Die KMUs im Nachbarland Deutschland nehmen die sichere Vernichtung von elektronischen Daten offenbar nicht ernst genug, warnt der Datenrettungs- und -vernichtungsspezialist Kroll Ontrack. Aus einer Umfrage unter 165 IT-Profis aus kleinen und mittleren Unternehmen wird deutlich: Während fast drei Viertel der Unternehmen einen Aktenvernichter oder Shredder für alte Dokumente haben, besitzen nur 40 Prozent eine professionelle Lösung zur Vernichtung elektronischer Daten.
Nur eine Minderheit der Betriebe hat eine tatsächliche Regelung für die Entsorgung von IT-Altgeräten. Viel anders dürfte es in der Schweiz auch nicht sein. "Unternehmen setzen sich viel zu wenig damit auseinander, dass alte Festplatten, Smartphones oder andere Datenträger in falsche Hände geraten könnten", so Peter Böhret, Managing Director bei Kroll Ontrack. Warum genau das so ist, hat die Umfrage nicht genau geklärt. "Vermutlich ist der Hauptgrund das fehlende Bewusstsein, dass auch die elektronische Datenlöschung ein wesentlicher Teil der IT-Security ist", meint Axel Kunz, Senior Account Manager bei Kroll Ontrack. Dabei können nach aussen dringende Daten grossen Ärger bedeuten.
Shreddern ja, löschen vielleicht
"Nicht richtig gelöschte Daten beschäftigen schon seit Jahren die Öffentlichkeit. Sei es nun, weil bekannt wird, dass wichtige Datenträger von Behörden oder der Alt-Rechner eines Sachbearbeiters inklusive vermeintlich gelöschter, vertraulicher Daten bei eBay auftauchen", warnt Kunz. Der Grund dafür ist leicht zu finden. Während stolze 73 Prozent der befragten Unternehmen alte Papierakten selbst effektiv vernichten können, ist das bei elektronischen Daten die Ausnahme. Der Umgang mit Daten auf Altgeräten ist teils sehr lax. Immerhin 17 Prozent überlassen die Löschung dem jeweiligen Mitarbeiter. In einem Viertel der Unternehmen wiederum prüft niemand, ob eine korrekte Löschung vertraulicher Daten vor der Entsorgung auch tatsächlich erfolgt ist.
In immerhin 56 Prozent der Unternehmen ist die IT-Abteilung damit beauftragt, Daten auf Altgeräten vor der Entsorgung zu löschen. In fast der Hälfte der befragten Betriebe prüft die IT, ob eine Löschung tatsächlich erfolgt ist, womit sie die meistgenannte Kontrollinstanz ist. Ein Compliance-Problem ergibt sich dabei in jenen Betrieben, wo die IT-Abteilung für beide Schritte zuständig ist. Dann ist der Sorgfaltspflicht nicht ausreichend Genüge getan, warnt der Datenvernichtungsspezialist. Das Unternehmen könnte demnach im Falle eines Datenmissbrauchs zur Verantwortung gezogen werden.
Löschen alleine reicht nicht aus
Ein weiterer potenzieller Stolperstein ist, dass eine Datenlöschung nur über die integrierten Funktionen von IT-Geräten meist nicht sicher ist. "Bei einer Festplatte zum Beispiel sind Daten, wenn sie normal gelöscht werden, nicht verschwunden. Sie werden nur zum Überschreiben freigegeben und sind im Inhaltsverzeichnis nicht mehr sichtbar", erklärt Kunz. Experten wie bei Kroll Ontrack können in solchen Fällen normalerweise einen Grossteil der Daten wiederherstellen - was bei unbeabsichtigter Löschung gut, aber bei der Geräteentsorgung ein Risiko ist.
Um wirklich auf der sicheren Seite zu sein, sollten Unternehmen Daten zumindest mit Spezialprogrammen überschreiben. Dies ist laut Kunz Mittel der Wahl, wenn nur wenige Medien zu löschen sind. "Professionelle Software-Lösungen müssen nicht teuer sein, noch dazu wenn man bedenkt, dass Datensicherheit und Unternehmensintegrität unbezahlbar sind", betont er. Bei grösseren Mengen an Datenträgern bietet sich ein Entmagnetisieren per Degausser an. Zudem ist es möglich, Festplatten und andere Speichermedien ganz ähnlich altmodischen Papierakten mit geeigneten Shreddern physisch zu zerstören.
