Go to Top

RMA-Prozess: Persilschein für Ihre ausrangierten Festplattenlaufwerke?

Datenlöschung

Stellen Sie sich eine perfekte Rechenzentrums-Welt vor, in der Festplattenlaufwerke nie ausfallen oder ersetzt werden müssen. Eine Welt in der Laufwerke, die wenn sie das Ende ihrer Nutzungsdauer erreichen, einfach ausgelagert und durch neue ersetzt werden können.

Leider ist die Realität für alle, die mit der Verwaltung eines Rechenzentrums befasst sind, nicht so einfach. Der Lebens-Zweck für Festplatten ist es schließlich, Daten zu speichern, das bedeutet, dass sie, bis sie richtig ausgemustert oder entsorgt werden, eine potenzielle Gefahr für die Organisationen im Hinblick auf die Einhaltung gesetzlicher Vorschriften und Datenschutz darstellen.

In einem aufsehenerregenden Fall in England bei einem Datenleck des Brighton and Sussex University Hospitals NHS Trust, hatte die zuständige Behörde, der Datenschutzbeauftragte des Landes, eine Geldstrafe von £375.000 festgesetzt, als dem Betreiber eine große Anzahl von Festplatten mit sensiblen Krankendaten gestohlen wurde.

Die Festplatten waren Berichten zufolge in der sogenannten Stilllegungs-Phase, was bedeutet, dass anschließend die Daten sicher gelöscht und die Platten wieder verwendet werden sollten. Doch anstatt die Festplatten wieder zum OEM-Hersteller zurückzugeben, wurden sie auf eBay zum Verkauf angeboten, bevor sie vom Krankenhaus-Trust und der Polizei wiederbeschafft werden konnten.

Einhaltung regulatorischer Anforderungen

Abgesehen davon, dass man sich über die finanziellen und regulatorischen Risiken bei der unsachgemäßen Lagerung und Entsorgung von ausgemusterten Unternehmens-Festplatten im Klaren sein muss, ist ebenso wichtig zu wissen, dass es zu diesem Thema auch eine international-verbindliche Norm – ISO 27001 – gibt, die durch die International Standards Organisation/Internationale Organisation für Normung (ISO) verabschiedet wurde. Bestandteil dieser Norm beinhaltet die Durchführung einer Risikobeurteilung, um zu prüfen, wo Verstöße in der Organisation auftreten könnten und geeignete vorbeugende Schritte dagegen einzuleiten.

Im Falle von Unternehmens-Festplatten, ist für eine fachgerechte Entsorgung oder einen Wiederverwertungs-Prozess die Return Merchandise Autorisation (RMA) ein guter Anfang. Anders als manche glauben ist der RMA keineswegs nur eine Nummer, mit der die Produkt-Hersteller ihre defekten oder nicht mehr benötigten Geräte vom Kunden zurückgeschickt bekommen, sondern umfasst eine ganze Kette von Maßnahmen. Es handelt sich um einen abgestuften Prozess, bei dem die Festplatten an den OEM zurückgehen, entweder wenn sie ausgefallen sind und im Rahmen der normalen Garantieansprüche behandelt werden oder wenn sie das Ende ihres Lebenszyklus erreicht haben und ausgewechselt werden müssen.

Unter den Bedingungen der eigenen Sicherheitsansprüche, sind Unternehmen oftmals stark abgeneigt die Festplatten gemäß der RMA-Vorgaben des OEM mit samt der ganzen Daten an den Hersteller zu schicken und damit außer Haus zu geben. Aus diesem Grund werden die Platten oftmals gelagert, einem Drittanbieter für die Entsorgung übergeben oder die Daten werden selbst gelöscht, indem teure oder unwirksame Software-Werkzeuge eingesetzt werden.

Alle drei dieser Szenarien schaffen neue potenzielle Sicherheitsrisiken für das Unternehmen. Aber gerade der erste Ansatz verursacht Kopfschmerzen für die Festplatten-OEMs, denn sie bekommen nicht mehr wie üblich die genutzte Hardware zur Wiederinbetriebnahme und Wiederverwendung oder erhalten nicht einmal mehr Schrottwert für komplett-kaputte Platten.

Die Verbreitung von Laufwerken in Rechenzentren

RMA sollte Teil der täglichen Informationsmanagement-Prozess in Datenzentren sein. Wir sind uns allerdings bewusst, dass die Nicht-Rückgabe von Festplatten ein wachsendes Problem wird und zwar weil zum einen, die Anzahl der Festplatten in Rechenzentren stetig und stark ansteigt und zum anderen, weil die Palette der unterschiedlichen Platten- und Verschlüsselungstechnologien ebenfalls stetig wächst.

Das übt einen starken Druck auf die IT-Teams aus, die damit beschäftigt sind, RMA in ihre Prozesse zu integrieren und dabei den Fokus auf die Einsetzung der neusten Technologien in ihrem Unternehmen legen sowie neue Systeme für ihr individuelles Geschäft zu entwickeln.

Die meisten Defekt-/Austausch-Vereinbarungen bedeuten in der Praxis, dass die Festplatte in wenigen Stunden ausgetauscht wird, wenn sie versagt, was dazu führt, dass ein stetiger Strom an Festplatten bei den OEMs eintrifft und hinsichtlich des RMA und einer sicheren Datenlöschung verwaltet werden müssen. Schätzungsweise 2% der Laufwerke werden jährlich ersetzt und die Einführung neuer Technologieplattformen schafft noch mehr Probleme bei der Festplatten-Stilllegung. Die schiere Zeit bei der Verwaltung dieses Prozesses ist ebenfalls ein starker Faktor. Bei einem kürzlich von unseren Ingenieuren durchgeführten Projekt beispielsweise dauerte die sichere Datenlöschung von 2000 Festplatten einen ganzen Monat.

Wie man in einer unvollkommenen Welt agiert

Was ist die Antwort für Unternehmen, die Datenzentren in dieser nicht so perfekten Welt betreiben? Nach dem, was wir von unseren Kunden erfahren, haben fast alle Unternehmen einen Datenlöschungsansatz im Rahmen ihrer Information- und Datenmanagement-Strategie etabliert, aber aus den oben genannten Gründen neigen sie dazu, stets den schnellsten und einfachsten Weg zu gehen, anstatt den effektivsten. Eine In-house Datenlöschung mit einem zuverlässigen Gerät wie einem Degausser vor der Rückgabe an den OEM-Partner im Rahmen des RMA bedeutet für Unternehmen, dass der Transport von Festplatten-Scheiben zurück in die Lieferkette sicher ist. Ein solches Gerät kann auch relevante Informationen wie Seriennummer, Marke und Modell der gelöschten Festplatte festhalten, so dass Unternehmen in der Lage sind die Einhaltung sowie die Aufrechterhaltung von strengen internen Standards und externen Regularien nachzuweisen.

Bildquelle: FotoHiero  / pixelio.de