Unterschriften, Passbilder und Dokumente aus dem Archiv: Auf diese und andere hochsensible Daten konnte das ARD-Wirtschaftsmagazin Plusminus problemlos zugreifen. Der Bericht „Datenleck: Ungelöschte Festplatten auf eBay Kleinanzeigen“ (ARD Plusminus vom 30.06.2021) zeigt, wie leicht mehrere Gigabyte solcher firmeninternen Daten abgerufen werden können, obwohl die Löschung der teils sensiblen und schützenswerten Daten angeordnet wurde. Wie kann ein solches Datenleck passieren?
Die Antwort liegt im Erwerb der gebrauchten Festplatten, die zuvor nicht ausreichend überschrieben wurden. Plusminus-Journalisten kauften günstig 30 unzureichend gelöschte Festplatten und erhielten so einfachen Zugriff auf Daten aus verschiedenen Unternehmen und Branchen.
In Sachen Nachhaltigkeit und Klimaschutz ist IT-Recycling seit vielen Jahren ein Wachstumsmarkt. Und der Ertrag beim Verkauf von gebrauchten IT-Systemen ist ein weiterer Vorteil gegenüber der bisher üblichen Zerstörung von Speichermedien und Entsorgung der ausgedienten Gebrauchtgeräte. Leider haben nicht alle Anbieter, die dabei die sogenannte Datenlöschung anbieten, den Datenschutz und die Datensicherheit ihrer Kunden als primäres Ziel.
Der Plusminus-Bericht zeigt, dass einige Unternehmen bei ihrem Löschprozess nicht nur unprofessionell vorgehen sondern auch datenschutzrechtliche Vorgaben vernachlässigen. Die Hardware wird oft nicht ausreichend überprüft und die Festplatte nur formatiert und nicht initialisiert (jedes Bit überschrieben). Laut einem Branchenkenner arbeiten lediglich 10 % der Anbieter zuverlässig. Das bedeutet, dass der Kauf gebrauchter Festplatten eine wahre Goldgrube für Kriminelle sein kann.
Ist es also überhaupt möglich, die Daten zu schützen? Ist die physische Zerstörung der Speichermedien der einzig sichere Weg? Wie kann ein Unternehmen überprüfen, ob ein Dienstleister vertrauenswürdig ist und seine Daten tatsächlich dauerhaft löscht?
Auf diese Fragen hat EURATECH verlässliche Antworten. EURATECH bietet Ihnen mit mehr als 25 Jahren Erfahrung die datenschutzkonforme Bereinigung und Aufbereitung von Datenträgern am Standort München (Neufahrn bei Freising) bzw. deutschlandweit an. Der gesamte Ablauf von der Abholung beim Kunden (bzw. Löschung am Einsatzort) bis hin zur Wiederaufbereitung ist ein sicherer, transparenter und zertifizierter Prozess. Und natürlich nachhaltiger als die vorgeschlagene Endzerkleinerung, die nur dann sinnvoll ist, wenn eine Wiederverwendung von Geräten oder ein Recycling von wertvollem IT-Material nicht möglich ist.
Datenträgervernichtung nach DIN-Norm 66399
Der ständige technologische Wandel führt dazu, dass IT-Systeme und Speichermedien immer häufiger ausgetauscht werden müssen, um mit dem aktuellen Status quo Schritt zu halten. Vor der Entsorgung oder dem Verkauf von IT-Systemen/Medien müssen Unternehmen, Behörden oder die Industrie jedoch sicherstellen, dass keine kritischen Daten verloren gehen und vor allem keine sensiblen Informationen auf den Medien verbleiben.
Die DSGVO verlangt von allen Unternehmen und Behörden, Daten und Speichermedien mit personenbezogenen Informationen nachweislich und sicher zu löschen. Um eine sichere Löschung und Vernichtung von Daten zu gewährleisten, müssen eine Reihe von Maßnahmen ergriffen werden, die insbesondere in der letzten Phase des Lebenszyklus, also beim Löschen, relevant werden.
Die versehentliche Weitergabe von Daten an Dritte, beim Verkauf oder der Entsorgung unzureichend gelöschter Geräte, kann zu erheblichen Konsequenzen führen.
Wir behaupten, dass wir für effizientes Datenmanagement mit höchstmöglicher Sicherheit und optimalem Datenschutz stehen. Da die bis September 2012 geltende DIN 32757 zur Datenträgervernichtung sehr vage war und viel Interpretationsspielraum ließ, war es an der Zeit, diese Norm zur Datenvernichtung zu überarbeiten. Die DIN 32757 wurde durch die DIN 66399 ersetzt.
Da sich die Nutzung von Medien verändert hat, ist es notwendig geworden, bisherige gesetzliche Regelungen zur sicheren Datenvernichtung zu aktualisieren. Aus diesem Grund hat das Deutsche Institut für Normung (DIN) unter Beteiligung des Bundesbeauftragten für Datenschutz und Informationsfreiheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine neue Norm zur ordnungsgemäßen Datenvernichtung entwickelt: DIN 66399.
Mehrere Interessengruppen trafen sich in einem DIN-Ausschuss, um das Verfahren zur Aktenvernichtung klar zu kategorisieren und festzulegen. Maschinenhersteller, BSI (Bundesamt für Sicherheit in der Informationstechnik) und Aktenvernichtungsdienstleister waren dort vertreten.
Nach mehrjähriger Entwicklung einer neuen DIN-Norm wurde diese im Oktober 2012 als DIN 66399 veröffentlicht. Inzwischen ist die DIN 66399 unter dem Akronym ISO 21964 zu einer internationalen Norm aufgewertet worden. Die Norm soll Ihnen als „Eigentümer Ihrer Daten“ helfen, das erforderliche Sicherheitsniveau abhängig von der Schutzklasse Ihrer Daten selbstständig zu bestimmen. Hierbei stehen wir Ihnen gerne beratend zur Seite.
Die DIN 66399 besteht aus drei Teilen. Die ersten beiden Teile sind bereits als Standards anerkannt. Der erste Teil definiert die Begriffe und Grundlagen; der zweite Teil die Anforderung an Maschinen zur Vernichtung von Daten und Unterlagen.
Der dritte Teil der DIN 66399 (SPEC) gilt als „Vor-Norm“, was bedeutet, dass der Status einer offiziellen Norm noch nicht erreicht ist. Dieser Teil der DIN 66399 legt die Verfahren zur Vernichtung von Datenträgern fest. Dies führt zu klar definierten technischen und organisatorischen Vorkehrungen.
Die Vernichtung von Datenträgern wird als allgemeiner Vorgang verstanden. Gleichzeitig werden einzelne Teile des Prozesses geprüft, geschützt und umgesetzt. Der Eigentümer der Daten, also die verantwortliche Stelle, bleibt formal verantwortlich, bis die Vernichtung der Daten abgeschlossen ist. Sobald das vereinbarte Sicherheitsniveau erreicht ist, gelten die Daten als gelöscht.
Üblicherweise wird der gesamte Prozess zwischen verantwortlichen Fachabteilungen und externen Dienstleistern aufgeteilt. Zunächst gilt es, die Aufgabenteilung zu überlegen und technische und organisatorische Maßnahmen zu definieren.
Zuverlässiger Datenschutz durch professionelle, zertifizierte, BSI-konforme und EU-DSGVO-konforme Datenlöschung
Mit EURATECH können Sie sicher sein, dass Ihre Daten revisionssicher gelöscht werden, da unsere Software über die entsprechende Infrastruktur und unsere Mitarbeiter über die benötigten Qualifikationen wie auch langjährige Erfahrung verfügen. Unsere zertifizierte Datenlöschsoftware und -Prozesse bieten Ihnen viele Vorteile. Wir haben die wichtigsten für Sie gesammelt:
- Zertifizierte Datenlöschung nach den höchsten heute verfügbaren Standards, BSI-konform, EU-DSGVO-konform. Datenträgervernichtung nach DIN Norm 66399 bei defekten Datenträgern, die sich nicht löschen lassen.
- Als Full-Service-IT-Dienstleister verfügt EURATECH über langjährige Erfahrung in der datenschutzgerechten Löschung und Aufbereitung von Datenträgern/IT-Systemen. Wir bieten BSI-zertifizierte Löschung Ihrer Speichermedien mit Protokoll und Zertifikat.
- Sicherer Transport oder Datenlöschung direkt vor Ort (am Einsatzort)
- Löschung von Solid State Drives (SSD-Festplatten), Festplattenlaufwerken (HDD-Festplatten) und weiteren Speicherlösungen
- Vollständige Protokollierung auf Seriennummern-Basis
- Auf Wunsch kümmern wir uns um die umweltgerechte Entsorgung von Altgeräten oder den Wiederverkauf (IT-Remarketing)
Sie haben weitere Fragen? Unser Vertrieb freut sich auf Ihre Anfrage!
Einhaltung der Datenschutzvorgaben mit minimalem Aufwand für Ihr Unternehmen
Im Mai 2018 trat die neue Datenschutz-Grundverordnung in Kraft. Diese Verordnung besagt, dass alle Unternehmen gesetzlich verpflichtet sind, dafür zu sorgen, dass personenbezogene und vertrauliche Daten nach Erhalt einer Quittung rechtsgültig von jedem Datenträger gelöscht werden. EURATECH bietet verifizierbare, sichere, vollständige und transparente Datenlöschung, Hardware-Audits und Löschberichte auf allen Speicherplattformen.
Durch Entwicklung und Innovation in Garching-Hochbrück bei München hat EURATECH eine komplette Infrastruktur geschaffen, die eine Datenlöschung gemäß der DSGVO gewährleistet. Profitieren Sie als Unternehmen von besonders hohen deutschen Datenschutzstandards und persönlicher Beratung durch unser kompetentes und freundliches Team.
Die verwendete, marktführende und zertifizierte Software wurde in Deutschland entwickelt, dementsprechend unterliegt die Software den in Deutschland geltenden hohen Datenschutzstandards. EURATECH garantiert die Datenlöschung gemäß DSGVO-Richtlinien. Das gibt Ihnen die Gewissheit, dass die Daten zu 100 % vollständig und rechtmäßig gelöscht werden.
Die Datenvernichtung erfolgt nach BSI-Anforderungen. Konkret werden zunächst alle Geräte überprüft, damit keine Daten unbemerkt bleiben. Wir garantieren, dass die Daten aller Geräte mit unserer Löschsoftware zertifiziert gelöscht werden, hierzu verwenden wir international gültige Löschstandards/-Algorithmen wie beispielsweise DoD 5220.22-M, NIST, HMG Infosec und weitere. Zudem wird die Transparenz des Prozesses dadurch gewährleistet, dass unsere Kunden nach erfolgreicher Löschung ein Zertifikat als Nachweis der Einhaltung höchster Sicherheitsstandards erhalten. Damit stellt EURATECH die Datenlöschung gemäß DSGVO sicher.
Absolute Sicherheit durch vollständige Löschung Ihrer Daten
Zertifizierte Datenlöschung nach den höchsten heute verfügbaren Standards: Wir löschen Ihre Medien sicher und gemäß den geltenden BSI-Richtlinien. Zertifizierte Sicherheit für vollständige Datenlöschung, zertifiziert nach ISO 15408, dies ist der derzeit höchste Sicherheitsstandard für die Datenlöschung der EU!
Sie können für jede Löschung ein separates Zertifikat ausstellen oder einen Multi-Report mit mehreren Assets auf demselben Datenblatt erstellen lassen, was beim Löschen vieler Geräte von Vorteil ist.
Daten, die sich noch auf ausgemusterten IT-Geräten befinden, stellen somit viele Unternehmen vor eine Herausforderung: Reicht eine einfache Formatierung oder sollen einzelne Speichermedien physisch vernichtet werden?
Mit unseren maßgeschneiderten zertifizierten Datenlöschlösungen stellen wir sicher, dass Ihre Daten unter Einhaltung aller gesetzlichen Anforderungen sicher gelöscht werden. Eine In-Place/Onsite-Datenbereinigung ist ebenso möglich wie eine Offsite-Datenbereinigung an unserem Unternehmenssitz in Neufahrn bei Freising.
Nach Abschluss des Löschvorgangs wird für jedes Speichermedium ein separates Löschzertifikat mit Seriennummer erstellt. So sind Sie während des Audits bestens betreut, denn beim Löschen von Unternehmensdaten ist Transparenz und Zuverlässigkeit von größter Bedeutung.
Für alle Systeme bieten wir zertifizierte Methoden an, die nach dem Stand der Technik eine unwiderrufliche Löschung gespeicherter Daten bietet. Zertifiziertes Löschen wird für Dateien, Festplatten, Laptops, Desktops, Server, Flash-Laufwerke, Speicherlösungen und ganze Rechenzentren angeboten.
Digitale Datenvernichtung für Unternehmen und Behörden: zertifiziert und EU-DSGVO konform
Wenn Ihre Mitarbeiter sensible Daten auf IT-Geräten vom Smartphone bis zum Server speichern, sollten diese bei der Handhabung oder Entsorgung von Geräten keinesfalls in falsche Hände geraten. Aus diesem Grund haben wir ein umfassendes Sicherheitskonzept entwickelt, das Ihnen die Überprüfung aller notwendigen Informationen und Daten während des gesamten Prozesses garantiert.
Sobald Ihre Geräte bei uns eintreffen, führt autorisiertes Personal eine zertifizierte Datenlöschung durch. Selbstverständlich erfüllt unser Unternehmen dabei höchste Sicherheitsanforderungen.
Darüber hinaus können unsere Mitarbeiter auch Daten in Ihrer Einrichtung vor Ort löschen, ohne die Geräte zu uns zu bringen; Diese Option wird häufig in Rechenzentren mit großen Serverlandschaften eingesetzt – unter Kostengesichtspunkten.
Um manuelle Fehlerquellen bei einem so sensiblen Prozess wie der Datenlöschung zu vermeiden, werden unsere Mitarbeiter laufend geschult; Gleichzeitig haben wir einen systemgestützten Prozess implementiert.
Zum Löschen von Daten verwenden wir unsere zertifizierte Löschsoftware. Diese gewährleistet eine zuverlässige Datenlöschung für alle Arten von Festplatten, USB-Sticks, Solid State Drives und anderen Flash-Laufwerken.
Sie selbst bestimmen die Anzahl der Überschreibvorgänge und die gewählte Löschmethode. Gerne implementieren wir auch alle internationalen Standards und Entfernungsalgorithmen für Sie.
Durch unser Verfahren werden Ihre Daten dauerhaft und unwiederbringlich gelöscht. Informationen auf dem jeweiligen Speichermedium können mit keinem der bestehenden Verfahren wiederhergestellt werden. Eine lückenlose Dokumentation, inklusive eines Löschprotokolls auf Seriennummernbasis für jedes Speichermedium stellt sicher, dass Sie Ihr Vorgehen bei einer Überprüfung jederzeit nachweisen können.
So können Sie die Daten selbst überschreiben
Bei modernen Festplatten können Sie den ATA-Befehl „Enhanced Security Erase“ verwenden. Dabei wird auf der Festplatte ein herstellerspezifisches Verfahren durchlaufen, das die gesamte Festplatte inklusive fehlerhafter Speicherbereiche entfernen soll. Diese Löschmethode wird für SSD oder SSHD empfohlen. Die Speichermedien können nach dem Überschreiben weiterverwendet werden. Dies stellt jedoch keine zertifizierte Methode unter rechtlichen Aspekten dar und wird daher nur für Privatanwender empfohlen, wenn an die Datenlöschung keine weiteren Anforderungen gestellt werden.
Auf dem Softwaremarkt gibt es zudem sowohl kostenlose als auch kommerzielle Produkte, die diverse Überschreibungsmethoden durchführen. Die meisten dieser Tools bieten verschiedene Überschreibungsmethoden an. Wir empfehlen die Verwendung von Programmen zum mehrfachen überschreiben von Festplatten, die von bootfähigen Medien ausgeführt werden.
Des Weiteren empfehlen wir Ihnen, Speichermedien, die Sie Dritten überlassen, unabhängig vom installierten Betriebssystem vollständig und mindestens 7-fach zu überschreiben. Bitte beachten Sie, dass beim lückenlosen Überschreiben der Festplatte auch die Wiederherstellungspartitionen des Herstellers und das Betriebssystem überschrieben werden.
Wenn Sie sich nicht sicher sind, was zu tun ist oder ob das gewählte Verfahren Ihren Anforderungen genügt, wenden Sie sich gerne an uns.
Fazit
Ein wichtiger Aspekt bei der Rückgabe, der Entsorgung oder dem Verkauf gebrauchter IT-Produkte ist zweifelsohne der Datenschutz. Durch einen langjährig verfeinerten und zertifizierten Prozess vernichtet EURATECH gespeicherte Daten sicher und geschützt. Datenträger werden entweder durch Softwareverfahren gelöscht oder im eigenen Schredder vernichtet.
Über das einfache Entfernen oder Vernichten von Speichermedien hinaus ist jedoch ein ganzheitlicher Sicherheitsansatz erforderlich. Die Analyse potenzieller Gefahren (z. B. menschliches Versagen, Transport, usw.) und die Überprüfung verschiedener Informationen und Daten während des gesamten Rückgabeprozesses ist von entscheidender Bedeutung.
Sie haben Fragen zur Datenlöschung, der Wiedervermarktung, Datenträgervernichtung oder dem fachgerechten Recycling bei EURATECH? Wir geben Ihnen gerne verlässliche Antworten. Unser Team freut sich auf Ihre Anfrage!
Ihr Ansprechpartner
Gabriele Hofer
Leiterin Einkauf
Tel.: +49 (0) 89-358080-60 Fax: +49 (0) 89-358080-29 E-Mail schreiben
Veröffentlicht von:Andreas Straub