Der Datenfriedhof: Ein CISO-Leitfaden für regelkonforme, auditierbare Datenentsorgung

Maria, CISO eines schnell wachsenden Fintech-Unternehmens, spürte ein vertrautes Ziehen in der Magengegend. Das externe GDPR-Audit stand in sechs Wochen an, und eine routinemäßige Prüfung des Asset-Inventars hatte gerade ein Relikt aus der Vergangenheit des Unternehmens zutage gefördert: einen verschlossenen Lagerraum im alten Bürogebäude, gefüllt mit außer Betrieb genommenen Servern, verstaubten Backup-Bändern und Stapeln alter Mitarbeiter-Laptops. Der „Datenfriedhof“, wie ihr Team ihn mit Galgenhumor nannte, war kein vergessenes Problem mehr. Er war eine tickende Compliance-Bombe.

Welche sensiblen Kundendaten, welches geistige Eigentum oder welche personenbezogenen Daten lagen noch auf diesen Laufwerken? Wurde etwas davon ordnungsgemäß bereinigt? Gab es überhaupt Aufzeichnungen, die das belegen konnten? Das Fehlen von Antworten war die eigentliche Bedrohung. In der Informationssicherheit gilt: Was Sie nicht wissen, kann Ihnen schaden – und wird es häufig auch.

Dieses Szenario ist nicht auf Maria beschränkt. Für zahllose CISOs, Compliance-Verantwortliche und Führungskräfte stellen Altdaten ein erhebliches, nicht quantifiziertes Risiko dar. Sie sind ein stilles Haftungsrisiko, das die Angriffsfläche vergrößert, Betroffenenanfragen erschwert und für Auditoren ein Minenfeld schafft. Die Kernfrage ist einfach, aber in der Praxis anspruchsvoll: Was tun Sie mit sensiblen Daten, die Sie nicht mehr benötigen? Die Antwort lautet nicht einfach: „Löschen“. Es geht darum, einen belastbaren, wiederholbaren und auditierbaren Prozess für das Informationslebenszyklusmanagement aufzubauen – von der Erstellung bis zur sicheren Vernichtung.

Hohe Risiken durch Datenhortung

Daten „für alle Fälle“ unbegrenzt aufzubewahren, ist ein Überbleibsel aus einer vergangenen Zeit. Heute ist dies nachweislich eine gefährliche Strategie. Sensible Daten, die über ihre nutzbare oder erforderliche Lebensdauer hinaus bestehen bleiben, setzen Ihre Organisation zahlreichen Bedrohungen aus – von Sanktionen wegen Non-Compliance und Datenschutzverletzungen bis zu unbeabsichtigtem Datenabfluss und sogar Ransomware-Erpressung.

Das Aufbewahren von Daten über ihre Aufbewahrungsfrist hinaus schafft mehrere kritische Risiken:

• Non-Compliance: Aufsichtsbehörden gehen zunehmend gegen unnötige Datenaufbewahrung vor. Ein Datenfriedhof verstößt unmittelbar gegen Datenschutzgrundsätze und kann zu erheblichen Bußgeldern führen.
• Erhöhte Auswirkung von Sicherheitsverletzungen: Kommt es zu einer Sicherheitsverletzung, wird jedes Stück Altdaten, das Sie aufbewahren, zum Haftungsrisiko. Wenn ein Angreifer fünf Jahre alte Kundendaten exfiltriert, ist der Schaden um ein Vielfaches größer als bei der Exfiltration eines einzigen Jahresbestands.
• Betriebliche Ineffizienz: Das Verwalten, Absichern und Durchsuchen großer Mengen irrelevanter Daten bindet Ressourcen, verlangsamt Systeme und macht die Erfüllung von Löschanträgen nach GDPR nahezu unmöglich.

Viele Organisationen glauben irrtümlich, dass Daten verschwinden, wenn sie auf „Löschen“ klicken oder einen Datenbankeintrag entfernen. Das ist selten der Fall; verbleibende Datenreste bleiben in physischen, virtuellen und Cloud-Umgebungen zurück.

Regulatorische Vorgaben: Das Ende von „Für immer aufbewahren“

Die Regeln haben sich geändert. Eine Konvergenz globaler Vorschriften verlangt ausdrücklich, dass personenbezogene und sensible Informationen nur so lange aufbewahrt werden, wie es erforderlich ist, und nach Ablauf dieser Frist sicher gelöscht werden. Dies ist keine Empfehlung, sondern eine gesetzliche und betriebliche Vorgabe.

Clarysecs Zenith Blueprint: 30-Schritte-Roadmap für Auditoren fasst die regulatorienübergreifende Pflicht zur sicheren Datenentsorgung zusammen:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Verlangt, dass personenbezogene Daten nicht länger als erforderlich aufbewahrt werden, unterstützt das Recht auf Löschung („Recht auf Vergessenwerden“) und schreibt eine sichere Löschung vor, wenn die Daten nicht mehr benötigt werden.
✓ NIS2 Article 21(2)(a, d): Verlangt risikobasierte technische und organisatorische Maßnahmen, um sicherzustellen, dass Daten sicher gelöscht werden, wenn sie nicht mehr erforderlich sind.
✓ DORA Article 9(2)(a–c): Verlangt den Schutz sensibler Informationen über ihren gesamten Lebenszyklus hinweg, einschließlich sicherer Vernichtung.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Behandelt sichere Datenlöschung, Vernichtung von Medien und Entfernung von Informations-Assets am Ende der Lebensdauer.
✓ ITAF 4th Edition – Domain 2.1.6: Verlangt Nachweise für sichere Datenvernichtung und Entsorgung im Einklang mit gesetzlichen und regulatorischen Verpflichtungen.

Das bedeutet: Ihre Organisation muss über dokumentierte, durchgesetzte und auditierbare Prozesse für das Löschen von Daten verfügen. Dies gilt nicht nur für Papierunterlagen oder Festplatten, sondern für jeden Bereich Ihrer digitalen Umgebung, einschließlich Cloud-Speicher, Backups, Anwendungsdaten und Dritter.

Von Chaos zu Kontrolle: Aufbau eines richtliniengesteuerten Entsorgungsprogramms

Der erste Schritt zur Entschärfung der Datenfriedhof-Bombe besteht darin, ein klares, verbindliches Rahmenwerk zu schaffen. Ein belastbares Entsorgungsprogramm beginnt nicht mit Aktenvernichtern und Entmagnetisierungsgeräten, sondern mit einer klar definierten Richtlinie. Dieses Dokument dient als einzige verbindliche Quelle für die gesamte Organisation und bringt Fachbereiche, Rechtsabteilung und IT auf einen gemeinsamen Stand dazu, wie Daten verwaltet und vernichtet werden.

Clarysecs Richtlinie zur Datenaufbewahrung und Entsorgung bietet hierfür eine Vorlage. Eines ihrer Kernziele ist in Richtlinienklausel 3.1 klar formuliert:

„Sicherzustellen, dass Daten nur so lange aufbewahrt werden, wie dies gesetzlich, vertraglich oder betrieblich erforderlich ist, und sicher entsorgt werden, sobald sie nicht mehr benötigt werden.“

Diese einfache Aussage verschiebt die organisatorische Grundhaltung von „alles behalten“ zu „nur Erforderliches behalten“. Die Richtlinie etabliert einen formalen Prozess und stellt sicher, dass Entscheidungen nicht willkürlich getroffen, sondern an konkrete Verpflichtungen gebunden werden. Wie Richtlinienklausel 1.2 der Richtlinie zur Datenaufbewahrung und Entsorgung hervorhebt, ist sie darauf ausgelegt, die Umsetzung von ISO/IEC 27001:2022 zu unterstützen, indem sie Kontrolle über die Dauer der Datenspeicherung durchsetzt und Auditbereitschaft sowie die Vorbereitung auf regulatorische Prüfungen sicherstellt.

Für kleinere Organisationen kann eine umfangreiche Unternehmensrichtlinie überdimensioniert sein. Die Richtlinie zur Datenaufbewahrung und Entsorgung für KMU bietet eine schlankere Alternative, die sich auf das Wesentliche konzentriert, wie in Richtlinienklausel 1.1 beschrieben:

„Zweck dieser Richtlinie ist es, durchsetzbare Regeln für die Aufbewahrung und sichere Entsorgung von Informationen in einer KMU-Umgebung festzulegen. Sie stellt sicher, dass Aufzeichnungen nur für die gesetzlich, vertraglich oder geschäftlich erforderliche Dauer aufbewahrt und anschließend sicher vernichtet werden.“

Ob für ein Unternehmen oder ein KMU: Die Richtlinie ist der Eckpfeiler. Sie schafft die Befugnis zum Handeln und das Rahmenwerk, um sicherzustellen, dass Maßnahmen konsistent, belastbar und an Best Practices der Sicherheit ausgerichtet sind.

Umsetzung des Plans: ISO/IEC 27001:2022-Maßnahmen in der Praxis

Mit einer Richtlinie kann Maria deren Grundsätze nun in konkrete Maßnahmen überführen, geleitet von den Maßnahmen in ISO/IEC 27001:2022. Zwei Maßnahmen sind hier maßgeblich:

• Maßnahme 8.10 Löschen von Informationen: Diese Maßnahme verlangt, dass „Informationen, die in Informationssystemen, Geräten oder anderen Speichermedien gespeichert sind, gelöscht werden, wenn sie nicht mehr benötigt werden.“
• Maßnahme 7.14 Sichere Entsorgung oder Wiederverwendung von Geräten: Diese Maßnahme konzentriert sich auf physische Hardware und stellt sicher, dass Speichermedien ordnungsgemäß bereinigt werden, bevor Geräte entsorgt, weiterverwendet oder verkauft werden.

Doch was bedeutet „sicher gelöscht“ tatsächlich? Genau hier trennen Auditoren belastbare Programme von bloßen Behauptungen. Nach dem Zenith Blueprint ist echte Löschung weit mehr als das Verschieben einer Datei in den Papierkorb. Sie umfasst Verfahren, die Daten nicht wiederherstellbar machen:

Bei digitalen Systemen sollte Löschen sichere Löschung bedeuten – nicht nur das Drücken von „Löschen“ oder das Leeren des Papierkorbs. Echte Löschung umfasst:
✓ Überschreiben der Daten (z. B. mit Verfahren nach DoD 5220.22-M oder NIST 800-88),
✓ kryptografische Löschung (z. B. Vernichtung der Verschlüsselungsschlüssel, die zum Schutz der Daten verwendet wurden),
✓ oder den Einsatz von Werkzeugen zur sicheren Löschung vor der Außerbetriebnahme von Geräten.

Für physische Aufzeichnungen empfiehlt der Zenith Blueprint Partikelschnitt-Schreddern, Verbrennung oder die Nutzung zertifizierter Entsorgungsdienste. Diese praxisnahe Anleitung hilft Organisationen, von der Richtlinie zum Verfahren zu gelangen und die konkreten technischen Schritte zu definieren, die zur Erreichung des Maßnahmenziels erforderlich sind.

Ganzheitliche Betrachtung: Das vernetzte Sicherheitsgefüge der Entsorgung

Die Bewältigung des Datenfriedhofs ist keine isolierte Einzelaufgabe. Wirksame Datenentsorgung ist eng mit anderen Sicherheitsbereichen verbunden. Genau hier wird eine ganzheitliche Sicht, wie sie Clarysecs Zenith Controls: Der Leitfaden zur Cross-Compliance bietet, unverzichtbar. Sie wirkt wie ein Kompass und zeigt auf, wie eine Maßnahme von vielen anderen abhängt, um wirksam zu funktionieren.

Betrachten wir Maßnahme 7.14 (Sichere Entsorgung oder Wiederverwendung von Geräten) durch diese Perspektive. Der Leitfaden Zenith Controls zeigt, dass es sich nicht um eine isolierte Tätigkeit handelt. Ihr Erfolg hängt von einem Netz verwandter Maßnahmen ab:

• 5.9 Inventar von Assets: Sie können nichts sicher entsorgen, von dem Sie nicht wissen, dass Sie es besitzen. Marias erster Schritt muss darin bestehen, jeden Server, Laptop und jedes Band in diesem Lagerraum zu inventarisieren. Ein korrektes Asset-Inventar ist die Grundlage.
• 5.12 Klassifizierung von Informationen: Das Entsorgungsverfahren hängt von der Sensibilität der Daten ab. Sie müssen wissen, was Sie vernichten, um die angemessene Bereinigungsstufe auszuwählen.
• 5.34 Datenschutz und Schutz personenbezogener Daten: Geräte enthalten häufig personenbezogene Daten. Der Entsorgungsprozess muss sicherstellen, dass alle personenbezogenen Daten irreversibel vernichtet werden, und ist damit direkt mit Datenschutzpflichten nach Vorschriften wie GDPR verknüpft.
• 8.10 Löschen von Informationen: Diese Maßnahme liefert das „Was“ (Informationen löschen, wenn sie nicht mehr benötigt werden), während 7.14 das „Wie“ für die zugrunde liegenden physischen Medien vorgibt. Sie sind zwei Seiten derselben Medaille.
• 5.37 Dokumentierte Betriebsverfahren: Sichere Entsorgung muss einem definierten, wiederholbaren Prozess folgen, um Konsistenz sicherzustellen und einen Prüfpfad zu erstellen. Ad-hoc-Entsorgungen sind für jeden Auditor ein Warnsignal.

Diese Verflechtung zeigt, dass ein ausgereiftes Sicherheitsprogramm Datenentsorgung nicht als Aufräumaufgabe behandelt, sondern als integrierten Bestandteil seines Informationssicherheitsmanagementsystems (ISMS).

Technischer Deep Dive: Medienbereinigung und unterstützende Standards

Um diese Maßnahmen wirksam umzusetzen, ist es wichtig, die unterschiedlichen Stufen der Medienbereinigung zu verstehen, wie sie in Rahmenwerken wie NIST SP 800-88 beschrieben werden. Diese Verfahren bieten einen abgestuften Ansatz, um Daten entsprechend ihrer Sensibilität nicht wiederherstellbar zu machen.

Die Wahl des richtigen Verfahrens hängt von der Klassifizierung der Daten ab. Hinweise aus spezialisierten Standards sind hierbei äußerst wertvoll. Ein belastbares Programm stützt sich auf ein breites Spektrum unterstützender Rahmenwerke über ISO/IEC 27001:2022 hinaus.

Der Auditor kommt: So weisen Sie nach, dass Ihr Prozess funktioniert

Ein Audit zu bestehen bedeutet nicht nur, das Richtige zu tun; es bedeutet, nachzuweisen, dass Sie das Richtige getan haben. Für Maria heißt das, jeden Schritt des Entsorgungsprozesses für die Assets in ihrem Datenfriedhof zu dokumentieren. Der Zenith Blueprint bietet eine klare Checkliste dessen, was Auditoren für Maßnahme 8.10 (Löschen von Informationen) verlangen werden:

„Stellen Sie Ihre Richtlinie zum Löschen von Informationen bereit … Weisen Sie die technische Durchsetzung durch konfigurierte Aufbewahrungseinstellungen in Ihren Geschäftssystemen nach … Es kann nach Nachweisen für sichere Löschverfahren gefragt werden: Löschen von Datenträgern mit genehmigten Werkzeugen … oder sichere Dokumentenentsorgung. Wenn Sie Daten nach Vertragsablauf löschen … zeigen Sie den Prüfpfad oder das Ticket, das dies bestätigt.“

Um Auditoren zufriedenzustellen, müssen Sie für jedes Entsorgungsereignis ein umfassendes Nachweispaket erstellen. Ein Datenlöschregister ist unverzichtbar.

Beispieltabelle für den Prüfpfad

Auditoren betrachten diesen Prozess aus unterschiedlichen Perspektiven. Der Leitfaden Zenith Controls beschreibt, wie verschiedene Audit-Rahmenwerke den Prozess prüfen:

Häufige Fallstricke und wie Sie sie vermeiden

Selbst mit einer Richtlinie scheitern viele Organisationen bei der Umsetzung. Hier sind typische Fallstricke und wie ein strukturierter Ansatz zu ihrer Lösung beiträgt:

Fazit: Machen Sie aus Ihrem Datenfriedhof einen strategischen Vorteil

Sechs Wochen später führte Maria den GDPR-Auditor durch die Arbeit ihres Teams. Der Lagerraum war leer. An seine Stelle war ein digitales Archiv getreten, das für jedes außer Betrieb genommene Asset eine sorgfältige Dokumentation enthielt: Inventarprotokolle, Datenklassifizierungsberichte, Bereinigungsverfahren und unterzeichnete Vernichtungszertifikate. Was zuvor Anlass zur Sorge war, wurde nun zum Beleg für ausgereiftes Risikomanagement.

Der Datenfriedhof ist ein Symptom einer reaktiven Sicherheitskultur. Ihn zu transformieren erfordert einen proaktiven, richtliniengesteuerten Ansatz. Es verlangt, Datenentsorgung nicht als IT-Aufräumaufgabe zu betrachten, sondern als strategische Sicherheitsfunktion, die Risiken reduziert, Compliance sicherstellt und das Engagement für den Schutz sensibler Informationen belegt.

Bereit, Ihren eigenen Datenfriedhof anzugehen? Beginnen Sie damit, die Grundlage für einen evidenzbasierten, resilienten Ansatz für das Informationslebenszyklusmanagement zu schaffen.

Konkrete nächste Schritte:

1. Grundlage schaffen: Implementieren Sie eine klare und durchsetzbare Richtlinie mithilfe der Vorlagen von Clarysec, etwa der Richtlinie zur Datenaufbewahrung und Entsorgung oder der Richtlinie zur Datenaufbewahrung und Entsorgung für KMU.
2. Ihre Datenlandschaft erfassen: Erstellen und pflegen Sie ein umfassendes Inventar aller Informations-Assets. Sie können nichts entsorgen, von dem Sie nicht wissen, dass Sie es besitzen.
3. Aufbewahrung definieren und durchsetzen: Legen Sie einen formalen Aufbewahrungsplan fest, der jeden Datentyp mit einer gesetzlichen, vertraglichen oder geschäftlichen Anforderung verknüpft, und automatisieren Sie anschließend dessen Durchsetzung.
4. Sichere Entsorgung operationalisieren: Integrieren Sie sichere Lösch- und Bereinigungsverfahren in Ihre Standardbetriebsverfahren für die Außerbetriebnahme von IT-Assets.
5. Alles dokumentieren: Erstellen und pflegen Sie einen revisionssicheren Prüfpfad für jede Entsorgungsmaßnahme, einschließlich Protokollen, Tickets und Zertifikaten von Drittanbietern.
6. Auf Ihre Lieferkette ausweiten: Stellen Sie sicher, dass Ihre Verträge mit Cloud-Anbietern und anderen Lieferanten strenge Anforderungen an sichere Datenentsorgung enthalten, und verlangen Sie Nachweise der Einhaltung.

Jedes Byte unnötiger Daten ist ein Risiko. Gewinnen Sie die Kontrolle zurück, stärken Sie Ihre Compliance, straffen Sie Audits und reduzieren Sie die Exponierung bei Sicherheitsverletzungen.

Kontaktieren Sie uns für eine Demonstration oder erkunden Sie die vollständige Bibliothek von Zenith Blueprint und Zenith Controls, um Ihre Reise zu beginnen.