Wie Sie aus Big Data wirklich null Data machen

Wann, wo und wie Daten löschen

10.09.2015
Von 
Yvonne Göpfert ist als freie Journalistin in München tätig.

Löschen von Daten auf PC, Laptop, Tablet und Smartphone

Es ist ratsam, genau festzulegen, wie beim Datenlöschen vorzugehen ist - die Verfahren hängen von den genutzten Speichermedien ab. So liegen Daten heute auf PCs, Laptops, Smartphones Tablets und in der Cloud. Behandeln wir zunächst einmal die klassischen Datenträger. Zunächst muss man verstehen, wie Daten auf einem Medium gespeichert werden. Ähnlich wie im Inhaltsverzeichnis eines Buches werden die einzelnen Dateien in einem gesonderten Bereich katalogisiert und mit einem Speicherbereich versehen.

Ein normaler Löschvorgang entfernt nur die Eintragung einer Datei, nicht aber die Daten selbst. Daher sind Tools zu empfehlen, die die Daten "shreddern", das heißt mit Nullen oder zufälligen Informationen überschreiben, rät Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei dem Virenspezialisten Kaspersky Lab. Bei Festplatten empfiehlt das Bundesamt für Sicherheit in der Informationstechnik das siebenfache Überschreiben. Die Festplatte ist danach auch weiterhin in vollem Umfang einsatzfähig. Dazu gibt es entsprechende Software, die unter anderem auch als Freeware zur Verfügung steht.

Nicht löschen, sondern verschlüsseln

Neben einem dedizierten Löschen kann man Daten aber auch verschlüsseln oder eben Regelungen treffen, welche Arten von Daten überhaupt auf verlustträchtigen Datenträgern wie USB Sticks oder mobilen Geräten gespeichert werden dürfen, erklärt Funk weiter. Bei verschlüsselten Datenträgern sind auch auf herkömmliche Weise gelöschte Daten vor den Augen Dritter sicher - ein starker Verschlüsselungsalgorithmus und ebenso starkes Passwort vorausgesetzt. Bei der zweiten Option werden alle anfallenden Daten hinsichtlich ihrer Sensibilität bewertet. Hochsensible Daten dürfen dann gar nicht auf mobilen Geräten oder Datenträgern landen.

Die richtigen Tools zum Löschen

Generell bieten Hersteller wie Kroll OnTrack oder Symantec Lösch-Lösungen an, die sich auch gut für kleine und mittlere Unternehmen eignen. Bei der Auswahl des Tools sollte man aber immer auf zwei Punkte achten, warnt Gianluca De Lorenzis, CEO der FGND Group, Köln.

Erstens: Passt das Tool zu den Compliance-Vorgaben, die vielleicht eine Archivierung von relevanten Daten für die nächsten Jahre vorschreiben? Dann müssen zum Beispiel E-Mails oder Dokumente mit sensiblen Infos kurzfristig und unwiderruflich von Smartphones gelöscht werden - aber gleichzeitig noch auf einem besonders geschützten Rechner auffindbar sein und dort nach einem anderen "Haltbarkeitsdatum" vernichtet werden. Um das zu klären, ist eine genaue Qualifizierung der Daten notwendig - was wird wann von wem nach welchen Vorgaben gelöscht?

Zweitens: Ist das Tool zertifiziert und technologisch auf dem neusten Stand? De Lorenzis empfiehlt, auf Zertifizierungen nach militärischen Standards wie NATO Restricted und VS-NfD zu achten, die in vielen Unternehmen schon für eine besonders hohe Netzwerksicherheit sorgen.

Es kann außerdem sein, dass Kunden und Partner Pflichtnachweise für die Datenlöschung verlangen, etwa über Zertifikate und Reports. Das kann man sowohl mit 20 als auch mit 200 Festplatten über die Seriennummern relativ leicht im Blick behalten. Bei Smartphones gelten andere Regeln. Ganz wichtig: Ausgemusterte Devices mit hochsensiblen Daten und defekte Datenträger sollte man immer von einem professionellen Dienstleister physikalisch zerstören lassen. Die Kosten hierfür sind gering im Vergleich zu den Reputationsschäden und Schadensersatzforderungen, die bei einer Datenweitergabe in unbefugte Hände entstehen.

Das gilt es beim Löschen zu beachten

Bevor Sie die Daten in Ihrer Organisation vernichten sollten Sie folgende Punkte beachten, rät der Information Security Manager Senk von Teradata:

  • Abstimmung mit der Rechtsabteilung: Stimmen Sie sich mit Ihrer Rechtsabteilung ab, ob etwas gegen die Vernichtung der Informationen spricht. Das können beispielsweise rechtliche Rahmenbedingungen wie Aufbewahrungspflichten sein.

  • Einbeziehung des Datenschutzbeauftragten: Arbeiten Sie mit dem Datenschutzbeauftragten Ihres Unternehmens zusammen. Es ist die Aufgabe des Datenschutzbeauftragten, auf die Einhaltung der Datenschutzgesetze im Unternehmen hinzuwirken und die Datenverarbeitung zu überwachen. Er oder sie sollte stets möglichst frühzeitig in alle Entscheidungen hinsichtlich der Verarbeitung, Sperrung und Löschung personenbezogener Daten eingebunden werden.

  • Die Verwahrungskette: Sie sind verantwortlich für die Daten, die bei Ihrem Unternehmen vorliegen. Daher müssen Sie den richtigen Umgang vom Moment der Erhebung bzw. Speicherung bis hin zur Löschung/Vernichtung der Informationen verantworten. Dazu kann es notwendig sein, zertifizierte Partner zur Löschung und Vernichtung der Daten zu beauftragen.

  • Kennen Sie die Standards: Es gibt Standards, die festlegen, in welcher Weise Informationen, z.B. Dokumente in Papierform oder Festplatten, vernichtet werden müssen. Seien Sie informiert über diese Standards (z.B. DIN 66399) und halten Sie diese ein.

De Lorenzis von FGND ergänzt: "Ein Kardinalfehler bei Löschstrategien in KMU ist, dass man nur an die Datenvernichtung am Ende des Lebenszyklus von einzelnen Geräten denkt. Das ist grundfalsch, denn das sichere Datenlöschen ist eine kontinuierliche Herausforderung, die eine Verwaltung der IT-Ressourcen und Dateien in allen Arbeitsphasen erforderlich macht."