Datensicherheit – Sind Daten nach dem Löschen unwiederbringlich weg?

Autor/Redakteur: Milan Naybzadeh, IT-Sicherheits- und Compliance-Beauftragter bei Adacor Hosting/gg

Spätestens am Ende eines IT-Dienstleistungsvertrags stellt sich für viele Kunden die Frage: Was passiert eigentlich mit meinen beim Hoster gespeicherten Daten? Werden sie wirklich gelöscht? Wann passiert das und wie? Diese Fragen sind im IT-Umfeld generell relevant – für Kunden genauso wie für Hosting- und Cloud-Dienstleister.

IT-Compliance und Datenschutz sind sich einig: Personenbezogene und andere vertrauliche Informationen gilt es zu löschen, sobald sie nicht mehr gebraucht werden. Doch was bedeutet „löschen“ in der IT?  Der Laie versteht darunter in der Regel, dass das Gelöschte anschließend physisch nicht mehr existiert. Das ist in der IT jedoch zu kurz gedacht: Daten bestehen aus Bits und Bytes und ergeben Informationen. Diese verschwinden nicht zwangsläufig durch das „Löschen“ einzelner Bits- und Bytes-Daten(blöcke). Das größte Risiko besteht darin, dass Dritte die Information oder die Daten nach dem Löschen wieder rekonstruieren und sie unberechtigt für ihre Zwecke verwenden. Aus diesem Grund geht es in erster Linie darum, sicherzustellen, dass die Daten tatsächlich unbrauchbar sind.

Gesetzlich geregelt ist momentan vor allem das Löschen personenbezogener Daten. So definieren das Bundesdatenschutzgesetz (BDSG) und das Sozialgesetzbuch (SGB XI) „das Löschen von Daten“ als den Vorgang, diese unkenntlich zu machen. Dazu zählt jede Handlung, „die irreversibel bewirkt, dass eine Information nicht länger aus gespeicherten Daten gewonnen werden kann“. Die dafür zulässigen Maßnahmen sind übergeordnet in einem Kommentar https://www.datenschutz-wiki.de/3_BDSG_Kommentar_Absatz_4_Teil_6 zusammengefasst. (Die neue Europäische Datenschutzgrundverordnung enthält lediglich die Pflicht zur Löschung aber keine Definition dazu.)

Für das Vernichten anderer vertraulicher Informationen existiert aktuell keine explizite gesetzliche Regelung. Ein guter Ansatz ist das nachfolgend geschilderte Vorgehen:

Werden IT-Systeme bei Adacor abgebaut (zum Beispiel bei Vertragsende oder aufgrund von Projektänderungen), werden die Daten in vier Schritten gelöscht:

  • Sobald ein Kundenserver abgebaut werden muss, schaltet das Customer Operation Team den Server auf „Aus“. Er ist dann nicht mehr erreichbar. Allerdings bleibt er noch zwei Wochen bestehen. In diesem Zeitraum kann noch ein Datentransfer an den Kunden stattfinden.
  • Anschließend übernimmt das Network Operation Team und veranlasst das Überschreiben der Serverdaten. Handelt es sich um Cloud-Dienstleistungen, führt der proprietäre Hypervisor mit einer Verwaltungssoftware die entsprechenden Aktivitäten aus.
  • Muss ein kompletter physischer Server überschrieben werden, wird dieser aus dem Rechenzentrum entfernt. Unter höchsten Sicherheitsvorkehrungen erfolgt der Transport ins Network Operation Center (NOC). Dort wird er mehrmals überschrieben: Die Daten sind logisch und physisch unbrauchbar.
  • Zur Zerstörung von Hardware wird ein DIN-zertifizierter Dienstleister genutzt.

Art der Datenspeicherung ist entscheidend

Wichtig für das Vernichten der Daten ist außerdem, wie die Datensätze physisch gespeichert sind: magnetisches Festplattenlaufwerk (Hard Disk Drive, HDD) versus digitaler Flash-Speicher. In modernen Serverumgebungen werden beide Speicherarten kombiniert. Allerdings steigt die Zahl der verwendeten Flash-Speicher, während die Nutzung von HDDs zurückgeht.

Zusätzliche Herausforderungen bestehen, wenn die Daten im Zusammenhang mit Cloud-Dienstleistungen stehen. Zum einen sind die Informationen meist physisch verteilt und an mehreren Orten abgelegt. Die Zuordnung erfolgt über ein Register (proprietärer Hypervisor). Zum anderen teilen sich Unternehmen den physischen Speicherplatz gegebenenfalls mit anderen Kunden des Cloud-Anbieters.

Löschen! Aber wie?

Insgesamt gibt es vier Methoden, Daten im Sinne der gesetzlichen Regelungen unkenntlich zu machen. Jede einzelne hat Vor- und Nachteile und ist mit einem mehr oder weniger großen Restrisiko verbunden. Welche am besten passt, muss deshalb im Einzelfall entschieden werden.

Physikalisches Zerstören des Datenträgers

Sofern alle Daten auf einem Speichermedium unkenntlich gemacht werden sollen, kann dessen physikalische Zerstörung in Betracht gezogen werden. Der Datenträger wird in seine Einzelteile zerlegt und – im Falle der HDD – entmagnetisiert. Das Restrisiko für eine mögliche Datenwiederherstellung ist sehr gering, da das Medium anschließend nicht mehr verwendet werden kann. Die Anwendung dieser Methode muss allerdings bei einer heterogenen Umgebung, in der mehrere Geräte miteinander verbunden sind, genau überlegt werden. Der größte Nachteil bei diesem Vorgehen ist, dass der Datenträger nicht wiederverwendet werden kann. Es ist unwirtschaftlich, einen teuren Hochleistungsserver zu vernichten, um ein einzelnes Datum zu löschen.