Lange galt in Deutschland im Bereich der Datenvernichtung die DIN 32757. Aufgrund gestiegener Anforderungen, besonders im Bereich Datenschutz und digitaler Datenträger, hat zu einer Überarbeitung der DIN-Norm geführt. Die DIN 66399 ersetzt die alte DIN 32757.
Sie behandelt Besonderheiten der digitalen Datenträger und legt den Standard für „Büro- und Datentechnik“ und die „Vernichtung von Datenträgern“ fest.
Wesentliche Neuerungen der DIN 66399
Drei Schutzklassen
Dies erfolgt durch die Feststellung des Schutzbedarfs und natürlich auch durch die Zuordnung der Schutzklasse sowie der verschiedenen Sicherheitsstufen. Dies dient der Klassifizierung der einzelnen Daten.
Sechs Materialklassifizierungen
Die Norm berücksichtigt unterschiedliche Materialklassifizierungen, wie die Größe der Informationen und deren Darstellung auf einzelnen Datenträgern. Folgende Datenträger werden dabei berücksichtigt:
- Dokumente aus Papier,
- optische,
- magnetische oder
- elektronische
Sieben Sicherheitsstufen
In der DIN 66399 werden sieben Sicherheitsstufen vergeben. Damit werden zwei weiteren eingeführt, denn die DIN 32757 sah lediglich fünf Sicherheitsstufen vor. Der wesentliche Unterschied ist das es eine neue Stufe P4 gibt.
Übersicht einzelner Schutzklassen
Um bei der Datenträgervernichtung das Prinzip der Angemessenheit zu berücksichtigen, ist es erforderlich, die zu vernichtenden Daten in Schutzklassen einzuteilen. Für die Wahl der Sicherheitsstufen ist die Schutzbedürftigkeit der einzelnen Daten vor der Vernichtung ausschlaggebend.
Schutzklasse 1
Dies ist der normale Schutz für Daten, welche den Betrieb nicht verlassen. Diese Informationen sind für größere Gruppen in einem Unternehmen bestimmt und für diese zugänglich. Die Offenlegung dieser Informationen hätte nur begrenzte negative Auswirkungen auf das Unternehmen. Es muss allerdings der Schutz von personenbezogenen Daten gewährleistet sein.
Beispiele für personenbezogene Daten sind der Schriftverkehr des Unternehmens, personalisierte Werbung, Kataloge, Wurfsendungen und Notizen einzelner Mitarbeiter.
Schutzklasse 2
Dies ist ein hoher Schutz für vertrauliche Daten, welche auf einen kleinen Personenkreis beschränkt sind. Die Weitergabe dieser Daten hätte erhebliche Auswirkungen auf das Unternehmen. Sie könnten gegen vertragliche Verpflichtungen des Unternehmens oder gegen Gesetze verstoßen. Dieser Schutz der personenbezogenen Daten muss daher hohen Anforderungen genügen.
Beispiele für personenbezogene Daten sind Angebote, Anfragen, Memos, Aushänge sowie Personaldaten.
Schutzklasse 3
Dies ist ein sehr hoher Schutz für sehr vertrauliche und geheime Daten. Die Zugriffsberechtigten sind namentlich bekannt und nur einem sehr kleiner Kreis von Personen vorbehalten. Eine Weitergabe dieser Daten bedroht die Existenz des Unternehmens. Weiterhin würde damit gegen Berufsgeheimnisse, Verträge oder Gesetze verstoßen werden. Der Schutz dieser personenbezogenen Daten muss uneingeschränkt gewährleistet werden.
Beispiele für Daten der Schutzklasse 3 sind Unterlagen der Geschäftsleitung, Verschluss-Sachen und Finanzdaten.
Materialklassifizierungen der DIN 66399
- Informationsdarstellung in Originalgröße wie zum Beispiel Papier, Filme und Druckplatten. (Sicherheitsstufen P-1 bis P-7)
- Informationsdarstellung verkleinert wie zum Beispiel Mikrofilme und Folie. (Sicherheitsstufen F-1 bis F-7)
- Informationsdarstellung auf optischen Datenträgern wie zum Beispiel CDs, DVDs, BluRays. (Sicherheitsstufen O-1 bis O-7)
- Informationsdarstellung auf magnetischen Datenträgern wie zum Beispiel Disketten, Kassetten, Bänder, ID-Karten und Ausweise. (Sicherheitsstufen T-1 bis T-7)
- Informationsdarstellung auf Festplatten, welche einen magnetischen Datenträger besitzen. (Sicherheitsstufen H-1 bis H-7)
- Informationsdarstellung auf elektronischen Datenträgern, wie zum Beispiel Chipkarten und Speichersticks. (Sicherheitsstufen E-1 bis E-7)
Sicherheits- und Zerkleinerungsstufen
Seit Einführung der Datenschutz-Grundverordnung wird die DIN 66399 angewandt. Im Gegensatz zur vorher geltenden DIN 32757 werden andere Schnittformate festgelegt. Die Materialien werden in unterschiedliche Kategorien eingeteilt.
Sicherheitsstufe Papier
Zur besseren Vorstellungskraft gebe ich an, in wie viele gleiche Teile ein DIN-A4-Blatt zerrissen werden muss, damit ihr die Sicherheitsstufe erfüllt.
- P-1 für Datenträger mit allgemeinen Daten, die unleserlich gemacht werden sollen. DIN A-4-Blatt in 32 Teile zerrissen
- P-2 für Papiere mit internen Daten
- P-3 für sensiblen und vertrauliche Daten
- P-4 für Datenträger mit besonders sensiblen und vertraulichen Daten
- P-5 für Dokumente mit geheim zu haltenden Informationen
- P-6 für Papiere mit geheim zu haltenden Daten, wenn sehr hohe Sicherheitsvorkehrungen einzuhalten sind
- P-7 für streng geheim zu haltenden Daten, wenn die allerhöchsten Sicherheitsvorkehrungen einzuhalten sind
Sieben Sicherheitsstufen
| wdt_ID | Sicherheitsstufe P | Teile eines DIN-A4-Blatt |
|---|---|---|
| 1 | P-1 | 32 Teile |
| 2 | P-2 | 78 Teile |
| 3 | P-3 | 195 Teile |
| 4 | P-4 | 420 Teile |
| 5 | P-5 | 2.100 Partikel |
| 6 | P-6 | 6.300 Partikel |
| 7 | P-7 | 12.600 Partikel |
| Sicherheitsstufe P | Teile eines DIN-A4-Blatt |
Häufig beschreibt bereits die Technik des Aktenvernichters die zu erreichende Sicherheitsstufe. Grundsätzlich werden die Geräte in Streifenschnitt und Kreuzschnitt unterteilt. Das Marketing hat allerdings zudem Partikelschnitt und Mikroschnitt im Angebot. Eine sinnvolle Unterteilung kann wie folgt aussehen:
| wdt_ID | Schneidtechnik | P-1 | P-2 | P-3 | P-4 | P-5 | P-6 | P-7 |
|---|---|---|---|---|---|---|---|---|
| 1 | Streifenschnitt |  |
|
 |
|
|
|
|
| 2 | Kreuzschnitt | |
|
|
|
|
|
|
| 3 | Partikelschnitt | |
|
|
|
|
|
|
| 4 | Mikroschnitt | |
|
|
|
|
|
|
| Schneidtechnik | P-1 | P-2 | P-3 | P-4 | P-5 | P-6 | P-7 |
Kategorie optische Datenträger
- O-1 max. Partikelgröße 2.000 mm²
- O-2 max. Partikelgröße 800 mm²
- O-3 max. Partikelgröße 160 mm²
- O-4 max. Partikelgröße 30 mm²
- O-5 max. Partikelgröße 10 mm²
- O-6 max. Partikelgröße 0,5 mm²
- O-6 max. Partikelgröße 0,2 mm²
Kategorie magnetische Datenträger
- T-1 Funktionsuntüchtigkeit (zerknittern, zerschneiden)
- T-2 max. Partikelgröße 2.000 mm²
- T-3 max. Partikelgröße 320 mm²
- T-4 max. Partikelgröße 160 mm²
- T-5 max. Partikelgröße 30 mm²
- T-6 max. Partikelgröße 10 mm²
- T-7 max. Partikelgröße 2,5 mm²
Kategorie Festplatten
Explizit bezieht sich Kategorie H auf magnetische Datenträger mit hoher Datendichte.
- H-1 Funktionsuntüchtigkeit (beispielsweise Teile verbiegen)
- H-2 beschädigen (Steckverbindung abreißen)
- H-3 verformen (Magnetträger zerbrechen)
- H-4 max. Partikelgröße 2.000 mm²
- H-5 max. Partikelgröße 320 mm²
- H-6 max. Partikelgröße 10 mm²
- H-7 max. Partikelgröße 5 mm²
Kategorie elektronische Datenträger
- E-1 Funktionsuntüchtigkeit (Anschluss beschädigen)
- E-2 zerteilen
- E-3 max. Partikelgröße 160 mm²
- E-4 max. Partikelgröße 30 mm²
- E-5 max. Partikelgröße 10 mm²
- E-6 max. Partikelgröße 1,0 mm²
- E-7 max. Partikelgröße 0,5 mm²
Kategorie Filme
- F-1 max. Partikelgröße 160 mm²
- F-2 max. Partikelgröße 30 mm²
- F-3 max. Partikelgröße 10 mm²
- F-4 max. Partikelgröße 2,5 mm²
- F-5 max. Partikelgröße 1,0 mm²
- F-6 max. Partikelgröße 0,5 mm²
- F-7 max. Partikelgröße 0,2 mm²
Exkurs: NSA/CSS 02-01
Die NSA/CSS 02-01 (National Security Agency/Central Security Service, Information Assurance Directorate) ist ein Leitfaden der US-Behörde für nationale Sicherheit für die sichere Löschung von Daten auf elektronischen Medien. Der Leitfaden beschreibt Verfahren und Anforderungen für die sichere Löschung von Daten auf Festplatten, USB-Sticks und anderen elektronischen Medien, die in Regierungsbehörden und anderen Organisationen verwendet werden.
Der Leitfaden stellt fest, dass die sichere Löschung von Daten auf elektronischen Medien eine wichtige Maßnahme zum Schutz der Privatsphäre und der nationalen Sicherheit ist. Er gibt Empfehlungen und Anforderungen für die Verwendung von Löschverfahren und -software, die sicherstellen, dass die Daten nicht wiederhergestellt werden können.
Der Leitfaden gibt auch Empfehlungen für die Überwachung und Dokumentation der Löschprozesse, um sicherzustellen, dass sie ordnungsgemäß durchgeführt werden. Er wird von Regierungsbehörden und anderen Organisationen in den USA verwendet, die sichere Löschverfahren für elektronische Medien einführen möchten.
Fragen und Antworten
Können geschredderte Dokumente aus Aktenvernichtern wieder hergestellt werden?
In der Regel sind geschredderte Dokumente aus Aktenvernichtern nicht wiederherstellbar, wenn sie ordnungsgemäß vernichtet wurden. Es gibt jedoch Fälle, in denen Dokumente, die von einem mangelhaft funktionierenden Aktenvernichter vernichtet wurden, wiederhergestellt werden können.
Die Wiederherstellbarkeit von geschredderten Dokumenten hängt von verschiedenen Faktoren ab, wie dem Grad der Zerstörung, dem Alter und dem Zustand des Papiers und dem verwendeten Schredderverfahren. In der Regel sind Dokumente, die von hochwertigen Aktenvernichtern mit einem hohen Sicherheitsgrad vernichtet wurden, weniger wiederherstellbar als Dokumente, die von mangelhaft funktionierenden oder älteren Aktenvernichtern vernichtet wurden.
Um sicherzustellen, dass geschredderte Dokumente nicht wiederhergestellt werden können, empfiehlt es sich, einen Aktenvernichter zu verwenden, der den geltenden Sicherheitsstandards entspricht und regelmäßig gewartet wird. Es ist auch wichtig, dass der Aktenvernichter ordnungsgemäß bedient wird und dass das Papier in kleine Stücke geschnitten wird, um die Wiederherstellbarkeit zu verringern.
Quellen
Beuth Verlag: DIN 66399-1:2012-10 & DIN 66399-2:2012-10
Warum gibt es hier bei der Aufzaehlung/Beschreibung eine andere Reihenfolge als in der Praxis ueblich?
Das erschwert die Nachverfolgung des Artikels.
Materialklassifizierungen der DIN 66399
hier an zweiter Stelle
2. Sicherheitsstufen F-1 bis F-7
In der Praxis (z.B. p-4, o-1, t-2, e-2, f-1) ‚F‘-Stufen immer am Schluss genannt.
Danke für deine Anmerkung, die ich direkt umgesetzt habe.
Die Sicherheit lässt sich erhöhen, wenn alle Partikel in einen möglichst großen Behälter geschüttet werden. Die Wahrscheinlichkeit, die richtigen wieder zusammenzufinden, schwindet enorm.
In der Tat, denn dies beschreibt auf eine andere Weise die Sicherheitsstufen. Diese basieren auf der Anzahl von einzelnen Teilen/Partikeln. Je mehr Partikel, desto höher die Sicherheitsstufe. Aus dem Grund besteht quasi sogar ein Zusammenhang zum Auffangbehälter, denn wenn hier mehr Blätter hineinpassen, diese beim Entsorgen noch einmal durchgemischt werden, wird die Sicherheit automatisch erhöht.