Datenlöschung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{#seo:
{{#seo:
|title=Sicheres Löschen von Daten
|title=Sicheres Löschen von Daten – Methoden, Standards und organisatorische Anforderungen
|keywords= ISMS,Datenvernichtung,Löschung,Datenschutz
|keywords=Datenlöschung,Medienvernichtung,ISMS,NIST 800-88,BSI Grundschutz,Secure Erase,Krypto-Schreddern,Datenschutz,DSGVO
|description= Dieser Artikel beschreibt die gängigen regulatorische Vorgaben und Techniken zur sicheren Löschung von Daten und wo sie zur Anwendung kommen.
|description=Umfassender Fachartikel zu Methoden, Standards und organisatorischen Anforderungen der sicheren Datenlöschung gemäß DSGVO, BSI und NIST 800-88.
}}{{SHORTDESC:Gängigen regulatorische Vorgaben und Techniken zur sicheren Löschung von Daten}}
}}
Die sichere Löschung von Daten ist ein häufig vernachlässigter Aspekt der Informationssicherheit und des Datenschutzes. In einer Zeit, in der Datenmissbrauch und -diebstahl erhebliche Risiken darstellen, ist es unerlässlich, dass sensible und vertrauliche Informationen unwiederbringlich gelöscht werden, wenn sie nicht mehr benötigt werden. Dies schützt nicht nur die Privatsphäre und Vertraulichkeit der betroffenen Personen, sondern erfüllt auch gesetzliche Anforderungen und branchenspezifische Standards. Durch die sichere Löschung von Daten wird verhindert, dass unbefugte Personen Zugriff auf alte oder nicht mehr benötigte Daten erhalten, wodurch das Risiko von Datenlecks und Cyberangriffen erheblich reduziert wird.
{{SHORTDESC:Methoden, Standards und organisatorische Anforderungen zur sicheren Löschung von Daten}}


=== Aspekte der sicheren Löschung von Daten ===
''Die sichere Löschung von Daten ist ein zentraler Bestandteil von Informationssicherheit und Datenschutz. Ziel ist die möglichst vollständige und irreversible Entfernung von Informationen aus allen relevanten Speicherbereichen, sodass eine Wiederherstellung nach dem Stand der Technik praktisch ausgeschlossen ist. Dies schützt vor Datenmissbrauch, reduziert Risiken wie Datenlecks und erfüllt gesetzliche Vorgaben.''
Das sichere Löschen von Daten ist ein wichtiger Aspekt der IT-Sicherheit und des Datenschutzes, der sicherstellt, dass vertrauliche Informationen nach ihrer Nutzung oder vor der Entsorgung von Speichermedien nicht wiederhergestellt werden können. Hier sind einige allgemeine Aspekte, die beim sicheren Löschen von Daten berücksichtigt werden sollten:


* '''Datenklassifizierung''': Vor dem Löschen sollte eine Klassifizierung der Daten erfolgen, um festzulegen, welche Löschmethode angemessen ist.
== Einführung, Sinn und Zweck sicherer Datenlöschung ==
* '''Dokumentation''': Alle Löschvorgänge sollten dokumentiert werden, um Nachweise über die sichere Löschung der Daten zu haben.
Sichere Datenlöschung ist ein grundlegender Bestandteil von Informationssicherheit und Datenschutz. Sie stellt sicher, dass Daten nach Ablauf ihrer Zweckbindung oder vor der Weitergabe bzw. Entsorgung von IT‑Systemen nicht oder nur mit unverhältnismäßigem Aufwand wiederhergestellt werden können. Dies betrifft nicht nur personenbezogene Daten, sondern alle Informationen, deren unbefugte Offenlegung Schaden verursachen kann.
* '''Regelmäßige Überprüfung''': Die Verfahren und Methoden zum sicheren Löschen von Daten sollten regelmäßig überprüft und aktualisiert werden, um den aktuellen Sicherheitsstandards zu entsprechen.


=== Rechtsgrundlagen ===
Der Bedarf ergibt sich aus mehreren Faktoren:


* Artikel 17 DSGVO Recht auf Löschung ("Recht auf Vergessenwerden")
* '''Schutz vor Datenmissbrauch''': Nicht gelöschte Daten können bei Weiterverkauf, Reparatur oder Entsorgung von Geräten ausgelesen werden.
* § 35 BDSG Recht auf Löschung
* '''Erfüllung gesetzlicher Vorgaben''': DSGVO, BDSG und branchenspezifische Standards verlangen die Löschung oder Anonymisierung von Daten, die für den ursprünglichen Zweck nicht mehr erforderlich sind.
* '''Reduzierung von Sicherheitsrisiken''': Alte Datenbestände erhöhen die Angriffsfläche und können bei Cyberangriffen kompromittiert werden.
* '''Vermeidung von Haftungsrisiken''': Fehlende oder fehlerhafte Löschung kann zu Bußgeldern, Reputationsschäden und Vertragsverletzungen führen.
* '''Effizientes Datenmanagement''': Löschung verhindert unnötige Datenhaltung und erleichtert die Einhaltung von Aufbewahrungsfristen.


== Methoden und Verfahren ==
'''Praxisbeispiel''': 
Das sichere Löschen von Daten ist ein essenzieller Bestandteil der IT-Sicherheit. Hier sind einige Methoden und Verfahren, die für das sichere Löschen von Daten eingesetzt werden können:
Ein Unternehmen gibt Leasing‑Laptops zurück. Das Leasingunternehmen verkauft diese als Gebrauchtware bei Ebay. Ohne sichere Löschung könnten vertrauliche Dokumente, Zugangsdaten oder personenbezogene Informationen von Dritten wiederhergestellt werden. Durch ein standardisiertes Löschverfahren (z. B. Secure Erase oder physische Zerstörung) wird dieses Risiko weitgehend ausgeschlossen.


Sichere Datenlöschung ist daher kein optionaler Prozess, sondern eine zwingende Maßnahme, um Vertraulichkeit, Integrität und Compliance dauerhaft sicherzustellen.
== Grundlagen der sicheren Datenlöschung ==
Sichere Datenlöschung umfasst technische, organisatorische und rechtliche Maßnahmen. Die Auswahl geeigneter Verfahren hängt vom Speichermedium, dem Schutzbedarf und dem Einsatzkontext ab.
* '''Datenklassifizierung''': Der Schutzbedarf von Informationen bestimmt die erforderliche Lösch- bzw. Vernichtungsmethode (z. B. Clear, Purge oder Destroy).
* '''Medienbezug''': HDD, SSD, Flash, Cloud, Backups und Datenbanken erfordern unterschiedliche Verfahren.
* '''Dokumentation''': Jeder Löschvorgang muss nachvollziehbar dokumentiert werden.
* '''Lifecycle-Ansatz''': Löschung muss in Beschaffung, Betrieb, Weitergabe und Entsorgung berücksichtigt werden. Datenträger und Informationswerte sollten im Asset-Inventar geführt und mit definierten Lösch- bzw. Vernichtungsprozessen am Lebensende verknüpft sein.
== Rechtliche Anforderungen ==
Die Löschung personenbezogener Daten ist gesetzlich geregelt.
* '''DSGVO Art. 5 Abs. 1 lit. e''': Grundsatz der Speicherbegrenzung – personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.
* '''DSGVO Art. 17''': Recht auf Löschung („Recht auf Vergessenwerden“) und Löschpflichten der Verantwortlichen.
* '''BDSG § 35''': Ergänzende nationale Regelungen zur Löschung und Einschränkung der Verarbeitung.
* '''BSI IT-Grundschutz (CON.6)''': Anforderungen an Lösch- und Vernichtungsverfahren.
* '''Vertragliche Pflichten''': AVV mit Dienstleistern müssen Löschpflichten, Fristen und Nachweise definieren.
Daneben enthält die ISO/IEC 27002:2022 mit Control 8.10 „Information deletion“ eine Referenzmaßnahme zur Löschung von Informationen als Bestandteil eines Informationssicherheits-Managementsystems (ISMS).
== Standards und Referenzmodelle ==
=== NIST 800-88 (Clear / Purge / Destroy) ===
NIST SP 800‑88 ist eine international weit verbreitete Richtlinie zur Bereinigung von Datenträgern (Media Sanitization). Die Revision 1 wurde 2025 durch Revision 2 abgelöst; die grundlegenden Kategorien bleiben jedoch erhalten.
* '''Clear''': Logische Löschung (z. B. Überschreiben, standardkonformes Secure Erase) mit dem Ziel, Daten für einfache Wiederherstellungsverfahren unzugänglich zu machen.
* '''Purge''': Tiefere Bereinigung (z. B. Krypto-Schreddern, herstellerspezifische Purge-Verfahren, Degaussing), sodass Daten auch mit fortgeschrittenen Laborverfahren nicht mehr oder nur mit unverhältnismäßigem Aufwand rekonstruiert werden können.
* '''Destroy''': Physische Zerstörung des Mediums.
Die Auswahl richtet sich nach Schutzbedarf, Medium und Risikoanalyse. Für hohe oder sehr hohe Schutzbedarfe werden in der Regel Purge- oder Destroy-Verfahren gefordert.
=== BSI IT-Grundschutz (CON.6) ===
Der BSI-Baustein CON.6 „Löschung und Vernichtung von Informationen“ definiert Anforderungen an:
* Lösch- und Vernichtungsverfahren je Medium und Schutzbedarf
* Dokumentation und Nachweis der Löschung bzw. Vernichtung
* Entsorgung und Vernichtung durch interne oder externe Stellen
* Auswahl, Steuerung und Kontrolle geeigneter Dienstleister
== Technische Methoden und Verfahren ==
=== Überschreiben ===
=== Überschreiben ===
Beim Überschreiben werden vorhandene Daten durch neue Daten ersetzt, um die ursprünglichen Informationen unlesbar zu machen. Diese Methode wird - zumindest bei magnetischen Datenträgern - in der Regel mehrmals wiederholt, um die Sicherheit zu erhöhen.
Überschreiben ersetzt vorhandene Daten durch definierte Muster oder Zufallsdaten. Es eignet sich vor allem für magnetische Medien.


* '''Einfaches Überschreiben''': Daten werden einmal mit Zufallsdaten überschrieben.
* '''Einfaches Überschreiben''': Ein Durchgang mit Verifikation (z. B. NIST‑konformes Clear).
* '''Mehrfaches Überschreiben''': Daten werden mehrmals (z.B. 3, 7 oder 35 Mal) mit Zufallsdaten überschrieben, wie es von Standards wie dem DoD 5220.22-M empfohlen wird.
* '''Mehrfaches Überschreiben''': Mehrere Durchgänge (z. B. historisch DoD 5220.22‑M, Gutmann). Solche Verfahren mit vielen Durchgängen gelten heute für moderne Festplatten meist als überholt.
* '''Einschränkung''': Bei SSDs aufgrund von Wear‑Leveling und Overprovisioning nicht zuverlässig, da nicht alle Speicherzellen gezielt adressiert werden können.
 
'''Praxisbeispiel''': Ausmusterung eines Laptops mit HDD → 1× Überschreiben nach einem aktuellen Standard (z. B. NIST‑Clear) mit anschließender Verifikation.


=== Entmagnetisieren (Degaussing) ===
=== Entmagnetisieren (Degaussing) ===
Degaussing ist ein Verfahren, bei dem ein starkes magnetisches Feld verwendet wird, um die Magnetisierungsrichtung auf magnetischen Speichermedien (wie Festplatten oder Magnetbändern) zu verändern. Dadurch werden die magnetisch gespeicherten Daten zerstört und unlesbar gemacht.
Ein starkes Magnetfeld zerstört die magnetische Struktur des Mediums.


* '''Anwendung''': Besonders geeignet für Festplatten, Magnetbänder und Disketten.
* '''Geeignet''': HDDs, Magnetbänder.
* '''Limitierung''': Nach dem Degaussing sind die Medien in der Regel nicht mehr verwendbar.
* '''Nicht geeignet''': SSDs, Flash‑Speicher und optische Medien.
* '''Folge''': Medium ist danach unbrauchbar und kann nicht mehr verwendet werden.


=== Physische Zerstörung ===
=== Physische Zerstörung ===
Physische Zerstörung bedeutet das mechanische Zerkleinern, Schreddern oder Verbrennen von Speichermedien. Diese Methode stellt sicher, dass die Daten unwiederbringlich verloren sind.
Physische Vernichtung ist die sicherste Methode bei hohen Schutzbedarfen oder defekten Medien, bei denen logische Verfahren nicht mehr zuverlässig anwendbar sind.


* '''Schreddern''': Das Zerkleinern von Festplatten, SSDs, CDs, DVDs und anderen Speichermedien in kleine Teile.
* '''Schreddern''': Zerkleinern in definierte Partikelgrößen (z. B. nach DIN 66399).
* '''Verbrennen''': Das Verbrennen von Datenträgern, um sicherzustellen, dass die Daten nicht wiederhergestellt werden können.
* '''Verbrennen''': Thermische Vernichtung in geeigneten Anlagen.
* '''Zerkleinern''': Das Zerschlagen von Festplatten oder das Durchbohren von SSDs.
* '''Zerkleinern''': Durchbohren, Pulverisieren oder vergleichbare Verfahren.
 
'''Praxisbeispiel''': Defekte SSD mit sensiblen Daten → Schreddern nach DIN 66399 unter Berücksichtigung des Schutzbedarfs.


=== Krypto-Schreddern ===
=== Krypto-Schreddern ===
Beim Krypto-Schreddern werden die kryptografischen Schlüssel, die zur Verschlüsselung der Daten verwendet werden, sicher gelöscht. Ohne diese Schlüssel sind die verschlüsselten Daten nicht mehr lesbar.
Löschen kryptografischer Schlüssel macht verschlüsselte Daten unlesbar.


* '''Anwendung''': Besonders geeignet für SSDs und andere Speichermedien, bei denen herkömmliche Überschreibmethoden nicht zuverlässig sind.
* '''Geeignet''': SSDs, Flash, virtuelle Datenträger, verschlüsselte Container und Datenspeicher.
* '''Vorteil''': Effizient und schnell, da nur die Schlüssel gelöscht werden müssen.
* '''Vorteil''': Sehr schnell, da nur Schlüssel gelöscht werden müssen, nicht alle Datenblöcke.
* '''Voraussetzung''': Vollständige, konsequent eingesetzte Verschlüsselung des Mediums bzw. der Daten. Die gewählten Verfahren und Schlüsselstärken müssen dem Schutzbedarf entsprechen.


=== Secure Erase ===
=== Secure Erase ===
Secure Erase ist eine spezialisierte Softwarefunktion, die von vielen Festplatten- und SSD-Herstellern implementiert wird. Sie führt einen vollständigen Löschvorgang auf der Festplatte durch, der sicherstellt, dass alle Daten unwiederbringlich gelöscht werden.
Firmware-basierte Funktion zur Löschung aller adressierbaren Speicherbereiche.


* '''Anwendung''': Geeignet für Festplatten und SSDs.
* '''Anwendung''': HDDs und SSDs.
* '''Verfügbarkeit''': Diese Funktion ist oft im Firmware-Tool des Festplatten- oder SSD-Herstellers verfügbar.
* '''Verfügbarkeit''': Hersteller‑Tools, teilweise BIOS/UEFI, spezialisierte Löschsoftware.
* '''Hinweis''': Manche SSD‑Implementierungen sind fehleranfällig oder nicht vollständig NIST‑konform. Es ist daher ein Nachweis bzw. eine Validierung des Verfahrens erforderlich (z. B. durch Herstellerdokumentation, Tests oder Zertifizierung). Im Rahmen von NIST 800‑88 kann ein validiertes Secure‑Erase‑Verfahren der Kategorie „Purge“ zugeordnet werden.


=== Softwarelösungen ===
=== Softwarelösungen ===
Es gibt verschiedene Softwarelösungen, die für das sichere Löschen von Daten verwendet werden können. Diese Tools bieten unterschiedliche Methoden und Standards zum Überschreiben und Löschen von Daten.
Tools zur Löschung einzelner Dateien, freier Speicherbereiche oder kompletter Datenträger.
 
* '''Beispiele''': DBAN, Eraser, Blancco Drive Eraser, herstellerspezifische Tools.
* '''Standards''': Umsetzung von Vorgaben aus NIST 800‑88, BSI‑Empfehlungen oder anderen anerkannten Richtlinien. Historische Verfahren wie DoD 5220.22‑M oder Gutmann sollten nur noch eingesetzt werden, wenn sie explizit gefordert oder nachweisbar geeignet sind.
 
== Löschung in komplexen Umgebungen ==
=== Cloud-Datenlöschung ===
Cloud‑Umgebungen erfordern besondere Maßnahmen, da Daten repliziert und verteilt gespeichert werden.
 
* Löschung von Replikaten, Snapshots, Caches und temporären Kopien.
* Berücksichtigung von Multi‑Zonen‑ und Multi‑Region‑Setups.
* Nutzung von Anbieterfunktionen (z. B. „Secure Delete“, „Object Lock“, Lifecycle‑Policies).
* Löschbestätigungen des Providers und vertragliche Regelungen (AV‑Vertrag, SLA) zu Löschfristen, Restaufbewahrung und Nachweisen.
 
'''Praxisbeispiel''': S3‑Bucket mit Versionierung → alle Versionen, Replikate und ggf. Cross‑Region‑Replikationen löschen; Lifecycle‑Regeln so konfigurieren, dass zukünftige Objekte nach Ablauf der Aufbewahrungsfrist automatisch gelöscht werden.


* '''Beispiele''': DBAN (Darik's Boot and Nuke), Eraser, Blancco Drive Eraser.
=== Backups ===
* '''Funktionen''': Unterstützen verschiedene Löschmethoden und Standards, wie DoD 5220.22-M, NIST 800-88, Gutmann-Methode.
Backups sind ein kritischer Faktor für DSGVO‑konforme Löschung.


== Organisatorische Regelungen ==
* Löschkonzepte müssen Backup‑Zyklen und Aufbewahrungsfristen berücksichtigen.
Um sicherzustellen, dass Daten sicher gelöscht werden und keine unbefugten Zugriffe oder Wiederherstellungen möglich sind, sind klare organisatorische Regelungen notwendig. Diese Regelungen sollten Teil der IT-Sicherheitsrichtlinien und Datenschutzvorgaben der Organisation sein. Hier sind einige wichtige organisatorische Regelungen zum sicheren Löschen von Daten:
* Nach Löschung im Produktivsystem dürfen personenbezogene Daten nicht gezielt aus Backups wiederhergestellt werden; im Falle einer vollständigen Systemwiederherstellung müssen ergänzende Maßnahmen (z. B. erneute Löschung, selektives Bereinigen) vorgesehen werden.
* Nutzung von Backup‑Verschlüsselung und geplanter Schlüsselvernichtung kann sicherstellen, dass Alt‑Backups nach Ablauf der Aufbewahrungsfrist faktisch unlesbar werden.


=== Richtlinien und Verfahren ===
=== Datenbanken ===
Es sollten detaillierte Richtlinien und Verfahren für das sichere Löschen von Daten entwickelt und implementiert werden. Diese sollten spezifische Anweisungen und Verantwortlichkeiten enthalten.
Datenbanken speichern Daten in mehreren Bereichen.
 
* Tabellen, Indizes, Transaktionslogs, Caches und temporäre Dateien.
* Löschung muss alle relevanten Speicherorte berücksichtigen.
* Nutzung von „Secure Delete“‑Funktionen (falls verfügbar) sowie geeigneten Bereinigungsmechanismen für Logs, Caches und Archivtabellen.
 
=== Mobile Geräte ===
Mobile Endgeräte benötigen spezifische Löschmechanismen.


* '''Erstellung von Richtlinien''': Entwickeln von Richtlinien, die die Anforderungen und Methoden für das sichere Löschen von Daten festlegen.
* Remote Wipe über MDM‑Lösungen.
* '''Verfahrensanweisungen''': Detaillierte Verfahrensanweisungen für die verschiedenen Methoden des sicheren Löschens, je nach Art der Daten und Speichermedien.
* Löschung lokaler Schlüssel bei verschlüsselten Geräten (Krypto‑Schreddern).
* Sicheres Zurücksetzen auf Werkseinstellungen und anschließend ggf. zusätzliche Maßnahmen (z. B. erneute Verschlüsselung und Schlüsselvernichtung), insbesondere vor Weitergabe oder Rückgabe von Geräten.


=== Verantwortlichkeiten und Rollen ===
== Organisatorische Anforderungen ==
Die Verantwortlichkeiten und Rollen im Zusammenhang mit dem sicheren Löschen von Daten sollten klar definiert und kommuniziert werden.
=== Richtlinien und Verfahren ===
* Festlegung von Löschanforderungen je Datenart, Schutzbedarf und Medium.
* Definition von Clear/Purge/Destroy je Schutzbedarf und Anwendungskontext.
* Integration in IT‑Betriebsprozesse (z. B. bei Hardware‑Rückgabe, Incident‑Response, Lifecycle‑Management).


* '''Zuordnung von Rollen''': Bestimmen, welche Abteilungen und Personen für das Löschen von Daten verantwortlich sind (z.B. IT-Abteilung, Entsorgungs-Dienstleister).
=== Verantwortlichkeiten ===
* '''Verantwortlichkeiten''': Klare Zuweisung der Verantwortlichkeiten für die Durchführung und Überwachung der Löschvorgänge.
* Klare Zuordnung von Zuständigkeiten (IT, Informationssicherheit, Datenschutz, Entsorger).
* Freigabeprozesse für Löschvorgänge, insbesondere bei Medien mit hohem Schutzbedarf.
* Regelung der Verantwortlichkeiten bei externen Dienstleistern.


=== Schulung und Sensibilisierung ===
=== Schulung und Sensibilisierung ===
Mitarbeitende sollten regelmäßig geschult und sensibilisiert werden, um sicherzustellen, dass sie die Bedeutung des sicheren Löschens von Daten verstehen und die festgelegten Verfahren befolgen.
* Regelmäßige Schulungen zu Löschverfahren und Schutzbedarfen.
 
* Sensibilisierung für Risiken unsachgemäßer Löschung (z. B. Verkauf von Datenträgern ohne Bereinigung).
* '''Schulungsprogramme''': Regelmäßige Schulungen zu den Richtlinien und Verfahren für das sichere Löschen von Daten.
* '''Sensibilisierungskampagnen''': Kampagnen zur Sensibilisierung der Mitarbeitenden für die Risiken und Folgen unsachgemäßer Datenlöschung.


=== Dokumentation und Nachweis ===
=== Dokumentation und Nachweis ===
Alle Löschvorgänge sollten dokumentiert werden, um Nachweise über die Durchführung und die angewandten Methoden zu haben.
* Löschprotokolle mit Datum, Methode, Medium, Schutzbedarf, Verantwortlichen und ggf. verwendeten Standards (z. B. NIST 800‑88).
 
* Nachweisführung gegenüber Datenschutz, Revision und Aufsichtsbehörden.
* '''Löschprotokolle''': Erstellen und Aufbewahren von Protokollen für jeden Löschvorgang, einschließlich Datum, Methode, verantwortlicher Person und Art der gelöschten Daten.
* Bei externen Dienstleistern Einforderung und Aufbewahrung von Lösch- bzw. Vernichtungszertifikaten mit Angaben zu Verfahren, Standards und Umfang.
* '''Berichte''': Regelmäßige Berichte an die IT-Leitung und die Datenschutzbeauftragten über die durchgeführten Löschvorgänge und die Einhaltung der Richtlinien.


=== Überwachung und Kontrolle ===
=== Überwachung und Kontrolle ===
Die Einhaltung der Richtlinien und Verfahren sollte regelmäßig überwacht und kontrolliert werden, um sicherzustellen, dass die Datenlöschung korrekt durchgeführt wird.
* Regelmäßige Audits der Löschprozesse und Stichprobenprüfungen.
 
* Kontrolle vor Entsorgung, Weiterverwendung oder Rückgabe von Geräten.
* '''Audits und Überprüfungen''': Regelmäßige Audits und Überprüfungen der Löschprozesse und -dokumentationen durch interne oder externe Prüfer.
* Überprüfung von Dienstleistern (z. B. Vor‑Ort‑Kontrollen, Zertifikate, Auditberichte).
* '''Kontrollmechanismen''': Implementierung von Kontrollmechanismen, um sicherzustellen, dass alle Speichermedien vor der Entsorgung oder Weiterverwendung sicher gelöscht werden.


=== Auswahl und Nutzung von Tools ===
=== Auswahl und Nutzung von Tools ===
Die Auswahl der Tools und Methoden zum sicheren Löschen von Daten sollte auf Basis der spezifischen Anforderungen und der Art der Daten erfolgen.
* Bewertung geeigneter Software‑ und Hardware‑Tools (u. a. Funktionsumfang, Nachweisführung, Standardkonformität).
 
* Einsatz zertifizierter Lösungen, sofern verfügbar (z. B. nach NIST 800‑88, BSI‑Empfehlungen).
* '''Bewertung von Tools''': Regelmäßige Bewertung und Auswahl von geeigneten Software- und Hardware-Tools zum sicheren Löschen von Daten.
* Regelmäßige Überprüfung von Tool‑Versionen und Konfigurationen.
* '''Nutzung zertifizierter Tools''': Verwendung von zertifizierten und anerkannten Tools und Verfahren, die den aktuellen Sicherheitsstandards entsprechen.


=== Entsorgung und Recycling ===
=== Entsorgung und Recycling ===
Die Entsorgung und das Recycling von Speichermedien sollten gemäß den Richtlinien für das sichere Löschen von Daten erfolgen.
* Vorgaben zur sicheren Entsorgung von Medien (interne Entsorgung, externe Dienstleister).
 
* Sicherstellung der Löschung oder Vernichtung vor Recycling oder Wiederverwendung.
* '''Entsorgungsvorschriften''': Festlegung von Vorschriften für die Entsorgung von Speichermedien, die eine sichere Löschung der Daten gewährleisten.
* Berücksichtigung von Umweltaspekten im Rahmen der sicheren Vernichtung.
* '''Recyclingverfahren''': Implementierung von Recyclingverfahren, die sicherstellen, dass alle Daten vor dem Recycling sicher gelöscht werden.


=== Notfallmaßnahmen ===
=== Notfallmaßnahmen ===
Es sollten Notfallmaßnahmen definiert werden, um sicherzustellen, dass auch in Krisensituationen eine sichere Datenlöschung erfolgen kann.
* Notfallpläne für Löschung bzw. schnelle Unzugänglichmachung von Daten bei Cyberangriffen oder physischen Schäden (z. B. kompromittierte Systeme, Diebstahl von Geräten).
* Sofortmaßnahmen zur schnellen Datenvernichtung oder Schlüsselvernichtung, falls erforderlich.
* Einbindung der Datenlöschung in das Notfall‑ und Business‑Continuity‑Management.


* '''Notfallpläne''': Erstellung von Notfallplänen für die sichere Datenlöschung bei unerwarteten Ereignissen wie Cyberangriffen oder Naturkatastrophen.
== Typische Fehler und Risiken ==
* '''Sofortmaßnahmen''': Definierung von Sofortmaßnahmen zur sicheren Löschung von Daten in Notfällen.
* Löschung nur im Produktivsystem, nicht in Backups oder Replikaten berücksichtigt.
 
* Unvollständige Löschung bei SSDs und Flash‑Speichern aufgrund ungeeigneter Verfahren.
Diese organisatorischen Regelungen zum sicheren Löschen von Daten helfen dabei, den Datenschutz und die IT-Sicherheit zu gewährleisten und sicherzustellen, dass sensible Informationen nicht in unbefugte Hände gelangen.
* Fehlende oder unzureichende Dokumentation.
* Ungeeignete Tools oder veraltete Verfahren ohne Bezug zu aktuellen Standards.
* Fehlende Kontrolle und vertragliche Regelungen bei externen Dienstleistern.
* Verwechslung von Anonymisierung (als Löschersatz möglich) mit Pseudonymisierung (keine Löschung im Sinne der DSGVO).


== Weitere Quellen ==
== Weitere Quellen ==
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/03_CON_Konzepte_und_Vorgehensweisen/CON_6_Loeschen_und_Vernichten_Edition_2023.pdf?__blob=publicationFile&v=3#download=1 BSI IT-Grundschutz Kompedium Baustein CON.6: Löschen und Vernichten]
* [https://www.bsi.bund.de/... BSI IT-Grundschutz Kompendium – Baustein CON.6]
 
* [https://www.bitkom.org/... BITKOM Leitfaden zum sicheren Datenlöschen]
[https://www.bitkom.org/sites/default/files/file/import/080602-Sicheres-Datenloeschen-Version-2-0-vom-300508.pdf BITCOM Leitfaden zum Sicheren Datenlöschen]
* [https://nvlpubs.nist.gov/... NIST SP 800-88 Revision 1 (inzwischen durch Revision 2 ersetzt)]
* [https://csrc.nist.gov/publications/sp800 NIST SP 800-88 Revision 2 – Guidelines for Media Sanitization]
* [https://www.iso.org/obp/ui/en/ ISO/IEC 27002:2022 – Control 8.10 Information deletion]


[https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf NIST Special Publication 800-88 Revision 1: Guidelines for Media Sanitization]
[[Kategorie:Artikel]]
[[Kategorie:Artikel]]

Version vom 30. April 2026, 20:33 Uhr


Die sichere Löschung von Daten ist ein zentraler Bestandteil von Informationssicherheit und Datenschutz. Ziel ist die möglichst vollständige und irreversible Entfernung von Informationen aus allen relevanten Speicherbereichen, sodass eine Wiederherstellung nach dem Stand der Technik praktisch ausgeschlossen ist. Dies schützt vor Datenmissbrauch, reduziert Risiken wie Datenlecks und erfüllt gesetzliche Vorgaben.

Einführung, Sinn und Zweck sicherer Datenlöschung

Sichere Datenlöschung ist ein grundlegender Bestandteil von Informationssicherheit und Datenschutz. Sie stellt sicher, dass Daten nach Ablauf ihrer Zweckbindung oder vor der Weitergabe bzw. Entsorgung von IT‑Systemen nicht oder nur mit unverhältnismäßigem Aufwand wiederhergestellt werden können. Dies betrifft nicht nur personenbezogene Daten, sondern alle Informationen, deren unbefugte Offenlegung Schaden verursachen kann.

Der Bedarf ergibt sich aus mehreren Faktoren:

  • Schutz vor Datenmissbrauch: Nicht gelöschte Daten können bei Weiterverkauf, Reparatur oder Entsorgung von Geräten ausgelesen werden.
  • Erfüllung gesetzlicher Vorgaben: DSGVO, BDSG und branchenspezifische Standards verlangen die Löschung oder Anonymisierung von Daten, die für den ursprünglichen Zweck nicht mehr erforderlich sind.
  • Reduzierung von Sicherheitsrisiken: Alte Datenbestände erhöhen die Angriffsfläche und können bei Cyberangriffen kompromittiert werden.
  • Vermeidung von Haftungsrisiken: Fehlende oder fehlerhafte Löschung kann zu Bußgeldern, Reputationsschäden und Vertragsverletzungen führen.
  • Effizientes Datenmanagement: Löschung verhindert unnötige Datenhaltung und erleichtert die Einhaltung von Aufbewahrungsfristen.

Praxisbeispiel: Ein Unternehmen gibt Leasing‑Laptops zurück. Das Leasingunternehmen verkauft diese als Gebrauchtware bei Ebay. Ohne sichere Löschung könnten vertrauliche Dokumente, Zugangsdaten oder personenbezogene Informationen von Dritten wiederhergestellt werden. Durch ein standardisiertes Löschverfahren (z. B. Secure Erase oder physische Zerstörung) wird dieses Risiko weitgehend ausgeschlossen.

Sichere Datenlöschung ist daher kein optionaler Prozess, sondern eine zwingende Maßnahme, um Vertraulichkeit, Integrität und Compliance dauerhaft sicherzustellen.

Grundlagen der sicheren Datenlöschung

Sichere Datenlöschung umfasst technische, organisatorische und rechtliche Maßnahmen. Die Auswahl geeigneter Verfahren hängt vom Speichermedium, dem Schutzbedarf und dem Einsatzkontext ab.

  • Datenklassifizierung: Der Schutzbedarf von Informationen bestimmt die erforderliche Lösch- bzw. Vernichtungsmethode (z. B. Clear, Purge oder Destroy).
  • Medienbezug: HDD, SSD, Flash, Cloud, Backups und Datenbanken erfordern unterschiedliche Verfahren.
  • Dokumentation: Jeder Löschvorgang muss nachvollziehbar dokumentiert werden.
  • Lifecycle-Ansatz: Löschung muss in Beschaffung, Betrieb, Weitergabe und Entsorgung berücksichtigt werden. Datenträger und Informationswerte sollten im Asset-Inventar geführt und mit definierten Lösch- bzw. Vernichtungsprozessen am Lebensende verknüpft sein.

Rechtliche Anforderungen

Die Löschung personenbezogener Daten ist gesetzlich geregelt.

  • DSGVO Art. 5 Abs. 1 lit. e: Grundsatz der Speicherbegrenzung – personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke der Verarbeitung erforderlich ist.
  • DSGVO Art. 17: Recht auf Löschung („Recht auf Vergessenwerden“) und Löschpflichten der Verantwortlichen.
  • BDSG § 35: Ergänzende nationale Regelungen zur Löschung und Einschränkung der Verarbeitung.
  • BSI IT-Grundschutz (CON.6): Anforderungen an Lösch- und Vernichtungsverfahren.
  • Vertragliche Pflichten: AVV mit Dienstleistern müssen Löschpflichten, Fristen und Nachweise definieren.

Daneben enthält die ISO/IEC 27002:2022 mit Control 8.10 „Information deletion“ eine Referenzmaßnahme zur Löschung von Informationen als Bestandteil eines Informationssicherheits-Managementsystems (ISMS).

Standards und Referenzmodelle

NIST 800-88 (Clear / Purge / Destroy)

NIST SP 800‑88 ist eine international weit verbreitete Richtlinie zur Bereinigung von Datenträgern (Media Sanitization). Die Revision 1 wurde 2025 durch Revision 2 abgelöst; die grundlegenden Kategorien bleiben jedoch erhalten.

  • Clear: Logische Löschung (z. B. Überschreiben, standardkonformes Secure Erase) mit dem Ziel, Daten für einfache Wiederherstellungsverfahren unzugänglich zu machen.
  • Purge: Tiefere Bereinigung (z. B. Krypto-Schreddern, herstellerspezifische Purge-Verfahren, Degaussing), sodass Daten auch mit fortgeschrittenen Laborverfahren nicht mehr oder nur mit unverhältnismäßigem Aufwand rekonstruiert werden können.
  • Destroy: Physische Zerstörung des Mediums.

Die Auswahl richtet sich nach Schutzbedarf, Medium und Risikoanalyse. Für hohe oder sehr hohe Schutzbedarfe werden in der Regel Purge- oder Destroy-Verfahren gefordert.

BSI IT-Grundschutz (CON.6)

Der BSI-Baustein CON.6 „Löschung und Vernichtung von Informationen“ definiert Anforderungen an:

  • Lösch- und Vernichtungsverfahren je Medium und Schutzbedarf
  • Dokumentation und Nachweis der Löschung bzw. Vernichtung
  • Entsorgung und Vernichtung durch interne oder externe Stellen
  • Auswahl, Steuerung und Kontrolle geeigneter Dienstleister

Technische Methoden und Verfahren

Überschreiben

Überschreiben ersetzt vorhandene Daten durch definierte Muster oder Zufallsdaten. Es eignet sich vor allem für magnetische Medien.

  • Einfaches Überschreiben: Ein Durchgang mit Verifikation (z. B. NIST‑konformes Clear).
  • Mehrfaches Überschreiben: Mehrere Durchgänge (z. B. historisch DoD 5220.22‑M, Gutmann). Solche Verfahren mit vielen Durchgängen gelten heute für moderne Festplatten meist als überholt.
  • Einschränkung: Bei SSDs aufgrund von Wear‑Leveling und Overprovisioning nicht zuverlässig, da nicht alle Speicherzellen gezielt adressiert werden können.

Praxisbeispiel: Ausmusterung eines Laptops mit HDD → 1× Überschreiben nach einem aktuellen Standard (z. B. NIST‑Clear) mit anschließender Verifikation.

Entmagnetisieren (Degaussing)

Ein starkes Magnetfeld zerstört die magnetische Struktur des Mediums.

  • Geeignet: HDDs, Magnetbänder.
  • Nicht geeignet: SSDs, Flash‑Speicher und optische Medien.
  • Folge: Medium ist danach unbrauchbar und kann nicht mehr verwendet werden.

Physische Zerstörung

Physische Vernichtung ist die sicherste Methode bei hohen Schutzbedarfen oder defekten Medien, bei denen logische Verfahren nicht mehr zuverlässig anwendbar sind.

  • Schreddern: Zerkleinern in definierte Partikelgrößen (z. B. nach DIN 66399).
  • Verbrennen: Thermische Vernichtung in geeigneten Anlagen.
  • Zerkleinern: Durchbohren, Pulverisieren oder vergleichbare Verfahren.

Praxisbeispiel: Defekte SSD mit sensiblen Daten → Schreddern nach DIN 66399 unter Berücksichtigung des Schutzbedarfs.

Krypto-Schreddern

Löschen kryptografischer Schlüssel macht verschlüsselte Daten unlesbar.

  • Geeignet: SSDs, Flash, virtuelle Datenträger, verschlüsselte Container und Datenspeicher.
  • Vorteil: Sehr schnell, da nur Schlüssel gelöscht werden müssen, nicht alle Datenblöcke.
  • Voraussetzung: Vollständige, konsequent eingesetzte Verschlüsselung des Mediums bzw. der Daten. Die gewählten Verfahren und Schlüsselstärken müssen dem Schutzbedarf entsprechen.

Secure Erase

Firmware-basierte Funktion zur Löschung aller adressierbaren Speicherbereiche.

  • Anwendung: HDDs und SSDs.
  • Verfügbarkeit: Hersteller‑Tools, teilweise BIOS/UEFI, spezialisierte Löschsoftware.
  • Hinweis: Manche SSD‑Implementierungen sind fehleranfällig oder nicht vollständig NIST‑konform. Es ist daher ein Nachweis bzw. eine Validierung des Verfahrens erforderlich (z. B. durch Herstellerdokumentation, Tests oder Zertifizierung). Im Rahmen von NIST 800‑88 kann ein validiertes Secure‑Erase‑Verfahren der Kategorie „Purge“ zugeordnet werden.

Softwarelösungen

Tools zur Löschung einzelner Dateien, freier Speicherbereiche oder kompletter Datenträger.

  • Beispiele: DBAN, Eraser, Blancco Drive Eraser, herstellerspezifische Tools.
  • Standards: Umsetzung von Vorgaben aus NIST 800‑88, BSI‑Empfehlungen oder anderen anerkannten Richtlinien. Historische Verfahren wie DoD 5220.22‑M oder Gutmann sollten nur noch eingesetzt werden, wenn sie explizit gefordert oder nachweisbar geeignet sind.

Löschung in komplexen Umgebungen

Cloud-Datenlöschung

Cloud‑Umgebungen erfordern besondere Maßnahmen, da Daten repliziert und verteilt gespeichert werden.

  • Löschung von Replikaten, Snapshots, Caches und temporären Kopien.
  • Berücksichtigung von Multi‑Zonen‑ und Multi‑Region‑Setups.
  • Nutzung von Anbieterfunktionen (z. B. „Secure Delete“, „Object Lock“, Lifecycle‑Policies).
  • Löschbestätigungen des Providers und vertragliche Regelungen (AV‑Vertrag, SLA) zu Löschfristen, Restaufbewahrung und Nachweisen.

Praxisbeispiel: S3‑Bucket mit Versionierung → alle Versionen, Replikate und ggf. Cross‑Region‑Replikationen löschen; Lifecycle‑Regeln so konfigurieren, dass zukünftige Objekte nach Ablauf der Aufbewahrungsfrist automatisch gelöscht werden.

Backups

Backups sind ein kritischer Faktor für DSGVO‑konforme Löschung.

  • Löschkonzepte müssen Backup‑Zyklen und Aufbewahrungsfristen berücksichtigen.
  • Nach Löschung im Produktivsystem dürfen personenbezogene Daten nicht gezielt aus Backups wiederhergestellt werden; im Falle einer vollständigen Systemwiederherstellung müssen ergänzende Maßnahmen (z. B. erneute Löschung, selektives Bereinigen) vorgesehen werden.
  • Nutzung von Backup‑Verschlüsselung und geplanter Schlüsselvernichtung kann sicherstellen, dass Alt‑Backups nach Ablauf der Aufbewahrungsfrist faktisch unlesbar werden.

Datenbanken

Datenbanken speichern Daten in mehreren Bereichen.

  • Tabellen, Indizes, Transaktionslogs, Caches und temporäre Dateien.
  • Löschung muss alle relevanten Speicherorte berücksichtigen.
  • Nutzung von „Secure Delete“‑Funktionen (falls verfügbar) sowie geeigneten Bereinigungsmechanismen für Logs, Caches und Archivtabellen.

Mobile Geräte

Mobile Endgeräte benötigen spezifische Löschmechanismen.

  • Remote Wipe über MDM‑Lösungen.
  • Löschung lokaler Schlüssel bei verschlüsselten Geräten (Krypto‑Schreddern).
  • Sicheres Zurücksetzen auf Werkseinstellungen und anschließend ggf. zusätzliche Maßnahmen (z. B. erneute Verschlüsselung und Schlüsselvernichtung), insbesondere vor Weitergabe oder Rückgabe von Geräten.

Organisatorische Anforderungen

Richtlinien und Verfahren

  • Festlegung von Löschanforderungen je Datenart, Schutzbedarf und Medium.
  • Definition von Clear/Purge/Destroy je Schutzbedarf und Anwendungskontext.
  • Integration in IT‑Betriebsprozesse (z. B. bei Hardware‑Rückgabe, Incident‑Response, Lifecycle‑Management).

Verantwortlichkeiten

  • Klare Zuordnung von Zuständigkeiten (IT, Informationssicherheit, Datenschutz, Entsorger).
  • Freigabeprozesse für Löschvorgänge, insbesondere bei Medien mit hohem Schutzbedarf.
  • Regelung der Verantwortlichkeiten bei externen Dienstleistern.

Schulung und Sensibilisierung

  • Regelmäßige Schulungen zu Löschverfahren und Schutzbedarfen.
  • Sensibilisierung für Risiken unsachgemäßer Löschung (z. B. Verkauf von Datenträgern ohne Bereinigung).

Dokumentation und Nachweis

  • Löschprotokolle mit Datum, Methode, Medium, Schutzbedarf, Verantwortlichen und ggf. verwendeten Standards (z. B. NIST 800‑88).
  • Nachweisführung gegenüber Datenschutz, Revision und Aufsichtsbehörden.
  • Bei externen Dienstleistern Einforderung und Aufbewahrung von Lösch- bzw. Vernichtungszertifikaten mit Angaben zu Verfahren, Standards und Umfang.

Überwachung und Kontrolle

  • Regelmäßige Audits der Löschprozesse und Stichprobenprüfungen.
  • Kontrolle vor Entsorgung, Weiterverwendung oder Rückgabe von Geräten.
  • Überprüfung von Dienstleistern (z. B. Vor‑Ort‑Kontrollen, Zertifikate, Auditberichte).

Auswahl und Nutzung von Tools

  • Bewertung geeigneter Software‑ und Hardware‑Tools (u. a. Funktionsumfang, Nachweisführung, Standardkonformität).
  • Einsatz zertifizierter Lösungen, sofern verfügbar (z. B. nach NIST 800‑88, BSI‑Empfehlungen).
  • Regelmäßige Überprüfung von Tool‑Versionen und Konfigurationen.

Entsorgung und Recycling

  • Vorgaben zur sicheren Entsorgung von Medien (interne Entsorgung, externe Dienstleister).
  • Sicherstellung der Löschung oder Vernichtung vor Recycling oder Wiederverwendung.
  • Berücksichtigung von Umweltaspekten im Rahmen der sicheren Vernichtung.

Notfallmaßnahmen

  • Notfallpläne für Löschung bzw. schnelle Unzugänglichmachung von Daten bei Cyberangriffen oder physischen Schäden (z. B. kompromittierte Systeme, Diebstahl von Geräten).
  • Sofortmaßnahmen zur schnellen Datenvernichtung oder Schlüsselvernichtung, falls erforderlich.
  • Einbindung der Datenlöschung in das Notfall‑ und Business‑Continuity‑Management.

Typische Fehler und Risiken

  • Löschung nur im Produktivsystem, nicht in Backups oder Replikaten berücksichtigt.
  • Unvollständige Löschung bei SSDs und Flash‑Speichern aufgrund ungeeigneter Verfahren.
  • Fehlende oder unzureichende Dokumentation.
  • Ungeeignete Tools oder veraltete Verfahren ohne Bezug zu aktuellen Standards.
  • Fehlende Kontrolle und vertragliche Regelungen bei externen Dienstleistern.
  • Verwechslung von Anonymisierung (als Löschersatz möglich) mit Pseudonymisierung (keine Löschung im Sinne der DSGVO).

Weitere Quellen

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Datenlöschung&oldid=2191