white paper - datenlöschung
Transcription
white paper - datenlöschung
WHITE PAPER - DATENLÖSCHUNG Der Blancco Degausser DEG-15T „Löschen von Daten sichtbar nachgewiesen“ WHITE PAPER - DATENLÖSCHUNG Inhaltsverzeichnis 1. Einführung 3 2. Motivation: Argumente für sichere Datenlöschung 4 3. Löschverfahren für magnetische Datenträger 6 4. Das Degaussen (Entmagnetisieren/Durchfluten) von magnetischen Datenträgern 11 5. Funktionsweise und Bedienung des Blancco Degausser DEG 15T 15 6. Zusammenfassung und Ansprechpartner 18 7. Glossar 20 8. Anhang 22 8.1. Quellen- und Literaturverzeichnis 22 8.2. Podukte & Lösungen von Blancco 24 8.3. Zertifikate & Standards von Blancco Software 25 2 WHITE PAPER - DATENLÖSCHUNG 1. Einführung dulation des Löschfeldes erreicht der Blancco DEG-15T hingegen auch bei Disks der modernsten Bauart mit Senkrechtaufzeichnung (PMR-Technik) eine hundertprozentige Löschsicherheit. Das äußerst kräftige Magnetfeld garantiert zudem ausreichend Reserven für die Zukunft. Der Blancco Degausser DEG-15T wurde Ende 2008 vom BSI geprüft und für den materiellen Geheimschutz zugelassen! Das befähigt ihn, Löschaufgaben bei alle Firmen und Behörden wahrzunehmen, die dem Geheimschutz unterliegen bzw. den Umgang mit Verschlusssachen pflegen. Seit Ende 2008 sind die ersten Degausser vom Typ DEG-15T erfolgreich im Einsatz. Der Blancco Degausser DEG-15T wurde im Jahr 2008 auf Grundlage modernster Erkenntnisse und nach Experimenten mit aktuellen Datenträgern von Grund auf neu entwickelt. Er löscht zuverlässig Festplatten und Magnetbänder aller Aufzeichnungstechnologien. Ausgangspunkt für die Entwicklung waren Anforderungen von Kunden des Datenlöschspezialisten Blancco, die nach einer Lösung für defekte und nicht mehr ansprechbare Festplatten verlangten. Aufgrund der rasend schnellen Entwicklung, vor allem bei Festplatten, stoßen vorhandene Degausser immer öfter an Grenzen. Dies hat bei bestimmten Behörden zu einem Verbot des Degaussens von klassifizierten Datenträgern geführt. Durch seine einzigartige, softwaregesteuerte Mo- Dieses White Paper möchte in diesem Zusammenhang folgende Fragen beantworten: Welche Löschverfahren existieren für magnetische Datenträger? Wie wird im Bundesdatenschutzgesetz (BDSG) Datenlöschen definiert? Welche Verfahren und Standards gibt es zur Löschung von sensiblen Daten? Wie sicher ist das Schreddern von Datenträgern? Worauf sollte Sie bei der Auswahl von Löschsoftware (Tools) achten? Welche Arten von Degaussern (Löschgeräten) gibt es? Was beinhaltet die DIN 33858 genau und wie aktuell ist sie? Welche Mindestanforderungen müssen Degausser erfüllen? Technische Grundlagen und Bedienung des Blancco Degausser DEG-15T Wo kann und sollte ein Degausser eingesetzt werden? Worauf müssen Sie bei der Beauftragung Dritter achten? 3 WHITE PAPER - DATENLÖSCHUNG 2. Motivation: Argumente für sichere Datenlöschung der ungelöscht weitergegebenen Geräte noch weit höher. Während dem Erhalt lebensnotwendiger Daten in Unternehmen große Bedeutung beigemessen wird, interessiert sich kaum jemand für Datenträger, die am Ende ihres Lebenszykluses stehen. Dieser Umstand hat in der Vergangenheit teilweise fatale Folgen gehabt, wie ein Blick in die Presse belegt: Ursache dieser Pannen sind teilweise eklatante Wissenslücken der juristisch verantwortlichen Personen, trotz der geltenden Geschäftsführerhaftung. Dazu kommt veraltetes Wissen in den Fachabteilungen. Die Forderungen des Bundesdatenschutzgesetzes (BDSG) zum Schutz personenbezogener Daten von Mitarbeitern werden oft Abb. 1: sinnloser und unsicherer schlicht ignoriert. Der wohl Ein Versuch der „Datenlöschung“ einfachste aber trotzdem auch häufigste Fehler ist das blinde Vertrauen auf Löschroutinen von Standardbetriebssystemen, die nicht einmal im Ansatz wirklich löschen, sondern nur Speicherbereiche für das zukünftige Beschreiben freigeben. Bei der Brandenburger Polizei gerieten ungelöschte Festplatten in Umlauf/1/ Kreditkartenabrechnungen gerieten in die Presse /2/ Der Schriftverkehr einer Krankenkassen wurde veröffentlicht/3/ Detaillierte Aufstellung eines Nachlassregisters gerieten in falsche Hände/4/ Noch weit unangenehmer sind unentdeckte Datenlecks. Wirtschafts- und Konkurrenzspione haben Festplatten längst als nützliche Datenquellen entdeckt. Teilweise werden gebrauchte PCs nur erworben, um Geschäftsgeheimnisse, Passwörter und Kreditkarteninformationen bzw. Bankverbindungen auszuspähen. Diejenigen Datenträger, die Informationen enthalten, sollten unter keinen Umständen das Firmengelände ungelöscht verlassen! Dabei ist es gleichgültig, ob defekte Disks oder Leasing-PCs ausgetauscht werden. Oft wird bei Altgräten der Weg der physischen Vernichtung des Datenträgers gewählt. Das Schreddern in entsprechenden mechanischen Zerkleinerungsanlagen ist auf den ersten Blick das schnellste und sicherste Verfahren. Diese Sicherheit ist allerdings trügerisch, da auch zerstörte Datenträger sehr wohl ausgelesen werden können, wenn geeignete Technik zur Verfügung steht. Die Praxis hat zudem gezeigt, dass Datenträger noch auf dem Weg zu Shredder „verloren“ gehen, und anschließend auf Flohmärkten wiederauftauchen. Die Praxis sieht gänzlich anders aus. Nach Untersuchungen in Deutschland und den USA /5/ sind 66% der ausgesonderten und weitergegebenen Platten nicht ordnungsgemäß gelöscht. Bei Kopierern, Navigationsgeräten und Handys, die ebenfalls Datenspeicher enthalten, liegt die Anzahl 4 WHITE PAPER - DATENLÖSCHUNG sind jederzeit über entsprechenden Anti-Löschtools wiederherstellbar. Die Aktivitäten und Anstrengungen staatlicher Stellern auf dem Gebiet des Datenschutzes und der Datensicherheit erscheinen zuweilen mehr als halbherzig. Einerseits liegt den Staatsorganen bei der Verbrechensbekämpfung und Aufklärung an einer gewissen Unkenntnis und Sorglosigkeit der Täter in Bezug auf die Datenspeicherung. Andererseits gibt es nicht erst seit dem Karlsruher Urteil von Februar 2008 eine grundrechtliche Schutzpflicht des Staates, welche auch die Gewährleistung der Vertraulichkeit und Integrität von persönlichen Daten in modernen Informationssystemen zum Inhalt hat. In Deutschland, wo selbst die Anzahl der Toilettenbecken pro Quadratmeter Gastraum per Gesetz geregelt ist, fehlt für das sichere Löschen von Daten außerhalb von Sicherheitsbehörden eine verbindliche gesetzliche Norm bzw. Klassifizierung. Ebenso trügerisch ist das blinde Vertrauen in staatliche Normen, Testate oder Prüfberichte. Das gilt vor allem, wenn die zugrundeliegenden Normen viele Jahre alt sind und nicht auf den jetzigen Stand der Technik adaptiert wurden. Hier ist zu berücksichtigen, dass sich nicht nur die Datenträger innerhalb des letzten Jahrzehntes dramatisch verändert haben, sondern auch die Technik des Datenrekonstruierens beachtliche Fortschritte gemacht hat. Kommerzielle Firmen bieten diesen Service inzwischen selbst für Privatkunden an, zu teilweise sehr moderaten Preisen. Staatliche Organisationen arbeiten mit deutlich höheren materiellen und personellen Ressourcen. Auch sind Passwortschutz und die Verschlüsselung von Daten kein Ersatz für das endgültige Löschen von Daten bei der Aussonderung oder Weitergabe von Datenträgern, auch wenn das teilweise suggeriert wird! Ein weiteres Sicherheitsrisiko stellen schlechte bzw. unzureichende Produkte zur Datenlöschung dar. Nur wenige der am Markt verfügbaren Lösungen vernichten die Daten sicher, das heißt, der Löschvorgang ist: • vollständig • irreversibel • nachweisbar Grundsätzlich sind Daten rekonstruierbar solange die Daten physikalisch auf einem Datenträger vorhanden sind, dass gilt auch, wenn dieser defekt ist oder vorsätzlich, etwa mit einem Hammer oder einer Bohrmaschine zerstört wurde. Datenlöschung kann nicht gleich gesetzt werden mit einer mehr oder weniger starken Zerstörung des Datenträgers! Datenrettungsunternehmen haben in der Vergangenheit verkohlte, durchbohrte oder plattgewalzte Festplatten teilweise oder vollständig wiederhergestellt. Die Vergangenheit hat gezeigt, dass auch Testergebnisse von Fachzeitschriften nicht unkritisch übernommen werden sollten. So zeigten sich bei einem Testsieger einer Computerzeitschrift eklatante Sicherheitsmängel, da das Programm nicht in der Lage war, alle Bereiche der Platte zu löschen. Auch können viele Schreddergeräte oder ältere Degausser mit der Entwicklung der Speichertechnik und den Verfahren zur Wiederherstellbarkeit von Daten nicht mithalten. Eine generelle Lösung des Entsorgungsproblems für alle Datenträger und alle Problemsituationen ist derzeit nicht verfügbar. Vielmehr ist der Einzelfall zu unterscheiden. Optische Datenträger sind anders zu behandeln als magnetische oder rein chipbasierte Speicher wie USB-Sticks. 2.1. Sicherheitsrisiken bei der Aussonderung alter Speichertechnik Das sichere Löschen von Daten ist nicht nur eine Datenschutzfrage, sondern gehört zur IT- und Informationssicherheit des Unternehmens. Es ist somit eine Frage der Unternehmensführung. Diese erfordert entsprechende finanzielle Mittel und natürlich auch das notwendige Wissen auf der jeweiligen Führungsebene, um die rechtlichen, technischen und organisatorischen Bedingungen für eine sichere Datenlöschung. Bei vielen Nutzern der modernen Rechnertechnik gibt es zwar gute Kenntnisse der jeweiligen Anwenderprogramme aber unzureichende Kenntnisse über die technischen Grundlagen und Zusammenhänge der Datenverarbeitung und der Datenspeicherung auf dem Rechner. Dies führt ungewollt zu einer gewissen Abhängigkeit der Anwender von der Technik und den jeweiligen Programmen. Diese Programme geben aber teilweise irreführenden Informationen an den Nutzer weiter. So stellen Betriebssysteme dem Anwender vor dem Löschen die Frage: „Wollen sie wirklich endgültig löschen“. Dies suggeriert einen quasi unumkehrbaren Vorgang. Genau das Gegenteil ist richtig. Es geschieht nichts weiter, als das der betreffende Datenbereich zum späteren Beschreiben freigegeben wird. Die Informationen bleiben so lange vorhanden bis dies geschieht und Zum Thema „ Löschen von Daten“ existiert eine umfangreiche Literatur (siehe auch Literaturempfehlung /8/). Nicht alles davon hält heute einer kritischen Analyse stand. Eine der Ursachen ist der schnelle technologische Wandel auf dem Gebiet der Aufzeichnungstechnik. Die DIN 33858 „Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern“ gilt heute bei Experten als völlig veraltet. 5 WHITE PAPER - DATENLÖSCHUNG 3. Löschverfahren für magnetische Datenträger 3.1. Überblick der auf dem Markt verfügbaren Verfahren 3.2. Definition Datenlöschung Im § 3 Absatz 4.5 des Bundesdatenschutzgesetzes (BDSG) wird „Löschen“ als „Unkenntlichmachen gespeicherter Daten“ definiert. Dieser Begriff „Unkenntlichmachen“ besitzt jedoch kein eindeutiges technisches Äquivalent und ist auch rechtlich problematisch. Es wurde daher mehrfach versucht, Umschreibungen dafür zu finden. In der DIN 44300 (Begriffe in der Informationstechnik) wird „Löschen“ als „Daten auf einem Datenträger oder Daten in einem Speicher vernichten“ definiert. In einem Kommentar von Dr. Herbert Auernhammer zum Bundesdatenschutzgesetz /10/ heißt es, dass: „... die Kenntnis der Daten für jedermann zu jeder Zeit tatsächlich unmöglich sein muss.“ Für das Löschen von Daten werden derzeit mehrere Verfahren angeboten. Diese Verfahren können nach verschiedenen Gesichtspunkten unterschieden werden. • Verfahren, die eine Wiederverwendung des Datenträgers ermöglichen bzw. Verfahren, bei denen eine Wiederverwendung nicht möglich ist. • Verfahren, die einzelne Dateien oder Partitionen löschen können oder aber Verfahren, die grundsätzlich den gesamten Datenträger löschen bzw. zerstören. Eine Unterteilung nach logischem Löschen oder physikalischem Löschen, wie sie manchmal in der Literatur zu finden ist, ist problematisch und abzulehnen. Eine physikalische Zerstörung des Datenträgers, wie beispielsweise beim Schreddern, führt bei genauerer Betrachtung nicht zum Löschen der Daten, der Ausleseprozess ist nur mit erhöhtem Aufwand verbunden. Umgekehrt ist das Überschreiben von Daten durchaus keine rein logische Operation, da die Beschichtung des Datenträgers durch das Überschreiben physikalisch verändert wird. Dazu ist anzumerken, dass sich der Stand der Technik rasant wandelt. So waren die vom Ministerium für Staatssicherheit der DDR geshredderten Papierakten zum Zeitpunkt des Vernichtungsbefehles tatsächlich nicht rekonstruierbar, die Zerstörung zum aktuellen Zeitpunkt also vollständig. Binnen 12 Jahren veränderte der technische Fortschritt diese Einschätzung vollkommen. Hochleistungsscanner, neue Computer und speziell entwickelte Software ermöglichten die Wiederherstellung des Aktenmaterials. Die scheinbar sicher vernichteten Informationen standen plötzlich wieder zur Verfügung. Die wohl sinnvollste Unterscheidung besteht darin, sie in sichere, weniger sichere und absolut unsichere Löschverfahren zu unterscheiden. Diese Unterteilung geht jedoch quer durch alle Verfahren und Methoden. Keine Methode ist aus sich heraus als sicher einzustufen, es bedarf der eingehenden Analyse der Umsetzung anhand von aktuellen Prüfverfahren und exakten Kriterien. Dies zeigt, dass eine Wiederherstellung angeblich vernichteter Daten solange möglich ist, solange sie physikalisch als solche vorhanden sind. Insofern ist eine Begriffsbestimmung, die sich nur auf den notwendigen Aufwand zur Wiederherstellung der Daten bezieht, wie dies beispielsweise 6 WHITE PAPER - DATENLÖSCHUNG vollständig, fehlerfrei, nachweisbar und nicht rekonstruierbar gelöscht wurde. Dabei ist zu bedenken, dass einmaliges Überschrieben mit einer geeigneten Software weitaus sicherer ist, als 35maliges, unvollständiges Überschreiben mit einer ungeeigneten Software. Von besonderer Bedeutung sind hier jene Speicherbereiche von Festplatten, auf die marktübliche Betriebssysteme keinen Zugriff haben. in der DIN 32757 (Vernichten von Informationsträgern) oder der bereits genannten DIN 33858 geschieht, für sensible Informationen offensichtlich unzureichend. Bedenkt man die technischen Möglichkeiten der Datenwiederherstellung, kann bei der Datenträgervernichtung durch Schreddern nicht von einem Löschvorgang im Sinne des Gesetzes gesprochen werden, da nur der Datenträger zerstört wird, nicht aber die auf ihm, bzw. seinen Bruchstücken gespeicherten Informationen! Viele Softwarelösungen, insbesondere die auf Windows basierenden Tools, arbeiten nicht unabhängig vom BIOS und dem Betriebssystem. Diese Tools können daher nur die vom jeweiligen Betriebssystem verwalteten Dateien erkennen, bearbeiten und löschen. Sie haben keinen Zugriff auf die vom Hersteller der Festplatten mit Hilfe der Firmware verwalteten Speicherbereiche (z.B. die HPA - Host Protected Area*, das DCO - Device Configuration Overlay, oder auch auf Daten in defekten und remappten Sektoren). Diese Bereiche können aber durchaus Anwenderdaten enthalten! Frei verkäufliche Forensic- und Recoverytools lesen diese Bereiche aus und gestatten so die Rekonstruktion von Teilen der ursprünglichen Information. 3.3. Beschreibung marktgängiger Verfahren zur Datenlöschung Im Folgenden sollen die verschiedenen Methoden, den gesetzlichen Löschauftrag zu erfüllen, kurz vorgestellt werden. Die derzeit am meisten angewendeten Verfahren sind: • Überschreiben mit Hilfe einer speziellen Software • Mechanische Zerstörung durch Schredder • Entmagnetisierung bzw. die magnetische Durchflutung mit Hilfe von Degaussern Keine dieser Methoden kann für sich in Anspruch nehmen, unter allen Umständen zielführend zu sein. Als Datenlöschungsspezialist bietet Blancco daher zwei alternative Verfahren an. Die physikalische Zerstörung der magnetischen Informationen durch Softwaretools oder einen Degausser. Schreddern ist eine Dienstleistung, die sich bevorzugt im Portfolio von Entsorgungsunternehmen und Aktenvernichtern als zusätzlicher Service findet. Wichtige Kriterien für die Beurteilung der Sicherheit einer Löschsoftware I. Vollständig: Das Tool muss alle Bereiche der Festplatte löschen, also auch die für das BIOS und das Betriebssystem versteckten Bereiche wie HPA und DCO. II. Fehlerfrei: Das Tool sollte so einfach zu bedienen sein, dass Bedienerfehler möglichst ausgeschlossen sind. Es sollte zudem den Löschprozess selbständig überprüfen (verifizieren), um ihn nötigenfalls zu wiederholen oder den Anwender zu warnen. III. Nachweisbar: Das Tool sollte den Löschprozess und das Ergebnis in einem Protokoll eindeutig mit Seriennummer der Festplatte, Anzahl der überschriebenen Sektoren, Datum und Überschreibmuster dokumentieren und dieses Löschdokument anhand einer Signatur bzw. Prüfsumme fälschungssicher abspeichern. IV. Nicht Wiederherstellbar: Das Tool sollte dafür mindestens einmal alle Bereiche der Festplatte Bit für Bit mit Zufallszahlen überschreiben oder aber dreimal mit einem sich abwechselnden Bitmuster. A) Löschen von Daten durch Überschreiben mit einer speziellen Software (Tools) Derzeit gibt es ca. 25 - 30 kostenpflichtige, aber auch kostenfrei (Open Source) Softwarelösungen zum Löschen von Daten auf Festplatten. Die Mehrzahl davon bieten verschiedene Löschstandards für das Überschreiben der „alten“ Daten an, wie z.B. VSITR, HMG-Infosec, DoD, NISPOM, Gutmann. Diese Standards definieren zum einen die Anzahl der Überschreibvorgänge (1, 3, 7 oder 35-maliges Überschreiben) und zum anderen den Inhalt der zu schreibenden Information, also das jeweilige Bitmuster. Diese Information kann in einer einzelnen hexadezimalen Zahl, wie „C1“, oder eine bestimmte Ziffernfolge wie 11000001 bzw. dem dazugehörigen komplementären Muster 3E; 00111110 bestehen. Diese internationalen Löschstandards sagen allerdings nur bedingt etwas über den tatsächlichen Löschzustand der gesamten Platte aus. Von einer Löschung im Sinne des Gesetzes kann nur gesprochen werden, wenn ein Datenträger Für die ökonomische Beurteilung spielen noch weitere Kriterien, wie die Löschgeschwindigkeit, der Automatisierungsgrad der Prozessabläufe, der Preis pro Löschung (Lizenzpolitik) sowie der Support und der Service eine Rolle. Kommerzielle Anbieter sollten in der Lage sein, die Nutzer bei speziellen Problemen und besonderen Sachlagen zu beraten. 7 WHITE PAPER - DATENLÖSCHUNG Die Nachteile des Überschreibens als Löschverfahren Die Aussage von Entsorgungs- und Remarketingunternehmen, hinsichtlich einer angeblich zertifizierten Datenvernichtung bzw. -löschung, beziehen sich oft nicht auf die eingesetzte Löschsoftware, sondern nur auf die jeweiligen Prozessabläufe und das Qualitätsmanagement des betreffenden Unternehmens. Eine Aussage über eine sichere und vor allem vollständige Löschung der Daten auf Altgeräten ist damit nicht verbunden. • Daten von defekten Datenträgern können aus offensichtlichen Gründen mit Softwarelösungen generell nicht gelöscht werden. • Der Zeitaufwand für den Überschreibvorgang ist abhängig von der Festplattengröße und der Anzahl der Überschreibvorgänge. Er kann bei unprofessionellen Softwaretools mehrere Stunden pro GByte betragen. • Bestimmte Tools sind prinzipiell nicht sicher oder kompliziert und damit fehleranfällig in der Handhabung. Für viele Tools, insbesondere Freeware, gibt es keinen qualifizierten technischen Support. In Deutschland existiert bislang (Stand 2009) keine Norm bzw. Prüfanordnung des BSI zum Löschen von Datenträgern durch Softwaretools. Die bereits mehrfach erwähnte DIN 33858 „Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern“ ist nicht auf dem aktuellen Stand der Technik und enthält keine Kriterien für das Löschen von Daten durch Überschreiben. Sie ist von der Sache her eine veraltete Norm aus dem Jahr 1993, die sich auf Löschgeräte für Magnetbänder bezieht. B) Schreddern von Datenträgern als Verfahren zur Datenlöschung Lange Zeit galt das Schreddern von Datenträgern als günstigste und sicherste Lösung für die Akten- bzw. Datenträgervernichtung. Die Sicherheitsbedenken bezogen sich meist nur auf den Transportweg und die Partikelgröße des Schreddergutes. Solange sich an diesem Zustand nichts ändert, sind die Anwender von Löschprogrammen auf internationale Zertifikate angewiesen. Die bislang umfangreichsten Prüfverfahren gibt es in England (CESG), in den Niederlanden (AIVD), Frankreich (DCSSI) und von der Nato. Softwaretools mit diesen internationalen Zertifikaten können als sicher und zuverlässig eingeschätzt werden. Allerdings haben sich bislang nur wenige Anbieter dazu entschließen können, ihre Löschtools entsprechend zertifizieren zu lassen. Die Zerstörung des Datenträgers durch Schreddern ist zwar augenscheinlich, bezieht sich aber nur auf das Gerät und nicht auf die Daten. Das zentrale Löschziel bleibt somit unberührt. Die gespeicherten Daten lassen sich je nach Zerstörungsgrad des Datenträgers mit mehr oder weniger großem technischen Aufwand wiederherstellen. Die entsprechenden Geräte sind inzwischen frei verkäuflich und teilweise im Besitz von entsprechend qualifizierten Personen. Der zeitliche und finanzielle Aufwand ist dank des technischen Fortschritts nicht so gewaltig, wie er oft suggeriert wird. Die wesentlichen Vorteile des Überschreibens als Löschverfahren • Sehr kostengünstig, da eine reine Softwarelösung keine speziellen Apparate, geschultes Personal oder besondere Räumlichkeiten erfordert. Zudem sind die Datenträger nach dem Löschvorgang wiederverwendbar. Löschtools entsprechend damit den Anforderungen an Green-IT und den WEEE-Richtlinien zur Altgeräteverwertung. • Eine sehr sichere Lösung. Die Daten können danach nicht wiederhergestellt werden. Softwaretools wurden bis zum Geheimhaltungsgrad vertraulich, geheim und sogar streng geheim zugelassen. (Der Blancco Data Cleaner 4.8 wurde 2007 von der NATO für den Geheimschutz „NATO-Secret“ zugelassen) • Löschtools lassen sich gezielt und flexibel einsetzen. Es können, je nach Software, einzelne Partitionen, ganze Festplatten und auch komplette Systeme automatisiert gelöscht werden. • Bei einer guten Software ist ein konkreter und eindeutiger Einzelnachweis über die erfolgte Löschung pro Datenträger möglich. Dies entspricht den Anforderungen der ISO/IEC 27002 an die Dokumentationspflicht. Eine 2005 erstellte Untersuchung von Tom D. Milster an der Universität von Arizona an optischen Datenträgern vom Typ CD belegt die Problemlage. (Data Recovery from Compact Disk Fragmen /11/). Zunächst wurden von einem Shredder CDs in kleine Streifen zerhexelt. Anschließend untersuchte er die Bruchstücke auf noch auslesbare Datenblöcke, und wurde fündig! Dem Forscher gelang die Wiederherstellung von 13.230 Userdaten aus einem Schredderfragment von gerade einmal 5,7 x 0,11 mm Größe mit Hilfe eines „Dynamic Spin Stand“. Dies zeigt die heute bereits existierenden technischen Möglichkeiten der Datenwiederherstellung mit frei verfügbaren Geräten auf. Selbstverständlich ist eine solche Rekonstruktion nicht für jedermann möglich, zudem erfordert sie Zeit und Geld. Doch nicht nur die Universität von Arizona und das BKA in Deutschland verfügen über einen Dynamic Spin Stand. Der derzeit noch hohe Zeitaufwand für die Auswertung der Daten mit diesen Verfahren hängt im Wesentlichen von der verfügbaren Rechnerkapa8 WHITE PAPER - DATENLÖSCHUNG zität ab. Mit jeder Rechnergeneration wird dieser Zeitaufwand geringer. Sie berücksichtigt kaum die Möglichkeiten der modernen Recovery Technik und der in den letzten Jahren dramatisch gesteigerten Schreibdichte von Festplatten. (siehe Abbildung). In der Praxis bedeutet das, auf den ersten Blick unbedeutend scheinende Bruchstücke von Festplatten enthalten in Wirklichkeit Informationen von Hunderten Dokumentenseiten bzw. ganze Tragetaschen voller Akten. Ähnliches gilt für das Schreddern von Festplatten. Aus diesem Grund mag es erlaubt sein, die vom BSI zugelassene maximale Partikelgröße von die 300 mm² nach dem schreddern von Festplatten /12/ kritisch zu hinterfragen. Abb. 2: Reste einer geshredderten Festplatte. Deutlich zu erkennen ist nicht nur ein Stück der Plattenoberfläche sondern auch der Strichcode für die eindeutige Kennzeichnung des Festplattentyps. Die Stücke sind etwas größer als von der DIN gefordert, wurden aber vom Entsorger auf einem nach SicherheitsStufe 3 zugelassenen Schredder zerkleinert. Die zugelassenen Bruchstücke von 60x4mm entsprechen umgerechnet ca. 0,37 Zoll²! Abb. 3: Zum Vergleich: Diese Mini- Festplatte von Toshiba hat eine Abmessung von 32x24 mm und erreicht eine Speicherkapazität von 10 GByte, was einer Speicherdichte von ca. 200 Gbit pro Quadratzoll entspricht. Auf die oben abgebildete Schredderfragmente passen also bequem mehrere 1.000 Seiten eines Word-Dokuments, mit Kundendaten, Forschungsergebnissen oder Finanzdaten. 10 GByte entsprechen ausgedruckt etwa einem Papierstapel in der Höhe von 250 Metern. Empfehlungen des NIST Zusätzliche Risiken durch mangelhafte Logistik Gemäß den Empfehlungen des Center for Magnetic Recording Research (CMRR) der USA und der Empfehlung 800-88 des US-Amerikanischen National Institute for Science and Technology (NIST) liegt die komplette Zerstörung einer Festplattenoberfläche erst dann vor, wenn die resultierenden Partikel nicht mehr groß genug sind, um einen einzigen Speicherblock von 512 KB zu enthalten. Dann ist keine Möglichkeit der Datenwiederherstellung denkbar. Betrachtet man die aktuelle Disk-Generation, so entspricht dies einer Größe von ca. 0,2 mm². Dabei ist zu beachten, dass mit jeder neuen Generation die Speicherkapazität der Platten steigt und folglich die Größe eines Speicherblocks sinkt! Ein weiteres Risiko ist der Transport und die Lagerung der Festplatten vor deren Zerstörung mit einem Schredder. Aufgrund unklarer Entsorgungsvarianten wurden und werden in vielen Unternehmen und öffentlichen Einrichtungen gebrauchte Festplatten zunächst an ungeeigneten Orten gelagert. Bei den Untersuchungen zum bereits erwähnten Datenskandal bei der Brandenburger Polizei wurde festgestellt, dass dieser nicht durch ein unzureichendes Löschverfahren verursacht wurde, sondern durch Personal, das Zugang zu den im Keller eingelagerten Gitterboxen voller alter Festplatten hatte. Auch die von der Zollverwaltung auf ihrer Internetseite angebotene Platten mit Kinderpor9 WHITE PAPER - DATENLÖSCHUNG nografie waren nicht Zeugnis unzureichender Datenlöschung, sondern Folge von Mängeln in der Logistik. Ähnliche Bedenken zur DIN 32757 wurden auch vom Arbeitskreis „Technische und organisatorische Fragen des Datenschutzes“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder geäußert. Wer Festplatten nicht wieder verwenden kann oder will, sollte sie möglichst im Unternehmen bzw. einer gesicherten Einrichtung selber degaussen und anschließend von einem Entsorgungsunternehmen zerkleinern lassen, bzw. direkt an eine Edelmetallhütte liefern. Nach erfolgreichem degaussen stellt der Transport und die finale Partikelgröße des Schreddergerätes kein Sicherheitsrisiko mehr dar. Vorteile des Schredderns von Datenträgern • Preisgünstige Variante zur Entsorgung von Datenträgern die nicht wieder verwendet werden können • Es können größere Mengen auch unterschiedlicher Datenträger (CD, DVD, Bänder, Festplatten) gleichzeitig und in relativ kurzer Zeit zerkleinert werden • Bei fachgerechter Entsorgung ist eine Edelmetallrückgewinnung in Spezialhütten möglich Nachteile des Schredderns von Datenträgern • Bei Festplatten mit sensiblen Daten keine sichere Lösung für eine irreversible Datenvernichtung • Keine Wiederverwendung des Datenträgers möglich • Kein revisionssicherer Einzelnachweis über die Vernichtung der Daten pro Datenträger möglich. Zusammenfassung Die Wiederherstellung der Daten von geschredderten Festplatten stellt heute weder ein theoretisches noch ein technisches Problem dar, sondern erfordert lediglich ein entsprechendes finanzielles Engagement. Es gibt bereits zum heutigen Zeitpunkt Technologien zum auslesen der magnetischen Aufzeichnung auf kleinsten Partikeln (BLS Blue-Laser-Scanning, MPA Magnetische Pattern Analysator, MFM Magnetic-Forcee-Microskopie) als auch Experten, die aus den wiederhergestellten Datenblöcken die logische Datenstruktur rekonstruieren können. Das Ergebnis sind ganze Dateien oder zumindest Dateifragmente der scheinbar zerstörten Platte. Schredderanlagen bieten also, unabhängig von der tatsächlichen Partikelgröße, die mit der Anlage erreicht werden, generell nur eine „hinreichende“ Sicherheit. Bereits im Jahre 2004 hat das Landesamt für Verfassungsschutz in Baden-Württemberg auf die bestehenden Gefahren bei der Zerstörung durch Schredder hingewiesen. 10 WHITE PAPER - DATENLÖSCHUNG 4. Das Degaussen (Entmagnetisieren/Durchfluten) von magnetischen Datenträgern Es gibt bislang drei verschiedene Arten von magnetischen Löschgeräten (Degaussern), die von ca. 15-20 Herstellern auf dem internationalen Markt angeboten werden. Die Mehrzahl der Anbieter kommt aus den USA, Japan und England, einzelne Hersteller gibt es in Norwegen, Südkorea und Russland. erzielen. Dazu wird das Löschgut über einen motorischen Schlitten durch das Gap des Magneten geführt. Diese Geometrie garantiert die volle Nutzung des Magnetfeldes im Degausser. Aufgrund der veränderten Beschichtungstechnologie sind die Koerzitivfeldstärken (siehe unten) aktueller Festplatten derart gestiegen, dass ein degaussen mit anderen Geometrien nicht mehr empfiehlt. Geräte, bei denen die zu löschenden Datenträger auf dem Polschuh des Elektromagneten aufliegen, sollten nur noch zum Löschen von älteren Bändern verwendet werden. Die einzelnen Modelle können nach folgenden grundlegenden Funktionsweisen unterschieden werden. 1. Löschgeräte ,die mit einem Dauermagneten arbeiten und in denen der Datenträger mit einer entsprechenden Mechanik verdreht wird. 2. Löschgeräte mit Elektromagnet, die ein magnetisches Wechselfeld mit abnehmender Amplitude zur „Abmagnetisierung“ erzeugen. 3. Löschgeräte mit Elektromagnet, die mit einem magnetischen Impulsfeld zur ein- oder mehrmaligen magnetischen Durchflutung des Datenträgers arbeiten. 4. Löschgeräte mit Elektromagnet, die sowohl ein Impuls- als auch ein Wechselfeld erzeugen. Bislang einziges Gerät dieser Kategorie ist der Blancco Degausser DEG-15T (näheres dazu im Kapitel 5). Grundlage für das Löschen der Daten ist bei allen Geräten das Prinzip der weitgehenden Entmagnetisierung der ursprünglich vorhandenen magnetischen Aufzeichnung durch die Einwirkung eines externen Feldes. Ob die Zerstörung der magnetischen Bitmuster, welche die Daten auf der magnetischen Speicheroberfläche des Datenträgers repräsentieren, dabei vollständig und irreversibel ist, hängt im Wesentlichen von zwei Faktoren ab: • Von den Materialeigenschaften des Speichermediums, insbesondere deren Koerzitivfeldstärke in der Maßeinheit Oersted bzw. A/m ( 1 Oe = 79,6 A/m). • Von der Feldstärke des Löschgerätes, bzw. der magnetischen Flussdichte oder auch der magnetischen Induktion in Gauss bzw. Tesla (10.000 Gauss = 1 Tesla). Mit dem DEG-15T betritt Blancco technologisches Neuland. Dieser Degausser kombiniert über eine speziell dafür entwickelte Software Impulsfeld und Wechselfeld. Der neuentwickelte Elektromagnet erzeugt ein Feld von circa 15.000 Gauss. Dieses wirkt während des Löschvorganges gleich mehrfach auf den Datenträger ein und wird zudem softwaregesteuert moduliert, um ein Maximum an Effizienz zu Ein Blick auf die physikalischen Grundlagen der beiden Kenngrößen Oersted und Gauss zeigt deren Bedeutung für die für die Beurteilung der Wirksamkeit der Datenlöschung. 11 WHITE PAPER - DATENLÖSCHUNG Um diese Magnetisierung aufzuheben bzw. irreversibel zu beseitigen, ist wiederum ein entsprechend starkes umgekehrtes äußeres Magnetfeld notwendig. Ein Degausser hat die Aufgabe, ein solches Feld zu erzeugen. Die aus dem Physikunterricht bekannte Magnetisierungskurve (Hystereseschleife) fasst die Vorgänge zusammen. Startpunkt ist der unmagnetisierte Werkstoff (Mitte des Koordinatenkreuzes). Ein außen anliegendes Feld H (z.B. vom Schreibkopf der Festplatte) führt zu einer Magnetisierung, die von der Neukurve beschrieben wird. Wenn das Feld H aufhört einzuwirken, bleibt der Werkstoff aufgrund der Remanenz magnetisch. Erst ein umgekehrtes Feld ausreichender Stärke beendet diesen Zustand und entmagnetisiert ihn. Alle magnetischen Datenträger, also Bänder, Festplatten und Disketten, nutzen die Fähigkeit bestimmter Werkstoffe, magnetische Felder quasi „einzufrieren“. Diese wird als Remanenz (von lateinisch remanere = zurückbleiben) bezeichnet. Sie ist, vereinfacht gesagt, das Fortdauern einer Wirkung nach dem Wegfall der Ursache, hier die zurückbleibende Magnetisierung (auch Remanenzflussdichte) in einem ferromagnetischen Werkstoff nach dem Abschalten des äußeren Magnetfeldes. Um diesen Zustand möglichst stabil zu erhalten, werden die zu speichernden Daten in Form von magnetischen Bitmustern (Polarisierung von kleinen Abschnitten auf der Oberfläche des Datenträgers in Nordsüd- oder Südnordrichtung) bis zur magnetischen Sättigung des jeweiligen Materials magnetisiert. Abb. 4: H Hc B Br S N Die Koerzitivfeldstärke Hc (H für magn. Feldstärke und c für coerzivity) drückt aus, welche Feldstärke notwendig ist, um einen Werkstoff vollständig zu entmagnetisieren. Je höher also die Koerzitivfeldstärke eines Datenträgers ist, desto stabiler behält er seine ursprüngliche Magnetisierung (Remanenz), wenn er einem magnetischen Gegenfeld ausgesetzt wird. Von der Festplattenindustrie wurden in Zusammenarbeit mit den Herstellern von entsprechenden magnetischen Legierungen für die Oberflächenbeschichtung der Platten (Sputtertargets) massive Forschungsanstrengungen unternommen, um die Koerzitivfeldstärke der Festplatten und damit die Stabilität und Sicherheit der Datenaufzeichnung zu erhöhen. Gleichzeitig konnte dadurch, und das war der Hauptantrieb dieser Entwicklung, die Speicherkapazität der Festplatten immer weiter erhöht werden. Mit konkreten Angaben über die jeweilige Koerzitivfeldstärke einer Festplatte halten sich die Hersteller jedoch sehr bedeckt. Anhand von entsprechenden wissenschaftlichen Publikationen kann man diese Entwicklung jedoch nachvollziehen. Eine 120 MB Festplatte hatte demnach etwa 1.500 Oe, eine 10 GB Festplatte ca. 2.300 Magnetische Feldstärke in Oersted Koerzitivfeldstärke in Oersted Magnetische Flussdichte (Induktion) in Gauss bzw. Tesla Remanenz (verbleibende Flussdichte) in Gauss bzw. Tesla Sättigung (Sättigungspolarisation höchste erreichbare Polarisation in einem Werkstoff ) in? Neukurve (Aufmagnetisierung bis zur Sättigung – verbleibende Magnetisierung – Entmagnetisierung – Umkehrung der der Polarisation bis zur Sättigung) Oe, eine 50 GB-Platte ca. 3.000 Oe und eine 100 GB-Platte ca. 4.500 Oe. Für heutige Festplatten mit Senkrechtaufzeichung (PMR perpendicular magnetic recording) und 320 GB haben aktuelle Untersuchungen eine Koerzitivfeldstärke von 5.000 Oe ergeben. Für Magnetbänder geben viele Hersteller die Koerzitivfeldstärke direkt auf den jeweiligen Produktblättern an, diese liegen bei 1540 Oe für DLT III, 2250 Oe für Zip 250 MB bis 2650 Oe bei LTO –Ultrium3 Bändern. 4.1. Sicheres Löschen durch Degaussen Als Faustregel für die zum Degaussen notwendigen Feldstärke gilt folgende Regel: Die Feldstärke sollte in der Einheit Gauss etwa doppelte so hoch sein, wie die Koerzitivfeldstärke des Magnetbandes oder der Festplatte, gemessen in Oersted. Eine Festplatte mit einer Koerzitivfeldstärke von 5.000 Oe sollte also mit einem Degausser gelöscht werden, der mindestens 10 000 Gaus zur Verfügung stellen kann. 12 WHITE PAPER - DATENLÖSCHUNG Die Maßeinheiten Oersted und Gauss können nicht gleichgesetzten werden. Es gilt jedoch eine näherungsweise Gleichsetzung bei hohen Feldstärken von 10.000 Gauss und mehr. Dann nimmt die Permeabilität µ (das Produkt aus der Induktionskonstanten und der relativen Permeabilität des Mediums) näherungsweise den Wert µ = 1 an. Insofern kann der Wert der Koerzitivfeldstärke des Speichermediums gemessen in Oersted und der Wert der magnetischen Feldstärke des Löschgerätes gemessen in Gauss ohne großes Umrechnen miteinander verglichen werden. Es gilt näherungsweise: 104 Oe = 104 Gauss = 1 Tesla bei µr = 1 Faustregel anzuwenden und die reine Feldstärke des Magneten zu betrachten. Es sind vielmehr aufwendige, messtechnische Untersuchungen am Löschgut nötig. Diese werden zum Beispiel in den USA nach den Kriterien der NSA (National Security Agency) unter anderem am CMRR (Center fort Magnetic Recording Research) durchgeführt. Die geprüften Degausser werden in 3 Klassen eingeteilt und regelmäßig in einer Liste veröffentlicht /15/. Die einzelnen Prüfberichte mit den konkreten Testergebnissen sind leider nicht zugänglich. Diese Faustregel kann jedoch nur als grobe Orientierung dienen! Zwei Faktoren sind besonders zu berücksichtigen: • die Geometrie zwischen Löschgut und Löschfeld • der Aufbau der Platte. 4.4. Aktuelle Technische Leitlinien des BSI für moderne Festplatten In Deutschland gibt es, nachdem der Versuch, die DIN 33858 im Jahr 2006 zu über-arbeiten, gescheitert ist, seit April 2008 eine aktuelle Prüfanordnung für das Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern mit Hilfe eines Löschgerätes (Degausser). Diese wurde in den Technischen Leitlinien des BSI (BSI-TL 03422) veröffentlicht /16/. Im Gegensatz zur alten DIN, bei der es nur um die Prüfung der Signalreduzierung (Löschdämpfung) der magnetischen Aufzeichnung unter bestimmte Grenzwerte in Dezibel (45 db und 90 db) ging, und die Löschgeräte dementsprechende in Klassen A1 bis B3 eingeteilt wurden, ist nunmehr eine Prüfung der Löschwirkung mit Hilfe eines Magnetkraftmikroskops (MFM-Gerät) vorgeschrieben. Diese Prüfmethode bietet weit mehr Sicherheit als alle bisherigen internationalen Prüfverfahren. Hiermit kann die vollständige Vernichtung der ursprünglichen Datenaufzeichnung „sichtbar“ nachgewiesen werden. (Siehe Abb. 5 und Abb. 6 auf S. 14) Die Feldstärke sollte beispielsweise bei Impulsfeld- Degaussern und herkömmlichen Festplatten mit Längsaufzeichnung (Longitudinal Recording), mindestens das 2,5-fache der Koerzitivfeldstärke betragen. Bei Festplatten mit Senkrechtaufzeichnung (PMR) genügt hingegen das 1,5-fache, da die in-plane Komponente bei einem Polschuhmagneten nur etwa halb so hoch ist wie die senkrechte Feldkomponente. Auch bewirken die im Festplattengehäuse auftretenden Abschirmungs- und Verwirbelungseffekte eine Abschwächung des Feldes um circa 20 Prozent. 4.2. Grenzen der Degausser-Typen Degaussern mit Dauermagneten werden durch die zur Verfügung stehenden Materialien für den Permanentmagneten (seltene Erden) sowie durch die enormen Kräfte, die von der Mechanik beim drehen des Datenträgers im Gerät überwunden werden müssen, physikalische Grenzen gesetzt. Auch ist die Löschwirkung auf der Innenseite der Platte bzw. bei den mittleren Scheiben einer Festplatte mit mehreren Scheiben deutlich geringer als an den oberen Scheiben. Bei Degaussern mit einem Wechselfeld sind durch die auftretende Wärmeentwicklung und die enorme Vibration, denen der Datenträger in diesem Magnetfeld ausgesetzt ist, ebenso Grenzen für die einsetzbare Feldstärke gesetzt. Eine Studie, die im Auftrage des BSI an der Uni Regensburg /14/ durchgeführt wurde, belegte bei Degaussern dieses Typs eine unzureichende Löschwirkung. Sie stellen daher für Festplatten ab Baujahr 2004/05 ein Sicherheitsrisiko dar und sollten ausgetauscht werden. Solche Aufnahmen bzw. Untersuchungen sind laut Richtlinie an mindestens sechs unterschiedlichen Stellen der Plattenoberfläche durchzuführen. Sie sind aber nur ein Teil der neuen Prüfanordnung des BSI. Weiter ist die tatsächlich verfügbare Feldstärke an der Plattenoberfläche des Löschgutes zu ermitteln, wobei die Koerzitivfeldstärke der jeweils untersuchten Festplatte exakt zu bestimmen ist, um die Löschleistung beurteilen zu können. Zusätzlich fordert die Richtlinie, dass der zu prüfende Degausser nicht unzulässig hohe elektromagnetische Felder abstrahlt. Hier gelten die arbeitsschutzrechtlichen Vorschriften des BGV-B11. Leider fehlt es bislang noch an einer geeigneten Prüfeinrichtung in Deutschland, die alle geforderten Untersuchungen einheitlich durchführen kann. Die Prüfung des Blancco Degausser DEG 15T musste daher auch an verschiedenen Einrichtungen durchgeführt werden. (Ergebnisse siehe Kapitel 5) 4.3. Der Nachweis sicheren Löschens bei Degaussern in den USA und Deutschland Für die genauere Beurteilung der Löschwirkung eines Degausser reicht es also nicht aus, die oben beschriebene 13 WHITE PAPER - DATENLÖSCHUNG Abb. 5: Diese MFM- Aufnahmen stammen von einer ungelöschten 320 GByte Festplatte. Der Ausschnitt zeigt ein Quadrat von ca. 2,5 µm Kantenlänge. Deutlich sichtbar sind die einzelnen Bits in Form von magnetischen Domänen. Solange dieses Bitmuster noch in irgendeiner Form vorhanden ist, sind grundsätzlich Daten, und damit Informationen, rekonstruierbar. Abb. 6: Diese MFM-Aufnahme zeigt dieselbe Platte in gelöschtem Zustand. Es ist zwar noch eine Magnetisierung sichtbar, aber die Anordnung ist völlig chaotisch. Es kann kein einheitliches Bitmuster mehr abgeleitet werden. Die Daten (Informationen) sind irreversibel vernichtet. Die beiden abgebildeten Messungen mit einem Magnetkraftmikroskop erfolgten an der PTB (Physikalisch Technischen Bundesanstalt) in Braunschweig. 4.5. Wesentliche Vorteile des Degaussen von Datenträgern 4.6. Nachteile des Degaussens von Datenträgern • Eine sichere und durch entsprechende Prüfkriterien des BSI auch für vertraulichste Daten autorisierte Form der Datenvernichtung • Sichere Datenlöschung ist auch auf defekten, durch Softwaretools nicht mehr ansprechbaren, Datenträgern möglich. • Sehr schnelle Datenlöschung, der eigentliche Löschvorgang dauert nur wenige Minuten. • Eine Wiederverwendung der Datenträger ist bei Disketten und Magnetbändern ohne Servospuren möglich, viele Festplattenhersteller akzeptieren bei defekten Festplatten im Garantie-Verfahren auch degausste Datenträger. • Degausser arbeiten unabhängig von der verwendeten Schnittstelle (SATA, PATA, SCSI, FC) und unabhängig von der Computer-Infrastruktur im Unternehmen. Auch Platten, die von keinem Rechner mehr angesprochen werden können, sind sicher löschbar. • Eine Wiederverwendung der gelöschten Festplatten ist nicht möglich, da die magnetischen Steuerinformationen auf der Datenträgeroberfläche (Servospuren) durch das degaussen zerstört werden. Dies gilt auch für bestimmte Bandtypen. • Bei geringen Mengen von zu löschenden Datenträgern ist das Degaussen eine vergleichsweise teure Lösung, brauchbare Geräte kosten zwischen 20.000,- und 60.000,-€ • Degausser können nur bei magnetischen Datenträgern eingesetzt werden, für DVD, CD und Flashspeicher sind sie nicht geeignet. • Festplatten mit Flashspeicher müssen vor dem degaussen zunächst mit einer geeigneten Löschsoftware gelöscht werden. Bei defekten Platten ist der Flashspeicher auszubauen und gesondert zu entsorgen. Dieser Aufwand lässt sich umgehen, indem in kritischen Bereichen ausschließlich Platten ohne Flashspeicher verwendet werden. 14 WHITE PAPER - DATENLÖSCHUNG 5. Funktionsweise und Bedienung des Blancco Degausser DEG 15T feld von 1,5 Tesla (15 000 Gauss) Gleichzeitig wurden bei der Neuentwicklung die Unzulänglichkeiten bisheriger Löschgeräte, wie fehlendes Löschprotokoll, nicht automatisierte Löschabläufe und unzulängliche optische Anzeige des Löschergebnisses berücksichtigt und überwunden. Als Ergebnis der Entwicklung verfügt der Blancco Degausser DEG-15T über fünf Alleinstellungsmerkmale: Der Blancco Degausser DEG-15T wurde 2008 in Deutschland mit der Maßgabe entwickelt, Behörden mit Sicherheitsaufgaben und Unternehmen mit gesteigertem Sicherheitsbedarf ein Gerät zur Verfügung zu stellen, das alle modernen magnetischen Datenträgern sicher und gesetzeskonform löscht. Ausgangspunkt für die Entwicklung waren entsprechende Studien an der Universität Regensburg. Diese hatten erhebliche Risiken bei bisherigen magnetischen Löschgeräten zu Tage gefördert. Eine genauere Untersuchung erbrachte die Erkenntnis, dass Löschgeräte mit herkömmlichen Elektromagneten bei neueren Festplatten mit Senkrechtaufzeichnung (PMR-Technik), an bautechnische und physikalische Grenzen stoßen. Ganz gleich, ob es sich um Degausser mit Permanentmagneten oder Elektromagneten handelt. Der Blancco Degausser DEG-15T ist daher eine völlige Neuentwicklung, die den Stand der Technik neu fixiert. In seine Konstruktion flossen umfangreiche Vorstudien über moderne Beschichtungen von Festplatten ein. Es folgten eine exakte Analyse der Probleme und anschießend praktische Tests mit unterschiedlichen Datenträgern. Das Ergebnis ist ein zukunftssicheres Gerät, das sich durch sein innovatives Löschprogramm auszeichnet und bei keinem anderen Gerät auf dem Weltmarkt zu finden ist. Die Notwendigkeit, Impulsfeld und modifiziertes magnetisches Wechselfeld zu kombinieren, ergab sich aus den praktischen Tests und den Vorstudien. Sie ist nachweislich sowohl für Disks mit klassischer Längsaufzeichnung als auch für moderne Platten mit Senkrechtaufzeichnung und für Magnetbänder hervorragend geeignet. Der äußerst kraftvolle Elektromagnet aus deutscher Fertigung liefert ein zukunftssicheres Magnet- • Hybridtechnik aus Impuls- und modifiziertem Wechselfeld von 1,5 Tesla • Weitgehend automatisierter Ablauf des Löschprozesses mit Prozessüberwachung • Prüfung des Löschergebnisses und Dokumentation in einem manipulationssicheren Löschbericht • Entwickelt und getestet für Festplatten mit Senkrechtaufzeichnung (PMR-Technik) am Beispiel einer 320 GB Festplatte mit einer Koerzitivfeldstärke von ca. 5.000 Oe, sowie für konventionelle Platten. • Vom BSI nach der neuen Prüfanordnung für Löschgeräte (TL-03422 von 4/2008) getestet und bewertet und auch für den Einsatz im Bereich des materiellen Geheimschutz zugelassen. 15 WHITE PAPER - DATENLÖSCHUNG 5.1. Löschwirkung und Geometrie 5.2. Bedienung des Degaussers und Arbeitsschutz Die Löschwirkung des Gerätes wird beim DEG-15T zusätzlich durch die optimale Anordnung von Löschgut und Löschmagnet gesteigert. Der Datenträger wird motorisch direkt in den Magneten gefahren, wo das Magnetfeld maximal ist und er vollkommen vom Feld durchflutet wird. Die Löschwirkung ist ungleich größer, als beim bloßen Aufliegen der Disk auf der Oberfläche des Polschuhmagneten. Die einfache und sichere Bedienung des DEG-15T beschleunigt den Arbeitsablauf. Zunächst wird der zu löschende Datenträger in den Trägerrahmen des Gerätes eingelegt, anschließend die Sicherheitsklappe verschlossen und der Löschvorgang durch die Fernbedienung oder durch den roten Start-Schalter am Gerät gestartet. Die Frontklappe verriegelt anschließend automatisch. Der Löschvorgang startet 10 Sekunden nach Betätigung des Startschalters und läuft vollautomatisch ab. Es ist keine Interaktion der Bedienperson erforderlich. Als Indikator für das korrekt aufgebaute Magnetfeld und somit einer zuverlässigen Löschung, dient die Magnetfeldanzeige an der Frontseite des Gerätes. Größere Abweichungen der Leistung erkennt das Gerät selbstständig und gibt eine entsprechende Fehlermeldung auf dem Display aus. Anschließend erfolgt eine akustische Warnmeldung. Degaussen ist eine verhältnismäßig schnelle Löschmethode. Der gesamte Löschvorgang, inklusive Ein- und Ausfahrt des Datenträgers, beansprucht nur ca. 2,5 Minuten. Das Ende des Löschvorgangs wir durch das Aufleuchten der grünen Signalleuchte und auf dem Display angezeigt. Anschließend wird die Verriegelung der Frontklappe vom Gerät selbstständig aufgehoben. Der Datenträger kann entnommen werden. Weitere Hinweise zur Handhabung des Gerätes finden sich in der Bedienungsanleitung, die in deutscher und englischer Sprache vorliegt. Beim Blancco Degausser DEG-15T wird der Datenträger dazu in einen Trägerrahmen (Haltevorrichtung und Schlitten) gelegt, der die ordnungsgemäße Positionierung des Datenträgers im Löschfeld sicherstellt und gleichzeitig das Feld mehrfach und an unterschiedlichen Positionen auf den Datenträger einwirken läst. Insgesamt fährt der Schlitten jede Platte während des degaussens auf sieben verschiedene Positionen. Die von Blancco entwickelte Steuersoftware sorgt an jeder Position für eine optimale Felddurchflutung. Durch die Konstruktion des Magneten, aber insbesondere durch seine Platzierung im Degausser kann die magnetische Aufzeichnung der Daten auf der Speicheroberfläche des Datenträgers irreversibel vernichtet werden. Abb. 7: Übersicht der verschiedenen Aufzeichnungsmethoden Abb. 8: Blancco DEG-15T 16 WHITE PAPER - DATENLÖSCHUNG Bei dem Zusatzmodul DokuKIT wird eine erfolgreiche Löschung auf dem Bildschirm angezeigt und der Löschbericht mit Seriennummer der Festplatte wird erstellt. Bei Aufleuchten der grünen Signallampe ist die Löschung abgeschlossen, und die Verriegelung der Frontklappe wird vom Gerät selbstständig aufgehoben. Der Datenträger kann entnommen werden. Hinweis: Bei der Option DokuKit entriegelt die Klappe erst nach korrektem Ausfüllen und Speichern des Löschberichts. Er stellt somit einen revisionssicheren Nachweis über die erfolgreiche Datenlöschung auf dem Speichermedium entsprechend ISO/IEC 27002 (alte Bezeichnung ISO 17799) aus dem Jahr 2005 dar. Der Anwender kann diese obligatorischen Angaben noch durch zusätzliche erweitern, etwa betriebliche Inventarnummer, Abteilungsnummer und den Namen des verantwortlichen Mitarbeitern. Der Blancco Degausser DEG-15T kann sensible Daten auf Festplatten und Magnetbändern sicher, vollständig und nachweisbar löschen. Das Gerät wurde vom BSI sowohl für Festplatten als auch für Magnetbänder getestet und entsprechend bewertet. Die Prüfberichte 03/2008 vom 16.12.2008 (GZ:225-450 0203 ) für Festplatten und 02/2009 vom 20.01.2009 für Magnetbänder können von berechtigten Personen beim BSI angefordert bzw. eingesehen werden. Der Bericht enthält Zusammenfassend folgende Aussage: Die Prüfergebnisse belegen in den Abschnitten 2.6 und 2.7, dass mit dem Löschgerät Blancco DEG-15T Festplatten mit einer Koerzitivfeldstärke bis 5000 Oe (400 kA/m) vollständig gelöscht werden können. Das gilt sowohl für Festplatten mit Senkrecht- als auch Longitudinalaufzeichnung. Das Löschgerät Blancco DEG-15T kann deshalb zum Löschen von magnetischen Datenträgern im Rahmen des materiellen Geheimschutzes , aber auch zum Löschen von Datenträgern mit sonstigen vertraulichen Daten eingesetzt werden. Das Löschgerät Blancco DEG-15T wird in die Produktliste BSI-TL 03400 aufgenommen. Abb. 9: Löschbericht DokuKIT Abb. 10: Prüfbericht des BSI zum Blancco DEG-15T 17 WHITE PAPER - DATENLÖSCHUNG 6. Zusammenfassung und Ansprechpartner Da nur das Überschreiben und das Degaussen eine Vernichtung der Daten vor Ort ermöglicht, sind diese Verfahren grundsätzlich gegenüber anderen zu favorisieren. Wenn ein Überschreiben mit Software nicht möglich ist, sollte man diese, vorzugsweise vor Ort im Rechenzentrum, degaussen und anschließend entsorgen. Dies kann durch Zerlegen des Datenträgers in seine Bestandteile geschehen, oder durch schreddern an einem beliebigen Ort. Grundsätzlich gibt es nur drei sichere Verfahren, die zu einer physikalischen Vernichtung der magnetischen Aufzeichnung, also dem unkenntlich machen der Bit-Muster bei magnetischen Datenträgern führen: • Das vollständige Überschreiben mit einer geeigneten (geprüften und ggf. auch zertifizierten) Software. Dies führt zu einer physikalischen Vernichtung der ursprünglichen Daten durch Umorientierung der Domänen auf dem Datenträger. Eine Widerherstellung der Daten ist beim heutigen Stand der Technik auch mit höchstem finanziellem und technischem Aufwand nicht möglich. • Das Degaussen mit einem geeigneten und zugelassenen Degausser. Insbesondere ältere Degausser liefern ein unzulängliches Löschfeld und sind für moderne Platten ungeeignet! Nur wenn Degausser und Datenträger aufeinander abgestimmt sind, ist eine vollständige und endgültige physikalische Vernichtung aller Daten, einschließlich der Servoinformationen zur Steuerung der Platte sowie aller versteckten Sektoren, durch magnetische Durchflutung des gesamten Datenträgers garantiert. Eine Wiederherstellung der Daten ist nach einer solchen Löschung theoretisch und technisch unmöglich. • Das Einschmelzen der Datenträger bei einer Temperatur, die für längere Zeit (mindestens 15 Minuten) über der Curietemperatur des jeweiligen Beschichtungswerkstoffes liegt, was zu einer physikalische Vernichtung sowohl der Daten als auch des Datenträgers und seiner Beschichtung führt. Eine Wiederherstellung der Daten ist auch für die Zukunft völlig ausgeschlossen. Bei der Beauftragung von Dritten (Dienstleistern) mit der Datenlöschung sollte nicht nur auf die exakte Einhaltung von Verfahrensabläufen geachtet werden, sondern auch auf die jeweils eingesetzten Produkte bzw. Lösungen und deren Reporting-Funktionen. Der Auftraggeber hat laut BDSG die eingesetzten Verfahren und Abläufe für eine sichere Datenlöschung seiner Datenträger schriftlich vorzugeben. Im Falle einer juristischen Auseinandersetzung muss er die sichere Entsorgung nachweisen. Er sollte daher vom Dienstleister einen manipulationssichern Löschnachweis pro Datenträger einfordern. Viele Löschprotokolle, auch solche von bekannten Softwaretools, sind jedoch reine Textdateien ohne Signatur oder Prüfsumme und können somit beliebig manipuliert werden. Ihre Beweiskraft ist daher denkbar gering. 18 WHITE PAPER - DATENLÖSCHUNG Sind noch Fragen offen geblieben? Bei der Blancco Central Europe GmbH finden Sie kompetente Ansprechpartner für Ihre individuellen Lösungen. Zögern Sie nicht, uns anzusprechen! Thomas Wirth Christof Weber Geschäftsführer Blancco Central Europe GmbH Geschäftsführer DATAfield Deutschland GmbH Alt-Württemberg-Allee 42 71638 Ludwigsburg Tel: 07141/95660-25 [email protected] Radolfzeller Straße 29 78467 Konstanz Tel: 07531/361119-22 [email protected] Hanno Fischer Tanja Kühnl Leiter Büro Berlin / Öffentlicher Dienst Blancco Central Europe GmbH Sales-Manager Blancco Central Europe GmbH Ostendstraße 1 12459 Berlin Tel: 030/53015271; Funk: 0173/6047826 [email protected] Alt-Württemberg-Allee 42 71638 Ludwigsburg Tel: 07141/95660-24 [email protected] 19 WHITE PAPER - DATENLÖSCHUNG 7. Glossar * Degausser (Degaussing) * Firmware (Systemsoftware der Platte) wird in neueren englischen Fachwörterbüchern mit Entmagnetisierung (auch Demagnetization) übersetzt. Die eigentliche Herleitung des Wortes stammt jedoch von „De“ – für Ent- sowie „Gauss“ – die ältere Maßeinheit für die magnetischen Flussdichte (auch Induktion) – benannt nach dem deutschen Mathematiker und Physiker Carl-Friedrich Gauß (lat. Carolus Fridericus Gauss) der u.a. 1832 das erste Magnetometer erfand. Die Endung er bzw. ing – steht für (engl.) Erasing Löschung bzw. Ausradierung. Der Begriff wird im allgemeinen Sprachgebrauch für Entmagnetisierungsgeräte oder auch für Löschgeräte für magnetische Datenträger verwendet. Die Firmware einer Festplatte ist die für den Start und Betrieb der Platte nötige Software, also gewissermaßen das Betriebssystem der Festplatte und nicht die des gesamten Rechners. Sie besteht aus zwei Teilen: Erstens den Microcode (Mikroprogrammsteuerwerk), der sich auf einem ROM-Chip der Elektronik (-Platine) oder auf einem externen ROM-Chip befindet (auch EEPROM). Zweitens eine spezielle Firmware-Zone auf den MagnetScheiben der Festplatte. Meist ist dieser Teil der Firmware nach Funktionsbereichen unterteilt. Über den Aufbau und Inhalt der Firmware-Module geben die Hersteller wenige Informationen heraus. Die grundlegende Funktionsweise besteht jedoch im Folgendem: Nachdem Einschalten des Geräts erledigt der erste Teil der Firmware die Initialisierung mit Diagnoseroutinen, Regelung der Motordrehzahl, und Positionierung der Köpfe. Dann wird von einem „Loader“ der zweite Teil der Firmware (die Module) in den RAM der Elektronik geladen und dort ausgeführt. Die Firmware beansprucht und verwaltet eigene Dateien und Speicherbereiche auf der Festplatte, durch entsprechende Befehle (Programmierung) können weitere Funktionen auf der Platte eingerichtet werde (siehe auch HPA und DCO). Diese existieren dann unabhängig vom BIOS und dem jeweiligen Betriebssystem des Rechners. Abfragen die beispielsweise das BIOS beim Start des Rechners zum Typ und der Kapazität der Festplatte vornimmt, werden von der Firmware beantwortet. Eine 50 Gbyte Platte kann sich, unter Umständen aus Marketinggründen, als 45 Gbyte Platte ausgeben. Das BIOS des PCs kann diese Auskunft nicht hinterfragen. * Gutmann Der Löschstandart Gutmann (benannt nach Peter Gutmann, Forscher am Department of Computer Science der Universität Auckland) fordert ein 35-maliges Überschreiben der Daten mit verschiedenen Bitmustern. Dieser Standart wurde in einem Aufsatz von Gutmann aus dem Jahre 1996 „Secure Deletion of Data from Magnetic and Solid-State Memory“ entwickelt. * Materieller Geheimschutz Alle Maßnahmen des staatlichen Geheimschutzes, die zur technischen Sicherung geschützter Bereiche dienen. Grundlage bilden die einzelnen Vorschriften der Verschlusssachenanweisung z.B. zur Aufbewahrung, zur Sicherung in Behältern und in Räumen (§§ 21 ff. VSA), zum Transport (§§ 36 ff. VSA), zur Vervielfältigung und zur Vernichtung von Verschlusssachen (§§ 29 ff. VSA). 20 WHITE PAPER - DATENLÖSCHUNG * Host Protected Area (HPA) auch bekannt als Hidden Protected Area oder ATA-geschützter Bereich. Die HPA wurde bereits 1998 mit dem ATA 4 Standard eingeführt und ist heute ein weit verbreitetes optionales Festplattenmerkmal, über das sich mit Hilfe von ATA-Befehlen ein geschützter Bereich auf Festplatten einrichten lässt. Die DCO wurde erst mit dem ATA 6 Standard eingeführt und ist noch nicht ganz so verbreitet. Beide Bereiche DCO und HPA sind für Ermittler und ComputerForensik-Spezialisten wahre Fundgruben. Forensisch interessant sind auch defekte Sektoren und als defekt getarnte Sektoren. Durch das platteneigene Defektmanagement, welches defekte Sektoren, die während der Produktion entstehen, in die P-List und defekte Sektoren, die im laufenden Betrieb entstehen (schlechte Zugriffzeiten, inkorrekte Checksummen) in die G-List einträgt, werden die Daten auf vom Hersteller reservierte Sektoren umgeleitet (remappt). Im Laufe des Betriebes der Festplatte können dabei mehrere Hundert defekte Sektoren aufsummieren, wobei jeweils 512 Byte pro Sektor dem Zugriff des PC-Betriebssystems entzogen werden. . * Curietemperatur Ferromagnetische Materialien verlieren ihre magnetischen Eigenschaften (spontane oder gerichtete Magnetisierung von Kristallbereichen), wenn sie über ihre materialspezifische Curie-Temperatur Tc (benannt nach Pierre Curie) erhitzt werden. Die Curietemperaturen der bekanntesten ferromagnetischen Stoffe liegen bei Eisen (768° C), Nickel (360° C) und Kobalt (1.121° C). Bei der Datenspeicherung werden entsprechende Legierungen eingesetzt, deren Curietemperatur meist erst exakt ermittelt werden muss. Übersicht über die Entwicklung der Koerzitivfeldstärke (Hc in Oersted) von Festplatten Quelle: http://www.nsa.gov/ia/government/MDG/NSA_ CSS-EPL-9-12.PDF 21 WHITE PAPER - DATENLÖSCHUNG 8. Anhang 8.1. Quellen- und Literaturverzeichnis /1/ Einsatzpläne der Brandenburger Polizei bei ebay – Meldung in der Berliner Morgenpost vom 3.4.2005 „ Datenträger der Brandenburger Polizei bei ebay“ und Beitrag in der Berliner Zeitung vom 8.4.2005 „Polizist stahl Festplatte mit Geheimplänen“ /2/ Kreditkartenabrechnungen – Beitrag in der PC Welt vom 17.01.2003 von Hans-Christian Dirscherl „Festplatten bei Ebay: Fundgrube für Datendiebstahl“ /3/ Schriftverkehr der Krankenkasse AOK Rheinland – Beitrag vom 10.04.2004 im FOCUS Magazin von Matthias Matting „Speicher voller Geheimnisse“ /4/ Aufstellung Nachlassregister – Beitrag vom 20.12.2003 im Spiegel von Hilmar Schmundt „Verräterische Magnetspuren“ * auch im Text – Zollverwaltung versteigert Festplatte mit Kinderpornografie und Naziliedern – Meldung vom 22.08.2005 OnlineKosten.de /5/ 66% der Festplatten nicht ordnungsgemäß laut Untersuchungen in Deutschland und den USA gelöscht – „Deutschland Deine Daten“ Studie zum Datenschutz bei gebrauchten Festplatten von September 2007 * laut Angaben der Unternehmensberatung BBE-Retail-Experts werden jährlich etwa 500.000 gebrauchte Computer und einzelne Festplatten bei ebay verkauft. /6/ jährlich 800 MByte Daten pro Erdbewohner – Meldung vom 31.10.2003 auf pressetext.de/deutschland „Informationsflut produziert jährlich 5,4 Mrd. GB“ Ergebnisse einer Studie der Universität von Kalifornien in Berkeley /7/ Guido Schmitz – ist IT- Administrator der Gemeindeverwaltung Hellenthal /8/ Literaturempfehlungen zum Thema „Löschen von Daten“ (ausgewählte Beiträge) A) Orientierungshilfe „Sicheres Löschen magnetischer Datenträger“ erstellt 2004 vom Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Link: http://www.landtag.sachsen.de/SLT_Online/Data/SDB/Arbeitshilfen/magloe.pdf B) Leitfaden zum Sicheren Datenlöschen (Version 2.0) des Arbeitskreises Speichertechnologien des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) Link: http://www.bitkom.org/de/publikationen/38337_52528.aspx 22 WHITE PAPER - DATENLÖSCHUNG C) Stefan Schumacher „Daten sicher löschen“ in Pro-Linux Magazin (4/2007) Link: http://www.pro-linux.de/berichte/sicheres-loeschen.html D) Tom Rathert „Wie Profis Daten löschen“ in PC-Magazin (5/2005) Link: http://www.pc-magazin.de/praxis/sicherheit/cm/page/page.php?table=pg&id=513 G) Simon Garfinkel (Studie) “Remembrance of Data Passed” MIT 2/2003 Link: http://www.computer.org/portal/cms_docs_security/security/v1n1/garfinkel.pdf E) Lukas Grunwald „Blitzblank – Sicheres Löschen von Speichermedien“ in iX (Heise-Verlag) 5/2003 Link: http://www.heise.de/ix/artikel/2003/05/072 F) Mike Hartmann „Daten sicher löschen“ in (4/2003) Link: http://www.tecchannel.de/index.cfm?pid=210&pk=402093 H) Peter Gutmann “Secure Deletion of Data from Magnetic and Solid-State Memory” Link: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html I) Bernd Schöne “ Festplatten löschen aber richtig” vom 18.06.2008 auf SearchStorage.de Vogel IT-Media Verlag /9/ Weißbuch (White Paper) laut Wiki - http://de.wikipedia.org/wiki/Wei%C3%9Fbuch /10/ Kommentar von Dr. Herbert Auernhammer zum Bundesdatenschutzgesetz – BDSG Auernhammer BDSG 2. Auflage 1981, Seite 2 Rdnr. 13, Köln 1981 Heymanns Taschenkommentare , ISBN 3-452-18986-4 /11/ Tom D. Milster Universität of Arizona 2005 “Data Recovery from a Compact Disc Fragment” /12/ BSI-Technische Leitlinien (BSI-TL 03420) von August 2007, Richtlinien für das Löschen und Vernichten von schutzbedürftigen Informationen auf analogen und digitalen Datenträgern. /13/ Entwicklung der Koerzitivfeldstärke von Festplatten nach Aussagen von Booz Allen Hamilton Inc. – Vortrag von Steven Skolochenko von BAH Inc. im Dez. 2005 auf der Annual Computer Security Applications Conference (ACSAC). Link: http://www.acsac.org/2005/case/tue-330-skolochenko.pdf /14/ Studie, die im Auftrage des BSI an der Uni Regensburg – Abschlussbericht „Löschen von Festplatten mit einem Löschgerät – HDD Löschen“ von April 2005 /15/ Degausser Liste der NSA – Degausser Approved Products List (12/2007) Link: http://www.nsa.gov/ia/government/MDG/NSA_CSS-EPL-9-12.PDF bzw. http://www.nsa.gov/ia/government/mdg.cfm /16/ Technischen Leitlinien des BSI (BSI-TL 03422) – Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern – Löschgeräte, Anforderungen und Prüfung /17/ Digitalbilder der Festplatten vor und nach der Zerstörung mittels Durchbohren – Case Study (3.7.2007) „Geodis lenkt Serviceabläufe in richtige Bahnen“ auf IT-Bussines Link: http://www.it-business.de/index.cfm?pid=2497&pk=69835 23 WHITE PAPER - DATENLÖSCHUNG 8.3. Produkte & Lösungen von Blancco Produkte & Lösungen Blancco hat sich auf die Entwicklung, Herstellung und den Vertrieb von Hardware - und Softwarelösungen zum sicheren Löschen von Daten auf verschiedenen Datenträgern, insbesondere auf Fest platten spezialisiert. Blancco verfügt über einen eigenen Forschungs- und Entwicklungsbereich und bietet damit Produkte auf höchstem technologischem Niveau an. Die Software von Blancco arbeitet unabhängig vom jeweiligen BIOS und Betriebssystem des Rechners und hat somit direkten Zugriff auf alle Bereiche der Festplatte. Dadurch können alle Daten auf dem Datenträger vollständig und nicht wiederherstellbar vernichtet werden. Softwarelösungen Blancco PC Edition Löschsoftware platten in insbesondere PC und für Fest- Laptop. Die Blancco Management Console Blancco Flash Media Edition Löschsoftware für professionelle Anwend- Löschsoftware speziell zum überschrei- ungen in Computernetzwerken. ben von Daten auf USB-Stick, Handy- und Löschsoftware von Blancco wurde 2007 Fotoflashspeicher. von der NATO getestet und geprüft und bis zur Sicherheitslevel „Nato Secret“ zugelassen. Hardwarelösungen Blancco Kit Mobiler Einsatzkoffer (Task Force Kit) – Löschen mehrerer PCs gleichzeitig über ein mobiles Netzwerk. Erasure Station Degausser Löschgerät (Degausser) - Löschen von Daten auf magnetischen Datenträgern durch Entmagnetisierung. 2008 vom BSI entsprechend BSI-TL-03422 geprüft. 24 Löschstation (Erasure Station) – Löschen von mehreren Festplatten gleichzeitig (Data Center Lösung). WHITE PAPER - DATENLÖSCHUNG 8.3. Zertifikate & Standards von Blancco Software Zertifikate & Standards Die Löschsoftware von Blancco erfüllt bzw. er möglicht die Einhaltung folgender internation aler Sicherheitsstandards: Air Force System Security Instructions 5020 Bruce Schneier’s Algorithmus BSI (Überschreibstandard vom Bundesamt für Sicherheit in der Informationstechnik /Deutschland) VSITR Überschreibstandard (VS – IT-Richtlinie/ Deutschland) HMG Infosec Standard No: 5 (baseline) [Note! Certified versions: 4.5 HMG and 3.7r1] HMG Infosec Standard No: 5 (enhanced) [Note! Certified versions: 4.5 HMG and 3.7r1] Navy Staff Office Publication (NAVSO P-5239-26) for RLL NSA (Überschreibungsstandard der National Security Agency) OPNAVINST 5239.1A Peter Gutmann’s Algorithmus The National Computer Security Centre (NCSCTG-025) U.S. Department of Defence Sanitizing (DOD 5220.22-M, DOD 5220.22-M ECE) US ArmyAR380-19 Die Version 4.5/4.8 wurde in England von der CESG nach dem HMG Infosec Standard No. 5 getestet und für das Sicherheitslevel “Baseline” und “Enhanced“ beurkundete. Auf dieser Grund lage wurde die Software von der Nato für den ma teriellen Geheimschutz bis zur Sicherheitsstufe NS (Nato Secret) zugelassen. Derzeit wird die Version 4.8 in Frankreich gemäß den Anforderungen EAL 3+ nach Common Cri teria zertifiziert. Auf dieser Grundlage soll 2009 auch die Zulassung für die Öffentliche Verwaltung und den materiellen Geheimschutz in Deutschland durch das BSI erfolgen. Der Degausser DEG15T wurde in 12/2008 vom BSI (Bundesamt für Sicherheit in der Informationstechnik) nach der neuen Prüfanordnung für Löschgeräte (BSI-TL-03400) geprüft und zugelassen. Der Prüfbericht 3/08 vom 16.12.2008 mit dem GZ 225-450 0203 kann beim BSI angefordert werden. Er enthält u.a. folgende Aussage: „Die Prüfergebnisse der Abschnitte 2.6 und 2.7 belegen, dass mit dem Löschgerät Blancco DEG 15T Festplatten mit einer Koerzitivfeldstärke bis 5000 Oe (400 kA/m) vollständig gelöscht werden können. Das gilt sowohl für Festplat ten mit Senkrecht- als auch Longitudinalaufzeichnung. Das Löschgerät Blancco DEG -15T kann deshalb zum Löschen von magnetischen Datenträgern im Rahmen des materiellen Ge heimschutzes, aber auch zum Löschen von Datenträgern mit sonstigen vertraulichen Dat en eingesetzt werden. Das Löschgerät Blancco DEG-15T wird in die Produktliste BSI-TL 03400 aufgenommen“. Die Löschsoftware Blancco Data Cleaner verfügt über folgende internationale Zertifikate und Gutachten: Dez 06 NSM Nasjonal sikkerhets myndighet National Security Authority (Norwegen) Version 4.5 Mai 05 ABW Agencja Bezpieczeñstwa Wewnêtrznego Internal Security Agency (Polen) Version 4.2 Jul 03 DIPCOG Defence Infosec Product CoOperation Group Britisches Verteidigungsministerium MoD Version 3.3 Mrz 06 CESG Communications-Electronics Security Group Informationsassekuranz von Groß Britannien Version 4.5 NILNCSA Netherlands National Communication Security Agency General Intelligence and Security Service /NL Version 4.8 Version 4.4 Apr 07 NCIRC Nato Computer Incident Response Capability NATO Infosec Technicel Center Version 4.5 Mai 07 TÜV Süd / Informatik (Gutachten) DCSSI Frankreich Technischer Überwachungsverein /Deutschland Version 4.7 Zentrales Informationssystem der Sicherheitsabteilung des französischen Verteidigungsministeriums Version 4.8 Sep 08 Apr 06 Okt 08 25 WHITE PAPER - DATENLÖSCHUNG Herausgeber: Blancco Central Europe GmbH Alt-Württemberg-Alle 42 71638 Ludwigsburg Tel.: 07141/95660-25 Fax.: 07141/95660-79 [email protected] www.blancco-ce.de Redaktion: Hanno Fischer, Thomas Wirth (Blancco Central Europe GmbH) Bernd Schöne (Pressebüro Schönetexte, München) Gestaltung / Layout: Stefan Wölcken (online-face.de), DATAfield Deutschland GmbH Copyright: Blancco Central Europe GmbH 2009 Bildnachweis: S. 1: photocase.com/ coolwaterman S. 3: PantherMedia/ Helma Spona S. 4: digitalstock/ B. Franz Abb. 1: fotolia/ Sven Hoppe S. 6: photocase.com/ coolwaterman Abb. 2: H. Fischer, Blancco Central Europe Abb. 3: TOSHIBA CORPORATION S. 11: fotolia/ Onidji Abb. 4: Blancco Central Europe Abb. 5: Physikalisch Technischen Bundesanstalt, Braunschweig Abb. 6: Physikalisch Technischen Bundesanstalt, Braunschweig S. 15: fotolia/ matteo NATALE Abb. 7: Hitachi, Ltd. Abb. 8: DATAfield Deutschland Abb. 9: Blancco Central Europe Abb. 10: Bundesamt für Sicherheit in der Informationstechnik S. 18: digitalstock/ D. Jehring S. 20: fotolia/ Stephen VanHorn S. 22: fotolia/ RRF 26