Datenvernichtung
Dieser Artikel beschreibt die gängigen regulatorischen Anforderungen an die Vernichtung von Daten und wo diese zur Anwendung kommen. Diese Grundlagen sollen helfen, auf der Basis bestehender Normen und Standards geeignete Vorgaben für die Datenvernichtung zu erstellen.
Einführung
Die Vernichtung von Daten erfolgt in den seltensten Fällen rückstandslos. Ob zerrissenes Papier oder gelöschte Festplatten - mit entsprechendem personellen oder technischen Aufwand lassen sich die meisten Daten wiederherstellen. Für eine öffentlich zugängliche Telefonliste wird sich kaum jemand die Mühe machen, eine Mülltonne zu durchwühlen. Für firmeninterne Entwicklungsdaten würden Wettbewerber vielleicht schon einige tausend Euro in die Hand nehmen, um z.B. eine gelöschte Festplatte wiederherzustellen oder Papierschnipsel mit aufwändigen Scan- und Rechenverfahren zusammenzusetzen. Je nach Wert und Schutzbedarf der Informationen sind Art und Aufwand der Datenvernichtung angemessen zu wählen. Dabei ist davon auszugehen, welchen Wert die Daten für einen Angreifer haben und welchen Aufwand er in der Regel betreiben würde, um vernichtete Daten wiederherzustellen. Als Grundlage für eine sachgerechte Vernichtung ist daher zunächst eine Klassifizierung der Informationen erforderlich, die sich wiederum am Wert bzw. Schutzbedarf der Informationen orientieren sollte.
Aktenvernichtung - DIN 32757 (bis 2012)
Bis Oktober 2012 wurde in Deutschland die Datensicherheit von Aktenvernichtern nach den fünf Sicherheitsstufen (S1 bis S5) der DIN 32757 "Vernichtung von Informationsträgern" klassifiziert. Einige Hersteller gaben für ihre Produkte auch die Sicherheitsstufe "S6" an, die jedoch in der Norm selbst nicht definiert war. Handelsüblich für Büroartikel waren die Sicherheitsstufen S2-S4.
Die DIN 32757 behandelte bereits neben Papier auch andere Datenträger. Der hier gegebene Auszug behandelt jedoch nur die bis dahin übliche Vernichtung von Informationen auf Papier, also den typischen "Aktenvernichter", da diese teilweise noch heute mit den hier aufgeführten alten Sicherheitsstufen betrieben werden.
Im Einzelnen sind die fünf Sicherheitsstufen für Papier wie folgt definiert (DIN 32757-1:1995-01)
| S1 | allgemeines Schriftgut | Streifenschnitt: max. 12 mm Streifenbreite
Kreuzschnitt: max. 1000 mm² Partikelfläche |
|---|---|---|
| S2 | internes Schriftgut | Streifenschnitt: max. 6 mm Streifenbreite
Kreuzschnitt: max. 400 mm² Partikelfläche |
| S3 | vertrauliches Schriftgut | Streifenschnitt: max. 2 mm Streifenbreite
Kreuzschnitt: max. 4 mm x 60 mm (240 mm² Partikelfläche) |
| S4 | geheimes Schriftgut | Kreuzschnitt: max. 2 mm x 15 mm (30 mm² Partikelfläche) |
| S5 | streng geheimes Schriftgut | Kreuzschnitt: max. 0,8 mm x 15 mm (12 mm² Partikelfläche) |
| S6 | nicht genormt | Kreuzschnitt: max. 1,0 mm x 5,0 mm (5 mm² Partikelfläche) |
DIN 32757-1 wurde im Oktober 2012 zurückgezogen und durch DIN 66399-1+2 ersetzt.
Vernichtung von Datenträgern (DIN 66399)
Mit der aktuellen DIN 66399 werden auch andere Speichermedien als Papier berücksichtigt. Die DIN 66399 beschreibt die Anforderungen an Verfahren und Maschinen zur Vernichtung von Datenträgern unterschiedlicher Art. Die Norm unterscheidet sieben Sicherheitsstufen, die in drei Klassen zusammengefasst sind. Die Anforderungen der Sicherheitsstufen werden für sechs verschiedene Kategorien (Medienformate) definiert.
Sicherheitsklassen
Die Norm unterscheidet den grundlegenden Schutzbedarf in drei Klassen.
| Klasse 1 | normale Sicherheit | Für interne Daten bei denen der Organisation Schaden entsteht, wenn diese öffentlich werden, oder bei denen die Gefahr von Identitätsmissbrauch besteht. |
|---|---|---|
| Klasse 2 | höhere Sicherheit | Für vertrauliche Daten, die der Organisation Schaden zufügen können, wenn sie öffentlich werden, oder bei denen die Gefahr besteht, dass gesetzliche Bestimmungen verletzt werden. |
| Klasse 3 | höchste Sicherheit | Für streng vertrauliche oder geheime Daten, die der Organisation schweren Schaden zufügen könnten, wenn sie öffentlich bekannt würden (betrifft vor allem Regierungsorganisationen). |
Produktkategorien
Für folgenden Produktkategorien (Arten von Datenmedien) werden in der Norm entsprechende Anforderungen an die Partikelgröße je Sicherheitsstufe festgelegt.
| P | Papierprodukte und Folien in Originalgröße (Akten, Formulare, Briefe, Folien, ...). |
|---|---|
| F | Filmprodukte - verkleinerte Informationen (Filme, Mikrofiche, Folien, ...). |
| O | Optische Datenträger (CD’s, DVD’s, WORM's, Blu-ray, ...). |
| T | Magnetische Datenträger (Disketten, Magnetkarten, Bänder, Bandkassetten, ...). |
| H | Festplatten mit magentischen Datenträgern (interne/externe Festplatten, ...). |
| E | Elektronische Datenträger (USB-Sticks, Speicherkarten, Chips, Mobiltelefone, ...). |
Anforderungen der Sicherheitsstufen je Kategorie
Die folgende Tabelle zeigt die Anforderungen der Sicherheitsstufen (1-7) an die maximale Partikelgröße und teilweise an die maximale Breite und Länge je Produktkategorie.
| Klasse | Papier | Film | Optisch | Magnetisch | Festplatten | Elektronisch | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | P-1 | 2000 mm² max. 12 mm breit |
F-1 | 160 mm² | O-1 | 2000 mm² | T-1 | funktions-untüchtig | H-1 | funktions-untüchtig | E-1 | funktions-untüchtig |
| P-2 | 800 mm² max. 6 mm breit |
F-2 | 30 mm² | O-2 | 800 mm² | T-2 | 2000 mm² | H-2 | beschädigt | E-2 | zerteilt | |
| P-3 | 320 mm² max. 2 mm breit |
F-3 | 10 mm² | O-3 | 160 mm² | T-3 | 320 mm² | H-3 | verformt | E-3 | 160 mm² | |
| 2 | P-4 | 160 mm² max. 6x25 mm |
F-4 | 2.5 mm² | O-4 | 30 mm² | T-4 | 160 mm² | H-4 | 2000 mm² | E-4 | 30 mm² |
| P-5 | 30 mm² max. 2x15 mm |
F-5 | 1 mm² | O-5 | 10 mm² | T-5 | 30 mm² | H-5 | 320 mm² | E-5 | 10 mm² | |
| 3 | P-6 | 10 mm² max. 1x10 mm |
F-6 | 0.5 mm² | O-6 | 0.5 mm² | T-6 | 10 mm² | H-6 | 10 mm² | E-6 | 1 mm² |
| P-7 | 5 mm² max. 1x5 mm |
F-7 | 0.2 mm² | O-7 | 0.2 mm² | T-7 | 2.5 mm² | H-7 | 5 mm² | E-7 | 0.5 mm² | |
Alternativ können weitere Methoden die Sicherheit erhöhen, z. B. Mischen, Pressen, Verbrennen, Schmelzen, Auflösen.
Insbesondere bei (Papier-)Aktenvernichtern mit geringem Durchsatz (nur gelegentlicher Einsatz für einzelne Seiten) empfiehlt es sich, regelmäßig nicht klassifizierte Dokumente beizumischen. Einzelne Seiten lassen sich leichter wiederherstellen als eine Mischung aus verschiedenen Seiten/Dokumenten.
Datenlöschung
Nicht immer ist es sinnvoll, die Daten zusammen mit dem Datenträger zu vernichten. Das Löschen von Daten ohne Vernichtung des Datenträgers stellt besondere Herausforderungen, da sichergestellt werden muss, dass keine Datenspuren zurückbleiben, die eine Wiederherstellung der Daten ermöglichen könnten. Insbesondere bei modernen Datenträgern werden beim Löschen häufig nur die Indexeinträge gelöscht, die Daten selbst bleiben bis zum nächsten Schreibvorgang erhalten und werden erst dann mit neuen Daten überschrieben.
Zum sicheren Löschen von Daten gibt es einen eigenen Artikel "Datenlöschung".
Siehe auch: DIN 66398 "Leitfaden zur Entwicklung eines Löschkonzeptes mit Ableitung von Löschfristen für personenbezogene Daten".
Outsourcing
Die Datenvernichtung kann wie jede andere Dienstleistung auch ausgelagert werden. Es gibt diverse Unternehmen auf dem Markt, die sich auf die Datenvernichtung spezialisiert haben oder diese als Nebentätigkeit anbieten. Zu beachten ist, dass es sich auch hier um eine Auftragsdatenverarbeitung §62 BDSG und Art. 28 DSGVO handelt.
Weitere normative Grundlagen
Für die Datenvernichtung gibt es neben den oben genannten Normen und Standards verschiedene weitere Normen und Standards, die die Sicherheit und Konformität der Datenvernichtung gewährleisten sollen. Einige dieser Normen sind:
- EN 15713 - Sichere Vernichtung von vertraulichen Unterlagen - Verfahrensregeln: Diese europäische Norm legt die Anforderungen an die Vernichtung von vertraulichen Dokumenten fest, einschließlich der Zerstörung von Papier und elektronischen Datenträgern.
- BS 10008 - Electronic Information Management: Diese britische Norm beschreibt die Anforderungen an elektronische Beweisführung, einschließlich der sicheren Vernichtung von elektronischen Aufzeichnungen.
- PCI DSS: Der Payment Card Industry Data Security Standard enthält Anforderungen an die sichere Vernichtung von Kreditkartendaten.
- NIST SP 800-88 Rev. 1: Diese Richtlinie des National Institute of Standards and Technology (NIST) beschreibt Verfahren zur sicheren Vernichtung von elektronischen Datenträgern.
- HIPAA: Das US-amerikanische Health Insurance Portability and Accountability Act enthält Vorschriften zur sicheren Vernichtung von medizinischen Aufzeichnungen und anderen sensiblen Gesundheitsdaten.
- DoD 5220.22-M: Diese Richtlinie des US-Verteidigungsministeriums beschreibt Verfahren zur sicheren Vernichtung von elektronischen Datenträgern, die von der Regierung verwendet werden.
- ISO/IEC 15408: Diese Norm beschreibt Anforderungen an die IT-Sicherheit und die Compliance von Datenvernichtungsverfahren.
