Bundesamt für Sicherheit in der Informationstechnik

M 2.584 Geregelte Außerbetriebnahme eines Netz- und Systemmanagement-Tools

Verantwortlich für Initiierung: Datenschutzbeauftragter, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

In einem Netz- und Systemmanagement-Tool werden Daten über das Netz und die angeschlossenen Systeme gesammelt, verarbeitet und gespeichert. Diese Daten können unter anderem IP -Adressen, Benutzernamen und Namen von IT -Systemen enthalten. Daher muss sichergestellt werden, dass auf Festplatten und anderen Speichermedien keine schützenswerten Informationen mehr enthalten sind, wenn das Tool außer Dienst gestellt wird. Alle Datenträger müssen sicher gelöscht werden, bevor sie weitergegeben, repariert oder ausgesondert werden.

Im Fall einer Reparatur reicht es nicht aus, die Festplatten nur zu formatieren oder Löschfunktionen des Betriebssystems zu nutzen. Sie müssen mit geeigneten Löschprogrammen so überschrieben werden, dass die Daten nicht wiederhergestellt werden können. Weitere Informationen, wie Datenträger sicher gelöscht und vernichtet werden können, sind unter M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten zu finden. Müssen Datenträger ohne sicheres Löschen der Daten aus der Hand gegeben werden ( z. B. Reparatur, Rückgabe an den Hersteller in der Garantiezeit), ist in Abhängigkeit von der Sensibilität der Daten durch vertragliche Regelungen und eventuell mit Schadensersatzansprüchen zu verhindern, dass unerwünschte Informationsflüsse stattfinden oder von Angreifern ausgenutzt werden. Gegebenenfalls ist auf Garantieansprüche zu verzichten.

Wird ein Netz- und Systemmanagement-Tool ausgesondert, ist es empfehlenswert, die Speichermedien zusätzlich zur Löschung mechanisch zu vernichten ("schreddern"). Können die Speichermedien nicht zeitnah vernichtet werden, sind sie bis zur Zerstörung vor unberechtigtem Zugriff zu schützen. Magnetische Speichermedien lassen sich auch mittels eines Degaussers elektromagnetisch löschen.

Wenn die Datenträger durch Dritte gelöscht werden, muss der Auftrag unter anderem nach datenschutzrechtlichen Anforderungen vergeben und ein Auftragsdatenverarbeitungsvertrag geschlossen werden.

Prüffragen:

  • Ist sichergestellt, dass sich nach der Außerbetriebnahme eines Netz- und Systemmanagement-Tools keine schützenswerten Daten mehr auf den Datenträgern befinden?

Stand: 15. EL Stand 2016