Bundesamt für Sicherheit in der Informationstechnik

M 2.435 Auswahl geeigneter Aktenvernichter

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Organisation

Verantwortlich für Umsetzung: Beschaffungsstelle, IT-Sicherheitsbeauftragter

Mit Aktenvernichtern können Papier-Dokumente, aber auch Chipkarten und CD s so zerschnitten werden, dass aus den Fragmenten die ursprünglichen Informationen nicht mehr ohne Weiteres ausgelesen werden können. Ob und mit welchem Aufwand die Informationen rekonstruiert werden können, hängt von der Güte des benutzten Geräts ab. In der Norm DIN 66399:2012 "Vernichten von Datenträgern" sind drei Schutzklassen und sieben Sicherheitsstufen definiert. Grundlage für die Zuordnung in eine Schutzklasse ist der Schutzbedarf der Daten. Die Norm benennt für jede Schutzklasse die zugehörigen Sicherheitsstufen und damit die Größe der von den Aktenvernichtern erzeugten Partikel. In den niedrigeren Sicherheitsstufen gibt es Aktenvernichter, die das Material in Streifen schneiden (Streifenschnitt). In den höheren Sicherheitsstufen solche, die durch eine andere Schnitttechnik Partikel erzeugen (z. B. Kreuzschnitt). Bei Streifenschnitt gibt es allerdings eine hohe Wahrscheinlichkeit, dass sich die Dokumente wieder zusammensetzen lassen. Vor allem bei einer geringen Durchmischung, also nur wenigen zerkleinerten Dokumenten, lassen sich selbst sehr schmal geschnittene Dokumente der Sicherheitsstufe P-3 wieder mit geringem Aufwand rekonstruieren. Um Dokumente mit schutzbedürftigen Informationen zu entsorgen, sollten daher Aktenvernichter mit Partikelschnitt ( z. B. Kreuzschnitt ab Sicherheitsstufe P-4) verwendet werden.

Anforderungen an solche Geräte werden in der Norm DIN  66399:2012 Teil 2 "Anforderungen an Maschinen zur Vernichtung von Datenträgern" beschrieben. Den verschiedenen Arten von Datenträgern sind jeweils Sicherheitsstufen zugeordnet, die unterschiedliche Anforderungen an die Größe des vernichteten Materials stellen. In DIN 66399 werden Sicherheitsstufen durch eine Materialkennung und die Stufennummer angegeben, wie beispielsweise "Papier, Sicherheitsstufe 3 (P-3)". Ein Vernichter für Papier ist nicht unbedingt ausreichend für die Vernichtung von Chipkarten oder ähnlichen Datenträgern. Bei den im Folgenden genannten Werten für Partikelgrößen erfordert die DIN 66399 Teil 2 eine Einhaltung von 90 %, 10 % der Partikel in einer Stichprobe dürfen größer sein.

  • Sicherheitsstufe 3: Für Akten (P-3) darf die Partikelgröße 320 Quadratmillimeter nicht überschreiten. Bei Streifenschnitt darf die Streifenbreite maximal 2 Millimeter betragen. Bei Mikrofilmen (F-3) sind 10 Quadratmillimeter und bei Chipkarten (E-3) 160 Quadratmillimeter gefordert. Die Reproduktion der Informationen ist nur mit erheblichem Aufwand (Personen, Hilfsmittel, Zeit) möglich.
  • Sicherheitsstufe 4: Die Partikelgröße darf für Akten (P-4) 160 Quadrat-millimeter nicht überschreiten, bei Mikrofilmen (F-4) 2,5 Quadrat-millimeter. Bei Chipkarten (E-4) darf die Partikelgröße 30 Quadrat-millimeter nicht überschreiten, der Chip muss hierbei mindestens einmal geteilt werden. Die Reproduktion der Informationen ist nur mit außergewöhnlich hohem Aufwand möglich.
  • Sicherheitsstufe 5: Die Partikelgröße (P-5) darf 30 Quadratmillimeter nicht überschreiten, bei Mikrofilmen (F-5) 1 Quadratmillimeter. Bei Chipkarten (E-5) darf die Partikelgröße 10 Quadratmillimeter nicht überschreiten, der Chip muss dabei mehrfach geteilt werden. Die Reproduktion der Informationen ist nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen möglich.

Für die Vernichtung von Datenträgern mit normalem Schutzbedarf sollten Vernichtungsgeräte der Sicherheitsstufen 3 (mit den oben genannten Einschränkungen), oder höher verwendet werden. Bei höherem Schutzbedarf sollten Geräte der Sicherheitsstufen 4, 5 oder höher eingesetzt werden.

Bei der Wahl der geeigneten Sicherheitsstufe sollten die Anwender folgendes beachten, um eine Optimierung von Kosten und Sicherheit zu erreichen:

  • Je kleiner die Partikelgröße, umso größer ist die Sicherheit bei der Vernichtung. Entscheidend ist insbesondere bei Dokumenten, ob schon einzelne Partikel schützenswerte Information beinhalten, oder ob die schützenswerte Information erst durch Zusammensetzen mehrerer Partikel zur Verfügung steht. Es kann Situationen geben, in denen einzelne übergroße Partikel, welche nach Toleranzbereich der Norm durchaus zulässig sind, schon schützenswerte Information enthalten können und das Schutzziel mit einer gewählten Sicherheitsstufe eventuell nicht erreicht wird.
    In gewissem Maß kann die Sicherheit erhöht werden, wenn Aktenvernichter eine hohe Durchsatzleistung haben und deswegen schon beim Vernichtungsvorgang eine starke Vermischung der Partikel erfolgt. Aktenvernichter für den Büroeinsatz haben üblicherweise nur eine geringe Durchmischung. Die Sicherheit wird weiter reduziert, wenn Farbe oder andere Eigenschaften des Vernichtungsguts eine Rekonstruktion erleichtern.
  • Bei kleinerer Partikelgröße wird die Durchsatzleistung des Gerätes geringer. Um eine gewünschte Durchsatzmenge zu erreichen, ist die Anschaffung eines leistungsmäßig größeren und damit teureren Aktenvernichters erforderlich. In diesem Fall ist zu prüfen, ob die Randbedingungen eine niedrigere Sicherheitsstufe und damit ein billigeres Gerät zulassen, wenn dadurch die Anforderungen aus dem Schutzbedarf eingehalten werden.

Das soll an zwei Beispielen verdeutlicht werden:

  • Ein Unternehmen muss häufig Akten mit höchstem Schutzbedarf (Firmen-Vertraulich, Geheim) vernichten. Wegen des eher geringen Umfangs der Akten ist keine große Durchsatzleistung zu erwarten. In diesem Fall muss ein Aktenvernichter der Sicherheitsstufe P-6 oder P-7 eingesetzt werden.
  • In einem Unternehmen fallen in der Masse offene Dokumente und Dokumente bis zu normalem Schutzbedarf (Nur für interne Verwendung) zur Vernichtung an. Dokumente mit höherem Schutzbedarf mit wenigen Seiten sind nur selten zu vernichten. Hier ist ein Aktenvernichter der Sicherheitsstufe P-5 vertretbar. Die Dokumente mit höherem Schutzbedarf sind dann zusammen mit anderen, z. B. offenen Unterlagen, zu vernichten, um eine ausreichende Vermischung der Partikel zu erreichen.

Datenträger mit Dokumenten in verkleinerter Darstellung (z. B. Mikrofilm, Mikrofiche) sowie Magnetstreifenkarten, Chipkarten, CDs und DVDs können grundsätzlich ebenfalls mit geeigneten Vernichtungsgeräten vernichtet werden. Um dieselbe Sicherheitsstufe zu erreichen, müssen diese aber in kleinere Partikelgrößen zerschnitten werden. In der Norm DIN 66399 Teil 2 sind auch für Mikrofilme Partikelgrößen vorgegeben. Derzeit sind aber keine Mikrofilmvernichter mehr am Markt erhältlich. Eine Vernichtung von Mikrofilmen ist deshalb nur durch Verbrennen oder Einschmelzen möglich.

Vernichtungsgeräte unterliegen durch die Nutzung einem normalen Verschleiß. Durch Vernichtung von Material, für dass das Vernichtungsgerät nicht geeignet ist, können Schäden entstehen. In beiden Fällen wird die Schneidqualität beeinträchtigt, sodass in regelmäßigen Abständen eine Prüfung des Vernichtungsgutes notwendig ist. Hier reicht zumeist ein Vergleich des Vernichtungsgutes mittels Sichtkontrolle gegen die Angaben aus der Gerätedokumentation.

Prüffragen:

  • Entspricht die Partikelgröße dem Schutzbedarf der Informationen?

  • Werden für die Vernichtung schutzbedürftiger Informationen Aktenvernichter mit Kreuzschnitt verwendet?

  • Ist bei der Auswahl des Aktenvernichters die Durchsatzmenge beachtet worden?

  • Wird das Vernichtungsgut regelmäßig kontrolliert, ob die Partikelgröße eingehalten wird?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK