Ein Vernichtungszertifikat (Certificate of Destruction, CoD) ist ein Audit-Dokument, das bestätigt, dass alle auf Festplatten, Bändern, SSDs, PCs, Laptops, Macs, Servern oder anderen Speichermedien gespeicherten vertraulichen Daten erfolgreich vernichtet worden sind. Es stellt sicher, dass die Organisation oder der Dienstleister, der die Daten vernichtet, einen zuverlässigen Datenvernichtungsprozess in Übereinstimmung mit den weltweiten Datenschutzgesetzen durchführt. Ein Vernichtungszertifikat (auch bekannt als Datenlöschungszertifikat) garantiert, dass die Daten mit der gebotenen Sorgfalt vernichtet wurden und dass die Daten von den gelöschten Geräten nicht wiederhergestellt werden können, selbst wenn fortschrittliche forensische Datenrettungstechniken eingesetzt wurden. CoD liefert den dokumentierten Nachweis, dass sensible, kritische und vertrauliche Daten dauerhaft vernichtet wurden, wodurch das Risiko von Datenschutzverletzungen, Identitätsdiebstahl und gesetzlichen Strafen eliminiert wird. Ein Datenvernichtungszertifikat wird austauschbar mit einem Löschungszertifikat (CoE) verwendet.
Bedeutung des Datenvernichtungszertifikats
Ein Datenlöschungszertifikat ist ein Schlüsseldokument bei Rechtsstreitigkeiten wegen Datenschutzverletzungen, um zu beweisen, dass die Daten mit einem zuverlässigen Werkzeug oder Gerät eines anerkannten Anbieters, der das COE ausgestellt hat, vernichtet wurden. Hier sind einige der Vorteile eines Löschzertifikats (COE), die für ein Unternehmen wichtig sind:
In jeder Branche gibt es heute gesetzliche Vorschriften darüber, wie lange Daten verwendet und gespeichert werden müssen. Sobald die Aufbewahrungsfrist erreicht ist, müssen die Daten mit Sicherheit vernichtet werden. Es gibt verschiedene Methoden zur Datenvernichtung, wie in unserer Wissensreihe zur Datenvernichtung erläutert. Aber unabhängig davon, welche Vernichtungsmethode Sie verwenden, ist die Beibehaltung eines CoD entscheidend für die Einhaltung globaler Datenschutzgesetze wie EU-GDPR, CCPA, SOX, GLBA und HIPAA. Die CoE liefert einen überprüfbaren Nachweis der Bereinigung und fördert das Vertrauen in den Drittanbieter, der die Medienbereinigung im Auftrag Ihres Unternehmens durchführt. Sogar der ISO 27001-Standard verlangt von Organisationen, Daten sicher zu löschen, wenn sie ihren Zweck erfüllt haben.
- Nachweis der Datenvernichtung
Ein Datenvernichtungszertifikat spielt eine zentrale Rolle als Prüfpfad für den Datenvernichtungsprozess. Es dient als überprüfbarer Nachweis, dass Ihre Daten mit der entsprechenden Technologie oder Software sicher vernichtet wurden. Auditoren finden das CoD nützlich, wenn sie den Datenvernichtungsprozess eines Geräts oder Dokuments überprüfen wollen. Software wie BitRaser erstellt ein Vernichtungszertifikat, nachdem die Daten von Laufwerken und Geräten gelöscht worden sind. Die Software bietet auch eine Cloud-Konsole, in der das Vernichtungszertifikat gespeichert und jederzeit und überall abgerufen werden kann.
Es ist nicht nur ein Dokument zur Einhaltung von Datenschutzgesetzen und anderen Branchenvorschriften, sondern gibt einem Unternehmen und seinen Stakeholdern auch die Sicherheit, dass seine Datenvernichtungsstrategie solide und ausfallsicher ist. Ein Vernichtungszertifikat (Certificate of Destruction, CoD) stellt sicher, dass keine Datenverletzung vorliegt, da das Dokument die vollständige, sichere und dauerhafte Vernichtung der Daten garantiert.
Das CoD dient als Haftungsschutzdokument im Falle von Rechtsstreitigkeiten oder Datenschutzverletzungen. Sie hilft Unternehmen, nachzuweisen, dass die Daten auf den Geräten gelöscht und gemäß den Datenentsorgungsrichtlinien des Unternehmens behandelt wurden.
- Die NIST schreibt in ihren Richtlinien ein Zertifikat für die Datenvernichtung vor
Ein Datenvernichtungszertifikat oder Sanitisationszertifikat, wie in NIST SP 800-88 Rev. 1 beschrieben, hilft Unternehmen oder ITADs (IT Asset Disposition) bei der Implementierung eines robusten Programms zur Mediensanitisation, das den NIST-Richtlinien zur Mediensanitisation entspricht. Anhang G (Seite 56) der NIST-Richtlinien verlangt von Unternehmen, dass sie einen Vernichtungsnachweis für alle vernichteten Medien aufbewahren und auf Anfrage zur Verfügung stellen.
Muster eines Sanitisationszertifikats gemäß NIST Anhang G
Laut NIST sollten einige Dinge auf einem Sanierungszertifikat (oder Datenvernichtungszertifikat) in irgendeiner Form vorhanden sein, um seine Authentizität und Integrität zu überprüfen. Schauen wir uns die wichtigsten Komponenten des Zertifikats an.
Hauptbestandteile eines Zertifikats für die Datenvernichtung
Die folgenden Elemente sind entscheidend für ein überprüfbares Vernichtungszertifikat, das gemeinhin als "Zertifikat der Mediensanierung" bezeichnet wird:
- Eine eindeutige digitale Kennung für die Aufzeichnung der Datenvernichtung
- Die Modell- und Seriennummern der Speichermedien wurden gelöscht oder verwischt
- Details zur verwendeten Datenbereinigungsmethode
- Details zur verwendeten Überprüfungsmethode
- Name der für die Mediensanierung verwendeten Software
- Name des Technikers, der die Datenvernichtung oder -sanierung durchführt
- Unterschrift des Beamten zur Bestätigung des Entsorgungsvorgangs
- Datum und Uhrzeit des Beginns der Datenbereinigung
Stellen Sie sicher, dass das Tool oder Gerät, das zum Löschen sensibler Daten verwendet wird, ein "Bereinigungszertifikat" mit genauen Informationen liefert. Wir empfehlen die Verwendung der Datenlöschsoftware von BitRaser, die von NIST, Common Criteria, ADISA und anderen Stellen weltweit getestet und zugelassen wurde und alle für das Vernichtungszertifikat (Certificate of Destruction - CoD) erforderlichen Informationen liefert.
Hinweis: Sogar neue Standards wie IEEE 2883-2022 empfehlen die Dokumentation von Bereinigungsergebnissen für Compliance-Zwecke, und ein CoD ist der beste Weg, dies automatisch mit einer softwarebasierten Datenvernichtungstechnik zu tun. Sie können einen Vergleich zwischen NIST 800-88 und IEEE sehen, um mehr über diese Standards zu erfahren.
Die BitRaser Datenlöschsoftware erzeugt ein fälschungssicheres Zertifikat mit den folgenden Hauptkomponenten:
- Eine Berichts-ID und eine digitale Kennung zusammen mit der Softwareversion und dem Berichtsdatum.
- Name und Adresse des Kunden.
- Zusammenfassung der Datenlöschung, einschließlich der Gesamtzahl der zerstörten Geräte, der verwendeten Löschmethode (z. B. NIST 800-88 Purge oder Clear), der Anzahl der Durchläufe (einfach oder mehrfach), der Erfolgs-/Fehlerquote, der laufenden Arbeiten (falls vorhanden), der Verifizierungsmethode usw. Das Zertifikat gibt auch die Start- und Endzeit des Prozesses sowie die Gesamtdauer des Prozesses an.
- Hardware-Informationen wie Hersteller, Gehäusetyp, Modellname und UUID, serielles System, USB-Hub, serielles Gehäuse, serielle Karte, Medienquelle und so weiter.
BitRaser Datenvernichtungszertifikat Vorlage für Laufwerk Eraser Software.
Vollständiges Zertifikat anzeigen
Beispiel BitRaser-Löschzertifikat herunterladen
Fazit:
Als dokumentierter Nachweis für die Datenlöschung stellt ein Datenvernichtungszertifikat (Certificate of Data Destruction, CoD) sicher, dass eine Organisation, die Daten sammelt, bearbeitet oder verarbeitet, verantwortungsvoll handelt, indem sie Daten vernichtet, die nicht mehr benötigt werden, um den Datenschutz und die Sicherheit zu gewährleisten, wie es die globalen Regulierungsstandards verlangen. Daher müssen Unternehmen Dienstleister beauftragen oder Software-Tools wie BitRaser verwenden, die ein Vernichtungszertifikat als Nachweis für die Datenvernichtung erstellen. Dies ist ein robuster Ansatz, der sicherstellt, dass sensible und vertrauliche Daten, die auf nicht mehr benötigten Geräten gespeichert sind, geschützt sind und nicht in die Hände von böswilligen Akteuren fallen, wodurch Haftungsrisiken gemindert werden.
