NIST 800-88, veröffentlicht vom National Institute for Standards and Technology, ist bekannt für die Kategorien Clear, Purge und Destroy zur Mediensanierung. Die Grundsätze können auf magnetische, Flash-basierte und andere Speichertechnologien angewendet werden. Und sie können alles abdecken, von mobilen Geräten und USB-Laufwerken bis hin zu Servern – oder sogar noch nicht entwickelte Technologien.
Die jüngste Aktualisierung, NIST 800-88 Rev. 1, ist einer der am weitesten verbreiteten Standards für die Datenbereinigung, der von der US-Bundesregierung gefordert wird, und seine Anwendung hat sich in zahlreichen privaten Unternehmen und Organisationen verbreitet.
Was sind die NIST 800-88-Richtlinien?
“Eine oft ergiebige Quelle für die unerlaubte Sammlung von Informationen ist entweder das Mülltauchen nach unsachgemäß entsorgten Papiermedien, der Erwerb unsachgemäß desinfizierter elektronischer Medien oder die Rekonstruktion von Medien durch Tastatur und Labor, die in einer Weise desinfiziert wurden, die der Vertraulichkeit ihrer Informationen nicht angemessen ist.”
-NIST 800-88, Rev.1, “Hintergrund”
Die NIST Special Publication 800-88 (“NIST SP 800-88” oder einfach “NIST 800-88”), “Guidelines for Media Sanitization”, ist ein Dokument der US-Regierung, das eine methodische Anleitung für das Löschen von Daten von elektronischen Speichermedien bietet. Ziel ist es, Medien effektiv zu säubern, so dass alle Daten unwiederbringlich gelöscht werden, sobald die Daten oder das Datenspeichergerät das Ende der Lebensdauer erreicht haben.
NIST 800-88 ist weithin für seine Datenbereinigungskategorien Clear, Purge und Destroy bekannt. Die Grundsätze können auf magnetische, Flash-basierte und andere Speichertechnologien angewendet werden, von USB-Laufwerken bis hin zu Servern. In der Tat sind die Richtlinien nicht technologiespezifisch. Stattdessen sollen die Richtlinien und Arbeitsabläufe, die in diesem Dokument beschrieben werden, universell auf verschiedene Medientypen anwendbar sein, auch auf solche, die vielleicht noch gar nicht erfunden wurden.
NIST 800-88 wurde ursprünglich für den Einsatz in der Regierung veröffentlicht, hat sich aber in der Privatwirtschaft als die beste Methode durchgesetzt, um sicherzustellen, dass Daten von einem Datenträger entfernt werden, wenn diese Daten von einer sichereren in eine weniger sichere Umgebung übergehen. Aus diesem Grund kommen die Prinzipien von NIST 800-88 zum Tragen, unabhängig davon, ob ein Datenträger von einer Abteilung mit hohem Vertraulichkeitsschutz in eine andere, weniger sichere Abteilung innerhalb desselben Unternehmens verlagert wird oder ob das Gerät das Unternehmen ganz verlassen soll.
Diese Sicherheitsrichtlinien wurden erstmals im Jahr 2006 vom National Institute of Standards and Technology (NIST) veröffentlicht. Im Dezember 2014 wurden die Richtlinien überarbeitet, sodass die aktuelle Version “NIST Special Publication 800-88 Rev. 1” (“NIST SP 800-88, Rev.1”) heißt.
Diese jüngste Aktualisierung ist nach wie vor einer der am häufigsten verwendeten Datenbereinigungsstandards, der von der US-Bundesregierung angefordert oder verlangt wird. NIST 800-88 hat sich auch im Vergleich zu einem anderen beliebten Standard, dem Department of Defense (DoD) 5220.22-M, als Standard für die Mediensanierung durchgesetzt. DoD 5220.22-M wurde in letzter Zeit nicht mehr aktualisiert und gilt nicht für modernere Technologien wie Solid-State-Laufwerke (SSDs). Auch private Unternehmen und Organisationen in den USA übernehmen die NIST-Sanierungsstandards und lassen die DoD-Dreipass-Methode zunehmend hinter sich.
Darüber hinaus haben sich die aus den USA stammenden “Guidelines for Media Sanitization” zu einem globalen Referenzdokument entwickelt, dessen Grundsätze in namhafte internationale Standards wie ISO/IEC 27040:2015 eingeflossen sind.
Dieser Artikel bietet Ihnen eine kurze Zusammenfassung dessen, was NIST-Medienbereinigung bedeutet. Er gibt auch einen Überblick darüber, wie NIST 800-88 funktioniert, um den unbefugten Zugriff auf vertrauliche oder sensible geschäftliche und persönliche Daten zu verhindern.
Was ist Mediensanitisierung?
Die NIST-Definition von “Sanitization” lautet: “Ein Prozess, der den Zugriff auf Zieldaten auf dem Medium mit einem bestimmten Aufwand unmöglich macht.” Die Methoden, die ein Unternehmen zur Bereinigung seiner Daten wählt, hängen stark von der Vertraulichkeitsstufe dieser Daten ab.
Die Autoren betonen auch, dass dieser Prozess bereits bei der Planung der Datenspeicherung die End-of-Life-Sanierung berücksichtigen muss. Das bedeutet, dass Medien und Arbeitsabläufe, die in den frühen Phasen des Aufbaus eines Informationssystems implementiert werden, bewertet werden müssen. Wenn man weiß, welche Sanitisierungsgrade mit den zur Datenspeicherung und -verarbeitung verwendeten Komponenten möglich sind, kann man die ordnungsgemäße Implementierung der Sanitisierung erleichtern, wenn sie erforderlich ist.
Die Überlegungen zum Sanitization-Workflow nach NIST 800-88 setzen sich beim Recycling, der Übertragung oder der endgültigen Ausmusterung von Medien am Ende der Lebensdauer von Geräten oder Daten fort. Dazwischen gibt es viele Schwachstellen, an denen ein unangemessener Zugriff auf Daten möglich ist. Dazu können Zeiten der Infrastrukturwartung oder die Beteiligung Dritter gehören.
An jedem dieser Punkte weisen die NIST 800-88-Richtlinien darauf hin, dass die Vertraulichkeitsbedürfnisse der Daten ausschlaggebend für die Sanierungsentscheidungen sind, nicht der Medientyp selbst.
Im Wesentlichen empfiehlt NIST, dass Benutzer die zu verwendende Bereinigungsmethode wie folgt bestimmen
- Verständnis und Kategorisierung der Informationen nach Vertraulichkeitsstufen
- Bewertung der Art des Speichermediums
- Abwägen des Risikos für die Vertraulichkeit, und
- bestimmen, wie das Medium in Zukunft verwendet werden soll (d.h. wird es innerhalb der Organisation wiederverwendet? Gespendet? Schreddern oder anderweitig unbrauchbar machen?).
Sobald diese Festlegungen getroffen sind, kann die Organisation wählen, welche Art von Desinfektionsmethode unter Berücksichtigung aller anderen Überlegungen (Kosten, Umweltauswirkungen, verfügbare Technologie und technische Fähigkeiten usw.) am besten geeignet ist.
Letztendlich ist es das Ziel, eine Datenbereinigungslösung zu wählen, die das Risiko für die Vertraulichkeit am geringsten hält und gleichzeitig alle anderen Einschränkungen berücksichtigt.
Welches Problem löst NIST 800-88?
Das schwächste Glied in einem System ist oft dasjenige, das als selbstverständlich angesehen, ignoriert oder einfach nicht berücksichtigt wird. Eine häufige Schwachstelle für den Datenschutz entsteht, wenn Geräte den Besitzer wechseln, ohne dass die ursprünglichen Daten angemessen vom Gerät entfernt wurden. Allzu oft werden vertrauliche Daten von einer stark geschützten Datenspeicherumgebung in eine weit weniger geschützte Umgebung verschoben, nur weil die Betreiber glauben, dass die Daten ausreichend gelöscht wurden, dies aber nicht überprüft haben.
NIST 800-88 spricht das Problem der Restdaten direkt an:
"Die Anwendung ausgeklügelter Zugangskontrollen und Verschlüsselung trägt dazu bei, die Wahrscheinlichkeit zu verringern, dass ein Angreifer direkten Zugang zu sensiblen Informationen erlangen kann. Infolgedessen können Parteien, die versuchen, an sensible Informationen zu gelangen, versuchen, ihre Bemühungen auf alternative Zugriffsmöglichkeiten zu konzentrieren, wie z. B. das Abrufen von Restdaten auf Medien, die eine Organisation ohne ausreichende Bereinigung verlassen haben. .... Folglich sind die Anwendung wirksamer Bereinigungstechniken und die Nachverfolgung von Speichermedien entscheidende Aspekte, um sicherzustellen, dass sensible Daten von einer Organisation wirksam vor unbefugter Offenlegung geschützt werden. Der Schutz von Informationen steht an erster Stelle."
-NIST SP 800-88, Rev.1, "Executive Summary"
Mit anderen Worten: Diejenigen, die sich Zugang zu sensiblen Daten verschaffen wollen, können sich die am niedrigsten hängenden Früchte aussuchen: Speichergeräte, die die physischen Mauern eines Unternehmens verlassen haben oder die auf andere Weise zugänglich sind, ohne dass angemessene Sicherheitsmaßnahmen getroffen wurden. Solange die ordnungsgemäße Datenbereinigung nicht überprüft und mit einem Prüfprotokoll dokumentiert wurde, gibt es keine Möglichkeit festzustellen, welche Informationen noch zugänglich sind, selbst wenn die Geräte angeblich “gelöscht” oder die Daten vermeintlich gelöscht wurden.
Was ist eine unzureichende Datensanitisierung?
Traditionell wurden verschiedene andere Methoden verwendet, um sich vor unbefugtem Zugriff auf Informationen zu schützen, die auf alten oder ausgedienten Datenträgern gespeichert sind. Mit den heutigen Technologien können ältere Methoden jedoch entweder ineffizient, nicht vollständig wirksam oder kostspielig sein.
Eine unzureichende Datenbereinigung kann zum Beispiel Folgendes umfassen:
- Degaussing - eine Methode zur Entmagnetisierung von Festplatten, bei der alle Daten zerstört werden - ist bei den heute immer beliebteren Flash-basierten Solid-State-Laufwerken (SSDs) unwirksam. In den NIST-Richtlinien heißt es ausdrücklich: "Degaussing, eine grundlegende Methode zur Entmagnetisierung magnetischer Medien, ist in den meisten Fällen für Flash-Speicher-basierte Geräte nicht mehr anwendbar." Aber aufgrund von Änderungen der Magnetkraft könnten die heutigen Entmagnetisierungsverfahren auch für die magnetischen Geräte von morgen unzureichend sein, "... weil einige neue Varianten der magnetischen Aufzeichnungstechnologien Medien mit höherer Koerzitivkraft (Magnetkraft) enthalten. Infolgedessen verfügen die vorhandenen Entmagnetisierer möglicherweise nicht über eine ausreichende Kraft, um solche Medien wirksam zu entmagnetisieren.
- Das Überschreiben - bei dem im Wesentlichen zuvor gespeicherte Daten mit zufälligen oder festgelegten Mustern überschrieben werden - ist in speziell definierten, für den Benutzer zugänglichen Bereichen von Magnetlaufwerken äußerst effektiv. Es ist so effektiv, dass normalerweise nur ein einziger Durchgang erforderlich ist. Aber auch diese Methode hat ihre Schwächen, wie in den Leitlinien festgestellt wird: "Ein wesentlicher Nachteil der alleinigen Verwendung der nativen Lese- und Schreibschnittstelle zur Durchführung des Überschreibvorgangs besteht darin, dass Bereiche, die derzeit nicht auf aktive LBA-Adressen (Logical Block Addressing) abgebildet sind (z. B. defekte Bereiche und derzeit nicht zugewiesener Speicherplatz), nicht angesprochen werden. Dedizierte Sanitize-Befehle unterstützen die Adressierung dieser Bereiche auf effektivere Weise. Die Verwendung solcher Befehle führt zu einem Kompromiss, denn obwohl sie alle Bereiche des Datenträgers gründlicher ansprechen sollten, erfordert die Verwendung dieser Befehle auch das Vertrauen und die Zusicherung des Herstellers, dass die Befehle wie erwartet implementiert worden sind." Mit anderen Worten: Das Überschreiben erreicht möglicherweise nicht alle adressierbaren Bereiche auf diesen Laufwerken. Wenn der Anbieter der Bereinigung nicht sorgfältig dokumentiert und überprüft, ob und wann Hardware-Befehle in den Löschprozess einbezogen wurden, müssen Unternehmen oft darauf vertrauen, dass zusätzlich zu den standardmäßigen Überschreibungsprozessen spezielle Befehle verwendet wurden, um das gesamte Gerät vollständig zu bereinigen.
- Das Schreddern - oder andere physikalische Zerstörungsmethoden, die das Laufwerk in kleine Teile zerschneiden - wird immer schwieriger. Das liegt daran, dass die Dichte der Datenspeicherung auf immer kleineren Geräten dazu führt, dass nur noch die kleinsten Teile wiederherstellbare Informationen hinterlassen können. Dies kann zwar immer noch eine völlig akzeptable Methode sein, wenn die Schreddergröße klein genug ist, aber immer dichtere Chips beschädigen herkömmliche Schredder (siehe Seite 7 der Leitlinien). Und natürlich bedeutet jede physische Vernichtungsmethode auch, dass das zu vernichtende Gerät völlig unbrauchbar ist, was sich sowohl auf die Umwelt als auch auf die Kosten auswirkt.
- Verschlüsselung - eine Methode, bei der Daten durch komplexe Code-Algorithmen unentzifferbar gemacht werden - kann sehr effektiv sein, aber es gibt keine Möglichkeit zu überprüfen, ob alle Verschlüsselungsschlüssel gelöscht wurden, bevor das Gerät weitergegeben wird.
Wie hilft NIST 800-88 also beim Schutz vor unbefugtem Datenzugriff?
Da Neuformatierung, “Löschen” und sogar Verschlüsselung möglicherweise nicht ausreichen, um alle Daten zu schützen, bietet NIST 800-88 drei Möglichkeiten für den Umgang mit auslaufenden Daten: Löschen, Bereinigen und Vernichten.
- Clear wendet logische Techniken an, um Daten an allen vom Benutzer adressierbaren Speicherorten zu bereinigen. Dies schützt vor einfachen, nicht-invasiven Datenwiederherstellungstechniken und bietet ein moderates Maß an Datenschutz. Clear wird in der Regel über die Standard-Lese-/Schreibbefehle auf das Speichergerät angewendet. Dies kann das Überschreiben mit einem neuen Wert oder die Verwendung einer Menüoption zum Zurücksetzen des Geräts auf den Werkszustand umfassen (wenn das Überschreiben nicht unterstützt wird). Die Daten werden dann überschrieben und verifiziert. Die meisten Geräte unterstützen ein gewisses Maß an Clear sanitization. Versteckte oder nicht adressierbare Bereiche werden dabei jedoch nicht bereinigt.
- Purge wendet physikalische oder logische Techniken an, die eine Wiederherstellung der Zieldaten mit modernen Labortechniken unmöglich machen. Die Bereinigung bietet einen gründlicheren Bereinigungsgrad als Clear und wird für vertraulichere Daten verwendet. Die Bereinigung erfordert die Entfernung von versteckten Laufwerken (Host Protected Areas (HPA) oder Device Configuration Overlays (DCO), falls vorhanden). Je nach Art des Laufwerks wird dann ein Firmware-basierter Befehl ausgelöst. Im letzten Schritt wird der Schreibvorgang verifiziert. Es kann jedoch vorkommen, dass Purge aufgrund der Firmware nicht auf alle Geräte angewendet werden kann. Die Forschungs- und Entwicklungsteams von Blancco befassen sich regelmäßig mit solchen Fällen, und die Lösungen von Blancco unterstützen Purge heute für die meisten HDD- und SSD-Laufwerke.
- Destroy macht die Wiederherstellung von Zieldaten mit modernsten Labortechniken undurchführbar. Außerdem kann das Medium danach nicht mehr zum Speichern von Daten verwendet werden. "Zerstören" kann Schreddern, Verbrennung, Pulverisierung, Schmelzen und andere physikalische Verfahren umfassen. Dies kann bei Laufwerken erforderlich sein, die aufgrund physischer Schäden bereits nicht mehr verwendet oder mit Standardmethoden überschrieben werden können. Dennoch ist "Bereinigen" (und ggf. "Löschen") in vielen Fällen besser geeignet als "Zerstören". Da "Zerstören" die Medien unbrauchbar macht, fordert die physische Zerstörung einen Tribut an die natürlichen Ressourcen. Sie trägt nicht nur zur Umweltverschmutzung bei, sondern verkürzt auch die Lebensdauer von Speichermedien der Informationstechnologie. Diese Geräte können oft von anderen Abteilungen innerhalb der ursprünglichen Organisation verwendet oder sogar an Organisationen mit weniger strengen Leistungsanforderungen gespendet oder verkauft werden. Auch die physische Vernichtung bestimmter Medientypen kann sich als schwierig erweisen, sei es wegen der erforderlichen Partikelgröße, um alle Daten unwiederbringlich zu machen, wegen der Kosten oder wegen anderer Faktoren. Aus diesen Gründen empfiehlt Blancco, Bereinigen und Löschen in Betracht zu ziehen, wenn diese Optionen unterstützt werden und es geschäftlich sinnvoll ist, dies zu tun. Es gibt auch Fälle, in denen bei besonders schützenswerten Daten Bereinigen und Zerstören zusammen verwendet werden, um eine zusätzliche Sicherheit gegen jegliche Form der Datenwiederherstellung zu gewährleisten.
Die Richtlinien bieten Clear, Purge und Destroy als gültige Optionen für die Bereinigung an, die auf den Vertraulichkeitsanforderungen der Daten und nicht auf der Speichertechnologie basieren, auf der sich die Daten befinden. In dem NIST-Dokument werden die einzelnen Methoden für verschiedene Medienkonfigurationen und Situationen detailliert beschrieben, einschließlich der Frage, wie sie sich auf kryptografisches Löschen anwenden lassen.
Der Dreh- und Angelpunkt ist jedoch die Verifizierung – das Attribut, das die Gewissheit gibt, dass die Daten ausreichend bereinigt wurden und dass die Unternehmensdaten sicher und dauerhaft entfernt wurden.
Die Methode auf das Medium abstimmen und prüfen, prüfen, prüfen
Wenn das Verständnis der Vertraulichkeitsstufen die eine Seite von NIST ist, dann ist die strenge Überprüfung die andere.
"Die Verifizierung des gewählten Verfahrens zur Datenbereinigung und -entsorgung ist ein wesentlicher Schritt zur Wahrung der Vertraulichkeit. Zwei Arten der Überprüfung sollten in Betracht gezogen werden. Die erste ist eine Überprüfung bei jeder Desinfektion...Die zweite ist eine repräsentative Stichprobenprüfung, die auf eine ausgewählte Teilmenge der Medien angewendet wird. Wenn möglich, sollte die Stichprobe von Personal durchgeführt werden, das nicht an der ursprünglichen Desinfektionsmaßnahme beteiligt war."
- NIST SP 800-88, Rev.1, "Information Sanitization and Decision Making".
Wie bereits erwähnt, reicht in der Regel ein einmaliges Überschreiben aus, um Daten von einem magnetischen Laufwerk zu löschen. Die Löschung kann jedoch unvollständig sein, wenn der Prozess defekte, nicht zugewiesene oder nicht auf aktive LBA-Adressen (Logical Block Addressing) abgebildete Bereiche nicht berücksichtigt und behandelt. Dedizierte Bereinigungsmethoden können die Differenz ausgleichen, aber die Bestätigung kann von den Angaben des Herstellers abhängen. Bei nichtmagnetischen Datenträgern kann es aufgrund anderer Eigenschaften dieser Datenträger schwierig sein, festzustellen, ob die angewandten Methoden zur Datenlöschung wirklich wirksam waren.
Wie oben zitiert, bieten die NIST Media Sanitization Guidelines zwei Möglichkeiten zur Überprüfung:
- Überprüfung, ob die Sanitisierung auf alle fraglichen Medien angewandt wurde (typischerweise nicht für jedes einzelne Medium, wenn "Zerstören" verwendet wird)
- Überprüfung einer Probe des Mediums, um nachzuweisen, dass keine Daten wiederherstellbar sind
NIST 800-88 legt Spezifikationen für verschiedene Speichermethoden und Stichprobengrößen fest, insbesondere für Fälle, in denen kryptografisches Löschen verwendet wurde. Um diesen Verifizierungsprozess effizienter zu gestalten, kann Blancco diese Verifizierungsprozesse je nach Benutzerpräferenz automatisieren.
Es ist wichtig zu verstehen, dass die Überprüfung der Löschung Teil der NIST-Empfehlungen ist. Andernfalls könnten unzureichende Bereinigungsmethoden ernsthaft implementiert werden und die Unternehmensdaten immer noch angreifbar und ungeschützt sein. Die Durchführung der Datenlöschung durch Clear-, Purge- oder Destroy-Mechanismen erfüllt für sich genommen nicht die Standards für eine revisionssichere Bereinigung.
Aber nicht nur der Prozess und der Endzustand des Geräts sollten validiert werden. Die verwendeten Geräte (funktionieren sie ordnungsgemäß und liefern sie korrekte Informationen?), die Kompetenzen der Mitarbeiter (sind sie in der Lage, die Geräte zu benutzen und die Ergebnisse zu bewerten?) und die Ergebnisse sind allesamt entscheidende Elemente, um zu überprüfen, ob die Medien ordnungsgemäß und vollständig saniert wurden.
Der Nachweis der NIST 800-88-Sanitisierung erfolgt schließlich in Form eines detaillierten Zertifikats für jedes elektronische Medium, das sanitisiert wurde. Dieses Zertifikat kann in gedruckter oder elektronischer Form vorliegen, aber es ist ein entscheidendes Element, das bestätigt, dass die Daten von den bereinigten Medien nicht wiederhergestellt werden können. In der Regel wird jedes Speichermedium mit einer Seriennummer aufgeführt. Ein ordnungsgemäßes Zertifikat beschreibt auch die Art der Bereinigung (z. B. Löschen, Bereinigen, Vernichten), die verwendete Methode (z. B. Entmagnetisieren, Überschreiben, Blocklöschen, Kryptolöschen usw.), die verwendeten Tools und Überprüfungsmethoden sowie verschiedene andere Informationen.
Für jede Organisation, die die Einhaltung von Datensicherheitsvorschriften und -richtlinien (einschließlich NIST) nachweisen muss, einschließlich stark regulierter Branchen, ist ein prüfbares Zertifikat erforderlich. Ohne dieses Zertifikat ist die NIST-Sanitisierung weder vollständig noch garantiert.