Go to Top

Neue EU-Gesetzgebung erhöht den Druck auf Unternehmen Daten zu löschen (Teil 2)

Neue EU-Gesetzgebung

Kein Grund zur Selbstzufriedenheit

Dank der neuen EU-Datenschutzgrundverordnung (EU-DSGV/GDPR) ist jeder – ob Drittanbieter von Datenlösch-Services oder IT-Mitarbeiter einer Firma – gesetzlich verpflichtet, Daten sicher zu löschen, wenn das Unternehmen Handel innerhalb der EU betreibt oder mit einer Firma, die den Firmensitz in einem EU-Mitgliedstaat hat, Geschäftsbeziehungen unterhält.

Bevor sie allerdings den gesetzlichen Vorgaben folgen können, müssen Organisationen ihre internen Prozessrichtlinien  überprüfen und die zuständigen Mitarbeiter vollständig über das in Kraft getretene Gesetzeswerk informieren. Derzeit finden eine Vielzahl von unabhängigen Veranstaltungen und Kongressen statt, die dazu genutzt werden, um IT- und Unternehmensmanager über die neuen Regelungen zu informieren. Es gibt also keine Entschuldigung für Unwissen und Ignoranz. Nach der Ausbildung kommt die wichtige Aufgabe die aktuellen Prozesse an die neuen Vorschriften und Anforderungen anzupassen.

Die Unternehmen müssen die vorhandenen Richtlinien, Prozesse und Werkzeuge so anpassen, damit sie den neuen Anforderungen gerecht werden und mit Drittfirmen arbeiten können, die ebenfalls wissen, was von ihnen durch die neue EU-Gesetzgebung erwartet wird.

How-to-Anleitungen wie man Daten endgültig löscht

Es stehen viele Löschmöglichkeiten zur Verfügung und in Abhängigkeit von der Art des physischen Geräts dessen Daten gelöscht werden sollen, kann es sinnvoll sein, eine andere Methode zu wählen:

Festplattenlaufwerke (HDD)

Es gibt so viele verschiedene Datenspeichertypen und sie erfordern unterschiedliche Methoden, um die Daten darauf zu löschen. Bei einer HDD beispielsweise kann ein Degausser verwendet werde, um Daten dauerhaft zu löschen. Es funktioniert durch Entmagnetisieren von HDDs, Tapes oder anderer magnetisierter Speichermedien, wobei Daten vollständig entfernt werden.

Unternehmen können auch Lösch-Software wählen, die alle Daten von einer Festplatte entfernt, einschließlich sowohl Server als auch einzelnen Laufwerke. Wenn Datenlösch-Software verwendet wird, können die Festplatten anschließend wiederverwendet werden.

Solid State Drives (SSDs)

Datenlöschen auf SSDs ist ein heikler Prozess. Im Gegensatz zu magnetisierten Festplatten, speichern SSDs Daten elektrisch und nutzen komplexe Datenmanagementsysteme, um die Daten über alle Speicherbausteine zu verteilen. Darüber hinaus enthält ein SSD-Flash-Controller Software-Module, die aus Sicht des Betriebssystems und des Nutzers versteckt sind. Es gibt zudem auch kein Standard-SSD-Format, was zur Folge hat, dass Löschverfahren für SSDs nach Marke und Modell variieren.

Traditionelle Löschmethoden halten verschiedene Risiken für SSDs bereit. Entmagnetisierung könnte beispielsweise für HDDs funktionieren, aber SSDs verwenden integrierte Schaltungen zum Speichern von Daten und werden elektrisch programmiert und gelöscht. Ein Magnetfeld wird hier beim Löschen keinen Erfolg bringen. SSDs physikalisch zu zerstören, um Daten zu löschen, ist auch nicht ratsam, weil qualifizierte IT-Experten immer noch Daten aus den Flash-Chip-Fragmenten wiederherstellen können.

Leider gibt es weder ein öffentlich zugängliches Software-Tool, das Daten sicher von jeder Art von SSDs oder Flash-Medien löschen kann, noch gibt es eine Möglichkeit herauszufinden, ob Daten erfolgreich gelöscht wurden, ohne eine Verifizierung durch einen spezialisierten Drittanbieter.

Wenn Unternehmen wünschen, dass sensible Daten von SSDs entfernt werden sollen und dabei nicht auf die Hilfe von Datenlösch-Spezialisten bauen wollen, sollten sie zumindest den Einsatz von Software-Verschlüsselung ab dem ersten Tage des Einsatzes des Laufwerks beherzigen. In diesem Fall können Firmen auf SSDs mit Verschlüsselungsoption einfach die darauf verbliebenen Daten dadurch löschen, dass sie den Encryption Key/Verschlüsselungsschlüssel vernichten.

Sobald dieser Vorgang durchgeführt wurde, können Firmen dann eine physische Zerstörung anwenden, wie z.B. das Schreddern, um dauerhaft die SSD-Festplatte zu zerstören. Wenn immer noch Bedenken vorhanden sind, dass Daten auf der Festplatte verbleiben können, ist immer noch die beste Möglichkeit, einen Datenlöschungsdienstleister für eine abschließende Überprüfung des Löschvorgangs zu kontaktieren. Ein guter Datenspezialist wird einen unvoreingenommenen Test anbieten, um die Wirksamkeit der Datenlöschung zu beweisen und zudem erforderliche Validierung zu gewährleisten.

Big Data / In-Memory Systeme wie z.B. SAP HANA

In-Memory-Systeme werden in einer speziellen Architektur gebaut, die herkömmliche Festplatten und Flash-Speicher als Massenspeicher kombiniert. Das bedeutet, dass das Löschen eines Systems, das groß genug ist, um Big Data Daten aufzubewahren, ein komplexer Vorgang ist – allein aus der Systemarchitektur heraus. Bei einem solchen System wie z.B. eine SAP Hana können nicht einfach die einzelnen Speichergeräte innerhalb des Servers gelöscht werden, da hier die Daten konsistent zwischen dem Massenspeicher und dem Cache-System ausgetauscht werden.

Daher müssen sowohl die HDDs und die Flash-Karten aus dem In-Memory-System entfernt werden und außerhalb gelöscht werden; sodass eine sichere, standardisierte Umgebung garantiert, dass alle Daten gelöscht werden. Abschließend können die einzelnen Laufwerke vollständig durch wiederholtes Überschreiben gelöscht werden.

Der am häufigsten genutzte Ansatz, um Magnetbänder oder Tapes sicher zu löschen, ist, sie zu schreddern oder einen Degausser einzusetzen, bei dem ein extrem starkes elektromagnetisches Feld die magnetischen Strukturen, die sich auf dem Tape befinden, dauerhaft zerstört. Wenn Unternehmen versuchen ihre Daten endgültig zu zerstören, ist es wichtig, dass sie sich auch an ihre Legacy-Magnetbänder erinnern. Tatsächlich enthalten Legacy-Tapes eine Menge Daten, die schwer dauerhaft zu entfernen sind, wenn die Bänder nicht entweder entmagnetisiert oder geschreddert werden.

Weitere Informationen über die verschiedenen Techniken, die die permanente Löschung von Daten von Computern und anderen elektronischen Geräten, ohne eine Chance auf mögliche Datenwiederherstellung, sicherstellen, finden Sie auch in diesem kostenlosen eBook.

Fazit: Die Strafen können richtig schwerwiegend sein, wenn man sich nicht an die neuen Regeln hält. Es gibt einfach keinen Grund, warum Unternehmen von der Anwendung der erweiterten Datensicherheitsregeln der EU-Gesetzgebung überrumpelt sein sollten, auch wenn Ihre Firma nicht Mitglied der EU sein sollte oder Ihr Land beschlossen haben sollte der EU den Rücken zu kehren. Das Wissen und die Expertise Daten zu löschen, ist verfügbar und kann Unternehmen vor künftigen Datenlecks und harten rechtlichen Strafen schützen – wahrscheinlich handelt es sich hierbei um weit schwieriger zu lösende Probleme, als die Herausforderung zu überwinden, Daten sicher zu löschen.

Bildrechte: Thorben Wengert / pixelio.de