Datenlöschung und sichere Entsorgung

Daten sicher zu erzeugen, zu sichern und zu archivieren ist die eine Seite. Die andere – und mindestens genauso wichtige – ist: Daten sicher zu löschen. Wenn ein Server ausgemustert wird, eine Festplatte zur Reparatur geht, ein Mitarbeiter den Laptop zurückgibt oder ein Backup-Tape entsorgt wird – was passiert mit den Daten darauf? Wer das nicht beachtet, riskiert Datendiebstahl, DSGVO-Strafen und Imageschäden.

Diese Lektion erklärt die Grundlagen: warum „Löschen" nicht gleich Löschen ist, welche Methoden tatsächlich sicher sind, was die DIN 66399 definiert, wie SSDs sich von Festplatten unterscheiden, und welche DSGVO-Pflichten zu beachten sind. Pflicht-Wissen für FISI – im Berufsalltag begegnet dir das Thema bei jeder Hardware-Aussonderung.

1) Das Grundproblem: was passiert beim „Löschen"?

Wenn du auf deinem Computer eine Datei in den Papierkorb wirfst und ihn leerst, ist sie weg – glaubst du. Tatsächlich ist sie meistens noch da. Das Betriebssystem markiert den Speicherbereich nur als „frei", löscht aber die Daten selbst nicht. Sie bleiben physisch auf der Festplatte, bis irgendwann etwas anderes drüber geschrieben wird – was Tage, Monate oder nie passieren kann.

Genauso bei Formatieren: ein „Quick Format" löscht nur das Inhaltsverzeichnis (Dateisystem), die Daten selbst bleiben unberührt. Mit kostenlosen Recovery-Tools wie PhotoRec, Recuva oder TestDisk kann jeder unsicher gelöschte Daten in Minuten wiederherstellen.

Mythos vs. Realität beim Löschen

❌ Mythos Verbreiteter Irrtum

„Wenn ich eine Datei lösche und den Papierkorb leere, ist sie weg."

✓ Realität Was wirklich passiert

Datei-Eintrag im Dateisystem wird entfernt. Datenblöcke bleiben physisch vorhanden, lesbar mit Recovery-Tools.

❌ Mythos Verbreiteter Irrtum

„Quick Format löscht alle Daten von der Festplatte."

✓ Realität Was wirklich passiert

Nur Filesystem-Strukturen werden zurückgesetzt. Datenbereich bleibt unverändert.

❌ Mythos Verbreiteter Irrtum

„Festplatte zerkratzt oder zerbrochen = Daten weg."

✓ Realität Was wirklich passiert

Forensische Datenwiederherstellung kann selbst aus stark beschädigten Platten lesen. Nur vollständige Magnetfeld-Zerstörung hilft.

Pentest-Studien zeigen: Auf gebraucht gekauften Festplatten bei eBay sind in über 40% der Fälle noch sensible Daten lesbar – Kundenlisten, Gehaltsabrechnungen, E-Mails. Wer Hardware unsicher entsorgt, schenkt Angreifern Daten.

2) DIN 66399: der deutsche Standard für Datenträgervernichtung

In Deutschland gibt es eine eigene Norm dafür: DIN 66399. Sie ersetzte 2012 die ältere DIN 32757 und definiert sieben Sicherheitsstufen für die Vernichtung von Datenträgern. Je sensibler die Daten, desto höher die geforderte Stufe.

Die Norm unterscheidet außerdem zwischen Schutzklassen (1, 2, 3 – wie viele Personen dürfen die Daten kennen?) und Materialklassen (P für Papier, F für Film, O für optische Medien, T für magnetische Medien, H für Festplatten, E für elektronische Datenträger wie SSDs/USB-Sticks). Für IT relevant sind besonders H und E.

DIN 66399 Sicherheitsstufen (Auszug für H/E)

Stufe

Sicherheits-Anforderung

Beispiel-Daten

Max. Partikelgröße H/E

Allgemeine Daten

öffentliche Dokumente

2.000 mm²

Interne Daten

Telefonlisten, Memos

800 mm²

Vertrauliche Daten

Personalakten, Verträge

320 mm²

Besonders sensibel

Gesundheitsdaten, DSGVO

160 mm²

Geheim

Geschäftsgeheimnisse

30 mm²

Streng geheim

Forschung, Patente

10 mm²

Höchste Geheimhaltung

Geheimdienst, Militär

5 mm² + Pulverisierung

Für typische Unternehmensdaten ist Stufe 3 oder 4 ausreichend. Bei besonders schützenswerten Daten (Gesundheit, Finanzen) Stufe 4 oder 5. Stufe 7 ist Behörden vorbehalten. Die Norm wird von professionellen Aktenvernichtern (z.B. REISSWOLF, Rhenus) eingehalten, die Zertifikate ausstellen.

3) Die Methoden im Überblick

Es gibt verschiedene Verfahren zur sicheren Datenlöschung. Jedes hat seine Berechtigung – Wahl hängt vom Medium, der Sicherheitsstufe und der Wiederverwendbarkeit ab:

Methoden zur Datenvernichtung

1. Überschreiben (Wiping) Wiederverwendbar

Die Festplatte wird mehrfach mit Nullen, Einsen oder Zufallsdaten überschrieben. Software-Lösungen wie shred, DBAN, Boot-CDs. Standards: DoD 5220.22-M (3 Passes), BSI VSITR (7 Passes), NIST 800-88 (1 Pass mit Verifikation reicht heute).

✓ Gut für: HDDs zur Wiederverwendung, große Mengen

✗ Schlecht für: defekte HDDs, SSDs (siehe unten), bedingt verlässlich bei modernen Drives

2. Degaussen (Entmagnetisieren) Zerstörend

Starkes Magnetfeld zerstört die magnetische Ausrichtung auf der Platte. Effektiv bei HDDs und Tapes. Platte ist danach unbrauchbar. Spezialgeräte (Degausser) kosten ab 5.000 €.

✓ Gut für: HDDs, Tapes – auch defekte

✗ Schlecht für: SSDs (keine Magnete!), optische Medien, Wiederverwendung

3. Schreddern (mechanische Zerstörung) Zerstörend

Datenträger wird mechanisch zerkleinert. Partikelgröße entsprechend DIN 66399. Für Festplatten gibt's spezielle Industrieschredder, die ganze Platten in Späne verwandeln. Für höchste Stufen wird zusätzlich pulverisiert.

✓ Gut für: alle Medien, höchste Sicherheit, defekte Hardware

✗ Schlecht für: Wiederverwendung, Umwelt (Recycling beachten)

4. Crypto Erase Wiederverwendbar

Bei verschlüsselten Datenträgern wird einfach der Krypto-Schlüssel gelöscht. Die Daten sind weiterhin auf der Platte, aber ohne Schlüssel mathematisch nicht lesbar. Sehr schnell (Sekunden), funktioniert auch für riesige Storage-Systeme. Voraussetzung: Daten waren von Anfang an verschlüsselt.

✓ Gut für: SSDs, Self-Encrypting Drives, Cloud-Storage, riesige Datenmengen

✗ Schlecht für: unverschlüsselte Datenträger, sehr alte Verschlüsselung

5. Hersteller-spezifisch (ATA Secure Erase) Wiederverwendbar

ATA-Standard-Kommando, das die Drive-Firmware anweist, intern alle Speicherbereiche zu löschen – auch Reserveblöcke und Wear-Leveling-Bereiche, die externe Tools nicht erreichen. Goldstandard für SSDs. Mit Linux-Tool hdparm ausführbar.

✓ Gut für: SSDs (besonders), moderne HDDs

✗ Schlecht für: alte Drives ohne Befehlsunterstützung, USB-Sticks (nicht standardisiert)

In der Praxis kombinierst du Methoden: SSDs mit Secure Erase, HDDs mit Überschreiben oder Degaussen, defekte Hardware schreddern. Bei sehr sensiblen Daten oft Crypto Erase + Überschreiben + Schreddern – Belt-and-Suspenders-Ansatz.

4) Überschreiben in der Praxis

Schauen wir uns konkret an, wie das Überschreiben unter Linux funktioniert. Mit dem Tool shred kannst du einzelne Dateien oder ganze Geräte überschreiben:

secure-erase.shBash

1# Eine einzelne Datei sicher löschen
2# -u: nach dem Überschreiben löschen, -z: am Ende mit Nullen
3shred -uvz -n 3 geheim.pdf
4
5# Komplette Festplatte überschreiben (Vorsicht – endgültig!)
6# Achtung: Pfad genau prüfen, nicht versehentlich Systemplatte!
7sudo shred -vfz -n 3 /dev/sdb
8
9# Alternative: dd mit Zufallsdaten (1 Pass)
10sudo dd if=/dev/urandom of=/dev/sdb bs=4M status=progress
11
12# Mit Nullen überschreiben (schneller als urandom)
13sudo dd if=/dev/zero of=/dev/sdb bs=4M status=progress

Für ganze Festplatten ist DBAN (Darik's Boot and Nuke) ein beliebtes Tool – ein bootfähiges Image, das man von USB-Stick startet und das automatisch alle erkannten Platten überschreibt. Achtung: für SSDs nicht empfohlen (siehe nächster Abschnitt). DBAN wird seit Jahren nicht mehr aktiv gepflegt – Alternativen sind ShredOS oder kommerzielle Tools wie Blancco mit Audit-Trail.

5) SSDs: die Besonderheit

SSDs verhalten sich beim Löschen komplett anders als HDDs. Das hat technische Gründe und macht die altbewährten Methoden problematisch:

HDD vs SSD beim sicheren Löschen

💿 HDD ↻

Magnetische Platte: Daten an festen Adressen. Überschreiben funktioniert: was an Block 1234 geschrieben wird, ersetzt vorherigen Inhalt an Block 1234.

⚙ Standards funktionieren: shred, DBAN, dd

⚡ SSD ⚡

Flash-Speicher mit Wear-Leveling: Logische Adresse ≠ physische Adresse. Beim Überschreiben schreibt die Firmware woanders hin, um die Zellen gleichmäßig zu nutzen. Alte Daten bleiben oft in Reserveblöcken stehen.

⚙ Überschreiben unzuverlässig · ATA Secure Erase nutzen

Für SSDs der Königsweg: ATA Secure Erase oder NVMe Format. Diese Hersteller-Kommandos weisen die SSD intern an, alle Speicherbereiche zu löschen, inklusive Reserveblöcken und Wear-Leveling-Pools. Externe Software hat darauf keinen Zugriff.

6) ATA Secure Erase für SSDs

Der Befehl wird über die SATA-Schnittstelle an die SSD geschickt. Mit Linux:

ata-secure-erase.shBash

1# 1. Prüfen ob das Drive Secure Erase unterstützt
2sudo hdparm -I /dev/sda | grep -i security
3
4# 2. Drive ist meist "frozen" durch BIOS – kurz suspenden hilft
5sudo systemctl suspend  # danach mit Power-Knopf aufwecken
6
7# 3. Master-Passwort setzen (Voraussetzung für Erase)
8sudo hdparm --user-master u --security-set-pass PASSWD /dev/sda
9
10# 4. Secure Erase ausführen
11sudo hdparm --user-master u --security-erase PASSWD /dev/sda
12
13# Für NVMe-SSDs: nvme-cli verwenden
14sudo nvme format /dev/nvme0n1 --ses=1  # 1 = User Data Erase
15sudo nvme format /dev/nvme0n1 --ses=2  # 2 = Crypto Erase (wenn unterstützt)

Wichtig: Test immer mit Testdaten bevor du es scharf einsetzt. Manche Drives reagieren komisch auf Secure Erase, im schlimmsten Fall sind sie danach defekt. Hersteller-Tools (Samsung Magician, Crucial Storage Executive, Intel SSD Toolbox) sind oft sicherer.

7) Cloud-Daten und Crypto Erase

In der Cloud ist physisches Schreddern keine Option. Du hast keinen Zugriff auf die Hardware. Cloud-Provider lösen das Problem mit Crypto Erase: alle Daten werden bei der Speicherung verschlüsselt (oft mit kundenspezifischem Key). Beim Löschen wird einfach der Schlüssel verworfen – die Daten sind mathematisch unwiederherstellbar.

Bei AWS heißt das z.B. KMS (Key Management Service). Wenn du einen Schlüssel löschst, sind alle damit verschlüsselten Objekte effektiv weg. Bei Azure entsprechend Azure Key Vault. Wichtig: das funktioniert nur wenn die Verschlüsselung von Anfang an aktiviert war. Eine unverschlüsselte Datei in S3, die du löscht, kann theoretisch in Provider-Backups noch lange existieren.

Für DSGVO-Compliance fragen viele Datenschutzbeauftragte mittlerweile gezielt: „Wie stellen Sie sicher, dass ein Crypto-Erase-Auftrag tatsächlich greift?" – Cloud-Provider haben dazu meist Whitepapers und Audit-Berichte.

8) DSGVO und die Pflicht zur Datenlöschung

Die DSGVO (siehe K05) verschärft die Datenlöschungs-Anforderungen massiv. Drei zentrale Artikel sind hier wichtig:

DSGVO-Pflichten zur Datenlöschung

Strafen bei Verstößen: bis zu 20 Millionen Euro oder 4% des Jahresumsatzes (je nachdem was höher ist). Praktische Fälle: Unternehmen wurden mit hohen Bußgeldern belegt, weil ausgemusterte Festplatten mit Kundendaten weiterverkauft wurden.

9) Konflikt: Backups und „Recht auf Vergessenwerden"

Ein praktisches Problem: ein User verlangt die Löschung seiner Daten nach Art. 17 DSGVO. Die Live-Datenbank ist kein Problem – ein DELETE oder ein Anonymisierungs-Skript erledigt das. Aber was ist mit den Backups der letzten 12 Monate? Müssen die alle aufgemacht und der User darin gelöscht werden? Das wäre praktisch unmöglich.

Die Aufsichtsbehörden haben dazu eine pragmatische Linie entwickelt:

Backups müssen nicht aktiv durchsucht und einzelne User gelöscht werden
Aber: Backups werden bei Wiederherstellung nicht ungeprüft reproduziert. Nach Restore muss die Löschung erneut vollzogen werden.
Der Aufbewahrungszeitraum von Backups muss begrenzt sein – „ewig aufheben" geht nicht
Ein Löschkonzept muss dokumentieren, wie die Löschung in Backups behandelt wird

Typische Lösung: GFS-Rotation mit max. 1 Jahr Backup-Aufbewahrung (außer für gesetzlich vorgeschriebene Archive). Dadurch „verfällt" die Daten-Persistenz natürlich. Kombiniert mit dokumentierten Prozessen für Restore-Fälle.

10) Hardware-Aussonderung: der typische Prozess

Wenn ein Server, Laptop oder eine Festplatte ausgemustert wird, läuft folgender Prozess. Diesen solltest du als FISI im Schlaf können:

Workflow Hardware-Aussonderung

Inventarisierung

Welche Hardware wird ausgemustert? Seriennummer, Asset-Tag, vorheriger User, Datenkategorie auf dem Gerät. Im Asset-Management-System aktualisieren.

Daten-Klassifizierung

Welche Datenkategorien waren auf der Hardware? Daraus ergibt sich die nötige DIN-Stufe (3 für vertraulich, 4 für besonders sensibel etc.).

Methode wählen

Funktioniert die Hardware noch? → Wiping (Wiederverwendung) oder Schreddern (Entsorgung). Defekt? → Schreddern oder Degaussen.

Datenlöschung durchführen

Selbst durchführen (intern) oder zertifiziertem Dienstleister übergeben. Bei Dienstleister: nur an zertifizierte Firmen geben (z.B. ISO 27001, DIN 66399-zertifiziert).

Vernichtungsprotokoll

Schriftlicher Nachweis: was wurde wann von wem nach welchem Verfahren vernichtet? Bei externen Dienstleistern: Zertifikat anfordern.

Wiederverwendung oder Recycling

Wiederverwendbare Geräte intern wiederverteilen oder verkaufen (mit ordentlich gelöschten Datenträgern!). Defekte Hardware umweltgerecht recyceln (Elektroschrott-Vorschriften).

Inventar abschließen

Hardware aus dem aktiven Bestand entfernen, Vernichtungsdatum eintragen. Bei Audits muss nachweisbar sein wo jedes Gerät hingegangen ist.

Bei zertifizierten Dienstleistern bekommst du ein Vernichtungszertifikat mit Seriennummer und Stufe nach DIN 66399. Dieses ist dein Nachweis bei Audits und für DSGVO-Dokumentation. Mindestens 3 Jahre aufbewahren.

11) Typische Fehler bei der Datenentsorgung

Auch hier gibt's klassische Anti-Patterns, die regelmäßig zu Datenpannen führen:

Festplatten einfach in den Müll werfen: Recycler durchsuchen Container, Daten landen im Internet
Laptops mit Festplatte verkaufen: gerne bei eBay – mit komplettem User-Profil
Quick-Format als Löschung verstehen: Recovery-Tools holen alles wieder
SSDs überschreiben statt Secure Erase: Reserveblöcke nicht erreicht
Defekte Hardware ohne Vernichtungsnachweis weggeben: kein Zertifikat = im Audit problematisch
Backup-Tapes wegwerfen: oft mit hochsensiblen Altdaten – Schreddern Pflicht
USB-Sticks/SD-Karten in der Schublade vergessen: kommen Jahre später irgendwo auf
Vernichtung ohne Vier-Augen-Prinzip: bei sehr sensiblen Daten besser zu zweit
Externe Dienstleister ohne Zertifizierung: kein Nachweis, was wirklich passiert ist
Drucker und Kopierer übersehen: enthalten Festplatten mit Druckhistorie!

Der letzte Punkt überrascht viele: moderne Multifunktionsgeräte haben oft 40-500 GB Festplatten, auf denen Scans und Drucke zwischengespeichert werden. Bei Aussonderung müssen diese genauso behandelt werden wie Server-Festplatten.

12) Aufbewahrungspflichten beachten

Bevor du Daten löschst, prüfe: gibt es gesetzliche Aufbewahrungspflichten, die das verhindern? Wichtige Fristen in Deutschland:

Datenkategorie	Aufbewahrungsfrist	Grundlage
Buchhaltungsbelege (GoBD)	10 Jahre	AO § 147, HGB § 257
Geschäftsbriefe	6 Jahre	HGB § 257
Lohnabrechnungen	6 Jahre	EStG, SGB
Medizinische Aufzeichnungen	30 Jahre nach letztem Kontakt	BGB § 630f
Bewerbungsunterlagen (abgelehnt)	Max. 6 Monate	AGG, DSGVO
E-Mail-Korrespondenz	Je nach Inhalt (oft 6-10 Jahre)	HGB, AO
Bauunterlagen	5-10 Jahre	Landesbauordnungen

Der Konflikt zwischen DSGVO („nicht länger als nötig") und Aufbewahrungspflichten („mindestens 10 Jahre") wird meist so gelöst: Daten werden aus dem Live-System entfernt, aber in einem Archiv mit beschränkten Zugriffsrechten und Lösch-Trigger nach Ablauf der Frist gespeichert.

13) Spezialfall: Cloud und Container

In modernen Setups gibt's noch weitere Aspekte zu beachten:

Cloud-Snapshots: bei AWS EBS, Azure Disks etc. werden Snapshots nicht automatisch mit dem Volume gelöscht. Aufräumen!
Container-Images: ein Docker-Image kann sensible Daten enthalten (Logs, Konfigurationen). Aus Registries explizit löschen.
S3-Versioning: bei versionierten Buckets reicht ein „Delete" nicht – die alte Version bleibt. „Lifecycle Policy" oder explizit alle Versionen löschen.
Git-Repositories: einmal gepushte Secrets sind in der History für immer. git filter-branch oder BFG Repo-Cleaner nötig, plus alle Klone informieren.
Backup-Repositories: nach Lösch-Anfrage muss der Lebenszyklus der Backups dokumentiert sein

14) Checkliste für sichere Datenlöschung

Zum Abschluss eine Mini-Checkliste, die du bei jeder Hardware-Aussonderung durchgehen kannst:

Wer ist Verantwortlich für die Löschung? (Asset-Owner, IT, Datenschutz)
Welche Datenkategorien sind auf dem Medium? (Klassifizierung nach Sensibilität)
Welche DIN-66399-Stufe ist nötig?
Funktioniert die Hardware noch oder ist sie defekt?
Wiederverwendung geplant oder Entsorgung?
HDD, SSD, Tape, optisches Medium? (verschiedene Methoden!)
Methode gewählt: Wiping, Crypto Erase, Degaussen, Schreddern?
Tool/Dienstleister verfügbar und zertifiziert?
Vernichtungsprotokoll erstellt und archiviert?
Asset-System aktualisiert?
Aufbewahrungspflichten beachtet? (nicht zu früh löschen)
DSGVO-Lösch-Konzept befolgt? (nicht zu spät löschen)

Zusammenfassung

„Löschen" ≠ Löschen: Papierkorb leeren und Quick Format hinterlassen Daten lesbar. Recovery-Tools wie PhotoRec/Recuva holen sie zurück. DIN 66399 definiert 7 Sicherheitsstufen für Datenträgervernichtung – typischerweise Stufe 3-4 für Unternehmen, Stufe 5+ für streng vertraulich. Methoden: Überschreiben/Wiping (shred, DBAN, DoD/BSI-Standards – nur HDD), Degaussen (magnetisches Löschen, HDDs/Tapes), Schreddern (mechanisch, alle Medien, höchste Sicherheit), Crypto Erase (Schlüssel löschen, schnell, für SSDs/Cloud), ATA Secure Erase (Firmware-Befehl, Goldstandard für SSDs). SSDs brauchen Secure Erase wegen Wear-Leveling – Überschreiben unzuverlässig. DSGVO: Art. 17 Recht auf Löschung (Frist 1 Monat), Art. 5 Speicherbegrenzung, Art. 32 angemessene Sicherheit. Strafen bis 20 Mio € / 4% Jahresumsatz. Backup-Konflikt: Backups müssen nicht aktiv durchsucht werden, aber Aufbewahrung begrenzen + dokumentieren. Hardware-Aussonderung: Inventarisierung → Klassifizierung → Methode → Löschung → Protokoll → Recycling → Inventar abschließen. Aufbewahrungspflichten: 10 Jahre Buchhaltung (GoBD), 6 Jahre Geschäftsbriefe, 30 Jahre medizinisch. Achtung bei Druckern (haben Festplatten!), Cloud-Snapshots, Container-Images, Git-History.

Datenlöschung und sichere Entsorgung

1) Das Grundproblem: was passiert beim „Löschen"?

2) DIN 66399: der deutsche Standard für Datenträgervernichtung

3) Die Methoden im Überblick

4) Überschreiben in der Praxis

5) SSDs: die Besonderheit

6) ATA Secure Erase für SSDs

7) Cloud-Daten und Crypto Erase

8) DSGVO und die Pflicht zur Datenlöschung

9) Konflikt: Backups und „Recht auf Vergessenwerden"

10) Hardware-Aussonderung: der typische Prozess

11) Typische Fehler bei der Datenentsorgung

12) Aufbewahrungspflichten beachten

13) Spezialfall: Cloud und Container

14) Checkliste für sichere Datenlöschung

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title