es eine Vielzahl auf dem Markt verfügbarer Werkzeuge. Die wesentlichen Unterscheidungsmerkmale sind hierbei:

  • Anzahl der Überschreibvorgänge
  • Überschreibmuster
  • Wechsel der Überschreibmuster pro Durchlauf
  • Berücksichtigung der Festplatten-internen Codierung
  • Verifikationsdurchläufe

Bei der Auswahl von Löschwerkzeugen für Festplatten sollte darauf geachtet werden, dass die ausgewählte Lösung die folgenden Anforderungen erfüllt:

  • Unterstützung der eingesetzten Betriebssysteme und Anwendungen: Sie sollte mit der vorhandenen Hardware und den eingesetzten Betriebssystemen problemlos zusammenarbeiten.
  • Protokollierung: Löschvorgänge sollten protokolliert werden können. Um gesetzliche oder vertragliche Rahmenbedingungen zu erfüllen, kann es erforderlich sein, nachweisen zu können, dass Datensätze zu einem bestimmten Zeitpunkt gelöscht wurden.
  • Korrektheit der Implementierung: Tests von Löschtools haben immer wieder ergeben, dass diese fehlerhaft implementiert werden und z. B.
    • falsche (also untaugliche) Überschreibmuster verwendet wurden,
    • Sektoren nicht überschrieben wurden,
    • nicht die angegebene Anzahl von Überschreibvorgängen durchgeführt wurde,
    • statt Zufallszahlen als Überschreibmuster Konstanten benutzt wurden.

Da es für Anwender schwierig ist, solche Implementierungsfehler festzustellen, sollten möglichst Produkte beschafft wurden, die von unabhängigen Stellen getestet wurden. Bevorzugt sollte auf Tests zurückgegriffen werden, bei denen alle Testkriterien offengelegt werden, wie z. B. Tests, die auf CC oder ISO- bzw. DIN -Normen basieren. Wenn hier keine aktuellen Prüfungen vorliegen, sollten ersatzweise IT-Fachzeitschriften vor einer Beschaffung gesichtet werden, die regelmäßig Tests von Lösch-Werkzeugen durchführen.

Prüffragen:

  • Sind die Anforderungen an Werkzeuge zur Löschung oder Vernichtung von Informationen dokumentiert?

  • Wurde überprüft, ob die Anforderungen durch die ausgewählten Werkzeuge erfüllt werden?

Stand: 11. EL Stand 2009