Festplattenvernichtung
Festplattenvernichtung – was zu beachten ist
Mit der richtigen Festplattenvernichtung sind Unternehmen auf der sicheren Seite
Die Sicherheitsanforderungen für Unternehmen werden im Zeitalter der Industrie 4.0 härter – Industriespionage ist ein großes Thema. Unternehmen, aber auch zentralistisch geführte Staaten wie Russland und China versuchen, an Insiderwissen heranzukommen, um sich auf diese Weise Vorteile im weltweiten Kampf um das Wissen zu verschaffen. Andere Hacker sind an den Kundendaten interessiert, während es Kriminelle auf Erpressung abgesehen haben. Was auch immer die Motive dieser Eindringlinge sind, der Schutz der Daten und Akten ist oberstes Gebot. Mit einer sicheren, professionell durchgeführten Festplattenvernichtung durch zertifizierte Dienstleister wie PAPERSHRED leisten Unternehmen Vorsorge, dass geheimes Firmenwissen, sensible Kundendaten und Patente vor den Zudringlichkeiten Dritter geschützt sind. Zugleich werden sie dadurch ihrer besonderen Verantwortung gerecht, die nicht nur eine Selbstverpflichtung ist, sondern auch rechtlich gefordert und kontrolliert wird, sodass die richtig durchgeführte Festplattenvernichtung Teil der Compliance eines jeden Unternehmens sein sollte.
Die Anforderungen für Festplattenvernichtung nach DIN 66399
Grundlage für die Aktenvernichtung ist die Norm DIN 66399 , die 2012 die Norm DIN 32757 abgelöst hat. Sie ist international unter dem Kürzel ISO 21964 bekannt. Bei der Novellierung wurden das Bundesamt für Sicherheit in der Informationstechnologie (BSI), wichtige Maschinenhersteller sowie Dienstleister für die Aktenvernichtung einbezogen.
Die Norm definiert mit drei Schutzklassen den Schutzbedarf einzelner Datensätze und mit sieben Sicherheitsstufen die Sicherheit, dass die Informationen wirklich irreversibel zerstört sind. Unternehmen sind dazu angehalten, die Schutzklassen mit den Sicherheitsstufen sinnvoll zu kombinieren, das heißt, den Sicherheitsstandard der Aktenvernichtung an den Schutzbedarf anzupassen. Auf der sicheren Seite sind Unternehmen, wenn der Dienstleister für die Festplattenvernichtung ein Zertifikat nach DIN 66399 aufweisen kann.
Schutzklassen und Sicherheitsstufen
Zur Einordnung in die nach DIN 66399 gültigen Schutzklassen und Sicherheitsstufen sollte sich an den folgenden Merkmalen orientiert werden:
Schutzklasse 1
Zur Schutzklasse 1 gehören gewöhnliche interne Daten, die größeren Gruppen von Menschen zugänglich sind. Datenschutzverletzungen hätten begrenzte negative Folgen für das Unternehmen und der Ruf sowie das Vermögen würden allenfalls leicht beeinträchtigt werden.
Schutzklasse 2
Die Informationen sind für einen kleineren Personenkreis bestimmt und der Schutzbedarf ist hoch. Datenschutzverletzungen könnten zu schwerwiegenden Implikationen mit Blick auf die Reputation und die Unternehmensbilanzen führen. Zu den Auswirkungen gehören mögliche Rechtsverstöße und Vertragspflichtverletzungen.
Schutzklasse 3
Die Informationen sind streng geheim und vertraulich. Sie sind grundsätzlich nur für einen kleinen, ausgesuchten Personenkreis bestimmt und Datenschutzverletzungen könnten existenzbedrohend sein. Ein Verstoß gegen Verträge, geltendes Recht und Berufsgeheimnisse wäre sicher.
Bei den Sicherheitsstufen werden die Daten ebenfalls nach ihrem Schutzbedarf definiert und es wird der Aufwand für die Wiederherstellung angegeben:
- Sicherheitsstufe 1: allgemeine Daten – einfacher Aufwand
- Sicherheitsstufe 2: interne Daten – besonderer Aufwand
- Sicherheitsstufe 3: sensible Daten – erheblicher Aufwand
- Sicherheitsstufe 4: besonders sensible Daten – Außergewöhnlicher Aufwand
- Sicherheitsstufe 5: geheim zu haltende Daten – definierbarer Aufwand
- Sicherheitsstufe 6: Hochsicherheitsdaten – Wiederherstellung aktuell nicht möglich
- Sicherheitsstufe 7: Hochsicherheitsdaten – Wiederherstellung ausgeschlossen
Aus der Festlegung der Schutzklassen und Sicherheitsstufen leitet sich schließlich die Kombination beider Faktoren ab, sodass die Daten eine ihrem jeweiligen Schutzbedarf angemessene Rückführung erhalten. Als Kombinationen werden in der DIN 66399 die folgenden Optionen empfohlen:
- Schutzklasse 1: 1, 2, 3
- Schutzklasse 2: 4, 5
- Schutzklasse 3: 6, 7
Dienstleister beauftragen: Welche Kriterien sind wichtig?
Die Zertifizierung nach DIN 66399 ist zwingend erforderlich. Indizien darüber, dass der Festplattenvernichter die angegebene Normierung erfüllt, sind:
- der Einsatz passender Maschinen für die Vernichtung,
- Begleitung von Besuchern und Anlieferern,
- die Qualität der Vernichtungseinrichtung,
- die Lagerung des Datenmaterials in sicher geschlossenen sowie verschlossenen Containern
- und die Einrichtung von Sicherheitsvorkehrungen auf dem Betriebsgelände des Dienstleisters wie Sicherheitsschleusen und Videoüberwachung.
Ein Leitfaden für die Festplattenvernichtung
Mit der vorgestellten Vorgehensweise bei der Organisation der Festplattenvernichtung verfügen Unternehmen über einen sicheren Leitfaden, der ihnen bei der Einschätzung des Sicherheitsbedarfs für ihre Daten hilft und sie dabei unterstützt, den richtigen Dienstleister für die Aufträge zu finden. Für die Dienstleister ist diese Arbeit reine Routine. Für die Unternehmen bedeuten die Aufträge Sicherheit vor Hackern, Industriespionage und Datenklau, während sie zugleich mit Blick auf Vertragsstrafen und deutschem Recht auf der sicheren Seite sind.