- unternehmensbezogene Daten dürfen das Gebäude nicht verlassen – Data Loss Protection (DLP)
- zertifizierte und vollständige Datenträgerlöschung erst nach EAL3+ sicher
Durch die Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, sind Unternehmen rechtlich verpflichtet sicherzustellen, dass persönliche Daten auf jedem Speichermedium sicher gelöscht sind und darüber ein Beleg erfolgt. Hierzu sind systemische Maßnahmen zu ergreifen (Data Loss Prevention (DLP)-Ansatz).
Mit Art. 17 DSGVO fand das sog. „Recht auf Vergessenwerden“ kodifizierten Einzug in das europäische Datenschutzrecht. Dabei handelt es sich um ein umfassendes Recht auf Löschung aller Daten oder zu einer Person im Internet. Das Recht auf Löschung ist zwar nicht neu, gleichwohl gibt es viel Neues zu beachten.
Das Recht auf Vergessenwerden war mit der Entscheidung des Europäischen Gerichtshofs vom 13.05.2014 (EuGH C 131/12) stark in den Fokus der Öffentlichkeit gerückt, nach der Klage einer spanischen Privatperson.
Die Datenschutz-Grundverordnung definiert den Begriff „Löschen“ nicht konkret. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen.
Ausreichend ist es,
- die Datenträger sind physisch zu zerstören
- Verknüpfungen oder Codierungen zu löschen
- bei wiederbeschreibbaren Datenträgern (z. B. einer Festplatte) ggf. spezielle Löschsoftware einzusetzen
Nicht ausreichend ist es,
- Datenträger einfach zu entsorgen, also in den Müll zu werfen
- rein organisatorische Maßnahmen zu treffen
Eine leistungsstarke Bereinigungssoftware beseitigt jedes digitale Format (Dateien, Ordner, Partitionen, Dateisysteme, Disc-Sektoren, e.a.) auf allen Speichermedien, die sich mit einem PC, Mac oder Server verbinden lassen. Bei der Löschung werden alle Daten überschrieben. Sektor für Sektor des Speichermediums, entsprechend des ausgewählten Lösch-Musters. Anschließend wird das Löschergebnis überprüft und anhand der Vorgaben verifiziert.
Eine Datenlöschumgebung, sollte die verschiedenen Anwendungsbereiche von Speichermedien wie Festplatten und Flash-Speicher aller Art abdecken. Eine Cloud-basierte Management-Funktionalität ermöglicht sichere, forensisch nachweisbare, umfassende und transparente Datenlöschergebnisse, Hardwareauditing und Löschberichte über alle Speicherplattformen hinweg durch kostengünstige Services.
Ein Cloud-basierter DLP-Ansatz sowie der zertifizierte Datenlöschprozess sollten den striktesten Anforderungen der IT-Sicherheit nach dem internationalen Übereinkommen CCRA, auch bekannt als Common Criteria Recognition Arrangement (ISO 15408), entsprechen.
Der höchste, überprüfte Sicherheitsmaßstab der EU für Datenlöschung (EAL3+) ist zu erfüllen, der den Vorgaben der Common Criteria entspricht.
Sichere Löschung aller Arten von Speichermedien
Derzeit werden sind 13 Bereinigungsmuster aus der Linux-Welt verbreitet. Nach der Löschung werden die letztvorhandenen Informationen auf dem Gerät entfernt. Dies entspricht auch der als Degaussen bekannte Methode. Danach ist es nicht mehr möglich, die vorherigen Daten wiederherzustellen, gleich welcher Methoden zur Datenwiederherstellung verwendet werden. Dieses Ergebnis wird dadurch sicher erreicht, dass die Löschvorgänge streng kontrolliert und alle Subprozesse einbezogen werden. Dies kann nicht korrumpiert werden, dank der internen Sicherheitsmechanismen und der Erfolgskontrolle nach Abschluss der Prozedur. Das Verfahren wurde nach den Common Criteria als EAL3+ zertifiziert, der höchsten Sicherheitsstufe hierfür in Europa.
Zudem benötigt der Anwender unterschiedliche exportierbare Berichtsformate, einschließlich XML, HTML, XLS und PDF. Dies beinhaltet, die für das Reporting benötigten Lösch- oder Hardware-Informationen zu finden, zu sortieren oder auszuwählen und zu exportieren, je nachdem in gängigen Dateiformaten wie XML und PDF.
Cloud-basiertes Reporting in allen Dateiformaten
"Ein zertifizierter Lösch- und Überprüfungsvorgang ist unabdingbar, um geistiges Eigentum, Firmenknowhow oder IP zu schützen. Gerade wenn Speichermedien (Festplatten, USB-Stick, Speicherkarten) die Firmentore verlassen, verlegt, verkauft oder übertragen werden. In solchen Situationen könnten Informationen auf diesen Speichergeräten ausgespäht oder unbeaufsichtigt transferiert werden", sagt Robert Brunner.
"Gerade nach einer Infektion oder einem Angriff sind IT-Systeme oft neu auszusetzen. Eine zertifizierte Datenlöschung wie die Certus Cloud Certified Data Erasure Solution stellen nachweisbar sicher, dass alle Speicherorte der befallenen Systeme gereinigt und gelöscht wurden, und damit sicher sind", erklärt Wolfgang David, VP Sales bei Certus Software.
Geprüfte Sicherheit, Datenlöschung auf EAL3+ Niveau
Das Sicherheitsniveau, das die Datenlöschungslösung gewährleisten sollte, ist EAL3+ der Common Criteria for Information Technology Security Evaluation (kurz CC genannt oder auch als ISO/IEC 15408 bekannt. Dies ist der höchste bestehende Sicherheitsstandard, englisch IT Security Evaluation Assurance Level (EAL), herausgegeben von der EU für Datenlöschungssoftware.
Dies hat die Common Criteria R.A. (CCRA) festgelegt, ein Übereinkommen von 26 verschiedenen Regierungen der ganzen Welt, mit der Zielsetzung, die Anforderungen der ISO 15408 und die Mechanismen der gegenseitigen Anerkennung anzuheben. In den USA ist dies die National Information Assurance Partnership (NIAP), das die CCRA national bestimmt, bekannt als CCEVS.
Sichere Cloud-basierte Löschung
Die Löschung mit ihrem Management-Cockpit sollte auch in der Cloud sicher sein. Dazu ist darauf zu achten, den Zugang und ihrer Internetverbindung zu sichern: nach den höchsten Standards, gesichert durch eine verschlüsselte Verbindung nach dem TLS v1.2-Protokoll, dem Nachfolger der SSL-Verschlüsselung wie für VPN und sicheres Surfen.
Links:
- DSGVO-konforme Datenlöschung laut. 17 DSGVO Recht auf Löschung ("Recht auf Vergessenwerden")
- Nachweis der Common Criteria-Zertifizierung von Certus Software Erasure Solution, Download des vollständigen Berichts hier.
- Zur Common Criteria und ihrer Mitglieder.
- Informationen zu NIAP CCEVS.
- Über die DIN ISO/IEC 15408 (CC): Der Standard legt die Kriterien für die Sicherheitsevaluation von IT-Produkten und –Lösungen fest. Er ist ein Teil des international anerkannten Standards.
Certus Software entwickelt und betreibt zertifizierte Datenlöschsoftware (eng. Certified Data Erasure solutions), für alle Arten von Datenspeichergeräten. Entwickelt und zertifiziert innerhalb der EU ermöglicht ihre einzigartige Cloud-basierte Management-Funktionalität umfassende, forensisch-nachvollziehbare Datenlöschung mittels kostengünstiger sowie zertifizierter Services, die mit den international anerkannten Sicherheitsstandards übereinstimmen, wie der CC EAL3+.
Eingebettet in das Cloud-Portal von Certus Cloud Certified Data Erasure bietet es von vornherein, durch seine funktionale Benutzeroberfläche, die Möglichkeit, vielfacher Benutzereingaben und Berichtsoptionen an.
Das Unternehmensziel von Certus Software ist Transparenz und Nachverfolgbarkeit der zurückliegenden Informationen bezogen auf die Löschung zu schaffen und jedem Kunden zertifizierten Schutz vertraulicher Daten eines Speichermediums bei vollständiger Datenlöschung zu gewährleisten.
Unternehmensvideo: https://certus.software/media/Certus_Image_DE.mp4
Certus Software GmbH
Tattenbachstrasse 1
86179 Augsburg
Telefon: +49 (821) 6506880
http://www.certus.software
Telefon: +49 (821) 650688-0
E-Mail: pr@certus.software
Telefon: +49 (821) 661090-30
E-Mail: certus@bimpress.de