Management , Fachartikel

Datensicherheit - Sind Daten nach dem Löschen unwiederbringlich weg?

Datensicherheit - Sind Daten nach dem Löschen unwiederbringlich weg?

Milan Naybzadeh

Spätestens am Ende eines IT-Dienstleistungsvertrags stellt sich für viele Kunden die Frage: Was passiert eigentlich mit meinen beim Hoster gespeicherten Daten? Werden sie wirklich gelöscht? Wann passiert das und wie? Diese Fragen sind im IT-Umfeld generell relevant – für Kunden genauso wie für Hosting- und Cloud-Dienstleister.

IT-Compliance und Datenschutz sind sich einig: Personenbezogene und andere vertrauliche Informationen gilt es zu löschen, sobald sie nicht mehr gebraucht werden. Doch was bedeutet „löschen“ in der IT?  Der Laie versteht darunter in der Regel, dass das Gelöschte anschließend physisch nicht mehr existiert. Das ist in der IT jedoch zu kurz gedacht: Daten bestehen aus Bits und Bytes und ergeben Informationen. Diese verschwinden nicht zwangsläufig durch das „Löschen“ einzelner Bits- und Bytes-Daten(blöcke). Das größte Risiko besteht darin, dass Dritte die Information oder die Daten nach dem Löschen wieder rekonstruieren und sie unberechtigt für ihre Zwecke verwenden. Aus diesem Grund geht es in erster Linie darum, sicherzustellen, dass die Daten tatsächlich unbrauchbar sind. 

 

Gesetzlich geregelt ist momentan vor allem das Löschen personenbezogener Daten. So definieren das Bundesdatenschutzgesetz (BDSG) und das Sozialgesetzbuch (SGB XI) „das Löschen von Daten“ als den Vorgang, diese unkenntlich zu machen. Dazu zählt jede Handlung, „die irreversibel bewirkt, dass eine Information nicht länger aus gespeicherten Daten gewonnen werden kann“. Die dafür zulässigen Maßnahmen sind übergeordnet in einem Kommentar  zusammengefasst. (Die neue Europäische Datenschutzgrundverordnung enthält lediglich die Pflicht zur Löschung aber keine Definition dazu.)

 

Für das Vernichten anderer vertraulicher Informationen existiert aktuell keine explizite gesetzliche Regelung. Ein guter Ansatz ist das nachfolgend geschilderte Vorgehen.

 

Werden IT-Systeme bei Adacor abgebaut (zum Beispiel bei Vertragsende oder aufgrund von Projektänderungen), werden die Daten in vier Schritten gelöscht: 

 

1. Sobald ein Kundenserver abgebaut werden muss, schaltet das Customer Operation Team den Server auf „Aus“. Er ist dann nicht mehr erreichbar. Allerdings bleibt er noch zwei Wochen bestehen. In diesem Zeitraum kann noch ein Datentransfer an den Kunden stattfinden. 

 

2. Anschließend übernimmt das Network Operation Team und veranlasst das Überschreiben der Serverdaten. Handelt es sich um Cloud-Dienstleistungen, führt der proprietäre Hypervisor mit einer Verwaltungssoftware die entsprechenden Aktivitäten aus.  

<< Erste < Vorherige 1 2 3 4 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Autor: Milan Naybzadeh*

Innentäter bedrohen Unternehmenssicherheit

Kommentar von Sergej Schlotthauer, CEO von EgoSecure: Wie eine aktuelle Studie des SANS Instituts deutlich macht, ist das Bewusstsein für Insider-Angriffe bei einigen Entscheidern bereits vorhanden, 40 Prozent der Befragten stufen eine Insider-Attacke als gefährlich ein, dennoch sind zu wenige...

Genetec bietet neuen Cloud-Service für Zutrittskontrolle

Genetec bietet seine Zutrittskontrolllösung Security Center Synergis künftig auch als SaaS-Version an. Die cloudbasierte Lösung wird schlüsselfertig bereitgestellt und kann so noch einfacher genutzt und gewartet werden. Damit entfallen hohe Investitionen für den Kauf und die Vor-Ort-Installation...

Neuer IBM IT-Sicherheitsreport zum Energy & Utilities Sector

Die wichtigsten Ergebnisse des Reports zusammengefasst:  Während es im Jahr 2016 Branchen gab, die häufiger angegriffen wurden als der Energie- Sektor, befindet er sich 2017 wieder auf dem Vormarsch. Derzeit gehört er zu den „Top Five“ der beliebtesten Hacker-Ziele.IBM X-Force ermittelte im...

Gemalto kündigt Datenschutzlösungen für VMware Cloud on AWS an

Die SafeNet-Lösungen von Gemalto ermöglichen Benutzern von VMware Cloud on AWS eine Client-seitige Verschlüsselung, ein zentralisiertes Key Management und Tokenization zur Vereinfachung von Sicherheitsabläufen wie Datentransparenz, Compliance-Audits und der Ausführung und Durchsetzung von...

Cloud Computing – welche Rolle spielt ERP-Security

Ob Telefonanlagen oder Gehaltsabrechnung – die Gründe für Anwendungen aus Cloud liegen auf der Hand: weniger Admin-Aufwand, höhere Flexibilität und geringere Kosten. Warum diese Vorteile nicht auch für die Planung von Ressourcen nutzen? Viele Unternehmen stellen sich vermehrt dieser Frage und sind...

InsightIDR von Rapid7 - Eine eierlegende Wollmilch & Honey(pot)-Sau?

Jetzt treffen wir uns doch zu einem zweiten Gespräch. Wie kommt´s? ++ Ich habe gelesen, dass InsightIDR Eindringlinge in die Irre führen kann und musste schmunzeln. Ein Marketing-Gag? ++ "Verabschieden Sie sich von schlaflosen Nächten und dem flauen Gefühl, dass die Bösen auch weiterhin in...

ZombieWPress - Analyse eines Wordpress-Botnetzes

Angriffe via Wordpress, im speziellen via XMLRPC sind nicht neu, sondern seit 2014 bekannt. Es mag das eine oder andere Unternehmen geben, für die Angriffe auf der Applikationsebene in 2017 noch Neuland sind, aber spätestens seit Slowloris ist den Sicherheitsexperten, die sich mit dem Thema DoS und...