Ludwigsburg, Starnberg, 16. Dez. 2019 - Ein Drittel der größten Firmen in Deutschland mit Schwachstellen bei der Datenlöschung; Untersuchung von Blancco Technology Group…
Zum Hintergrund: Zugegeben, das Thema Datenlöschung ist vielleicht nicht Prio #1 und täglich auf der Agenda von IT-Professionals, aber letztlich ist eine fachgerechte Löschung von Daten genauso wichtig wie Archivierungsvorgaben. Wer also digitale Daten unnötig auf alten Geräten aufbewahrt gefährdet nicht nur die Datensicherheit, sondern riskiert auch Compliance-Verstöße. Datenlösch-Experte 'Blancco Technology Group' hat jetzt in Zusammenarbeit mit Coleman Parks deutsche und internationale Unternehmen nach ihren Umgang mit ausgedienten elektronischen Geräten befragt und kam zu folgendem Ergebnis: Mehr als drei Viertel der Befragten stimmten demnach zu, dass die große Anzahl der verschiedenen End-of-Life-Geräte ein Datensicherheitsrisiko für ihr Unternehmen darstellt.
74 Prozent gaben an, wegen der Gefahr von Datenschutzverstößen im Zusammenhang mit Altgeräten besorgt zu sein. Ein Fünftel der Unternehmen in Deutschland unterscheidet beim Löschen von Festplatten nicht zwischen SSDs und HDDs, sondern nutzt dafür ein und dasselbe Verfahren. 20 Prozent der befragten deutschen Unternehmen gab an, dass ihre nicht mehr verwendeten IT-Geräte einfach im Unternehmen aufbewahrt werden ohne Löschung der darauf befindlichen Daten.
Die Studie, bei der 1.850 Entscheidungsträger der weltgrößten Unternehmen in Nordamerika, den APAC-Staaten und in Europa – darunter 259 Entscheidungsträger in Deutschland – befragt wurden, zeigt, dass die angewandten Datenlösch-Verfahren am Lebensende von IT-Geräten in jedem dritten Unternehmen in Deutschland erhebliche Sicherheitsrisiken aufweisen. Ursächlich für diese Risiken sind danach:
Der Einsatz unzureichender Verfahren zum Entfernen von Daten – 32 Prozent der Unternehmen nutzen nach eigenen Angaben Methoden wie das Formatieren, das Überschreiben mithilfe kostenloser oder kostenpflichtiger Softwaretools ohne entsprechende Zertifizierung oder die physische Zerstörung (sowohl Entmagnetisierung als auch Schreddern) ohne Audit-Trail. Diese Verfahren bieten keine vollständige Sicherheit. D. h., dass für Unternehmen ein potenzielles Restrisiko für Sicherheitslücken und Compliance-Verstöße besteht.
Das Horten ausgemusterter Speichergeräte in großen Mengen und das Fehlen eines klaren Konzepts für einen angemessenen Umgang mit diesen Geräten innerhalb eines festen Zeitfensters – 78 Prozent der Unternehmen in Deutschland haben eingeräumt, massenhaft ausrangierte Geräte einzulagern. Dies ist der höchste Anteil aller Länder, in denen die Umfrage durchgeführt wurde. Lediglich 11 Prozent der befragten Unternehmen gaben an, Datenträger unmittelbar nach Außerbetriebnahme zu löschen. Im Gegensatz dazu benötigen 74 Prozent dafür nach eigenen Angaben mehr als zwei Wochen, was das Risiko von Datenschutzverletzungen und Datenverlust im Unternehmen erhöht.
Das Fehlen einer klaren Chain-of-Custody mit einem entsprechenden Audit-Trail für IT-Geräte, die ihr Lebensende erreicht haben, einschließlich der beweissicheren Dokumentation des Transports zu einer externen Anlage, in der die Geräte vernichtet werden – ein Fünftel (20 Prozent) der Unternehmen in Deutschland verfügt nach eigenen Angaben nicht über einen Audit-Trail für die physische Zerstörung, und 32 Prozent haben zugegeben, nicht die Seriennummern der Festplatten zu erfassen. Diese Defizite bei der Chain-of-Custody bedeuten für die betreffenden Unternehmen ein hohes Risiko für Datenschutzverletzungen und Compliance-Verstöße.
Auch zeigt die Studie, dass 20 Prozent der Unternehmen in Deutschland bei der Entsorgung ihrer Altgeräte auf die physische Zerstörung setzen, indem sie diese entmagnetisieren oder in einem Schredder zerkleinern lassen. Allerdings bietet gerade das Schreddern nicht immer einen zertifizierten Audit-Trail für die gesamte Chain-of-Custody. Weitere wichtige Erkenntnisse zu Unternehmen in Deutschland:
Ein Fünftel (20 Prozent) der Unternehmen in Deutschland unterscheidet beim Löschen von Festplatten nicht zwischen SSDs und HDDs, sondern nutzt dafür ein und dasselbe Verfahren. Dies birgt das Risiko, dass die Datenträger nicht vollständig von allen Daten bereinigt und dass nicht alle Branchenstandards zum Löschen von Daten eingehalten werden.
Darüber hinaus haben die befragten Unternehmen angegeben, dass 20 Prozent ihrer IT-Geräte einfach im Unternehmen aufbewahrt werden, ohne die darauf befindlichen Daten zu löschen. Dies offenbart eine gravierende Sicherheitslücke, die umgehend geschlossen werden sollte.
Dazu Fredrik Forslund, Vice President, Enterprise and Cloud Erasure Solutions bei Blancco: „Die Unternehmen in Deutschland machen sich eindeutig Gedanken um die Daten, wenn IT-Geräte ihr Lebensende erreichen. Aber trotz des Wissens um die bestehenden Risiken wählen viele einen unzureichenden Ansatz beim Schutz ihres Unternehmens. Dies deutet innerhalb der Branchen und unter den Führungskräften in Deutschland auf ein enormes und besorgniserregendes Wissensdefizit hinsichtlich der Sicherheits- und Compliance-Implikationen der physischen Zerstörung und der Aufbewahrung von Altgeräten hin.“
Abb. 1: Das „shreddern“ von Festplatten (Bildquelle: Blancco Technology Group).
Die wichtigste Erkenntnisse auf internationaler Ebene:
Viele der weltweit befragten Unternehmen setzen eine Vielzahl unterschiedlicher Verfahren zum Entfernen von Daten ein. Insgesamt 17 Prozent setzen auf die physische Zerstörung (sowohl Entmagnetisierung als auch Schreddern), 13 Prozent nutzen kryptografisches Löschen/Verschlüsselung, 12 Prozent bedienen sich der Formatierung, 8 Prozent nutzen eine kostenlose Überschreibungssoftware und 7 Prozent eine kostenpflichtige Software zum Überschreiben, bei der jedoch eine entsprechende Zertifizierung der Datenlöschung fehlt. Besonders besorgniserregend ist allerdings, dass 4 Prozent überhaupt kein Verfahren zum Löschen von Daten anwenden.
Ein hoher Anteil von 80 Prozent der weltweit befragten Unternehmen hat zugegeben, massenhaft aussortierte Geräte im Unternehmen zu horten. Darüber hinaus lassen viele Unternehmen diese Geräte eine Zeit lang ungenutzt liegen. Nur 13 Prozent der Unternehmen haben angegeben, die Datenträger unmittelbar nach ihrer Außerbetriebnahme zu löschen, wohingegen 57 Prozent dazu nach eigenen Angaben mehr als zwei Wochen benötigen. Dies erhöht das Risiko von Datenschutzverletzungen und Datenverlust in Unternehmen.
Knapp drei Viertel (73 Prozent) der befragten Unternehmen haben bei der Frage nach den größten Sicherheitsbedenken im Zusammenhang mit End-of-Life-Geräten zugestimmt, dass sie allein die Fülle der unterschiedlichen Geräte anfällig für Datenschutzverletzungen macht. Außerdem haben 68 Prozent angegeben, sehr besorgt wegen der Gefahr einer möglichen Datenschutzverletzung aufgrund von Daten auf Altgeräten zu sein.
(1) Quelle / Methodik:
Die Primärerhebung wurde von der Blancco Technology Group in Auftrag gegeben und im August 2019 von Coleman Parkes durchgeführt. Die Stichprobe bestand aus insgesamt 1.850 Entscheidungsträgern – darunter Heads of Compliance, CFOs, Financial Directors, ITAMs, CISOs, IT Security VPs, Datenschutzbeauftragte und Heads of Operations – aus ebenso vielen Unternehmen und Einrichtungen mit mehr als 5.000 Mitarbeitern. Die Stichprobenziehung erfolgte im Vereinigten Königreich, in den Vereinigten Staaten, in Kanada, Deutschland, Frankreich, Japan, Indien, Singapur und Australien. Dabei wurden verschiedene vertikale Märkte berücksichtigt: Gesundheitswesen, öffentlicher Sektor, Pharmaindustrie, Finanzwesen, Technologie, Verteidigung, Rechtswesen, produzierendes Gewerbe, Energie, Transport/Verkehr und Beratung.