X. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2009 - 31.03.2011

Das datenschutzgerechte Löschen bzw. Entsorgen von magnetischen Datenträgern (Bänder, Festplatten) ist regelmäßiges Beratungsthema. Aufgrund von Unzulänglichkeiten der vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) angebotenen und bisher auch vom Landesbeauftragten empfohlenen Löschsoftware VS-Clean hat sich der Landesbeauftragte beim BSI nach den aktuellen Weiterentwicklungen und Alternativen erkundigt.

VS-Clean ist eine mit Version 2.1 letztmalig im Jahr 2002 aktualisierte DOS-Anwendung, welche auf veraltete Rechner zugeschnitten ist und für neuere PC- und Speichertechnik nicht mehr nutzbar ist. Eine Überarbeitung ist seitens des BSI nicht mehr vorgesehen. Diese Löschsoftware wird vom BSI selbst als nicht mehr zeitgemäß angesehen. In einem Hinweisblatt (Stand 15. Juni 2011) weist das BSI auf die Anforderungen an Software zum Löschen von Festplatten ausdrücklich hin.

Häufig erlauben es moderne Festplatten mittels "Host Protected Area" (HPA) oder "Device Configuration Overlay" (DCO), den Bereich, auf den zugegriffen werden darf, einzuschränken. Derartige Beschränkungen müssen vor der Löschung beachtet und aufgehoben werden. Auch können "bad blocks", also Datenbereiche, die defekt sind oder bald defekt werden könnten und nicht mehr verwendet werden, von Software nicht ohne Weiteres direkt angesprochen und somit auch nicht restlos gelöscht werden. Das ist auch der Grund, warum Datenträger mit hohen Sicherheitsanforderungen entmagnetisiert (mittels Degausser) oder physisch vernichtet (Zerkleinerung durch Schreddern) werden sollen.

Zum Überschreiben magnetischer Datenträger ist derzeit VS-Clean für "VS-NfD" und "VS-Vertraulich" unter Beachtung der gegebenen Hinweise des BSI noch zugelassen. Es werden jedoch die Produkte DBAN/EBAN (DBAN ist eine kostenfreie Open Source Software, www.dban.org) und Blancco Erasure (Firma Blancco) für "VS-NfD" durch das BSI empfohlen. Für letztere Software wird eine erfolgreiche Zertifizierung des Produkts durch das BSI in naher Zukunft erwartet.

Ganz andere Löschanforderungen bestehen bei Flash-Speichern, also z. B. Solid State Drives (SSD), USB-Sticks oder Speicherkarten. Diese speichern ihre Inhalte in Form von elektrischen Ladungen in Speicherzellen. Diese sind elektrisch nahezu isoliert, jedoch kann die Unzugänglichkeit der Zelle für Ladungen mit hohem Energieaufwand überwunden werden. Zum Auslesen wird der Effekt genutzt, dass der Ladezustand der Speicherzelle Einfluss auf einen benachbarten Transportweg für elektrische Ladungen nehmen und dessen Durchlassfähigkeit manipulieren kann. Um sicher löschen zu können, muss die Speicherzelle also nur auf einen konkreten Wert gesetzt werden. Leider weisen diese Speicherzellen eine begrenzte Haltbarkeit auf. Damit ist es erforderlich, häufig genutzte Zellen ggf. vorbeugend zu deaktivieren und besser Reservezellen zu nutzen. Diese Speicherbereiche (Stichworte: Wear Leveling, Flash Translation Layer) sind nur für die Elektronik des Mediums zugreifbar und können nicht gezielt gelöscht werden, da die Adressierung auf Sektorebene der ATA-Schnittstelle für Festplatten gedacht war und für Flash-Chips diese auf eine andere Adressierungsform und andere Chip-Bereiche umgesetzt werden muss. Auch dauert das Löschen deutlich länger als das Auslesen der Daten, sodass bei Datentransfers auf Flash-Speicher häufig nicht gelöscht, sondern nur das Inhaltsverzeichnis der freien Bereiche aktualisiert wird. Und selbst, wenn gelöscht werden könnte, verfügt jeder Hersteller über eigene Methoden des Zugriffs, sodass der tatsächliche Datenspeicherort, der gelöscht werden soll, jeweils verschieden zu ermitteln ist. Hier fehlen einheitliche Vorgaben und Standards.

SSDs, also Festplatten mit Flash-Chips oder völlig auf Flash-Basis, bieten zwar oft den Befehl "ATA Secure Erase" zum sicheren Löschen an, dieser ist teilweise jedoch nicht korrekt implementiert oder eben gar nicht vorhanden. Derzeit müssen Flash-Speicherchips auf physischer Ebene, z. B. thermisch, vernichtet werden, um nicht versehentlich sensible Daten weiterzugeben.

Sicher genutzt werden können Flash-basierte Technologien auch unter Verwendung einer als sicher bekannten Verschlüsselungstechnologie (z. B. TrueCrypt), da dann das einfache Löschen der Zugriffsschlüssel aus den Daten für einen unbefugten Benutzer Zufallszahlen macht. Viele PCs können auch im BIOS - ggf. mit Software des Herstellers - mit einem Passwort zum Verschlüsseln der angeschlossenen Datenträger versehen werden oder ein vorhandenes Trusted Platform Module (TPM) des PCs dafür nutzen. Eine Verschlüsselung ist Stand der Technik und muss, ggf. mit begründeten Ausnahmen, für alle personenbezogenen Daten grundsätzlich gezielt genutzt werden.

Eine deshalb notwendige Aktualisierung der Orientierungshilfe "Sicheres Löschen magnetischer Datenträger" des Arbeitskreises "Technische und organisatorische Datenschutzfragen" der Datenschutzkonferenz aus dem Jahr 2004 steht noch aus, wurde aber bereits begonnen.