Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Sicher löschen<br />
Login<br />
besondere staatliche Geheimhaltungsstufe<br />
(VS-NfD: Verschlusssache – nur für<br />
den Dienstgebrauch) empfiehlt.<br />
Es kursieren viele Gerüchte über die<br />
Anzahl der erforderlichen Überschreibvorgänge<br />
bei einer Festplatte. Sieben ist<br />
nicht die richtige Antwort. Es kommt auf<br />
den Einzelfall an. Manchmal reicht ein<br />
Mal, manchmal reicht kein Mal könnte<br />
man die technische Komplexität auf den<br />
Punkt bringen.<br />
Sofern es um einen Privat-PC geht, <strong>und</strong><br />
man nicht hochsensible Daten auf dem<br />
Rechner hat, sollte es völlig ausreichen,<br />
die Festplatte mehrfach Sektor für Sektor<br />
zu überschreiben. Handelt es sich aber<br />
um sehr sensible Daten, wie geheime Unternehmensdaten,<br />
Personaldaten, Daten<br />
von Ärzten, Steuerberatern, Anwälten<br />
oder Sozialdaten sollte man die Platten<br />
besser nicht verkaufen <strong>und</strong> zusätzlich<br />
eine physikalische Methode anwenden,<br />
da<strong>mit</strong> die Daten nicht mehr rekonstruierbar<br />
sind.<br />
Das Überschreiben funktioniert aber leider<br />
nicht unter allen Bedingungen sicher.<br />
Das B<strong>und</strong>esamt für Sicherheit in der Informationstechnik<br />
(BSI) veröffentlichte<br />
dazu in einem Merkblatt vom Juli 2012<br />
aktuelle technische Hinweise <strong>und</strong> nahm<br />
zum 30.07.2012 die Zulassung von VS-<br />
Clean zurück <strong>und</strong> begründet dies: „…<br />
Wie bei vielen älteren Festplatten-Löschprogrammen<br />
üblich, erkennt <strong>und</strong> über-<br />
Datenschutz bei Gewährleistung<br />
schreibt das vom BSI seit 2002 ausgegebene<br />
VS-Clean (Version 2.1) DCO- beziehungsweise<br />
HPA-Bereiche nicht. Vor der<br />
Nutzung von VS-Clean zum VS-Löschen<br />
sind daher diese Bereiche <strong>mit</strong>tels eines<br />
HPA-fähigen Löschprogramms, etwa<br />
DBAN 2.2.6beta, aufzulösen. Festplatten<br />
ab ca. 2 Terabyte werden von VS-Clean<br />
weder richtig erkannt noch vollständig<br />
überschrieben….“ [4]<br />
Das BSI nennt als wesentliche Unterscheidungsmerkmale<br />
<strong>und</strong> Auswahlkriterien<br />
für Dienstleister <strong>und</strong> Löschverfahren<br />
beim Überschreiben:<br />
n Anzahl der Überschreibvorgänge<br />
n Überschreibmuster<br />
n Wechsel der Überschreibmuster pro<br />
Durchlauf<br />
n Berücksichtigung der Festplatteninternen<br />
Codierung<br />
n Verifikationsdurchläufe<br />
Fazit: Nicht für jeden Einsatzzweck ist das<br />
kostenfreie Programm aus dem Internet,<br />
welches angeblich die Platte überschreibt,<br />
das Richtige. Unternehmen, die sich <strong>mit</strong><br />
diesem hochkomplexen<br />
Thema befassen,<br />
werden in der Regel<br />
personenbezogene<br />
oder sensible Daten zu<br />
löschen haben <strong>und</strong> da<strong>mit</strong><br />
einen Anlass, auf<br />
sehr sichere Verfahren<br />
zu setzen. Aus diesem<br />
Laptop, Kopierer oder Smartphone sind defekt <strong>und</strong> müssen eingeschickt<br />
werden, oder die externe Festplatte oder der USB Stick sind weder lesbar<br />
noch zu löschen. Will man von der Gewährleistung oder von der Garantie<br />
des Herstellers Gebrauch machen, muss man das Gerät, samt der darauf<br />
befindlichen sensiblen Daten einschicken. Sicher, man hätte vorbeugen <strong>und</strong><br />
die Daten vorher verschlüsseln können. Aber leider lernt man aus Fehlern<br />
erst hinterher. Was tun?<br />
Man sollte das Problem offen gegenüber dem Hersteller/Händler ansprechen<br />
<strong>und</strong> diesen über Datenschutzfragen aufklären. Man könnte sich versichern<br />
lassen, dass dieser ausschließlich Funktionen des Sticks überprüft <strong>und</strong> die<br />
Daten nicht einsieht oder kopiert. Zudem sollte er sich vorab schriftlich auf die<br />
Einhaltung des Datenschutzes verpflichten <strong>und</strong> versichern, dass die Mitarbeiter<br />
des Herstellers nach § 5 BDSG auf das Datengeheimnis verpflichtet sind.<br />
Bei hoch sensiblen Daten hat der K<strong>und</strong>e leider meist die Qual der Wahl zwischen<br />
dem Datenschutz <strong>und</strong> der IT-Sicherheit <strong>und</strong> auf der anderen Seite seinen<br />
Gewährleistungsansprüchen. Dieses Problem sollte man bereits beim Kauf der<br />
Geräte <strong>mit</strong> dem Händler besprechen <strong>und</strong> dafür eine Lösung suchen. Denn es<br />
dient auch nicht den Unternehmensinteressen, auf Gewährleistungsansprüche<br />
zu verzichten, um dem Datenschutz nachzukommen. Vergessen sollte<br />
man nicht, dass auch Kopierer zum Beispiel Daten speichern <strong>und</strong> <strong>mit</strong> kleinen<br />
Festplatten ausgestattet sind. Diese kann man ausbauen <strong>und</strong> dann an einem<br />
anderen Rechner angeschlossen, löschen.<br />
Gr<strong>und</strong> sollte man unter anderem auf von<br />
der BSI zertifizierte Software zurückgreifen,<br />
um seinen Sorgfaltspflichten an die<br />
IT-Sicherheit zu genügen oder physikalische<br />
Verfahren (zusätzlich) anwenden.<br />
Externe Dienstleister<br />
prüfen<br />
Was ist rechtlich zu beachten, wenn man<br />
Dienstleister einschaltet, um alte Festplatten<br />
vor dem Verkauf professionell löschen<br />
oder vernichten zu lassen? Es gibt<br />
für den Einsatz von Dienstleistern, die<br />
für K<strong>und</strong>en fremde personenbezogene<br />
Daten verarbeiten exakte Vorgaben in §<br />
11 BDSG, der die sogenannte Auftragsdatenverarbeitung<br />
regelt.<br />
Die Weitergabe der Daten an einen Dienstleister<br />
entbindet den Auftraggeber nicht<br />
von seinen Datenschutzverpflichtungen.<br />
Bevor man den Auftrag erteilt, muss man<br />
den Löschanbieter sorgfältig auswählen,<br />
indem man etwa auf eine Zertifizierung<br />
achtet, beispielsweise durch das BSI.<br />
Besuchen<br />
Sie uns auch<br />
auf der CEBIT<br />
2013<br />
Linux Schulungen 2013 – Nicht verpassen!<br />
• Erweiterungen programmieren für Check_MK<br />
19.11. 2012, 25.02.2013<br />
• Linux als Server im Inter- <strong>und</strong> Intranet 26.11.12<br />
• Storage - LVM, MD, Multipathing, iSCSI 03.12.12, 04.02.2013<br />
• Fortgeschrittenes Monitoring <strong>mit</strong> Nagios & Check_MK<br />
10.12.2012, 11.03.2013<br />
• Systemmonitoring <strong>mit</strong> Nagios <strong>und</strong> Check_MK 21.01.2013<br />
• Linux - Crashkurs für Administratoren 04.03.2013<br />
• Linux Administration für Fortgeschrittene 18.03.2013<br />
Gerne machen wir auch Inhouse-Schulungen direkt bei unseren K<strong>und</strong>en<br />
vor Ort. Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.<br />
Tel.: 089 / 18 90 42 10<br />
www.admin-magazin.de<br />
Admin<br />
mk@mathias-kettner.de<br />
Ausgabe 06-2012 www.mathias-kettner.de<br />
23