{"id":12692,"date":"2018-05-08T11:46:37","date_gmt":"2018-05-08T09:46:37","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12692"},"modified":"2018-05-07T09:54:22","modified_gmt":"2018-05-07T07:54:22","slug":"datensicherheit-sind-daten-nach-dem-loeschen-unwiederbringlich-weg","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12692","title":{"rendered":"Datensicherheit \u2013 Sind Daten nach dem L\u00f6schen unwiederbringlich weg?"},"content":{"rendered":"<p><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/05\/Milan-Naybzadeh-ADACOR-Hosting.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-12693\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/05\/Milan-Naybzadeh-ADACOR-Hosting-300x200.jpg\" alt=\"\" width=\"300\" height=\"200\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/05\/Milan-Naybzadeh-ADACOR-Hosting-300x200.jpg 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2018\/05\/Milan-Naybzadeh-ADACOR-Hosting.jpg 750w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.adacor.com\/hosting\/\">Milan Naybzadeh, IT-Sicherheits- und Compliance-Beauftragter bei Adacor Hosting<\/a>\/gg<\/p>\n<p>Sp\u00e4testens am Ende eines IT-Dienstleistungsvertrags stellt sich f\u00fcr viele Kunden die Frage: Was passiert eigentlich mit meinen beim Hoster gespeicherten Daten? Werden sie wirklich gel\u00f6scht? Wann passiert das und wie? Diese Fragen sind im IT-Umfeld generell relevant \u2013 f\u00fcr Kunden genauso wie f\u00fcr Hosting- und Cloud-Dienstleister.<\/p>\n<p><!--more--><\/p>\n<p>IT-Compliance und Datenschutz sind sich einig: Personenbezogene und andere vertrauliche Informationen gilt es zu l\u00f6schen, sobald sie nicht mehr gebraucht werden. Doch was bedeutet \u201el\u00f6schen\u201c in der IT?\u00a0 Der Laie versteht darunter in der Regel, dass das Gel\u00f6schte anschlie\u00dfend physisch nicht mehr existiert. Das ist in der IT jedoch zu kurz gedacht: Daten bestehen aus Bits und Bytes und ergeben Informationen. Diese verschwinden nicht zwangsl\u00e4ufig durch das \u201eL\u00f6schen\u201c einzelner Bits- und Bytes-Daten(bl\u00f6cke). Das gr\u00f6\u00dfte Risiko besteht darin, dass Dritte die Information oder die Daten nach dem L\u00f6schen wieder rekonstruieren und sie unberechtigt f\u00fcr ihre Zwecke verwenden. Aus diesem Grund geht es in erster Linie darum, sicherzustellen, dass die Daten tats\u00e4chlich unbrauchbar sind.<\/p>\n<p>Gesetzlich geregelt ist momentan vor allem das L\u00f6schen personenbezogener Daten. So definieren das Bundesdatenschutzgesetz (BDSG) und das Sozialgesetzbuch (SGB XI) \u201edas L\u00f6schen von Daten\u201c als den Vorgang, diese unkenntlich zu machen. Dazu z\u00e4hlt jede Handlung, \u201edie irreversibel bewirkt, dass eine Information nicht l\u00e4nger aus gespeicherten Daten gewonnen werden kann\u201c. Die daf\u00fcr zul\u00e4ssigen Ma\u00dfnahmen sind \u00fcbergeordnet in einem Kommentar <a href=\"https:\/\/www.datenschutz-wiki.de\/3_BDSG_Kommentar_Absatz_4_Teil_6\">https:\/\/www.datenschutz-wiki.de\/3_BDSG_Kommentar_Absatz_4_Teil_6<\/a> zusammengefasst. (Die neue Europ\u00e4ische Datenschutzgrundverordnung enth\u00e4lt lediglich die Pflicht zur L\u00f6schung aber keine Definition dazu.)<\/p>\n<p>F\u00fcr das Vernichten anderer vertraulicher Informationen existiert aktuell keine explizite gesetzliche Regelung. Ein guter Ansatz ist das nachfolgend geschilderte Vorgehen:<\/p>\n<p>Werden IT-Systeme bei Adacor abgebaut (zum Beispiel bei Vertragsende oder aufgrund von Projekt\u00e4nderungen), werden die Daten in vier Schritten gel\u00f6scht:<\/p>\n<ul>\n<li>Sobald ein Kundenserver abgebaut werden muss, schaltet das Customer Operation Team den Server auf \u201eAus\u201c. Er ist dann nicht mehr erreichbar. Allerdings bleibt er noch zwei Wochen bestehen. In diesem Zeitraum kann noch ein Datentransfer an den Kunden stattfinden.<\/li>\n<li>Anschlie\u00dfend \u00fcbernimmt das Network Operation Team und veranlasst das \u00dcberschreiben der Serverdaten. Handelt es sich um Cloud-Dienstleistungen, f\u00fchrt der propriet\u00e4re Hypervisor mit einer Verwaltungssoftware die entsprechenden Aktivit\u00e4ten aus.<\/li>\n<li>Muss ein kompletter physischer Server \u00fcberschrieben werden, wird dieser aus dem Rechenzentrum entfernt. Unter h\u00f6chsten Sicherheitsvorkehrungen erfolgt der Transport ins Network Operation Center (NOC). Dort wird er mehrmals \u00fcberschrieben: Die Daten sind logisch und physisch unbrauchbar.<\/li>\n<li>Zur Zerst\u00f6rung von Hardware wird ein DIN-zertifizierter Dienstleister genutzt.<\/li>\n<\/ul>\n<p><strong>Art der Datenspeicherung ist entscheidend<\/strong><\/p>\n<p>Wichtig f\u00fcr das Vernichten der Daten ist au\u00dferdem, wie die Datens\u00e4tze physisch gespeichert sind: magnetisches Festplattenlaufwerk (Hard Disk Drive, HDD) versus digitaler Flash-Speicher. In modernen Serverumgebungen werden beide Speicherarten kombiniert. Allerdings steigt die Zahl der verwendeten Flash-Speicher, w\u00e4hrend die Nutzung von HDDs zur\u00fcckgeht.<\/p>\n<p>Zus\u00e4tzliche Herausforderungen bestehen, wenn die Daten im Zusammenhang mit Cloud-Dienstleistungen stehen. Zum einen sind die Informationen meist physisch verteilt und an mehreren Orten abgelegt. Die Zuordnung erfolgt \u00fcber ein Register (propriet\u00e4rer Hypervisor). Zum anderen teilen sich Unternehmen den physischen Speicherplatz gegebenenfalls mit anderen Kunden des Cloud-Anbieters.<\/p>\n<p><strong>L\u00f6schen! Aber wie?<\/strong><\/p>\n<p>Insgesamt gibt es vier Methoden, Daten im Sinne der gesetzlichen Regelungen unkenntlich zu machen. Jede einzelne hat Vor- und Nachteile und ist mit einem mehr oder weniger gro\u00dfen Restrisiko verbunden. Welche am besten passt, muss deshalb im Einzelfall entschieden werden.<\/p>\n<p><strong>Physikalisches Zerst\u00f6ren des Datentr\u00e4gers<\/strong><\/p>\n<p>Sofern alle Daten auf einem Speichermedium unkenntlich gemacht werden sollen, kann dessen physikalische Zerst\u00f6rung in Betracht gezogen werden. Der Datentr\u00e4ger wird in seine Einzelteile zerlegt und \u2013 im Falle der HDD \u2013 entmagnetisiert. Das Restrisiko f\u00fcr eine m\u00f6gliche Datenwiederherstellung ist sehr gering, da das Medium anschlie\u00dfend nicht mehr verwendet werden kann. Die Anwendung dieser Methode muss allerdings bei einer heterogenen Umgebung, in der mehrere Ger\u00e4te miteinander verbunden sind, genau \u00fcberlegt werden. Der gr\u00f6\u00dfte Nachteil bei diesem Vorgehen ist, dass der Datentr\u00e4ger nicht wiederverwendet werden kann. Es ist unwirtschaftlich, einen teuren Hochleistungsserver zu vernichten, um ein einzelnes Datum zu l\u00f6schen.<\/p>\n<p><!--nextpage--><\/p>\n<p><strong>\u00dcberschreiben der Information <\/strong><\/p>\n<p>Standardm\u00e4\u00dfig werden zu l\u00f6schende Daten als solche markiert und dadurch zum \u00dcberschreiben f\u00fcr neue Daten freigegeben. In gr\u00f6\u00dferen und mitwachsenden Cloud-Umgebungen besteht die M\u00f6glichkeit, dass ein konkreter Speicherplatz lange nicht gebraucht wird. Die zum \u00dcberschreiben freigegebenen Daten k\u00f6nnen w\u00e4hrend dieser Zeit noch physisch vorhanden sein. Werden HDD-Speicher verwendet, ist es wichtig, das \u00dcberschreiben proaktiv zu gestalten. Das hei\u00dft, eine Software \u00fcberschreibt die Informationen einmal oder mehrfach mit Zeichenfolgen oder Zufallszahlen (dummy data). Je \u00f6fter dies erfolgt und je komplexer die Zeichenfolgen sind, desto h\u00f6her ist die Sicherheit. Der Datentr\u00e4ger bleibt erhalten und kann anschlie\u00dfend weiterverwendet werden.<\/p>\n<p>Dabei besteht das Restrisiko lediglich in der Gefahr, dass die Daten nicht ordentlich oder vollst\u00e4ndig \u00fcberschrieben wurden. Das passiert vor allem beim Verwenden zu kurzer oder banaler Zeichenfolgen beziehungsweise beim einmaligen \u00dcberschreiben. Rein theoretisch k\u00f6nnten \u00fcberschriebene Daten in den letzten beiden F\u00e4llen per Magnetkraftmikroskopie rekonstruiert werden. Das extrem aufwendige Szenario ist allerdings in der Praxis so unwahrscheinlich, dass es keine Gefahr darstellt.<\/p>\n<p>Flash-Speicher versetzen den zum \u00dcberschreiben freigegebenen Datenspeicher automatisch in den Ursprungszustand. Das kommt einem \u00dcberschreiben gleich und bedeutet ein sehr geringes Restrisiko.<\/p>\n<p><strong>L\u00f6schen von Verkn\u00fcpfungen<\/strong><\/p>\n<p>Das L\u00f6schen der Verbindungsinformation kommt vor allem dann in Betracht, wenn die Daten verteilt gespeichert sind und die Informationen sich ausschlie\u00dflich \u00fcber die Verbindung ergeben. Hintergrund ist, dass es aufwendig sein und zu Lasten der Performance gehen kann, alle Datens\u00e4tze einzeln zu finden und zu \u00fcberschreiben. Einfacher ist in so einem Fall das L\u00f6schen der Verbindungsinformation, um die vertraulichen Informationen in den Daten unkenntlich zu machen. Dadurch sind die einzelnen Informationen zwar immer noch vorhanden, aber wertlos und zum \u00dcberschreiben freigegeben. Um die Daten zur\u00fcckzugewinnen, m\u00fcsste zun\u00e4chst ein physischer Zugriff erfolgen. Je h\u00f6her die physische Sicherheit des Rechenzentrums dabei ist, desto geringer wird das Risiko. Sind die Daten allerdings auf einer einzelnen dedizierten Harddisk-Festplatte gespeichert, ist von dieser Methode abzuraten. Die Informationen k\u00f6nnen dann relativ einfach wieder zusammengef\u00fcgt werden.<\/p>\n<p><strong>Daten nicht mehr interpretierbar machen<\/strong><\/p>\n<p>Liegen Daten verschl\u00fcsselt vor, k\u00f6nnen sie durch Vernichten der Verschl\u00fcsselungsinformation unkenntlich gemacht werden. Die Informationen bleiben zwar physisch vorhanden, k\u00f6nnen aber nicht mehr interpretiert werden. Daf\u00fcr werden entweder die Angaben zur Codierung (interpretatorischer Schl\u00fcssel), zur Speicherorganisation oder zur Entschl\u00fcsselung (kryptografischer Schl\u00fcssel) vernichtet. Je nach Codierung sind sie nur mit einem oft unverh\u00e4ltnism\u00e4\u00dfig hohen Aufwand rekonstruierbar.<\/p>\n<p><strong>Die Mischung macht\u2018s<\/strong><\/p>\n<p>Bei Adacor Hosting wird eine Kombination aus den beschriebenen Ma\u00dfnahmen verwendet: Wird ein virtueller Server nicht mehr gebraucht, \u00fcberschreibt der Hypervisor seine in der Infrastruktur verteilten Datenbl\u00f6cke mindestens einmal komplett mit Nullen und gibt sie zum weiteren \u00dcberschreiben frei. Aufgrund der Hochsicherheit der Rechenzentren (ISO 27001 nach BSI-Grundschutz zertifiziert) ist das Vorgehen mit einem sehr geringen Risiko verbunden.<\/p>\n<p>Die HDD-Festplatten werden dabei bei ihrer Aussonderung einzeln mehrfach mit dummy data \u00fcberschrieben, um sie wieder fit f\u00fcr den weiteren Gebrauch zu machen. F\u00fcr Hardware, die kaputt oder f\u00fcr die die Gew\u00e4hrleistung abgelaufen ist und die physisch zerst\u00f6rt werden muss, arbeiten wir mit einem DIN-zertifizierten Dienstleister zusammen. Beobachtet von einem internen Mitarbeiter erfolgt die physikalische Zerst\u00f6rung vor Ort im NOC.<\/p>\n<p><strong>Fazit: Nachhaltiges L\u00f6schen ist machbar<\/strong><\/p>\n<p>Das L\u00f6schen pers\u00f6nlicher und vertraulicher Daten bedeutet, sie unkenntlich zu machen. Die entsprechenden Vorgaben f\u00fcr personenbezogene Informationen ergeben sich explizit aus den Datenschutzregelungen wie dem BDSG oder dem SGB und sollten auch f\u00fcr andere vertrauliche Informationen herangezogen werden. Sie sind f\u00fcr uns Handlungsgrundlage und umfassen wahlweise das \u00dcberschreiben, Zerst\u00f6ren des Datentr\u00e4gers sowie Vernichten der Verkn\u00fcpfungs- oder Verschl\u00fcsselungsinformationen. Welche der Ma\u00dfnahmen die beste Wahl ist, richtet sich unter anderem nach Ort und Art der verwendeten Speicher. Theoretisch ist es niemals v\u00f6llig unm\u00f6glich, unkenntlich gemachte Daten wieder zu rekonstruieren. Die Wissenschaft kennt solche Szenarien. Diese praktisch umzusetzen, ist jedoch meist so extrem aufwendig, dass es als sehr unwahrscheinlich gilt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Autor\/Redakteur: Milan Naybzadeh, IT-Sicherheits- und Compliance-Beauftragter bei Adacor Hosting\/gg Sp\u00e4testens am Ende eines IT-Dienstleistungsvertrags stellt sich f\u00fcr viele Kunden die<\/p>\n","protected":false},"author":1,"featured_media":12693,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[11347,8698,490,6257,4898,7102,9408,1308,1413,2339,3541,3796,8843,11349,11348,61,11350,11351,6256],"class_list":["post-12692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-adacir-hosting","tag-bdsg","tag-bsi","tag-cloud","tag-datensicherheit","tag-din","tag-dsgvo","tag-flash","tag-hdd","tag-hypervisor","tag-iso-27001","tag-loeschen","tag-noc","tag-sdd","tag-sgb","tag-speicher","tag-ueberschreiben","tag-vernichten","tag-virtualisierung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12692"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12692\/revisions"}],"predecessor-version":[{"id":12695,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12692\/revisions\/12695"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12693"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}