End-of-Life-Geräte ein Datensicherheitsrisiko

Studie: Ein Drittel der größten Unternehmen in Deutschland weist Schwachstellen bei der Datenlöschung auf
Fehlende Fachkenntnisse und unzureichende Richtlinien gefährden die Datensicherheit und erhöhen das Risiko für Compliance-Verstöße

Eine von der Blancco Technology Group veröffentlichte Studie zeigt die häufigsten Fehleinschätzungen von Entscheidungsträgern beim Thema Datenlöschung auf. Die Folgen sind unzureichende Datenlösch-Verfahren und unnötige Sicherheitsrisiken. Die Studie "A False Sense of Security", die von Blancco in Zusammenarbeit mit Coleman Parkes erstellt wurde, verdeutlicht, wie Selbstüberschätzung in deutschen Unternehmen die Sicherheit von Daten gefährdet – und das in einer Zeit, in der vernünftiges Daten-Management oberste Priorität haben sollte. Mehr als drei Viertel (77 Prozent) der Befragten stimmten zu, dass die große Anzahl der verschiedenen End-of-Life-Geräte ein Datensicherheitsrisiko für ihr Unternehmen darstellt, und 74 Prozent gaben an, wegen der Gefahr von Datenschutzverstößen im Zusammenhang mit Altgeräten besorgt zu sein.

Die Studie, bei der 1.850 Entscheidungsträger der weltgrößten Unternehmen in Nordamerika, den APAC-Staaten und in Europa – darunter 259 Entscheidungsträger in Deutschland – befragt wurden, zeigt, dass die angewandten Datenlösch-Verfahren am Lebensende von IT-Geräten in jedem dritten Unternehmen in Deutschland erhebliche Sicherheitsrisiken aufweisen. Ursächlich für diese Risiken sind u. a.:

Der Einsatz unzureichender Verfahren zum Entfernen von Daten – 32 Prozent der Unternehmen nutzen nach eigenen Angaben Methoden wie das Formatieren, das Überschreiben mithilfe kostenloser oder kostenpflichtiger Software-Tools ohne entsprechende Zertifizierung oder die physische Zerstörung (sowohl Entmagnetisierung als auch Schreddern) ohne Audit-Trail. Diese Verfahren bieten keine vollständige Sicherheit. D. h., dass für Unternehmen ein potenzielles Restrisiko für Sicherheitslücken und Compliance-Verstöße besteht.

Das Horten ausgemusterter Speichergeräte in großen Mengen und das Fehlen eines klaren Konzepts für einen angemessenen Umgang mit diesen Geräten innerhalb eines festen Zeitfensters – 78 Prozent der Unternehmen in Deutschland haben eingeräumt, massenhaft ausrangierte Geräte einzulagern. Dies ist der höchste Anteil aller Länder, in denen die Umfrage durchgeführt wurde. Lediglich 11 Prozent der befragten Unternehmen gaben an, Datenträger unmittelbar nach Außerbetriebnahme zu löschen. Im Gegensatz dazu benötigen 74 Prozent dafür nach eigenen Angaben mehr als zwei Wochen, was das Risiko von Datenschutzverletzungen und Datenverlust im Unternehmen erhöht.

Das Fehlen einer klaren Chain-of-Custody mit einem entsprechenden Audit-Trail für IT-Geräte, die ihr Lebensende erreicht haben, einschließlich der beweissicheren Dokumentation des Transports zu einer externen Anlage, in der die Geräte vernichtet werden – ein Fünftel (20 Prozent) der Unternehmen in Deutschland verfügt nach eigenen Angaben nicht über einen Audit-Trail für die physische Zerstörung, und 32 Prozent haben zugegeben, nicht die Seriennummern der Festplatten zu erfassen. Diese Defizite bei der Chain-of-Custody bedeuten für die betreffenden Unternehmen ein hohes Risiko für Datenschutzverletzungen und Compliance-Verstöße.

Darüber hinaus zeigt die Studie, dass 20 Prozent der Unternehmen in Deutschland bei der Entsorgung ihrer Altgeräte auf die physische Zerstörung setzen, indem sie diese entmagnetisieren oder in einem Schredder zerkleinern lassen. Allerdings bietet gerade das Schreddern nicht immer einen zertifizierten Audit-Trail für die gesamte Chain-of-Custody.

"Die Unternehmen in Deutschland machen sich eindeutig Gedanken um die Daten, wenn IT-Geräte ihr Lebensende erreichen. Aber trotz des Wissens um die bestehenden Risiken wählen viele einen unzureichenden Ansatz beim Schutz ihres Unternehmens", so Fredrik Forslund, Vice President, Enterprise and Cloud Erasure Solutions bei Blancco. "Dies deutet innerhalb der Branchen und unter den Führungskräften in Deutschland auf ein enormes und besorgniserregendes Wissensdefizit hinsichtlich der Sicherheits- und Compliance-Implikationen der physischen Zerstörung und der Aufbewahrung von Altgeräten hin."

Weitere wichtige Erkenntnisse zu Unternehmen in Deutschland:
Ein Fünftel (20 Prozent) der Unternehmen in Deutschland unterscheidet beim Löschen von Festplatten nicht zwischen SSDs und HDDs, sondern nutzt dafür ein und dasselbe Verfahren. Dies birgt das Risiko, dass die Datenträger nicht vollständig von allen Daten bereinigt und dass nicht alle Branchenstandards zum Löschen von Daten eingehalten werden.

Darüber hinaus haben die befragten Unternehmen angegeben, dass 20 Prozent ihrer IT-Geräte einfach im Unternehmen aufbewahrt werden, ohne die darauf befindlichen Daten zu löschen. Dies offenbart eine gravierende Sicherheitslücke, die umgehend geschlossen werden sollte.

Wichtigste Erkenntnisse auf internationaler Ebene:
Viele der weltweit befragten Unternehmen setzen eine Vielzahl unterschiedlicher Verfahren zum Entfernen von Daten ein. Insgesamt 17 Prozent setzen auf die physische Zerstörung (sowohl Entmagnetisierung als auch Schreddern), 13 Prozent nutzen kryptografisches Löschen/Verschlüsselung, 12 Prozent bedienen sich der Formatierung, 8 Prozent nutzen eine kostenlose Überschreibungssoftware und 7 Prozent eine kostenpflichtige Software zum Überschreiben, bei der jedoch eine entsprechende Zertifizierung der Datenlöschung fehlt. Besonders besorgniserregend ist allerdings, dass 4 Prozent überhaupt kein Verfahren zum Löschen von Daten anwenden.

Ein beunruhigend hoher Anteil von 80 Prozent der weltweit befragten Unternehmen hat zugegeben, massenhaft aussortierte Geräte im Unternehmen zu horten. Darüber hinaus lassen viele Unternehmen diese Geräte eine Zeit lang ungenutzt liegen. Nur 13 Prozent der Unternehmen haben angegeben, die Datenträger unmittelbar nach ihrer Außerbetriebnahme zu löschen, wohingegen 57 Prozent dazu nach eigenen Angaben mehr als zwei Wochen benötigen. Dies erhöht das Risiko von Datenschutzverletzungen und Datenverlust in Unternehmen.

Knapp drei Viertel (73 Prozent) der befragten Unternehmen haben bei der Frage nach den größten Sicherheitsbedenken im Zusammenhang mit End-of-Life-Geräten zugestimmt, dass sie allein die Fülle der unterschiedlichen Geräte anfällig für Datenschutzverletzungen macht. Außerdem haben 68 Prozent angegeben, sehr besorgt wegen der Gefahr einer möglichen Datenschutzverletzung aufgrund von Daten auf Altgeräten zu sein.

Methodik:
Die Primärerhebung wurde von der Blancco Technology Group in Auftrag gegeben und im August 2019 von Coleman Parkes durchgeführt. Die Stichprobe bestand aus insgesamt 1.850 Entscheidungsträgern – darunter Heads of Compliance, CFOs, Financial Directors, ITAMs, CISOs, IT Security VPs, Datenschutzbeauftragte und Heads of Operations – aus ebenso vielen Unternehmen und Einrichtungen mit mehr als 5.000 Mitarbeitern. Die Stichprobenziehung erfolgte im Vereinigten Königreich, in den Vereinigten Staaten, in Kanada, Deutschland, Frankreich, Japan, Indien, Singapur und Australien. Dabei wurden verschiedene vertikale Märkte berücksichtigt: Gesundheitswesen, öffentlicher Sektor, Pharmaindustrie, Finanzwesen, Technologie, Verteidigung, Rechtswesen, produzierendes Gewerbe, Energie, Transport/Verkehr und Beratung.
(Blancco Technology Group: ra)

eingetragen: 11.12.19
Newsletterlauf: 04.03.20

Blancco Technology Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Panda: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.