IT-Sicher­heit: Ent­sor­gung von Datenträgern

10.11.2014 | Service

Com­pu­ter, Daten­trä­ger und Papier­do­ku­mente mit Pati­en­ten-bezo­ge­nen Daten müs­sen auf sichere Art ent­sorgt wer­den: Funk­ti­ons­fä­hige Fest­plat­ten soll­ten mit einer spe­zi­el­len Soft­ware gelöscht wer­den. Will man ganz sicher gehen, hilft nur, die Fest­plat­ten mecha­nisch zu zer­stö­ren. Von Michael Nöhammer*

Pati­en­ten­da­ten auf Ebay-Fest­plat­ten gefun­den“, „Kran­ken­ak­ten auf Gebraucht­rech­ner ent­deckt“ – diese und ähn­li­che Schlag­zei­len in den Medien beleuch­ten einen Aspekt der ITSi­cher­heit, der übli­cher­weise im All­tag nicht sehr beach­tet wird: Wie las­sen sich Daten, die nicht mehr benö­tigt wer­den, sicher von Daten­trä­gern entfernen?

Die häu­figs­ten und für die Pra­xis rele­van­ten Fälle sind die Ent­sor­gung von Siche­rungs­me­dien und die Rück­gabe von alten oder defek­ten Rech­nern. Hier ist es beson­ders wich­tig zu wis­sen, dass Com­pu­ter, Daten­trä­ger und Papier­do­ku­mente mit ver­trau­li­chen oder Pati­en­ten­be­zo­ge­nen Inhal­ten, die defekt gewor­den sind oder nicht mehr benö­tigt wer­den, auf sichere Art ent­sorgt wer­den müs­sen. Grund­sätz­lich ist davon aus­zu­ge­hen, dass alle Medien bezie­hungs­weise Rech­ner, die in einer Ordi­na­tion zum Ein­satz gekom­men sind, Pati­en­ten-bezo­gene Daten gespei­chert haben.

Was Sie kei­nes­falls tun sollten:

  • Ent­sor­gen Sie Spei­cher­me­dien oder Fest­plat­ten nicht in den Papier­korb oder Hausmüll.
  • Über­ge­ben Sie Alt­ge­räte nie ohne ent­spre­chende Sicherheitsmaßnahmen. 

Emp­foh­lene Maß­nah­men sind:

  • Shred­dern Sie Papier­do­ku­mente selbst oder über­ge­ben Sie diese einem Dienst­leis­ter, mit dem Sie einen ent­spre­chen­den Ver­trag geschlos­sen haben.
  • Zer­stö­ren Sie Siche­rungs- und Spei­cher­me­dien phy­sisch durch Zer­klei­ne­rung bezie­hungs­weise shreddern.
  • Funk­ti­ons­fä­hige Fest­plat­ten kön­nen durch den Ein­satz einer geeig­ne­ten Lösch-Soft­ware gelöscht wer­den. Das allei­nige „For­ma­tie­ren“ durch das Betriebs­sys­tem selbst wird nicht als sicher angesehen.
  • Die Aus­wahl und der kor­rekte Ein­satz einer Lösch-Soft­ware sind für Nicht-Fach­leute nicht ganz ein­fach – ins­be­son­dere wenn Fest­plat­ten gelöscht wer­den sol­len, auf denen ein Betriebs­sys­tem läuft. Wir emp­feh­len für die­sen Zweck die Beauf­tra­gung eines zer­ti­fi­zier­ten Dienst­leis­ters, der die kor­rekte Löschung ver­trag­lich zusi­chern muss.
  • Wer­den Fest­plat­ten aus einem Rech­ner ent­nom­men und ohne die­sen wei­ter­ge­ge­ben, kön­nen die Daten bei Ein­satz einer Ver­schlüs­se­lungs- Soft­ware – wie zum Bei­spiel „Bit­lo­cker“ von Micro­soft oder die Open-Source Soft­ware „True­crypt“ – ohne den ursprüng­li­chen Wirts­rech­ner nicht mehr gele­sen wer­den. Eine Wei­ter­gabe ohne den Rech­ner – und damit ohne den Benut­zer­schlüs­sel – ist des­halb daten­schutz­recht­lich als sicher anzusehen.
  • Wol­len Sie ganz auf Num­mer sicher gehen, zer­stö­ren Sie die Fest­plat­ten auch phy­sisch (Schred­der, Bohr­ma­schine). Das gilt jeden­falls für nicht funk­ti­ons­fä­hige Fest­plat­ten bezie­hungs­weise Spei­cher­me­dien, die ander­wei­tig nicht gelöscht wer­den können.

Mit die­sen Maß­nah­men tra­gen Sie dazu bei, dass die Daten Ihrer Pati­en­ten ver­trau­lich bleiben.

*) DI Michael Nöham­mer, ÖÄK/​Informationstechnologie und Informationssysteme

© Öster­rei­chi­sche Ärz­te­zei­tung Nr. 21 /​10.11.2014