Datenträger sicher entsorgen
Bei der Entsorgung von Datenträgern treffen sich Datenschutz und Informationssicherheit. Aktuell gilt der deutsche Standard DIN 66399, der als ISO/IEC 21964 auch international anerkannt ist.
Schutzklassen und Schutzbedarf
Es hängt vom Schutzbedarf der gespeicherten Daten ab, mit welchen Methoden eine Entsorgung stattfinden muss. Ohne eine zumindest qualitative Klassifizierung der Daten geht also gar nichts. Um diese Klassifizierung zu erleichtern, schlägt die Norm drei Schutzklassen vor. Unter die Schutzklasse 1 fallen ganz normale interne Daten wie etwa Telefonlisten, Produktlisten, Lieferantendaten oder Adressdaten.
Die Schutzklasse 2 verlangt einen hohen Schutz für vertrauliche Daten wie Personaldaten, betriebswirtschaftliche Auswertungen, interne Reportings, Finanzbuchhaltungsunterlagen oder Bilanzen bzw. Jahresabschlüsse. Hier ist der potenzielle Schaden schon größer als bei Schutzklasse 1. Schutzklasse 3 schließlich verlangt einen sehr hohen Schutz für besonders vertrauliche und geheime Daten wie Zeugenschutzprogramme, Informationen aller Geheimhaltungsgrade des Bundes und der Länder, geheime bzw. streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen, Verschlusssachen oder Gesundheitsdaten. Der Schaden bei einem Datenabfluss kann sehr groß werden.
Kriterien für die Klassenzuordnung
Schutzklasse 1:
- Es besteht die Gefahr, dass ein Datenabfluss einen Betroffenen in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt.
- Die unbefugte Kenntnisnahme der Daten hat negative Auswirkungen für die speichernde Stelle.
Schutzklasse 2:
- Beim Datenabfluss besteht die Gefahr, dass ein Betroffener in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird.
- Die unbefugte Kenntnisnahme der Daten hat erhebliche negative Auswirkungen für die speichernde Stelle.
Schutzklasse 3:
- Es besteht Gefahr für Leib oder Leben von Personen oder für die Freiheit eines Betroffenen.
- Es kommt zu existenzbedrohenden Auswirkungen für die speichernde Stelle.
- Der Datenabfluss verstößt gegen Berufsgeheimnisse, Verträge oder Gesetze.
Sicherheitsstufen
Während die Schutzklassen den Schutzbedarf von Daten wiedergeben, geht es bei den Sicherheitsstufen darum, wie groß der Aufwand für die Wiederherstellung von Daten ist. Es gibt sieben Sicherheitsstufen, die dann den Schutzklassen zugeordnet werden, je nach Schutzbedarf und Aufwand, den ein Angreifer zum Lesen der Daten treiben muss. Die einzelnen Stufen haben folgende Bedeutung:
- Bei Stufe 1 (allgemeine Daten) wird der Datenträger so vernichtet, dass die Wiederherstellung der Daten ohne besondere Hilfsmittel und ohne Fachkenntnisse, jedoch nicht ohne besonderen Zeitaufwand möglich ist.
- Bei Stufe 2 (interne Daten) ist die Wiederherstellung mit Hilfsmitteln und nur mit besonderem Zeitaufwand möglich. Beispiele für Stufe 2 sind Behördenrichtlinien, Aushänge und Formulare.
- Bei Stufe 3 (sensible Daten) ist die Wiederherstellung nur unter erheblichem Aufwand an Personen, Hilfsmitteln und Zeit möglich. Beispiele: Unterlagen mit vertraulichen Daten.
- Bei Stufe 4 (besonders sensible Daten) ist die Wiederherstellung nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen möglich, die im Fall kleiner Auflagen sehr aufwendig sind. Beispiele: Gehaltsabrechnungen, Personaldaten/-akten, Arbeitsverträge, medizinische Berichte, Steuerunterlagen von Personen.
- Bei Stufe 5 (geheim zu haltende Daten) ist es nach dem Stand der Technik unmöglich, die Daten wiederherzustellen. Beispiele: Datenträger mit geheim zu haltenden Informationen von existenzieller Wichtigkeit für eine Person, eine Behörde, ein Unternehmen oder eine Einrichtung.
- Bei Stufe 6 (geheime Hochsicherheitsdaten) ist die Wiederherstellung nach dem Stand der Technik ebenfalls nicht möglich. Beispiele: geheimdienstliche oder militärische Daten.
- Bei Stufe 7 (Top-Secret-Hochsicherheitsdaten) ist die Wiederherstellung nach dem Stand der Technik ebenfalls nicht möglich. Beispiele: Datenträger mit strengst geheim zu haltenden Daten, bei denen höchste Sicherheitsvorkehrungen einzuhalten sind.
Material- und Datenträgertypen
Es hängt vom Material bzw. vom Typ des Datenträgers ab, wie die Vernichtung in jeder Sicherheitsstufe erfolgen muss. Der Standard definiert sechs Typen:
- P – Informationsdarstellung in Originalgröße (Papier, Film, Druckformen etc.)
- F – Informationsdarstellung verkleinert (Film, Folie etc.)
- – Informationsdarstellung auf optischen Datenträgern (CD, DVD etc.)
- T – Informationsdarstellung auf magnetischen Datenträgern (Disketten, ID-Karten, Magnetkassetten etc.)
- H – Informationsdarstellung auf Festplatten mit magnetischen Datenträgern (Festplatten)
- E – Informationsdarstellung auf elektronischen Datenträgern (Speicherstick, Chipkarte, mobile Kommunikationsmittel, Halbleiterfestplatten etc.)
Für jeden Typ gibt es in den Sicherheitsstufen Vorgaben, wie die Vernichtung erfolgen muss.
PRAXIS-TIPP: Als Anwender, der sich Geräte für die Vernichtung beschaffen will oder der einen Dienstleister sucht, müssen Sie sich nicht für alle Details interessieren. Wesentlich ist die Bestimmung der Sicherheitsstufen, die Sie bzw. der Verantwortliche je nach Art der Daten und dem Sicherheitsbedarf auswählen.
Sicherheitsstufen bestimmen
Zunächst muss der Anwender für die infrage kommenden Daten die Schutzklasse, also den Schutzbedarf festlegen: normal, hoch oder sehr hoch. Im zweiten Schritt erfolgt die Bestimmung der Sicherheitsstufen. Dabei ist es nicht möglich, Schutzbedarf und Sicherheitsstufen beliebig zu kombinieren. Im Prinzip erfordern Daten mit ansteigendem Schutzbedarf auch größer werdende Sicherheitsstufen. Es gibt jedoch keinen linearen Zusammenhang zwischen den beiden Größen. Bei personenbezogenen Daten gilt die folgende Matrix:
Entsorgungskonzept
Es reicht nicht aus, die Sicherheitsstufe für die Datenentsorgung zu bestimmen und sich anschließend ein passendes Gerät bzw. einen Dienstleister zu suchen. Es ist ein umfassendes Entsorgungskonzept nötig, das nicht nur die technischen Aspekte der Entsorgung, sondern auch organisatorische und personelle Aspekte berücksichtigt.
Dabei muss sich ein Entsorgungskonzept für Datenträger in das allgemeine Konzept zum Umgang mit Datenträgern einfügen. Jeder Datenträger hat einen Lebenszyklus. Er beginnt mit seiner Anschaffung, geht dann in die Nutzung des Datenträgers über und endet mit seiner Vernichtung. Innerhalb dieses Lebenszyklus kann es immer wieder dazu kommen, dass Löschvorgänge notwendig sind. Das geschieht oft aus Gründen des Datenschutzes oder der Informationssicherheit, etwa weil eine gesetzliche Löschfrist erreicht ist oder ein Gerät zum Dienstleister in Reparatur kommt und die Festplatte des Systems zuvor sicher gelöscht wird, um sie anschließend erneut zu beschreiben. Die Entsorgung ist der letzte Schritt im Lebenszyklus eines Datenträgers. Ihm kann eine Löschung vorausgehen. Das muss aber keine grundsätzliche Anforderung sein.
WICHTIG: Ein schlüssiges Konzept zum Umgang mit Datenträgern bildet den gesamten Lebenszyklus aller genutzten Datenträger ab. Das Entsorgungskonzept ist dabei ein wichtiger Bestandteil, der aber nicht zu Konflikten mit anderen Teilen führen darf. Das Entsorgungskonzept muss mit den anderen Vorgaben für Datenträger abgeglichen und harmonisiert werden.
Schritt für Schritt zum Entsorgungskonzept
Ein Entsorgungskonzept lässt sich nach folgendem Muster Schritt für Schritt erstellen:
- Gesetzliche oder andere Compliance-Vorgaben (Aufbewahrungspflichten bzw. Löschungsfristen) bestimmen.
- Frage klären, welche Datenträger am Ende ihres Lebenszyklus entsorgt werden müssen. Besonders wichtig sind hier personenbezogene Daten, aber auch andere Daten können eine Rolle spielen (Forschungsergebnisse, Geschäftsgeheimnisse etc.).
- Erforderliche Sicherheitsstufen festlegen nach oben angegebenem Muster.
- Bereits vorhandene Entsorgungsmöglichkeiten zusammenstellen, die den gewünschten Sicherheitsstufen entsprechen.
- Anforderungen analysieren, welche Maßnahmen noch erforderlich sind. Zu beachtende Punkte sind die Art der Datenträger, die Sicherheitsstufe und die Menge an zu vernichtenden Datenträgern inkl. des sicheren Transports bzw. der Lagerung der Datenträger vor der Vernichtung. Hier muss auch geklärt werden, ob die Daten intern oder durch einen Dienstleister entsorgt werden sollen.
- Soll ein Dienstleister die Daten entsorgen, müssen Kriterien zur Auswahl des Dienstleisters her. Dabei spielen Zertifizierungen, die örtliche Nähe und der Preis eine wichtige Rolle.
- Verfahren, Rollen und Verantwortlichkeiten festlegen, um die Abläufe standardisiert, nachvollziehbar und sicher zu machen.
- Verfahren festlegen zur revisionssicheren Dokumentation der Entsorgungsvorgänge.
- Mitarbeiter von den geplanten Abläufen unterrichten und
- für die Risiken einer nicht ordnungsgemäßen Entsorgung sensibilisieren.