Auf dem Weg zu einer ISO 27001-Zertifizierung kommt jedes Unternehmen an diesem Thema vorbei: Datenträger-Entsorgung oder -aufbereitung für die Wiederverwendung (Anforderung A.7.10).
In der ISO 27001 bezieht sich dies ausdrücklich auf jede Art von Datenträger, also nicht nur auf Elektronik.
Hier geht es erst einmal nur um elektronische Datenträger. Wie man mit nicht-elektronischen Datenträgern (Papier, alte Backup-Bänder etc.) umgesehen sollte, erfahren Sie hier.
Das Thema "Entsorgung" taucht in Unternehmen immer wieder auf:
- alte Notebooks gehen zurück an den Leasinggeber;
- Server werden außer Betrieb genommen;
- SSDs werden getauscht;
- USB-Sticks aussortiert oder
- Datenträger sollen entsorgt werden.
Genau dann reicht normales Löschen im Betriebssystem nicht. Das BSI beschreibt ausdrücklich, dass Daten vor Weitergabe oder Entsorgung sicher gelöscht oder der Datenträger vernichtet werden muss. NIST führt dafür den Oberbegriff Media Sanitization und beschreibt ihn als Verfahren, das den Zugriff auf die alten Daten für einen gegebenen Aufwand praktisch unmöglich macht.
Die kurze Antwort
Ja, vor Entsorgung, Rückgabe oder Neuverwendung ist sichere Löschung in der Regel nötig. "Datei löschen", Papierkorb leeren oder ein normales Schnellformat reichen dafür nicht. Sicheres Löschen einzelner Dateien ist in vielen Fällen nur eingeschränkt möglich ist. Für vollständige Datenträger braucht es deshalb je nach Medium passende Verfahren wie Überschreiben, geräteseitige Secure-Erase- oder Sanitize-Befehle, kryptographisches Löschen oder - als robuste letzte Stufe -physische Zerstörung.
Wann Verschlüsselung als Lösung reichen kann
Es gibt eine wichtige Ausnahme: Wenn ein Datenträger durchgängig stark verschlüsselt war und das Schlüsselmaterial wirklich sicher unbrauchbar gemacht wird, kann kryptographisches Löschen genügen. Das BSI sagt ausdrücklich, dass bei verschlüsselten Daten das sichere Löschen aller Schlüssel einen zuverlässigen Schutz gegen unbefugte Wiederherstellung bieten kann. NIST führt cryptographic erase in der aktuellen und der älteren Sanitization-Guidance ebenfalls ausdrücklich als Sanitization-Methode. Das funktioniert aber nur, wenn die Verschlüsselung sauber umgesetzt war und der Schlüssel nicht an anderer Stelle weiterlebt, zum Beispiel in Backups, Recovery-Verfahren oder separaten Schlüsselspeichern.
Normales Löschen ist keine sichere Löschung
Wenn Sie im Explorer, Finder oder einer ähnlichen Oberfläche Dateien löschen, verschwindet meist nur der Verweis im Dateisystem. Die Daten selbst können je nach Medium und Zustand noch vorhanden sein. Genau deshalb zieht das BSI eine klare Linie zwischen normalem Löschen und endgültigem Löschen.
HDDs: vergleichsweise gut beherrschbar
Bei klassischen magnetischen Festplatten ist sicheres Löschen vergleichsweise gut handhabbar. Das Überschreiben mit spezieller Software bei intakten magnetischen Festplatten gilt in den meisten Fällen ausreichend. Wenn die Platte passende ATA-Erase-Funktionen unterstützt oder herstellerseitige Routinen anbietet, kann das ebenfalls sinnvoll sein. Wenn eine HDD defekt ist oder sich nicht verlässlich löschen lässt, so empfiehlt sich die physische Beschädigung oder Zerstörung.
SSDs, USB-Sticks und SD-Karten sind heikler
Bei Flash-Medien ist das Thema heikler. Reines Überschreiben über die normalen Lese-/Schreibschnittstellen erfasst nicht alle Bereiche sicher und ist bei sog. Wear Leveling unzuverlässig. Genau deshalb sind bei SSDs und NVMe-Medien geräteseitige Funktionen wie Secure Erase, Sanitize oder Crypto Erase oft der robustere Weg. Wenn solche Funktionen nicht sauber verfügbar sind oder der Schutzbedarf hoch ist, bleibt die physische Vernichtung die deutlich robustere Entscheidung.
Physische Vernichtung ist die robuste Endstufe
Wenn Sie einen Datenträger nicht mehr brauchen, ihn nicht sicher löschen können oder bei sehr hohem Schutzbedarf auf Nummer sicher gehen wollen, ist physische Vernichtung die stärkste Option. Wenn sich ein Datenträger nicht sicher überschreiben oder mit geeigneten Erase-Verfahren behandeln lässt, sollte er physisch beschädigt oder zerstört werden.
Nicht nur Technik, sondern auch Prozess
Sicheres Löschen ist kein Einzelschritt für die IT-Abteilung, sondern ein Prozess. Es muss drum herum einen geeigneten Prozess geben, der sicherstellt, dass
- die zu löschenden bzw. zu vernichtenden Datenträger auch dort ankommen, wo die Löschung oder Vernichtung durchgeführt wird;
- dass alle Mitarbeiter wissen, wohin mit ihren Datenträgern, wenn sie diese nicht mehr benötigen;
- dass diese Stelle (i.d.R. die IT-Abteilung) auch weiß, wie mit den hereinkommenden Datenträgern zu verfahren ist.
Praktisch heißt das: Es sollte klar geregelt sein, wann Datenträger gelöscht, wann sie vernichtet, wer das freigibt, wer es dokumentiert und welche Nachweise aufbewahrt werden. Gerade bei Rückgabe an Leasinggeber, Entsorgung durch Dienstleister oder interner Wiederverwendung brauchen Sie eine nachvollziehbare Linie, damit nicht irgendwo eine Schublade voller heikler Datenträger entsteht, mit der niemand etwas anzufangen weiß.
Beispiel-Software und Werkzeuge
Welche Software oder welches Werkzeug sinnvoll ist, hängt stark vom Medium ab. Für den kryptographischen Ansatz kommen unter Windows typischerweise BitLocker und auf dem Mac FileVault in Betracht, weil beide eine vollständige Laufwerksverschlüsselung bereitstellen. Für NVMe-SSDs gibt es im Linux- und Admin-Umfeld Werkzeuge wie nvme-cli, das Sanitize-Befehle an NVMe-Geräte senden kann. Manche Hersteller liefern zusätzlich eigene Tools mit Secure-Erase- oder PSID-Revert-Funktionen, etwa Samsung Magician für unterstützte Samsung-SSDs. Das sind Beispiele, keine pauschalen Empfehlungen. Entscheidend ist immer, dass das Verfahren zum Medium, zum Schutzbedarf und zu Ihrer internen Regelung passt.
Was will der Auditor sehen?
Ein Auditor will in der Regel nicht hören: "Wir löschen die Geräte halt, bevor sie rausgehen." Er will erkennen, dass das Thema geregelt ist. Also: Gibt es ein definiertes Verfahren? Ist klar, wann gelöscht und wann vernichtet wird? Ist das für unterschiedliche Datenträgertypen berücksichtigt? Gibt es Nachweise oder Freigaben?
Nein. Papierkorb leeren oder Dateien normal löschen reicht für Entsorgung, Rückgabe oder Weitergabe in der Regel nicht aus. Dafür braucht es sichere Löschung oder Vernichtung.
Ja, grundsätzlich schon. Wenn Dritte das Gerät oder den Datenträger übernehmen, sollten die darauf enthaltenen Informationen vorher sicher gelöscht oder der Datenträger vernichtet werden.
Ja, unter Bedingungen. Wenn das Medium durchgängig stark verschlüsselt war und die Schlüssel wirklich sicher unbrauchbar gemacht werden, kann kryptographisches Löschen genügen.
Ja, oft schon. NIST weist darauf hin, dass normales Überschreiben bei Flash-Medien durch nicht direkt adressierbare Bereiche und Wear Leveling unzuverlässig sein kann.
Wenn das Medium defekt ist, sich nicht verlässlich löschen lässt oder der Schutzbedarf so hoch ist, dass Sie kein Restrisiko akzeptieren wollen.
Oft nicht zuverlässig. Das BSI weist ausdrücklich darauf hin, dass das sichere Löschen einzelner Dateien in vielen Fällen nur eingeschränkt möglich ist.
Unser Tipp
Sicheres Löschen ist keine Nebenfrage, sondern Teil sauberer Informationssicherheit. Wenn Datenträger das Haus verlassen, zurückgegeben, verkauft oder intern weiterverwendet werden, reicht normales Löschen nicht. Entscheidend ist, dass Sie je nach Medium und Schutzbedarf das passende Verfahren wählen: Überschreiben, geräteseitiges Erase- oder Sanitize-Verfahren, kryptographisches Löschen oder physische Vernichtung. Und genauso wichtig: Das Ganze sollte als Prozess geregelt sein, nicht als spontane Bastellösung im letzten Moment.
Interesse geweckt?
Wenn Sie klären wollen, wie sicheres Löschen und Vernichten in Ihrem Unternehmen im Rahmen einer ISO 27001-Umsetzung sauber geregelt werden sollte, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!