DSGVO verlangt zertifiziert-sichere Datenlöschung (DLP)

  • Unternehmens­bezogene Daten dürfen das Gebäude nicht verlassen – Data Loss Protection (DLP)
  • Zertifizierte und vollständige Datenträgerlöschung erst nach EAL3+ sicher

Durch die Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, sind Unternehmen rechtlich verpflichtet sicherzustellen, dass persönliche Daten auf jedem Speichermedium sicher gelöscht sind und  darüber ein Beleg erfolgt. Hierzu sind systemische Maßnahmen zu ergreifen (Data Loss Prevention (DLP)-Ansatz).

Mit Art. 17 DSGVO fand das sog. „Recht auf Vergessenwerden“ kodifizierten Einzug in das europäische Datenschutzrecht. Dabei handelt es sich um ein umfassendes Recht auf Löschung aller Daten oder zu einer Person im Internet. Das Recht auf Löschung ist zwar nicht neu, gleichwohl gibt es viel Neues zu beachten.

Das Recht auf Vergessenwerden war mit der Entscheidung des Europäischen Gerichtshofs vom 13.05.2014 (EuGH C 131/12) stark in den Fokus der Öffentlichkeit gerückt, nach der Klage einer spanischen Privatperson.

Die Datenschutz-Grundverordnung definiert den Begriff „Löschen“ nicht konkret. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen.

Ausreichend ist es,

  • die Datenträger sind physisch zu zerstören
  • Verknüpfungen oder Codierungen zu löschen
  • bei wiederbeschreibbaren Datenträgern (z. B. einer Festplatte) ggf. spezielle Löschsoftware einzusetzen

Nicht ausreichend ist es,

  • Datenträger einfach zu entsorgen, also in den Müll zu werfen
  • rein organisatorische Maßnahmen zu treffen

Eine leistungsstarke Bereinigungssoftware beseitigt jedes digitale Format (Dateien, Ordner, Partitionen, Dateisysteme, Disc-Sektoren, e.a.) auf allen Speichermedien, die sich mit einem PC, Mac oder Server verbinden lassen. Bei der Löschung werden alle Daten überschrieben. Sektor für Sektor des Speichermediums, entsprechend des ausgewählten Lösch-Musters. Anschließend wird das Löschergebnis überprüft und anhand der Vorgaben verifiziert.

Eine Datenlöschumgebung, sollte die verschiedenen Anwendungsbereiche von Speichermedien wie Festplatten und Flash-Speicher aller Art abdecken. Eine Cloud-basierte Management-Funktionalität ermöglicht sichere, forensisch nachweisbare, umfassende und transparente Datenlöschergebnisse, Hardwareauditing und Löschberichte über alle Speicherplattformen hinweg durch kostengünstige Services.

Ein Cloud-basierter DLP-Ansatz sowie der zertifizierte Datenlöschprozess sollten den striktesten Anforderungen der IT-Sicherheit nach dem internationalen Übereinkommen CCRA, auch bekannt als Common Criteria Recognition Arrangement (ISO 15408), entsprechen.

Der höchste, überprüfte Sicherheitsmaßstab der EU für Datenlöschung (EAL3+) ist zu erfüllen, der den Vorgaben der Common Criteria entspricht.

Sichere Löschung aller Arten von Speichermedien

Derzeit werden sind 13 Bereinigungsmuster aus der Linux-Welt verbreitet. Nach der Löschung werden die letztvorhandenen Informationen auf dem Gerät entfernt. Dies entspricht auch der als Degaussen bekannte Methode. Danach ist es nicht mehr möglich, die vorherigen Daten wiederherzustellen, gleich welcher Methoden zur Datenwiederherstellung verwendet werden. Dieses Ergebnis wird dadurch sicher erreicht, dass die Löschvorgänge streng kontrolliert und alle Subprozesse einbezogen werden. Dies kann nicht korrumpiert werden, dank der internen Sicherheitsmechanismen und der Erfolgskontrolle nach Abschluss der Prozedur. Das Verfahren wurde nach den Common Criteria als EAL3+ zertifiziert, der höchsten Sicherheitsstufe hierfür in Europa.

Zudem benötigt der Anwender unterschiedliche exportierbare Berichtsformate, einschließlich XML, HTML, XLS und PDF. Dies beinhaltet, die für das Reporting benötigten Lösch- oder Hardware-Informationen zu finden, zu sortieren oder auszuwählen und zu exportieren, je nachdem in gängigen Dateiformaten wie XML und PDF.

Cloud-basiertes Reporting in allen Dateiformaten

„Ein zertifizierter Lösch- und Überprüfungsvorgang ist unabdingbar, um geistiges Eigentum, Firmenknowhow oder IP zu schützen. Gerade wenn Speichermedien (Festplatten, USB-Stick, Speicherkarten) die Firmentore verlassen, verlegt, verkauft oder übertragen werden. In solchen Situationen könnten Informationen auf diesen Speichergeräten ausgespäht oder unbeaufsichtigt transferiert werden“, sagt Robert Brunner.

„Gerade nach einer Infektion oder einem Angriff sind IT-Systeme oft neu auszusetzen. Eine zertifizierte Datenlöschung wie die Certus Cloud Certified Data Erasure Solution stellen nachweisbar sicher, dass alle Speicherorte der befallenen Systeme gereinigt und gelöscht wurden, und damit sicher sind“, erklärt Robert Brunner.

Geprüfte Sicherheit, Datenlöschung auf EAL3+ Niveau

Das Sicherheitsniveau, das die Datenlöschungslösung gewährleisten sollte, ist EAL3+ der Common Criteria for Information Technology Security Evaluation (kurz CC genannt oder auch als ISO/IEC 15408 bekannt. Dies ist der höchste bestehende Sicherheitsstandard, englisch IT Security Evaluation Assurance Level (EAL), herausgegeben von der EU für Daten­löschungssoftware.

Dies hat die Common Criteria R.A. (CCRA) festgelegt, ein Übereinkommen von 26 verschiedenen Regierungen der ganzen Welt, mit der Zielsetzung, die Anforderungen der ISO 15408 und die Mechanismen der gegenseitigen Anerkennung anzuheben. In den USA ist dies die National Information Assurance Partnership (NIAP), das die CCRA national bestimmt, bekannt als CCEVS.

Sichere Cloud-basierte Löschung

Die Löschung mit ihrem Management-Cockpit sollte auch in der Cloud sicher sein. Dazu ist darauf zu achten, den Zugang und ihrer Internetverbindung zu sichern: nach den höchsten Standards, gesichert durch eine verschlüsselte Verbindung nach dem TLS v1.2-Protokoll, dem Nachfolger der SSL-Verschlüsselung wie für VPN und sicheres Surfen.

Links:

  • DSGVO-konforme Datenlöschung laut. 17 DSGVO Recht auf Löschung („Recht auf Vergessenwerden“)
  • Nachweis der Common Criteria-Zertifizierung von Certus Software Erasure Solution, Download des vollständigen Berichts hier.
  • Zur Common Criteria und ihrer Mitglieder.
  • Informationen zu NIAP CCEVS.
  • Über die DIN ISO/IEC 15408 (CC): Der Standard legt die Kriterien für die Sicherheitsevaluation von IT-Produkten und –Lösungen fest. Er ist ein Teil des international anerkannten Standards.

B`IMPRESS auf der Sprechstunde zur IT-Sicherheit der IHK für Oberbayern.

Dieser Beitrag wurde unter Cloud-IT, Digitalisierung, Digitalization, IT/Cloud, Uncategorized abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.