Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wissen, wie sensible Daten auf Datenträgern vernichtet werden
Jedes Unternehmen, das sensible Daten verarbeitet, muss eine sichere Vernichtung dieser Daten sicherstellen. Was dies konkret im Einzelfall bedeutet und wie sicher definiert wird, wird in diesem Beitrag erklärt.
Einführung
Regelmäßig kommt es in Unternehmen und Behörden vor, dass nicht mehr gebrauchte oder falsche Daten ohne viel Aufwand über den normalen Papiermüll entsorgt werden. So haben z. B. Richter, Staatsanwälte und Schreibkräfte im Justizgebäude Wien-Josefstadt offenbar systematisch sensible Akten zu teils noch laufenden Verfahren ungeschreddert im Altpapier entsorgt.
Entsorgung ist jedoch nicht nur ein Technik‑, sondern auch ein Prozessthema. Vorfälle wie diese haben das DIN (Deutsches Institut für Normung e.V.) dazu veranlasst, eine eigene Norm für die Entsorgung von Datenträgern zu verabschieden. Die DIN 66399, die Ende 2013 veröffentlicht wurde.
Schutzklassen
Ausgangspunkt der Datenträgervernichtung ist das Wirtschaftlichkeits- und Angemessenheitsprinzip, d.h. die Daten werden in unterschiedliche Schutzklassen eingeteilt. Die DIN 66399–1 selber schlägt hier eine Dreiteilung vor:
-
Schutzklasse 1 (Normaler Schutzbedarf)
Hierunter werden Daten verstanden, die für größere Gruppen bestimmt sind oder deren unberechtigte Offenlegung begrenzte negative Auswirkungen haben. -
Schutzklasse 2 (Hoher Schutzbedarf)
Hierunter werden Daten verstanden, die für kleinere Gruppen bestimmt sind oder deren unberechtigte Offenlegung erhebliche negative Auswirkungen haben und gegen Verträge oder Gesetze verstoßen. -
Schutzklasse 3 (Sehr hoher Schutzbedarf)
Gilt im Wesentlichen für besonders vertrauliche und geheime Daten. Also solche, die einem sehr kleinen Personenkreis zugänglich sind oder die unberechtigte Weitergabe hätte ernsthafte (existenzbedrohende) Auswirkungen und/oder würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen.
Sicherheitsstufen
Für alle Arten der Datenträger schlägt die DIN 66399–1 eine 7‑stufige Skala vor:
Zuordnung Schutzklasse zu Sicherheitsstufen
Jeder Schutzklasse könnte man nun theoretisch jede Sicherheitsstufe zuordnen. Um dem Wirtschaftlichkeits- und Sicherheitsprinzipien Rechnung zu tragen, sind nur die in Tabelle 2 dargestellten Kombinationen nach DIN 66399–1 möglich.
Anmerkung *): für personenbezogene Daten ist diese Kombination nicht anwendbar.
Datenträgerarten
Die recht allgemein gehaltenen Sicherheitsstufen in der DIN 66399–1 werden in der DIN 66399–2 konkretisiert. Hier werden die Anforderungen an Maschinen zur Vernichtung von Datenträgern definiert. Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE), das der jeweiligen Sicherheitsstufe vorangestellt wird:
- P — Informationsdarstellung in Originalgröße: Papier, Film, Druckformen
- F — Informationsdarstellung verkleinert: Film, Mikrofilm, Folie
- O — Informationsdarstellung auf optischen Datenträgern: CD, DVD
- T — Informationsdarstellung auf magnetischen Datenträgern: Disketten, ID-Karten, Magnetbandkassetten
- H — Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten
- E — Informationsdarstellung auf elektronischen Datenträgern: Speicherstick, Chipkarte
Eine anschauliche Darstellung von unterschiedlichen Sicherheitsstufen für Papierdokumente finden Sie hier.
Prozess der Datenträgervernichtung
Entsorgung ist jedoch nicht nur ein Technik‑, sondern auch ein Prozessthema. Die DIN SPEC 66399–3 ist zwar keine offizielle Norm, sondern eine Spezifikation. Hier werden die technischen und organisatorischen Anforderungen an den Prozess der Datenträgervernichtung beschrieben. Dabei werden drei Prozessvarianten unterschieden; wie Abbildung 1 zeigt. Für Unternehmen von ganz besonderen Interesse sind immer die konkreten Anforderungen an den einzelnen Prozessschritt in den Prozessvarianten, die die DIN SPEC 66399–3 aufstellt.
Abbildung 1: Prozessvarianten/-abschnitte (in Anlehnung an DIN 66399)
Bild: © M. Schuppich / Fotolia.com

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.

Neueste Kommentare