Was versteht man unter Datenträgerbereinigung gemäß NIST?
Gemäß NIST 800-88 Rev. 1 ist die Datenträgerbereinigung ein Prozess, der den Zugriff auf die Zieldaten auf dem Datenträger bei einem gegebenen Aufwand unmöglich macht. Sie schützt die Vertraulichkeit sensibler Informationen, indem sie deren unbefugte Offenlegung verhindert. Werden unsachgemäß bereinigte Datenträger aus der Kontrolle der Organisation zur Wiederverwendung, Neuzuweisung, Spende, Entsorgung oder Wartung freigegeben, können darauf verbleibende Restdaten zugänglich bleiben, was zu Datenschutzverletzungen, Verstößen gegen gesetzliche Vorschriften, finanziellen Verlusten und Rufschädigung führen kann.
In der Zusammenfassung von NIST 800-88 heißt es: Akteure, die versuchen, an sensible Informationen zu gelangen, könnten ihre Bemühungen auf alternative Zugriffswege konzentrieren, wie beispielsweise das Abrufen von Restdaten auf Datenträgern, die eine Organisation verlassen haben, ohne dass eine ausreichende Bereinigung vorgenommen wurde.“
NIST SP 800-88 bietet Organisationen Leitlinien für die Einrichtung sicherer Verfahren zur Datensäuberung von Speichermedien im gesamten Unternehmen. Die Befolgung dieser Leitlinien unterstützt zudem umfassendere Bemühungen zur Einhaltung von Datenschutz- und Sicherheitsvorschriften, indem sie Organisationen dabei hilft, die Anforderungen an die Datenentsorgung gemäß Vorschriften wie der DSGVO, dem CCPA, dem HIPAA und dem GLBA zu erfüllen.
Wie wählt man eine geeignete Methode zur Datenträgerbereinigung aus?
Das NIST empfiehlt keine universelle Löschtechnik für jedes Speichermedium. Stattdessen stellt es einen risikobasierten Rahmen zur Verfügung, anhand dessen Organisationen die am besten geeignete Löschmethode bestimmen können – basierend auf der Datensicherheitskategorisierung, der Wiederverwendung der Speichermedien und der Frage, ob die Speichermedien die Kontrolle der Organisation verlassen werden.
Die Leitlinien enthalten in Abschnitt 4: Entscheidungsprozess zur Datenbereinigung und Entsorgung ein Flussdiagramm mit dem Titel Entscheidungsprozess zur Datenbereinigung und Entsorgung (siehe Abbildung 1), um Organisationen bei der Auswahl der geeigneten Bereinigungstechnik für Speichermedien zu unterstützen. Die Wahl der geeigneten Kategorie basiert auf drei Kriterien: dem Vertraulichkeitsgrad der Daten, der Wiederverwendbarkeit des Mediums und der Frage, ob es die Kontrolle der Organisation verlässt.
Je höher die Vertraulichkeit der Daten ist, desto strenger muss die Methode zur Datensäuberung der Speichermedien sein. Die Leitlinien betonen zudem die Notwendigkeit, das Ergebnis der Datensäuberung zu überprüfen und für Audit- und Dokumentationszwecke zu dokumentieren.

Abbildung 1: Entscheidungsablauf für die Bereinigung und Entsorgung
Quelle: NIST 800-88, Revision 1
Welche Methoden der Datenträgerbereinigung gibt es gemäß NIST?
Die Richtlinien unterteilen die Medienbereinigung in drei verschiedene Kategorien, nämlich „Clear“, „Purge“ und „Destroy“, wie in Abschnitt 5: Zusammenfassung der Bereinigungsmethoden erwähnt. Jede Kategorie bietet ein unterschiedliches Schutzniveau gegen die Datenrettung und sollte auf der Grundlage der Vertraulichkeit der Informationen, der Art des Speichermediums, des Risikos für die Vertraulichkeit der Informationen, der Frage, ob das Medium unter der Kontrolle der Organisation verbleibt oder diese verlässt, sowie seiner endgültigen Entsorgung ausgewählt werden.
NIST „Clear“
Dies ist die empfohlene Mindeststufe der Datenträgerbereinigung, die Daten vor einfachen, nicht-invasiven Techniken der Datenrettung schützt. Dabei werden die Daten bereinigt, indem der gesamte vom Benutzer adressierbare Speicherplatz auf dem Datenträger mit nicht sensiblen Daten überschrieben wird. „Clear“ wird im Allgemeinen empfohlen, wenn der Datenträger weiterhin unter der Kontrolle der Organisation verbleibt.
Erfahren Sie mehr über NIST Clear.
NIST Purge
„Purge“ bietet ein höheres Maß an Datenträgerbereinigung, indem es die Datenrettung selbst unter Einsatz fortschrittlicher Labortechniken unmöglich macht. Je nach Speichermedium kann „Purge“ mithilfe logischer Methoden wie Überschreiben, Blocklöschung oder kryptografischer Löschung oder mithilfe physikalischer Techniken wie Entmagnetisierung durchgeführt werden. „Purge“-Methoden werden empfohlen, wenn Speichermedien durch Weiterverkauf, Rücksendung, Recycling oder Entsorgung die Kontrolle der Organisation verlassen, wobei die Wiederverwendung der Medien, sofern möglich, weiterhin zulässig ist.
Erfahren Sie mehr über die NIST-Löschung.
Vernichten
Diese Methoden machen eine Datenrettung selbst mit modernsten Labortechniken unmöglich. Da diese Verfahren das Speichermedium physisch zerstören, ist eine Wiederverwendung des Mediums nicht mehr möglich. Methoden wie Schreddern, Pulverisieren, Verbrennen, Einschmelzen oder Zerkleinern werden alle als „Destroy“-Löschverfahren eingestuft. Diese werden empfohlen, wenn das Speichermedium nicht mit den Verfahren „Clear“ oder „Purge“ gelöscht werden kann, wenn es das Ende seiner Lebensdauer erreicht hat oder wenn interne Richtlinien oder gesetzliche Vorschriften die Vernichtung des Mediums vorschreiben.
Für welche Arten von Speichermedien gilt NIST 800-88?
NIST SP 800-88 enthält in Anhang A: „Mindestempfehlungen zur Datenlöschung“ Leitlinien zur Datenlöschung auf verschiedenen Arten von Speichermedien. Die Richtlinie gilt für ein breites Spektrum an Speichermedien, sowohl physische wie Papier und Mikroformen als auch digitale, darunter:
- Netzwerkgeräte wie Router und Switches
- Mobile Geräte wie iPhones, iPads, Tablets, PDAs, Geräte mit Android-Betriebssystem usw.
- Bürogeräte wie Drucker und Faxgeräte
- Magnetische Speichermedien wie Disketten, Magnetplatten, Magnetbänder usw.
- Festplattenlaufwerke (HDDs), SATA, PATA, SCSI, SAS, Fibre Channel usw.
- Peripherie-Speichergeräte (PAS) wie USB, Firewire usw.
- Optische Medien wie CDs und DVDs
- Solid-State-Laufwerke (SSDs), SATA, PATA, SSSDs, SAS, UAS, NVMe usw.
- Wechselmedien mit USB-Anschluss wie USB-Sticks, Flash-Laufwerke usw.
- Speicherkarten wie SD, SDHC, MMC usw.
- Eingebettete Flash-Speicher, wie Netzwerkadapter und Peripheriekarten.
- RAM- und ROM-basierte Speichergeräte
Für Geräte, die nicht in diesem Dokument behandelt werden, fordert das NIST Organisationen nachdrücklich auf, jene Verfahren zu ermitteln und anzuwenden, die die Anforderungen der Löschkategorien „Clear“, „Purge“ und „Destroy“ erfüllen.
Welche Bereinigungstechniken werden je nach Medientyp empfohlen?
Verschiedene Speichermedien weisen unterschiedliche physikalische und logische Eigenschaften auf; Organisationen sollten eine Bereinigungsmethode wählen, die für den jeweiligen Speichertyp und den Grad der Datenvertraulichkeit geeignet ist.
| Speichermedien |
Empfohlene Bereinigungstechniken |
| Aufbewahrung in Papierform |
Vernichtung: Schreddern oder Verbrennen |
| Netzwerkgeräte |
Löschen: Zurücksetzen auf Werkseinstellungen
Vernichtung: Zerkleinern, Zerlegen, Pulverisieren oder Verbrennen |
| Mobile Geräte |
Löschen: Vollständige Bereinigung mittels kryptografischer Löschung (iPhone), Zurücksetzen auf Werkseinstellungen (Android-Betriebssystem)
Beseitigung: Vollständige Datenlöschung mittels kryptografischer Löschung (iPhone), eMMC Secure Erase oder Secure Trim-Befehl, kryptografische Löschung (Android-Betriebssystem)
Vernichten |
| Geräte |
Löschen: Zurücksetzen auf Werkseinstellungen
Vernichten |
| Magnetische Medien |
Löschen: Überschreiben mit einem oder mehreren Durchgängen, erneutes Beschreiben (Spule & Kassette)
Löschen: Entmagnetisieren
Vernichten: Verbrennen |
| Festplatten |
Löschen: Überschreiben mit einem oder mehreren Durchläufen
Löschen: EXT-Befehl zum Überschreiben, kryptografisches Löschen, SECURE ERASE UNIT-Befehl, SCSI SANITIZE-Befehl, Entmagnetisierung
Vernichten |
| PAS |
Löschen: Überschreiben mit einem oder mehreren Durchläufen
Löschen: Überschreiben, Blocklöschung, kryptografische Löschung (Informationen zur Unterstützung der Löschfunktion erhalten Sie beim Hersteller von „ “)
Vernichten |
| Optische Medien |
Vernichten: Zerkleinerung optischer Datenträger, Verbrennung oder optische Datenträger-Schredder |
| SSDs |
Löschen: Überschreiben mit einem oder mehreren Durchläufen, Befehl „SECURITY ERASE UNIT“
Löschen: Blocklöschung, kryptografische Löschung, sichere Löschung, Befehl „SCSI SANITIZE“, Befehl „User Data Erase“ (NVMe)
Vernichtung |
| USB-Sticks |
Löschen: Überschreiben, Blocklöschung, kryptografische Löschung
Löschung: Wenden Sie sich bezüglich der Unterstützung für die Löschung an den Hersteller
Vernichten |
| Speicherkarten |
Löschen: Überschreiben mit mindestens zwei Durchgängen
Vernichten |
| Eingebetteter Flash-Speicher |
Löschen: Auf Werkseinstellungen zurücksetzen (sofern unterstützt)
Löschen: Den Flash-Speicher unabhängig von der Platine zerstören.
Vernichten |
| RAM- und ROM-basierte Speichergeräte |
Löschen/Vernichten: Stromversorgung unterbrechen, Chip vernichten oder überschreiben
Vernichten |
Vernichten: Zerkleinern, zerlegen, pulverisieren oder verbrennen
Unternehmen sollten stets überprüfen, ob die gewählte Bereinigungstechnik erfolgreich angewendet wurde, und dies dokumentieren, bevor die Speichermedien wiederverwendet, weitergegeben oder entsorgt werden.
Was ist die Überprüfung der Datenlöschung?
Abschnitt 4.7.3: Verifizierung der Löschergebnisse ist eine der grundlegenden Empfehlungen der NIST SP 800-88. Organisationen sollten durch vollständiges Auslesen aller zugänglichen Bereiche oder durch repräsentative Stichproben überprüfen, ob die gewählte Löschmethode erfolgreich angewendet wurde. Das NIST empfiehlt zudem, eine zufällig ausgewählte Teilmenge der Datenträger mithilfe eines unabhängigen Verifizierungstools zu überprüfen, das von einem anderen Anbieter als dem Hersteller des Löschtools entwickelt wurde.
Nach Abschluss des Bereinigungsprozesses sollte ein Zertifikat über die Entsorgung von Datenträgern oder ein Zertifikat über die Vernichtung ausgestellt und zur späteren Bezugnahme aufbewahrt werden.
Was ist eine Bescheinigung über die Datenlöschung?
Die NIST-800-88-Richtlinien schreiben die Führung einer Bescheinigung über die Entsorgung von Datenträgern vor, die den gesamten Löschvorgang dokumentiert. Diese wird manchmal auch als Bescheinigung über die Löschung oder Bescheinigung über die Vernichtung bezeichnet. Diese Bescheinigung kann in Papierform vorliegen oder in elektronischer Form, beispielsweise als PDF, aufbewahrt werden. Eine Bescheinigung sollte in der Regel folgende Informationen enthalten:
- Hersteller des Speichermediums,
- Modell
- Seriennummer
- Typ des Speichermediums
- Herkunft des Datenträgers
- Löschkategorie (Löschen, Bereinigen oder Vernichten)
- Löschmethode (Überschreiben, Blocklöschung, kryptografische Löschung, sichere Löschung)
- Verwendete Software oder Werkzeuge
- Überprüfungsmethode
- Zielmedium
- Datum und Uhrzeit der Datenlöschung
- Sowohl Bereinigung als auch Überprüfung:
- Name
- Position
- Datum
- Ort
- Kontaktdaten
- Unterschrift
Diese Aufzeichnungen bieten einen nachvollziehbaren Nachweis des Löschvorgangs und helfen Unternehmen, bei internen und externen Audits die Einhaltung der Vorschriften nachzuweisen. Lesen Sie unseren Artikel Die Bedeutung des Zertifikats zur Datenvernichtung.
Fazit
NIST SP 800-88 Rev. 1 ist nach wie vor eine der am häufigsten verwendeten Richtlinien zur Datenträgerbereinigung für die sichere Löschung von Daten auf elektronischen Speichermedien. Unternehmen können sensible Informationen während des gesamten Lebenszyklus ihrer IT-Assets schützen, indem sie Informationen klassifizieren, die geeignete Kategorie für die Datenträgerbereinigung auswählen, medienspezifische Bereinigungstechniken anwenden, jeden Bereinigungsprozess überprüfen und eine ordnungsgemäße Dokumentation führen