Logo der activeMind AG

ISO 27002Kapitel 8.10 Löschung von Informationen

Kapitel 8.10 der ISO 27002 befasst sich mit einem aus mehreren Blickwinkeln sehr wichtigen und praxisrelevanten Vorgang. Wie werden Informationen von Geräten und Speichermedien gelöscht, sobald diese Informationen nicht mehr benötigt werden?

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Die ISO 27002 nimmt in Kapitel 8.10 primär den Blickwinkel der Informationssicherheit ein. Informationen, die nicht (mehr) vorhanden sind, können auch nicht unberechtigt oder versehentlich offengelegt werden. Nebenbei wird allerdings auch angesprochen, dass es selbstverständlich auch diverse gesetzliche und andere Verpflichtungen gibt, Daten ab einem gewissen Zeitpunkt zu löschen.

Der Aspekt, dass eine Löschung von Informationen auch dabei hilft, Ressourcen zu sparen, wird nicht angesprochen, kann aber gegebenenfalls auch eine Rolle spielen. Hierbei wird ja nicht nur Speicherplatz gespart. Auch beispielsweise datenschutzrechtliche Auskunftsverlangen und andere Rechte von Betroffenen lassen sich leichter erfüllen, wenn weniger Daten vorhanden sind.

Insbesondere im letztgenannten Zusammenhang wird auch immer relevanter, die erfolgte Löschung auch nachweisen zu können.

Was empfiehlt die ISO 27002?

Die Hinweise der Norm sind in diesem Kapitel teilweise etwas knapp ausgefallen. Daher interpretieren wir diese auf Basis unserer Umsetzungserfahrung etwas erweitert.

Zwei unabdingbare Faktoren für den Löschprozess werden eingangs nur nebenbei erwähnt, nicht allerdings aufgezählt.

  • Informationen sollten nicht länger als nötig aufbewahrt werden: Welcher Zeitraum nötig ist, muss aber erstmal im Einzelfall bestimmt werden. Die Herausforderung besteht also darin, die diversen Löschpflichten und Aufbewahrungsfristen festzustellen und miteinander in Einklang zu bringen. Praktisch schwierig wird dies insbesondere dadurch, dass die Löschungen in aller Regel nicht für einen kompletten Datenbestand gesammelt, sondern für einzelne Datensätze oder sogar Einzelinformationen/Datenbankfelder und zu völlig unterschiedlichen Zeiten fällig werden. Organisationen werden mit diesem Thema bereits im Zusammenhang mit dem Datenschutz und dem Verzeichnis der Verarbeitungstätigkeiten bzw. Information von Betroffenen intensiv Bekanntschaft gemacht haben.
  • Zu wissen, wann man löschen muss, hilft dann aber auch nur weiter, wenn man auch weiß, wo. Die Norm nennt hier Systeme, Anwendungen und Dienste in einem Atemzug. Denkt man beispielsweise an E-Mails, wird schnell klar, an wie viele Orte gedacht werden muss, an denen gegebenenfalls zu löschen ist: Das zentrale Postfach auf dem Mailserver, sämtliche lokalen Postfächer auf den diversen Endgeräten eines Nutzers (Computer, Smartphone, Terminalserver usw.), das lokal oder im Fall von Smartphones auch schon mal unbewusst in der Cloud eines Dienstleisters liegende Backup all dieser Systeme, die bewusst archivierten E-Mails – und am Ende darf nicht vergessen werden, dass E-Mails gegebenenfalls auch schnell mal weitergeleitet sind und dann bei mehreren Benutzern gesucht werden müssen. Organisationen ohne ein Konzepte zur schlanken Datenhaltung und ohne Weitergabekontrolle kommen hier sehr schnell an Grenzen.

Ausdrücklich spricht die Norm sodann an:

  • Die Auswahl eines geeigneten Löschverfahrens, wobei entscheidend ist, dass Daten tatsächlich nicht wiederhergestellt werden können. Informationen, die lediglich in den Papierkorb verschoben werden oder mit Bordmitteln gelöscht, sind nicht in diesem Sinne sicher entsorgt. Notwendig ist, die Daten irreversibel zu überschreiben oder aber den Datenträger zu vernichten. Bei elektronischen Daten kann auch eine nicht rückgängig zu machende Verschlüsselung helfen. Praktische Hinweise zur sicheren Löschung finden sich beispielsweise im IT-Grundschutz Kompendium des BSI CON.6, hier auch mit Verweis auf die ISO/IEC 21964 hinsichtlich einer physikalischen Vernichtung.
  • Abgesehen von der Vernichtung des Datenträgers kann eine sichere Löschung elektronischer Informationen eine erhebliche Zeit dauern und Systeme auch spürbar belasten.
  • Die erfolgreiche Löschung sollte dokumentiert werden. Zusammen mit dem Löschkonzept, bzw. dem Löschplan, ließe sich dann im Bedarfsfall der Nachweis erbringen, dass bestimmte Daten im Rahmen dieses Löschdurchgangs vernichtet wurden.
  • Selbstverständlich entbindet die Beauftragung eines Dienstleisters nicht von der eigenen Verantwortung. Daher muss auch bei der Inanspruchnahme von Dienstleistungen zur Datenvernichtung ein Nachweis gefordert werden.
  • Ergänzend sollte daran gedacht werden, dass möglicherweise auch Dritte, denen Daten überlassen wurden, daran erinnert werden müssen, dass eine Löschung fällig ist. Voraussetzung hierfür wäre natürlich, dass bekannt ist, wer die betroffenen Daten erhalten hat; was auch nicht immer selbstverständlich ist.

Zum Löschverfahren gibt die Norm noch die folgenden hilfreichen Hinweise:

  • Soweit möglich, sollten Systeme bereits entsprechend so konfiguriert werden, dass Daten entsprechend einer passenden Richtlinie automatisiert gelöscht werden oder gelöscht werden können. Dieser Gesichtspunkt sollte bereits bei der Beschaffung von Lösungen bedacht werden, da technische Schwierigkeiten nicht von der Löschpflicht befreien.
  • Das Löschverfahren muss auch geeignet sein, veraltete Versionen, Kopien und temporäre Dateien zu löschen. Wie oben bereits angesprochen, ist Grundvoraussetzung allerdings, dass bekannt sein muss, welche Vervielfältigungen überhaupt vorhanden sind und wo diese liegen.
  • Bei der Auswahl von Löschsoftware sollte darauf geachtet werden, dass diese für einen solchen Zweck zugelassen bzw. anerkannt ist und tatsächlich dafür sorgt, dass Informationen nicht wiederhergestellt werden können. Und auch bei anderer Entsorgung muss darauf geachtet werden, dass der gewählte Mechanismus in Anbetracht des zu vernichtenden Mediums geeignet ist.
  • Ein beauftragter Dienstleister sollte nach Möglichkeit ebenfalls zertifiziert bzw. zugelassen sein.
  • Abschließend muss dafür Sorge getragen werden, dass auch dann ein geeignetes Löschverfahren eingesetzt wird, wenn die Daten in einer Cloud liegen und vom Anbieter zu vernichten sind bzw. wenn sich Informationen auf Speichermedien befinden, die nicht zugänglich sind oder nicht gezielt angesteuert werden können.
  • In diesem Zusammenhang muss abschließend auch an den Speicher von Smartphones oder von Multifunktionsgeräten gedacht werden, die möglicherweise gar nicht oder nur durch den Hersteller erreichbar sind oder die dem Benutzer nur das vollständige Zurückstellen auf Werkeinstellungen anbieten, der dann allerdings alle Informationen löscht und nicht nur die gewünschten.

Fazit

Erfahrungsgemäß haben Organisationen mit der korrekten Umsetzung der Anforderungen dieses Kapitels erhebliche praktische Schwierigkeiten. Meist sind die Verantwortlichen bereits überfordert, die Frage nach Aufbewahrungsfristen zu beantworten und dann auf Anhieb zu sagen, wo sich möglicherweise zu löschende Informationen überhaupt befinden.

Die tatsächlich sichere Löschung gestaltet sich dann schwierig und sehr aufwendig. Oftmals stellt sich überraschend heraus, dass die revisionssichere Aufbewahrung möglichst vieler Informationen auf einem WORM Speichermedium doch keine so gute Idee war, wie ursprünglich gedacht.

Selbst wenn Zeiten und Orte bekannt sind, wird es für viele Organisationen meist schwierig, die Löschroutinen verträglich in die Geschäftsabläufe zu integrieren. Ohne Unterstützung durch einen Experten geben daher viele Verantwortliche auf und es werden im Ergebnis die eigenen Verpflichtungen nicht erfüllt.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 unterstützen die Experten der activeMind AG mit einem individuellen Löschkonzept sowie bei der Umsetzung dessen.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.