Der sich entwickelnde Bereich der Datenspeicherung in Verbindung mit der Verbreitung des Internets und der Zunahme globaler Datenschutzbestimmungen hat Unternehmen dazu veranlasst, strenge und robuste Richtlinien zur Aufbewahrung und Entsorgung von Daten einzuführen. Darüber hinaus haben Unternehmen, die Daten sammeln, speichern und verarbeiten, die Möglichkeit, die Datenbereinigung als wichtiges Element des Datenlebenszyklusmanagements zu nutzen, um die Datensicherheit zu gewährleisten, Datenschutzverletzungen zu verhindern und die Einhaltung gesetzlicher Vorschriften zu erreichen.
Mit dem Aufkommen der internationalen Datenschutzgesetze ist der Datenschutz zu einer kollektiven Verantwortung der Organisation geworden. Die Notwendigkeit, Daten zu schützen, hat sich zu einer gesetzlichen Verpflichtung entwickelt, deren Nichteinhaltung ernsthafte Konsequenzen nach sich zieht. Das National Institute of Standards and Technology (NIST) schreibt in seiner SP 800-Serie verschiedene Sicherheits- und Datenschutzrichtlinien für US-Bundesorganisationen vor. Diese Richtlinien schreiben eine solide Datenbereinigungspolitik vor und skizzieren bewährte Verfahren, die für die Datenbereinigung verwendet werden können.
Was ist Datenbereinigung?
Datenbereinigung ist eine irreversible, absichtliche und auf Sicherheit basierende Methode der Datenvernichtung, die die Daten auf einem Speichergerät dauerhaft zerstört und unwiederbringlich macht. Im Zusammenhang mit der Datenbereinigung ist die Datenlöschung eine softwarebasierte Methode, bei der alle adressierbaren Speicherplätze sicher mit 0en und 1en überschrieben werden, wodurch die vorhandenen Daten effektiv ersetzt werden und die Sicherheit besteht, dass sie nicht wiederhergestellt werden können.
Die NIST SP 800-88 Richtlinien für die Datenträger-Sanitisierung definieren diese als "Prozess, der es unmöglich macht, mit einem bestimmten Aufwand auf die Zieldaten auf dem Datenträger zuzugreifen." NIST SP 800-172 geht noch einen Schritt weiter und definiert Bereinigung als einen "Prozess, der Informationen von den Datenträgern entfernt, so dass eine Datenrettung nicht möglich ist." Darüber hinaus heißt es in NIST SP 800-53 R 4, dass "die Organisation digitale Datenträger aus Informationssystemen mit Hilfe von zugelassenen Geräten, Techniken und Verfahren bereinigen muss".
Warum ist die Datenbereinigung wichtig?
Wachsende Sicherheitsbedenken aufgrund von Cyberangriffen und Datenschutzverletzungen haben in vielen Ländern zur Verabschiedung von Datenschutzgesetzen geführt, und alle diese Gesetze beinhalten die Datenbereinigung als integralen Bestandteil der Compliance. Artikel 17 der Allgemeinen Datenschutzverordnung (GDPR) gibt Kunden beispielsweise das "Recht auf Vergessenwerden", das das Unternehmen verpflichtet, die Daten des Kunden vollständig aus seinen Unterlagen zu entfernen. Diese Datenentfernung oder Datenlöschung kann durch die Anwendung der NIST-Richtlinien zur Mediensanierung erfolgreich durchgeführt werden.
Die Datenlöschung ist auch die empfohlene Methode, um die mit der Entsorgung von IT-Beständen verbundenen Risiken zu mindern, sensible Informationen zu schützen und Audit- und Compliance-Anforderungen zu erfüllen. Jedes Unternehmen sollte über eine umfassende Datenvernichtungsrichtlinie als Teil des Datenmanagements verfügen, um sich vor versehentlichen Datenverletzungen zu schützen und den Schaden durch Cyberangriffe zu minimieren. Allein im Jahr 2022 wurden in Europa Geldbußen in Höhe von 19.447.300 € für verschiedene Verstöße verhängt, einschließlich des Verstoßes gegen Artikel 17, wobei die höchste Geldbuße in Höhe von 10 Millionen € am 18. Mai 2022 gegen Google LLC in Spanien verhängt wurde. Es ist wichtig anzumerken, dass die GDPR der Katalysator für die Verabschiedung von Datenschutzgesetzen in den USA war, angefangen mit dem CCPA (California Consumer Privacy Act) und gefolgt von anderen Staaten. Diese Gesetze sind sehr eng an die GDPR angelehnt, so dass die Nichteinhaltung streng bestraft wird. Die Datenbereinigung spielt bei all diesen Gesetzen eine wichtige Rolle. Sie wäre auch ein wesentlicher Bestandteil des kommenden US-Bundesdatenschutzgesetzes ADPPA (American Data Privacy and Protection Act).
Einer der größten Vorteile der Datenbereinigung ist, dass sie den Daten-Fußabdruck im Speicherbereich eines Unternehmens reduziert. Ein reduzierter Daten-Fußabdruck wiederum minimiert die Datenangriffspunkte (Bereiche, in denen ein Angriff gestartet werden kann) erheblich. Diese Datenreduzierung bedeutet auch, dass das Risiko eines Angriffs, der Daten kompromittiert, minimiert wird. Andererseits haben Datenschutzverletzungen schwerwiegende finanzielle Auswirkungen und können den Markenwert des Unternehmens, das Vertrauen der Kunden, die Stimmung der Anleger und das Vertrauen von schädigen. Daher müssen sich Unternehmen um eine solide Datenvernichtungspolitik bemühen.
Die Datenbereinigung spielt auch in der ITAD-Branche (Information Technology Asset Disposition) eine wichtige Rolle und fördert das Konzept der Circular Economy. Angesichts der Menge an sensiblen und vertraulichen Informationen, die in den von ITADs verarbeiteten IT-Assets gespeichert sind, muss ihre Entsorgung am Ende ihres Lebenszyklus sicher und zuverlässig sein. Unternehmen haben diese Geräte traditionell physisch vernichtet, um das Risiko eines Datenverlusts zu minimieren, aber dieser Prozess ist kontraproduktiv und besonders umweltschädlich. Die Datenbereinigung ist eine wirksame und bewährte Methode der sicheren Vernichtung, um die Wiederverwendbarkeit von Geräten zu fördern. Darüber hinaus kann die Wiederverwendung, der Wiederverkauf oder die Spende dieser Geräte den Umsatz steigern, die Kosten senken und die ökologische Nachhaltigkeit fördern.
Trotz der Wichtigkeit und zunehmenden Bedeutung der Datenbereinigung sind sich viele Unternehmen dessen nicht bewusst oder stehen ihm gleichgültig gegenüber. Es ist dringend notwendig, dass Unternehmen die Datenbereinigung verbessern, wenn sie relevant bleiben wollen. Sie muss ein standardisiertes und automatisiertes Merkmal im Zyklus des Datenlebenszyklusmanagements sein, um operative Effizienz und eine sichere Datenschutzumgebung zu gewährleisten. Wenn Sie die Datenbereinigung und die Methoden, die dafür verwendet werden sollten, verstehen, sind Sie bestens gerüstet, um die Compliance zu erfüllen und Bedrohungen abzuwehren.
Methoden und Ansätze zur Datenbereinigung:
Gemäß den NIST-Richtlinien können drei Methoden zur Datenbereinigung verwendet werden: Löschen, Bereinigen und Vernichten. Die Bereinigungskategorien sind wie folgt definiert:
Er verwendet eine standardmäßige Lese-/Schreibfunktion, um die Daten an allen für den Benutzer zugänglichen Stellen zu überschreiben. Der NIST Clear Standard überschreibt die Daten auf dem Datenträger mit binären 1en und 0en. Dies wird auch als Überschreiben oder Datenlöschung bezeichnet. Diese Methode bietet einen mäßigen Schutz der Daten gegen einfache Datenrettungstechniken. Sie kann auf Diskettenlaufwerken, ATA-Festplatten, SCSI-Laufwerken, USBs, Speicherkarten und SSDs eingesetzt werden. Der Hauptvorteil dieser Technik ist, dass sie die Wiederverwendbarkeit von Mediengeräten fördert. Der einzige Nachteil dieser Methode ist jedoch, dass sie sich nicht um die Daten kümmert, die an unzugänglichen oder versteckten Speicherorten gespeichert sind. Um dieses Problem zu lösen, sorgt eine spezielle Datenbereinigungs- oder Datenlöschsoftware wie BitRaser dafür, dass versteckte Bereiche wie HPA und DCO gelöscht werden können.
Sie verwendet physikalische oder logische Techniken, die eine Datenrettung mit modernen Labortechniken unmöglich machen. Sowohl die Clear- als auch die Purge-Methode verwenden die Datenlöschtechnik des Überschreibens des Datenträgers. Während Clear nur einen Überschreibdurchgang verwendet, werden bei Purge insgesamt drei Schreibdurchgänge eines Pseudo-Zufallsmusters verwendet, so dass der zweite Schreibdurchgang die invertierte Version des ursprünglichen Musters ist. Diese Methode erweitert die Möglichkeiten der Clear-Methode, indem sie physische und logische Techniken einsetzt, um Daten unwiederbringlich zu machen. Im Vergleich zur Clear-Methode wird sie beim Umgang mit sensiblen und vertraulichen Daten eingesetzt. Durch den Einsatz von Überschreib-, Block- und kryptographischen Löschmethoden können die Daten selbst in einem modernen forensischen Labor nicht wiederhergestellt werden. Es kann auf Disketten, Laufwerken (ATA, SCSI), Flash-Medien wie USBs, Speicherkarten, SSDs usw. verwendet werden. Im Gegensatz zu Clear können Sie damit auch Daten von unzugänglichen oder versteckten Speicherorten löschen. Wie Clear ist auch diese Methode umweltfreundlich und trägt zur Reduzierung des Elektroschrotts bei, indem sie die Wiederverwendbarkeit von Assets fördert.
Die Datenrettung ist mit modernen Labortechniken nicht mehr möglich, so dass das Medium nicht mehr zum Speichern von Daten verwendet werden kann. Es werden physische Vernichtungsmethoden wie Schreddern, Verbrennung, Pulverisierung usw. eingesetzt, um das Speichermedium zu zerstören. Die Vernichtung sollte jedoch die letzte Option sein, wenn Löschen und Desinfizieren nicht alle Speicherorte auf dem Laufwerk abdecken und wenn sowohl die Überprüfung des Löschens als auch des Desinfizierens nicht durchführbar ist. Diese Methode kann auch für nicht-digitale Assets verwendet werden, die nicht durch Löschen oder Bereinigen bereinigt werden können, wie z.B. bedrucktes Papier, Kohlepapier, CDs und DVDs. Obwohl diese Methode die Daten vernichtet, gibt es keine Möglichkeit, die Datenvernichtung zu überprüfen. Der größte Nachteil dieser Methode ist ihr Beitrag zum Elektroschrott und die sich wiederholenden Kosten für den Kauf neuer und die Vernichtung alter Geräte.
Empfehlungen für die Datenbereinigung von NIST
Jede Methode kann je nach den Bedürfnissen einer Organisation und dem erforderlichen Bereinigungsgrad verwendet werden. Darüber hinaus empfiehlt das NIST, dass Organisationen die zu verwendende Bereinigungsmethode unter Berücksichtigung der folgenden Faktoren bestimmen:
- Kategorien von Informationen und ihre Vertraulichkeitsstufen.
- Das Speichermedium und seine Herstellungsrichtlinien.
- Die Zukunft der Medien, ob sie wiederverwendet, weiterverkauft oder gespendet werden sollten.
Ein wichtiger Schritt in den NIST-Richtlinien ist die Überprüfung der Desinfektion. NIST schreibt zwei Arten der Überprüfung vor:
- Prüfen Sie nach jedem Desinfektionsschritt
- Repräsentative Probenahme bedeutet, dass eine Teilmenge der Medien nach dem Zufallsprinzip zur Überprüfung der Desinfektion verwendet wird).
Darüber hinaus umfasst die Überprüfung auch:
- Überprüfen Sie die für die Desinfektion verwendeten Geräte (Entmagnetisierer, Verbrennungsanlage, Schredder).
- Überprüfen Sie die Kompetenz des Personals, das die Desinfektion durchführt.
- Überprüfen Sie den Desinfektionsprozess der Medien.
Unternehmen können sich in der ursprünglichen NIST-Publikation ausführlich über diese Methoden und ihre Anwendung auf verschiedene Mediengeräte informieren. Alternativ können Sie auch den modernen Standard IEEE 2883-2022 für die Desinfektion von Medien verwenden, um herauszufinden, wie Sie Speichermedien am besten desinfizieren können.
Fazit:
Der Schutz von Daten ist von überragender Bedeutung und die jüngste Zunahme der Datenschutzgesetze auf Bundes- und Landesebene beweist dies. Die Datenbereinigung wird auch in Zukunft eine zentrale Rolle für die Datensicherheit und den Datenschutz spielen. Angesichts der rasanten Zunahme von Geräten und Systemen, die Daten sammeln, wird ihre Bedeutung in Zukunft noch zunehmen. Umweltverträgliche, kosteneffiziente und sozialverträgliche Methoden zur Datenbereinigung werden die Zukunft bestimmen. Die Branche muss sich anpassen und umsichtige Strategien einführen, wenn sie auch in Zukunft relevant bleiben will.
+1-844-775-0101
