Worum geht es?
Es ist so völlig selbstverständlich, verschiedene Speichermedien zu nutzen, so dass dies mittlerweile eher unbewusst erfolgt. War die Anschaffung von Speicher vor wenigen Jahrzehnten noch eine reichlich kostspielige Angelegenheit, wird nun quasi im Vorbeigehen eingekauft. Dementsprechend ist auch der Austausch eines defekten oder zu klein gewordenen Speichers gegen einen anderen meist kein Vorgang, dem noch irgendeine größere Aufmerksamkeit geschenkt wird. Infolgedessen gestaltet sich dann auch der Umgang mit Speichermedien häufig sorglos(er).
Ein weiterer Risikofaktor: Viele Speichermedien sind selbst bei höchster Kapazität physisch vergleichsweise winzig und lassen sich damit sehr einfach versteckt mitführen oder verlieren.
Das hier besprochene Kapitel 7.10 der ISO 27002 enthält Vorschläge für Maßnahmen über den gesamten Lebenszyklus von Speichermedien. Die Fehler, die bei Erwerb, Verwendung, Transport und Entsorgung häufig gemacht werden, lassen sich durch Beachtung der Empfehlungen vermeiden.
Was empfiehlt die ISO 27002?
Wie in einem ISMS üblich, sollte jede Organisation auch in diesem Zusammenhang eine Richtlinie erstellen, die klare Regelungen für Einsatz und Verwaltung von Speichermedien aufstellt. Folgende Aspekte sind dabei regelmäßig relevant:
Aufbewahrung
Speichermedien müssen in einer für sie tauglichen Umgebung sowie gegen unbefugten Zugriff gesichert aufbewahrt werden. Egal ob Papier oder USB-Stick – beides sollte weder offen herumliegen, noch Feuchtigkeit oder Hitze ausgesetzt sein. Abhängig vom eingesetzten Speichermedium können auch beispielsweise Licht, Magnetfelder oder Erschütterungen sehr negative Auswirkungen haben. Auch beim Transport, insbesondere durch eingesetzte Dienstleister, darf der Schutz vor Zugriff und schädlichen Einflüssen nicht unterbrochen werden.
In ähnlichem Zusammenhang müssen eingesetzte Speichermedien gegebenenfalls auch den Anforderungen an eine Aufbewahrungsdauer genügen. Sollen oder müssen Informationen für längere Zeiten aufbewahrt werden, darf das eingesetzte Speichermedium nicht innerhalb der relevanten Zeit seine Lebensdauer erreichen. Zumindest müsste dann jemand daran denken, die benötigten Informationen rechtzeitig auf ein neues, jüngeres Medium zu kopieren.
Sicherungskopien
Vor allem besonders wertvolle Informationen dürfen nicht nur auf einem Speichermedium vorhanden sein. Nach Möglichkeit sind mehrere Kopien auf verschiedenen Speichermedien an unterschiedlichen Orten aufzubewahren.
Bestand, Entfernung bzw. Aussonderung
Es sollte klar geregelt sein, wer unter welchen Umständen Speichermedien entfernen und aus der Organisation verbringen oder ganz aussondern darf. In der Praxis fällt es den meisten Organisationen bereits schwer, überhaupt eine klare Aussage dazu zu machen, wie viele Speichermedien vorhanden sein sollten. Bei der Probe aufs Exempel können viele Verantwortliche beispielsweise nicht sagen, ob einzelne Medien fehlen, selbst wenn diese an einem einheitlichen Ort verwahrt wurden. In nahezu allen IT-Abteilungen steht irgendwo eine Kiste mit irgendwelchen Datenträgern, mit denen irgendwann irgendetwas gemacht werden soll(te). Der aktuelle Bestand von Speichermedien sollte daher bekannt sein und laufend gepflegt werden.
Verhinderung unbefugter Nutzung
Nicht nur im Zusammenhang mit der gerade angesprochenen Pflege des eigenen Bestands von Speichermedien muss verhindert werden, dass Speichermedien unkontrolliert und unbefugt eingesetzt werden. Es darf nicht sein, dass Mitarbeiter oder Besucher eigene Speichermedien nutzen. Dies lässt sich zum einen erreichen, indem entsprechende Anschlüsse, Schnittstellen oder Steckplätze deaktiviert werden. Neben der gänzlichen Abschaltung gibt es mittlerweile auch elegantere Lösungen, die nur die Verwendung registrierter und damit bekannter Geräte und Speichermedien erlauben. Alle anderen Geräte erhalten dann maximal noch Ladestrom.
Monitoring
Auch soweit mobile Datenträger erlaubterweise im Einsatz sind, ist ergänzend gegebenenfalls eine Überwachung möglich, ob und welche Kopiervorgänge vorgenommen werden.
Verschlüsselung
Über Kryptographie lassen sich gleich mehrere Ziele erreichen. Die Vertraulichkeit der gespeicherten Informationen ist gewahrt, solange sichergestellt ist, dass eingesetzte Speichermedien sicher verschlüsselt sind. Dies lässt sich gegebenenfalls auch beim erstmaligen Anschluss eines neuen Mediums erzwingen, und zwar so, dass die Organisation die Schlüsselhoheit behält. Möchte man die Schlüsselverwaltung vermeiden, gibt es auch diverse verschlüsselte USB-Sticks mit PIN Funktion. Digitale Signaturen von Daten stellen als Ergänzung sicher, dass die gespeicherten Inhalte nicht verfälscht wurden.
Weitere Empfehlungen
Für den Fall, dass Speichermedien wiederverwendet oder entsorgt werden sollen, gibt die Norm noch zusätzliche Ratschläge.
- Vor jeder Wiederverwendung müssen vertrauliche Informationen von Speichermedien durch ein hierfür geeignetes Verfahren sicher entfernt werden. Das schlichte Löschen von Daten genügt hierfür in aller Regel genauso wenig, wie die einfache Formatierung des Datenträgers.
- Auch bei der Entsorgung von Speichermedien dürfen keine vertraulichen Informationen offenbart werden. Neben der unwiderruflichen Vernichtung aller betroffenen Daten muss vor allem auch der Weg dorthin sicher und nachvollziehbar sein. Vielen Organisationen ist hierbei das gegebenenfalls deutlich erhöhte Risiko nicht bewusst, wenn vormals getrennte Datenträger aus verschiedenen Bereichen plötzlich an einem Ort gemeinsam verwahrt werden. Die physikalische Trennung durch diverse Türen und Schlösser fällt hier ebenso weg, wie die logische Trennung durch den Einsatz in bislang verschiedenen Systemen.
- Wie gründlich Speichermedien vernichtet werden, hängt von der Vertraulichkeit der darauf befindlichen Daten ab. Auch in diesem Zusammenhang helfen klare Kategorien und Bezeichnungen, die Mitarbeiter zweifelsfrei an die Hand nehmen, welches Vorgehen das richtige ist. Die ISO/IEC 21964 die in Abhängigkeit von bestimmten Stufen die passende Vernichtung vorgibt, ist eine hilfreiche Ergänzung.
Fazit
Im hier relevanten Zusammenhang herrscht erschreckend oft Betriebsblindheit oder gar Ignoranz. Einer konsequenten Lösung stehen zu viele Befindlichkeiten, Bequemlichkeiten oder falsch verstandene Freiheiten im Weg. Wie aber bereits eingangs gesagt, ist der hier besprochene Bereich einer der riskantesten überhaupt. Selbst in Organisationen, die ihre zentrale IT zweifelsfrei und sehr gut abgesichert haben, ist es Mitarbeitern in der Praxis häufig möglich, völlig unkontrolliert beliebige Speichermedien einzusetzen und so im Ergebnis alle Sicherheitsbemühungen zu untergraben.
Daher sollten Organisationen die hier gegebenen Empfehlungen sehr sorgfältig berücksichtigen.