Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.167 Sicheres Löschen von Datenträgern - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.167 Sicheres Löschen von Datenträgern

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement,

Verantwortlich für Umsetzung: Fachverantwortliche, Administrator, Benutzer

Häufige Fehleinschätzungen

Nahezu jeder wird schon erlebt haben, wie schnell ein Datenverlust eintreten kann, beispielsweise durch falsche Lagerung eines Datenträgers. Schon bei einer Festplatte, die "nur" feucht geworden ist, oder einer CD-ROM, die "nur" zu warm wurde, weil sie zu lange am Fenster lag, ist häufig kein Datenzugriff mehr möglich. Daher sind viele Anwender der Meinung, dass Informationen auf Datenträgern, die durch Feuer, Hitze-Einwirkung oder Wasserschäden beschädigt wurden, restlos vernichtet sind. Diese Informationen lassen sich allerdings - stark abhängig vom Grad der Beschädigung - teilweise von Datenrettungsfirmen und entsprechend ausgestatteten Organisationen erfolgreich wiederherstellen. Defekte Festplatten können unter Umständen durch den Austausch von Bauteilen wieder funktionstüchtig gemacht oder durch spezielle Geräte ausgelesen werden.

Auch etliche "Hausmittel" zum Löschen von magnetischen Datenträgern, wie die Behandlung mit Mikrowellen oder mit sehr starken Magneten, die nicht für diesen speziellen Einsatzzweck vorgesehen sind, sind ungeeignet.

Um Informationen auf Datenträgern sicher zu löschen, müssen deshalb einige Hinweise beachtet und ein Verfahren gewählt werden, das für das jeweilige Medium, für den Schutzbedarf der Informationen und für den konkreten Anwendungsfall geeignet ist.

Arten von Speichermedien und Datenträgern

Speichermedien und Datenträger lassen sich zunächst in analoge Speichermedien, wie Papier oder Mikrofilm, einerseits und digitale Speichermedien andererseits unterscheiden. Letztere lassen sich im Wesentlichen einteilen in

Soweit nicht weiter unterschieden wird, gelten die folgenden Empfehlungen für alle Arten von Datenträgern.

Vorgehensweisen und Methoden

Damit gespeicherte Daten nicht in falsche Hände geraten können, ist eine geregelte Vorgehensweise erforderlich, um Daten und Datenträger zu löschen oder zu vernichten. Bevor Datenträger wieder verwendet werden, müssen die gespeicherten Daten vollständig gelöscht werden, z. B. durch vollständiges Überschreiben. Dies ist insbesondere wichtig, wenn Datenträger an Dritte weitergegeben werden sollen.

Auch der Empfänger eines Datenträgers muss nach dem Empfang prüfen, ob der Schutzwert der Daten ein sofortiges Löschen des Datenträgers erfordert, nachdem die Daten auf ein anderes IT-System übertragen wurden.

Es gibt verschiedene Methoden, um Informationen auf Datenträgern zu löschen. Welche Methode gewählt werden sollte, hängt hierbei wesentlich vom Schutzbedarf der zu löschenden Daten ab, aber natürlich auch von der Art der Datenträger. Im Folgenden sind Hinweise und Empfehlungen für die wichtigsten Methoden zum Löschen und Vernichten von Datenträgern aufgeführt.

Löschkommandos

Löschkommandos sind vom Betriebssystem zur Verfügung gestellte Befehle und Funktionen, um Dateien oder Verzeichnisse zu löschen. Bei der Benutzung von Löschkommandos ist zu beachten, dass dabei in der Regel nicht tatsächlich die Datei-Informationen gelöscht werden, sondern nur der Verweis auf diese Informationen im "Inhaltsverzeichnis" des Datenträgers. Die Datei ist weiterhin vorhanden. Es gibt Methoden und Programme, mit denen die gelöscht geglaubten Informationen wiederhergestellt werden können. Von dieser Methode ist daher abzuraten, wenn sichergestellt sein muss, dass die Daten nicht rekonstruiert werden können.

Überschreiben einzelner Dateien

Neben den im Umfang der gebräuchlichen Betriebssysteme vorhandenen Löschkommandos gibt es auch zusätzliche Werkzeuge, um einzelne Dateien zu überschreiben. Mit diesen so genannten Wipe-Tools lassen sich einzelne Dateien durch vollständiges Überschreiben mit geeigneten Datenmustern vollständig löschen.

Dabei ist allerdings darauf zu achten, dass Informationen aus Dateien häufig teilweise oder sogar vollständig rekonstruierbar sind, obwohl die Dateien mit Wipe-Tools gelöscht wurden. Hauptsächlich liegt das daran, dass Kopien dieser Daten während der Verarbeitung temporär auf Datenträgern abgelegt werden.

Restinformationen können beispielsweise aus folgenden Quellen gewonnen werden:

Auf die Verarbeitung dieser Daten durch das Betriebssystem oder Anwendungsprogramm haben Administratoren oder Benutzer oft nur sehr geringen Einfluss. Auch Programme, die Wipe-Techniken verwenden, haben keine volle Kontrolle über alle diese Datenspuren. Daher muss der komplette Datenträger gelöscht oder ein anderes sicheres Löschverfahren gewählt werden, um sicherzustellen, dass sich keine weiteren Kopien der Informationen auf dem Datenträger befinden (siehe auch M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen).

An dieser Stelle wird noch einmal darauf hingewiesen, dass bei den normalen Löschkommandos des Betriebssystems in der Regel keine Wipe-Techniken zum Einsatz kommen. Weitere Hinweise hierzu finden sich im Abschnitt "Löschkommandos".

Formatieren

Elektronische Datenträger können durch Formatieren zur Aufnahme von Daten vorbereitet werden.

Bei Festplatten wird zwischen Low-Level-Formatierung, bei der Spuren und Sektoren auf der Platte neu erzeugt werden, und der logischen oder High-Level-Formatierung, die durch das Betriebssystem erfolgt, unterschieden.

Eine High-Level-Formatierung ist als sicheres Löschverfahren ungeeignet, da dabei lediglich die Dateisystemstruktur neu angelegt wird.

Für Festplatten konnte früher durch den Anwender eine sogenannte Low-Level-Formatierung durchgeführt werden, bei der die magnetischen Grundstrukturen neu geschrieben wurden. Bei modernen Festplatten kann dies in der Regel nur der Hersteller vornehmen. Stattdessen stellen einige Festplatten-Hersteller Tools zur Verfügung, mit denen auch eine vollständige Löschung der Festplatte vorgenommen werden kann (sogenannter Zero-Fill).

Über die Zuverlässigkeit der Löschung durch Low-Level-Formatierungen oder Zero-Fills kann jedoch keine Aussage getroffen werden. Von der Nutzung eines dieser Mechanismen als Löschverfahren wird deshalb abgeraten. Wenn dennoch eine Low-Level-Formatierung oder ein Zero-Fill durchgeführt werden soll, sollte vorher geklärt werden, ob dadurch die Garantie für die Festplatte verloren geht.

Für wiederbeschreibbare CD-ROMs (CD-RW), Disketten oder ähnliche Datenträger muss beachtet werden, dass eine schnelle Formatierung die Daten nicht löscht. Eine komplette Löschung ist daher notwendig. Weitere Hinweise hierzu finden sich im Abschnitt "Vernichtung von Datenträgern".

Löschgeräte für magnetische Datenträger

Löschgeräte dienen dazu, schutzbedürftige Daten, die auf magnetischen Datenträgern gespeichert sind, so zu vernichten, dass die Datenträger anschließend wiederverwendet werden können. Löschgeräte (Degausser) für magnetische Datenträger verfügen über einen starken Gleichfeld- oder Wechselfeldmagneten. Beim Löschen mit einem Löschgerät werden die Datenträger vom Magnetfeld des Gerätes durchflutet ("Durchflutungslöschen").

Da es sich beim Löschen mit Löschgeräten ausschließlich um eine magnetische Einwirkung handelt, können Löschgeräte auch nur bei magnetischen Datenträgern wie Magnetbändern, Disketten und Festplatten verwendet werden.

Durch das Magnetfeld eines Löschgerätes werden die aufgezeichneten magnetischen Domänen auf den Datenträgern zerstört. Bei Verwendung eines geeigneten Löschgerätes ist nach dem Löschen auf dem Datenträger keine Information mehr vorhanden.

Der Vorteil beim Löschen mit einem Löschgerät besteht darin, dass mit geringem Zeitaufwand der gesamte Datenträger sicher gelöscht werden kann. Allerdings ist zu beachten, dass Festplatten und verschiedene Magnetbänder nach dem Löschen nicht mehr verwendet werden können, weil mit den aufgezeichneten Daten auch die Servospur, mit der der Schreib-/Lesekopf gesteuert wird, gelöscht wird.

Das magnetische Löschen ist bei Verwendung geeigneter Löschgeräte sehr sicher, dennoch müssen Anwender bei der Bedienung Sorgfalt walten lassen, wenn das gewünschte Löschergebnis erzielt werden soll. Das gilt z. B. für die richtige Positionierung der Datenträger oder die Zeitdauer der Feldeinwirkung. Die Bedienungsanleitung der Löschgeräte ist in jedem Fall zu beachten. In der BSI-Publikation 7500 zu Produkten für die materielle Sicherheit sind geeignete Löschgeräte aufgeführt.

Ein Löschen von wiederbeschreibbaren CD-RWs, die nach dem magnetooptischen Verfahren arbeiten, ist mit den Löschgeräten nicht möglich, weil die Koerzitivfeldstärke dieser Datenträger zu groß ist.

Ein alternatives Verfahren ist das Vernichten der Datenträger (siehe unten). Bei normalen Sicherheitsanforderungen sind beide Verfahren als gleichwertig anzusehen.

Komplettes Überschreiben

Eine für den normalen Schutzbedarf ausreichende physikalische Löschung kann erreicht werden, indem der komplette Datenträger überschrieben wird.

Die Überschreibprozedur sollte aus mindestens zwei, besser drei Durchläufen bestehen. Beim zweiten Durchlauf sollte das zum ersten Durchlauf komplementäre Datenmuster (Bit-Folge) verwendet werden. Für den dritten Durchlauf werden Zufallsdaten empfohlen. Dadurch wird eine verbesserte Schutzwirkung erzielt.

Informationen in nicht unmittelbar zugreifbaren beschädigten Sektoren ("bad sectors") lassen sich nicht unmittelbar überschreiben und können unter Umständen wieder rekonstruiert werden.

Schreibgeschützte oder nicht mehrfach beschreibbare Datenträger, wie CD-ROMs oder CD-Rs, können selbstverständlich auch nicht gelöscht werden und sollten vernichtet werden.

Überschreiben mit VS-Clean

Um funktionstüchtige Festplatten (bis zum Geheimhaltungsgrad VS-VERTRAULICH) physikalisch zu löschen, stellt das BSI für die deutsche Bundesverwaltung die Software VS-Clean zur Verfügung. Datenträger mit einem höheren Geheimhaltungsgrad als VS-VERTRAULICH müssen zusätzlich - sofern sie nicht geeignet verschlüsselt sind - immer physisch vernichtet werden.

Informationen über VS-Clean sind auf der Webseite des BSI unter "Produkte und Tools" zu finden.

Löschen von elektronischen Speichermedien

RAM-Speicher (SRAM und DRAM) sind flüchtige Speicher, bei denen durch eine Trennung von der Stromversorgung der Speicherinhalt gelöscht wird. Eine Pufferbatterie, falls vorhanden, muss für die Löschung entfernt werden. Im Gegensatz dazu muss bei den nicht-flüchtigen Speichern EEPROM und Flash-Memory zum Löschen des Speicherinhalts eine Spannung angelegt werden. Die korrekte Vorgehensweise ist den Datenblättern der Hersteller zu entnehmen.

In beiden Fällen kann jedoch nicht ausgeschlossen werden, dass nach dem Löschen über "Spuren" in den Speicherzellen ein Rückschluss auf die vorher gespeicherten Daten möglich ist. Es wird deshalb empfohlen, den kompletten Speicher vor dem Löschen einmal mit Zufallszeichen vollständig zu überschreiben.

Vernichtung von Datenträgern

Magnetische Datenträger wie Festplatten, die nicht mehr weiter verwendet werden sollen, können mit geeigneten Geräten vernichtet werden. Bei defekten Festplatten, die nicht mehr überschrieben werden können, bleibt als Löschverfahren nur das Vernichten der Festplatten. Die Vernichtung kann durch Shreddern erfolgen, aber auch thermische Verfahren wie Verbrennen oder Einschmelzen sind geeignet. Magnetbandkassetten können wie Festplattenlaufwerke mechanisch oder thermisch vernichtet werden.

Das BSI hat für die Vernichtung von magnetischen Datenträgern mit Daten von hohem Schutzbedarf Partikelgrößen festgelegt. Für die Festplattenvernichtung wird eine Partikelgröße von maximal 300 Quadratmillimetern gefordert. Für die thermische Vernichtung wird eine Temperatur von circa 600°C bei einer Verweilzeit von mindestens 15 Minuten empfohlen.

Aufgrund der Größe entsprechender Vernichtungsgeräte ist die Vernichtung bei Dienstleistungsfirmen in räumlicher Nähe sinnvoller als eine eigene Anschaffung der Geräte. Das Vernichtungsverfahren kann in Anlehnung an die Schrift BSI 7251 "Empfehlungen für die Vernichtung von Schlüsselgeräten" erfolgen, die im Bedarfsfall vom BSI zur Verfügung gestellt wird. Dienstleistungsfirmen, die eine Festplattenvernichtung anbieten, sind in der Produktliste BSI 7500 aufgeführt.

Optische Datenträger, die nicht wiederbeschreibbar sind, können nicht gelöscht werden und müssen stattdessen mit geeigneten Geräten vernichtet werden, um die darauf gespeicherten Informationen sicher zu löschen.

Wiederbeschreibbare Datenträger, beispielsweise CD-RWs, können grundsätzlich durch vollständiges Überschreiben gelöscht werden. Es ist jedoch nicht bekannt, ob Spuren der alten Informationen verbleiben und rekonstruiert werden können. Bei erhöhtem Schutzbedarf müssen deshalb auch wiederbeschreibbare Datenträger mit geeigneten Geräten vernichtet werden, um die darauf gespeicherten Informationen sicher zu löschen.

Für die Vernichtung von optischen Datenträgern wie CDs oder DVDs wird eine Partikelgröße von maximal 10 Quadratmillimetern bei hohem oder sehr hohem Schutzbedarf und von maximal 200 Quadratmillimetern bei normalem Schutzbedarf gefordert. In der Produktliste BSI 7500 sind geeignete Vernichtungsgeräte aufgeführt. Alternativ können auch thermische Vernichtungsverfahren, z. B. Einschmelzen, angewandt werden.

Die BSI-Publikation 7500 listet zwar Vernichtungsgeräte für Disketten und CDs auf, Geräte für die schreibtischnahe Vernichtung von Magnetbandkassetten sind derzeit jedoch nicht bekannt. Magnetbandkassetten können deshalb nur in Großgeräten (z. B. Schneidmühlen) oder thermisch (Verbrennen, Einschmelzen) vernichtet werden.

Ergänzende Kontrollfragen: