Security-Regeln: Bei Daten-GAU plötzlich außer Kraft

bei

 / 10. Oktober. 2017

Größere Unternehmen verfügen über ausgefeilte Security-Policies und Prozessbeschreibungen vom Backup bis zur Datenwiederherstellung. Auch tiefgreifende Audits und umfangreiche Datenschutzerklärungen für Dienstleister aus der Hard- und Softwarebranche sind Usus. Was dabei aber häufig unter den Tisch fällt, sind Notfallpläne für den Fall der Fälle: nämlich wenn sich defekte Datenträger nicht hausintern wiederherstellen lassen und der Gang zu einem Datenretter erforderlich wird. Bei kritischen Systemausfällen werden oft plötzlich zentrale Security-Regeln außer Acht gelassen und in Windeseile Server, RAID-Systeme oder Festplatten mit hochsensiblen Informationen an externe Dienstleister übergeben – ohne dass diese im Vorfeld auf Sicherheit geprüft wurden.

Datendiebe zapfen Dritte an

Die Gefahr dabei: Einige Datenrettungsanbieter schicken defekte Medien an Recovery-Labore ins – bestenfalls – benachbarte Ausland, ohne ihre Kunden explizit darüber zu informieren. Organisierte Datendiebe zapfen Quellen über Dritte in Insider-Branchen an. Wenn auf diesem Weg Daten verloren gehen oder entwendet werden, hat das Unternehmen den doppelten Schaden, denn es kommt auch noch das Haftungsrisiko hinzu: Laut Datenschutzgesetz haftet der Eigentümer dann voll für seine Informationen, wenn er es verabsäumt, die ’sichere Datenverarbeitung‘ durch seinen Dienstleister vorab zu prüfen. De facto fordert das Datenschutzgesetz damit die Durchführung von Dienstleister-Audits.

Notfallplan für Datenrettung

Vor allem Banken, Healthcare- und Forschungsunternehmen mit sensiblen Daten nutzen verstärkt die Möglichkeit, eigene Notfallpläne für die Datenrettung auszuarbeiten. Ein wesentlicher Punkt dabei ist, dass der Datenrettungspartner schon auditiert wird bevor eine Katastrophe eintritt. Die Auswahl des Datenrettungspartners gehört konsequenterweise in die Security-Policy integriert.

Weitere Gefahrenquelle: Gebrauchte Datenträger

Alte Hardware wird von Unternehmen häufig an den IT-Dienstleister zurückgegeben oder an die eigenen Mitarbeiter verkauft oder verschenkt. Die Datenvernichtung ist somit in vielen Fällen unzureichend, wie Testkäufe von Festplatten auf Tauschplattformen zeigen. So landen Datenträger mit hochsensiblen Daten bei neuen Besitzern. Oft wurden die Datenträger nur gelöscht oder formatiert – selbst für einen semiprofessionellen Datenretter ist es inzwischen kein Problem, diese Daten sogar vollständig wiederherzustellen. Auch einzelne Festplatten oder SSDs aus RAID-Verbunden können noch viele brisante Daten enthalten. Daher ist es empfehlenswert, die internen Löschprozesse von einem professionellen Datenretter regelmäßig mit Stichproben verifizieren zu lassen.

Der Autor: Dipl. Ing. Nicolas Ehrschwendner ist seit 20 Jahren geschäftsführender Gesellschafter der Attingo Datenrettung und seit über 30 Jahren in der IT-Branche tätig. Die Attingo Datenrettung betreibt hauseigene Reinraumlabore in Hamburg, Wien und Amsterdam.

Vorheriger ArtikelTrügerische Sicherheit: Datenverlust trotz RAID
Nächster ArtikelDefekte RAID-Datenträger – ungeahntes Datenmissbrauchsrisiko!