Bundesamt für Sicherheit in der Informationstechnik

M 2.436 Vernichtung von Datenträgern durch externe Dienstleister

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Leiter Organisation

Falls für die Vernichtung von Datenträgern auf externe Dienstleister zurückgegriffen wird, sind mit diesen detaillierte Regelungen zu treffen (siehe z. B. M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister ). Trotz Outsourcing sind interne Regelungen notwendig, um beispielsweise festzulegen, wie Datenträger eingesammelt und bis zur Abholung durch den Dienstleister verwahrt werden. In der DIN SPEC 66399:2012 Teil 3 "Prozess der Datenträgervernichtung" sind Kriterien für die Einbindung von Dienstleistern definiert. In vielen Fällen wird der Dienstleister für die Vernichtung auch mit dem Abtransport bereits vernichteter Datenträger oder auch dem Abtransport nicht vernichteter Datenträger mit dem Ziele der Vernichtung und der nachfolgenden Verwertung beauftragt. Hierbei sind die jeweils geltenden gesetzlichen Bestimmungen zu beachten.

Absicherung beim Auftraggeber

Zu vernichtende Datenträger müssen vor unbefugtem Zugriff gesichert aufbewahrt werden, bis sie abgeholt werden. Zur Sammlung von Datenträgern können innerhalb einer Institution beispielsweise Container aufgestellt werden, die so abgesichert sein müssen, dass keine Datenträger wieder entnommen werden können. Diese Sammelcontainer sind besonders interessant für Angreifer, da sie eine konzentrierte Sammlung von sensiblen Informationen enthalten. Keinesfalls sollte eine Vielzahl an Containern auf allgemein zugänglichen Fluren aufgestellt werden. Jedoch sollten die Standorte der Sammelcontainer arbeitsplatznah gewählt werden, damit Mitarbeiter zu vernichtende Datenträger nicht ungesichert, beispielsweise in der Schreibtischschublade, verwahren, ehe sie diese einer Sammlung übergeben (vergleiche M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ). Werden die Mitarbeiter bei der Auswahl eines geeigneten Standortes für die Sammelcontainer beteiligt, erhöht dies die allgemeine Akzeptanz.

Außerdem müssen Transport und Vernichtung angemessen abgesichert werden. Dazu sind mit der Dienstleistungsfirma vertragliche Vereinbarungen zu treffen, siehe dazu den Mustervertrag zur Entsorgung von Datenträgern unter den Hilfsmitteln zum IT-Grundschutz auf den BSI -Webseiten. Es muss regelmäßig überprüft werden, dass diese Regeln auch eingehalten werden.

Absicherung beim Transport

Es muss sichergestellt sein, dass nur die mit dem Transport beauftragten Personen die zu vernichtenden Datenträger ausgehändigt bekommen. Dafür sind zunächst beim Auftraggeber Personen zu benennen, die in den Entsorgungsprozess eingewiesen sind und die korrekte Ausführung der Abläufe überwachen können. Die beauftragten Transportboten müssen sich als solche ausweisen können, damit nicht die gesammelten vertraulichen Daten an einen Unbefugten herausgegeben werden. Die Übergabe der Datenträger ist schriftlich zu bestätigen, sowohl bei der Ein- als auch bei der Ablieferung. Auf der gesamten Transportstrecke muss gewährleistet sein, dass nur berechtigte Personen das Material transportieren. Auf der gesamten Transportstrecke sollten weder die Mitarbeiter der Transportfirma noch andere Personen auf das Material Zugriff nehmen können. Beispielsweise könnten verschlossene oder verplombte Behälter eingesetzt werden.

Absicherung beim Dienstleister

Der Entsorgungsdienstleister muss einen funktionierenden Sicherheitsprozess aufgesetzt haben, so dass die zu vernichtenden Datenträger zuverlässig unlesbar gemacht werden und keine Unbefugten Informationen daraus gewinnen können. Der Dienstleister muss ein aktuelles, nachvollziehbares Datenschutz- und Sicherheitskonzept haben. Generelle Anforderungen an Dienstleister und deren Mitarbeiter sind in M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters beschrieben.

Bei der Anlieferung ist die Vollständigkeit des Transportguts zu überprüfen, also z. B. die Anzahl der Behälter und deren Gewicht zu kontrollieren. Beim Dienstleister wird das zu entsorgende Material typischerweise zunächst zwischengelagert. Hier muss sichergestellt sein, dass es eine funktionierende Zutrittskontrolle gibt, damit Unbefugte auf die zu vernichtenden Datenträger oder auf die Geräte keinen Zugriff erhalten.

Die Geräte und Werkzeuge zur Vernichtung von Datenträgern dürfen nur von Mitarbeitern bedient werden, die in deren Handhabung eingewiesen wurden.

Prüffragen:

  • Werden die zu vernichtenden Datenträger vor unbefugtem Zugriff gesichert aufbewahrt, bis sie abgeholt werden?

  • Sind beim Auftraggeber Personen zur Kontrolle des Entsorgungsprozesses benannt und eingewiesen worden?

  • Kontrolliert der Auftraggeber regelmäßig den Entsorgungsprozess?

  • Sind Abholung und Transport der zu vernichtenden Datenträger angemessen abgesichert?

  • Ist der Sicherheitsprozess beim Entsorgungsdienstleister zuverlässig, nachvollziehbar und dem Schutzbedarf der zu vernichtenden Datenträger angemessen?

Stand: 13. EL Stand 2013