white paper - datenlöschung

Transcription

white paper - datenlöschung
WHITE PAPER - DATENLÖSCHUNG
Der Blancco Degausser DEG-15T
„Löschen von Daten sichtbar nachgewiesen“
WHITE PAPER - DATENLÖSCHUNG
Inhaltsverzeichnis
1. Einführung
3
2. Motivation: Argumente für sichere Datenlöschung
4
3. Löschverfahren für magnetische Datenträger
6
4. Das Degaussen (Entmagnetisieren/Durchfluten) von magnetischen Datenträgern
11
5. Funktionsweise und Bedienung des Blancco Degausser DEG 15T
15
6. Zusammenfassung und Ansprechpartner
18
7. Glossar
20
8. Anhang
22
8.1. Quellen- und Literaturverzeichnis
22
8.2. Podukte & Lösungen von Blancco
24
8.3. Zertifikate & Standards von Blancco Software
25
2
WHITE PAPER - DATENLÖSCHUNG
1. Einführung
dulation des Löschfeldes erreicht der Blancco DEG-15T
hingegen auch bei Disks der modernsten Bauart mit Senkrechtaufzeichnung (PMR-Technik) eine hundertprozentige
Löschsicherheit. Das äußerst kräftige Magnetfeld garantiert zudem ausreichend Reserven für die Zukunft.
Der Blancco Degausser DEG-15T wurde Ende 2008 vom
BSI geprüft und für den materiellen Geheimschutz zugelassen!
Das befähigt ihn, Löschaufgaben bei alle Firmen und Behörden wahrzunehmen, die dem Geheimschutz unterliegen bzw. den Umgang mit Verschlusssachen pflegen.
Seit Ende 2008 sind die ersten Degausser vom Typ DEG-15T
erfolgreich im Einsatz.
Der Blancco Degausser DEG-15T wurde im Jahr 2008 auf
Grundlage modernster Erkenntnisse und nach Experimenten mit aktuellen Datenträgern von Grund auf neu entwickelt. Er löscht zuverlässig Festplatten und Magnetbänder
aller Aufzeichnungstechnologien. Ausgangspunkt für die
Entwicklung waren Anforderungen von Kunden des Datenlöschspezialisten Blancco, die nach einer Lösung für defekte und nicht mehr ansprechbare Festplatten verlangten.
Aufgrund der rasend schnellen Entwicklung, vor allem bei
Festplatten, stoßen vorhandene Degausser immer öfter
an Grenzen. Dies hat bei bestimmten Behörden zu einem
Verbot des Degaussens von klassifizierten Datenträgern
geführt. Durch seine einzigartige, softwaregesteuerte Mo-
Dieses White Paper möchte in diesem Zusammenhang folgende Fragen beantworten:
Welche Löschverfahren existieren für magnetische Datenträger?
Wie wird im Bundesdatenschutzgesetz (BDSG) Datenlöschen definiert?
Welche Verfahren und Standards gibt es zur Löschung von sensiblen Daten?
Wie sicher ist das Schreddern von Datenträgern?
Worauf sollte Sie bei der Auswahl von Löschsoftware (Tools) achten?
Welche Arten von Degaussern (Löschgeräten) gibt es?
Was beinhaltet die DIN 33858 genau und wie aktuell ist sie?
Welche Mindestanforderungen müssen Degausser erfüllen?
Technische Grundlagen und Bedienung des Blancco Degausser DEG-15T
Wo kann und sollte ein Degausser eingesetzt werden?
Worauf müssen Sie bei der Beauftragung Dritter achten?
3
WHITE PAPER - DATENLÖSCHUNG
2. Motivation: Argumente für sichere Datenlöschung
der ungelöscht weitergegebenen Geräte noch weit höher.
Während dem Erhalt lebensnotwendiger Daten in Unternehmen große Bedeutung beigemessen wird, interessiert
sich kaum jemand für Datenträger, die am Ende ihres Lebenszykluses stehen. Dieser Umstand hat in der Vergangenheit teilweise fatale Folgen gehabt, wie ein Blick in die
Presse belegt:
Ursache dieser Pannen sind
teilweise eklatante Wissenslücken der juristisch verantwortlichen Personen, trotz
der geltenden Geschäftsführerhaftung. Dazu kommt veraltetes Wissen in den Fachabteilungen. Die Forderungen
des Bundesdatenschutzgesetzes (BDSG) zum Schutz
personenbezogener Daten
von Mitarbeitern werden oft Abb. 1:
sinnloser und unsicherer
schlicht ignoriert. Der wohl Ein
Versuch
der „Datenlöschung“
einfachste aber trotzdem auch
häufigste Fehler ist das blinde Vertrauen auf Löschroutinen
von Standardbetriebssystemen, die nicht einmal im Ansatz
wirklich löschen, sondern nur Speicherbereiche für das zukünftige Beschreiben freigeben.
Bei der Brandenburger Polizei gerieten ungelöschte
Festplatten in Umlauf/1/
Kreditkartenabrechnungen gerieten in die Presse /2/
Der Schriftverkehr einer Krankenkassen
wurde veröffentlicht/3/
Detaillierte Aufstellung eines Nachlassregisters
gerieten in falsche Hände/4/
Noch weit unangenehmer sind unentdeckte Datenlecks.
Wirtschafts- und Konkurrenzspione haben Festplatten
längst als nützliche Datenquellen entdeckt. Teilweise werden gebrauchte PCs nur erworben, um Geschäftsgeheimnisse, Passwörter und Kreditkarteninformationen bzw.
Bankverbindungen auszuspähen. Diejenigen Datenträger,
die Informationen enthalten, sollten unter keinen Umständen das Firmengelände ungelöscht verlassen! Dabei ist
es gleichgültig, ob defekte Disks oder Leasing-PCs ausgetauscht werden.
Oft wird bei Altgräten der Weg der physischen Vernichtung
des Datenträgers gewählt. Das Schreddern in entsprechenden mechanischen Zerkleinerungsanlagen ist auf den
ersten Blick das schnellste und sicherste Verfahren. Diese
Sicherheit ist allerdings trügerisch, da auch zerstörte Datenträger sehr wohl ausgelesen werden können, wenn geeignete Technik zur Verfügung steht. Die Praxis hat zudem
gezeigt, dass Datenträger noch auf dem Weg zu Shredder
„verloren“ gehen, und anschließend auf Flohmärkten wiederauftauchen.
Die Praxis sieht gänzlich anders aus. Nach Untersuchungen
in Deutschland und den USA /5/ sind 66% der ausgesonderten und weitergegebenen Platten nicht ordnungsgemäß gelöscht. Bei Kopierern, Navigationsgeräten und Handys, die ebenfalls Datenspeicher enthalten, liegt die Anzahl
4
WHITE PAPER - DATENLÖSCHUNG
sind jederzeit über entsprechenden Anti-Löschtools wiederherstellbar.
Die Aktivitäten und Anstrengungen staatlicher Stellern auf
dem Gebiet des Datenschutzes und der Datensicherheit
erscheinen zuweilen mehr als halbherzig. Einerseits liegt
den Staatsorganen bei der Verbrechensbekämpfung und
Aufklärung an einer gewissen Unkenntnis und Sorglosigkeit der Täter in Bezug auf die Datenspeicherung. Andererseits gibt es nicht erst seit dem Karlsruher Urteil von Februar 2008 eine grundrechtliche Schutzpflicht des Staates,
welche auch die Gewährleistung der Vertraulichkeit und
Integrität von persönlichen Daten in modernen Informationssystemen zum Inhalt hat. In Deutschland, wo selbst die
Anzahl der Toilettenbecken pro Quadratmeter Gastraum
per Gesetz geregelt ist, fehlt für das sichere Löschen von
Daten außerhalb von Sicherheitsbehörden eine verbindliche gesetzliche Norm bzw. Klassifizierung.
Ebenso trügerisch ist das blinde Vertrauen in staatliche Normen, Testate oder Prüfberichte. Das gilt vor allem, wenn die
zugrundeliegenden Normen viele Jahre alt sind und nicht
auf den jetzigen Stand der Technik adaptiert wurden. Hier
ist zu berücksichtigen, dass sich nicht nur die Datenträger
innerhalb des letzten Jahrzehntes dramatisch verändert
haben, sondern auch die Technik des Datenrekonstruierens beachtliche Fortschritte gemacht hat. Kommerzielle
Firmen bieten diesen Service inzwischen selbst für Privatkunden an, zu teilweise sehr moderaten Preisen. Staatliche
Organisationen arbeiten mit deutlich höheren materiellen
und personellen Ressourcen.
Auch sind Passwortschutz und die Verschlüsselung von
Daten kein Ersatz für das endgültige Löschen von Daten
bei der Aussonderung oder Weitergabe von Datenträgern,
auch wenn das teilweise suggeriert wird!
Ein weiteres Sicherheitsrisiko stellen schlechte bzw. unzureichende Produkte zur Datenlöschung dar. Nur wenige
der am Markt verfügbaren Lösungen vernichten die Daten
sicher, das heißt, der Löschvorgang ist:
• vollständig
• irreversibel
• nachweisbar
Grundsätzlich sind Daten rekonstruierbar solange die Daten physikalisch auf einem Datenträger vorhanden sind,
dass gilt auch, wenn dieser defekt ist oder vorsätzlich, etwa
mit einem Hammer oder einer Bohrmaschine zerstört wurde. Datenlöschung kann nicht gleich gesetzt werden mit
einer mehr oder weniger starken Zerstörung des Datenträgers! Datenrettungsunternehmen haben in der Vergangenheit verkohlte, durchbohrte oder plattgewalzte Festplatten
teilweise oder vollständig wiederhergestellt.
Die Vergangenheit hat gezeigt, dass auch Testergebnisse von Fachzeitschriften nicht unkritisch übernommen
werden sollten. So zeigten sich bei einem Testsieger einer
Computerzeitschrift eklatante Sicherheitsmängel, da das
Programm nicht in der Lage war, alle Bereiche der Platte
zu löschen. Auch können viele Schreddergeräte oder ältere
Degausser mit der Entwicklung der Speichertechnik und
den Verfahren zur Wiederherstellbarkeit von Daten nicht
mithalten.
Eine generelle Lösung des Entsorgungsproblems für alle
Datenträger und alle Problemsituationen ist derzeit nicht
verfügbar. Vielmehr ist der Einzelfall zu unterscheiden. Optische Datenträger sind anders zu behandeln als magnetische oder rein chipbasierte Speicher wie USB-Sticks.
2.1. Sicherheitsrisiken
bei der Aussonderung alter Speichertechnik
Das sichere Löschen von Daten ist nicht nur eine Datenschutzfrage, sondern gehört zur IT- und Informationssicherheit des Unternehmens. Es ist somit eine Frage der
Unternehmensführung. Diese erfordert entsprechende
finanzielle Mittel und natürlich auch das notwendige Wissen auf der jeweiligen Führungsebene, um die rechtlichen,
technischen und organisatorischen Bedingungen für eine
sichere Datenlöschung.
Bei vielen Nutzern der modernen Rechnertechnik gibt es
zwar gute Kenntnisse der jeweiligen Anwenderprogramme aber unzureichende Kenntnisse über die technischen
Grundlagen und Zusammenhänge der Datenverarbeitung
und der Datenspeicherung auf dem Rechner. Dies führt
ungewollt zu einer gewissen Abhängigkeit der Anwender
von der Technik und den jeweiligen Programmen. Diese
Programme geben aber teilweise irreführenden Informationen an den Nutzer weiter. So stellen Betriebssysteme dem
Anwender vor dem Löschen die Frage: „Wollen sie wirklich
endgültig löschen“. Dies suggeriert einen quasi unumkehrbaren Vorgang. Genau das Gegenteil ist richtig. Es geschieht nichts weiter, als das der betreffende Datenbereich
zum späteren Beschreiben freigegeben wird. Die Informationen bleiben so lange vorhanden bis dies geschieht und
Zum Thema „ Löschen von Daten“ existiert eine umfangreiche Literatur (siehe auch Literaturempfehlung /8/). Nicht
alles davon hält heute einer kritischen Analyse stand. Eine
der Ursachen ist der schnelle technologische Wandel auf
dem Gebiet der Aufzeichnungstechnik. Die DIN 33858 „Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern“ gilt heute bei Experten als völlig veraltet.
5
WHITE PAPER - DATENLÖSCHUNG
3. Löschverfahren für magnetische Datenträger
3.1. Überblick
der auf dem Markt verfügbaren Verfahren
3.2. Definition Datenlöschung
Im § 3 Absatz 4.5 des Bundesdatenschutzgesetzes (BDSG)
wird „Löschen“ als „Unkenntlichmachen gespeicherter Daten“ definiert. Dieser Begriff „Unkenntlichmachen“ besitzt
jedoch kein eindeutiges technisches Äquivalent und ist
auch rechtlich problematisch. Es wurde daher mehrfach
versucht, Umschreibungen dafür zu finden. In der DIN
44300 (Begriffe in der Informationstechnik) wird „Löschen“
als „Daten auf einem Datenträger oder Daten in einem
Speicher vernichten“ definiert.
In einem Kommentar von Dr. Herbert Auernhammer zum
Bundesdatenschutzgesetz /10/ heißt es, dass: „... die Kenntnis der Daten für jedermann zu jeder Zeit tatsächlich unmöglich sein muss.“
Für das Löschen von Daten werden derzeit mehrere Verfahren angeboten. Diese Verfahren können nach verschiedenen Gesichtspunkten unterschieden werden.
• Verfahren, die eine Wiederverwendung des Datenträgers ermöglichen bzw. Verfahren, bei denen eine
Wiederverwendung nicht möglich ist.
• Verfahren, die einzelne Dateien oder Partitionen löschen können oder aber Verfahren, die grundsätzlich
den gesamten Datenträger löschen bzw. zerstören.
Eine Unterteilung nach logischem Löschen oder physikalischem Löschen, wie sie manchmal in der Literatur zu finden ist, ist problematisch und abzulehnen. Eine physikalische Zerstörung des Datenträgers, wie beispielsweise beim
Schreddern, führt bei genauerer Betrachtung nicht zum Löschen der Daten, der Ausleseprozess ist nur mit erhöhtem
Aufwand verbunden. Umgekehrt ist das Überschreiben
von Daten durchaus keine rein logische Operation, da die
Beschichtung des Datenträgers durch das Überschreiben
physikalisch verändert wird.
Dazu ist anzumerken, dass sich der Stand der Technik rasant
wandelt. So waren die vom Ministerium für Staatssicherheit
der DDR geshredderten Papierakten zum Zeitpunkt des
Vernichtungsbefehles tatsächlich nicht rekonstruierbar, die
Zerstörung zum aktuellen Zeitpunkt also vollständig. Binnen 12 Jahren veränderte der technische Fortschritt diese
Einschätzung vollkommen. Hochleistungsscanner, neue
Computer und speziell entwickelte Software ermöglichten
die Wiederherstellung des Aktenmaterials. Die scheinbar
sicher vernichteten Informationen standen plötzlich wieder zur Verfügung.
Die wohl sinnvollste Unterscheidung besteht darin, sie in
sichere, weniger sichere und absolut unsichere Löschverfahren zu unterscheiden. Diese Unterteilung geht jedoch
quer durch alle Verfahren und Methoden. Keine Methode
ist aus sich heraus als sicher einzustufen, es bedarf der eingehenden Analyse der Umsetzung anhand von aktuellen
Prüfverfahren und exakten Kriterien.
Dies zeigt, dass eine Wiederherstellung angeblich vernichteter Daten solange möglich ist, solange sie physikalisch
als solche vorhanden sind. Insofern ist eine Begriffsbestimmung, die sich nur auf den notwendigen Aufwand zur Wiederherstellung der Daten bezieht, wie dies beispielsweise
6
WHITE PAPER - DATENLÖSCHUNG
vollständig, fehlerfrei, nachweisbar und nicht rekonstruierbar gelöscht wurde.
Dabei ist zu bedenken, dass einmaliges Überschrieben mit
einer geeigneten Software weitaus sicherer ist, als 35maliges, unvollständiges Überschreiben mit einer ungeeigneten Software. Von besonderer Bedeutung sind hier jene
Speicherbereiche von Festplatten, auf die marktübliche Betriebssysteme keinen Zugriff haben.
in der DIN 32757 (Vernichten von Informationsträgern)
oder der bereits genannten DIN 33858 geschieht, für sensible Informationen offensichtlich unzureichend.
Bedenkt man die technischen Möglichkeiten der Datenwiederherstellung, kann bei der Datenträgervernichtung
durch Schreddern nicht von einem Löschvorgang im Sinne
des Gesetzes gesprochen werden, da nur der Datenträger
zerstört wird, nicht aber die auf ihm, bzw. seinen Bruchstücken gespeicherten Informationen!
Viele Softwarelösungen, insbesondere die auf Windows basierenden Tools, arbeiten nicht unabhängig vom BIOS und
dem Betriebssystem. Diese Tools können daher nur die vom
jeweiligen Betriebssystem verwalteten Dateien erkennen,
bearbeiten und löschen. Sie haben keinen Zugriff auf die
vom Hersteller der Festplatten mit Hilfe der Firmware verwalteten Speicherbereiche (z.B. die HPA - Host Protected
Area*, das DCO - Device Configuration Overlay, oder auch
auf Daten in defekten und remappten Sektoren). Diese Bereiche können aber durchaus Anwenderdaten enthalten!
Frei verkäufliche Forensic- und Recoverytools lesen diese
Bereiche aus und gestatten so die Rekonstruktion von Teilen der ursprünglichen Information.
3.3. Beschreibung
marktgängiger Verfahren zur Datenlöschung
Im Folgenden sollen die verschiedenen Methoden, den
gesetzlichen Löschauftrag zu erfüllen, kurz vorgestellt
werden. Die derzeit am meisten angewendeten Verfahren
sind:
• Überschreiben mit Hilfe einer speziellen Software
• Mechanische Zerstörung durch Schredder
• Entmagnetisierung bzw. die magnetische Durchflutung mit Hilfe von Degaussern
Keine dieser Methoden kann für sich in Anspruch nehmen,
unter allen Umständen zielführend zu sein. Als Datenlöschungsspezialist bietet Blancco daher zwei alternative
Verfahren an. Die physikalische Zerstörung der magnetischen Informationen durch Softwaretools oder einen Degausser.
Schreddern ist eine Dienstleistung, die sich bevorzugt im
Portfolio von Entsorgungsunternehmen und Aktenvernichtern als zusätzlicher Service findet.
Wichtige Kriterien für die Beurteilung
der Sicherheit einer Löschsoftware
I. Vollständig: Das Tool muss alle Bereiche der Festplatte
löschen, also auch die für das BIOS und das Betriebssystem versteckten Bereiche wie HPA und DCO.
II. Fehlerfrei: Das Tool sollte so einfach zu bedienen sein,
dass Bedienerfehler möglichst ausgeschlossen sind. Es
sollte zudem den Löschprozess selbständig überprüfen
(verifizieren), um ihn nötigenfalls zu wiederholen oder
den Anwender zu warnen.
III. Nachweisbar: Das Tool sollte den Löschprozess und das
Ergebnis in einem Protokoll eindeutig mit Seriennummer der Festplatte, Anzahl der überschriebenen Sektoren, Datum und Überschreibmuster dokumentieren
und dieses Löschdokument anhand einer Signatur bzw.
Prüfsumme fälschungssicher abspeichern.
IV. Nicht Wiederherstellbar: Das Tool sollte dafür mindestens einmal alle Bereiche der Festplatte Bit für Bit mit
Zufallszahlen überschreiben oder aber dreimal mit einem sich abwechselnden Bitmuster.
A) Löschen von Daten durch Überschreiben
mit einer speziellen Software (Tools)
Derzeit gibt es ca. 25 - 30 kostenpflichtige, aber auch kostenfrei (Open Source) Softwarelösungen zum Löschen
von Daten auf Festplatten. Die Mehrzahl davon bieten
verschiedene Löschstandards für das Überschreiben der
„alten“ Daten an, wie z.B. VSITR, HMG-Infosec, DoD, NISPOM, Gutmann. Diese Standards definieren zum einen die
Anzahl der Überschreibvorgänge (1, 3, 7 oder 35-maliges
Überschreiben) und zum anderen den Inhalt der zu schreibenden Information, also das jeweilige Bitmuster. Diese
Information kann in einer einzelnen hexadezimalen Zahl,
wie „C1“, oder eine bestimmte Ziffernfolge wie 11000001
bzw. dem dazugehörigen komplementären Muster 3E;
00111110 bestehen.
Diese internationalen Löschstandards sagen allerdings nur
bedingt etwas über den tatsächlichen Löschzustand der
gesamten Platte aus. Von einer Löschung im Sinne des Gesetzes kann nur gesprochen werden, wenn ein Datenträger
Für die ökonomische Beurteilung spielen noch weitere
Kriterien, wie die Löschgeschwindigkeit, der Automatisierungsgrad der Prozessabläufe, der Preis pro Löschung (Lizenzpolitik) sowie der Support und der Service eine Rolle.
Kommerzielle Anbieter sollten in der Lage sein, die Nutzer
bei speziellen Problemen und besonderen Sachlagen zu
beraten.
7
WHITE PAPER - DATENLÖSCHUNG
Die Nachteile des Überschreibens als Löschverfahren
Die Aussage von Entsorgungs- und Remarketingunternehmen, hinsichtlich einer angeblich zertifizierten Datenvernichtung bzw. -löschung, beziehen sich oft nicht auf die
eingesetzte Löschsoftware, sondern nur auf die jeweiligen
Prozessabläufe und das Qualitätsmanagement des betreffenden Unternehmens. Eine Aussage über eine sichere und
vor allem vollständige Löschung der Daten auf Altgeräten
ist damit nicht verbunden.
• Daten von defekten Datenträgern können aus offensichtlichen Gründen mit Softwarelösungen generell
nicht gelöscht werden.
• Der Zeitaufwand für den Überschreibvorgang ist abhängig von der Festplattengröße und der Anzahl der
Überschreibvorgänge. Er kann bei unprofessionellen
Softwaretools mehrere Stunden pro GByte betragen.
• Bestimmte Tools sind prinzipiell nicht sicher oder kompliziert und damit fehleranfällig in der Handhabung. Für
viele Tools, insbesondere Freeware, gibt es keinen qualifizierten technischen Support.
In Deutschland existiert bislang (Stand 2009) keine Norm
bzw. Prüfanordnung des BSI zum Löschen von Datenträgern durch Softwaretools. Die bereits mehrfach erwähnte
DIN 33858 „Löschen von schutzbedürftigen Daten auf magnetischen Datenträgern“ ist nicht auf dem aktuellen Stand
der Technik und enthält keine Kriterien für das Löschen von
Daten durch Überschreiben. Sie ist von der Sache her eine
veraltete Norm aus dem Jahr 1993, die sich auf Löschgeräte
für Magnetbänder bezieht.
B) Schreddern von Datenträgern
als Verfahren zur Datenlöschung
Lange Zeit galt das Schreddern von Datenträgern als günstigste und sicherste Lösung für die Akten- bzw. Datenträgervernichtung. Die Sicherheitsbedenken bezogen sich
meist nur auf den Transportweg und die Partikelgröße des
Schreddergutes.
Solange sich an diesem Zustand nichts ändert, sind die Anwender von Löschprogrammen auf internationale Zertifikate angewiesen. Die bislang umfangreichsten Prüfverfahren gibt es in England (CESG), in den Niederlanden (AIVD),
Frankreich (DCSSI) und von der Nato. Softwaretools mit
diesen internationalen Zertifikaten können als sicher und
zuverlässig eingeschätzt werden. Allerdings haben sich
bislang nur wenige Anbieter dazu entschließen können,
ihre Löschtools entsprechend zertifizieren zu lassen.
Die Zerstörung des Datenträgers durch Schreddern ist
zwar augenscheinlich, bezieht sich aber nur auf das Gerät
und nicht auf die Daten. Das zentrale Löschziel bleibt somit unberührt. Die gespeicherten Daten lassen sich je nach
Zerstörungsgrad des Datenträgers mit mehr oder weniger
großem technischen Aufwand wiederherstellen. Die entsprechenden Geräte sind inzwischen frei verkäuflich und
teilweise im Besitz von entsprechend qualifizierten Personen. Der zeitliche und finanzielle Aufwand ist dank des
technischen Fortschritts nicht so gewaltig, wie er oft suggeriert wird.
Die wesentlichen Vorteile
des Überschreibens als Löschverfahren
• Sehr kostengünstig, da eine reine Softwarelösung keine
speziellen Apparate, geschultes Personal oder besondere Räumlichkeiten erfordert. Zudem sind die Datenträger nach dem Löschvorgang wiederverwendbar.
Löschtools entsprechend damit den Anforderungen an
Green-IT und den WEEE-Richtlinien zur Altgeräteverwertung.
• Eine sehr sichere Lösung. Die Daten können danach
nicht wiederhergestellt werden. Softwaretools wurden
bis zum Geheimhaltungsgrad vertraulich, geheim und
sogar streng geheim zugelassen. (Der Blancco Data
Cleaner 4.8 wurde 2007 von der NATO für den Geheimschutz „NATO-Secret“ zugelassen)
• Löschtools lassen sich gezielt und flexibel einsetzen. Es
können, je nach Software, einzelne Partitionen, ganze
Festplatten und auch komplette Systeme automatisiert
gelöscht werden.
• Bei einer guten Software ist ein konkreter und eindeutiger Einzelnachweis über die erfolgte Löschung pro Datenträger möglich. Dies entspricht den Anforderungen
der ISO/IEC 27002 an die Dokumentationspflicht.
Eine 2005 erstellte Untersuchung von Tom D. Milster an der
Universität von Arizona an optischen Datenträgern vom Typ
CD belegt die Problemlage. (Data Recovery from Compact
Disk Fragmen /11/). Zunächst wurden von einem Shredder
CDs in kleine Streifen zerhexelt. Anschließend untersuchte
er die Bruchstücke auf noch auslesbare Datenblöcke, und
wurde fündig! Dem Forscher gelang die Wiederherstellung
von 13.230 Userdaten aus einem Schredderfragment von
gerade einmal 5,7 x 0,11 mm Größe mit Hilfe eines „Dynamic Spin Stand“. Dies zeigt die heute bereits existierenden
technischen Möglichkeiten der Datenwiederherstellung
mit frei verfügbaren Geräten auf. Selbstverständlich ist eine
solche Rekonstruktion nicht für jedermann möglich, zudem
erfordert sie Zeit und Geld. Doch nicht nur die Universität
von Arizona und das BKA in Deutschland verfügen über
einen Dynamic Spin Stand. Der derzeit noch hohe Zeitaufwand für die Auswertung der Daten mit diesen Verfahren
hängt im Wesentlichen von der verfügbaren Rechnerkapa8
WHITE PAPER - DATENLÖSCHUNG
zität ab. Mit jeder Rechnergeneration wird dieser Zeitaufwand geringer.
Sie berücksichtigt kaum die Möglichkeiten der modernen
Recovery Technik und der in den letzten Jahren dramatisch
gesteigerten Schreibdichte von Festplatten. (siehe Abbildung). In der Praxis bedeutet das, auf den ersten Blick
unbedeutend scheinende Bruchstücke von Festplatten
enthalten in Wirklichkeit Informationen von Hunderten
Dokumentenseiten bzw. ganze Tragetaschen voller Akten.
Ähnliches gilt für das Schreddern von Festplatten. Aus
diesem Grund mag es erlaubt sein, die vom BSI zugelassene maximale Partikelgröße von die 300 mm² nach dem
schreddern von Festplatten /12/ kritisch zu hinterfragen.
Abb. 2:
Reste einer geshredderten Festplatte. Deutlich zu erkennen ist nicht nur ein Stück der Plattenoberfläche sondern
auch der Strichcode für die eindeutige Kennzeichnung des
Festplattentyps.
Die Stücke sind etwas größer als von der DIN gefordert,
wurden aber vom Entsorger auf einem nach SicherheitsStufe 3 zugelassenen Schredder zerkleinert. Die zugelassenen Bruchstücke von 60x4mm entsprechen umgerechnet
ca. 0,37 Zoll²!
Abb. 3:
Zum Vergleich: Diese Mini- Festplatte von Toshiba hat eine
Abmessung von 32x24 mm und erreicht eine Speicherkapazität von 10 GByte, was einer Speicherdichte von ca. 200
Gbit pro Quadratzoll entspricht.
Auf die oben abgebildete Schredderfragmente passen also
bequem mehrere 1.000 Seiten eines Word-Dokuments, mit
Kundendaten, Forschungsergebnissen oder Finanzdaten.
10 GByte entsprechen ausgedruckt etwa einem Papierstapel in der Höhe von 250 Metern.
Empfehlungen des NIST
Zusätzliche Risiken durch mangelhafte Logistik
Gemäß den Empfehlungen des Center for Magnetic Recording Research (CMRR) der USA und der Empfehlung 800-88
des US-Amerikanischen National Institute for Science and
Technology (NIST) liegt die komplette Zerstörung einer
Festplattenoberfläche erst dann vor, wenn die resultierenden Partikel nicht mehr groß genug sind, um einen einzigen Speicherblock von 512 KB zu enthalten. Dann ist keine
Möglichkeit der Datenwiederherstellung denkbar. Betrachtet man die aktuelle Disk-Generation, so entspricht dies einer Größe von ca. 0,2 mm². Dabei ist zu beachten, dass mit
jeder neuen Generation die Speicherkapazität der Platten
steigt und folglich die Größe eines Speicherblocks sinkt!
Ein weiteres Risiko ist der Transport und die Lagerung der
Festplatten vor deren Zerstörung mit einem Schredder.
Aufgrund unklarer Entsorgungsvarianten wurden und werden in vielen Unternehmen und öffentlichen Einrichtungen
gebrauchte Festplatten zunächst an ungeeigneten Orten
gelagert. Bei den Untersuchungen zum bereits erwähnten
Datenskandal bei der Brandenburger Polizei wurde festgestellt, dass dieser nicht durch ein unzureichendes Löschverfahren verursacht wurde, sondern durch Personal, das
Zugang zu den im Keller eingelagerten Gitterboxen voller
alter Festplatten hatte. Auch die von der Zollverwaltung
auf ihrer Internetseite angebotene Platten mit Kinderpor9
WHITE PAPER - DATENLÖSCHUNG
nografie waren nicht Zeugnis unzureichender Datenlöschung, sondern Folge von Mängeln in der Logistik.
Ähnliche Bedenken zur DIN 32757 wurden auch vom Arbeitskreis „Technische und organisatorische Fragen des Datenschutzes“ der Konferenz der Datenschutzbeauftragten
des Bundes und der Länder geäußert.
Wer Festplatten nicht wieder verwenden kann oder will,
sollte sie möglichst im Unternehmen bzw. einer gesicherten Einrichtung selber degaussen und anschließend von
einem Entsorgungsunternehmen zerkleinern lassen, bzw.
direkt an eine Edelmetallhütte liefern. Nach erfolgreichem
degaussen stellt der Transport und die finale Partikelgröße
des Schreddergerätes kein Sicherheitsrisiko mehr dar.
Vorteile des Schredderns von Datenträgern
• Preisgünstige Variante zur Entsorgung von Datenträgern die nicht wieder verwendet werden können
• Es können größere Mengen auch unterschiedlicher Datenträger (CD, DVD, Bänder, Festplatten) gleichzeitig
und in relativ kurzer Zeit zerkleinert werden
• Bei fachgerechter Entsorgung ist eine Edelmetallrückgewinnung in Spezialhütten möglich
Nachteile des Schredderns von Datenträgern
• Bei Festplatten mit sensiblen Daten keine sichere Lösung für eine irreversible Datenvernichtung
• Keine Wiederverwendung des Datenträgers möglich
• Kein revisionssicherer Einzelnachweis über die Vernichtung der Daten pro Datenträger möglich.
Zusammenfassung
Die Wiederherstellung der Daten von geschredderten
Festplatten stellt heute weder ein theoretisches noch ein
technisches Problem dar, sondern erfordert lediglich ein
entsprechendes finanzielles Engagement. Es gibt bereits
zum heutigen Zeitpunkt Technologien zum auslesen der
magnetischen Aufzeichnung auf kleinsten Partikeln (BLS
Blue-Laser-Scanning, MPA Magnetische Pattern Analysator,
MFM Magnetic-Forcee-Microskopie) als auch Experten, die
aus den wiederhergestellten Datenblöcken die logische
Datenstruktur rekonstruieren können. Das Ergebnis sind
ganze Dateien oder zumindest Dateifragmente der scheinbar zerstörten Platte.
Schredderanlagen bieten also, unabhängig von der tatsächlichen Partikelgröße, die mit der Anlage erreicht werden, generell nur eine „hinreichende“ Sicherheit. Bereits
im Jahre 2004 hat das Landesamt für Verfassungsschutz
in Baden-Württemberg auf die bestehenden Gefahren bei
der Zerstörung durch Schredder hingewiesen.
10
WHITE PAPER - DATENLÖSCHUNG
4. Das Degaussen (Entmagnetisieren/Durchfluten)
von magnetischen Datenträgern
Es gibt bislang drei verschiedene Arten von magnetischen
Löschgeräten (Degaussern), die von ca. 15-20 Herstellern
auf dem internationalen Markt angeboten werden. Die
Mehrzahl der Anbieter kommt aus den USA, Japan und
England, einzelne Hersteller gibt es in Norwegen, Südkorea und Russland.
erzielen. Dazu wird das Löschgut über einen motorischen
Schlitten durch das Gap des Magneten geführt. Diese Geometrie garantiert die volle Nutzung des Magnetfeldes im
Degausser.
Aufgrund der veränderten Beschichtungstechnologie sind
die Koerzitivfeldstärken (siehe unten) aktueller Festplatten
derart gestiegen, dass ein degaussen mit anderen Geometrien nicht mehr empfiehlt. Geräte, bei denen die zu löschenden Datenträger auf dem Polschuh des Elektromagneten aufliegen, sollten nur noch zum Löschen von älteren
Bändern verwendet werden.
Die einzelnen Modelle können nach folgenden grundlegenden Funktionsweisen unterschieden werden.
1. Löschgeräte ,die mit einem Dauermagneten arbeiten
und in denen der Datenträger mit einer entsprechenden Mechanik verdreht wird.
2. Löschgeräte mit Elektromagnet, die ein magnetisches
Wechselfeld mit abnehmender Amplitude zur „Abmagnetisierung“ erzeugen.
3. Löschgeräte mit Elektromagnet, die mit einem magnetischen Impulsfeld zur ein- oder mehrmaligen magnetischen Durchflutung des Datenträgers arbeiten.
4. Löschgeräte mit Elektromagnet, die sowohl ein Impuls- als auch ein Wechselfeld erzeugen. Bislang einziges Gerät dieser Kategorie ist der Blancco Degausser
DEG-15T (näheres dazu im Kapitel 5).
Grundlage für das Löschen der Daten ist bei allen Geräten das Prinzip der weitgehenden Entmagnetisierung der
ursprünglich vorhandenen magnetischen Aufzeichnung
durch die Einwirkung eines externen Feldes. Ob die Zerstörung der magnetischen Bitmuster, welche die Daten auf
der magnetischen Speicheroberfläche des Datenträgers
repräsentieren, dabei vollständig und irreversibel ist, hängt
im Wesentlichen von zwei Faktoren ab:
• Von den Materialeigenschaften des Speichermediums,
insbesondere deren Koerzitivfeldstärke in der Maßeinheit Oersted bzw. A/m ( 1 Oe = 79,6 A/m).
• Von der Feldstärke des Löschgerätes, bzw. der magnetischen Flussdichte oder auch der magnetischen Induktion in Gauss bzw. Tesla (10.000 Gauss = 1 Tesla).
Mit dem DEG-15T betritt Blancco technologisches Neuland.
Dieser Degausser kombiniert über eine speziell dafür entwickelte Software Impulsfeld und Wechselfeld. Der neuentwickelte Elektromagnet erzeugt ein Feld von circa 15.000
Gauss. Dieses wirkt während des Löschvorganges gleich
mehrfach auf den Datenträger ein und wird zudem softwaregesteuert moduliert, um ein Maximum an Effizienz zu
Ein Blick auf die physikalischen Grundlagen der beiden
Kenngrößen Oersted und Gauss zeigt deren Bedeutung für
die für die Beurteilung der Wirksamkeit der Datenlöschung.
11
WHITE PAPER - DATENLÖSCHUNG
Um diese Magnetisierung aufzuheben bzw. irreversibel zu
beseitigen, ist wiederum ein entsprechend starkes umgekehrtes äußeres Magnetfeld notwendig. Ein Degausser hat
die Aufgabe, ein solches Feld zu erzeugen. Die aus dem
Physikunterricht bekannte Magnetisierungskurve (Hystereseschleife) fasst die Vorgänge zusammen. Startpunkt
ist der unmagnetisierte Werkstoff (Mitte des Koordinatenkreuzes). Ein außen anliegendes Feld H (z.B. vom Schreibkopf der Festplatte) führt zu einer Magnetisierung, die von
der Neukurve beschrieben wird. Wenn das Feld H aufhört
einzuwirken, bleibt der Werkstoff aufgrund der Remanenz
magnetisch. Erst ein umgekehrtes Feld ausreichender Stärke beendet diesen Zustand und entmagnetisiert ihn.
Alle magnetischen Datenträger, also Bänder, Festplatten
und Disketten, nutzen die Fähigkeit bestimmter Werkstoffe, magnetische Felder quasi „einzufrieren“. Diese wird als
Remanenz (von lateinisch remanere = zurückbleiben) bezeichnet. Sie ist, vereinfacht gesagt, das Fortdauern einer
Wirkung nach dem Wegfall der Ursache, hier die zurückbleibende Magnetisierung (auch Remanenzflussdichte) in
einem ferromagnetischen Werkstoff nach dem Abschalten
des äußeren Magnetfeldes.
Um diesen Zustand möglichst stabil zu erhalten, werden
die zu speichernden Daten in Form von magnetischen
Bitmustern (Polarisierung von kleinen Abschnitten auf
der Oberfläche des Datenträgers in Nordsüd- oder Südnordrichtung) bis zur magnetischen Sättigung des jeweiligen Materials magnetisiert.
Abb. 4:
H
Hc
B
Br
S
N
Die Koerzitivfeldstärke Hc (H für magn. Feldstärke und c für
coerzivity) drückt aus, welche Feldstärke notwendig ist, um
einen Werkstoff vollständig zu entmagnetisieren.
Je höher also die Koerzitivfeldstärke eines Datenträgers ist,
desto stabiler behält er seine ursprüngliche Magnetisierung (Remanenz), wenn er einem magnetischen Gegenfeld
ausgesetzt wird. Von der Festplattenindustrie wurden in
Zusammenarbeit mit den Herstellern von entsprechenden
magnetischen Legierungen für die Oberflächenbeschichtung der Platten (Sputtertargets) massive Forschungsanstrengungen unternommen, um die Koerzitivfeldstärke
der Festplatten und damit die Stabilität und Sicherheit der
Datenaufzeichnung zu erhöhen. Gleichzeitig konnte dadurch, und das war der Hauptantrieb dieser Entwicklung,
die Speicherkapazität der Festplatten immer weiter erhöht
werden. Mit konkreten Angaben über die jeweilige Koerzitivfeldstärke einer Festplatte halten sich die Hersteller
jedoch sehr bedeckt. Anhand von entsprechenden wissenschaftlichen Publikationen kann man diese Entwicklung jedoch nachvollziehen. Eine 120 MB Festplatte hatte
demnach etwa 1.500 Oe, eine 10 GB Festplatte ca. 2.300
Magnetische Feldstärke in Oersted
Koerzitivfeldstärke in Oersted
Magnetische Flussdichte (Induktion)
in Gauss bzw. Tesla
Remanenz (verbleibende Flussdichte)
in Gauss bzw. Tesla
Sättigung (Sättigungspolarisation höchste erreichbare Polarisation in
einem Werkstoff ) in?
Neukurve (Aufmagnetisierung bis zur
Sättigung – verbleibende Magnetisierung –
Entmagnetisierung – Umkehrung der
der Polarisation bis zur Sättigung)
Oe, eine 50 GB-Platte ca. 3.000 Oe und eine 100 GB-Platte
ca. 4.500 Oe. Für heutige Festplatten mit Senkrechtaufzeichung (PMR perpendicular magnetic recording) und 320
GB haben aktuelle Untersuchungen eine Koerzitivfeldstärke von 5.000 Oe ergeben.
Für Magnetbänder geben viele Hersteller die Koerzitivfeldstärke direkt auf den jeweiligen Produktblättern an, diese
liegen bei 1540 Oe für DLT III, 2250 Oe für Zip 250 MB bis
2650 Oe bei LTO –Ultrium3 Bändern.
4.1. Sicheres Löschen durch Degaussen
Als Faustregel für die zum Degaussen notwendigen Feldstärke gilt folgende Regel: Die Feldstärke sollte in der Einheit
Gauss etwa doppelte so hoch sein, wie die Koerzitivfeldstärke des Magnetbandes oder der Festplatte, gemessen in
Oersted. Eine Festplatte mit einer Koerzitivfeldstärke von
5.000 Oe sollte also mit einem Degausser gelöscht werden,
der mindestens 10 000 Gaus zur Verfügung stellen kann.
12
WHITE PAPER - DATENLÖSCHUNG
Die Maßeinheiten Oersted und Gauss können nicht gleichgesetzten werden. Es gilt jedoch eine näherungsweise
Gleichsetzung bei hohen Feldstärken von 10.000 Gauss und
mehr. Dann nimmt die Permeabilität µ (das Produkt aus
der Induktionskonstanten und der relativen Permeabilität
des Mediums) näherungsweise den Wert µ = 1 an. Insofern
kann der Wert der Koerzitivfeldstärke des Speichermediums gemessen in Oersted und der Wert der magnetischen
Feldstärke des Löschgerätes gemessen in Gauss ohne großes Umrechnen miteinander verglichen werden. Es gilt näherungsweise: 104 Oe = 104 Gauss = 1 Tesla bei µr = 1
Faustregel anzuwenden und die reine Feldstärke des Magneten zu betrachten. Es sind vielmehr aufwendige, messtechnische Untersuchungen am Löschgut nötig.
Diese werden zum Beispiel in den USA nach den Kriterien der NSA (National Security Agency) unter anderem am
CMRR (Center fort Magnetic Recording Research) durchgeführt. Die geprüften Degausser werden in 3 Klassen eingeteilt und regelmäßig in einer Liste veröffentlicht /15/. Die
einzelnen Prüfberichte mit den konkreten Testergebnissen
sind leider nicht zugänglich.
Diese Faustregel kann jedoch nur als grobe Orientierung
dienen! Zwei Faktoren sind besonders zu berücksichtigen:
• die Geometrie zwischen Löschgut und Löschfeld
• der Aufbau der Platte.
4.4. Aktuelle Technische Leitlinien
des BSI für moderne Festplatten
In Deutschland gibt es, nachdem der Versuch, die DIN
33858 im Jahr 2006 zu über-arbeiten, gescheitert ist, seit
April 2008 eine aktuelle Prüfanordnung für das Löschen
von schutzbedürftigen Daten auf magnetischen Datenträgern mit Hilfe eines Löschgerätes (Degausser). Diese wurde
in den Technischen Leitlinien des BSI (BSI-TL 03422) veröffentlicht /16/. Im Gegensatz zur alten DIN, bei der es nur
um die Prüfung der Signalreduzierung (Löschdämpfung)
der magnetischen Aufzeichnung unter bestimmte Grenzwerte in Dezibel (45 db und 90 db) ging, und die Löschgeräte dementsprechende in Klassen A1 bis B3 eingeteilt
wurden, ist nunmehr eine Prüfung der Löschwirkung mit
Hilfe eines Magnetkraftmikroskops (MFM-Gerät) vorgeschrieben. Diese Prüfmethode bietet weit mehr Sicherheit
als alle bisherigen internationalen Prüfverfahren. Hiermit
kann die vollständige Vernichtung der ursprünglichen
Datenaufzeichnung „sichtbar“ nachgewiesen werden.
(Siehe Abb. 5 und Abb. 6 auf S. 14)
Die Feldstärke sollte beispielsweise bei Impulsfeld- Degaussern und herkömmlichen Festplatten mit Längsaufzeichnung (Longitudinal Recording), mindestens das 2,5-fache
der Koerzitivfeldstärke betragen. Bei Festplatten mit Senkrechtaufzeichnung (PMR) genügt hingegen das 1,5-fache,
da die in-plane Komponente bei einem Polschuhmagneten nur etwa halb so hoch ist wie die senkrechte Feldkomponente. Auch bewirken die im Festplattengehäuse auftretenden Abschirmungs- und Verwirbelungseffekte eine
Abschwächung des Feldes um circa 20 Prozent.
4.2. Grenzen der Degausser-Typen
Degaussern mit Dauermagneten werden durch die zur
Verfügung stehenden Materialien für den Permanentmagneten (seltene Erden) sowie durch die enormen Kräfte,
die von der Mechanik beim drehen des Datenträgers im
Gerät überwunden werden müssen, physikalische Grenzen gesetzt. Auch ist die Löschwirkung auf der Innenseite
der Platte bzw. bei den mittleren Scheiben einer Festplatte
mit mehreren Scheiben deutlich geringer als an den oberen Scheiben. Bei Degaussern mit einem Wechselfeld sind
durch die auftretende Wärmeentwicklung und die enorme
Vibration, denen der Datenträger in diesem Magnetfeld
ausgesetzt ist, ebenso Grenzen für die einsetzbare Feldstärke gesetzt. Eine Studie, die im Auftrage des BSI an der
Uni Regensburg /14/ durchgeführt wurde, belegte bei Degaussern dieses Typs eine unzureichende Löschwirkung.
Sie stellen daher für Festplatten ab Baujahr 2004/05 ein Sicherheitsrisiko dar und sollten ausgetauscht werden.
Solche Aufnahmen bzw. Untersuchungen sind laut Richtlinie an mindestens sechs unterschiedlichen Stellen der
Plattenoberfläche durchzuführen. Sie sind aber nur ein Teil
der neuen Prüfanordnung des BSI. Weiter ist die tatsächlich
verfügbare Feldstärke an der Plattenoberfläche des Löschgutes zu ermitteln, wobei die Koerzitivfeldstärke der jeweils
untersuchten Festplatte exakt zu bestimmen ist, um die
Löschleistung beurteilen zu können. Zusätzlich fordert die
Richtlinie, dass der zu prüfende Degausser nicht unzulässig
hohe elektromagnetische Felder abstrahlt. Hier gelten die
arbeitsschutzrechtlichen Vorschriften des BGV-B11.
Leider fehlt es bislang noch an einer geeigneten Prüfeinrichtung in Deutschland, die alle geforderten Untersuchungen einheitlich durchführen kann. Die Prüfung des Blancco
Degausser DEG 15T musste daher auch an verschiedenen
Einrichtungen durchgeführt werden. (Ergebnisse siehe Kapitel 5)
4.3. Der Nachweis sicheren Löschens
bei Degaussern in den USA und Deutschland
Für die genauere Beurteilung der Löschwirkung eines Degausser reicht es also nicht aus, die oben beschriebene
13
WHITE PAPER - DATENLÖSCHUNG
Abb. 5:
Diese MFM- Aufnahmen stammen von einer ungelöschten
320 GByte Festplatte.
Der Ausschnitt zeigt ein Quadrat von ca. 2,5 µm Kantenlänge. Deutlich sichtbar sind die einzelnen Bits in Form von
magnetischen Domänen. Solange dieses Bitmuster noch in
irgendeiner Form vorhanden ist, sind grundsätzlich Daten,
und damit Informationen, rekonstruierbar.
Abb. 6:
Diese MFM-Aufnahme zeigt dieselbe Platte in gelöschtem
Zustand. Es ist zwar noch eine Magnetisierung sichtbar,
aber die Anordnung ist völlig chaotisch. Es kann kein einheitliches Bitmuster mehr abgeleitet werden. Die Daten
(Informationen) sind irreversibel vernichtet. Die beiden abgebildeten Messungen mit einem Magnetkraftmikroskop
erfolgten an der PTB (Physikalisch Technischen Bundesanstalt) in Braunschweig.
4.5. Wesentliche Vorteile
des Degaussen von Datenträgern
4.6. Nachteile
des Degaussens von Datenträgern
• Eine sichere und durch entsprechende Prüfkriterien des
BSI auch für vertraulichste Daten autorisierte Form der
Datenvernichtung
• Sichere Datenlöschung ist auch auf defekten, durch
Softwaretools nicht mehr ansprechbaren, Datenträgern
möglich.
• Sehr schnelle Datenlöschung, der eigentliche Löschvorgang dauert nur wenige Minuten.
• Eine Wiederverwendung der Datenträger ist bei Disketten und Magnetbändern ohne Servospuren möglich,
viele Festplattenhersteller akzeptieren bei defekten
Festplatten im Garantie-Verfahren auch degausste Datenträger.
• Degausser arbeiten unabhängig von der verwendeten
Schnittstelle (SATA, PATA, SCSI, FC) und unabhängig
von der Computer-Infrastruktur im Unternehmen. Auch
Platten, die von keinem Rechner mehr angesprochen
werden können, sind sicher löschbar.
• Eine Wiederverwendung der gelöschten Festplatten
ist nicht möglich, da die magnetischen Steuerinformationen auf der Datenträgeroberfläche (Servospuren)
durch das degaussen zerstört werden. Dies gilt auch für
bestimmte Bandtypen.
• Bei geringen Mengen von zu löschenden Datenträgern ist das Degaussen eine vergleichsweise teure Lösung, brauchbare Geräte kosten zwischen 20.000,- und
60.000,-€
• Degausser können nur bei magnetischen Datenträgern
eingesetzt werden, für DVD, CD und Flashspeicher sind
sie nicht geeignet.
• Festplatten mit Flashspeicher müssen vor dem degaussen zunächst mit einer geeigneten Löschsoftware gelöscht werden. Bei defekten Platten ist der Flashspeicher auszubauen und gesondert zu entsorgen. Dieser
Aufwand lässt sich umgehen, indem in kritischen Bereichen ausschließlich Platten ohne Flashspeicher verwendet werden.
14
WHITE PAPER - DATENLÖSCHUNG
5. Funktionsweise und Bedienung
des Blancco Degausser DEG 15T
feld von 1,5 Tesla (15 000 Gauss)
Gleichzeitig wurden bei der Neuentwicklung die Unzulänglichkeiten bisheriger Löschgeräte, wie fehlendes Löschprotokoll, nicht automatisierte Löschabläufe und unzulängliche optische Anzeige des Löschergebnisses berücksichtigt
und überwunden.
Als Ergebnis der Entwicklung verfügt der Blancco Degausser DEG-15T über fünf Alleinstellungsmerkmale:
Der Blancco Degausser DEG-15T wurde 2008 in Deutschland mit der Maßgabe entwickelt, Behörden mit Sicherheitsaufgaben und Unternehmen mit gesteigertem Sicherheitsbedarf ein Gerät zur Verfügung zu stellen, das alle
modernen magnetischen Datenträgern sicher und gesetzeskonform löscht. Ausgangspunkt für die Entwicklung
waren entsprechende Studien an der Universität Regensburg. Diese hatten erhebliche Risiken bei bisherigen magnetischen Löschgeräten zu Tage gefördert. Eine genauere
Untersuchung erbrachte die Erkenntnis, dass Löschgeräte
mit herkömmlichen Elektromagneten bei neueren Festplatten mit Senkrechtaufzeichnung (PMR-Technik), an bautechnische und physikalische Grenzen stoßen. Ganz gleich,
ob es sich um Degausser mit Permanentmagneten oder
Elektromagneten handelt.
Der Blancco Degausser DEG-15T ist daher eine völlige Neuentwicklung, die den Stand der Technik neu fixiert. In seine
Konstruktion flossen umfangreiche Vorstudien über moderne Beschichtungen von Festplatten ein. Es folgten eine
exakte Analyse der Probleme und anschießend praktische
Tests mit unterschiedlichen Datenträgern. Das Ergebnis ist
ein zukunftssicheres Gerät, das sich durch sein innovatives
Löschprogramm auszeichnet und bei keinem anderen Gerät auf dem Weltmarkt zu finden ist. Die Notwendigkeit,
Impulsfeld und modifiziertes magnetisches Wechselfeld zu
kombinieren, ergab sich aus den praktischen Tests und den
Vorstudien. Sie ist nachweislich sowohl für Disks mit klassischer Längsaufzeichnung als auch für moderne Platten mit
Senkrechtaufzeichnung und für Magnetbänder hervorragend geeignet. Der äußerst kraftvolle Elektromagnet aus
deutscher Fertigung liefert ein zukunftssicheres Magnet-
• Hybridtechnik aus Impuls- und modifiziertem Wechselfeld von 1,5 Tesla
• Weitgehend automatisierter Ablauf des Löschprozesses
mit Prozessüberwachung
• Prüfung des Löschergebnisses und Dokumentation in
einem manipulationssicheren Löschbericht
• Entwickelt und getestet für Festplatten mit Senkrechtaufzeichnung (PMR-Technik) am Beispiel einer 320 GB
Festplatte mit einer Koerzitivfeldstärke von ca. 5.000
Oe, sowie für konventionelle Platten.
• Vom BSI nach der neuen Prüfanordnung für Löschgeräte (TL-03422 von 4/2008) getestet und bewertet und
auch für den Einsatz im Bereich des materiellen Geheimschutz zugelassen.
15
WHITE PAPER - DATENLÖSCHUNG
5.1. Löschwirkung und Geometrie
5.2. Bedienung des Degaussers
und Arbeitsschutz
Die Löschwirkung des Gerätes wird beim DEG-15T zusätzlich durch die optimale Anordnung von Löschgut und
Löschmagnet gesteigert. Der Datenträger wird motorisch
direkt in den Magneten gefahren, wo das Magnetfeld maximal ist und er vollkommen vom Feld durchflutet wird. Die
Löschwirkung ist ungleich größer, als beim bloßen Aufliegen der Disk auf der Oberfläche des Polschuhmagneten.
Die einfache und sichere Bedienung des DEG-15T beschleunigt den Arbeitsablauf. Zunächst wird der zu löschende
Datenträger in den Trägerrahmen des Gerätes eingelegt,
anschließend die Sicherheitsklappe verschlossen und der
Löschvorgang durch die Fernbedienung oder durch den
roten Start-Schalter am Gerät gestartet. Die Frontklappe
verriegelt anschließend automatisch. Der Löschvorgang
startet 10 Sekunden nach Betätigung des Startschalters
und läuft vollautomatisch ab. Es ist keine Interaktion der
Bedienperson erforderlich. Als Indikator für das korrekt
aufgebaute Magnetfeld und somit einer zuverlässigen Löschung, dient die Magnetfeldanzeige an der Frontseite des
Gerätes. Größere Abweichungen der Leistung erkennt das
Gerät selbstständig und gibt eine entsprechende Fehlermeldung auf dem Display aus. Anschließend erfolgt eine
akustische Warnmeldung.
Degaussen ist eine verhältnismäßig schnelle Löschmethode. Der gesamte Löschvorgang, inklusive Ein- und Ausfahrt des Datenträgers, beansprucht nur ca. 2,5 Minuten.
Das Ende des Löschvorgangs wir durch das Aufleuchten
der grünen Signalleuchte und auf dem Display angezeigt.
Anschließend wird die Verriegelung der Frontklappe vom
Gerät selbstständig aufgehoben. Der Datenträger kann
entnommen werden.
Weitere Hinweise zur Handhabung des Gerätes finden sich
in der Bedienungsanleitung, die in deutscher und englischer Sprache vorliegt.
Beim Blancco Degausser DEG-15T wird der Datenträger
dazu in einen Trägerrahmen (Haltevorrichtung und Schlitten) gelegt, der die ordnungsgemäße Positionierung des
Datenträgers im Löschfeld sicherstellt und gleichzeitig
das Feld mehrfach und an unterschiedlichen Positionen
auf den Datenträger einwirken läst. Insgesamt fährt der
Schlitten jede Platte während des degaussens auf sieben
verschiedene Positionen. Die von Blancco entwickelte
Steuersoftware sorgt an jeder Position für eine optimale
Felddurchflutung.
Durch die Konstruktion des Magneten, aber insbesondere
durch seine Platzierung im Degausser kann die magnetische Aufzeichnung der Daten auf der Speicheroberfläche
des Datenträgers irreversibel vernichtet werden.
Abb. 7:
Übersicht der verschiedenen Aufzeichnungsmethoden
Abb. 8:
Blancco DEG-15T
16
WHITE PAPER - DATENLÖSCHUNG
Bei dem Zusatzmodul DokuKIT wird eine erfolgreiche
Löschung auf dem Bildschirm angezeigt und der Löschbericht mit Seriennummer der Festplatte wird erstellt.
Bei Aufleuchten der grünen Signallampe ist die Löschung
abgeschlossen, und die Verriegelung der Frontklappe wird
vom Gerät selbstständig aufgehoben. Der Datenträger
kann entnommen werden.
Hinweis: Bei der Option DokuKit entriegelt die Klappe erst
nach korrektem Ausfüllen und Speichern des Löschberichts.
Er stellt somit einen revisionssicheren Nachweis über die
erfolgreiche Datenlöschung auf dem Speichermedium
entsprechend ISO/IEC 27002 (alte Bezeichnung ISO 17799)
aus dem Jahr 2005 dar.
Der Anwender kann diese obligatorischen Angaben noch
durch zusätzliche erweitern, etwa betriebliche Inventarnummer, Abteilungsnummer und den Namen des verantwortlichen Mitarbeitern.
Der Blancco Degausser DEG-15T kann sensible Daten auf
Festplatten und Magnetbändern sicher, vollständig und
nachweisbar löschen. Das Gerät wurde vom BSI sowohl
für Festplatten als auch für Magnetbänder getestet und
entsprechend bewertet. Die Prüfberichte 03/2008 vom
16.12.2008 (GZ:225-450 0203 ) für Festplatten und 02/2009
vom 20.01.2009 für Magnetbänder können von berechtigten Personen beim BSI angefordert bzw. eingesehen
werden. Der Bericht enthält Zusammenfassend folgende
Aussage:
Die Prüfergebnisse belegen in den Abschnitten 2.6 und 2.7,
dass mit dem Löschgerät Blancco DEG-15T Festplatten mit
einer Koerzitivfeldstärke bis 5000 Oe (400 kA/m) vollständig gelöscht werden können. Das gilt sowohl für Festplatten mit Senkrecht- als auch Longitudinalaufzeichnung. Das
Löschgerät Blancco DEG-15T kann deshalb zum Löschen
von magnetischen Datenträgern im Rahmen des materiellen Geheimschutzes , aber auch zum Löschen von Datenträgern mit sonstigen vertraulichen Daten eingesetzt werden.
Das Löschgerät Blancco DEG-15T wird in die Produktliste
BSI-TL 03400 aufgenommen.
Abb. 9:
Löschbericht DokuKIT
Abb. 10:
Prüfbericht des BSI zum Blancco DEG-15T
17
WHITE PAPER - DATENLÖSCHUNG
6. Zusammenfassung und Ansprechpartner
Da nur das Überschreiben und das Degaussen eine Vernichtung der Daten vor Ort ermöglicht, sind diese Verfahren grundsätzlich gegenüber anderen zu favorisieren.
Wenn ein Überschreiben mit Software nicht möglich ist,
sollte man diese, vorzugsweise vor Ort im Rechenzentrum,
degaussen und anschließend entsorgen. Dies kann durch
Zerlegen des Datenträgers in seine Bestandteile geschehen, oder durch schreddern an einem beliebigen Ort.
Grundsätzlich gibt es nur drei sichere Verfahren, die zu
einer physikalischen Vernichtung der magnetischen Aufzeichnung, also dem unkenntlich machen der Bit-Muster
bei magnetischen Datenträgern führen:
• Das vollständige Überschreiben mit einer geeigneten
(geprüften und ggf. auch zertifizierten) Software. Dies
führt zu einer physikalischen Vernichtung der ursprünglichen Daten durch Umorientierung der Domänen auf
dem Datenträger. Eine Widerherstellung der Daten ist
beim heutigen Stand der Technik auch mit höchstem
finanziellem und technischem Aufwand nicht möglich.
• Das Degaussen mit einem geeigneten und zugelassenen Degausser. Insbesondere ältere Degausser liefern
ein unzulängliches Löschfeld und sind für moderne
Platten ungeeignet! Nur wenn Degausser und Datenträger aufeinander abgestimmt sind, ist eine vollständige und endgültige physikalische Vernichtung aller
Daten, einschließlich der Servoinformationen zur Steuerung der Platte sowie aller versteckten Sektoren, durch
magnetische Durchflutung des gesamten Datenträgers
garantiert. Eine Wiederherstellung der Daten ist nach
einer solchen Löschung theoretisch und technisch unmöglich.
• Das Einschmelzen der Datenträger bei einer Temperatur, die für längere Zeit (mindestens 15 Minuten) über
der Curietemperatur des jeweiligen Beschichtungswerkstoffes liegt, was zu einer physikalische Vernichtung sowohl der Daten als auch des Datenträgers und
seiner Beschichtung führt. Eine Wiederherstellung der
Daten ist auch für die Zukunft völlig ausgeschlossen.
Bei der Beauftragung von Dritten (Dienstleistern) mit der
Datenlöschung sollte nicht nur auf die exakte Einhaltung
von Verfahrensabläufen geachtet werden, sondern auch
auf die jeweils eingesetzten Produkte bzw. Lösungen und
deren Reporting-Funktionen.
Der Auftraggeber hat laut BDSG die eingesetzten Verfahren und Abläufe für eine sichere Datenlöschung seiner Datenträger schriftlich vorzugeben. Im Falle einer juristischen
Auseinandersetzung muss er die sichere Entsorgung nachweisen. Er sollte daher vom Dienstleister einen manipulationssichern Löschnachweis pro Datenträger einfordern.
Viele Löschprotokolle, auch solche von bekannten Softwaretools, sind jedoch reine Textdateien ohne Signatur
oder Prüfsumme und können somit beliebig manipuliert
werden. Ihre Beweiskraft ist daher denkbar gering.
18
WHITE PAPER - DATENLÖSCHUNG
Sind noch Fragen offen geblieben?
Bei der Blancco Central Europe GmbH finden Sie
kompetente Ansprechpartner für Ihre individuellen Lösungen.
Zögern Sie nicht, uns anzusprechen!
Thomas Wirth
Christof Weber
Geschäftsführer
Blancco Central Europe GmbH
Geschäftsführer
DATAfield Deutschland GmbH
Alt-Württemberg-Allee 42
71638 Ludwigsburg
Tel: 07141/95660-25
[email protected]
Radolfzeller Straße 29
78467 Konstanz
Tel: 07531/361119-22
[email protected]
Hanno Fischer
Tanja Kühnl
Leiter Büro Berlin / Öffentlicher Dienst
Blancco Central Europe GmbH
Sales-Manager
Blancco Central Europe GmbH
Ostendstraße 1
12459 Berlin
Tel: 030/53015271; Funk: 0173/6047826
[email protected]
Alt-Württemberg-Allee 42
71638 Ludwigsburg
Tel: 07141/95660-24
[email protected]
19
WHITE PAPER - DATENLÖSCHUNG
7. Glossar
* Degausser (Degaussing)
* Firmware (Systemsoftware der Platte)
wird in neueren englischen Fachwörterbüchern mit Entmagnetisierung (auch Demagnetization) übersetzt. Die eigentliche Herleitung des Wortes stammt jedoch von „De“
– für Ent- sowie „Gauss“ – die ältere Maßeinheit für die magnetischen Flussdichte (auch Induktion) – benannt nach
dem deutschen Mathematiker und Physiker Carl-Friedrich
Gauß (lat. Carolus Fridericus Gauss) der u.a. 1832 das erste
Magnetometer erfand. Die Endung er bzw. ing – steht für
(engl.) Erasing Löschung bzw. Ausradierung.
Der Begriff wird im allgemeinen Sprachgebrauch für Entmagnetisierungsgeräte oder auch für Löschgeräte für magnetische Datenträger verwendet.
Die Firmware einer Festplatte ist die für den Start und Betrieb der Platte nötige Software, also gewissermaßen das
Betriebssystem der Festplatte und nicht die des gesamten
Rechners. Sie besteht aus zwei Teilen:
Erstens den Microcode (Mikroprogrammsteuerwerk), der
sich auf einem ROM-Chip der Elektronik (-Platine) oder auf
einem externen ROM-Chip befindet (auch EEPROM).
Zweitens eine spezielle Firmware-Zone auf den MagnetScheiben der Festplatte. Meist ist dieser Teil der Firmware
nach Funktionsbereichen unterteilt. Über den Aufbau und
Inhalt der Firmware-Module geben die Hersteller wenige
Informationen heraus. Die grundlegende Funktionsweise
besteht jedoch im Folgendem: Nachdem Einschalten des
Geräts erledigt der erste Teil der Firmware die Initialisierung mit Diagnoseroutinen, Regelung der Motordrehzahl,
und Positionierung der Köpfe. Dann wird von einem „Loader“ der zweite Teil der Firmware (die Module) in den RAM
der Elektronik geladen und dort ausgeführt. Die Firmware
beansprucht und verwaltet eigene Dateien und Speicherbereiche auf der Festplatte, durch entsprechende Befehle
(Programmierung) können weitere Funktionen auf der
Platte eingerichtet werde (siehe auch HPA und DCO). Diese
existieren dann unabhängig vom BIOS und dem jeweiligen
Betriebssystem des Rechners. Abfragen die beispielsweise
das BIOS beim Start des Rechners zum Typ und der Kapazität der Festplatte vornimmt, werden von der Firmware beantwortet. Eine 50 Gbyte Platte kann sich, unter Umständen aus Marketinggründen, als 45 Gbyte Platte ausgeben.
Das BIOS des PCs kann diese Auskunft nicht hinterfragen.
* Gutmann
Der Löschstandart Gutmann (benannt nach Peter Gutmann, Forscher am Department of Computer Science der
Universität Auckland) fordert ein 35-maliges Überschreiben
der Daten mit verschiedenen Bitmustern. Dieser Standart
wurde in einem Aufsatz von Gutmann aus dem Jahre 1996
„Secure Deletion of Data from Magnetic and Solid-State
Memory“ entwickelt.
* Materieller Geheimschutz
Alle Maßnahmen des staatlichen Geheimschutzes, die
zur technischen Sicherung geschützter Bereiche dienen.
Grundlage bilden die einzelnen Vorschriften der Verschlusssachenanweisung z.B. zur Aufbewahrung, zur Sicherung in
Behältern und in Räumen (§§ 21 ff. VSA), zum Transport (§§
36 ff. VSA), zur Vervielfältigung und zur Vernichtung von
Verschlusssachen (§§ 29 ff. VSA).
20
WHITE PAPER - DATENLÖSCHUNG
* Host Protected Area (HPA)
auch bekannt als Hidden Protected Area oder ATA-geschützter Bereich. Die HPA wurde bereits 1998 mit dem ATA
4 Standard eingeführt und ist heute ein weit verbreitetes
optionales Festplattenmerkmal, über das sich mit Hilfe von
ATA-Befehlen ein geschützter Bereich auf Festplatten einrichten lässt. Die DCO wurde erst mit dem ATA 6 Standard
eingeführt und ist noch nicht ganz so verbreitet. Beide
Bereiche DCO und HPA sind für Ermittler und ComputerForensik-Spezialisten wahre Fundgruben. Forensisch interessant sind auch defekte Sektoren und als defekt getarnte
Sektoren. Durch das platteneigene Defektmanagement,
welches defekte Sektoren, die während der Produktion
entstehen, in die P-List und defekte Sektoren, die im laufenden Betrieb entstehen (schlechte Zugriffzeiten, inkorrekte
Checksummen) in die G-List einträgt, werden die Daten auf
vom Hersteller reservierte Sektoren umgeleitet (remappt).
Im Laufe des Betriebes der Festplatte können dabei mehrere Hundert defekte Sektoren aufsummieren, wobei jeweils
512 Byte pro Sektor dem Zugriff des PC-Betriebssystems
entzogen werden. .
* Curietemperatur
Ferromagnetische Materialien verlieren ihre magnetischen
Eigenschaften (spontane oder gerichtete Magnetisierung
von Kristallbereichen), wenn sie über ihre materialspezifische Curie-Temperatur Tc (benannt nach Pierre Curie)
erhitzt werden. Die Curietemperaturen der bekanntesten
ferromagnetischen Stoffe liegen bei Eisen (768° C), Nickel
(360° C) und Kobalt (1.121° C). Bei der Datenspeicherung
werden entsprechende Legierungen eingesetzt, deren Curietemperatur meist erst exakt ermittelt werden muss.
Übersicht über die Entwicklung der Koerzitivfeldstärke (Hc in Oersted) von Festplatten
Quelle: http://www.nsa.gov/ia/government/MDG/NSA_
CSS-EPL-9-12.PDF
21
WHITE PAPER - DATENLÖSCHUNG
8. Anhang
8.1. Quellen- und Literaturverzeichnis
/1/
Einsatzpläne der Brandenburger Polizei bei ebay – Meldung in der Berliner Morgenpost
vom 3.4.2005 „ Datenträger der Brandenburger Polizei bei ebay“
und Beitrag in der Berliner Zeitung vom 8.4.2005 „Polizist stahl Festplatte mit Geheimplänen“
/2/
Kreditkartenabrechnungen – Beitrag in der PC Welt vom 17.01.2003
von Hans-Christian Dirscherl „Festplatten bei Ebay: Fundgrube für Datendiebstahl“
/3/ Schriftverkehr der Krankenkasse AOK Rheinland – Beitrag vom 10.04.2004
im FOCUS Magazin von Matthias Matting „Speicher voller Geheimnisse“
/4/
Aufstellung Nachlassregister – Beitrag vom 20.12.2003 im Spiegel
von Hilmar Schmundt „Verräterische Magnetspuren“
* auch im Text – Zollverwaltung versteigert Festplatte mit Kinderpornografie
und Naziliedern – Meldung vom 22.08.2005 OnlineKosten.de
/5/
66% der Festplatten nicht ordnungsgemäß laut Untersuchungen in Deutschland
und den USA gelöscht – „Deutschland Deine Daten“ Studie zum Datenschutz
bei gebrauchten Festplatten von September 2007
* laut Angaben der Unternehmensberatung BBE-Retail-Experts werden jährlich
etwa 500.000 gebrauchte Computer und einzelne Festplatten bei ebay verkauft.
/6/
jährlich 800 MByte Daten pro Erdbewohner – Meldung vom 31.10.2003
auf pressetext.de/deutschland „Informationsflut produziert jährlich 5,4 Mrd. GB“
Ergebnisse einer Studie der Universität von Kalifornien in Berkeley
/7/
Guido Schmitz – ist IT- Administrator der Gemeindeverwaltung Hellenthal
/8/ Literaturempfehlungen zum Thema „Löschen von Daten“ (ausgewählte Beiträge)
A) Orientierungshilfe „Sicheres Löschen magnetischer Datenträger“ erstellt 2004
vom Arbeitskreis „Technische und organisatorische Datenschutzfragen“
der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Link: http://www.landtag.sachsen.de/SLT_Online/Data/SDB/Arbeitshilfen/magloe.pdf
B) Leitfaden zum Sicheren Datenlöschen (Version 2.0) des Arbeitskreises
Speichertechnologien des Bundesverbandes Informationswirtschaft,
Telekommunikation und neue Medien e.V. (BITKOM)
Link: http://www.bitkom.org/de/publikationen/38337_52528.aspx
22
WHITE PAPER - DATENLÖSCHUNG
C) Stefan Schumacher „Daten sicher löschen“ in Pro-Linux Magazin (4/2007)
Link: http://www.pro-linux.de/berichte/sicheres-loeschen.html
D) Tom Rathert „Wie Profis Daten löschen“ in PC-Magazin (5/2005)
Link: http://www.pc-magazin.de/praxis/sicherheit/cm/page/page.php?table=pg&id=513
G) Simon Garfinkel (Studie) “Remembrance of Data Passed” MIT 2/2003
Link: http://www.computer.org/portal/cms_docs_security/security/v1n1/garfinkel.pdf
E) Lukas Grunwald „Blitzblank – Sicheres Löschen von Speichermedien“ in
iX (Heise-Verlag) 5/2003 Link: http://www.heise.de/ix/artikel/2003/05/072
F) Mike Hartmann „Daten sicher löschen“ in (4/2003)
Link: http://www.tecchannel.de/index.cfm?pid=210&pk=402093
H) Peter Gutmann “Secure Deletion of Data from Magnetic and Solid-State
Memory” Link: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
I) Bernd Schöne “ Festplatten löschen aber richtig” vom 18.06.2008 auf
SearchStorage.de Vogel IT-Media Verlag
/9/ Weißbuch (White Paper) laut Wiki - http://de.wikipedia.org/wiki/Wei%C3%9Fbuch
/10/
Kommentar von Dr. Herbert Auernhammer zum Bundesdatenschutzgesetz – BDSG
Auernhammer BDSG 2. Auflage 1981, Seite 2 Rdnr. 13, Köln 1981 Heymanns
Taschenkommentare , ISBN 3-452-18986-4
/11/
Tom D. Milster Universität of Arizona 2005 “Data Recovery from a Compact Disc Fragment”
/12/
BSI-Technische Leitlinien (BSI-TL 03420) von August 2007, Richtlinien für das Löschen
und Vernichten von schutzbedürftigen Informationen auf analogen und digitalen Datenträgern.
/13/
Entwicklung der Koerzitivfeldstärke von Festplatten nach Aussagen
von Booz Allen Hamilton Inc. – Vortrag von Steven Skolochenko von BAH Inc.
im Dez. 2005 auf der Annual Computer Security Applications Conference (ACSAC).
Link: http://www.acsac.org/2005/case/tue-330-skolochenko.pdf
/14/
Studie, die im Auftrage des BSI an der Uni Regensburg – Abschlussbericht
„Löschen von Festplatten mit einem Löschgerät – HDD Löschen“ von April 2005
/15/
Degausser Liste der NSA – Degausser Approved Products List (12/2007)
Link: http://www.nsa.gov/ia/government/MDG/NSA_CSS-EPL-9-12.PDF
bzw. http://www.nsa.gov/ia/government/mdg.cfm
/16/
Technischen Leitlinien des BSI (BSI-TL 03422) – Löschen von schutzbedürftigen Daten
auf magnetischen Datenträgern – Löschgeräte, Anforderungen und Prüfung
/17/
Digitalbilder der Festplatten vor und nach der Zerstörung mittels Durchbohren –
Case Study (3.7.2007) „Geodis lenkt Serviceabläufe in richtige Bahnen“ auf IT-Bussines
Link: http://www.it-business.de/index.cfm?pid=2497&pk=69835
23
WHITE PAPER - DATENLÖSCHUNG
8.3. Produkte & Lösungen von Blancco
Produkte & Lösungen
Blancco hat sich auf die Entwicklung, Herstellung und den Vertrieb von Hardware - und Softwarelösungen zum sicheren Löschen von Daten auf verschiedenen Datenträgern, insbesondere auf Fest platten spezialisiert. Blancco verfügt über einen eigenen Forschungs- und Entwicklungsbereich und
bietet damit Produkte auf höchstem technologischem Niveau an. Die Software von Blancco arbeitet
unabhängig vom jeweiligen BIOS und Betriebssystem des Rechners und hat somit direkten Zugriff
auf alle Bereiche der Festplatte. Dadurch können alle Daten auf dem Datenträger vollständig und
nicht wiederherstellbar vernichtet werden.
Softwarelösungen
Blancco PC Edition
Löschsoftware
platten
in
insbesondere
PC
und
für
Fest-
Laptop.
Die
Blancco Management Console
Blancco Flash Media Edition
Löschsoftware für professionelle Anwend-
Löschsoftware speziell zum überschrei-
ungen in Computernetzwerken.
ben von Daten auf USB-Stick, Handy- und
Löschsoftware von Blancco wurde 2007
Fotoflashspeicher.
von der NATO getestet und geprüft und
bis
zur
Sicherheitslevel
„Nato
Secret“
zugelassen.
Hardwarelösungen
Blancco Kit
Mobiler Einsatzkoffer (Task Force Kit) –
Löschen mehrerer PCs gleichzeitig über ein
mobiles Netzwerk.
Erasure Station
Degausser
Löschgerät (Degausser) - Löschen von
Daten auf magnetischen Datenträgern
durch Entmagnetisierung. 2008 vom BSI
entsprechend BSI-TL-03422 geprüft.
24
Löschstation (Erasure Station) – Löschen
von mehreren Festplatten gleichzeitig
(Data Center Lösung).
WHITE PAPER - DATENLÖSCHUNG
8.3. Zertifikate & Standards von Blancco Software
Zertifikate & Standards
Die Löschsoftware von Blancco erfüllt bzw. er möglicht die Einhaltung folgender internation aler Sicherheitsstandards:

Air Force System Security Instructions 5020

Bruce Schneier’s Algorithmus

BSI (Überschreibstandard vom Bundesamt für Sicherheit in der Informationstechnik /Deutschland)

VSITR Überschreibstandard (VS – IT-Richtlinie/
Deutschland)

HMG Infosec Standard No: 5 (baseline) [Note! Certified versions: 4.5 HMG and 3.7r1]

HMG Infosec Standard No: 5 (enhanced) [Note!
Certified versions: 4.5 HMG and 3.7r1]

Navy Staff Office Publication (NAVSO P-5239-26)
for RLL

NSA (Überschreibungsstandard der National Security Agency)

OPNAVINST 5239.1A

Peter Gutmann’s Algorithmus

The National Computer Security Centre (NCSCTG-025)

U.S. Department of Defence Sanitizing (DOD
5220.22-M, DOD 5220.22-M ECE)

US ArmyAR380-19
Die Version 4.5/4.8 wurde in England von der CESG nach dem HMG Infosec Standard No. 5
getestet und für das Sicherheitslevel “Baseline”
und “Enhanced“ beurkundete. Auf dieser Grund lage wurde die Software von der Nato für den ma teriellen Geheimschutz bis zur Sicherheitsstufe NS
(Nato Secret) zugelassen.
Derzeit wird die Version 4.8 in Frankreich gemäß
den Anforderungen EAL 3+ nach Common Cri teria zertifiziert. Auf dieser Grundlage soll 2009
auch die Zulassung für die Öffentliche Verwaltung
und den materiellen Geheimschutz in Deutschland
durch das BSI erfolgen.
Der Degausser DEG15T wurde in 12/2008
vom BSI (Bundesamt für Sicherheit in der
Informationstechnik)
nach
der
neuen
Prüfanordnung für Löschgeräte (BSI-TL-03400)
geprüft und zugelassen. Der Prüfbericht 3/08 vom
16.12.2008 mit dem GZ 225-450 0203 kann beim
BSI angefordert werden. Er enthält u.a. folgende
Aussage:
„Die Prüfergebnisse der Abschnitte 2.6 und 2.7
belegen, dass mit dem Löschgerät Blancco DEG 15T Festplatten mit einer Koerzitivfeldstärke
bis 5000 Oe (400 kA/m) vollständig gelöscht
werden können. Das gilt sowohl für Festplat ten mit Senkrecht- als auch Longitudinalaufzeichnung. Das Löschgerät Blancco DEG -15T
kann deshalb zum Löschen von magnetischen
Datenträgern im Rahmen des materiellen Ge heimschutzes, aber auch zum Löschen von
Datenträgern mit sonstigen vertraulichen Dat en eingesetzt werden. Das Löschgerät Blancco
DEG-15T wird in die Produktliste BSI-TL 03400
aufgenommen“.
Die Löschsoftware Blancco Data Cleaner verfügt über folgende internationale Zertifikate und Gutachten:
Dez 06
NSM Nasjonal sikkerhets myndighet
National Security Authority (Norwegen)
Version 4.5
Mai 05
ABW Agencja Bezpieczeñstwa
Wewnêtrznego
Internal Security Agency (Polen)
Version 4.2
Jul 03
DIPCOG Defence Infosec Product CoOperation Group
Britisches Verteidigungsministerium MoD
Version 3.3
Mrz 06
CESG Communications-Electronics
Security Group
Informationsassekuranz von Groß Britannien
Version 4.5
NILNCSA Netherlands National Communication Security Agency
General Intelligence and Security Service /NL
Version 4.8
Version 4.4
Apr 07
NCIRC Nato Computer Incident Response Capability
NATO Infosec Technicel Center
Version 4.5
Mai 07
TÜV Süd / Informatik
(Gutachten)
DCSSI Frankreich
Technischer Überwachungsverein /Deutschland
Version 4.7
Zentrales Informationssystem der Sicherheitsabteilung des französischen Verteidigungsministeriums
Version 4.8
Sep 08
Apr 06
Okt 08
25
WHITE PAPER - DATENLÖSCHUNG
Herausgeber:
Blancco Central Europe GmbH
Alt-Württemberg-Alle 42
71638 Ludwigsburg
Tel.: 07141/95660-25
Fax.: 07141/95660-79
[email protected]
www.blancco-ce.de
Redaktion:
Hanno Fischer, Thomas Wirth (Blancco Central Europe GmbH)
Bernd Schöne (Pressebüro Schönetexte, München)
Gestaltung / Layout:
Stefan Wölcken (online-face.de), DATAfield Deutschland GmbH
Copyright:
Blancco Central Europe GmbH 2009
Bildnachweis:
S. 1:
photocase.com/ coolwaterman
S. 3:
PantherMedia/ Helma Spona
S. 4:
digitalstock/ B. Franz
Abb. 1: fotolia/ Sven Hoppe
S. 6:
photocase.com/ coolwaterman
Abb. 2: H. Fischer, Blancco Central Europe
Abb. 3: TOSHIBA CORPORATION
S. 11:
fotolia/ Onidji
Abb. 4: Blancco Central Europe
Abb. 5: Physikalisch Technischen Bundesanstalt, Braunschweig
Abb. 6: Physikalisch Technischen Bundesanstalt, Braunschweig
S. 15:
fotolia/ matteo NATALE
Abb. 7: Hitachi, Ltd.
Abb. 8: DATAfield Deutschland
Abb. 9: Blancco Central Europe
Abb. 10: Bundesamt für Sicherheit in der Informationstechnik
S. 18:
digitalstock/ D. Jehring
S. 20:
fotolia/ Stephen VanHorn
S. 22:
fotolia/ RRF
26