Auf dem Weg zu einer ISO 27001-Zertifizierung kommt jedes Unternehmen an diesem Thema vorbei: Datenträger-Entsorgung oder -aufbereitung für die Wiederverwendung (Anforderung A.7.10).
In der ISO 27001 bezieht sich dies ausdrücklich auf jede Art von Datenträger, also nicht nur auf Elektronik.
Hier geht es erst einmal nur um nicht-elektronische Datenträger, also bspw. Papier, alte Backup-Bänder etc. Für die Entsorgung von elektronischen Datenträgern haben wir hier einen separaten Artikel.
Die kurze Antwort
Ja, auch nicht-elektronische Datenträger müssen sicher entsorgt werden. Papier einfach in den normalen Papierkorb zu werfen oder alte Backup-Bänder unsortiert an einen Entsorger zu geben, ist bei schützenswerten Informationen keine saubere Lösung. ISO 27001 verlangt eine Vorgehensweise zum sicheren Löschen und Vernichten von Informationen für alle Informationsträger.
Es geht nicht nur um Geräte, sondern um Informationen
Der richtige Blick ist nicht: "Ist das elektronisch oder nicht?" Der richtige Blick ist: Welche Informationen stecken darauf und was passiert, wenn sie in falsche Hände geraten? Deshalb gehören Papierakten, Ausdrucke, Versandlisten, Notizen, Vertragsunterlagen, alte Archivmedien und Sicherungsbänder genauso in den Blick wie klassische IT-Datenträger.
Papier ist oft der unterschätzte Datenträger
Papier wirkt harmlos, weil es altmodisch ist. Genau das macht es gefährlich. Ausdrucke mit Kundendaten, Personalunterlagen, Angebotskalkulationen, Verträge, Auditnotizen oder Besprechungsunterlagen landen schnell in Ablagen, Umzugskartons oder Altpapiercontainern. Für sensible Informationen ist das keine vertretbare Entsorgung. Wenn das BSI analoge Datenträger ausdrücklich in denselben Baustein wie digitale Datenträger einordnet, dann genau deshalb: Informationsschutz endet nicht am Drucker.
Papier gehört in geregelte Vernichtung, nicht in den normalen Abfall
In der Praxis heißt das: Papier mit schützenswertem Inhalt sollte nicht im offenen Papierkorb, in frei zugänglichen Sammelstellen oder lose beim Entsorger landen. Es braucht einen geregelten Weg zur Vernichtung. Wie genau der aussieht, hängt vom Risiko ab. Aber der Grundsatz bleibt gleich: Kritische Informationen dürfen das Unternehmen nicht in einer Form verlassen, in der sie ohne größeren Aufwand wieder gelesen oder zusammengesetzt werden können.
Alte Backup-Bänder sind kein Nostalgiethema
Backup-Bänder wirken in vielen Unternehmen wie ein Relikt. Genau deshalb werden sie oft organisatorisch schlecht behandelt. Dabei enthalten sie häufig besonders vollständige, historisch tiefe und sensible Datenbestände. Für magnetische Medien beschreibt NIST degaussing ausdrücklich als Purge-Methode: ein starkes Magnetfeld zerstört die gespeicherten magnetischen Muster. Zusätzlich bleibt physische Zerstörung eine robuste Option, wenn eine Wiederverwendung nicht nötig ist oder der Schutzbedarf hoch ist. Für deutsche Organisationen passt das zur BSI-Logik: Wenn sichere Behandlung oder Wiederverwendung nicht verlässlich möglich ist, ist Vernichtung die robustere Entscheidung.
Nicht alles muss gleich behandelt werden
Ein interner Ausdruck mit allgemeiner Terminübersicht ist etwas anderes als eine Personalakte. Ein altes Band mit Testdaten ist etwas anderes als ein Band mit produktiven Kundensicherungen. Die Sanitization-Entscheidungen sollte sich an der Vertraulichkeit der Informationen und am späteren Verbleib des Mediums orientieren. Genau deshalb ist es sinnvoll, auch bei Papier und Bändern nicht alles gleich zu behandeln, sondern nach Risiko zu unterscheiden.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Bei Papier reicht ein Schredder im Büro, und bei Bändern reicht halt irgendein Entsorger." Das kann stimmen, muss es aber nicht. Entscheidend ist nicht, dass irgendein Werkzeug im Raum steht, sondern dass der gesamte Prozess passt: Sammlung, Zwischenlagerung, Zugriffsschutz, Transport, Vernichtung und Nachweis. Hier geht es um eine Gesamtvorgehensweise: Mitarbeiter sollten wissen, wo der Shredder ist, wie sie ihn bedienen und was dort hineingehört.
Sammlung und Zwischenlagerung gehören mit dazu
Die eigentliche Schwachstelle liegt oft nicht erst bei der Vernichtung, sondern davor. Sensible Papiere liegen offen in Druckerräumen, in Kisten, in Allgemeinablagen oder werden "für später" gesammelt. Alte Bänder liegen im Archiv, ohne dass klar ist, was darauf ist und wer darauf zugreifen kann. Wenn Sie sichere Entsorgung ernst meinen, müssen auch Sammlung und Zwischenlagerung geregelt sein.
Externe Vernichtung kann sinnvoll sein, aber nicht blind
Viele Unternehmen arbeiten bei Papier oder Bändern mit externen Entsorgern. Das kann sinnvoll sein, wenn Mengen groß sind oder wenn eine professionelle Vernichtung robuster ist als Improvisation im Büro. Entscheidend ist dann aber, dass der Weg dorthin sauber geregelt ist: Wer übergibt? Wie wird gesammelt? Wer bestätigt die Vernichtung? Bekommt man Vernichtungsnachweise?
Dokumentation ist auch hier nicht Kür
Wenn später jemand fragt, wie sensible Papierakten oder alte Backup-Bänder entsorgt wurden, ist es zu spät, das Verfahren erst dann zu erfinden. Ein gutes Entsorgungskonzept hält deshalb zumindest fest, welche Medienarten betroffen sind, welcher Schutzbedarf gilt, welches Verfahren verwendet wird und welche Nachweise aufbewahrt werden.
Was will der Auditor sehen?
Ein Auditor will in diesem Thema nicht hören: "Das machen wir schon irgendwie." Er will sehen, dass sensible Papierunterlagen, Backup-Bänder und andere nicht-elektronische Datenträger als Teil des Entsorgungsprozesses geregelt sind. Dazu gehören klare Verantwortlichkeiten, ggf. auch eine nachvollziehbare Einstufung nach Risiko, geregelte Sammlung und Vernichtung sowie belastbare Nachweise.
Ja, wenn darauf schützenswerte Informationen stehen. Das BSI behandelt Papier ausdrücklich als Datenträger im Baustein zum Löschen und Vernichten.
Für unkritische Unterlagen mag das genügen. Für sensible Informationen nicht. Das BSI verlangt eine geregelte Vorgehensweise zum sicheren Löschen und Vernichten.
Ja. Gerade weil sie oft vollständige und historische Sicherungen enthalten, können sie sehr sensible Informationen tragen und müssen entsprechend behandelt werden. Die NIST-Guidance zu Media Sanitization gilt auch für solche Medien.
Bei magnetischen Medien nennt NIST unter anderem degaussing als Purge-Methode. Wenn Wiederverwendung nicht nötig ist oder der Schutzbedarf hoch ist, ist physische Zerstörung ebenfalls eine robuste Wahl.
Ja, das ist sehr sinnvoll. BSI und NIST denken das Thema ausdrücklich als geregeltes Konzept beziehungsweise Programm, nicht als spontane Einzelfalllösung.
Zu glauben, dass Papier und alte Bänder organisatorisch harmlos seien. In Wirklichkeit verlassen sensible Informationen oft genau über solche Medien das Unternehmen.
Unser Tipp
Nicht-elektronische Datenträger sind kein Randthema. Papier, Akten und alte Backup-Bänder können für Ihr Unternehmen genauso heikel sein wie Festplatten oder SSDs. Wenn Sie sichere Entsorgung ernst meinen, brauchen Sie auch hier klare Regeln: Was wird wie gesammelt, wie geschützt, wie vernichtet und wie nachgewiesen? Erst dann ist aus "wir werfen das weg" ein belastbarer Prozess geworden.
Interesse geweckt?
Wenn Sie regeln wollen, wie Papier, Akten, Backup-Bänder und andere nicht-elektronische Datenträger in Ihrem Unternehmen sauber entsorgt werden, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!