Datenvernichtung
Revisionsfeste Löschung und Vernichtung von Datenträgern
Festplatten- SSDs - Storagesysteme - Endgeräte
nach bestehenden Normen oder Ihren Vorgaben
Wie übernehmen die Löschung und von Datenträgern und Gerätekonfigurationen direkt vor Ort oder extern
Im Zuge der Hardwareverwertung stellen wir sicher, dass Die die auf den Geräten enthaltenen Daten gelöscht werden. Hierbei richten wir uns nach anerkannten Richtlinien wie der NIST800-88 und ihren internen Vorgaben.
Inventarisierung
Spätestens am Ende des Lebenszyklus eines Gerätes stellt sich die Frage nach der sicheren und regelkonformen Datenvernichtung. Auf eine Löschung kann nur verzichtet werden, sofern im Falle der Veröffentlichung der Daten keinerlei negative Auswirkungen auf das Unternehmen, das Unternehmensvermögen oder betroffene Personen entstehen. Wir unterstuetzen Sie bei der Inventarisierung und Kategorisierung ihrer Hardware nach Datentraegertyp.
Klassifizierung der Daten
Die Einstufung der Daten legt den Schutzbedarf und somit grundsätzlich den Umgang mit den Datenträgern fest. Im Idealfall besteht im Unternehmen bereits eine Richtlinie (Data Classification Policy) anhand derer die Daten von den einzelnen Organisationsbereichen oder pro IT-System klassifiziert werden.
Üblicherweise findet eine Unterteilung in drei bis fünf Schutzstufen nach der Art der Daten, dem möglichen Schaden für das Unternehmen oder Personen im Falle der unbeabsichtigten Veröffentlichung oder auch nach gesetzlichen Vorschriften (z.B. DSGVO, BDSG, E-Health) statt.
Beispiele für Schutzstufeneinteilungen:
+ Nach möglichem entstehenden Schaden bei Veröffentlichung
+ DSGVO Schutzstufenkonzept der LfD Niedersachsen
+ DSGVO Schutzstufenkonzept Unabhängiges Datenschutzzentrum Saarland
+ Staatliche Geheimhaltungsstufen
Methodenauswahl
Basierend auf Datenklassifizierung kann das richtige Verfahren zur Datenvernichtung ausgewählt werden. Hierbei werden neben Datenträgertyp ökologische und ökonomische Aspekte relevant.
Als Entscheidungshilfe zur Auswahl des passenden Verfahrens werden oftmals die Richtlinien des amerikanischen National Institute of Standards and Technology (NIST) herangezogen (http://dx.doi.org/10.6028/NIST.SP.800-88r1). Diese geben einen generellen Überblick bezüglich der verfügbaren Methoden und geben Empfehlungen dazu, welche Löschmethode je nach Gerätetyp und Schutzstufe zur Anwendung kommen sollte.
Zu beachten ist, dass die NIST Richtlinie aufgrund der Vielzahl der am Markt erhältlichen Systeme nicht auf die herstellerspezifischen Eigenheiten der Produkte eingehen kann. So ergeben sich je nach System möglicherweise weitere Optionen zur effektiven Datenvernichtung.
Vor-Ort oder extern
Im besten Fall findet eine verifizierte Datenlöschung im Rahmen der Außerbetriebnahme anhand vorher festgelegter Prozeduren statt und zwar bevor der Datenträger bzw. das Gerät das Unternehmen verlässt.
Ob dies nur durch definiertes Personal oder durch einen Dienstleister erfolgt, hängt von den Compliance-Anforderungen des Unternehmens und der Sensibilität der Daten ab.