- Einfaches Löschen oder Formatieren reicht nicht. Daten auf Festplatten und SSDs müssen mit geeigneten Verfahren unwiederbringlich vernichtet werden.
- Die DIN 66399 definiert sieben Sicherheitsstufen und sechs Materialklassen für die Vernichtung von Datenträgern. Für personenbezogene Daten gilt mindestens Stufe 3, für vertrauliche Daten Stufe 4 oder höher.
- Papierakten gehören nicht ins Altpapier, sondern in einen Aktenvernichter oder zur zertifizierten Aktenvernichtung. Sicherheitsstufe P-4 ist das Minimum für vertrauliche Dokumente.
- Die Entsorgung muss dokumentiert und nachweisbar sein: Entsorgungsprotokoll, Zertifikat des Dienstleisters und Nachweis der Datenträgervernichtung.
- Ein Entsorgungskonzept im ISMS definiert Verantwortlichkeiten, Verfahren und Fristen für die sichere Entsorgung aller Informationsträger.
Daten sterben nicht von allein
Wenn ein Unternehmen einen alten Laptop ausrangiert, passiert oft Folgendes: Die IT-Abteilung "löscht" die Festplatte, indem sie den Papierkorb leert oder das Laufwerk formatiert. Der Laptop wandert in einen Karton im Keller, wo er neben zwanzig anderen alten Geräten verstaubt. Irgendwann wird der Karton zum Recyclinghof gebracht oder an einen "Entsorger" übergeben, dessen Qualifikation niemand geprüft hat.
Das Problem: Eine einfache Löschung oder Formatierung entfernt nur den Verweis auf die Daten, nicht die Daten selbst. Mit frei verfügbarer Software lassen sich formatierte Festplatten in wenigen Minuten wiederherstellen. Auf gebrauchten Festplatten, die bei Online-Auktionen verkauft werden, finden Sicherheitsforscher regelmäßig vertrauliche Unternehmensdaten, Gesundheitsdaten, Finanzinformationen und persönliche Fotos.
Unsachgemäße Entsorgung ist kein theoretisches Risiko. Die britische Financial Conduct Authority verhängte 2019 ein Bußgeld in Höhe von 16,4 Millionen Pfund gegen eine Bank, weil Kundendaten auf nicht ordnungsgemäß entsorgten Festplatten gefunden wurden. Ähnliche Fälle gibt es in Deutschland, auch wenn die Bußgelder hier bisher niedriger ausgefallen sind.
Rechtliche Grundlagen
Mehrere Gesetze und Standards verpflichten dich zur sicheren Entsorgung von Informationsträgern:
DSGVO: Artikel 5 Absatz 1 Buchstabe f fordert die Integrität und Vertraulichkeit personenbezogener Daten gemäß dem Löschkonzept, auch bei der Entsorgung. Artikel 17 (Recht auf Löschung) verlangt, dass gelöschte Daten tatsächlich unwiederbringlich vernichtet werden. Artikel 32 verpflichtet dich zu angemessenen technischen und organisatorischen Maßnahmen, was auch die Entsorgung einschließt.
ISO 27001: Kontrolle A.7.10 (Storage Media) fordert, dass Speichermedien sicher entsorgt werden, wenn sie nicht mehr benötigt werden. Die ISO 27002 konkretisiert: Medien mit vertraulichen Informationen müssen physisch zerstört oder durch ein zugelassenes Verfahren sicher gelöscht werden.
BSI IT-Grundschutz: Der Baustein OPS.1.2.7 (Verkauf/Aussonderung von IT) und die Maßnahmen zur Datenträgervernichtung geben detaillierte Vorgaben für die sichere Entsorgung.
DIN 66399: Die deutsche Norm für die Vernichtung von Datenträgern definiert Sicherheitsstufen, Materialklassen und Partikelgrößen. Sie ist der zentrale Standard, auf den sich Auditoren beziehen.
Die DIN 66399: Sicherheitsstufen verstehen
Die DIN 66399 teilt die Vernichtung in drei Dimensionen: Schutzklassen, Sicherheitsstufen und Materialklassen.
Schutzklassen
Schutzklasse 1: Normaler Schutzbedarf. Interne Daten, deren Veröffentlichung keine erheblichen Auswirkungen hätte. Beispiel: Allgemeine Korrespondenz, Prospekte, Kataloge.
Schutzklasse 2: Hoher Schutzbedarf. Vertrauliche Daten, deren Veröffentlichung erhebliche Auswirkungen auf das Unternehmen hätte. Beispiel: Personaldaten, Finanzdaten, Verträge, Angebote.
Schutzklasse 3: Sehr hoher Schutzbedarf. Geheime Daten, deren Veröffentlichung existenzbedrohende Auswirkungen hätte. Beispiel: Forschungsdaten, militärische Geheimnisse, Zeugenschutzprogramme.
Sicherheitsstufen (1 bis 7)
Jede Sicherheitsstufe definiert maximale Partikelgrößen nach der Vernichtung. Je höher die Stufe, desto kleiner die Partikel und desto aufwändiger die Wiederherstellung.
Stufe 1: Allgemeine Daten. Papier: Streifen maximal 12 mm breit. Festplatte: Funktionsunfähig gemacht.
Stufe 2: Interne Daten. Papier: Streifen maximal 6 mm breit. Festplatte: Beschädigt.
Stufe 3: Sensible Daten. Papier: Partikel maximal 320 mm². Festplatte: Verformt.
Stufe 4: Besonders sensible Daten. Papier: Partikel maximal 160 mm². Festplatte: Partikel maximal 2.000 mm².
Stufe 5: Geheim zu haltende Daten. Papier: Partikel maximal 30 mm². Festplatte: Partikel maximal 320 mm².
Stufe 6: Geheime Hochsicherheitsdaten. Papier: Partikel maximal 10 mm². Festplatte: Partikel maximal 10 mm².
Stufe 7: Top-Secret-Daten. Papier: Partikel maximal 5 mm². Festplatte: Partikel maximal 5 mm².
Materialklassen
Die DIN 66399 unterscheidet sechs Materialklassen, die jeweils eigene Partikelgrößen definieren:
- P: Papier, auch in Aktenvernichtern
- F: Film und Mikrofilm
- O: Optische Datenträger (CDs, DVDs, Blu-rays)
- T: Magnetische Datenträger (Festplatten, Magnetbänder)
- H: Festplatten (magnetisch und SSD)
- E: Elektronische Datenträger (USB-Sticks, Chipkarten, Smartphones)
Empfehlung für Unternehmen
Für die meisten Unternehmen gilt: Personenbezogene Daten nach DSGVO erfordern mindestens Sicherheitsstufe 3, besser Stufe 4. Vertrauliche Geschäftsdaten (Verträge, Finanzen, Strategie) erfordern Stufe 4. Besonders schützenswerte Daten (Forschung, Patente, Gesundheitsdaten) erfordern Stufe 5 oder höher. Interne Dokumente ohne besonderen Schutzbedarf können mit Stufe 2 oder 3 vernichtet werden.
Festplatten und SSDs: Löschen, Überschreiben oder Schreddern?
Die sichere Entsorgung von Festplatten und SSDs verdient besondere Aufmerksamkeit, weil diese Datenträger die größte Menge an Informationen enthalten und gleichzeitig am häufigsten unsachgemäß entsorgt werden.
Warum Löschen und Formatieren nicht reicht
Beim Löschen einer Datei entfernt das Betriebssystem nur den Verzeichniseintrag. Die Daten selbst bleiben auf der Festplatte, bis sie zufällig überschrieben werden. Eine Schnellformatierung löscht lediglich die Dateisystemstruktur. Selbst eine vollständige Formatierung überschreibt nicht alle Bereiche des Datenträgers. Mit forensischen Werkzeugen lassen sich Daten von formatierten Festplatten oft problemlos wiederherstellen.
Softwarebasiertes Überschreiben (für Wiederverwendung)
Wenn du eine Festplatte wiederverwenden möchtest, kannst du sie mit spezialisierter Software mehrfach überschreiben. Etablierte Standards sind NIST SP 800-88 (ein Durchgang mit Zufallsdaten reicht für moderne Festplatten), DoD 5220.22-M (drei Durchgänge: Null, Eins, Zufallsdaten) und Gutmann-Methode (35 Durchgänge, für moderne Festplatten unnötig aufwändig).
Für herkömmliche Magnetfestplatten (HDD) ist ein einmaliges Überschreiben mit Zufallsdaten nach NIST SP 800-88 ausreichend. Die früher empfohlenen mehrfachen Überschreibungen stammen aus einer Zeit, als die Datendichte auf Festplatten wesentlich geringer war.
Achtung bei SSDs: Softwarebasiertes Überschreiben ist bei SSDs problematisch, weil SSDs intern Daten umverteilen (Wear Leveling) und Bereiche vorhalten, die vom Betriebssystem nicht erreichbar sind (Over-Provisioning). Ein vollständiges Überschreiben erreicht nicht zwingend alle Datenzellen. Für SSDs empfiehlt sich das herstellerspezifische Secure-Erase-Kommando (ATA Secure Erase), das vom Controller der SSD selbst ausgeführt wird, oder die physische Vernichtung.
Physische Vernichtung (endgültige Entsorgung)
Wenn ein Datenträger nicht wiederverwendet werden soll, ist die physische Vernichtung die sicherste Methode. Optionen sind Schreddern in einem zertifizierten Datenträgerschredder (nach DIN 66399), Degaussing (Entmagnetisierung) bei magnetischen Festplatten (funktioniert nicht bei SSDs) sowie Bohren oder Durchschlagen der Platters bei geringem Volumen und wenn kein Schredder verfügbar ist (nicht normgerecht, aber besser als nichts).
Für die meisten Unternehmen empfiehlt sich die Beauftragung eines zertifizierten Entsorgungsdienstleisters, der die Vernichtung vor Ort oder in seinen Räumlichkeiten durchführt und ein Vernichtungszertifikat ausstellt.
Papierakten und Dokumente
Papier ist nach wie vor einer der häufigsten Informationsträger. Verträge, Personalakten, Gehaltsabrechnungen, medizinische Unterlagen, Protokolle und Korrespondenz enthalten vertrauliche Informationen, die bei der Entsorgung geschützt werden müssen.
Aktenvernichter im Büro
Für die tägliche Vernichtung einzelner Dokumente ist ein Aktenvernichter am Arbeitsplatz oder im Flur die praktischste Lösung. Achte auf die richtige Sicherheitsstufe: P-3 (Partikelschnitt, maximal 320 mm²) als absolutes Minimum, P-4 (maximal 160 mm²) für vertrauliche Dokumente und personenbezogene Daten und P-5 (maximal 30 mm²) für besonders sensible Dokumente.
Streifenschnitt-Aktenvernichter (P-1 und P-2) sind für vertrauliche Dokumente ungeeignet, weil Streifen mit vertretbarem Aufwand wieder zusammengesetzt werden können. Investiere in Partikelschnitt-Geräte (Cross-Cut), die Dokumente sowohl längs als auch quer zerkleinern.
Externe Aktenvernichtung
Bei größeren Mengen, zum Beispiel bei der Auflösung eines Archivs, der Räumung eines Büros oder der regelmäßigen Vernichtung gesammelter Dokumente, lohnt sich die Beauftragung eines zertifizierten Aktenvernichtungsdienstleisters. Diese Dienstleister stellen verschlossene Sicherheitsbehälter auf, die regelmäßig abgeholt und in zertifizierten Anlagen vernichtet werden.
Bei der Auswahl eines Dienstleisters solltest du auf folgende Punkte achten: Zertifizierung nach DIN 66399 mit Angabe der Sicherheitsstufe, lückenlose Transportkette (verschlossene Behälter, GPS-überwachte Fahrzeuge), sicherheitsüberprüftes Personal, Vernichtungszertifikat mit Datum, Sicherheitsstufe und Menge sowie die Möglichkeit zur Vor-Ort-Vernichtung (Shredder-Truck), wenn die Dokumente das Firmengelände nicht verlassen sollen.
Weitere Hardware: Smartphones, USB-Sticks, Drucker
Smartphones und Tablets
Smartphones enthalten oft mehr vertrauliche Daten als ein Laptop: E-Mails, Kontakte, Kalender, Fotos, Chatverläufe, Zugangsdaten. Vor der Entsorgung oder Weitergabe musst du das Gerät auf Werkseinstellungen zurücksetzen. Bei modernen Smartphones mit Geräteverschlüsselung (ab iOS 8, ab Android 6) ist das Zurücksetzen auf Werkseinstellungen ausreichend, weil die Verschlüsselungsschlüssel dabei gelöscht werden und die verbleibenden Daten nicht mehr entschlüsselt werden können. Bei älteren Geräten ohne Verschlüsselung reicht das Zurücksetzen nicht. Hier hilft nur die physische Vernichtung.
USB-Sticks und Speicherkarten
USB-Sticks und SD-Karten sind zu klein und zu billig, um sie sicher zu überschreiben und wiederzuverwenden. Die praktischste Lösung ist die physische Vernichtung: Zerstören mit einer Zange oder einem Hammer und anschließende Entsorgung als Elektroschrott. Bei größeren Mengen: Entsorgung über einen zertifizierten Dienstleister.
Drucker und Multifunktionsgeräte
Was viele vergessen: Moderne Drucker und Kopierer haben eingebaute Festplatten oder Flash-Speicher, auf denen Kopien aller gedruckten, gescannten und kopierten Dokumente gespeichert sein können. Vor der Rückgabe eines Leasinggeräts oder der Entsorgung eines Kaufgeräts muss der interne Speicher sicher gelöscht werden. Die meisten Hersteller bieten eine Funktion zum sicheren Löschen im Servicemenü an. Im Zweifel solltest du die Festplatte ausbauen und separat vernichten.
Magnetbänder
Magnetbänder werden immer noch für Backup und Archivierung eingesetzt. Sie müssen per Degaussing entmagnetisiert oder physisch geschreddert werden. Einfaches Überschreiben ist möglich, aber aufwändig und weniger zuverlässig als bei Festplatten.
Der Entsorgungsprozess: Vom Ausmustern bis zum Nachweis
Ein strukturierter Entsorgungsprozess stellt sicher, dass kein Gerät und kein Dokument "vergessen" wird.
Schritt 1: Identifikation
Wenn ein Gerät oder ein Dokumentenbestand zur Entsorgung ansteht, wird es im IT-Asset-Management als "zur Entsorgung vorgesehen" markiert. In ISMS Lite wird der Entsorgungsprozess automatisch angestoßen, wenn ein Asset aus dem aktiven Bestand genommen wird, inklusive Checkliste für die sichere Datenlöschung und Entsorgungsnachweis. Notiere den Gerätetyp, die Seriennummer, den bisherigen Nutzer und die Art der gespeicherten Daten.
Schritt 2: Klassifikation
Bestimme den Schutzbedarf der gespeicherten Daten und leite daraus die erforderliche Sicherheitsstufe ab. Ein Laptop aus der Entwicklungsabteilung hat einen höheren Schutzbedarf als ein Monitor aus dem Empfangsbereich.
Schritt 3: Datenlöschung oder Vernichtung
Führe die Datenlöschung oder physische Vernichtung entsprechend der ermittelten Sicherheitsstufe durch. Bei Wiederverwendung: zertifiziertes Überschreiben. Bei endgültiger Entsorgung: physische Vernichtung.
Schritt 4: Dokumentation
Erstelle für jeden entsorgten Datenträger einen Entsorgungsnachweis, der Geräteart und Seriennummer, angewandtes Verfahren und Sicherheitsstufe, Datum der Vernichtung, durchführende Person oder Dienstleister sowie bei externer Vernichtung das Zertifikat des Dienstleisters enthält.
Schritt 5: Aktualisierung des Asset-Managements
Aktualisiere das IT-Asset-Management: Das Gerät wird als "entsorgt" markiert und aus dem aktiven Bestand entfernt. Die Entsorgungsdokumentation wird archiviert.
Häufige Fehler bei der Entsorgung
Alte Geräte horten statt entsorgen: In vielen Unternehmen stehen Schränke und Keller voller alter Laptops, Festplatten und Smartphones, die niemand entsorgen will, weil "man ja nie weiß". Diese Geräte sind ein unkontrolliertes Risiko. Definiere eine maximale Aufbewahrungszeit für ausgemusterte Geräte (z. B. drei Monate) und setze sie konsequent um.
Altpapier statt Aktenvernichter: Vertrauliche Dokumente im Altpapier sind ein Datenschutzverstoß. Stelle sicher, dass in jedem Bürobereich ein Aktenvernichter oder ein verschlossener Behälter für vertrauliche Dokumente steht.
Entsorgung ohne Nachweis: Ohne Vernichtungszertifikat kannst du nicht nachweisen, dass die Daten ordnungsgemäß vernichtet wurden. Im Audit oder bei einem Datenschutzvorfall ist das ein erhebliches Problem.
Dienstleister nicht geprüft: Nicht jeder "Entsorger" arbeitet nach DIN 66399. Prüfe die Zertifizierung, besuche die Anlage und kontrolliere die Prozesskette.
SSDs wie HDDs behandeln: Softwarebasiertes Überschreiben ist bei SSDs nicht zuverlässig. Nutze Secure Erase oder physische Vernichtung.
Drucker vergessen: Der Festplattenspeicher in Druckern und Kopierern wird bei der Entsorgung fast immer vergessen. Integriere Drucker in deinen Entsorgungsprozess.
Entsorgungskonzept im ISMS
Dein ISMS sollte ein Entsorgungskonzept enthalten, das folgende Punkte regelt:
Geltungsbereich: Welche Informationsträger sind betroffen (Papier, Festplatten, SSDs, USB-Sticks, Smartphones, optische Medien, Magnetbänder, Drucker)?
Verantwortlichkeiten: Wer entscheidet über die Entsorgung? Wer führt sie durch? Wer kontrolliert?
Verfahren pro Datenträgertyp: Welches Verfahren wird für welchen Datenträger bei welchem Schutzbedarf angewandt?
Sicherheitsstufen: Welche Sicherheitsstufen gelten für welche Datenklassen?
Dienstleister: Welche externen Dienstleister sind zugelassen? Welche Anforderungen müssen sie erfüllen?
Dokumentation: Welche Nachweise werden erstellt und wie lange aufbewahrt?
Kontrolle: Wie wird die Einhaltung des Entsorgungskonzepts geprüft?
Integriere das Entsorgungskonzept in dein IT-Asset-Management, damit der Entsorgungsprozess automatisch angestoßen wird, wenn ein Asset aus dem aktiven Bestand genommen wird. So verhinderst du, dass Geräte in der "Grauzone" zwischen Nutzung und Entsorgung verschwinden.
Weiterführende Artikel
- IT-Asset-Management im ISMS: Überblick behalten
- Löschkonzept nach DSGVO erstellen
- Physische Sicherheit im Homeoffice: Was Mitarbeiter beachten müssen
- TOMs dokumentieren: Technische und organisatorische Maßnahmen nach DSGVO
- Serverraum absichern: Zutritt, Klima, Brandschutz und Überwachung