Sichere Datenvernichtung und Datenlöschung
Bei der Vernichtung von Datenträgern ist der Datenschutz unbedingt einzuhalten, sobald personenbezogene Daten involviert sind. Für personenbezogene Daten muss die Sicherheitsstufe 3 beziehungsweise 4, der (seit 2012) geltenden DIN 66399, bei der Vernichtung der Datenträger eingehalten werden.
DIREKT ZUR ANFRAGE

Daten richtig löschen und Datenträger vernichten

Sicheres Löschen: Kann man Daten vollständig löschen? Es kann oftmals notwendig sein, dass Daten restlos und sicher und für Dritte nicht wiederherstellbar gelöscht oder gar zerstört werden müssen.

28. Mai 2018 - Sebastian Evers

Sensible Daten zu vernichten war unter dem Gesichtspunkt des Datenschutzes schon immer wichtig. Es versteht sich quasi von selbst, dass brisante Unterlagen und Informationen im Papierkorb nichts verloren haben, wo sie für Unbefugte nahezu problemlos zugänglich und einsehbar wären. Die Vernichtung von Dokumenten und Unterlagen erfolgte vor der Markteinführung des klassischen Aktenvernichters auf eher archaische Art und Weise, welche der theatralischen Vernichtung wichtiger Schriftstücke in Agententhrillern entspricht – die Verbrennung und somit restlose thermische Vernichtung der geheimen Unterlagen.

Für eben diese Zwecke erfolgte die Markteinführung des bekannten Aktenvernichters, auch: Aktenschredder (Aktenshredder), die entweder mit einem Streifenschnitt oder dem Partikel-/Kreuzschnitt das zugeführte Papier entsprechend zerlegen. Der große Nachteil des Streifenschnitts liegt in der Möglichkeit, mit entsprechendem Fleiß und der nötigen Akribie, die einzelnen Streifen der zerstückelten Unterlagen semantisch wieder zusammen fügen zu können, um dadurch die Informationen wieder zugänglich zu machen. Das Schneidwerk des Kreuzschnitts hingegen zerstückelt die eingelegten Papiere in feine Papierflocken, wodurch eine wesentliche höhere Sicherheitsstufe erreicht werden kann. Die Sicherheitsstufen eines Aktenvernichters in Deutschland unterscheiden sich in sechs Stufen nach DIN 32757 und werden folgendermaßen definiert:

Sicherheitsstufen nach DIN 32757

  • Sicherheitsstufe 1: Eignet sich für allgemeines Schriftgut ohne Brisanz.
    - Streifenschnitt: maximal 12 mm Streifenbreite
    - Kreuzschnitt: maximal 1.000 mm² Partikelfläche
  • Sicherheitsstufe 2: Eignet sich für interne, nicht vertrauliche Dokumente.
    - Streifenschnitt: maximal 6 mm Streifenbreite
    - Kreuzschnitt: maximal 400 mm² Partikelfläche
  • Sicherheitsstufe 3: Empfehlung für vertrauliche Schriftstücke.
    - Streifenschnitt: maximal 2 mm Streifenbreite
    - Kreuzschnitt: maximal 240 mm² Partikelfläche (Kunststoffe maximal 1 mm² Partikelfläche)
  • Sicherheitsstufe 4: Empfehlung für geheimzuhaltende Schriften.
    - Kreuzschnitt: maximal 30 mm² Partikelfläche (Kunststoffe maximal 0,5 mm² Partikelfläche)
  • Sicherheitsstufe 5: Empfehlung für allerhöchste Sicherheitsansprüche.
    - Kreuzschnitt: maximal 12 mm² Partikelfläche (Kunststoffe maximal 0,5 mm² Partikelfläche)
    - Suspension, Fasern, Lösung, zerkleinerte Asche
  • Sicherheitsstufe 6: Entspricht geheimdienstlichen Sicherheitanforderungen.
    - Kreuzschnitt: maximal 5 mm² Partikelfläche
    - Suspension, Fasern, Lösung, zerkleinerte Asche

Seit 2012 hat die DIN 32757 ausgedient und die DIN 66399 (DIN-Norm zur Datenträgervernichtung) ersetzt sie angesichts der immer schneller wachsenden Bedeutung von Digitaltechnik in der Datenverarbeitung sowie Ganzheitlich. Die ursprüngliche DIN-Norm entsprach viel mehr den Ansprüchen an die Hersteller von Kleingeräten zur Datenträgervernichtung und war weniger an Dienstleister gerichtet.  Die vormals sechs Sicherheitstufen wurden um eine siebte erweitert und die informationstragenden Medien in sechs Gruppe unterteilt, zu denen nebst Papier u. a. Festplatten und USB-Sticks, Flash-Speicher und optische Speichermedien zählen.

Sicherheitsstufen nach DIN 66399

  • Sicherheitsstufe 1: Allgemeines Schriftgut, das unlesbar oder entwertet werden soll
  • Sicherheitsstufe 2: Interne Unterlagen, die unlesbar gemacht oder entwertet werden sollen
  • Sicherheitsstufe 3: Sensible und vertrauliche Daten sowie personenbezogene Daten, die einem erhöhten Schutzbedarf unterliegen.
  • Sicherheitsstufe 4: Besonders sensible und vertrauliche Daten sowie personenbezogenen Daten, die einem erhöhten Schutzbedarf unterliegen.
  • Sicherheitsstufe 5: Geheim zu haltende Informationen mit existenzieller Wichtigkeit für eine Person, ein Unternehmen oder eine Einrichtung.
  • Sicherheitsstufe 6: Geheim zu haltende Unterlagen, wenn außergewöhnliche Sicherheitsvorkehrungen einzuhalten sind.
  • Sicherheitsstufe 7: Strengst geheim zu haltende Daten, bei denen höchste Sicherheitsvorkehrungen einzuhalten sind.

Speichermedien und Datenträger vernichten

Die Vernichtung analoger Datensätze in Papierform erfolgt wie oben angeführt regulär über den Aktenvernichter. Die meisten Modelle sind zusätzlich zur Vernichtung von Papierakten, auch für die fachgerechte Zerstückelung von optischen Datenträgern (CD-ROM, DVD, Blue-ray), Scheckkarten oder SD-Speicherkarten geeignet.

Festplattendaten verlässlich vernichten und löschen

Angesichts der Möglichkeiten der Datenwiederherstellung durch entsprechende Wiederherstellungssoftware oder durch professionelle Datenrettungstechniker stellt die Löschung von Daten keine sichere Vernichtung dar. Eine sichere Löschung ist in den meisten Fällen gar nicht möglich und bietet nur eine vermeintlich sichere Lösung.

Die Löschung stellt regulär keine Löschung im eigentlichen Sinne dar, da die Dateisysteme in erster Linie den Verweis auf die Datei entfernen. Die Datei selbst wird erst dann gelöscht, sobald der reservierte Speicherplatz für neue Datenbestände benötigt und zur Verfügung gestellt wird. Erst wenn die Datei überschrieben wurde ist sie tatsächlich gelöscht - unwiederbringlich und unwiederherstellbar. In der Theorie können in bestimmten defekten Bereichen, welche von der Festplatte selbst nicht mehr angesteuert werden, doch noch Datenfragmente liegen, aus denen verwertbare Informationen gewonnen werden können.

Festplatte mehrfach überschreiben

Im Internet hält sich schon lange der Mythos, dass nur das mehrfache Überschreiben der Festplatte mit zufälligen Mustern eine sichere Löschung von Daten darstellt. Diese Mär hält sich hartnäckig und wirklich profitieren tun angesichts dieses Irrglaubens nur die Anbieter der kommerziellen Software, die auf eben diese Weise Datenträger „sicher“ überschreibt. Die vollmundigen Werbeversprechen mit der Einhaltung fiktiver Sicherheitsstandards durch x-fache Überschreibvorgänge (z. B. Gutmann-Methode) versuchen dabei mit den großen Zahlen zu beeindrucken.

Als spezialisiertes Datenrettungsunternehmen haben wir bereits mehrfach darauf aufmerksam gemacht: Einmalig überschriebene Daten sind unwiederbringlich. Die Wahrscheinlichkeit noch Daten rekonstruieren zu können geht dabei praktisch gegen Null. Das mehrfache Überschreiben der Festplatte bietet demnach einzig und allein einen psychologischen Sicherheitsaspekt für besonders paranoide Zeitgenossen - ein einfacher Überschreibvorgang mit Nullen ist bei der heutigen Datendichte ausreichend.

Schnellformatierung

Bei der Schnellformatierung wird der Datenträger unabhängig vom eingesetzten Dateisystem innerhalb weniger Augenblicke neu formatiert. Hierbei wird das Inhaltsverzeichnis des Dateisystems, mit allen Verweisen auf die innerhalb des Dateisystem abgelegten Dateien, entfernt und mit einem neuen Inhaltsverzeichnis überschrieben. Die Daten bleiben dabei im Hintergrund erhalten und werden erst mit der Speicherung neuer Dateien sukzessiv überschrieben.

 Voll- oder Normalformatierung

Die, abhängig von der Kapazität, meist mehrstündige andauernde Formatierung des Datenträgers löscht nicht nur die Dateisysteminformationen, sondern überschreibt die Festplatte und damit alle existierenden Daten vollständig mit Nullen. Dieser Formatierungsumfang ist von Betriebsystem zu Betriebsystem unterschiedlich und stellt demnach keine allgemeingültige sichere Löschung von Dateibeständen dar. Bei Windows erfolgt das Überschreiben per Fomatierung erst seit Windows Vista sowie den nachfolgenden Windows Derivaten. Unter Linuxderivaten oder anderen unixoiden Betriebsystemen lässt sich die Festplatte mit dem dd Befehl mit Nullen überschreiben.

Festplatte vor Erstgebrauch verschlüsseln

Alternativ bietet sich als weitere sichere Löschoption an, den Datenträgers vor dem ersten Gebrauch mit einer Verschlüsselung, z. B. mit TrueCrypt,  zu versehen. Mit einem effektiv sicheren Passwort geschützt wäre der Zugriff auf die Daten für Dritte, bei unfachmännischer Entsorgung des Datenträgers, unterbunden. Formatiert man die Festplatte zusätzlich neu, so lässt sich das eigene Sicherheitsempfinden zusätzlich befriedigen.

Festplatten vernichten

In manchen Branchen und Bereichen gibt es für den IT-Bereich sicherheitsspezifische Vorgaben darüber wie mit ausgedienten Speichermedien verfahren werden muss. Dabei handelt sich unter anderem um Banken, behördliche und Regierungseinrichtungen, Clouddienste, militärische Einrichtungen oder Anwaltskanzleien. Zum einen können strenge Geheimhaltungsverpflichtungen sowie der generelle Datenschutz das physikalische Zerstören von Datenträgern erforderlich machen.

Unter der Prämisse, dass eine Festplatte ausfällt und nicht ansprechbar ist, fällt die Möglichkeit des Überschreibens weg. Eine einfache Entsorgung bringt das Restrisiko mit sich, dass die Daten von Spezialisten durchaus wiederhergestellt werden können. Attingo hat die Mittel und Möglichkeiten, die Daten auf defekten Datenträgern wieder verfügbar zu machen. Um die Chancen einer Wiederherstellung der Daten zunichte zu machen bietet es sich an, dass der Datenträger komplett unbrauchbar gemacht beziehungsweise zerstört wird.

Festplatten physisch zerstören

Der Klassiker der Festplattenvernichtung ist das „Shreddern“ der Datenträger, ähnlich der Vernichtung von Unterlagen in einem Aktenvernichter. Bei dieser Methode kann man voll und ganz davon ausgehen, dass eine Wiederherstellung von Daten ausgeschlossen ist. Das Festplattenlaufwerk wird durch das Mahlwerk des Shredders zerkleinert. Auf Youtube findet man zur Visualisierung des Vorgangs diverse Variationen an technischen Lösungen wie zum Beispiel den AMS-300HD von Ameri-Shred.

Neben dem Zerkleinern gibt es weitere technische Vorrichtungen zur Zerstörung von Festplatten: Der Garner PD-5 ist ein weiteres Gerät zur Festplattenvernichtung, welches auf jedem Tisch Platz findet. Der Einschub fasst zwei 3,5“ Laufwerke, die bei Inbetriebnahme von einem hydraulischen Stahlkeil mittig zerbrochen werden. Das Model 0101 von Security Engineered Machinery arbeitet mit einem Stahlsporn, der sich durch das Laufwerk bohrt. Ähnlich funktioniert auch der IDEAL 0101 HDP von IDEAL Germany, welcher die Datenträger ebenfalls mit einem Metallbolzen durchbohrt.

Es ist allerdings nicht notwendig sich derartige Gerätschaften anzuschaffen. Eine handelsübliche Bohrmaschine, ein Trennschleifer, eine Axt oder ein Hammer können durchaus den gleichen Zweck erfüllen – die physische Zerstörung des Speichermediums. Der Kreativität ist in dieser Hinsicht keine Grenze gesetzt. Zu beachten bleibt nur, dass die ferromagnetischen Datenträgerscheiben den größtmöglichen Schaden erleiden müssen.

 Festplatte "degaußen" (entmagnetisieren)

Statt der mechanischen Beschädigung (Zerstörung) des Datenträgers biete sich die Möglichkeit einen Degaußer (engl. Degausser) zu verwenden. Der Degaußer ist ein Entmagnetisierungsgerät, welches die magnetische Speicherfähigkeit von Datenträgern aufhebt. Dafür wird der jeweilige Datenträger einem sehr starken Magnetfeld mit bis zu 11.000 Oersted und einer Flussdichte von 8.000 G (0,8 T) ausgesetzt. Die eingesetzte Feldstärke liegt damit deutlich über der, welche der Festplatte zur physischen Speicherung der Daten zur Verfügung steht.

Bei der Datenlöschung durchs Entmagnetisieren werden nicht nur die zu löschenden Daten, sondern auch die Firmwarebereiche und Wartungsinformationen der Festplatte entfernt, wodurch auch eine vollkommen intakte Festplatte nach dem Degaußen als zerstört gilt. Nebst Festplatten eignet sich das Degaußen für alle magnetischen Datenträger wie Magnetkarten, -bänder (LTO, DLT, DAT, Audiokassetten, Videokassetten) oder Disketten.

 Curie-Temperatur

Die Curie-Teperatur beschreibt die Temperaturgrenze, bei deren Überschreitung die ferromagnetischen Eigenschaften der Datenschicht der Festplatte, abhängig vom Material, verloren gehen können. Die zu erreichende Temperatur zur Vernichtung der Daten richtet sich nach dem Material und dessen magnetischen Eigenschaften. Die bei Festplatten eingesetzten Eisenoxide für die Speicherschicht bzw. Trägermaterialien erreichen die Curie-Temperatur bei ca. 744 bis 774 °C, bei einer Datenschicht aus Kobalt liegt die Curie-Temperatur bei ca. 1.120 bis 1.130 °C. Die extreme Hitzeeinwirkung auf den Datenträger führt damit zum irreversiblen Verlust der durch Remanenz gespeicherten Daten auf der Magnetoberfläche.

Entsorgungsfachbetriebe für Akten- und Datenträgervernichtung

 In kleinen Betrieben, KMUs und Kanzleien mag es problemlos umsetzbar sein, ausgediente Unterlagen und Akten nach Ablauf der Aufbewahrungsfristen, mit Hilfe eines handelsüblichen Aktenvernichters datenschutzgerecht zu entsorgen oder eine defekte Festplatte mit entsprechender Gewalt mechanisch zu zerstören. Doch was machen Unternehmen und Konzerne, bei denen zeitgleich etliche hunderte oder tausende an Datensätzen unter dem Gesichtspunkt des Datenschutzes entsorgt werden müssen? Es gibt eine Vielzahl an professionellen Anbietern, die sich auf die fachgerechte Akten- und Datenvernichtung spezialisiert haben.

Dazu werden die zur Vernichtung bestimmten analogen Datensätze (Akten etc.) oder ausgediente Datenträger bzw. Speichermedien (Festplatten, Magnetbänder etc.) abgeholt und in verplompten Sicherheitsbehältnissen, in einer geschlossenen Sicherheitskette, zum Bestimmungsort für die zertifizierte Vernichtung transportiert. Für die Sicherheitskette müssen entsprechende Aufzeichnungen über die Schließ- und Zugangsbefugnisse sowie sämtliche eintretenden Ereignisse geführt werden, ähnlich der polizeilichen Beweiskettendokumentation. Die Abholung, der Transport und die Entsorgung müssen dabei nach DIN 66399 des Bundesdatenschutzgesetzes erfolgen. Die involvierten Mitarbeiter sollten nach § 5 BDSG verpflichtet sein.

Die Einhaltung der drei Schutzklassen sowie der sieben Sicherheitsstufen muss in diesem Zusammenhang unbedingt gewährleistet werden. Manche Anbieter stellen ihren Kunden dauerhaft gesicherte Entsorgungsbehältnisse zur Verfügung, die über längere Zeiträume hinweg mit den zu entsorgenden Datenträgern befüllt werden können und in einem bestimmten Turnus oder bei Bedarf auf Anfrage abgeholt werden. Die meist hermetisch verriegelten und versiegelten Sicherheitsbehälter sind dabei nur durch befugte Mitarbeiter zu öffnen; die Öffnung erfolgt entsprechend der Prozesssicherheit ausschließlich am Vernichtungsort, kurz vor der eigentlichen Vernichtung des Datenmaterials.

Datenrettung fatal zerstörter Festplatten

Theoretische Datenwiederherstellung

Es existiert ein theoretisches Konstrukt, dass die Wiederherstellung von Daten von schwerst bis fatal beschädigten beziehungsweise vernichteten Festplatten unter Einsatz eines Rasterelektronenmikroskop möglich sei. Allerdings kommt man bei diesem Gedankenexperiment über die Theorie nicht heraus, da der Vorgang des manuellen Auslesens sowie Interpretierens der Rohdaten, angesichts der existierenden Datendichte und Speicherkapazität von magnetischen Datenträgern, einen unrealistischen Zeitaufwand mit sich bringen würde. Ich behaupte, dass keine Daten den, aus der unrealistischen Zeitkomponente resultierenden, finanziellen Aufwand einer derartigen Datenwiederherstellung, sofern überhaupt realisierbar, wert wären.

Keine Datenrettung möglich

Eine Datenrettung erfolgt grundsätzlich im Rahmen der technischen Gegebenheiten und erfordert die physische Aufbereitung sowie temporäre Instandsetzung des Datenträgers. Bei Festplatten ist es zwingend erforderlich, dass die Magnetscheiben weitestgehend intakt sind und dass vor allem die sensiblen Firmwarebereiche und Korrekturparameter für die Inbetriebnahme noch existieren. Sind Firmwareinformationen sowie P-Listen und G-Listen, angesichts der mechanischen Defekte, nicht mehr ansteuer- und manipulier- beziehungsweise modifizierbar, dann kann dies eine Datenrettung durchaus unmöglich machen. Deshalb empfiehlt Attingo bei heruntergefallenen Festplatten und ungewöhnlichen mechanischen Geräuschen, das Speichermedium nicht weiter in Betrieb zu nehmen; früher oder später kann eine "leichte" mechanische Beschädigung in einem fatalen Headcrash gipfeln und die gespeicherten Daten sind zwar grundsätzlich noch existent, jedoch nicht mehr abrufbar und dementsprechend als unwiederbringlich zu betrachten.

 

 

 

 

Andreas Mortensen
Kundenbetreuung
(040) 54887560
info@attingo.com Live-Chat Diagnose-Anfrage
24h-Service 98% Erfolgsrate
iso 9001 siegel grau

Attingo-Magazin

Pressemeldungen & Aktuelles
Attingo in der Presse
Messetermine und Konferenzen
Blog
Stichwortverzeichnis
FAQ - Häufig gestellte Fragen
Fallstudien: Datenrettung