Hallo zusammen,
ich möchte gerne eine Diskussion "lostreten":
Ich habe mir vor kurzem ein neues, gebrauchtes Notebook gekauft. Soweit so gut, ich bin zufrieden damit und finde es sehr gut, dass "alte" Firmennotebooks ein zweites Leben bekommen.
Das bringt mich aber zu den Fragen, die ich gerne in die Runde werfen möchte:
Ich höre immer wieder von Firmen, dass sie ihre alte Hardware fachgerecht "schreddern" lassen um sicher sein zu können, dass keinerlei Daten in fremde Hände geraten können. Selbst Monitore werden vernichtet, da "darin Speicher verbaut sind".
Einzig bei Netzwerkdruckern kann ich mir vorstellen, dass in dem internen Job-Speicher noch Daten rekonstruiert werden können.
Bei Notebooks und PCs lassen sich meiner Meinung nach die SSD - zumal mit Bitlocker verschlüsselt - sicher löschen. Wenn dem nicht so wäre, bräuchte man die SSDs ja nicht verschlüsseln.
Bei Monitoren und anderen Peripheriegeräten halte ich die Schredder-Begründung für völlig absurd.
Dass in den Firmen die wichtigen, internen Daten in der "Klaut" gespeichert werde sei nur so dahin geschrieben - ist an sich schon absurd genug ;-)
Wie denkt Ihr darüber? Liege ich mit meiner Ansicht falsch?
Habt Ihr ein paar stichhaltige Argumente für mich um den Einen oder Anderen davon zu überzeugen weniger Werte zu vernichten und etwas für die Umwelt zu tun?
Viele Grüße und ein schönes Restwochenende,
Benno
Hallo Benno,
Es gibt ja eine Menge Firmen, die gebrauchte Hardware aus Firmenbeständen anbieten.
In vielen Fällen werden aber Festplatten vorher entfernt oder zerstört, weil auch beim Überschreiben nicht alle Spuren alter Daten gelöscht werden können. Gerade bei SSDs werden beim Überschreiben nicht die gleichen Bereiche überschrieben, auf denen vorher Daten lagen. Es gibt auch immer wieder Berichte, wo auf Festplatten sensible Daten der Vorbesitzer wiedergefunden werden. Von Behörden, Firmen oder privat.
https://www.heise.de/news/Gebrauchte-Bundeswehr-Laptops-Foerster-findet-Rake... https://www.heise.de/news/Nacktfotos-und-Geschaeftsgeheimnisse-c-t-findet-ge...
Es kommt eben auf die Sicherheitsstufe an.
Viele Grüße, Stefan.
Gesendet: Sonntag, 28. Januar 2024 um 09:37 Uhr Von: "btux" btux@posteo.org An: "flug@lug-freiburg.de >> Linux-User-Group-Fr" flug@lug-freiburg.de Betreff: Gebrauchte Computer
Hallo zusammen,
ich möchte gerne eine Diskussion "lostreten":
Ich habe mir vor kurzem ein neues, gebrauchtes Notebook gekauft. Soweit so gut, ich bin zufrieden damit und finde es sehr gut, dass "alte" Firmennotebooks ein zweites Leben bekommen.
Das bringt mich aber zu den Fragen, die ich gerne in die Runde werfen möchte:
Ich höre immer wieder von Firmen, dass sie ihre alte Hardware fachgerecht "schreddern" lassen um sicher sein zu können, dass keinerlei Daten in fremde Hände geraten können. Selbst Monitore werden vernichtet, da "darin Speicher verbaut sind".
Einzig bei Netzwerkdruckern kann ich mir vorstellen, dass in dem internen Job-Speicher noch Daten rekonstruiert werden können.
Bei Notebooks und PCs lassen sich meiner Meinung nach die SSD - zumal mit Bitlocker verschlüsselt - sicher löschen. Wenn dem nicht so wäre, bräuchte man die SSDs ja nicht verschlüsseln.
Bei Monitoren und anderen Peripheriegeräten halte ich die Schredder-Begründung für völlig absurd.
Dass in den Firmen die wichtigen, internen Daten in der "Klaut" gespeichert werde sei nur so dahin geschrieben - ist an sich schon absurd genug ;-)
Wie denkt Ihr darüber? Liege ich mit meiner Ansicht falsch?
Habt Ihr ein paar stichhaltige Argumente für mich um den Einen oder Anderen davon zu überzeugen weniger Werte zu vernichten und etwas für die Umwelt zu tun?
Viele Grüße und ein schönes Restwochenende,
Benno
Hallo in die Runde,
einige Anmerkungen zum Thema aus sich des DSB.
# Schreddern: Bei den mir gekannten Firmen werde die Endgeräte geleast. Der Leasinggeber hat die Verpflichtung, dass kein Speicherbaustein mehr in Umlauf kommt. Die Leasingdauer beträgt in der Regel 3 Jahre. Der Aufwand Speicherbausteine zu entnehmen, übersteigt den Restwert der zurückzugebenden Geräte. Also werden diese zu Wertstoff verarbeitet.
# Datenspeicher: Alle digitalen Endgeräte enthalten mittlerweile Speicherbausteine. Eine Gewähr, daß diese rückstandfrei gelöscht werden können, kann nach meinem Kenntnisstand niemand geben. Das akzeptiert auch keine Cyberversicherung. Also müssen alle Speicherbausteine zerstört werden.
# Cloud-Speicher: Der Sicherheitsaufwand für sensible Daten ist mittlerweile so komplex und aufwändig, daß KMU diese Technik nicht mehr vorhalten könne. Das gilt auch für öffentliche Verwaltungen, die immer öfter angegriffen werden. Das können nur noch Rechenzentren leisten. Die Daten in der Cloud werden i. d. R. mehrfach verschlüsselt. Ein Administrator eines Cloudspeichers kann nach den Unterlagen, die ich kenne, kein Bit des Kunden lesen. Datendiebstähle passieren in der Regel auf den Systemen, welche die Organisationen selbst betreiben oder durch Sicherheitslücken bzw. phishing-Angriffe bei den Kunden.
# Ressourcen: Ich kann den Ansatz, Ressourcen zu sparen, nur unterstützen. Im Bereich Mobiltelephone hat sich da ein Markt etabliert (backmarket, refurbed). Die Grundlage für den längeren Umlauf ist ein professioneller Anbieter, der die Garantie für eine zuverlässige Zerstörung der Speicher geben kann. Das ist bei Mobiltelephonen von privat an privat nicht erforderlich. Bei Business-Ware ist das unumgänglich. Im privaten Bereich kann man zum Beispiel alte Intel-Macs mit Linux und einer neuen SSD-Platte weiter betreiben (zw. 80,- / 120,-). Das kann nicht jeder selbst machen. Das nur zur Orientierung. Wenn der Zeitwert eines Geräts diese Kosten unterschreitet, ist eine Weiterverwendung ökonomisch nicht mehr darstellbar.
# Anregung: https://www.zdf.de/gesellschaft/plan-b/plan-b-rohstoffe-aus-elektroschrott-1...
# Fazit: Es braucht noch Geschäftsmodelle, um ein Recycling zu realisieren.
Am 28.01.24 um 20:57 schrieb Stefan Ziegler:
Hallo Benno,
Es gibt ja eine Menge Firmen, die gebrauchte Hardware aus Firmenbeständen anbieten.
In vielen Fällen werden aber Festplatten vorher entfernt oder zerstört, weil auch beim Überschreiben nicht alle Spuren alter Daten gelöscht werden können. Gerade bei SSDs werden beim Überschreiben nicht die gleichen Bereiche überschrieben, auf denen vorher Daten lagen. Es gibt auch immer wieder Berichte, wo auf Festplatten sensible Daten der Vorbesitzer wiedergefunden werden. Von Behörden, Firmen oder privat.
https://www.heise.de/news/Gebrauchte-Bundeswehr-Laptops-Foerster-findet-Rake... https://www.heise.de/news/Nacktfotos-und-Geschaeftsgeheimnisse-c-t-findet-ge...
Es kommt eben auf die Sicherheitsstufe an.
Viele Grüße, Stefan.
Gesendet: Sonntag, 28. Januar 2024 um 09:37 Uhr Von: "btux" btux@posteo.org An: "flug@lug-freiburg.de >> Linux-User-Group-Fr" flug@lug-freiburg.de Betreff: Gebrauchte Computer
Hallo zusammen,
ich möchte gerne eine Diskussion "lostreten":
Ich habe mir vor kurzem ein neues, gebrauchtes Notebook gekauft. Soweit so gut, ich bin zufrieden damit und finde es sehr gut, dass "alte" Firmennotebooks ein zweites Leben bekommen.
Das bringt mich aber zu den Fragen, die ich gerne in die Runde werfen möchte:
Ich höre immer wieder von Firmen, dass sie ihre alte Hardware fachgerecht "schreddern" lassen um sicher sein zu können, dass keinerlei Daten in fremde Hände geraten können. Selbst Monitore werden vernichtet, da "darin Speicher verbaut sind".
Einzig bei Netzwerkdruckern kann ich mir vorstellen, dass in dem internen Job-Speicher noch Daten rekonstruiert werden können.
Bei Notebooks und PCs lassen sich meiner Meinung nach die SSD - zumal mit Bitlocker verschlüsselt - sicher löschen. Wenn dem nicht so wäre, bräuchte man die SSDs ja nicht verschlüsseln.
Bei Monitoren und anderen Peripheriegeräten halte ich die Schredder-Begründung für völlig absurd.
Dass in den Firmen die wichtigen, internen Daten in der "Klaut" gespeichert werde sei nur so dahin geschrieben - ist an sich schon absurd genug ;-)
Wie denkt Ihr darüber? Liege ich mit meiner Ansicht falsch?
Habt Ihr ein paar stichhaltige Argumente für mich um den Einen oder Anderen davon zu überzeugen weniger Werte zu vernichten und etwas für die Umwelt zu tun?
Viele Grüße und ein schönes Restwochenende,
Benno
On Sun, Jan 28, 2024 at 09:31:28PM +0100, Peter Thommes wrote:
Hallo in die Runde,
einige Anmerkungen zum Thema aus sich des DSB.
# Schreddern: Bei den mir gekannten Firmen werde die Endgeräte geleast. Der Leasinggeber hat die Verpflichtung, dass kein Speicherbaustein mehr in Umlauf kommt. Die Leasingdauer beträgt in der Regel 3 Jahre. Der Aufwand Speicherbausteine zu entnehmen, übersteigt den Restwert der zurückzugebenden Geräte. Also werden diese zu Wertstoff verarbeitet.
Speicherbausteine? Das ist eine sehr schwammige Kategorie. Vom RAM (da reicht vermutlich warten, bei ausgeschaltetem Gerät, wenn man nicht gerade die NSA ist) über klassische Festplatte (da reicht ein dd if=/dev/urandom of=/dev/sdc oder was) bis hin zu SSDs, die sicher die problematischten sind (Stichwort Overprovisioning, die SSD hat mehr Speicher als sie vorgibt und rotiert die Bereiche. Hier [1] eine anschauliche und fundierte Analyse. Die Kurzfassung: nur der Hersteller kann da was anbieten -- es gibt ein ATA-Kommando, das das tut. Was es genau tut wissen wir nicht. Ich würde mich nicht darauf verlassen.
Aber: für permanente Speicher (Festplatte, SSD, NVME) gibt es eins, was als ziemlich sicher gilt: Verschlüsselung. Und die "Firmen" und "Behörden", die davon nicht Gebrauch machen nehmen ihre Sicherheit selber nicht ernst.
# Datenspeicher: Alle digitalen Endgeräte enthalten mittlerweile Speicherbausteine. Eine Gewähr, daß diese rückstandfrei gelöscht werden können, kann nach meinem Kenntnisstand niemand geben. Das akzeptiert auch keine Cyberversicherung. Also müssen alle Speicherbausteine zerstört werden.
Wieder: "Speicherbausteine". Bei allen Respekt für die ofizielle Position des "DSB" (Du meinst wahrscheinlich den Datenschutzbeauftragten) kann ich das nur bedingt ernst nehmen: als Techniker*innen müssen wir in die schmutzigen Details hinabsteigen :)
# Cloud-Speicher: Der Sicherheitsaufwand für sensible Daten ist mittlerweile so komplex und aufwändig, daß KMU diese Technik nicht mehr vorhalten könne. Das gilt auch für öffentliche Verwaltungen, die immer öfter angegriffen werden. Das können nur noch Rechenzentren leisten. Die Daten in der Cloud werden i. d. R. mehrfach verschlüsselt.
Was soll das "mehrfach" bringen? Und... werden die Daten wirklich nur am Endgerät entschlüsselt? Was soll die Cloud dann überhaupt noch bringen? Nur Speicherkapazität? Mit verschlüsselten Daten lässt sich nur schwer rechnen (ja, ich weiss, daran wird geforscht [2]).
Ein Administrator eines Cloudspeichers kann nach den Unterlagen, die ich kenne, kein Bit des Kunden lesen. Datendiebstähle passieren in der Regel auf den Systemen, welche die Organisationen selbst betreiben oder durch Sicherheitslücken bzw. phishing-Angriffe bei den Kunden.
Damit wäre ich in der Regel auch einverstanden -- die Standards bei den Kunden sind leider (mangels Wissen und Aufklärung) nicht so hoch. Meine Regel: die Sicherheit sollte bei den Menschen, nicht bei den Geräten anfangen.
# Ressourcen: Ich kann den Ansatz, Ressourcen zu sparen, nur unterstützen. Im Bereich Mobiltelephone hat sich da ein Markt etabliert (backmarket, refurbed). Die Grundlage für den längeren Umlauf ist ein professioneller Anbieter, der die Garantie für eine zuverlässige Zerstörung der Speicher geben kann. Das ist bei Mobiltelephonen von privat an privat nicht erforderlich. Bei Business-Ware ist das unumgänglich. Im privaten Bereich kann man zum Beispiel alte Intel-Macs mit Linux und einer neuen SSD-Platte weiter betreiben (zw. 80,- / 120,-). Das kann nicht jeder selbst machen. Das nur zur Orientierung. Wenn der Zeitwert eines Geräts diese Kosten unterschreitet, ist eine Weiterverwendung ökonomisch nicht mehr darstellbar.
Das ist vielleicht auch einer Schieflage der Ökonomie zu "verdanken": viele Kosten werden externalisiert (Umweltverschmutzung, Verletzung von Menschenrechten: vgl. das unwürdige Theater, das wir gerade bei der Lieferketten-Gesetzgebung geboten bekommen).
[...]
# Fazit: Es braucht noch Geschäftsmodelle, um ein Recycling zu realisieren.
Absolut.
Ich kaufe meine gebrauchten Thinkpads bei einem kleinen freiburger Anbieter. Hatte bisher nichts zu meckern :-)
lg
[1] https://superuser.com/questions/22238/how-to-securely-delete-files-stored-on... [2] https://en.wikipedia.org/wiki/Homomorphic_encryption
Hallo zusammen,
vielen Dank für Eure fundierten Antworten, die netterweise meine Meinung bestätigen 😉
Ich werde mit den Argumenten - auch der eindrücklichen Berechnung von Olav - missionieren gehen. Vielleicht habe ich ja Erfolg damit.
Danke auch für den Hinweis auf Computertruhe. Die gibts ja auch "hier oben" in Göttingen - nicht weit von mir. Vielleicht können die ja Unterstützung gebrauchen...
Also nochmal vielen Dank allen die geantwortet haben für die hilfreichen Argumente!!
Viele Grüße, Benno
Am 29.01.24 um 21:26 schrieb Olav Seyfarth:
Hallo Peter,
ich bin selbst DSB. Und CISO. Und Informatiker. Und Nerd. Falls du weitere Argumente brauchst … ruf an.
Es wurde aber schon sehr viel gesagt was klar macht, dass Bildschirme zu shreddern Unsinn ist.
Gruß Olav
-- +49 7641 9542320, +49 176 62696431 https://privat.seyfarth.de/olav/ https://datenschutz-individuell.de/
-
btux -
Olav Seyfarth -
Peter Thommes -
Stefan Ziegler -
tomas@tuxteam.de