Suchen

Wenn sich der Hardware-Lebenszyklus dem Ende neigt Sicherheit bei der Datenentsorgung

Autor / Redakteur: Christoph Taszus* / Stephan Augsten

Ob bei Weiterverkauf, geplantem Austausch oder Defekt: Wenn ein Unternehmen seine Infrastruktur und Hardware ersetzen muss, stehen Datenschutz und Datensicherheit auf dem Spiel. Um sensible Daten vollständig von den „Alt-Geräten“ zu löschen, sind spezielle Lösungen vonnöten.

Altlasten: Beim Austausch einer Hardware sollten die darauf enthaltenen Daten unwiederbringlich gelöscht werden.
Altlasten: Beim Austausch einer Hardware sollten die darauf enthaltenen Daten unwiederbringlich gelöscht werden.
(Bild: Archiv)

Wenn von End-to-End-Security die Rede ist, geht es zumeist um die Verschlüsselung von Daten, die über das Internet und alle Übertragungsstationen hinweg transportiert werden. Echte End-to-End-Security im IT-Bereich beinhaltet jedoch eine Vielzahl weiterer Aspekte.

Sie beginnt mit der Erstellung eines Sicherheitskonzepts und führt über die Beschaffung der geeigneten Infrastruktur, das Implementieren und Überwachen der Einhaltung entsprechender Sicherheitsmaßnahmen während des Betriebs bis hin zur fachgerechten „Entsorgung“ von IT-Infrastrukturkomponenten am Ende der Nutzungsdauer.

Dem letzten Punkt in dieser Aufzählung wird dabei selten Beachtung geschenkt. Das ist ein erhebliches Sicherheitsrisiko. Denn unabhängig davon, ob IT-Hardware an einen Leasing-Anbieter zurückgegeben, an einen Dienstleister weiterverkauft oder umweltgerecht entsorgt wird: Es muss sichergestellt sein, dass alle gespeicherten Daten auch am Ende der Nutzung nach aktuellen Anforderungen geschützt und schließlich unwiederbringlich gelöscht werden.

Zahlreiche Herausforderungen

Unternehmen müssen nicht nur aus Eigenschutz sensible Daten vollständig auf Altsystemen entfernen. Dies erfordern auch einige rechtliche und branchenübliche Vorgaben. Zum Beispiel regelt das Bundesdatenschutzgesetz den Umgang mit personenbezogenen Daten. Normen wie ISO/IEC 27001 spezifizieren Anforderungen an ein dokumentiertes Managementsystem für Informationssicherheit unter Berücksichtigung der IT-Risiken.

Zum Entfernen der Daten reicht jedoch ein einfaches Löschen bei weitem nicht aus. Vielmehr sind spezielle Maßnahmen, Anwendungen und Gerätschaften einzusetzen, die zuverlässig zu einer unwiederbringlichen Zerstörung der Daten führen. Dabei sind nicht nur die Festplatten von PCs und Notebooks zu berücksichtigen, sondern sämtliche Geräte der Anwender wie Tablets, Smartphones oder USB-Sticks.

Auf diesen Geräten sowie bei der sonstigen mit dem Netzwerk verbundenen Hardware gilt es, neben den sensiblen geschäftskritischen und persönlichen Daten auch die Konfigurationsdaten zu löschen. Denn aus diesen lässt sich der Aufbau der Netzwerkumgebung herauslesen und damit des Rechenzentrums und der Infrastruktur.

Mit ihrer Hilfe lassen sich Angriffe auf das Rechenzentrum zielgerichtet führen. Zur Netzwerkhardware gehören dabei sowohl die Komponenten des Rechenzentrums wie Server, Speichergeräte, Router und Switches als auch die mit dem Netzwerk verbundenen Geräte im Office wie Drucker, Faxgeräte oder IP-Telefone.

Was ein Dienstleister bieten sollte

Unternehmen sollten bei der Auswahl eines Dienstleisters darauf achten, dass er eine wirkliche End-to-End-Security anbietet. Dies reicht von der Konzeption und Etablierung von Prozessen über deren Bearbeitung und Weitergabe bis zum vollständigen Entfernen der Daten am Ende des Lebenszyklus.

Da nicht davon auszugehen ist, dass er selbst Spezialist für alle Bereiche ist, muss er zumindest in der Lage sein, entsprechende Experten einzubinden. Nur dann lassen sich sämtliche Services aus einer Hand beziehen. Gemeinsam bieten sie eine Erstellung und Umsetzung ganzheitlicher Datensicherheitskonzepte inklusive der Etablierung entsprechender Prozesse an. Die bereitgestellte Dienstleistung umfasst dabei sowohl die Beratung zum Thema End-to-End-Security als auch die damit verbundenen Services und Lösungen.

Ergänzend zu den bestehenden Sicherheitsdienstleistungen sind ein vollständiges Datenschutzkonzept sowie die flankierenden Prozesse notwendig, um echte End-to-End-Security zu erhalten. Dies sollte im Rahmen einer Entwicklung und Durchsetzung von umfassenden Sicherheitsrichtlinien im Umgang mit personenbezogenen und sensiblen Daten geschehen. Auch sollte die Auswahl von Dienstleistern und Technologien entsprechend eines Schutzklassenkonzeptes sowie die Ausarbeitung technischer Datenvernichtungslösungen auch für komplexe IT-Infrastrukturen wie Rechenzentren angeboten werden.

Zur vollständigen Entfernung der Daten sowie bei Bedarf zur physikalischen Zerstörung der Hardware dienen diverse Spezial-Tools und Sicherheitsmaßnahmen bei Lagerung und Entsorgung. Die Geräte können nach dem Löschen der Daten teilweise auch wiederverwendet, zurück- und weitergegeben oder als Gebrauchtware verkauft werden. Ein weiterer wichtiger Punkt beim Dienstleistungsangebot ist daher die Auditierung und Empfehlung von Maßnahmen bei Verkauf, Wiedereinsatz oder Verwertung von nicht mehr benötigten oder gebrauchten Geräten.

Zusätzliche Services und Lösungen

Zu den genannten Beratungsleistungen sollte das Angebot zusätzliche für die Umsetzung erforderliche Services und Lösungen beinhalten. Dazu zählen eine umfassende Datenschutz-Logistik inklusive Dokumentation zu Abbau, Sicherheitstransport, Lagerung und Audit.

Die Datenlöschung und das Schreddern hat nach aktuellsten Standards wie DIN Norm 66399 sowie Sicherheitsstufe 5 oder H5 für Festplatten zu erfolgen. Beratung für Vermarktung und Entsorgung bestehender IT-Hardware sowie ganzheitliche Datensicherheitslösungen für alle IT-, TK- und Office-Produkte runden ein solches Portfolio ab.

Zu den Vorteilen zählen End-to-End-Security aus einer Hand, vom Konzept über den Betrieb bis hin zum Abbau. Das Risiko wird durch geschlossene Prozessketten bei Austausch und Verwertung nicht mehr benötigter Hardware minimiert. Finanziell gesehen gibt es ein hohes Einsparpotential durch optimale Dienstleister- und Technologieauswahl für Datensicherheit am Ende der Nutzung sowie sogar die Möglichkeit für zusätzliches Budget durch optimierten Verkauf von nicht mehr benötigten Geräten. Zudem gewährleisten Unternehmen Nachhaltigkeit, Umweltschutz und Datensicherheit durch eine klare End-of-Use-Strategie.

Über den Autor

Christoph Taszus, Consultant Information Security
Christoph Taszus, Consultant Information Security
(Bild: Steria Mummert Consulting)
Christoph Taszus arbeitet seit 2011 bei Steria Mummert Consulting. Davor hat er Theoretische Informatik an der Friedrich-Schiller-Universität in Jena studiert. Als Berater im Bereich Information Security Solutions betreut er die Sicherheit von Rechenzentren, die Erstellung von Sicherheitskonzepten, Industrialisierung- und Automatisierungsfragestellungen sowie das Thema „ Industrial Security“.

(ID:43003957)