Entsorgung alter Datenträger muss genauso Datensicherheitsanforderungen genügen wie die vorhergehende Nutzung

[datensicherheit.de, 11.10.2011] Über die vier Säulen der Datensicherheit referierte Markus Sattel, Leiter Produktmanagement der Martin Yale International GmbH, auf dem “Forum Blau” der “it-sa 2011″ am Eröffnungstag:
Die Medien berichteten regelmäßig über eklatante Datenschutz-Verletzungen – als Beispiel seien Funde etwa von Patientenakten im Altpapier zu nennen. Solche Beispiele zeigten, dass das Schadens-Risiko wachse, sowohl für die betroffenen Patienten, Kunden oder Mandanten als auch für die Verursacher. Für Letztere bestehe noch ein bedeutendes Kosten-Risiko – in Form von Strafgeldern, Schadensregulierungen oder quantifizierbarem Wissensverlust (falls der Abfluss bzw. die Aufgabe von Informationsmaterial unbeabsichtigt erfolgt).
Allgemein sei bis heute die Entsorgung aller Datenträger im Alltag ein Problem. Bei den Anwendern sei oft eine Fehleinschätzung hinsichtlich der anhaltenden Schutzwürdigkeit zu bemerken. Mit dem Entlassen alter Datenträger aus der betrieblichen Anwendung verschwänden diese gewissermaßen aus dem IT-Schutzbereich.

Foto: Dirk Pinnow

Markus Sattel: Datensicherheit beginnt beim Blatt Papier DIN A4.

Um dieser gefährlichen, fahrlässigen Entwicklung zu begegnen, bedürfe es der umfassenden Risikoerkennung und -analyse, wozu die betriebsinternen Strukturen und Prozesse untersucht werden müssten. Im Betrieb habe Datensicherheit mithin vier Säulen: 1. Richtlinien (policy), 2. Prozesse (processes), 3. Verantwortlichkeit (people) und 4. Lösungen/Hilfsmittel (problem solving) – anhand der vier entsprechenden englischen Begriffe leicht als “4p” zu merken. Die Lösungen und Hilfsmittel stünden ganz bewusst erst am Ende, so Sattel – man dürfe nie den zweiten vor dem ersten Schritt machen. Es gelte also, immer zuerst die Richtlinien (u.a. gesetzliche Vorgaben, vertragliche Regelungen, Datendefinitionen und Zugriffsrechte), Prozesse (Ausnutzung, Vollständigkeit und aktueller Stand beschriebener Datenträger etc.) sowie die Verantwortlichkeit (z.B. Wer macht was, wann, wo, wie und womit?) zu klären, bevor konkrete Lösungen ausgewählt werden.
Ein Datensicherheits-Audit umfasse dementsprechend vier Phasen: 1. Die Bedarfsanalyse (assessment), 2. die Gefährdungsanalyse (vulnerability analysis), 3. die Implementierung (implementation) und 4. den konkreten Schutz (protection).
Sattel machte deutlich, dass jeder Datenträger – angefangen beim simplen Blatt Papier DIN A4 – sowohl in der regulären Nutzungsphase als auch in der sich anschließenden Nachnutzungsphase unter Datensicherheitsaspekten zu betrachten sei. In der Praxis nehme nach der Aussonderung von Datenträgern das Schutz-Interesse leider eher ab. Als praktisches Beispiel führte er ein Druck-/Repro-Center in einem Unternehmen auf. Da gebe es regelmäßig fehlerhafte Ausdrucke bzw. Kopien, blieben überzählige Exemplare liegen, werde gar das zum Scannen verwendete Original zurückgelassen. In diesen Fällen sei die Gefahr fremder Einsichtnahme sehr groß – wie auch der missbräuchlichen Verwendung.
Bei jedem Datenträger, ob Papier oder Film, Platte oder Band, ob optischer, magnetischer bzw. elektronischer Speicher – in jedem Fall sei für die spätere Aussonderung eine bedarfsgerechte Entsorgung hinsichtlich des Datenschutzes bzw. der Datensicherheit – vorzusehen.