Bundesamt für Sicherheit in der Informationstechnik

M 2.527 Sicheres Löschen in SAN-Umgebungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Werden die in einer Speicherlösung erfassten Daten nicht länger benötigt, müssen diese gelöscht werden. Institutionen finden im Baustein B 1.15 Löschen und Vernichten von Daten bereits eine Vielzahl relevanter Maßnahmen zum sicheren Löschen von Daten. Insbesondere M 2.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen geht auf die Problematik der selektiven Datenlöschung ein, die auch in modernen Speicherlösungen von Bedeutung ist.

Das sichere Löschen von Daten in SAN -Umgebungen stellt insbesondere bei der Nutzung durch unterschiedliche Mandanten, wie sie beispielsweise bei Cloud-Storage anzutreffen ist, eine besondere Herausforderung dar. Daher ist hier die Umsetzung zusätzlicher Maßnahmen zu empfehlen.

Verfahren zum sicheren Löschen in SAN -Umgebungen müssen bei der Planung von Notfalltests und -übungen von Speicherlösungen (siehe auch Maßnahme M 6.98 Notfallvorsorge und Notfallreaktion für Speicherlösungen ) beachtet werden. Bei solchen Tests und Übungen werden in kurzer Zeit große Datenmengen in vielen LUN s mit gegebenenfalls unterschiedlichem Schutzbedarf erzeugt, die nach Abschluss des Tests wieder gelöscht werden müssen. Vergleichbares gilt, wenn bei einem Desaster-Fall LUN s kopiert wurden und nach der Bewältigung des Desasters mehrfach vorliegen.

Grundsätzlich bestehen folgende Möglichkeiten zur Löschung von Daten in SAN -Umgebungen:

  • Löschen einer logischen Festplatte in einem Speichersystem ( LUN ):
    Beim Löschen einer LUN werden die logischen Strukturen auf den zugehörigen Festplatten, RAID -Gruppen oder Festplattenpools aufgebrochen, somit wird die Kapazität der gelöschten LUN wieder freigegeben. Es werden keine physischen Blöcke "genullt", also mit "Pattern" überschrieben. Der Zugriff auf die Daten einer LUN aus Anwendungssicht ist in der Folge nicht mehr möglich, da eine gelöschte LUN mit den Bordmitteln eines Speichersystems nicht wiederhergestellt werden kann. Nach dem Löschen der LUN ist nicht mehr nachvollziehbar, welche Sektoren einer Speichereinheit bzw. Festplatte der LUN in welcher Form zugeordnet waren, sodass Angreifer lediglich Zugriff auf Bit- oder Byteebene erhalten können, nicht aber auf zusammenhängende Datensätze. Das Wiederherstellen der Daten einer LUN ist extrem aufwendig und benötigt physischen Zugang zu den Speichermedien. Unter Umständen können Angreifer hierfür spezielle forensische Werkzeuge einsetzen, mit deren Hilfe die logische Struktur durchbrochen werden kann.
  • Mehrfaches Überschreiben der Daten einer LUN :
    Ausgehend vom zugeordneten Server werden die Daten einer LUN (mehrfach) mit festgelegten Daten oder "random Pattern" überschrieben. Je nach Anforderung zur Datenlöschung einer Institution ist ein zertifiziertes Löschen nach US-Standard DoD 5220-22.M möglich. Institutionen können sich hierzu am Markt erhältlicher Software bedienen. Daneben kann die Durchführung einer zertifizierten Löschung häufig in Form eines Services durch den Hersteller der Speicherlösung beauftragt werden. Die auf diese Weise überschriebenen Daten lassen sich im Anschluss nicht mehr wiederherstellen. Es gilt jedoch zu beachten, dass die zertifizierte Datenlöschung auf LUN -Basis nur serverseitig sichergestellt werden kann, da die Speichersysteme an sich diese Möglichkeit nicht bieten. Beim Löschen von Daten auf diese Weise entsteht eine erhöhte Schreibaktivität in einem Teil der Speicherlösung, die auch von anderen Mandanten genutzt werden kann. Es ist beim Löschen darauf zu achten, dass dadurch keine Daten anderer Mandanten beeinträchtigt werden und die vorgesehene Dienstgüte den anderen Mandanten weiterhin zur Verfügung steht. Ferner sollte beachtet werden, dass in SAN -Umgebungen dieses Verfahren nicht unbedingt funktioniert, wenn beispielsweise verschiedene Platten für unterschiedliche Aktivitätsmodi bereitstehen. Liegt eine LUN beispielsweise in dem Bereich, der für wenig Schreibaktivitäten vorgesehen ist, und wird dann durch mehrfaches Überschreiben eine hohe Aktivität erzeugt, kopieren solche SAN s diese LUN in den Bereich für hohe Schreibaktivität. Dann wird nur diese neue LUN überschrieben, aber die Daten in dem Bereich für geringere Schreibaktivität bleiben unüberschrieben.
  • Löschen von Daten eines Speichersystems:
    Sollen die gesamten Daten eines Speichersystems mithilfe eines zertifizierten Verfahrens durch Überschreiben gelöscht werden, bieten Hersteller von Speicherlösungen dies häufig als Service an.
  • Disk Retention:
    Wird im Wartungsvertrag mit dem Hersteller "Disk-Retention" vereinbart, verbleiben defekte Festplatten im Fehlerfall in der Institution und werden nicht an den Hersteller übergeben. Die Verantwortung für die sichere Löschung der Inhalte der Festplatten obliegt in der Folge der Institution. In der Regel werden die defekten Festplatten durch die Institution physisch zerstört. Disk Retention ist oft mit höheren Kosten verbunden, sollte aber auch schon bei normalem Schutzbedarf bezüglich Vertraulichkeit geprüft werden.

Die dargestellten Verfahren zum Löschen von Daten in einem Speichersystem sind vielschichtig und komplex. Den Verantwortlichen einer Institution sollte daher bewusst sein, dass dem sicheren Löschen von Daten ein besonderes Augenmerk gewidmet werden muss.

Aufgrund der Funktionsweise moderner SAN -Umgebungen ist die Wiederherstellung von Daten jedoch mit einem extrem hohen Aufwand verbunden, sodass derzeit bei normalem Schutzbedarf das Löschen einer LUN als ausreichend sicher angesehen wird.

Das Überschreiben einer LUN unter Einbeziehung aller möglichen zugehörigen Speichersegmente sollte bei einem erhöhten Schutzbedarf hinsichtlich der Vertraulichkeit geprüft werden.

Wird eine Speicherlösung außer Betrieb genommen, so sind die Inhalte der Maßnahme M 2.361 Außerbetriebnahme von Speicherlösungen umzusetzen.

Prüffragen:

  • Ist für das Speichersystem festgelegt, welche Informationen mit welchen Verfahren zu löschen sind?

  • Ist in mandantenfähigen Speicherlösungen die Löschung der LUNs sichergestellt, die einem bestimmten Mandanten zugeordnet sind?

  • Werden bei der Löschung von Daten mit hohem Schutzbedarf die zugehörigen Speichersegmente einer LUN mehrfach überschrieben?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK