Elektronik entsorgen (Datenschutz)

Zitat von Ben

Wie kommst du darauf, dass es nicht ginge?

Genau aus dem Grund, der auch im Heise-Artikel erwähnt wird: die Speichercontroller einer SSD haben Zugriff auf mehr Speicher als der Nutzer, um abgenutzte Speicherzellen abzuschalten und auf Reserveblöcke zugreifen zu können. Dieses wear leveling soll sicherstellen, dass die SSD für den Anwender innerhalb der Produktlebensdauer keine Datenverluste und auch keine Verringerung der nominellen Speicherkapazität erleidet. Dafür werden sehr häufig beschriebene Speicherblöcke "kaltgestellt" und dafür Blöcke aus der Reserve aktiviert. Diese ausgeblendeten Speicherblöcke sind für den Nutzer dann nicht mehr zugänglich, können aber sehr wohl noch lesbare Daten, die der Nutzer mal gespeichert hat, enthalten.

Ich muss also dem Hersteller blind vertrauen, dass seine "Reinigungsprogramme" diese Speicherbereiche wirklich erreichen und auch löschen. Nachprüfen kann ich das nicht. Eine Statusmeldung "100% Speicher inklusive Reservezellen sicher gelöscht" sind zwei Zeilen Programmcode und kein Beweis, dass die Daten wirklich weg sind. Die Firmen, die Flash-Speicher-Laufwerke herstellen, stehen unter immensem Kostendruck und müssen ständig neue Produkte mit anderen Flash-Chips und größerer Kapazität auf den Markt bringen. Wer stellt sicher, dass ich eine ein paar Jahre alte SSD mit einem aktuellen Löschprogramm unter aktuellem Betriebssystem z.B. DSGVO-konform gelöscht bekomme? Zertifiziert mir das der Hersteller? Kann ich mich als Datenverarbeiter schutzpflichtiger Daten darauf verlassen? Glauben und Vertrauen sind zwei Dinge, die man bei Datensicherheit nicht anwenden sollte. Wer also wirklich sichergehen will, dass eine SSD keine lesbaren Daten mehr enthält, muss die Flash-Chips physikalisch zerstören oder zumindest beschädigen (einen zerbrochenen Die wird niemand mehr auslesen können).

...oder den Datenspeicher einfach am Schluss der thermischen Entsorgung (Abfall) übergeben.

Bei uns wird der Abfall direkt aus dem Presswagen in eine Grube bei der Verbrennungsanlage gekippt. Da geht keiner mehr den Abfall durchwühlen.

Und falls die Daten derart heikel sind, wäre der Unweltaspekt sicher zweitrangig.

A propos thermische Entsorgung... So hab ich das mal gemacht, allerdings hatte ich die falschen Tiegel und die Hälfte ist danebengegangen.

Zitat von tomduly

Genau aus dem Grund, der auch im Heise-Artikel erwähnt wird: die Speichercontroller einer SSD haben Zugriff auf mehr Speicher als der Nutzer, um abgenutzte Speicherzellen abzuschalten und auf Reserveblöcke zugreifen zu können

Lt. Heise ist eine 100%ige Löschung möglich mit den Herstellertools, sodass keine Daten wiederhergestellt werden können.

Zitat von Heise

Einige SSD-Hersteller bieten zwei Optionen zum Löschen der Laufwerke an, beispielsweise SanDisk. Hier gibt es neben der Funktion “Secure Erase” auch den Punkt “Sanitize”. Dabei überschreibt das Programm nicht nur die Zuordnungstabelle der SSD, sondern löscht auch alle beschriebenen Blöcke. Das lohnt sich vor allem, wenn Sie die SSD verkaufen und zu einhundert Prozent sicher sein wollen, dass keine Daten wiederhergestellt werden können. Sollte der Hersteller Ihrer SSD keine entsprechenden Optionen anbieten, ist das aber kein Grund zur Sorge: Die Herstellerprogramme sind in der Regel darauf ausgelegt, die SSDs so zu löschen, dass eine Wiederherstellung der darauf gespeicherten Daten nicht möglich ist.

Wer den Herstellern nicht vertraut kann auf Programme wie Parted Magic zurückgreifen.

Zitat von Heise

Eine weitere Möglichkeit, eine SSD sicher und vollständig zu löschen, bietet die spezialisierte Linux-Distribution Parted Magic. Bei Parted Magic handelt es sich um eine umfangreiche Programmsammlung zur Prüfung, Pflege, Sicherung oder auch zum Löschen von Festplatten. Das System startet vollständig unabhängig vom installierten Betriebssystem von einem USB-Stick und bietet im folgenden alle Möglichkeiten zum sicheren Löschen von SSDs. Leider ist die Distribution seit einigen Jahren nicht mehr kostenlos erhältlich. Möchten Sie Parted Magic lediglich einmal verwenden, um eine SSD sicher zu formatieren, verlangt das Entwicklerteam Stand dieses Artikels 11 US-Dollar. Alternativ dazu können Sie für 49 US-Dollar ein einjähriges Abonnement der Software erwerben, die im Quartalszyklus aktualisiert wird. Trotz des Kostenfaktors ist Parted Magic eine gute Lösung für alle, die entweder keinen Erfolg mit den offiziellen Herstellertools haben oder für Nutzer von SSDs, für die es keine passende Software gibt.

Da bin ich zu einfach gestrickt und zu gierig, Festplatten kaufe ich nur neu und gebe sie nie wieder her. Gebrauchte Festplatten würde ich nicht verkaufen, wenn meine ausser Dienst gehen sind sie nicht mehr zu gebrauchen. Sicheres Löschen ist dan schon nicht mehr möglich. Dann werden sie zerlegt. Dieses Vorgehen empfehle ich auch meinen Bekannten.

Im privaten Umfeld muss man die Vernichtung von Datenträgern sicher nicht bis zum äußersten treiben, zumal man ja - hoffentlich - seine persönlichen Daten verschlüsselt speichert. Wenn man dann auch noch seine Passwörter und Zugangsdaten immer wieder mal ändert, dann kann man gebrauchte ausgemusterte Festplatten/SSDs durchaus auch weitergeben, wenn man sie zuvor einmal komplett vollgeschrieben hat (z.B. mit h2testw). Die von Ben empfohlenen sicheren Löschprogramme der SSD-Hersteller kann man auch anwenden. Im privaten Bereich mit den eigenen Daten reicht das aus.

Sobald man aber Daten anderer verarbeitet, fällt man in D unter diverse rechtliche Bestimmungen DSGVO, Datenschutzgesetz, HGB, BGB etc. Dann ist man als Datenverarbeiter möglicherweise nachweispflichtig, wenn es z.B. darum geht, Datenträger mit Daten einer Person auf deren Wunsch hin löschen zu müssen oder wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind.

Das korrekte Vernichten von Datenträgern ist in der DIN66399 geregelt und da gibt es dann auch konkrete Vorgaben, wie mit elektronischen Datenträgern umzugehen ist, je nach Schutzklasse der Daten reicht die Spanne von "funktionsuntüchtig gemacht" bis geschreddert mit Partikelgröße 0,5mm²(!).

DIN Sicherheitsstufen

Zitat von tomduly

Sobald man aber Daten anderer verarbeitet, fällt man in D unter diverse rechtliche Bestimmungen DSGVO, Datenschutzgesetz, HGB, BGB etc. Dann ist man als Datenverarbeiter möglicherweise nachweispflichtig, wenn es z.B. darum geht, Datenträger mit Daten einer Person auf deren Wunsch hin löschen zu müssen oder wenn die gesetzlichen Aufbewahrungspflichten abgelaufen sind.

Da mich das als Forenbetreiber ja auch trifft, habe ich mich dazu mal schlau gemacht.

Es gilt bei der DSGVO auch, dass ich nach Treu und Glauben darauf zählen darf, dass zb der Webhoster Daten löscht, die ich lösche.

Ich muss also nicht zum äußersten gehen und Server schreddern lassen.

Wie du richtig sagst, sollte für private Anwendungen ein vollständiges Löschen per geeigneter Tools mehr als ausreichend sein.

Wer auf Nummer sicher gehen will, kann ja wie beschrieben den Speicher mechanisch zusätzlich zerstören.

Zitat von tomduly

Im privaten Umfeld muss man die Vernichtung von Datenträgern sicher nicht bis zum äußersten treiben, zumal man ja - hoffentlich - seine persönlichen Daten verschlüsselt speichert. Wenn man dann auch noch seine Passwörter und Zugangsdaten immer wieder mal ändert, dann kann man gebrauchte ausgemusterte Festplatten/SSDs durchaus auch weitergeben, wenn man sie zuvor einmal komplett vollgeschrieben hat (z.B. mit h2testw). Die von Ben empfohlenen sicheren Löschprogramme der SSD-Hersteller kann man auch anwenden. Im privaten Bereich mit den eigenen Daten reicht das aus.

Das sehe ich ganz genauso.

Zitat von Smileyneu

Ich hab hier ein kleines Problem.

Mein uraltes Tablet, noch 32 bit mit Microsoft Vista), hat vor einiger Zeit den Geist aufgegeben. Vermutlich ist der Ein-/Ausschaltknopf defekt.

Hab sowas auch schon gehabt. Eine Option, das Gerät öffnen, die Speicherchips suchen und sie zerstören und den Rest dann in die Entsorgung geben. Nervig.

Ich hab das Glück, ich kann kaputte Handys und so Zeug hier einfach in unseren zertifizierten Technikshredder werfen an der Arbeit.

Kleiner Schwank zum Thema:

Neuer Kollege sprach mich an wegen einem Notebook den er auf dem Flohmarkt gekauft hatte:
Er konnte sich nicht einloggen, da das gebrauchte Notebook ein ihm unbekanntes Passwort hatte.

Als ITler konnte ich das Problem natürlich lösen.

Habe festgestellt das der Notebook einer Dame aus einer 400km von uns entfernten Stadt gehört hatte.

Steuererklärung, Fotos und was weiß ich, war alles noch drauf!

Auch ihren Arbeitgeber (eine Arztpraxis) konnte ich dadurch ermitteln.

Dort angerufen fiel die Frau aus allen Wolken; weil sie das Teil ordnungsgemäß beim lokalen Wertstoff zur Entsorgung abgegeben hatte!!

Habe das Teil natürlich frisch aufgesetzt.

Hmmm... generell bin ich persönlich mal der Meinung, das niemanden meine Sammlung von Rezepten, lustigen Bildchen und ein paar Youtube videos irgendwen interessiert. Sofern man nicht davon überzeugt ist, auf dem Gerät wären gewinnbringend nutzbare Daten vorhanden, wird man sich die Mühe für eine aufgefundenes Gerät auch nicht machen. Außer es ist so ein einfacher Fall wie von Mork vom Ork beschrieben.

Persönlich halte ich es ganz simpel: iPhone, iPad und Macbook sind mit dem Herstellertool verschlüsselt. Die Windowskiste hat einen TPM Chip spendiert bekommen und verschlüsselt mit Bitlocker. Steht eines der iOS Geräte zur endgültigen Entsorgung an (nope, ich verkaufe keine gebrauchten Geräte, ich verwende die bis es nicht mehr geht) verlasse ich mich auf ein paar Hammerschläge und die Verschlüsselung des Herstellers. Die Festplatten aus der Windowsbüchse sind ohne den Schlüssel vom TPM-Chip ohnehin nicht in einem endlichen Aufwand zu entschlüsseln. Aber auch die bekommen ein paar gezielte Hammerschläge und gut ist das.

Die letzten 30 Jahre musste ich keine Daten beklagen, die sich in unbefugten Händen befinden.