Procurri hat sich darauf spezialisiert, Unternehmen bei der Wiederverwertung, Aufarbeitung und Wiedervermarktung ihrer alten IT-Hardware zu unterstützen, wo immer dies möglich ist. Die Datenbereinigung stellt sicher, dass alle datenhaltigen Geräte vollständig von allen Informationen befreit werden, bevor sie entsorgt, recycelt oder wiederverwendet werden. Der Prozess der Datenentfernung ist nicht nur eine ethische und rufschädigende Verpflichtung für Unternehmen, sondern auch eine rechtliche, die zu schweren Sanktionen und Geldstrafen führen kann, wenn sie nicht korrekt durchgeführt wird.
Bei Procurri führen wir alle Datenbereinigungen nach den weltweit höchsten Industriestandards durch, einschließlich NIST. Die NIST-Prämisse "Clear, Purge, Destroy" (Löschen, Bereinigen, Vernichten) klingt in der Tat beeindruckend für einen Prozess, der eine so strenge Sicherheit erfordert, aber wie funktioniert das und was bedeutet es wirklich? Lassen Sie uns alles erklären.
Was ist NIST?
NIST ist eine Abkürzung für das National Institute of Standards and Technology, eine nicht-regulatorische Behörde und ein wissenschaftliches Labor des US-Handelsministeriums. Das NIST wurde vor über 100 Jahren gegründet und hat verschiedene Messungen, Standards und Metriken für die technische und wissenschaftliche Industrie entwickelt. Als solche ist das NIST zu einer der führenden Beratungsstellen für US-Unternehmen in diesen Sektoren geworden, auch was die beste Art und Weise der umfassenden Datenlöschung für EOL-Hardware (End of Life) angeht.
Was sind die spezifischen NIST-Richtlinien für die Datenlöschung?
Die NIST-Sonderveröffentlichung 800-88 (NIST SP 800-88, oft auch nur als NIST 800-88 abgekürzt) ist ein Leitfaden der US-Regierung, der eine Methodik für das Löschen von Daten von Hardware-Speichermedien (in den USA meist als "Media Sanitization" bezeichnet) enthält. Sie soll Unternehmen dabei helfen, Daten von datenführender Hardware so zu löschen, dass sie nicht mehr wiederhergestellt werden können. Es handelt sich dabei um den sichersten Best-Practice-Standard für die Datenlöschung.
NIST 800-88 wurde von der Norm 5220m des US-Verteidigungsministeriums (DoD) abgelöst. Dieser Standard wurde ursprünglich für das US-Militär entwickelt und später auch auf den öffentlichen Sektor ausgeweitet. Obwohl in einigen Ländern und Gebieten immer noch auf die DoD-Norm 5220m verwiesen wird, wurde sie inzwischen größtenteils von der NIST 800-88 abgelöst, die sich sowohl mit chipbasierten Speichermedien als auch mit herkömmlichen Speichereinrichtungen befasst.
NIST 800-88 wurde ursprünglich nur für den internen Gebrauch in der Regierung entwickelt, gewann aber schnell an Popularität in anderen Unternehmen und wurde schließlich zu einem weltweit anerkannten Standard. Sie verwendet eine Methode mit drei Techniken, um Daten von allen Speichermedien zu löschen: Löschen, Bereinigen, Vernichten.
NIST 800-88 wurde im Jahr 2006 veröffentlicht und Ende 2014 überarbeitet. NIST SP 800-88 Revision 1 enthält Änderungen, die den technologischen Fortschritten seit der ursprünglichen Veröffentlichung Rechnung tragen. Dazu gehört eine Anleitung zum Degaussing, einer effektiven Methode zur Bereinigung von Daten auf Festplatten, Disketten und Magnetbändern, die jedoch nicht für SSDs oder andere Flash-Speicher geeignet ist.
NIST löschen
Clear ist die erste der NIST-Methoden zum sicheren Löschen von Daten. Sie wendet Standard-Lese-/Schreibbefehle und -Werkzeuge an, um Daten an allen für den Benutzer zugänglichen Speicherorten zu überschreiben. Diese Daten werden, sobald sie gefunden wurden, mit binären 1en und 0en (nicht sensible Daten) auf Medien wie SSDs und ATA (Advanced Technology Attachments) überschrieben.
NIST Clear ist ein angemessenes "offizielles" Sicherheitsniveau und gilt als moderater Aufwand für den Datenschutz. Es schützt vor nicht-invasiven und grundlegenden Datenwiederherstellungstechniken.
NIST Clear arbeitet an:
- Diskettenlaufwerke
- Laufwerke
- USB-Sticks, Speicherkarten, SSDs (alle Flash-Medien)
- ATA-Festplatten
- SCSI-Laufwerke.
NIST Clear ermöglicht die Wiederverwendung der betroffenen Speichermedien, was zu mehr Nachhaltigkeit und weniger Elektroschrott beiträgt. Die meisten Geräte unterstützen ein gewisses Maß an NIST-Clear-Löschung, jedoch nicht für Daten, die sich in unzugänglichen oder "versteckten" Bereichen des Speichers befinden.
NIST-Bereinigung
NIST Purge ist die nächsthöhere Stufe der Datenlöschung gemäß NIST 800-88, wobei entweder physische oder logische Techniken zum Überschreiben, Blocklöschen oder kryptografischen Löschen von Daten eingesetzt werden.
NIST Purge gilt als angemessen für "geheime" Daten der Sicherheitsstufe und stellt eine höhere Funktionsstufe der Mediensanierung dar als Clear.
NIST Purge funktioniert bei:
- Diskettenlaufwerke
- Laufwerke
- USB-Sticks, Speicherkarten, SSDs (alle Flash-Medien)
- ATA-Festplatten
- SCSI-Laufwerke.
In den meisten Fällen kann Hardware, die dem NIST Purge-Verfahren unterliegt, wiederverwendet werden - auch wenn sich Unternehmen je nach Sicherheitsstufe der zuvor auf dem Speicher befindlichen Daten dafür entscheiden können, dies nur intern zu tun.
NIST Zerstören
Die höchste und umfassendste Stufe der Datenvernichtung im Rahmen dieser Methodik ist NIST Destroy. Hierbei werden die Hardware und die darauf befindlichen Daten durch physische Zerstörung vollständig unwiederbringlich gemacht.
NIST Destroy wendet eine Reihe von Techniken an, darunter Schreddern, Pulverisieren, Verbrennen und Schmelzen.
NIST Destroy arbeitet daran:
- Diskettenlaufwerke
- Laufwerke
- USB-Sticks, Speicherkarten, SSDs (alle Flash-Medien)
- ATA-Festplatten
- SCSI-Laufwerke
- Optische Festplatten.
NIST Destroy eignet sich am besten für Datenträger, die streng vertrauliche Daten enthalten oder deren Daten nicht überschreibbar sind. Seine physische Beschaffenheit führt jedoch zu weniger günstigen Nachhaltigkeitsergebnissen, da die Hardware nicht wiederverwendet oder neu vermarktet werden kann. Die ITAD-Partner von Procurri arbeiten stattdessen daran, einen Teil der in der Hardware enthaltenen Materialien mithilfe modernster, marktführender Clean-Tech-Recyclingverfahren zu recyceln.
Warum unterliegen nicht alle datentragenden Anlagen der NIST Destroy?
Angesichts des allumfassenden "One-and-Done"-Charakters der NIST Destroy-Prozesse ist es leicht nachvollziehbar, dass Unternehmen solche Ergebnisse bevorzugen. Es sollte jedoch beachtet werden, dass solche Prozesse in der Regel zu Elektroschrott führen - einem dramatisch ansteigenden Abfallkanal -, es sei denn, die Unternehmen arbeiten mit speziellen, auf Nachhaltigkeit ausgerichteten ITAD-Anbietern zusammen.
Weltweit erreichte der Elektroschrott im Jahr 2022 einen Rekordwert von 62 Millionen Tonnen, ein Anstieg von 82 % im Vergleich zu einem Jahrzehnt zuvor. Prognosen zufolge könnten die Mengen bis 2030 etwa 82 Millionen Tonnen erreichen, wobei nur etwa 22 % ordnungsgemäß gesammelt und recycelt werden.
Daher sollten Unternehmen, die sich auf die Erfüllung ihrer ESG-Verpflichtungen konzentrieren, stattdessen eine möglichst nachhaltige Datenvernichtungsmethode in Betracht ziehen. In der Tat könnte die NIST-Zerstörung für viele Datenbestände als übertrieben angesehen werden - sowohl was den Aufwand als auch die Kosten betrifft.
Wenn Sie mit Procurri zusammenarbeiten, können Sie sich darauf verlassen, dass unsere Techniker alle Geräte nach den für sie geltenden Prioritäten ordnen und sortieren. Dieser maßgeschneiderte Ansatz stellt sicher, dass alle Daten wie erforderlich gelöscht werden, aber kein überflüssiger oder unnötiger Elektroschrott produziert wird.
Die Kosten einer unsachgemäßen oder unzureichenden Datenbereinigung
Es ist von entscheidender Bedeutung, dass Unternehmen in das höchste Qualitätsniveau der Datenbereinigung investieren, das sie sich leisten können, und mit einem ITAD-Anbieter zusammenarbeiten, der Transparenz über ihre Prozesse bietet und am Ende eine zertifizierte Garantie für die Datenlöschung bietet. Eine unsachgemäße oder unzureichende Datenbereinigung kann dazu führen, dass die in den Datenbeständen enthaltenen Informationen zu einem späteren Zeitpunkt von Dritten abgerufen werden. Dies kann sowohl für das Unternehmen als auch für die betroffenen Personen verheerende Folgen haben. Dazu gehören unter anderem Datenschutzverletzungen, Identitätsdiebstahl, erhebliche Geldstrafen, Rufschädigung und rechtliche Schritte.
Für viele Unternehmen kann eine Datenschutzverletzung den finanziellen Ruin bedeuten. Die Kosten umfassen:
- Maßnahmen zur Reaktion auf Vorfälle
- Juristische Gebühren
- Ordnungsrechtliche Geldbußen und Strafen
- Auswirkungen von Datenverlusten
- Verlust des Kundenvertrauens, was zu Umsatzeinbußen führt
- Betriebsunterbrechungen, die zu Umsatz- und Produktivitätsverlusten führen
- Kosten für Ermittlungen
- Zivilrechtliche Klagen.
Eine Studie von IBM und dem Ponemon Institute aus dem Jahr 2022 ergab, dass die durchschnittlichen Kosten einer Datenschutzverletzung weltweit bei 4,35 Millionen Dollar liegen - und im Jahr 2024 bei durchschnittlich 4,88 Millionen Dollar.
Wenn ein Unternehmen jedoch mit einem ITAD-Anbieter zusammenarbeitet, der die Datenentfernung für jedes einzelne Hardware-Asset nach Abschluss zertifiziert, wird jegliche rechtliche Verantwortung für Datenverletzungen aufgrund unsachgemäßer Datenbereinigung an diesen Anbieter weitergegeben. Procurri bietet eine vollständige Zertifizierung für seine Datenentfernungsdienste für alle Arten von Anlagen.
Nach welchen anderen ITAD-Standards arbeitet Procurri?
Procurri arbeitet nicht nur nach den lokalen Standards, die überall, wo sie ITAD-Dienstleistungen anbieten, erforderlich sind, sondern auch nach globalen Best-Practice-Standards. Diese umfassen:
- ISO 9001 - Norm für Qualitätsmanagementsysteme (QMS)
- ISO 14001 - Norm für Umweltmanagementsysteme (EMS)
- ISO 27001 - Norm für Informationssicherheitsmanagementsysteme (ISMS)
- NCSC Cyber Essentials-Zertifizierung
- R2-Akkreditierung (verantwortungsvolles Recycling)
- ADISA-Zertifizierung.
Procurri verwendet auch Blancco-Hardware zur Datenlöschung. Diese Hardware wurde vom NCSC nach HMG IAS 5 (1 oder 3 überschreiben) zugelassen. Mit der Blancco-Hardware zur Datenlöschung können die Fachleute von Procurri große Mengen von Datenträgern verarbeiten, die alle auf diesem Niveau gelöscht werden, wobei für jedes Element ein Zertifikat über die Datenlöschung erstellt wird, um einen vollständigen End-to-End-Audit-Prozess zu gewährleisten.
Möchten Sie mehr darüber erfahren, wie Procurri Ihnen helfen kann, Ihre Daten zu löschen und gleichzeitig den Restwert Ihrer Anlagen zu erhalten und sich auf Nachhaltigkeit zu konzentrieren? Setzen Sie sich noch heute mit unserem Team in Verbindung!