On Sun, Jan 28, 2024 at 09:31:28PM +0100, Peter Thommes wrote:
Hallo in die Runde,
einige Anmerkungen zum Thema aus sich des DSB.
# Schreddern: Bei den mir gekannten Firmen werde die Endgeräte geleast.
Der Leasinggeber hat die Verpflichtung, dass kein Speicherbaustein mehr
in Umlauf kommt. Die Leasingdauer beträgt in der Regel 3 Jahre. Der
Aufwand Speicherbausteine zu entnehmen, übersteigt den Restwert der
zurückzugebenden Geräte. Also werden diese zu Wertstoff verarbeitet.
Speicherbausteine? Das ist eine sehr schwammige Kategorie. Vom RAM
(da reicht vermutlich warten, bei ausgeschaltetem Gerät, wenn man
nicht gerade die NSA ist) über klassische Festplatte (da reicht ein
dd if=/dev/urandom of=/dev/sdc oder was) bis hin zu SSDs, die sicher
die problematischten sind (Stichwort Overprovisioning, die SSD hat
mehr Speicher als sie vorgibt und rotiert die Bereiche. Hier [1]
eine anschauliche und fundierte Analyse. Die Kurzfassung: nur der
Hersteller kann da was anbieten -- es gibt ein ATA-Kommando, das
das tut. Was es genau tut wissen wir nicht. Ich würde mich nicht
darauf verlassen.
Aber: für permanente Speicher (Festplatte, SSD, NVME) gibt es eins,
was als ziemlich sicher gilt: Verschlüsselung. Und die "Firmen" und
"Behörden", die davon nicht Gebrauch machen nehmen ihre Sicherheit
selber nicht ernst.
# Datenspeicher: Alle digitalen Endgeräte enthalten
mittlerweile
Speicherbausteine. Eine Gewähr, daß diese rückstandfrei gelöscht werden
können, kann nach meinem Kenntnisstand niemand geben. Das akzeptiert
auch keine Cyberversicherung. Also müssen alle Speicherbausteine
zerstört werden.
Wieder: "Speicherbausteine". Bei allen Respekt für die ofizielle
Position des "DSB" (Du meinst wahrscheinlich den Datenschutzbeauftragten)
kann ich das nur bedingt ernst nehmen: als Techniker*innen müssen
wir in die schmutzigen Details hinabsteigen :)
# Cloud-Speicher: Der Sicherheitsaufwand für sensible
Daten ist
mittlerweile so komplex und aufwändig, daß KMU diese Technik nicht mehr
vorhalten könne. Das gilt auch für öffentliche Verwaltungen, die immer
öfter angegriffen werden. Das können nur noch Rechenzentren leisten. Die
Daten in der Cloud werden i. d. R. mehrfach verschlüsselt.
Was soll das "mehrfach" bringen? Und... werden die Daten wirklich
nur am Endgerät entschlüsselt? Was soll die Cloud dann überhaupt
noch bringen? Nur Speicherkapazität? Mit verschlüsselten Daten lässt
sich nur schwer rechnen (ja, ich weiss, daran wird geforscht [2]).
Ein
Administrator eines Cloudspeichers kann nach den Unterlagen, die ich
kenne, kein Bit des Kunden lesen. Datendiebstähle passieren in der Regel
auf den Systemen, welche die Organisationen selbst betreiben oder durch
Sicherheitslücken bzw. phishing-Angriffe bei den Kunden.
Damit wäre ich in der Regel auch einverstanden -- die Standards bei
den Kunden sind leider (mangels Wissen und Aufklärung) nicht so
hoch. Meine Regel: die Sicherheit sollte bei den Menschen, nicht
bei den Geräten anfangen.
# Ressourcen: Ich kann den Ansatz, Ressourcen zu
sparen, nur
unterstützen. Im Bereich Mobiltelephone hat sich da ein Markt etabliert
(backmarket, refurbed). Die Grundlage für den längeren Umlauf ist ein
professioneller Anbieter, der die Garantie für eine zuverlässige
Zerstörung der Speicher geben kann. Das ist bei Mobiltelephonen von
privat an privat nicht erforderlich. Bei Business-Ware ist das
unumgänglich. Im privaten Bereich kann man zum Beispiel alte Intel-Macs
mit Linux und einer neuen SSD-Platte weiter betreiben (zw. 80,- /
120,-). Das kann nicht jeder selbst machen. Das nur zur Orientierung.
Wenn der Zeitwert eines Geräts diese Kosten unterschreitet, ist eine
Weiterverwendung ökonomisch nicht mehr darstellbar.
Das ist vielleicht auch einer Schieflage der Ökonomie zu "verdanken":
viele Kosten werden externalisiert (Umweltverschmutzung, Verletzung
von Menschenrechten: vgl. das unwürdige Theater, das wir gerade
bei der Lieferketten-Gesetzgebung geboten bekommen).
[...]
# Fazit: Es braucht noch Geschäftsmodelle, um ein
Recycling zu realisieren.
Absolut.
Ich kaufe meine gebrauchten Thinkpads bei einem kleinen freiburger
Anbieter. Hatte bisher nichts zu meckern :-)
lg
[1]
https://superuser.com/questions/22238/how-to-securely-delete-files-stored-o…
[2]
https://en.wikipedia.org/wiki/Homomorphic_encryption
--
tomás