Die Datenbereinigung ist eine wichtige Komponente des Lebenszyklus von Daten und unerlässlich für die Wahrung der Vertraulichkeit von Daten und die Einhaltung der weltweiten Datenschutzgesetze. Laut dem National Institute of Standards and Technology (NIST SP 800-88) bezieht sich der Begriff “Bereinigung” auf einen Prozess, der es unmöglich macht, mit einem bestimmten Aufwand auf die Zieldaten auf den Medien zuzugreifen. NIST 800-88 schreibt auch die Überprüfung von bereinigten Medien vor und definiert Überprüfung als “Der Prozess des Testens der Medien, um sicherzustellen, dass die Informationen nicht gelesen werden können.
Unternehmen können die Löschung entweder selbst durchführen oder an einen externen ITAD-Anbieter auslagern. In beiden Fällen ist die Überprüfung der Datenlöschung eine zwingende Voraussetzung für die Einhaltung der Vorschriften. Unternehmen bevorzugen ITAD-Anbieter, die von globalen Akkreditierungsstellen zertifiziert sind, da dies ihnen die Gewissheit gibt, dass ihre Prozesse mit den branchenüblichen Best Practices für die Datenbereinigung übereinstimmen.
Datenlöschung: Eine Untergruppe der Datenbereinigung
Die Datenlöschung, auch bekannt als Datenwiping, ist eine Methode der Datenbereinigung, bei der Daten auf Speichermedien mithilfe spezieller Bereinigungsbefehle wie Überschreiben, kryptografisches Löschen (CE), Blocklöschen (BE), sicheres Löschen (SE) usw. dauerhaft gelöscht werden. Die Datenlöschung erfolgt mit spezieller Software, die Speichermedien auf der Grundlage des Medientyps und empfohlener Verfahren, die in Standards und Richtlinien wie NIST 800-88, US DoD 5220.22, IEEE 2883-2022 definiert sind, bereinigt. Einen detaillierten Vergleich des modernen Standards IEEE 2883 – 2022 und NIST 800-88 können Sie in unserem Blog lesen.
Überblick über die Datenlöschung und ihre Bedeutung
Bei der Verifizierung der Datenlöschung wird das Ergebnis der Datenlöschung überprüft, um sicherzustellen, dass die Daten aus allen vom Benutzer adressierbaren und nicht adressierbaren Bereichen (wie HPA & DCO) so entfernt wurden, dass eine Datenrettung (oder Rekonstruktion) selbst in einem Datenrettungslabor nicht möglich ist.
Die Verifizierung des Datenlöschungsprozesses ist entscheidend für die Gewährleistung der Datensicherheit. Sie hilft auch bei der Einhaltung verschiedener Recycling- und Wiederverwendungsstandards wie der R2-Zertifizierung, e-Stewards usw., die ITAD-Einrichtungen für ihre Datenbereinigungsprozesse prüfen und zertifizieren und eine Überprüfung der Datenlöschung verlangen.
Im Folgenden haben wir die Anforderungen mehrerer anerkannter Standards zur Überprüfung der Datenlöschung aufgeführt.
- NIST SP 800-88: Der NIST-Standard beschreibt in Anhang A – Mindestempfehlungen für die Bereinigung (Seite 26) die geeignete Bereinigungsmethode, die für verschiedene Arten von Datenträgern verwendet werden sollte, nämlich Clear, Purge & Destroy. Die Richtlinien besagen, dass die für die Mediensanitisierung verwendete Software eine Löschprüfung für die Clear & Purge-Techniken durchführen muss, um sicherzustellen, dass kein Datenfragment zurückbleibt. Das NIST bietet die Möglichkeit, entweder eine zufällige oder eine vollständige Prüfung durchzuführen.
- IEEE 2883.22: Der IEEE Standard for Sanitizing Storage besagt in Abschnitt 7 – Verification of Sanitisation Results (Seite 27): “Die Verifizierung von Sanitisationsergebnissen kann ein wichtiges Element eines Daten-Sanitisationsprogramms sein, wenn eine Bestimmung der Angemessenheit oder Wirksamkeit der Sanitisation von Speichermedien erforderlich ist.” Es werden zwei Arten der Überprüfung definiert: Vollständige Verifizierung und repräsentative Stichproben (Spot-Verifizierung). Die Verifizierungsmechanismen unterscheiden sich je nach Art des Geräts und der verwendeten Desinfektionsmethode.
Wird beispielsweise die IEEE Clear-Methode auf einen Datenträger angewandt, reicht die Überprüfung von mindestens 5% der gesamten adressierbaren Bereiche aus, um die Wirksamkeit der Methode zu bewerten. Bei IEEE Purge-Methoden sollte eine vollständige Überprüfung des Bereinigungsergebnisses durchgeführt werden. Im Falle von Cryptographic Erase (CE) ist eine Überprüfung jedoch möglicherweise nicht möglich. - R2-Standard: Die Kernanforderungen des R2-Standards für die nachhaltige Wiederverwendung und das Recycling von Elektronikgeräten unter Abschnitt 7 – Datensicherheit (Seite 18) verlangen, dass eine R2-Anlage Aufzeichnungen über die Reinigung und Überprüfung führt, um die Wirksamkeit des Datenreinigungsprozesses nachzuweisen. Wenn keine Verifizierungsaufzeichnungen verfügbar sind, kann die Einrichtung ihre R2-Zertifizierung wegen Nichteinhaltung verlieren.
- e-Stewards Standard: Abschnitt 8.9.4 – Verifizierung der erfolgreichen Bereinigung von Kundendaten des e-Stewards Standards verlangt die Verifizierung aller Bereinigungsprozesse. Darüber hinaus müssen zertifizierte Unternehmen Aufzeichnungen über die Bereinigung für jedes Gerät führen und diese ihren Kunden zur Verfügung stellen.
- ICT Asset Recovery Standard 8.0: Der von ADISA – UK entwickelte ICT-Standard (Seite 69) verlangt in Abschnitt 3 Modul 4 – Datenrettung – Qualitätskontrolle/Verifizierung eine Qualitätskontrolle oder einen Verifizierungsprozess, um die Wirksamkeit der Datenrettungsmethode zu bestätigen. Dies kann auf zwei Arten geschehen: entweder durch den Einsatz einer Datenüberschreibungssoftware, die eine 100%ige Überprüfung der gelöschten Daten vornimmt, oder durch ein System, das sicherstellt, dass kein nicht desinfiziertes Gerät in die nächste Verarbeitungsstufe gelangt.
- NAID AAA-Zertifizierung: Die von i-SIGMA entwickelte NAID AAA-Zertifizierung ist ein internationaler Industriestandard für die Datenvernichtung, der von Anbietern von Datenvernichtungsdiensten verlangt, dass sie über einen schriftlichen Prozess für das Überschreiben von Festplatten und SSDs verfügen. In diesem Prozess muss die zur Überprüfung der Löschung verwendete Software angegeben sein. Außerdem muss sich die verwendete Verifizierungssoftware von der Datenlöschsoftware unterscheiden.
Die Bedeutung der Überprüfung der Datenlöschung kann gar nicht hoch genug eingeschätzt werden; sie ist unerlässlich, um den Erfolg des Datenlöschungsprozesses zu bestätigen. Die Überprüfung der Datenlöschung kann auf zwei Arten durchgeführt werden:
- Die Datenlöschsoftware überprüft alle Sektoren des Laufwerks, um sicherzustellen, dass jeder Sektor erfolgreich überschrieben wurde.
- Eine Datenrettung wird mit einem Löschprüfprogramm durchgeführt, um sicherzustellen, dass keine Daten von dem gelöschten Laufwerk wiederhergestellt werden können.
Fazit:
Die umfassende und überprüfbare Löschung sensibler Informationen ist ein wichtiger Aspekt des Datenschutzes. Sie ist auch eine Compliance-Anforderung im Rahmen verschiedener Datenvernichtungsstandards und Zertifizierungen wie NIST 800-88, IEEE 2883-2022, NAID AAA, e-Stewards, R2V3 usw. Durch die Implementierung strenger Prozesse zur Überprüfung der Datenlöschung können Unternehmen ihre Daten schützen, die gesetzlichen Anforderungen erfüllen und Vertrauen bei Kunden und Interessengruppen aufbauen.
The post Wichtigkeit der Überprüfung der Datenlöschung appeared first on BitRaser.