Bundesamt für Sicherheit in der Informationstechnik

M 4.234 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche, Mitarbeiter

IT-Systeme und Datenträger sind dem ständigen Wandel der Technik unterworfen. Daher werden sie häufiger ausgetauscht als viele andere Arbeitsmaterialien. Bevor IT-Systeme oder Datenträger außer Betrieb genommen werden, muss geklärt werden, wie dies ablaufen soll und wie mit den darauf gespeicherten Informationen umzugehen ist. Es muss vor allem sichergestellt werden, dass weder wichtige Daten, die eventuell auf diesen gespeichert sind, verloren gehen, und noch dass vertrauliche Daten auf den Datenträgern zurück bleiben.

Bevor IT-Systeme oder Datenträger ausgesondert werden, müssen sie gesichtet werden, ob sich darauf noch Daten befinden, die noch benötigt werden. Diese müssen dann auf anderen Datenträgern gesichert bzw. archiviert werden. Es sollte überprüft werden, dass wirklich alle Daten korrekt gesichert wurden. Weitere Informationen zu diesem Themenkomplex finden sich in den Bausteinen B 1.4 Datensicherungskonzept und B 1.12 Archivierung .

Bei der Außerbetriebnahme eines IT-Systems sollte außerdem geprüft werden, ob noch Datensicherungsmedien vorhanden sind, die während seines Betriebs benutzt wurden. Auch diese müssen gelöscht oder unbrauchbar gemacht werden, wenn die darauf gespeicherten Daten nicht mehr benötigt werden.

Danach muss geklärt werden, ob die IT-Systeme oder Datenträger vernichtet oder an Dritte weitergegeben werden sollen. Häufig werden IT-Systeme nach der Aussonderung weiterverwendet, beispielsweise können ausrangierte IT-Systeme an andere Abteilungen weitergegeben werden, an Mitarbeiter verschenkt oder verkauft werden. Außerdem muss geregelt werden, wie darauf gespeicherte Informationen entweder zur weiteren Verwendung gesichert oder zuverlässig entfernt werden.

Falls Datenträger an Externe weitergegeben werden sollen, müssen diese sicher überschrieben werden. Auch wenn auf den ersten Blick keine schützenswerten Informationen mehr vorhanden sind, können die Daten unzureichend gelöscht worden sein, so dass noch Restinformationen zu finden sind. Es muss sichergestellt sein, dass alle Daten und Anwendungen vorher sorgfältig gelöscht wurden (siehe auch M 2.433 Überblick über Methoden zur Löschung und Vernichtung von Daten ).

Wurden auf dem Datenträger Daten mit hohem Schutzbedarf gespeichert, führen die Verfahren, um diese Daten zuverlässig zu löschen, häufig zur physikalischen Zerstörung der Datenträger.

Bei der Regelung der Außerbetriebnahme von IT-Systemen und Datenträgern dürfen auch die Geräte nicht vergessen werden, die nicht unbedingt als IT-Systeme wahrgenommen werden, aber eine Vielzahl vertraulicher Daten enthalten können, wie Mobiltelefone, Drucker, Kopierer oder Faxgeräte. Beispielsweise sollte bei Weitergabe oder Verkauf von Faxgeräten darauf geachtet werden, dass die internen Speicher für Telefaxverbindungsdaten und Telefaxinhalte sicher gelöscht werden. Außerdem sollten alle Kennzeichnungen und Aufkleber von den Geräten und Datenträgern entfernt werden, die Hinweise auf deren vorigen Verwendungszweck geben, wie beispielsweise Etiketten mit IP-Adressen und Rechnernamen.

Ebenso müssen auch die IT-Systeme und Speichermedien sicher gelöscht und entsorgt werden, deren Betrieb und/oder Wartung ausgelagert wurde. Deren sichere Außerbetriebnahme inklusive Entsorgung oder Rückgabe muss in den entsprechenden Verträgen geregelt sein.

Die Vorgehensweise für die Außerbetriebnahme von IT-Systemen und Datenträgern innerhalb der Institution muss nachvollziehbar dokumentiert sein. Es wird empfohlen, anhand der oben gegebenen Empfehlungen eine Checkliste zu erstellen, die bei der Außerbetriebnahme von IT-Systemen abgearbeitet werden kann. Auf diese Weise kann vermieden werden, dass einzelne Schritte vergessen werden. Es empfiehlt sich, dass die einzelnen Schritte vom jeweils Zuständigen schriftlich bestätigt werden.

Prüffragen:

  • Existiert eine klar definierte Vorgehensweise zur Außerbetriebnahme von IT -Systemen und Datenträgern?

  • Werden bei allen Arten von IT -Systemen und Datenträgern vor einer Aussonderung alle gespeicherten Daten sorgfältig gelöscht?

  • Wird die geregelte Außerbetriebnahme von IT -Systemen und Datenträgern innerhalb der Institution nachvollziehbar dokumentiert?

Stand: 13. EL Stand 2013