Viele Firmen fragen sich, wie sie ihre nicht mehr benötigte IT-Hardware weiterverkaufen und gleichzeitig sicherstellen können, dass alle noch vorhandenen Daten unwiederbringlich gelöscht werden. Wir geben daher Tipps zur Zusammenarbeit mit einem Remarketing-Dienstleister.
Nahezu jedes Unternehmen tauscht zumindest gelegentlich einen kleineren oder auch größeren Teil seiner IT-Hardware aus. Dabei stellt sich schnell die Frage, was mit den alten Systemen geschehen soll? Alleine aus wirtschaftlichen Gründen, aber auch aus Sicht eines nachhaltigen Umweltschutzes bietet es sich an, sie an ein auf das Remarketing spezialisiertes Unternehmen zu verkaufen. Dieses bereitet die Hardware auf und verkauft sie anschließend weiter.
Meist ist der Aufwand, die auf den zu veräußernden IT-Systemen noch vorhandenen Daten vorher aber selbst sicher zu löschen, viel zu hoch. Stattdessen bietet es sich an, diese Aufgabe ebenfalls einem zertifizierten Anbieter zu überlassen. Dieser kümmert sich dann um das sichere Löschen der Daten und dokumentiert alle durchgeführten Schritte in einem Protokoll, das dem Kunden ausgehändigt wird.Aber ist es damit getan? Was sollten interessierte Firmen noch beachten, wenn sie ihre gebrauchte IT-Hardware an ein Remarketing-Unternehmen verkaufen wollen?
Hinweise vom BSI
Das BSI ist in seinem IT-Grundschutzkatalog ebenfalls auf das Thema „Löschen und Vernichten“ (PDF) eingegangen. Wir fassen die wichtigsten Punkte daraus zusammen. So sollte in einem ersten Schritt festgestellt werden, wo überall noch Daten gespeichert sind. Sonst sei „nicht absehbar, wo diese Informationen verbleiben und ob diese für Dritte zugänglich sind“. Bei Datenträgern und IT-Systemen, die ausgesondert werden sollen, sieht das BSI eine besonders hohe Gefahr. So könnten sich darauf noch (Rest-)Informationen befinden, die teilweise zum Beispiel nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) als besonders schützenswert einzustufen sind. Das BSI weist in diesem Zusammenhang auch darauf hin, dass es zu hohen Strafen kommen kann, wenn bei diesen Prozessen Fehler begangen werden.
Die Behörde rät in der Regel davon ab, zu versuchen, die Daten selbst zu löschen. Die meisten Anwendungen und Betriebssysteme würden noch vorhandene Daten nicht sicher und auch nicht vollständig irreversibel überschreiben. So könnten etwa in Auslagerungsdateien noch Passwörter oder kryptografische Schlüssel versteckt sein. Selbst defekte Datenträger oder Geräte dürften nicht einfach entsorgt werden. In vielen Fällen könnten auch hiervon Daten oder zumindest Teile davon wiederhergestellt werden.
Probleme sieht das BSI auch, wenn ein für diese Aufgabe nicht geeigneter externer Dienstleister hinzugezogen wird. So könnten Angreifer zum Beispiel Datenträger von nicht ausreichend gesicherten Sammelstellen stehlen oder später an Daten gelangen, wenn sie nicht sicher gelöscht wurden. Die Prozesse zum Löschen und Vernichten der Daten müssten daher sicher und zudem nachvollziehbar sein. Eine beauftragter Dienstleister sollte regelmäßig daraufhin überprüft werden, ob noch alle Vorgänge korrekt ablaufen.
Das BSI hat deshalb eine Reihe grundlegender Anforderungen an die sichere Löschung von Daten auf auszumusternder IT-Hardware formuliert. Dazu gehört etwa die genaue Definition der Zuständigkeiten und Rollen. So muss sich zum Beispiel jemand um die Einhaltung der gesetzlich bestimmten minimalen Aufbewahrungsfristen kümmern.
Des Weiteren fordert das BSI,
- dass wieder beschreibbare Datenträger vollständig mit zufälligen Daten überschrieben werden müssen, wenn sie nicht verschlüsselt wurden,
- dass bei verschlüsselten Datenträgern der dafür verwendete Schlüssel vernichtet werden muss,
- dass optische Datenträger und Papier vernichtet werden müssen,
- dass Smartphones und ähnliche Geräte verschlüsselt und erst danach zurückgesetzt werden dürfen,
- dass IoT-Devices zurückgesetzt und anschließend alle in ihnen hinterlegten Zugangsdaten gelöscht werden müssen und
- dass andere Datenträger über die integrierten Funktionen sicher gelöscht werden müssen. Wenn das nicht möglich ist, müssen sie ausgebaut und dann gelöscht werden.
Empfehlungen vom Fachmann
Auch Blancco, ein erfahrener und bekannter Spezialist für Software-basiertes Löschen von Daten, hat sich mit den Anforderungen an eine sichere Löschung in dem Whitepaper „Außerbetriebsstellungs-Checkliste für Unternehmen: PCs, Laptops und andere IT-Anlagen“ beschäftigt. Darin hat der Anbieter 13 Punkte zusammengestellt, die als Leitfaden dienen können, um IT-Hardware für eine sichere Löschung vorzubereiten.
Zunächst empfiehlt der Hersteller, alle Geräte zu erfassen, die außer Betrieb genommen werden sollen. Anschließend sollten der weitere Verwendungszweck für die jeweilige Hardware sowie ein Zeitplan festgelegt werden. Im nächsten Schritt sollten die betroffenen Mitarbeiter über den geplanten Transfer aller noch erforderlichen Daten und Anwendungen informiert werden. Dann ist ein Backup aller noch relevanten Daten vorzunehmen.
Treffen sie anschließend bei einem zertifizierten Dienstleister wie der DELIT AG ein, wird dort dann umgehend das Löschverfahren eingeleitet. So stellen die Lösch-Experten sicher, dass die Daten nicht in die Hände unbefugter Personen gelangen können. Nach Abschluss der Löschung erhält der Kunde ein detailliertes Protokoll, in dem er über alle durchgeführten Schritte ausführlich informiert wird. Damit dieser Prozess keine Black Box ist, hat die DELIT AG das Asset-Tracking-Tool DELPHI entwickelt, bei dem jeder Arbeitsschritt in Echtzeit nachverfolgt werden kann.