Compliance: Schwachstellen bei der Datenlöschung

Schwachstellen bei der Datenlöschung sind omnipräsent. Wenn beispielsweise Donald Trump ein Dokument nicht mehr benötigt, zerreisst er es und wirft es in den Papierkorb. Anschliessend ist eine ganze Abteilung damit beschäftigt, die zerrissenen Papiere wieder zusammenzukleben. Denn für Trump gilt der Presidential Records Act aus dem Jahr 1978, in dem festgelegt wurde, dass alle Dokumente, mit denen er zu tun hatte, aufbewahrt werden müssen. Ansonsten macht er sich strafbar. Das zumindest berichtete die nordamerikanische Zeitung Politico.

Genauso wichtig wie Archivierungsvorgaben für Daten ist allerdings auch deren fachgerechte Löschung. Eine von der Blancco Technology Group veröffentlichte Studie zeigt die häufigsten Fehleinschätzungen von Entscheidungsträgern beim Thema Datenlöschung auf. Die Folgen sind unzureichende Datenlösch-Verfahren und unnötige Sicherheitsrisiken. Die Studie ,A False Sense of Security, die von Blancco in Zusammenarbeit mit Coleman Parkes erstellt wurde, verdeutlicht, wie Selbstüberschätzung in Unternehmen die Sicherheit von Daten gefährdet – und das in einer Zeit, in der vernünftiges Daten-Management oberste Priorität haben sollte.

Mehr als drei Viertel (77 Prozent) der Befragten stimmten zu, dass die grosse Anzahl der verschiedenen End-of-Life-Geräte ein Datensicherheitsrisiko für ihr Unternehmen darstellt, und 74 Prozent gaben an, wegen der Gefahr von Datenschutzverstössen im Zusammenhang mit Altgeräten besorgt zu sein.

Die Studie, bei der 1.850 Entscheidungsträger der weltgrössten Unternehmen in Nordamerika, den APAC-Staaten und in Europa – darunter 259 Entscheidungsträger in Deutschland – befragt wurden, zeigt, dass die angewandten Datenlösch-Verfahren am Lebensende von IT-Geräten in jedem dritten Unternehmen in Deutschland erhebliche Sicherheitsrisiken aufweisen. Ursächlich für diese Risiken sind u. a.:

• Der Einsatz unzureichender Verfahren zum Entfernen von Daten – 32 Prozent der Unternehmen nutzen nach eigenen Angaben Methoden wie das Formatieren, das Überschreiben mithilfe kostenloser oder kostenpflichtiger Softwaretools ohne entsprechende Zertifizierung oder die physische Zerstörung (sowohl Entmagnetisierung als auch Schreddern) ohne Audit-Trail. Diese Verfahren bieten keine vollständige Sicherheit. D. h., dass für Unternehmen ein potenzielles Restrisiko für Sicherheitslücken und Compliance-Verstösse besteht.
• Das Horten ausgemusterter Speichergeräte in grossen Mengen und das Fehlen eines klaren Konzepts für einen angemessenen Umgang mit diesen Geräten innerhalb eines festen Zeitfensters – 78 Prozent der Unternehmen in Deutschland haben eingeräumt, massenhaft ausrangierte Geräte einzulagern. Dies ist der höchste Anteil aller Länder, in denen die Umfrage durchgeführt wurde. Lediglich 11 Prozent der befragten Unternehmen gaben an, Datenträger unmittelbar nach Ausserbetriebnahme zu löschen. Im Gegensatz dazu benötigen 74 Prozent dafür nach eigenen Angaben mehr als zwei Wochen, was das Risiko von Datenschutzverletzungen und Datenverlust im Unternehmen erhöht.
• Das Fehlen einer klaren Chain-of-Custody mit einem entsprechenden Audit-Trail für IT-Geräte, die ihr Lebensende erreicht haben, einschließlich der beweissicheren Dokumentation des Transports zu einer externen Anlage, in der die Geräte vernichtet werden – ein Fünftel (20 Prozent) der Unternehmen in Deutschland verfügt nach eigenen Angaben nicht über einen Audit-Trail für die physische Zerstörung, und 32 Prozent haben zugegeben, nicht die Seriennummern der Festplatten zu erfassen. Diese Defizite bei der Chain-of-Custody bedeuten für die betreffenden Unternehmen ein hohes Risiko für Datenschutzverletzungen und Compliance-Verstösse.

Darüber hinaus zeigt die Studie, dass 20 Prozent der Unternehmen in Deutschland bei der Entsorgung ihrer Altgeräte auf die physische Zerstörung setzen, indem sie diese entmagnetisieren oder in einem Schredder zerkleinern lassen. Allerdings bietet gerade das Schreddern nicht immer einen zertifizierten Audit-Trail für die gesamte Chain-of-Custody.

Weitere wichtige Erkenntnisse zu Unternehmen:

• Ein Fünftel (20 Prozent) der Unternehmen in Deutschland unterscheidet beim Löschen von Festplatten nicht zwischen SSDs und HDDs, sondern nutzt dafür ein und dasselbe Verfahren. Dies birgt das Risiko, dass die Datenträger nicht vollständig von allen Daten bereinigt und dass nicht alle Branchenstandards zum Löschen von Daten eingehalten werden.
• Darüber hinaus haben die befragten Unternehmen angegeben, dass 20 Prozent ihrer IT-Geräte einfach im Unternehmen aufbewahrt werden, ohne die darauf befindlichen Daten zu löschen. Dies offenbart eine gravierende Sicherheitslücke, die umgehend geschlossen werden sollte.

Wichtigste Erkenntnisse auf internationaler Ebene:

• Viele der weltweit befragten Unternehmen setzen eine Vielzahl unterschiedlicher Verfahren zum Entfernen von Daten ein. Insgesamt 17 Prozent setzen auf die physische Zerstörung (sowohl Entmagnetisierung als auch Schreddern), 13 Prozent nutzen kryptografisches Löschen/Verschlüsselung, 12 Prozent bedienen sich der Formatierung, 8 Prozent nutzen eine kostenlose Überschreibungssoftware und 7 Prozent eine kostenpflichtige Software zum Überschreiben, bei der jedoch eine entsprechende Zertifizierung der Datenlöschung fehlt. Besonders besorgniserregend ist allerdings, dass 4 Prozent überhaupt kein Verfahren zum Löschen von Daten anwenden.
• Ein beunruhigend hoher Anteil von 80 Prozent der weltweit befragten Unternehmen hat zugegeben, massenhaft aussortierte Geräte im Unternehmen zu horten. Darüber hinaus lassen viele Unternehmen diese Geräte eine Zeit lang ungenutzt liegen. Nur 13 Prozent der Unternehmen haben angegeben, die Datenträger unmittelbar nach ihrer Außerbetriebnahme zu löschen, wohingegen 57 Prozent dazu nach eigenen Angaben mehr als zwei Wochen benötigen. Dies erhöht das Risiko von Datenschutzverletzungen und Datenverlust in Unternehmen.
• Knapp drei Viertel (73 Prozent) der befragten Unternehmen haben bei der Frage nach den größten Sicherheitsbedenken im Zusammenhang mit End-of-Life-Geräten zugestimmt, dass sie allein die Fülle der unterschiedlichen Geräte anfällig für Datenschutzverletzungen macht. Außerdem haben 68 Prozent angegeben, sehr besorgt wegen der Gefahr einer möglichen Datenschutzverletzung aufgrund von Daten auf Altgeräten zu sein.

Den vollständigen Bericht „A False Sense of Security“ und eine eingehende Analyse finden Sie hier: http://www.blancco.com/false-security