Bundesamt für Sicherheit in der Informationstechnik

M 2.566 Sichere Aussonderung eines eingebetteten Systems

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bevor ein eingebettetes System ausgesondert wird, sind alle auf Datenträgern vorhandenen bzw. permanent gespeicherten Daten so zu löschen, dass sie nachträglich auch nicht durch spezielle Software lesbar wiederhergestellt und missbräuchlich verwendet werden können. Ist es nicht möglich, die Daten sicher zu löschen, sind die betreffenden Datenträger sicher zu vernichten. Grundsätzlich gelten die Empfehlungen in M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten aus B 1.9 Hard- und Software-Management und B 1.15 Löschen und Vernichten von Daten :

  • Bei magnetischen Festplatten ist der gesamte Datenträger mit einem Zufallszahlenmuster zu beschreiben und der Vorgang zu verifizieren.
  • Bei flüchtigen Halbleiterspeichern, z. B. SRAM oder DRAM , ist zum Löschen die Stromversorgung auszuschalteten und, wenn vorhanden, vorher die Pufferbatterie zu entfernen.
  • Bei flüchtigen Halbleiterspeichern, z. B. SRAM oder DRAM , mit sehr hohem Schutzbedarf ist der Speicher mit beliebigen Daten einmal zu überschreiben, bevor die Stromversorgung ausgeschaltet wird.
  • Bei nichtflüchtigen Halbleiterspeichern, z. B. EPROM , EEPROM oder Flash, ist bei hohem Schutzbedarf der gesamte Speicherbereich mit geeigneter Software dreimal zu überschreiben.

Abhängig von der Art des eingebetteten Systems und des Schutzbedarfs der gespeicherten Daten sind weitergehende Aktionen nötig:

  • Festplatten sind mit einem für den Schutzbedarf zugelassenen Verfahren zu löschen bzw. physisch zu zerstören.
  • Festplatten mit Halbleiterspeicher, SSD oder Hybridformen, sind physisch zu zerstören.
  • Wenn bereits die Architektur bzw. eine teilweise in Hardware realisierte Programmierung eine schützenswerte Information darstellt, sind diese Komponenten physisch zu zerstören.
  • Chipkarten sind physisch zu vernichten. Dazu können sie z. B. zerkleinert oder eingeschmolzen werden. Nähere Anforderungen an Einrichtungen zur Vernichtung von Informationsträgern enthält die DIN 66399 "Büro- und Datentechnik Vernichtung von Datenträgern". Diese Norm unterscheidet sieben Sicherheitsstufen bei der Vernichtung und berücksichtigt bei der Festlegung den Grad der Schutzwürdigkeit von Informationen, die physikalischen Eigenschaften von Informationsträgern und die zur Anwendung kommenden technischen Verfahren.

Eingebettete Systeme, auf denen sensible Informationen abgespeichert sind, sollten bei hohem Schutzbedarf über eine Notlöschfähigkeit verfügen. Wenn diese Funktion initiiert wird, müssen alle eingestuften Informationen zuverlässig entfernt werden. Falls das System dazu physisch zerstört werden muss, kann, wie in M 4.487 Tamper-Schutz (Erkennung, Verhinderung, Abwehr) bei eingebetteten Systemen beschrieben, eine Thermitreaktion vorgesehen werden.

Sofern eine zentral ausgelöste, automatische Notlöschprozedur des umgebenden Systems, z. B. Central Clear, Crash Clear, besteht, muss die Notlöschfunktion des eingebetteten Systems integrierbar sein. Hierfür sind entsprechende Schnittstellen vorzusehen.

Falls erforderlich, kann auch eine automatische Notlöschung, die aktiv alle sensitiven Daten löscht oder vernichtet implementiert werden.

Wenn Datenträger bei ausgesonderten eingebetteten Systemen gelöscht oder vernichtet werden und wenn Hardware vernichtet wird, ist dies zu dokumentieren.

Prüffragen:

  • Werden sämtliche Daten auf dem eingebetteten System vor der Aussonderung sicher gelöscht?

  • Wird die Hardware des eingebetteten Systems vor der Aussonderung sicher zerstört?

  • Verfügt das System über eine angemessene Notlöschfähigkeit?

  • Werden die Löschung oder Vernichtung dokumentiert?

Stand: 15. EL Stand 2016