28 Jan
2024
28 Jan
'24
9:37 a.m.
Hallo zusammen,
ich möchte gerne eine Diskussion "lostreten":
Ich habe mir vor kurzem ein neues, gebrauchtes Notebook gekauft. Soweit
so gut, ich bin zufrieden damit und finde es sehr gut, dass "alte"
Firmennotebooks ein zweites Leben bekommen.
Das bringt mich aber zu den Fragen, die ich gerne in die Runde werfen
möchte:
Ich höre immer wieder von Firmen, dass sie ihre alte Hardware
fachgerecht "schreddern" lassen um sicher sein zu können, dass keinerlei
Daten in fremde Hände geraten können. Selbst Monitore werden vernichtet,
da "darin Speicher verbaut sind".
Einzig bei Netzwerkdruckern kann ich mir vorstellen, dass in dem
internen Job-Speicher noch Daten rekonstruiert werden können.
Bei Notebooks und PCs lassen sich meiner Meinung nach die SSD - zumal
mit Bitlocker verschlüsselt - sicher löschen. Wenn dem nicht so wäre,
bräuchte man die SSDs ja nicht verschlüsseln.
Bei Monitoren und anderen Peripheriegeräten halte ich die
Schredder-Begründung für völlig absurd.
Dass in den Firmen die wichtigen, internen Daten in der "Klaut"
gespeichert werde sei nur so dahin geschrieben - ist an sich schon
absurd genug ;-)
Wie denkt Ihr darüber? Liege ich mit meiner Ansicht falsch?
Habt Ihr ein paar stichhaltige Argumente für mich um den Einen oder
Anderen davon zu überzeugen weniger Werte zu vernichten und etwas für
die Umwelt zu tun?
Viele Grüße und ein schönes Restwochenende,
Benno
28 Jan
28 Jan
8:57 p.m.
New subject: Aw: Gebrauchte Computer
Hallo Benno,
Es gibt ja eine Menge Firmen, die gebrauchte Hardware aus Firmenbeständen anbieten.
In vielen Fällen werden aber Festplatten vorher entfernt oder zerstört, weil auch beim
Überschreiben nicht alle Spuren alter Daten gelöscht werden können. Gerade bei SSDs werden
beim Überschreiben nicht die gleichen Bereiche überschrieben, auf denen vorher Daten
lagen.
Es gibt auch immer wieder Berichte, wo auf Festplatten sensible Daten der Vorbesitzer
wiedergefunden werden. Von Behörden, Firmen oder privat.
https://www.heise.de/news/Gebrauchte-Bundeswehr-Laptops-Foerster-findet-Rak…
https://www.heise.de/news/Nacktfotos-und-Geschaeftsgeheimnisse-c-t-findet-g…
Es kommt eben auf die Sicherheitsstufe an.
Viele Grüße,
Stefan.
Gesendet: Sonntag, 28. Januar 2024 um 09:37 Uhr
Von: "btux" <btux(a)posteo.org>
An: "flug(a)lug-freiburg.de >> Linux-User-Group-Fr"
<flug(a)lug-freiburg.de>
Betreff: Gebrauchte Computer
Hallo zusammen,
ich möchte gerne eine Diskussion "lostreten":
Ich habe mir vor kurzem ein neues, gebrauchtes Notebook gekauft. Soweit
so gut, ich bin zufrieden damit und finde es sehr gut, dass "alte"
Firmennotebooks ein zweites Leben bekommen.
Das bringt mich aber zu den Fragen, die ich gerne in die Runde werfen
möchte:
Ich höre immer wieder von Firmen, dass sie ihre alte Hardware
fachgerecht "schreddern" lassen um sicher sein zu können, dass keinerlei
Daten in fremde Hände geraten können. Selbst Monitore werden vernichtet,
da "darin Speicher verbaut sind".
Einzig bei Netzwerkdruckern kann ich mir vorstellen, dass in dem
internen Job-Speicher noch Daten rekonstruiert werden können.
Bei Notebooks und PCs lassen sich meiner Meinung nach die SSD - zumal
mit Bitlocker verschlüsselt - sicher löschen. Wenn dem nicht so wäre,
bräuchte man die SSDs ja nicht verschlüsseln.
Bei Monitoren und anderen Peripheriegeräten halte ich die
Schredder-Begründung für völlig absurd.
Dass in den Firmen die wichtigen, internen Daten in der "Klaut"
gespeichert werde sei nur so dahin geschrieben - ist an sich schon
absurd genug ;-)
Wie denkt Ihr darüber? Liege ich mit meiner Ansicht falsch?
Habt Ihr ein paar stichhaltige Argumente für mich um den Einen oder
Anderen davon zu überzeugen weniger Werte zu vernichten und etwas für
die Umwelt zu tun?
Viele Grüße und ein schönes Restwochenende,
Benno
9:31 p.m.
Hallo in die Runde,
einige Anmerkungen zum Thema aus sich des DSB.
# Schreddern: Bei den mir gekannten Firmen werde die Endgeräte geleast.
Der Leasinggeber hat die Verpflichtung, dass kein Speicherbaustein mehr
in Umlauf kommt. Die Leasingdauer beträgt in der Regel 3 Jahre. Der
Aufwand Speicherbausteine zu entnehmen, übersteigt den Restwert der
zurückzugebenden Geräte. Also werden diese zu Wertstoff verarbeitet.
# Datenspeicher: Alle digitalen Endgeräte enthalten mittlerweile
Speicherbausteine. Eine Gewähr, daß diese rückstandfrei gelöscht werden
können, kann nach meinem Kenntnisstand niemand geben. Das akzeptiert
auch keine Cyberversicherung. Also müssen alle Speicherbausteine
zerstört werden.
# Cloud-Speicher: Der Sicherheitsaufwand für sensible Daten ist
mittlerweile so komplex und aufwändig, daß KMU diese Technik nicht mehr
vorhalten könne. Das gilt auch für öffentliche Verwaltungen, die immer
öfter angegriffen werden. Das können nur noch Rechenzentren leisten. Die
Daten in der Cloud werden i. d. R. mehrfach verschlüsselt. Ein
Administrator eines Cloudspeichers kann nach den Unterlagen, die ich
kenne, kein Bit des Kunden lesen. Datendiebstähle passieren in der Regel
auf den Systemen, welche die Organisationen selbst betreiben oder durch
Sicherheitslücken bzw. phishing-Angriffe bei den Kunden.
# Ressourcen: Ich kann den Ansatz, Ressourcen zu sparen, nur
unterstützen. Im Bereich Mobiltelephone hat sich da ein Markt etabliert
(backmarket, refurbed). Die Grundlage für den längeren Umlauf ist ein
professioneller Anbieter, der die Garantie für eine zuverlässige
Zerstörung der Speicher geben kann. Das ist bei Mobiltelephonen von
privat an privat nicht erforderlich. Bei Business-Ware ist das
unumgänglich. Im privaten Bereich kann man zum Beispiel alte Intel-Macs
mit Linux und einer neuen SSD-Platte weiter betreiben (zw. 80,- /
120,-). Das kann nicht jeder selbst machen. Das nur zur Orientierung.
Wenn der Zeitwert eines Geräts diese Kosten unterschreitet, ist eine
Weiterverwendung ökonomisch nicht mehr darstellbar.
# Anregung:
https://www.zdf.de/gesellschaft/plan-b/plan-b-rohstoffe-aus-elektroschrott-…
# Fazit: Es braucht noch Geschäftsmodelle, um ein Recycling zu realisieren.
Am 28.01.24 um 20:57 schrieb Stefan Ziegler:
Hallo Benno,
Es gibt ja eine Menge Firmen, die gebrauchte Hardware aus Firmenbeständen anbieten.
In vielen Fällen werden aber Festplatten vorher entfernt oder zerstört, weil auch beim
Überschreiben nicht alle Spuren alter Daten gelöscht werden können. Gerade bei SSDs werden
beim Überschreiben nicht die gleichen Bereiche überschrieben, auf denen vorher Daten
lagen.
Es gibt auch immer wieder Berichte, wo auf Festplatten sensible Daten der Vorbesitzer
wiedergefunden werden. Von Behörden, Firmen oder privat.
https://www.heise.de/news/Gebrauchte-Bundeswehr-Laptops-Foerster-findet-Rak…
https://www.heise.de/news/Nacktfotos-und-Geschaeftsgeheimnisse-c-t-findet-g…
Es kommt eben auf die Sicherheitsstufe an.
Viele Grüße,
Stefan.
> Gesendet: Sonntag, 28. Januar 2024 um 09:37 Uhr
> Von: "btux" <btux(a)posteo.org>
> An: "flug(a)lug-freiburg.de >> Linux-User-Group-Fr"
<flug(a)lug-freiburg.de>
> Betreff: Gebrauchte Computer
>
> Hallo zusammen,
>
> ich möchte gerne eine Diskussion "lostreten":
>
> Ich habe mir vor kurzem ein neues, gebrauchtes Notebook gekauft. Soweit
> so gut, ich bin zufrieden damit und finde es sehr gut, dass "alte"
> Firmennotebooks ein zweites Leben bekommen.
>
> Das bringt mich aber zu den Fragen, die ich gerne in die Runde werfen
> möchte:
>
> Ich höre immer wieder von Firmen, dass sie ihre alte Hardware
> fachgerecht "schreddern" lassen um sicher sein zu können, dass keinerlei
> Daten in fremde Hände geraten können. Selbst Monitore werden vernichtet,
> da "darin Speicher verbaut sind".
>
> Einzig bei Netzwerkdruckern kann ich mir vorstellen, dass in dem
> internen Job-Speicher noch Daten rekonstruiert werden können.
>
> Bei Notebooks und PCs lassen sich meiner Meinung nach die SSD - zumal
> mit Bitlocker verschlüsselt - sicher löschen. Wenn dem nicht so wäre,
> bräuchte man die SSDs ja nicht verschlüsseln.
>
> Bei Monitoren und anderen Peripheriegeräten halte ich die
> Schredder-Begründung für völlig absurd.
>
> Dass in den Firmen die wichtigen, internen Daten in der "Klaut"
> gespeichert werde sei nur so dahin geschrieben - ist an sich schon
> absurd genug ;-)
>
>
> Wie denkt Ihr darüber? Liege ich mit meiner Ansicht falsch?
>
> Habt Ihr ein paar stichhaltige Argumente für mich um den Einen oder
> Anderen davon zu überzeugen weniger Werte zu vernichten und etwas für
> die Umwelt zu tun?
>
>
> Viele Grüße und ein schönes Restwochenende,
>
> Benno
>
>
29 Jan
29 Jan
6:52 a.m.
On Sun, Jan 28, 2024 at 09:31:28PM +0100, Peter Thommes wrote:
Hallo in die Runde,
einige Anmerkungen zum Thema aus sich des DSB.
# Schreddern: Bei den mir gekannten Firmen werde die Endgeräte geleast.
Der Leasinggeber hat die Verpflichtung, dass kein Speicherbaustein mehr
in Umlauf kommt. Die Leasingdauer beträgt in der Regel 3 Jahre. Der
Aufwand Speicherbausteine zu entnehmen, übersteigt den Restwert der
zurückzugebenden Geräte. Also werden diese zu Wertstoff verarbeitet.
Speicherbausteine? Das ist eine sehr schwammige Kategorie. Vom RAM
(da reicht vermutlich warten, bei ausgeschaltetem Gerät, wenn man
nicht gerade die NSA ist) über klassische Festplatte (da reicht ein
dd if=/dev/urandom of=/dev/sdc oder was) bis hin zu SSDs, die sicher
die problematischten sind (Stichwort Overprovisioning, die SSD hat
mehr Speicher als sie vorgibt und rotiert die Bereiche. Hier [1]
eine anschauliche und fundierte Analyse. Die Kurzfassung: nur der
Hersteller kann da was anbieten -- es gibt ein ATA-Kommando, das
das tut. Was es genau tut wissen wir nicht. Ich würde mich nicht
darauf verlassen.
Aber: für permanente Speicher (Festplatte, SSD, NVME) gibt es eins,
was als ziemlich sicher gilt: Verschlüsselung. Und die "Firmen" und
"Behörden", die davon nicht Gebrauch machen nehmen ihre Sicherheit
selber nicht ernst.
# Datenspeicher: Alle digitalen Endgeräte enthalten
mittlerweile
Speicherbausteine. Eine Gewähr, daß diese rückstandfrei gelöscht werden
können, kann nach meinem Kenntnisstand niemand geben. Das akzeptiert
auch keine Cyberversicherung. Also müssen alle Speicherbausteine
zerstört werden.
Wieder: "Speicherbausteine". Bei allen Respekt für die ofizielle
Position des "DSB" (Du meinst wahrscheinlich den Datenschutzbeauftragten)
kann ich das nur bedingt ernst nehmen: als Techniker*innen müssen
wir in die schmutzigen Details hinabsteigen :)
# Cloud-Speicher: Der Sicherheitsaufwand für sensible
Daten ist
mittlerweile so komplex und aufwändig, daß KMU diese Technik nicht mehr
vorhalten könne. Das gilt auch für öffentliche Verwaltungen, die immer
öfter angegriffen werden. Das können nur noch Rechenzentren leisten. Die
Daten in der Cloud werden i. d. R. mehrfach verschlüsselt.
Was soll das "mehrfach" bringen? Und... werden die Daten wirklich
nur am Endgerät entschlüsselt? Was soll die Cloud dann überhaupt
noch bringen? Nur Speicherkapazität? Mit verschlüsselten Daten lässt
sich nur schwer rechnen (ja, ich weiss, daran wird geforscht [2]).
Ein
Administrator eines Cloudspeichers kann nach den Unterlagen, die ich
kenne, kein Bit des Kunden lesen. Datendiebstähle passieren in der Regel
auf den Systemen, welche die Organisationen selbst betreiben oder durch
Sicherheitslücken bzw. phishing-Angriffe bei den Kunden.
Damit wäre ich in der Regel auch einverstanden -- die Standards bei
den Kunden sind leider (mangels Wissen und Aufklärung) nicht so
hoch. Meine Regel: die Sicherheit sollte bei den Menschen, nicht
bei den Geräten anfangen.
# Ressourcen: Ich kann den Ansatz, Ressourcen zu
sparen, nur
unterstützen. Im Bereich Mobiltelephone hat sich da ein Markt etabliert
(backmarket, refurbed). Die Grundlage für den längeren Umlauf ist ein
professioneller Anbieter, der die Garantie für eine zuverlässige
Zerstörung der Speicher geben kann. Das ist bei Mobiltelephonen von
privat an privat nicht erforderlich. Bei Business-Ware ist das
unumgänglich. Im privaten Bereich kann man zum Beispiel alte Intel-Macs
mit Linux und einer neuen SSD-Platte weiter betreiben (zw. 80,- /
120,-). Das kann nicht jeder selbst machen. Das nur zur Orientierung.
Wenn der Zeitwert eines Geräts diese Kosten unterschreitet, ist eine
Weiterverwendung ökonomisch nicht mehr darstellbar.
Das ist vielleicht auch einer Schieflage der Ökonomie zu "verdanken":
viele Kosten werden externalisiert (Umweltverschmutzung, Verletzung
von Menschenrechten: vgl. das unwürdige Theater, das wir gerade
bei der Lieferketten-Gesetzgebung geboten bekommen).
[...]
# Fazit: Es braucht noch Geschäftsmodelle, um ein
Recycling zu realisieren.
Absolut.
Ich kaufe meine gebrauchten Thinkpads bei einem kleinen freiburger
Anbieter. Hatte bisher nichts zu meckern :-)
lg
[1] https://superuser.com/questions/22238/how-to-securely-delete-files-stored-o…
[2] https://en.wikipedia.org/wiki/Homomorphic_encryption
--
tomás
30 Jan
30 Jan
7:11 a.m.
Hallo zusammen,
vielen Dank für Eure fundierten Antworten, die netterweise meine Meinung
bestätigen 😉
Ich werde mit den Argumenten - auch der eindrücklichen Berechnung von
Olav - missionieren gehen.
Vielleicht habe ich ja Erfolg damit.
Danke auch für den Hinweis auf Computertruhe. Die gibts ja auch "hier
oben" in Göttingen - nicht weit von mir. Vielleicht können die ja
Unterstützung gebrauchen...
Also nochmal vielen Dank allen die geantwortet haben für die hilfreichen
Argumente!!
Viele Grüße,
Benno
Am 29.01.24 um 21:26 schrieb Olav Seyfarth:
Hallo Peter,
ich bin selbst DSB. Und CISO. Und Informatiker. Und Nerd.
Falls du weitere Argumente brauchst … ruf an.
Es wurde aber schon sehr viel gesagt was klar macht,
dass Bildschirme zu shreddern Unsinn ist.
Gruß
Olav
--
+49 7641 9542320, +49 176 62696431
https://privat.seyfarth.de/olav/
https://datenschutz-individuell.de/
93
days inactive
95
days old
6 comments
5 participants
participants (5)
-
btux -
Olav Seyfarth -
Peter Thommes -
Stefan Ziegler -
tomas@tuxteam.de