On Sun, Jan 28, 2024 at 09:31:28PM +0100, Peter Thommes wrote:
Hallo in die Runde,
einige Anmerkungen zum Thema aus sich des DSB.
# Schreddern: Bei den mir gekannten Firmen werde die Endgeräte geleast. Der Leasinggeber hat die Verpflichtung, dass kein Speicherbaustein mehr in Umlauf kommt. Die Leasingdauer beträgt in der Regel 3 Jahre. Der Aufwand Speicherbausteine zu entnehmen, übersteigt den Restwert der zurückzugebenden Geräte. Also werden diese zu Wertstoff verarbeitet.
Speicherbausteine? Das ist eine sehr schwammige Kategorie. Vom RAM (da reicht vermutlich warten, bei ausgeschaltetem Gerät, wenn man nicht gerade die NSA ist) über klassische Festplatte (da reicht ein dd if=/dev/urandom of=/dev/sdc oder was) bis hin zu SSDs, die sicher die problematischten sind (Stichwort Overprovisioning, die SSD hat mehr Speicher als sie vorgibt und rotiert die Bereiche. Hier [1] eine anschauliche und fundierte Analyse. Die Kurzfassung: nur der Hersteller kann da was anbieten -- es gibt ein ATA-Kommando, das das tut. Was es genau tut wissen wir nicht. Ich würde mich nicht darauf verlassen.
Aber: für permanente Speicher (Festplatte, SSD, NVME) gibt es eins, was als ziemlich sicher gilt: Verschlüsselung. Und die "Firmen" und "Behörden", die davon nicht Gebrauch machen nehmen ihre Sicherheit selber nicht ernst.
# Datenspeicher: Alle digitalen Endgeräte enthalten mittlerweile Speicherbausteine. Eine Gewähr, daß diese rückstandfrei gelöscht werden können, kann nach meinem Kenntnisstand niemand geben. Das akzeptiert auch keine Cyberversicherung. Also müssen alle Speicherbausteine zerstört werden.
Wieder: "Speicherbausteine". Bei allen Respekt für die ofizielle Position des "DSB" (Du meinst wahrscheinlich den Datenschutzbeauftragten) kann ich das nur bedingt ernst nehmen: als Techniker*innen müssen wir in die schmutzigen Details hinabsteigen :)
# Cloud-Speicher: Der Sicherheitsaufwand für sensible Daten ist mittlerweile so komplex und aufwändig, daß KMU diese Technik nicht mehr vorhalten könne. Das gilt auch für öffentliche Verwaltungen, die immer öfter angegriffen werden. Das können nur noch Rechenzentren leisten. Die Daten in der Cloud werden i. d. R. mehrfach verschlüsselt.
Was soll das "mehrfach" bringen? Und... werden die Daten wirklich nur am Endgerät entschlüsselt? Was soll die Cloud dann überhaupt noch bringen? Nur Speicherkapazität? Mit verschlüsselten Daten lässt sich nur schwer rechnen (ja, ich weiss, daran wird geforscht [2]).
Ein Administrator eines Cloudspeichers kann nach den Unterlagen, die ich kenne, kein Bit des Kunden lesen. Datendiebstähle passieren in der Regel auf den Systemen, welche die Organisationen selbst betreiben oder durch Sicherheitslücken bzw. phishing-Angriffe bei den Kunden.
Damit wäre ich in der Regel auch einverstanden -- die Standards bei den Kunden sind leider (mangels Wissen und Aufklärung) nicht so hoch. Meine Regel: die Sicherheit sollte bei den Menschen, nicht bei den Geräten anfangen.
# Ressourcen: Ich kann den Ansatz, Ressourcen zu sparen, nur unterstützen. Im Bereich Mobiltelephone hat sich da ein Markt etabliert (backmarket, refurbed). Die Grundlage für den längeren Umlauf ist ein professioneller Anbieter, der die Garantie für eine zuverlässige Zerstörung der Speicher geben kann. Das ist bei Mobiltelephonen von privat an privat nicht erforderlich. Bei Business-Ware ist das unumgänglich. Im privaten Bereich kann man zum Beispiel alte Intel-Macs mit Linux und einer neuen SSD-Platte weiter betreiben (zw. 80,- / 120,-). Das kann nicht jeder selbst machen. Das nur zur Orientierung. Wenn der Zeitwert eines Geräts diese Kosten unterschreitet, ist eine Weiterverwendung ökonomisch nicht mehr darstellbar.
Das ist vielleicht auch einer Schieflage der Ökonomie zu "verdanken": viele Kosten werden externalisiert (Umweltverschmutzung, Verletzung von Menschenrechten: vgl. das unwürdige Theater, das wir gerade bei der Lieferketten-Gesetzgebung geboten bekommen).
[...]
# Fazit: Es braucht noch Geschäftsmodelle, um ein Recycling zu realisieren.
Absolut.
Ich kaufe meine gebrauchten Thinkpads bei einem kleinen freiburger Anbieter. Hatte bisher nichts zu meckern :-)
lg
[1] https://superuser.com/questions/22238/how-to-securely-delete-files-stored-on... [2] https://en.wikipedia.org/wiki/Homomorphic_encryption