Im Security Newsletter 01.2022 setzten wir den Fokus auf den gesetzlichen Löschauftrag der Papierdokumente und das Löschen nicht mehr notwendiger Informationen auf der digitalen Ordnerstruktur des Fileservers oder entsprechenden Clouddiensten.
Im zweiten Teil richten wir das Augenmerk auf den Datenträger an sich - also den Ablauf, wenn die Speichermedien selbst ihren Zenit erreicht haben. Oft fehlt es hier an standardisierten Prozessen und Risiken für eine ungewollte Veröffentlichung vertraulicher Informationen gegenüber Dritten bleiben. Je sensibler die gespeicherten Informationen, desto sicherer muss der Ablauf des Vernichtungsvorgangs gestaltet sein. Dass dieser Anspruch gerechtfertigt ist, zeigt ein Datenschutzvorfall, der sich im Ausländeramt Lübeck 01.2022 ereignete.
33000 hochsensible E-Mails auf ebay
Zusammengefasst: Im genannten Amt wurden ausgemusterten PCs die Festplatten ausgebaut, die Rechner mit einem gelben Punkt markiert und über einen Zwischenhändler auf ebay angeboten. Ein Käufer der Plattform staunte nicht schlecht, als er in einem der ersteigerten Rechner eine Festplatte mit startfähigem Betriebssystem fand. Er übergab den PC der c't Redaktion. Nach einer Datenanalyse des mehr als 5 Jahre alten Computers wurden 31 Benutzerkonten entdeckt, die zum Teil hochsensible Daten enthielten, unter anderem die genannten E-Mails. Das Magazin veröffentlichte den Vorfall Ende Januar in einem Bericht.
Trotz Prozess ereignete sich ein Datenschutzvorfall
Dieser ungewollte Zugriff durch Dritte hat sich trotz eines existierenden Prozesses ereignet. Der gelbe Punkt lässt darauf schließen. Das Beispiel zeigt also, dass ein standardisierter Ablauf alleine nicht ausreichend sein kann. In Relation zur Sensibilität der Daten (Schutzbedarf) können eine weitere menschliche Prüfschicht oder zusätzliche technische Maßnahmen notwendig werden.
Die gesetzlichen Anforderungen
Die „Vernichtung“ wird explizit neben dem „Löschen“ als ein Bestandteil der Verarbeitung in Art. 4 Abs.2 DSGVO genannt. Die Verantwortung des Dateneigentümers zu einer konformen Vernichtung ergibt sich aus Art.24 Abs.1. Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Art.25 (Datenschutz durch Technikgestaltung) und Art.32 (Sicherheit der Verarbeitung) wirken zusätzlich in die Anforderung ein. Zusammengefasst: Organisationen haben den gesetzlichen Auftrag, Datenträger entsprechend der Sensibilität der Daten konform zu vernichten.
Prozess etablieren
In jedem Fall ist es notwendig, einen verhältnismäßigen Ablauf zu designen. Dieser muss sicherstellen, dass bei Erreichen der Anforderung „Datenträger nicht mehr notwendig“ der Vernichtungsprozess startet. Abhängig von der Größe Ihrer Organisation ist dies ein interner Prozess, oder wird durch Mitwirkung eines externen IT-Dienstleisters umgesetzt. In beiden Fällen müssen klare Verantwortlichkeiten für den Auslöser gegeben sein. Wird demnach erkannt, dass ein Datenträger defekt oder veraltet ist, muss der Vernichtungsprozess starten. Und sehr wichtig dabei ist: Unabhängig davon, ob die Struktur intern oder extern festgelegt ist, bleibt die oberste Leitung des Dateneigentümers für die konforme Vernichtung verantwortlich.
Zwischenschritt Garantieanspruch
Gerade bei defekten Datenträgern möchte man sein Recht auf Austausch wahrnehmen. Aber was tun, wenn sich auf dem defekten Datenträger sensible Informationen befinden bzw. befinden könnten? Wir sehen hier drei Möglichkeiten:
1. Vernichten
Sie verzichten auf den Garantieanspruch und vernichten den Datenträger trotz Austauschrecht. Im Verhältnis zu einem Datenschutzvorfall wie in Lübeck ist dies ein verschmerzbarer Verlust.
2. Verschlüsseln
In Ihrer Organisation werden alle Datenträger verschlüsselt. Beim Startvorgang wird über ein Passwort der Datenträger freigeschaltet. Im Schadensfall kann der Datenträger unproblematisch an den Hersteller zugestellt werden, da ohne das Startpasswort ein Zugriff unmöglich ist.
3. "keep your harddrive"
In diesem Modell zahlen Sie bei der Anschaffung einen Aufpreis, erhalten im Schadensfall einen neuen Datenträger und dürfen den defekten Datenträger behalten.
Die Frage der Notwendigkeit
Eine Risikominimierung ergibt sich schon damit, dass die Anforderung eines Mitarbeiters zur Bestellung eines zusätzlichen Datenträgers hinterfragt wird. Welcher Zweck rechtfertigt die Anschaffung eines USB-Sticks oder einer mobilen Festplatte? Bei genauer Betrachtung wird man oft feststellen, dass der Ablauf ohne Verwendung eines zusätzlichen Datenträgers geeigneter gestaltet werden kann. Neben dem Risiko einer fehlerhaften Vernichtung bleiben Risiken in Bezug auf Verlust und der Einschleppung von Schadsoftware.
Zeitgemäßes Equipment
Im Kontext der digitalen Weiterentwicklung mit verstärkter mobiler Arbeit ist die Anschaffung von Laptops zielführend. Bei mobiler Ausrichtung sind Datenträger immer zu verschlüsseln. Damit minimiert sich das Risiko bei Verlust, im Garantieaustausch und bei der Datenträgervernichtung. Einen dem Stand der Technik entsprechend verschlüsselten Datenträger könnten Sie auch in den Elektroschrott werfen.
Klare Kennzeichnung
Gehören in Ihrem Haus mobile oder ausgebaute Datenträger zum Tätigkeitsfeld, sollten Sie diese klar kennzeichnen. Es muss immer möglich sein, ein herrenloses Speichermedium zuordnen zu können, unabhängig davon, wo oder von wem es aufgefunden wird. Im Besonderen gilt dies, wenn Sie als Dienstleister mit Speichermedien von Kunden arbeiten. Ein Vorfall mit Kundendaten würde Ihr Image womöglich nachhaltig schädigen.
Für die Vernichtung vorgesehen
Kann ein Medium nicht sofort dem Vernichtungsprozess zugeführt werden, sollte es nach Kennzeichnung in einem zutrittsgesicherten Zwischenlager geparkt werden. Sorgen Sie dafür, dass nur unbedingt notwendige und zuverlässige Personen Zutritt haben. Das Risiko von unsicheren Ideen wie einer "Weiterverwendung für Testzwecke“ oder auch das Risiko eines Diebstahls sind zu hoch.
Zuverlässigkeit beim Vernichtungsvorgang selbst
Letztlich geht es darum, die sensiblen Informationen auf einem Speichermedium so zu vernichten, dass eine Wiederherstellung unmöglich ist. Auf welche Weise dies erfolgen kann, ist nicht genau definiert. Anforderungen hierzu ergeben sich aus der Norm 66399. In jedem Fall muss sichergestellt sein, dass die Informationen mit einem vertretbaren Aufwand nicht wiederhergestellt werden können.
Grundsätzlich erreicht man dies durch eine physikalische Zerstörung (z.B. Hardwareshredder) oder durch ein konformes digitales Vernichten (z.B. Löschen und mehrfaches Überschreiben).
Vernichtung als Dienstleistung
Wie schon erwähnt bleibt die Verantwortung für ein konformes Vernichten der Speichermedien bei der verantwortlichen Stelle, also Ihnen selbst. Dies ist unabhängig davon, ob Sie die Vernichtung intern oder extern durchführen lassen. Sie müssen sich davon überzeugen, dass der Prozess entsprechend der geltenden Anforderungen erfolgt. Diesen Nachweis können Sie durch eine dokumentierte Vor-Ort-Prüfung (internes/externes Audit) oder durch die Vorlage eines unabhängigen Zertifikats erreichen.
Dem Dienstleister gegenüber sollten Sie die Zusammenarbeit mit einem Auftragsverarbeitungsvertrag untermauern. Jedem Vernichtungsauftrag sollte ein Vernichtungsprotokoll beigelegt sein. Letztlich ist dies Ihr Nachweis, dass eine bestimmte Anzahl und Art von Datenträgern konform vernichtet wurden.
Herausforderung Kleinstmengen
Bei kleineren Organisationen kann die Anzahl an zu verschrottenden Datenträgern im Jahresverlauf zu gering sein, um selbst einen externen Dienstleister zu beauftragen. Hier kann über den IT-Dienstleister ein Prozess etabliert werden.
Zusammenfassung und Fazit
Für eine datenschutzkonforme Vernichtung sollte ein praxistauglicher Prozess gestaltet und gegenüber betroffenen Mitarbeitern veröffentlicht werden. Der Prozess muss entsprechend des Schutzbedarfs der Daten geeignet sein. Für den Verschrottungsvorgang finden sich geeignete Dienstleister. Die Zuverlässigkeit lässt sich an Hand aktueller, veröffentlichter Zertifikate ableiten. Einige Dienstleister bieten eine mobile Datenträgervernichtung vor Ort im LKW an. Damit wird der Vernichtungsprozess in Ihrem Beisein umgesetzt.
Für mobile Datenträger ist eine Verschlüsselung verpflichtend und minimiert damit die Anforderungen an eine konforme Datenträgervernichtung.