Die Norm ISO/IEC 27002 ist 2022 in neuem Gewand erschienen (wir berichteten) und hält einige neue Referenzmaßnahmen (sog. Controls) bereit, die wir in dieser Blogreihe näher betrachten.
Das neue Control „8.10 Information deletion“ wird in der ebenfalls neu gewählten Struktur den „Technological controls“ zugeordnet. Die Maßnahme befasst sich mit der Löschung von Informationen und bezieht sich auf jegliche Information, unabhängig vom konkret gewählten Endgerät oder Speichermedium.
Gegenstand und Ziel von Control 8.10
Wesentlicher Inhalt dieser neuen Referenzmaßnahme ist das Löschen sämtlicher Informationen auf Informationssystemen, Endgeräten und Datenspeichern, auch wenn diese von Dritten (Dienstleistern) zur Verfügung gestellt werden, sobald die Informationen nach Unternehmensvorgaben nicht mehr benötigt werden. Dabei sollen gültige regulatorische, vertragliche und gesetzliche Verpflichtungen und Bestimmungen weiterhin berücksichtigt werden.
Ziel ist es, die Risken der Offenbarung dieser, möglicherweise sensiblen, Informationen im Falle eines Informationssicherheitsvorfalls oder durch die unsachgemäße Entsorgung von physischen Speichern zu minimieren.
Organisatorische Maßnahmen und Entscheidungen
Als organisatorische Aufgabe steht den Unternehmen die Erstellung eines Löschkonzepts bevor, in dem folgende Aspekte und Fragen beantwortet werden müssen:
- Ab welchem Zeitpunkt gelten keine gesetzlichen und vertraglichen Anforderungen hinsichtlich des Datenbestandes und der Aufbewahrungspflichten für Unternehmen?
- Wann werden Datenbestände nicht mehr für den Betrieb der Geschäftsprozesse benötigt? Analog stellte sich diese Frage bereits bei der operativen Umsetzung von Art. 17 DSGVO, speziell für den Teil der personenbezogenen Daten, die im Unternehmen verarbeitet werden.
- Welche sicheren Löschmethoden sollten unter Berücksichtigung der gesetzlichen und regulatorischen Vorgaben für welches konkrete Medium oder Datum angewendet werden?
- Zu welchem Zeitpunkt soll final gelöscht werden?
Unternehmen können ein Löschkonzept für einzelne Endgeräte, einzelne Anwendungen und die in den Anwendungen verarbeiteten Informationen erstellen. Die Daten können abhängig von ihrer Informationsklassifikation zu verschiedenen Zeitpunkten gelöscht werden. Eine Orientierung bieten hier insbesondere die gesetzlichen Aufbewahrungsfristen. Nach Ablauf der jeweiligen gesetzlichen Frist müssen Unternehmen aber selbst entscheiden, wann Daten gelöscht werden sollten, weil sie nicht mehr für Geschäftsprozesse benötigt werden. Bei diesen Entscheidungen ist bei personenbezogenen Daten aber natürlich auch das Datenschutzrecht zu berücksichtigen.
Das Control 8.10 nennt in diesem Kontext unternehmenseigene, fest definierte Zeitabstände als mögliche Lösung oder Zugriffe auf Informations- und Datenbestände als praktikable Indikatoren, um die Einstufung zu begründen. Empfehlenswert ist zuvor eine Risikoanalyse durchzuführen und die Entscheidung der Einstufung abhängig von dem Ergebnis zu fällen.
Anforderungen an die Umsetzung der Löschung
Wenn Unternehmen im laufenden Betrieb bereits die erstellten, aber nicht mehr benötigten Daten unter Berücksichtigung des Löschkonzepts sicher löschen wollen, können sie sich dem Problem in Form einer Beispiellösung nähern.
So können sie die nicht sensiblen Daten zunächst „normal“ löschen und erst bei finaler Entsorgung der Datenträger die Daten „sicher löschen“. Explizit sei darauf verwiesen, dass der „normale“ Löschvorgang über Verschieben in den Papierkorb als nicht sicher im Sinne einer Unwiederbringlichkeit der Information eingestuft werden kann. Unternehmen müssen eine geeignete technische Lösung implementieren, die auch dem kritischen Blick von Auditoren genügt und den technischen Stand der Zeit widerspiegelt.
Nachdem der Informations- und Datenbestand erfasst wurde, gilt es die Dienstleister zu identifizieren, bei denen Daten extern gespeichert werden. Danach müssen folgende Fragen beantwortet werden:
- Welcher Teil der Informationen wird von Dritten, z. B. Cloudanbietern, verarbeitet und wurde die informationssicherheitsrelevante Güteklasse des Löschvorgangs bereits evaluiert und verifiziert?
- Gibt es bereits interne Richtlinien, die den Umgang Dritter regeln?
Die Norm fordert hier die Unternehmen auf, die internen Anforderungen für das Löschen auch während und nach der Auftragsdatenverarbeitung sicherzustellen. Falls der Dienstleister andere Löschmethoden als das Unternehmen vorschlägt, sind diese auf Angemessenheit zu prüfen.
Das Unternehmen sollte also die konkrete Löschung nunmehr jeglicher Daten als Nachweis der Umsetzung („Record of Deletion“) dokumentieren. Die Nachweispflicht weitet sich ebenfalls auf die Löschvorgänge von etwaigen Dienstleistern aus, welche von den Unternehmen verifiziert werden müssen.
An dieser Stelle sei auch auf die neuen Normanforderungen „7.10 Storage media“ und „7.14 Secure disposal or re-use of equipment“ verwiesen, welche das Control 8.10 in weiten Teilen in seinem Geltungsbereich ergänzen und gewissermaßen „abrunden“. So beschreibt Control 7.14 auch die Anforderung, gespeicherte sensible Daten auf Speichermedien im Falle einer Entsorgung von Geräten zuvor sicher zu löschen. Control 7.10 fordert zudem speziell für alle Speichermedien im Falle der Entsorgung die Einhaltung und Konformität mit den unternehmenseigenen Richtlinien.
Ein weiteres, wenn nicht das zentrale Element der neuen Referenzmaßnahme ist die Auswahl der konkreten technischen Lösung der eigentlichen sicheren Datenlöschung.
Technische Löschroutinen
Zur Umsetzung der konkreten technischen Löschung von internen Datenbeständen gibt die Norm eine Reihe von allgemeinen Hilfestellungen:
Wenn es die gesetzlichen und regulatorischen Anforderungen sowie die technische Machbarkeit erlauben, sollten in Systemen automatisierte Prozesse zur sicheren Löschung der Daten vorgesehen werden. Dies ist vermutlich nur bei einem kleinen Teil des Informationsbestandes eines Unternehmens möglich und den Unternehmen bleibt die Auswahl eines für sicher befundenen Löschverfahrens, das „manuell“ angewandt wird.
Die Referenzmaßnahme verweist zum Löschen u. a. auf „Cryptographic erasure“, das sich häufig in der Praxis als sehr praktikable Lösung erwiesen hat. Das kryptographische Löschen wird zudem auch als „Crypto Scramble“ oder „media sanitization“ bezeichnet.
Bei der kryptographischen Löschung werden die Speicherbereiche zuerst verschlüsselt und nicht die Daten, sondern der Schlüssel wird anschließend gelöscht. Auch wenn dies vielleicht nicht wie ein herkömmlicher Löschvorgang wirkt, so wird das eigentliche Ziel erreicht. Die Daten werden unzugänglich gemacht und vor einer Offenlegung geschützt.
Da sich die Speicher- und Löschroutinen bei einer SSD (Solid State Drive) grundlegend von denen einer HDD (Hard Disk Drive) unterscheiden, müssen auch andere Löschroutinen genutzt werden. Bei Festplatten der meisten Anbieter stehen den Unternehmen herstellerspezifische Löschroutinen zur Verfügung, wie z. B. „Enhanced Security Erase“, die auch die defekten Speicherbereiche von SSDs / SSHDs mit herstellerspezifischen Mustern überschreiben. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt diese Methoden.
Fazit
Das neu eingeführte Control „8.10 Information deletion“ fordert Unternehmen im Wesentlichen auf, ein (im Idealfall) ganzheitliches Konzept zur Informationsverwaltung inklusive einer Löschdokumentation zu erstellen und die Anforderungen des Löschkonzepts auch bei ihren Dienstleistern durchzusetzen.
In der alten Fassung der ISO/IEC 27002:2017 wurden im Control A.8.3.2 „Disposal of media“ schon grundlegende Basisanforderungen mit nahezu gleichen Zielvorstellungen definiert, die sich nun auch der neuen Referenzmaßnahme wiederfinden.
Während die konkrete Auswahl der technischen Ausgestaltung des eigentlichen Löschens für Unternehmen vielleicht keine Hürde darstellt, so könnte sich dies bei der Durchsetzung des unternehmenseigenen Löschkonzepts bei allen relevanten informationsverarbeitenden Dienstleistern in der Praxis schwieriger gestalten.