Re: OT: Festplatte löschen

From: Polytropon <freebsd(at)edvax.de>
Date: Tue, 18 Sep 2012 22:34:49 +0200

On Tue, 18 Sep 2012 15:36:43 +0200 (CEST), Oliver Fromme wrote:
> Um noch ein paar weitere Punkte in die Waagschale zu werfen:
>
> - Grundsätzlich erfordert *jede* Art von Dienstleistung ein
> gewisses Vertrauen. Das ist in dieser Branche natürlich
> ganz besonders der Fall. Daher werden solche Firmen sich
> auch besonders bemühen, das Vertrauen aufzubauen und
> nicht leichtfertig aufs Spiel zu setzen. Anderenfalls
> könnten sie sich nicht lange am Markt halten.

Dem gegenüber steht jedoch ein in der Realität immer wieder
zu beobachtender "Freibrief-Effekt". Sowohl größere Dienst-
leister als auch solche mit langfristiger vertraglicher
Bindung an die Kunden (oft inkl. Vertragsstrafen bei
vorzeitiger Kündigung) sind der Ansicht, daß "was keiner
mitkriegt" in Ordnung sei. Ich erwähne das nur, weil ich
es aus der Praxis kenne, d. h. daß Leuten Daten untergekommen
sind, die sie auf _keinen_ Fall hätten haben dürfen. Und
das passiert eben auch bei "renomierten" oder "etablierten"
Dienstleistern.

> - Diese Firma (Deutsche Aktenvernichtung GmbH) gibt es seit
> ca. 20 Jahren. Es handelt sich um einen TÜV-zertifizierten
> Entsorgungsfachbetrieb mit deutschlandweiten Stützpunkten.
> Es ist durchaus keine kleine, unbekannte "Klitsche".

Leider gibt es keine Relation zwischen Unternehmensbekanntheit,
Unternehmensgröße und Qualität der erbrachten Dienstleistung...

> - Wenn auch nur der Verdacht aufkäme, sie würden Schindluder
> mit den anvertrauten Datenträgern treiben, könnten sie
> gleich zum Amtsgericht gehen und Konkurs anmelden, ganz
> zu schweigen von Anzeigen wegen Verstoßes gegen das BDSG,
> Schadenersatzklagen usw.

Dazu mü0te eine solche Argumentation aber erstmal bekannt
werden. Um das BDSG schert man sich in vielen Firmen einen
Scheißdreck, sei es hinsichtlich der eigenen Daten oder der
der Kunden. Unternehmen, die mit sicherheitskritischen
Daten umgehen, und sei es "nur" der Vernichtung wegen,
kennen die gesetzlichen Bestimmen oft um einiges besser
als ihre Auftraggeber. Man müßte annehmen dürfen, daß sie
entsprechend der rechtlichen Grundlagen handeln. Tun sie
dies, ist alles in Ordnung. Tun sie dies nicht, merkt es
aber auch keiner, dann ist es egal.

> Ich halte es für abwegig, dass
> eine renommierte, etablierte Firma so etwas in Kauf nähme.
> Nicht umsonst beschäftigen sie vereidigte Mitarbeiter,
> überwachen die Vernichtungsvorgänge per Video und
> dokumentieren es mit Vernichtungszertifikaten.

Das ist auf jeden Fall ein Pluspunkt.

> - Mit Andeutungen, dass es bei dem billigen Preis nicht mit
> rechten Dingen zugehen könne, sollte man *sehr* vorsichtig
> sein. Mit sowas kann man sich sehr schnell eine Klage
> wegen Geschäftsschädigung einhandeln.

Auch hier gilt: Eine Relation zwischen Kosten und Qualität
gibt es nicht. Auch schon für "kleines Geld" kann man guten
Service bekommen, und ebenso für Dilettantismus tüchtig zahlen.
Nicht nur in der IT - überall.

> Polytropon <freebsd(at)edvax.de> wrote:
> > On Mon, 17 Sep 2012 17:40:17 +0200, Markus wrote:
> > > [...]
> > > Wie immer schlechte Laune, hm? :)
> >
> > Die kriege _ich_, wenn ich Leute sehe, die Festplatten wegfeuern,
> > die man nach ordnungsgemäßer Löschung durchaus noch für was
> > Sinnvolles hätte nutzen können - hey, der Kram ist teuer! :-)
>
> Aus Sicht von Privatanwendern hast Du vielleicht recht.

Nein, aus der Sicht des gesunden Menschenverstandes. :-)
Ich will damit nur sagen: "Schade um die schönen Fest-
platten."

> Es geht hier aber eher um gewerbliche Nutzung und um
> kritische Geschäftsdaten, die existenzbedrohend sein
> können, wenn sie in die falschen Hände geraten.

Das ist ein gewichtiges Thema, klar. Und nur physische
Vernichtung garantiert 100%ige Sicherheit.

> Der entscheidende Punkt ist, dass es praktisch unmöglich
> ist, eine Festplatte mit solchen Daten "ordnungsgemäß"
> zu löschen, ohne sie dabei zu zerstören. Und wenn Du
> sie tausendmal überschreibst, es bleiben immer Daten
> zurück, auf die das Betriebssystem keinen Einfluss hat,
> beispielsweise in Sektoren, die von der Firmware weg-
> gemappt wurden. Unter Umständen können auch Daten aus
> den Cache-Chips rekonstruiert werden. Und bei modernen
> Hybrid-Festplatten mit integriertem Flash-Speicher wird
> es noch komplizierter.

Hier hast Du völlig recht.

Mittlerweile ist es aber so, daß Social-Engineering-Techniken,
das Ausnutzen von Dummheit (Anwender, Entscheidungsträger,
Programmierer) und die "üblichen AVs" schneller und bequemer
sicherheitsrelevante Daten in die Hände derer befördern
können, die damit einem Unternehmen schaden können. Das
Abklappern ausgedienter Platten ist wohl eher eine Rand-
erscheinung. Wie gesagt: Ich _weiß_ (selbst), daß es _auch_
vorkommt, daß "entsorgte" Platten mit intaktem Inhalt an
ungeahnten Orten wieder auftauchen. Da diese "Vertriebswege"
auf dem "I don't care"-Prinzip beruhen, helfen da offenbar
auch keine "vorgeschriebenen" Verfahren, dokumentierte
Prozesse oder gar gesetzliche Regularien.

Das was Du über "Puffermechanismen" in Festplatten sagst -
und im Folgeschluß gilt das auch für spezielle Controller -,
möchte ich nochmal unterstreichen: nur die physische
Zerstörung der Hardware ist hier die Garantie, die gefordert
wird.

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 18 Sep 2012 - 22:34:59 CEST

search this site