Die vom National Institute for Standards and Technology (NIST) veröffentlichten NIST SP 800-88 Guidelines for Media Sanitisation sind eine Reihe von Anweisungen für die effektive Sanierung von Speichergeräten und anderen elektronischen Medien. Diese Richtlinien, die von der US-Regierung und von Unternehmen weitgehend befolgt werden, dienen als Maßstab für Unternehmen, um ihre "Mediensanierungs"-Programme mit definierten Techniken und Kontrolle über Sanierungs- und Entsorgungsentscheidungen voranzutreiben. NIST 800-88 hilft jeder Organisation, die Unterstützung bei Entscheidungen über die Bereinigung, Entsorgung, Wiederverwendung oder Migration von Medien und Informationen sucht. Das National Institute of Science and Technology (NIST) ist für die technische Leitung der Mess- und Normungsinfrastruktur der Vereinigten Staaten zuständig und definiert Mediensanierung als:
"Der allgemeine Prozess der Entfernung von Daten von Speichermedien in einer Weise, dass mit hinreichender Sicherheit ausgeschlossen werden kann, dass die Daten einfach abgerufen und rekonstruiert werden können."
Bei der Übertragung oder Entsorgung von Speichermedien ist es zwingend erforderlich, dass die gelöschten Daten von den Speichermedien (ob magnetische, optische, elektrische oder andere Restdaten) nicht wiederhergestellt werden können. Sanitisierung von Speichermedien bezieht sich auf einen Prozess, bei dem Daten mit der Sicherheit entfernt werden, dass sie nicht wiederhergestellt oder rekonstruiert werden können. Die Bereinigung von Datenträgern ist entscheidend für die Einhaltung von Datenschutzstandards und die reibungslose Durchführung von Datenschutzkontrollen. Es muss definierte Mittel und Mechanismen geben, um den Verlust von sensiblen Informationen über den gesamten Lebenszyklus von IT-Assets zu verhindern.
Was ist der Bedarf an Mediensanitisierung?
Gemäß den NIST 800-88 Richtlinien ist die Bereinigung von Datenträgern ein entscheidendes Element zur Wahrung der Vertraulichkeit von Daten. Organisationen müssen eine angemessene Kontrolle über sensible "vertrauliche Informationen" ausüben, um Datenverluste durch unsachgemäße Entsorgung von Speichermedien oder unsachgemäß gelöschte, aufbereitete Medien zu verhindern. Diese Praxis ist unerlässlich, um Datenverluste von persönlich identifizierbaren Informationen (PII) gemäß der Definition in Referenz 2.3 der NIST-Richtlinien zu verhindern. Organisationen müssen die Datenschutzgesetze, -vorschriften und -mandate einhalten, die die Verwaltung von personenbezogenen Daten (PII) regeln. Sie können auch verpflichtet sein, PII in Übereinstimmung mit ihren Richtlinien, Standards oder Managementanweisungen zu schützen. Verstöße gegen Datenschutzgesetze können für Organisationen zu Strafen oder zivil- oder strafrechtlichen Verfahren führen.
Was ist der Umfang der Mediensanitisierung?
NIST 800-88 Guidelines for Media Sanitisation and Privacy (Richtlinien für Mediensanierung und Datenschutz) besagt, dass der Sanierungsprozess für alle auf den Medien gespeicherten Daten durchgeführt werden muss, da es für Mediensanierer schwierig sein kann, insbesondere sensible Daten zu erkennen. NIST bezieht sich auf die endgültige Bereinigung und/oder Vernichtung von Medien und Informationen. Eine partielle Datenbereinigung ist riskant und nach den Richtlinien des Standards NIST 800-88 nicht zulässig. NIST 800-88 Revision 1 gilt für alle Arten von Speichermedien, ob Festplatten, Solid-State-Laufwerke, optische Disks, Flash-Speicher oder Papiermedien, unabhängig vom Grad der Datensensibilität. Diese Richtlinien legen drei grundlegende Vorgänge fest: NIST Clear (Löschen), Purge (Bereinigen) und Destroy (Vernichten), die darauf abzielen, das Abrufen von Daten durch Unbefugte zu verhindern. Sie sind während der gesamten Lebensdauer des Mediums nützlich, von der aktiven Nutzung bis zur Entsorgung. Risikomanagement und die Einhaltung von Gesetzen sind die wichtigsten Grundsätze dieser Richtlinie. Um sicherzustellen, dass personenbezogene Daten ordnungsgemäß und unwiederbringlich gelöscht werden, müssen Organisationen den Bereinigungsprozess aufzeichnen und validieren. Nach der Bereinigung sollte für jeden Datenträger ein Entsorgungszertifikat (auch Vernichtungszertifikat genannt) ausgestellt werden, um zu bestätigen, dass der Datenträger bereinigt worden ist. Ein Vernichtungszertifikat (Certificate of Destruction - COD) ist ein Papier- oder elektronisches Dokument über den abgeschlossenen Bereinigungsprozess.
Sobald die Entscheidung für die Mediensanierung in Bezug auf die Methode der Mediensanierung, die Art der Medien und die Umweltauswirkungen getroffen wurde, stellt sich die Frage, wer die Entscheidungsträger sein sollten. Wer entscheidet, was, wann und wie die Daten zu bereinigen sind?
Wer ist für die sichere Datenentsorgung verantwortlich?
Der Prozess der Mediensanierung sollte von verschiedenen Abteilungen innerhalb einer Organisation durchgeführt werden. Die Dateneigentümer sind in erster Linie dafür verantwortlich, alle Datensätze von den Medien zu löschen, bevor diese recycelt oder wiederverwendet werden. IT- und Sicherheitsbehörden übernehmen die Verantwortung für die Bereinigung von Daten mit den am besten geeigneten Methoden, d.h. Löschung, Bereinigung oder Vernichtung, je nach Sensibilitätsstufe der Daten. Die Compliance-Beauftragten stellen sicher, dass diese Prozesse mit den geltenden Vorschriften und Richtlinien übereinstimmen, während die Asset Manager alle Verfahren zur Bereinigung von IT-Assets während des gesamten Lebenszyklus überwachen. Im Falle einer ausgelagerten Mediensanierung liegt die Verantwortung beim Drittanbieter, der die vorgeschriebenen Verfahren einhalten und eine Zertifizierung vorlegen muss. Alles in allem garantieren diese Rollen, dass sensible Informationen nicht von den Medien durchsickern und dass sie so dauerhaft wie möglich gelöscht werden.
Die Richtlinien NIST 800-88 Media Remediation Rev. 1 helfen dabei, Rollen und Verantwortlichkeiten für die Mediensanierung wie folgt zu kategorisieren und zuzuweisen:
- Dateneigentümer, IT-Sicherheitsteams, Compliance-Beauftragte, Asset Manager und Drittanbieter - Beispiel Chief Information Officer, Eigentümer von Informationssystemen, Informationseigentümer, Systemsicherheitsmanager, Datenschutzbeauftragte und Benutzer
- Bestimmung und Kategorisierung der Sicherheit gemäß den Vorschriften - SOX, HIPAA, PCI-DSS, EU-GDPR, usw.
Im Entscheidungsprozess der Mediensanierung spielt die Vertraulichkeit der Informationen eine zentrale Rolle, während die Art der Medien eine untergeordnete Rolle spielt. Die Entscheidungsträger entscheiden über die Art der Bereinigung auf der Grundlage der individuellen Anforderungen. Die Entscheidung, geleaste oder ausgediente IT-Assets sicher zu entsorgen, wird getroffen, um Datenverstöße zu verhindern und rechtliche Anforderungen zu erfüllen. Physische Vernichtungsmethoden werden ausgeschlossen, da sie nicht umweltfreundlich sind. Stattdessen bevorzugen die Entscheidungsträger die Bereinigung von Medien mit Hilfe von Datenlöschsoftware.
Techniken und Methoden zur Desinfektion von Medien
Gängige Methoden zur Bereinigung von Datenträgern sind Datenlöschung, Entmagnetisierung, Schreddern, Zurücksetzen auf Werkseinstellungen, Datenlöschung, Neuformatierung und physische Zerstörung.
- Techniken wie Schreddern, Zurücksetzen auf Werkseinstellungen, Datenlöschung und Neuformatierung sind unvollständige Methoden der Mediensanierung und können Spuren von Daten hinterlassen. Lesen Sie mehr über den Unterschied zwischen Löschung und Datenlöschung
- Bei der Entmagnetisierung wird das Magnetfeld der Speichermedien abgeschaltet, so dass die Daten auf diesen Geräten nicht mehr wiederhergestellt werden können.
- Die Datenlöschung verwendet eine Überschreibetechnik, bei der das Medium mit Nullen und Einsen überschrieben wird, um die vorhandenen Daten auf dem Speichermedium zu zerstören und das Medium für die zukünftige Verwendung unbrauchbar zu machen. Die Datenlöschung trägt dazu bei, die Nachhaltigkeitsziele des Recyclings und der Wiederverwendung zu fördern.
Methoden zur Desinfektion von Medien gemäß den NIST 800-88 Richtlinien
Die NIST-Richtlinien spezifizieren die Techniken zur Mediensanitisierung je nach Art des Speichermediums, einschließlich Magnetspeicher, Flash-Speicher, RAM- und ROM-basierte Speichergeräte usw. Die folgende Tabelle fasst die empfohlenen Mindestanforderungen an die Desinfektion für die verschiedenen Arten von Speichermedien und die spezifischen Techniken (oder Methoden) wie folgt zusammen:
|
Medientyp
|
Klar
|
Säubern
|
Zerstören
|
|
Magnetische Medien - ATA Festplatten, Bandlaufwerke, SCSI Laufwerke, SATA, PATA Laufwerke
|
Überschreiben Sie mit validierten Überschreibtechnologien oder -methoden oder zugelassener Software
|
Sicherheitslöschung, Entmagnetisierung oder kryptografische Löschung (CE) wird unter NIST Purge berücksichtigt.
|
Verbrennen, Schreddern, Zerkleinern und Zersetzen gelten als Methoden der Zerstörung
|
|
Flashspeicher-basierte Speichergeräte - ATA SSDs, SCSI SSD, USB, Speicherkarten
|
Überschreiben Sie Datenträger in einem Durchgang mit einem festen Datenwert über die Software. Der ATA-Befehl Secure Erase wird ebenfalls berücksichtigt
|
Blocklöschung, kryptografische Löschung über TCG Opal SSC oder die Enterprise SSC-Schnittstelle, um einen Befehl zur Änderung aller Media Encryption Keys (MEK) zu erteilen
. |
Verbrennen, Zerkleinern, Pulverisieren und Auflösen gelten als Methoden der Vernichtung
|
|
CDs/DVDs
|
N/A
|
N/A
|
Schreddern und Zerkleinern - in Partikel zerlegen
|
|
Mobile Geräte - Apple iPhone, iPad, Android-Geräte, Windows OS-Geräte und alle anderen mobilen Geräte, einschließlich Tablets
|
iPhone: Überschreiben Sie in einem Rutsch zusammen mit CE
Android & andere Geräte: Auf Werkseinstellungen zurücksetzen
|
iPhone: Das Gleiche wie Clear
Android & andere Geräte: Sicherer Trimm-Befehl, Kryptografisches Löschen (CE), Sicheres Löschen
|
Brennen Zerkleinern Pulverisieren Zerkleinern
|
NIST SP 800-88 Best Practices für die Mediensanitisierung
In diesem Abschnitt werden die besten Praktiken für die Mediensanierung auf der Grundlage der Empfehlungen von NIST SP 800-88 wie folgt beschrieben:
1. Berücksichtigen Sie die Risiken einer teilweisen Dekontamination der Medien [Abschnitt 2.8].
Normalerweise bereinigen Unternehmen alle auf einem Datenträger gespeicherten Daten, d.h. sie führen eine vollständige Bereinigung durch. Es gibt jedoch Situationen, die nur eine teilweise Bereinigung der Datenträger erfordern. Die Einhaltung moderner Datenschutzbestimmungen kann es beispielsweise erforderlich machen, dass ein Unternehmen die Daten seiner Neukunden aufbewahrt, die Daten seiner abgewanderten Kunden jedoch löscht. Die Richtlinie NIST SP 800-88 warnt vor den potenziellen Risiken einer teilweisen Bereinigung von Datenträgern aufgrund der technischen Herausforderungen und Risiken, wie z.B. dem Übergreifen sensibler Daten auf die Sektoren des Laufwerks, die nicht gelöscht wurden.
2 Legen Sie die Anforderungen und Methoden zur Desinfektion der Medien im Voraus fest [Abschnitt 4.1].
Der Leitfaden besagt, dass die Anforderungen an die Mediensanierung und die Medientypen festgelegt werden sollten, bevor die Entsorgungsphase des Lebenszyklus der IT-Assetverwaltung erreicht wird. Die Art des Speichermediums ist ein wesentlicher Faktor bei der Bestimmung der richtigen Datenvernichtungsmethode und der Gesamtdauer der Bereinigung. Der Leitfaden empfiehlt, die Hilfe der Hersteller von Speicherhardware in Anspruch zu nehmen, um die Speichermedien zu identifizieren, was in der Regel in einer "Unvergänglichkeitserklärung" dokumentiert wird. Allerdings müssen Unternehmen beim Lesen der Erklärungen die nötige Sorgfalt walten lassen und die herstellerspezifischen Abweichungen bei den Angaben berücksichtigen.
3. Identifizieren Sie die Vertraulichkeitsstufen der Daten [Abschnitt 4].
In den NIST-Richtlinien wird die "Vertraulichkeitsstufe der Daten" als entscheidender Faktor für eine effektive Datenvernichtung und Entscheidungsfindung genannt. Außerdem wird empfohlen, die Art der auf Geräten gespeicherten Daten auf der Grundlage ihrer Vertraulichkeitsstufe zuzuordnen, um eine effektive und effiziente Mediensanierung zu ermöglichen. Das NIST empfiehlt die Verwendung der in der Federal Information Processing Standard (FIPS) Publication 199 beschriebenen Verfahren zur Bestimmung der Vertraulichkeitsstufe von Daten.
4. Bestimmen Sie die Sicherheitskategorisierung [Abschnitt 4.2].
Die Sicherheitskategorisierung ist im Wesentlichen eine Methode zur Klassifizierung der Vertraulichkeit eines Systems auf der Grundlage der FIPS 199 Definition in NIST SP 800-60 Rev. 1. Die Sicherheitskategorisierung ist ein wichtiger Input für den Systembesitzer, um einen Mediensanierungsprozess zu entwickeln, der den Anforderungen und Standards der Organisation für den Datenschutz entspricht. In den NIST-Richtlinien wird darauf hingewiesen, dass die Sicherheitskategorisierung mindestens alle drei Jahre (oder bei einer wesentlichen Änderung des Systems) überprüft und während der gesamten Lebensdauer des Systems revalidiert werden muss.
5. berücksichtigen Sie den Aspekt der Medienkontrolle und des Zugriffs [Abschnitt 4.4].
Die Entscheidung über die Mediensanierung wird auch von der Stelle beeinflusst, die die Kontrolle über die ausgehenden Speichermedien hat. Die Eigentümerschaft des Geräts kann sich je nach den spezifischen Umständen ändern oder gleich bleiben, was bei der Wahl der Bereinigungsmethode berücksichtigt werden sollte. So sind beispielsweise Medien, die zur Wartung und Aktualisierung an einen Dienstleister oder ein AMC versandt werden, immer noch Eigentum der Organisation und werden von dieser auf der Grundlage des Vertrags kontrolliert. Daher sollte die Organisation die Risiken der Aufbewahrungskette berücksichtigen und das Speichermedium löschen, bevor es an einen Dritten übergeben wird. Werden die Datenträger hingegen ausgetauscht oder weiterverkauft, gehen Eigentum und Kontrolle wieder in die Hände des neuen Besitzers über, z.B. eines Wiederverkäufers. Das Unternehmen sollte daher eine Bereinigungsmethode wie das Löschen in Betracht ziehen, um den Restwert der Hardware zu erhalten (Wiederverwendung) und gleichzeitig die Datenvernichtung sicherzustellen.
6. Überprüfen Sie das Verfahren zur Desinfektion und Entsorgung der Medien [Abschnitt 4.7].
Die NIST SP 800-88 Richtlinien empfehlen einen Verifizierungsprozess für die Bereinigung von Medien. Es gibt zwei Arten der Überprüfung, die in Betracht gezogen werden sollten, nämlich
a) Überprüfen Sie die Wirksamkeit der Desinfektion jedes Mal, wenn die Medien mit der Clear- oder Purge-Technik gereinigt oder gespült werden, da in einigen Fällen von Destroy eine praktische Überprüfung für jedes desinfizierte Medium nicht möglich ist.
b) Stichprobenartige Prüfung einer Teilmenge der Medien, idealerweise durch Personen, die nicht an dem ursprünglichen Desinfektionsprogramm beteiligt waren
Die Richtlinien empfehlen, die Ausrüstung, das Personal und die Desinfektionsergebnisse zu überprüfen, um den Desinfektionsprozess der Medien ausfallsicher zu machen.
7. bewahren Sie ein Zertifikat für die Entsorgung der Datenträger auf [Abschnitt 4.8].
Die Richtlinie betont, dass für jede Einheit desinfizierter elektronischer Medien eine dokumentierte Bescheinigung aufbewahrt werden muss, insbesondere für solche, die sensible und vertrauliche Daten enthalten. Sie unterstreicht die Bedeutung einer automatisierten Dokumentation, um den Zugriff auf die Zertifizierungen (Prüfpfade) für physische Medien zu erleichtern. Gemäß den NIST-Richtlinien zur Desinfektion von Datenträgern sollte das Zertifikat Hardware- und Prozessdetails wie Hersteller, Modell, Seriennummer, Medientyp und -quelle, Desinfektionsmethode, verwendetes Tool und Version, Verifizierungsdetails usw. enthalten.
Fazit:
Die Richtlinien NIST 800-88 Revision 1 beschreiben detailliert, wie Speichermedien zu minimalen Kosten und auf umweltfreundliche Weise saniert werden können, ohne dass eine Datenrettung möglich ist. Organisationen können sich auf die drei Methoden der Mediensanierung beziehen, nämlich Löschen, Bereinigen und Zerstören, die für unterschiedliche Datensensibilitätsstufen und Arten von Speichermedien wie Laufwerke und SSDs geeignet sind. Diese Richtlinien gewährleisten die Einhaltung gesetzlicher Vorschriften und empfehlen die Dokumentation von Vernichtungszertifikaten, die den Bereinigungsprozess bestätigen, um sensible Daten während ihres gesamten Lebenszyklus zu schützen.
