Go to Top

Wie wählt man einen IT-Asset-Entsorger?

IT-Asset-Entsorger

Egal, ob Sie Ihren Standort verlagern, Ihre IT auffrischen wollen oder in die Cloud wechseln – Sie werden zweifellos redundante IT-Hardware generieren und müssen daher dafür sorgen, dass alle Daten in diesen Geräten ausreichend gelöscht werden.

Bei der Entscheidung, sich einem neuen Partner anzuvertrauen, der sich um Ihre IT-Assets und vertraulichen Daten kümmert, stehen Sie  oft vor einem Dilemma. Woher wissen Sie, dass Sie die richtige Wahl treffen? Welche Kriterien, Brancheneinschätzungen oder Performance-Maßnahmen ziehen Sie zu Rate, um sicherzustellen, dass Ihre Entscheidung solide ist?

Geräte ordnungsgemäß entsorgen

Sie sollten bei der Auswahl eines ITAD- (IT Asset Disposal) Partners sicherstellen, dass er Ihnen umfassende Audit Trails zur Verfügung stellt, um sicherzustellen, dass Sie wissen, wo sich Ihre Hardware zu allen Zeiten befindet und wo das endgültige Ziel ist. Also ob die Ausrüstung wieder verkauft, wiederverwendet oder recycelt wird. Unabhängig von dem Weg, den Ihre Hardware einschlägt, müssen Sie Ihre Möglichkeiten beachten, um sicherzustellen, dass die auf der Hardware gespeicherten Daten sicher gelöscht wurden.

Es gibt vier Methoden, die berücksichtigt werden können. In einigen Fällen kann eine Kombination dieser Methoden notwendig sein, um das Ergebnis zu erreichen, das Sie benötigen. Dies hängt von Ihren eigenen internen Richtlinien sowie von der Art der Medien ab, die Sie entsorgen müssen.

Möglichkeiten  für die sichere Datenentfernung sind:

Daten „wipping“/-Überschreiben – Dies ist die beliebteste Methode der Datenlöschung, da sie die Weiterveräußerung / Wiederverwendung von Geräten erlaubt und gleichzeitig die Daten sicher entfernt. Es gibt viele Software-Datenlöschlösungen auf dem Markt, die eine vollständige Datenentfernung und einen Bericht ermöglichen, um zu beweisen, dass ordnungsgemäß gelöscht wurde. Sie sollten sicherstellen, dass jeder Prozess zum Wischen/Wipping  oder Überschreiben von Daten im Einklang mit den britischen NCSC (früher CESG) Standards steht. Sie sollten auch sicherstellen, dass Sie Ihren Dienstleister  fragen, was mit irgendwelchen Laufwerken passieren wird, die nicht mit Software abgewischt werden können – werden diese dann physisch zerstört? Was ist mit Solid State- oder Hybrid Laufwerken, wie geht  Ihr gewählter Dienstleister mit diesen Technologien um?

Degaussing – mit einem Gerät, das ein starkes elektromagnetisches Feld erzeugt, um alle magnetisch aufgezeichneten Daten zu zerstören, wobei das magnetische Material auf Festplatten und Disketten sich in zufällige Muster und ohne eine nachvollziehbare  Orientierung ändert und dadurch die vorherigen Daten nicht wiederherstellbar macht. Bei der Auswahl eines Degaussers sollten Sie auch sicherstellen, dass es von der britischen NCSC genehmigt oder dem BSI empfohlen wurde, da dies sicherstellt, dass das Gerät unabhängig geprüft und überprüft wurde.

Shreddern – Der mechanische Prozess zum Zerkleinern von Geräten in kleinere Stücke ist ein Standardverfahren. Die Größe des zerkleinerten Materials beträgt in der Regel von 25mm bis 6mm. Dieses fragmentierte Material wird dann an Partner weitergeleitet, die den Mahlprozess fortsetzen werden. Was für Nachweise über das Shreddern von Geräten bekommen Sie? Welche  Zerstörungs-Zertifikate erhalten Sie  für Ihre eigenen internen Prüfungsunterlagen?

Granulat-Herstellung – Dies ist eine Form der  Zerstörung von Daten aus einem Informationssystem (Festplatten  und anderen solchen Medien) durch Zerschneiden oder Zerkleinern bis auf Granulat-Größe von  6mm oder kleiner. Weitere Erwägungen werden sich anschließend darauf konzentrieren müssen, ob Sie Ihre Daten vor Ort oder außerhalb des Standortes Ihres Dienstleisters entsorgen müssen. Über welche Fähigkeiten verfügt dabei Ihr  ITAD-Dienstleister?

Implikationen durch unsachgemäße Entfernung der Geräte von Daten

Die geschäftlichen Auswirkungen eines Datenlecks sind sehr wichtig. Nicht nur würde es den Ruf Ihres Unternehmens beschädigen, wenn Kundeninformationen über ein Datenleck veröffentlicht werden würde, sondern wenn auf  das geistige Eigentum Ihres Unternehmen zugegriffen oder es gestohlen werden kann  oder sonst wie in der Öffentlichkeit geteilt wird, kann Ihre Firma unter Umständen seinen bisherigen Wettbewerbsvorteil verlieren.

Aus rechtlicher Sicht kann das Unternehmen, wenn es sich um vertrauliche Kunden- oder Mitarbeiterinformationen handelt, auch gegen das britische Datenschutzgesetz (DPA) verstoßen, was zu einer erheblichen Geldbuße für die Firma führt – derzeit bis zu 500.000 £. Auch in Deutschland sieht das hiesige Datenschutzgesetz hohe Geldstrafen vor. Zusätzlich können dann noch Schadensersatzforderungen von den betroffenen Kunden in beiden Ländern kommen.

Wenn die EU-Datenschutzgrundverordnung (GDPR) im nächsten Jahr in Kraft treten wird, müssen britische Unternehmen die betroffenen Parteien und das  Information Commissioner’s Office (ICO) innerhalb von 72 Stunden nach einer Verletzung informieren. Zusätzlich werden sie mit Geldstrafen von bis zu 20 Mio. € oder 4% des weltweiten Umsatzes konfrontiert. Und diese drastischen Strafen gelten europaweit – also auch in Deutschland.

Der Wert von Daten macht dabei jede Firma und jede Privatperson  ezum potentiellen Ziel von Internetkriminalität. Firmen müssen daher jeden nur möglichen Schritt unternehmen, um ihr Kompromittierungsrisiko zu minimieren und die gesetzlichen Anforderungen zu erfüllen. Zum Beispiel hat eine Organisation, die persönliche Informationen über Einzelpersonen verarbeitet, Verpflichtungen zum Schutz dieser Informationen unter dem DPA. Britische  Behörden haben eine gesetzliche Verpflichtung, offizielle Informationen im Rahmen des Freedom of Information Act zur Verfügung zu stellen. Im Rahmen der bevorstehenden GDPR-Gesetzgebung (europäische Datenschutzgrundverordnung) müssen die Organisationen auch die Erlaubnis von Einzelpersonen verlangen, um Informationen zu sammeln, sie darüber informieren, wie diese Informationen verwendet werden und sicherstellen, dass sie nach einem festgelegten Zeitrahmen sicher gelöscht werden.

Matthew Prince, ein Datenlösch-Spezialist bei Kroll Ontrack UK rät dazu: „Organisationen sollten das gleiche Maß an Sorgfalt bei der Entsorgung von Daten und Geräten an den Tag legen, wie  sie es bei dem Schutz einer aktiven IT-Umgebung tun. Es ist zwingend notwendig, den gesamten Lebenszyklus Ihrer Daten und IT-Assets zu verstehen, um sicherzustellen, dass vorhandene Lücken in dem Prozess geschlossen werden. Mit der bevorstehenden GDPR-Gesetzgebung sollten Organisationen ihre Datenübertragungs-, Aufbewahrungs- und Löschmethoden erneut überprüfen, um sicherzustellen, dass sie einen genauen Dateikatalog haben. Organisationen sollten auch sicherstellen, dass ihnen ihre Drittanbieter bestätigen, dass sie konform mit der neuen Gesetzgebung sind. „

Audit Trails und Akkreditierungen

Wenn Sie beabsichtigen sich einen Anbieter zu suchen, der mit Ihren  Daten(-trägern) umgehen soll, sollten Sie sicherstellen, dass dieser Ihnen einen vollständigen Audit Trail zur Verfügung stellen kann. So können Sie sicher sein, dass Sie stets wissen, wo Ihre Ausrüstung (und Ihre Daten) zu jedem Zeitpunkt sind. Welchen Nachweis der Datenlöschung oder -zerstörung wird ein Dienstleister bieten? Es lohnt sich hierbei herauszufinden, ob sie NCSC-genehmigte Software für die Datenlöschung (oder eine vom BSI für Deutschland empfohlene) nutzen und wenn Sie die physische Zerstörung durch Zerkleinerung angefordert haben, wird der Dienstleister Ihnen die ordnungsgemäße Durchführung mit Zerstörungszertifikaten belegen?

Sicherzustellen, dass Ihr Dienstleister eine nachgewiesene Erfolgsbilanz in der Branche hat, ist ebenfalls entscheidend. Finden Sie heraus, welche Akkreditierungen er vorweisen kann und welche Standards und Regulierungen er einhält. Grundsätzlich sollte jeder von Ihnen gewählte ITAD-Partner mit der EU-Verordnung über Abfälle für Elektro- und Elektronikgeräte (WEEE) arbeiten und übereinstimmen und eine Abfallentsorgungslizenz besitzen.

Wichtige Fragen rund um Ihre eigene Umweltpolicy und nachgelagerte Prozesse sollten ebenfalls berücksichtigt werden. Halten Sie sich z.B. an Umweltstandards – d.h. ISO 14001? Welcher Prozentsatz der Ausrüstung, die sie ansammeln, wird wiederverwendet, wieder verkauft oder getunt und was ist ihre Deponiepolitik?

Die Einhaltung bestimmter Industriestandards wie z.B. durch eine Mitgliedschaft bei der ADISA ist auch wichtig. ADISA (die Asset Disposal and Information Security Alliance) ist eine Organisation, die Standards für die sichere Entsorgung von IT-Geräten empfiehlt und gleichzeitig das Risiko der Ausbreitung und den Missbrauch von sensiblen Daten, die auf diesem Gerät gespeichert sind, minimiert. Der ADISA-Audit-Prozess ist mehrschichtig und umfasst vollständige Audits, unangemeldete operative Audits und forensische Audits. Damit wird sichergestellt, dass ADISA-zertifizierte Unternehmen ständig auf diesen branchenspezifischen Standard geprüft werden.

Wissen, wo Ihre Daten sind und wer sie hat…

Welche Garantien gibt Ihr gewählter Anbieter an, wenn Geräte mit ihrem Daten unterwegs sind? Wenn dieser  Drittfirmen  in seiner Lieferkette nutzt, welche Zusicherungen haben Sie in Bezug auf eine solide Sorgerechtabfolge für Ihre Ausrüstung?  Hier zum Beispiel sollten Sie sicherstellen, dass jedes Fahrzeug, das in dem Prozess verwendet wird, GPS-Tracking aktiviert hat.

Sie sollten auch Fragen über die eingesetzten Mitarbeiter des Anbieters stellen, besonders wenn er  Dritte oder Bedienstete auf Zeit einsetzt. Finden Sie heraus, ob ihre Mitarbeiter mit den entsprechenden Hintergrundchecks und Sicherheitskontrollen überprüft wurden und stellen Sie fest, wie aktuell diese Kontrollen sind.

Wenn Sie diese Fragen stellen, sollten Sie bestens vorbereitet sein, um einen ITAD-Partner zu wählen, der ein Höchstmaß an Sicherheit und Compliance bieten kann. Denn  wenn Ihre Daten in den falschen Händen enden, könnte es eine Katastrophe für Ihre Organisation bedeuten, also stellen Sie sicher, dass jeder Anbieter, den Sie gewählt haben, zuvor sorgfältig beurteilt wurde.

Bildnachweis: www.pexels.com/CC0 Lizenz