ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)

Sicher löschen
Login
besondere staatliche Geheimhaltungsstufe
(VS-NfD: Verschlusssache – nur für
den Dienstgebrauch) empfiehlt.
Es kursieren viele Gerüchte über die
Anzahl der erforderlichen Überschreibvorgänge
bei einer Festplatte. Sieben ist
nicht die richtige Antwort. Es kommt auf
den Einzelfall an. Manchmal reicht ein
Mal, manchmal reicht kein Mal könnte
man die technische Komplexität auf den
Punkt bringen.
Sofern es um einen Privat-PC geht, und
man nicht hochsensible Daten auf dem
Rechner hat, sollte es völlig ausreichen,
die Festplatte mehrfach Sektor für Sektor
zu überschreiben. Handelt es sich aber
um sehr sensible Daten, wie geheime Unternehmensdaten,
Personaldaten, Daten
von Ärzten, Steuerberatern, Anwälten
oder Sozialdaten sollte man die Platten
besser nicht verkaufen und zusätzlich
eine physikalische Methode anwenden,
damit die Daten nicht mehr rekonstruierbar
sind.
Das Überschreiben funktioniert aber leider
nicht unter allen Bedingungen sicher.
Das Bundesamt für Sicherheit in der Informationstechnik
(BSI) veröffentlichte
dazu in einem Merkblatt vom Juli 2012
aktuelle technische Hinweise und nahm
zum 30.07.2012 die Zulassung von VS-
Clean zurück und begründet dies: „…
Wie bei vielen älteren Festplatten-Löschprogrammen
üblich, erkennt und über-
Datenschutz bei Gewährleistung
schreibt das vom BSI seit 2002 ausgegebene
VS-Clean (Version 2.1) DCO- beziehungsweise
HPA-Bereiche nicht. Vor der
Nutzung von VS-Clean zum VS-Löschen
sind daher diese Bereiche mittels eines
HPA-fähigen Löschprogramms, etwa
DBAN 2.2.6beta, aufzulösen. Festplatten
ab ca. 2 Terabyte werden von VS-Clean
weder richtig erkannt noch vollständig
überschrieben….“ [4]
Das BSI nennt als wesentliche Unterscheidungsmerkmale
und Auswahlkriterien
für Dienstleister und Löschverfahren
beim Überschreiben:
n Anzahl der Überschreibvorgänge
n Überschreibmuster
n Wechsel der Überschreibmuster pro
Durchlauf
n Berücksichtigung der Festplatteninternen
Codierung
n Verifikationsdurchläufe
Fazit: Nicht für jeden Einsatzzweck ist das
kostenfreie Programm aus dem Internet,
welches angeblich die Platte überschreibt,
das Richtige. Unternehmen, die sich mit
diesem hochkomplexen
Thema befassen,
werden in der Regel
personenbezogene
oder sensible Daten zu
löschen haben und damit
einen Anlass, auf
sehr sichere Verfahren
zu setzen. Aus diesem
Laptop, Kopierer oder Smartphone sind defekt und müssen eingeschickt
werden, oder die externe Festplatte oder der USB Stick sind weder lesbar
noch zu löschen. Will man von der Gewährleistung oder von der Garantie
des Herstellers Gebrauch machen, muss man das Gerät, samt der darauf
befindlichen sensiblen Daten einschicken. Sicher, man hätte vorbeugen und
die Daten vorher verschlüsseln können. Aber leider lernt man aus Fehlern
erst hinterher. Was tun?
Man sollte das Problem offen gegenüber dem Hersteller/​Händler ansprechen
und diesen über Datenschutzfragen aufklären. Man könnte sich versichern
lassen, dass dieser ausschließlich Funktionen des Sticks überprüft und die
Daten nicht einsieht oder kopiert. Zudem sollte er sich vorab schriftlich auf die
Einhaltung des Datenschutzes verpflichten und versichern, dass die Mitarbeiter
des Herstellers nach § 5 BDSG auf das Datengeheimnis verpflichtet sind.
Bei hoch sensiblen Daten hat der Kunde leider meist die Qual der Wahl zwischen
dem Datenschutz und der IT-Sicherheit und auf der anderen Seite seinen
Gewährleistungsansprüchen. Dieses Problem sollte man bereits beim Kauf der
Geräte mit dem Händler besprechen und dafür eine Lösung suchen. Denn es
dient auch nicht den Unternehmensinteressen, auf Gewährleistungsansprüche
zu verzichten, um dem Datenschutz nachzukommen. Vergessen sollte
man nicht, dass auch Kopierer zum Beispiel Daten speichern und mit kleinen
Festplatten ausgestattet sind. Diese kann man ausbauen und dann an einem
anderen Rechner angeschlossen, löschen.
Grund sollte man unter anderem auf von
der BSI zertifizierte Software zurückgreifen,
um seinen Sorgfaltspflichten an die
IT-Sicherheit zu genügen oder physikalische
Verfahren (zusätzlich) anwenden.
Externe Dienstleister
prüfen
Was ist rechtlich zu beachten, wenn man
Dienstleister einschaltet, um alte Festplatten
vor dem Verkauf professionell löschen
oder vernichten zu lassen? Es gibt
für den Einsatz von Dienstleistern, die
für Kunden fremde personenbezogene
Daten verarbeiten exakte Vorgaben in §
11 BDSG, der die sogenannte Auftragsdatenverarbeitung
regelt.
Die Weitergabe der Daten an einen Dienstleister
entbindet den Auftraggeber nicht
von seinen Datenschutzverpflichtungen.
Bevor man den Auftrag erteilt, muss man
den Löschanbieter sorgfältig auswählen,
indem man etwa auf eine Zertifizierung
achtet, beispielsweise durch das BSI.
Besuchen
Sie uns auch
auf der CEBIT
2013
Linux Schulungen 2013 – Nicht verpassen!
• Erweiterungen programmieren für Check_MK
19.11. 2012, 25.02.2013
• Linux als Server im Inter- und Intranet 26.11.12
• Storage - LVM, MD, Multipathing, iSCSI 03.12.12, 04.02.2013
• Fortgeschrittenes Monitoring mit Nagios & Check_MK
10.12.2012, 11.03.2013
• Systemmonitoring mit Nagios und Check_MK 21.01.2013
• Linux - Crashkurs für Administratoren 04.03.2013
• Linux Administration für Fortgeschrittene 18.03.2013
Gerne machen wir auch Inhouse-Schulungen direkt bei unseren Kunden
vor Ort. Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
Tel.: 089 / 18 90 42 10
www.admin-magazin.de
Admin
mk@mathias-kettner.de
Ausgabe 06-2012 www.mathias-kettner.de
23