Ausrangierte Datenträger werden zu einer Sicherheitsgefahr für Unternehmen, wenn sie nicht korrekt gelöscht werden. Zudem drohen seit der Einführung der EU-DSGVO empfindliche Strafen für den falschen Umgang mit Daten. Das betrifft auch gebrauchte IT-Ausstattung. Für eine revisionssichere Datenlöschung ist die Auswahl des richtigen Algorithmus entscheidend. Viele Firmen nutzen dafür den Lösch-Algorithmus DoD 5220.22-M.
Daten, Daten, Daten – durch die Digitalisierung wächst die Menge der verfügbaren Informationen in Unternehmen und Behörden geradezu exponentiell an. Stichwort Big Data. Beim Management dieser großen Datenmengen geht es nicht nur um das Speichern, die Verwaltung oder Analyse der Daten, sondern auch um den Umgang an deren „Lebensende“. Ein ausrangiertes Notebook, auf dem sich noch wichtige Konstruktionspläne etwa von Maschinen befinden, sollte nicht auf Ebay auftauchen. Firmen müssen daher Informationen auf Datenträgern, die nicht mehr gebraucht werden, nachweisbar und rechtskonform löschen – vor allem, wenn es sich um sensible Unternehmensdaten handelt. Erfüllen Firmen diese Pflicht nicht, drohen Bußgelder bis zu vier Prozent des Jahres-Umsatzes.
Mehrmaliges Überschreiben notwendig
Die komplette und sichere Datenlöschung ist aber nicht trivial. Ein einfacher Löschbefehl reicht nicht aus, um sensible Daten endgültig zu entfernen. Auch das vollständige Formatieren einer Festplatte oder eines Datenträgers ist als sicheres Löschverfahren ungeeignet. Eine vollständige Löschung, die eine Wiederherstellung unmöglich macht, erzielt man nur durch mehrmaliges Überschreiben des Datenträgers mit unterschiedlichen Bitmustern. Diesen Ansatz verwendet auch die Datenlösch-Methode DoD 5220.22-M, die heute in vielen Fällen für die Vernichtung von Daten eingesetzt wird.
Das US-Verteidigungsministerium (DoD Department of Defense) hat diesen Standard entwickelt und im Jahr 1995 im Rahmen des National Industrial Security Program Operating Manual (NISPOM) publiziert. Es gibt hier zwei Varianten: DoD 5220.22-M (E) mit dem dreifachen Überschreiben der Originaldaten, und DoD 5220.22-M (ECE) mit insgesamt sieben Durchläufen.
DoD 5220.22-M (E)
Bei diesem Verfahren werden die Daten auf der Festplatte durch dreimaliges Überschreiben vernichtet. Im ersten Durchgang wird der Datenträger mit einem fest vorgegebenen Wert (meist binäre Nullen) überschrieben, im zweiten Durchgang mit dem Komplementärwert (meist binäre Einsen), und im dritten und letzten Durchgang mit Zufallszahlen beziehungsweise einem zufälligen Bitmuster. Am Ende erfolgt eine Überprüfung der Schreibvorgänge. Die Daten werden meist binnen Stunden sicher gelöscht. Die Dauer ist abhängig von der Größe der Festplatte und der Anzahl der gewählten Wiederholungen.
DoD 5220.22-M (ECE)
Im Jahr 2001 veröffentlichte das Pentagon als Erweiterung den Algorithmus DoD 5220.22-M (ECE). Er überschreibt die Daten in sieben Durchläufen mit bis zu zehn möglichen Wiederholungen in folgender Reihenfolge:
- Erster bis dritter Durchlauf: Überschreiben der Daten mit der Methode DoD 5220.22-M (E), sprich mit fest vorgegebenem Wert, Komplementärwert und Zufallszahlen
- Vierter Durchlauf: überschreiben der Daten mit aperiodischen Zufallswerten gemäß DoD 5220.22-M (C)
- Fünfter bis siebter Durchlauf: Erneutes Überschreiben der Daten mit der Methode DoD 5220.22-M (E) und Verifizierung am Ende.
Bewertung
Seit 2001 hat der Standard nur noch marginale Änderungen erfahren. Das Löschen einer Festplatte mit DoD 5220.22-M verhindert in der Regel, dass weder softwarebasierte noch hardwarebasierte Methoden für die Wiederherstellung von Dateien funktionieren. Das US-Verteidigungsministerium weist aber darauf hin, dass das Löschen von als „Secret“ oder „Top Secret“ klassifizierten Daten damit nicht erlaubt sei. Dafür wird eine physische Zerstörung oder Entmagnetisierung der Festplatte empfohlen.
Eine weitere Einschränkung: Die DoD 5220.22-M-Prozesse lassen sich nur bedingt auf Solid-State-Laufwerke (SSDs) oder andere Flash-basierte Speicher anwenden, da deren Entwicklung zum Zeitpunkt der Publikation im Jahr 1995 noch nicht ausgereift war. Übrigens verwendet das Pentagon den DoD 5220.22-M-Algorithmus nicht mehr zum sicheren Löschen von Festplatten, sondern setzt auf den NIST 800-88 Standard. Da jedoch historische Standards des Verteidigungsministeriums große Glaubwürdigkeit besitzen, schreiben oft interne Richtlinien von Unternehmen vor, die DoD-Verfahren weiter zu verwenden.
Detaillierte Informationen zum DoD 5220.22-M-Algorithmus finden Sie in diesem Blogbeitrag unseres Partners Blancco, dem Weltmarkführer für zertifizierte Datenlöschsoftware.