Gastbeitrag von Ruud de Wildt, Certus Software GmbH.
Im heutigen digitalen Zeitalter kann die Bedeutung einer sicheren und vorschriftsmäßigen Datenlöschung gar nicht hoch genug eingeschätzt werden. Angesichts der zunehmenden Bedenken hinsichtlich des Datenschutzes müssen Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass sensible Informationen sicher von elektronischen Geräten wie Smartphones, Tablets, Laptops, PCs, Speichersystemen, USB-Sticks, Servern usw. gelöscht werden, bevor sie die Arbeitsumgebung zur Entsorgung oder zum Recycling verlassen.
Datenschutz als Teil des Kreislaufwirtschaftsprozesses für IT-Geräte
Einer der Schritte im Kreislaufprozess ist der Prozess der Rückführung von Produkten oder Materialien von ihrem endgültigen Bestimmungsort zu ihrem Ausgangspunkt aus verschiedenen Gründen, wie z.B. Rückgabe, End-of-Life, Reparatur oder Recycling. Als Teil dieses Prozesses müssen elektronische Geräte mit eingebautem Speicher sicher gelöscht werden, bevor sie die Arbeitsumgebung verlassen, um an den Verkäufer zurückgegeben, weiterverkauft oder dem Recycling zugeführt zu werden, vor allem, wenn die Datensicherheit für den Benutzer von großer Bedeutung ist, um Datenschutzverletzungen oder Verstöße gegen die Datenschutzbestimmungen zu verhindern.
Um ein Höchstmaß an Sicherheit im Kreislaufprozess zu gewährleisten, ist es wichtig, die Daten zu löschen, bevor ein Wirtschaftsgut die Arbeitsumgebung verlässt. Das bedeutet, dass der Datenlöschungsprozess an dem Ort stattfinden sollte, an dem die Geräte verwendet werden, und nicht an eine externe Einrichtung zur Löschung geschickt wird. Die wichtigsten Vorteile dieses Verfahrens sind:
Sicherheit: Das Löschen von Daten, bevor die Geräte die Arbeitsumgebung verlassen, gewährleistet, dass die Daten jederzeit unter der Kontrolle der Organisation bleiben. Dies verringert das Risiko von Datenverletzungen, die während des Transports zu oder an einem externen Standort auftreten können. Für jedes Gerät kann ein Datenlöschungszertifikat ausgestellt werden, bevor die Geräte physisch entfernt werden.
Effizienz: Die Löschung von Daten und eine eventuelle (optische und technische) Diagnose und Berichterstattung, bevor die Assets die Arbeitsumgebung verlassen, kann effizienter sein als die Löschung der Assets an einem externen Standort. Nach einer schnellen Verarbeitung in der Arbeitsumgebung können die Geräte direkt an ihren endgültigen Bestimmungsort versandt werden, wodurch die zusätzlichen Schritte für den Versand, das Be- und Entladen sowie das Ein- und Auspacken reduziert werden. Dadurch verkürzt sich die Durchlaufzeit des Logistikprozesses, was die Kundenzufriedenheit erhöht und die Kosten senkt.
Compliance: Das Löschen von Daten auf Assets, bevor diese die Arbeitsumgebung verlassen, kann Unternehmen dabei helfen, die Datenschutzbestimmungen einzuhalten. Durch die Löschung der Daten vor Ort behält das Unternehmen die 100-prozentige Kontrolle über den Datenlöschungsprozess, und die Daten werden in Übereinstimmung mit den einschlägigen Vorschriften wie NIST, GDPR usw. sicher gelöscht.
Zertifizierte Datenlöschung
Bei der Datenlöschung ist es wichtig, eine zertifizierte Datenlöschlösung zu verwenden, die den staatlichen Vorschriften wie DSGVO und dem Standard NIST 800-88 Revision 1 entspricht. Dadurch wird sichergestellt, dass der Löschvorgang ordnungsgemäß durchgeführt und dokumentiert wird, so dass eine dokumentierte Spur zu Prüfzwecken vorhanden ist.
Die Bezeichnung „zertifiziert“ kann auf Datenlöschsoftware angewandt werden, wenn sie einen anerkannten Zertifizierungsprozess erfolgreich durchlaufen hat und die spezifischen Kriterien und Standards der zertifizierenden Organisation erfüllt. Die spezifischen Anforderungen für die Zertifizierung können je nach der zertifizierenden Organisation und den von ihr befolgten Standards variieren. Zu den gängigen Zertifizierungen für Datenlöschsoftware gehören die Common Criteria-, ADISA- und NCSC-Zertifizierungen sowie die NATO-Akkreditierung, bei der Sicherheitsfunktionen bewertet werden, und Zertifizierungen im Zusammenhang mit Datenschutz und Datensicherheit, wie z. B. die von IEC oder NIST.
Sobald die Software den Zertifizierungsprozess erfolgreich durchlaufen hat und eine offizielle Zertifizierung von der entsprechenden Organisation erhalten hat, kann sie als „zertifiziert“ gekennzeichnet werden, um anzuzeigen, dass sie die festgelegten Standards für die Datenlöschung erfüllt. Die Zertifizierung gibt den Anwendern die Gewissheit, dass die Software gründlich getestet und bewertet wurde, und vermittelt ein gewisses Vertrauen in ihre Wirksamkeit und Sicherheit.
Das Ergebnis ist, dass die Daten nach der sicheren Löschung nicht wiederhergestellt werden können. Als Beweis wird ein fälschungssicheres Löschzertifikat ausgestellt, das alle erforderlichen Nachweise enthält. Diese Zertifikate können verwendet werden, um die Einhaltung von Branchenvorschriften nachzuweisen und im Falle einer Prüfung oder eines Rechtsstreits als Beweis für die Sorgfaltspflicht zu dienen.
NIST-Konformität
Das National Institute of Standards and Technology (NIST) ist eine nicht-regulatorische Behörde des US-Handelsministeriums, die Normen und Richtlinien für verschiedene Branchen entwickelt, darunter auch für die Cybersicherheit. Insbesondere hat das NIST eine Reihe von Richtlinien für die Datenlöschung entwickelt, die Anleitungen für die sichere Löschung von Daten aus elektronischen Geräten enthalten.
Nachhaltigkeit
Die zertifizierte Datenlöschung ist ein entscheidender Schritt, wenn es um die Wiederverwendung von IT-Geräten geht, da die zurückgelassenen Daten Risiken bergen. Sobald die Datenschutzbestimmungen erfüllt sind, können IT-Geräte sicher und zuverlässig wiederverwendet werden. Dies führt zu Kosteneinsparungen, reduziert den Elektroschrott, trägt zur Nachhaltigkeit bei und schont wertvolle Ressourcen.
Fazit
Die Verwendung einer zertifizierten Datenlöschlösung, die den staatlichen Vorschriften wie DSGVO und dem Standard NIST 800-88 Revision 1 entspricht, hat mehrere Vorteile für die Circular IT-Branche. Erstens verringert sie das Risiko von Datenschutzverletzungen und Verstößen gegen Vorschriften, die zu erheblichen finanziellen und rufschädigenden Schäden führen können. Zweitens stellt die Norm sicher, dass Unternehmen die Datenschutzbestimmungen einhalten, was das Vertrauen und die Loyalität der Kunden stärken kann. Und schließlich bietet er einen dokumentierten Nachweis des Löschvorgangs, der für Prüfungszwecke nützlich sein kann.
CERTUS LÖSCHT DATEN. DAUERHAFT.
