Vier Tipps für eine sichere und risikofreie Datenträgerzerstörung
Zunehmende Komplexität an Datenträgern
Bankenbetrug, Identitätsdiebstahl und Werksspionage sind ein wachsendes Problem, das in einer Großzahl von Fällen aus Datendiebstahl resultiert. Die Vielzahl an verschiedenen Datenträgern und die zunehmend virtuelle Datenspeicherung macht die Zerstörung von nicht mehr benötigten, vertraulichen Informationen zu einem immer komplexer werdenden Thema. Entsprechend groß ist das Risiko, dass diese in falsche Hände geraten und missbraucht werden. Dieser Artikel soll sich mit der möglichst sicheren Zerstörung physischer Datenträger, wie etwa Papier, CDs und Memorysticks befassen.
Risiken bei Nichtzerstörung
Während Privatpersonen vor allem im eigenen Interesse ihre vertraulichen Informationen sicher aufbewahren und zerstören sollten, ist die Datensicherung für Unternehmen eine Frage der Existenz und darüber hinaus ein rechtliches Erfordernis. Datenverlust endet häufig mit Vertrauensverlust beim Kunden, Rufschädigung, rechtlichen Folgen und Verlust des Wettbewerbsvorteils, sollten etwa Details zur Entwicklung eines neuen Produktes in die Hände eines Wettbewerbers gelangen. Auch das ausgefeilteste System gegen Computerhacker ist wirkungslos, wenn Akten mit vertraulichen Informationen ohne weitere Bearbeitung einfach in den Mülleimer geworfen werden:
Einige werden sich vielleicht noch an den Werksspionagestreit zwischen Proctor an Gamble und Unilever erinnern. 2001 hatte P&G eigens Leute engagiert, um die Abfallbehälter auf dem Gelände des Konkurrenten nach Dokumenten zu durchsuchen, um Aufschluss über die weiteren Produktentwicklungen des Unternehmens zu gewinnen. P&G flog auf. Unilever klagte. Der Streit wurde erst nach einer 10Millionen USD Entschädigung beigelegt.
Vernichtung aber wie?
Aktenvernichter die Papier in Streifen schneiden, wie oft im Heimbedarf gebraucht, bieten ein gewisses Maß an Sicherheit. Allerdings lassen sich die Streifen mit genügend Geduld leicht wieder zusammensetzen, daher ist der Schutz nicht unbedingt ausreichend.
Viele Unternehmen sind mit der Aufgabe der korrekten und sicheren Entsorgung ihrer Belege überfordert. Zum einen herrscht oft Unklarheit welche Dokumente wie zu zerstören sind, zum anderen fehlt es oft an der entsprechenden technischen Ausrüstung, um auch etwa auch Datenträger wie Memorysticks sicher vernichten zu können. Und eine hundertprozentige Garantie, dass der mit der Schreddern beauftragte Mitarbeiter nicht doch ein paar Blätter aus dem Haus schmuggelt, gibt es nicht.
Die Datenträgervernichtung durch Fremdleister erweist sich oft als kostengünstiger und unkomplizierter. Man erspart sich die Anschaffung und Wartung von teuren Schreddern, muss kein eigenes Personal von den üblichen Aufgaben abzweigen, oder gar speziell für die Aufgabe der Aktenvernichtung einstellen, und man erhält hinterher einen rechtswirksamen Nachweis, der belegt dass die Dokumente auch wirklich alle zerstört wurden.
Bei der Datenzerstörung durch Fremdleister gibt es zwei Möglichkeiten:
Zum einen die Vernichtung vor Ort. Das Dokumentenvernichtungsunternehmen stellt zuvor speziell verschließbare Container für die zu zerstörenden Datenträger zur Verfügung. Diese werden dann durch spezialisierte Mitarbeiter abgeholt und deren Inhalt noch auf dem Firmengelände durch eine mobilen Schredder zerstört. Diese Maschinen verarbeiten Papier, Plastik und gegebenenfalls auch Metall zu Konfetti, was eine erneute Zusammensetzung unmöglich macht. Oft gibt es die Möglichkeit den Vorgang per Überwachungskamera zu verfolgen. Wenn alle Dokumente zerstört sind, erhält man einen schriftlichen Nachweis, der die Vernichtung belegt.
Die externe Vernichtung läuft ähnlich ab, mit dem einzigen Unterschied, dass die Dokumente auf den Örtlichkeiten des Aktenvernichtungsunternehmens zerstört werden. Auch hier kann man den Vorgang gegebenenfalls per Überwachung Kamera beobachten.
Aktenvernichtung nach Norm
Sollte man sich für die Aktenvernichtung durch einen Fremdleister entscheiden, sollte man darauf achten, dass dieser DIN 66399 zertifiziert ist. Diese Norm bestimmt die Anforderungen und Prozesse, die bei der Datenträgervernichtung einzuhalten sind.
Sie teilt Datenträger zunächst in drei Gruppen ein.
– Daten mit normalen Vertraulichkeitsgrad, also Informationen bei denen eine Veröffentlichung beschränkte negativen Auswirkungen für das Unternehmen hätte
– Daten mit einem hohen Vertraulichkeitsgrad: Hier hätte die unautorisierte Veröffentlichung ernsthafte, und potentiell rechtliche Folgen
– Daten mit sehr hohem Vertraulichkeitsgrad, insbesondere geheime Informationen: Eine nicht autorisierte Veröffentlichung kann potentiell zu einer Schließung des Unternehmens führen
Diese drei Gruppen werden nochmals in sieben Sicherheitsklassen und sechs Datenträgerklassen unterteilt (zum Beispiel Papier, CDs, Disketten, USB Sticks, Filmrollen und Festplatten).
Je nachdem wie vertraulich die Informationen auf dem jeweiligen Datenträger sind, gibt es jeweils sieben verschiedene Zerstörungsgrade. Bei Papier wären dies bei Vertraulichkeitsstufe 1 Streifen mit maximal zwölf Millimetern Breite. Bei Vertraulichkeitsstufe 7 wird das Papier zu Konfetti mit maximal fünf Quadratmillimetern im Durchmesser verarbeitet.
Vier Tipps für eine sichere Datenträger Vernichtung
Bei der Datenzerstörung gibt es folgende Faustregeln, die zu beachten sind:
1. Dokumente und Datenträger sollten je nach Vertraulichkeit der Informationen in mindestens drei verschiedenen Kategorien mit entsprechenden Zugriffsrechten aufbewahrt werden
2. Dokumente und Datenträger mit potentiell vertraulichen Informationen sollte niemals am Stücke in den Mülleimer geworfen werden
3. Schredder, die Papier in Streifen schneiden bieten nur ein geringes Maß an Sicherheit und sollten für extrem brisante Dokumente nicht verwendet werden
4. Bei Einsatz eines externen Dienstleisters für die Aktenvernichtung sollte man darauf achten, dass dieser DIN 66399 zertifiziert ist
