• Mai 7, 2026

    Data Destruction

    Data Destruction ist mehr als das Löschen einer Datei. Erfahre, welche Methoden wirklich sicher sind: von softwarebasierter Löschung bis zur physischen Vernichtung.

    Antwort 37 zu den 43 wichtigsten Security Controls: Data Destruction

     

    Nutzen wir sichere Methoden zur Vernichtung von Daten?

    Es ist eine unbequeme Frage – und genau deshalb solltest du sie dir regelmäßig stellen. Denn in vielen Unternehmen läuft die Datenvernichtung noch immer nach dem Prinzip „wird schon passen“: Eine alte Festplatte wird formatiert, ein Laptop an einen Mitarbeiter weitergegeben oder ein Server still und leise entsorgt. Was dabei auf dem Datenträger wirklich zurückbleibt, interessiert kaum jemanden – bis es zu spät ist.

    Als Verantwortlicher für IT-Infrastruktur und Datensicherheit trägst du die Pflicht, Data Destruction nicht dem Zufall zu überlassen. Und hier lauern deutlich mehr technische Fallstricke, als viele vermuten.

     

    Warum das Thema dringlicher ist als je zuvor

    Datenlecks entstehen nicht nur durch Hacker oder schlecht gesicherte Cloud-Zugänge. Immer wieder entstehen Datenschutzvorfälle durch unsachgemäß entsorgte oder weiterverkaufte Hardware. Gebrauchte Festplatten, die auf Flohmärkten oder bei Wiederverkäufern landen, enthalten erschreckend häufig noch lesbare Unternehmensdaten – Gehaltslisten, Kundendaten oder interne Strategiedokumente.

    Hinzu kommt: Die DSGVO macht keine Ausnahme für vergessene Datensätze auf alter Hardware. Bußgelder, Reputationsschäden und im schlimmsten Fall erhebliche rechtliche Konsequenzen sind reale Risiken, die sich durch konsequente Data Destruction vermeiden lassen.

     

    Die entscheidende Weichenstellung: Software oder physische Vernichtung?

    Bevor wir tiefer in die Technik einsteigen, muss eine grundlegende Frage geklärt werden: Soll der Datenträger nach der Löschung weiterverwendet werden – oder nicht? Diese Entscheidung bestimmt alles Weitere. Und sie wird in der Praxis viel zu selten bewusst getroffen.

    Weiternutzung oder Verkauf des Geräts
    Softwarebasierte Löschmethoden sind hier der richtige Weg. Sie erhalten die Funktionsfähigkeit des Datenträgers, sind vollständig dokumentierbar und erfüllen bei korrekter Anwendung gängige Compliance-Anforderungen.

    End-of-Life, defekte Hardware oder hochsensible Daten
    Physische Vernichtung ist die sicherste Lösung.

    Das klingt einfach – ist es in der Umsetzung aber nicht immer. Schauen wir uns deshalb die technischen Methoden im Detail an.

     

    Softwarebasierte Datenlöschung: Mehr als nur „alles überschreiben“

    Das Grundprinzip ist bekannt: Daten werden nicht wirklich gelöscht, wenn du eine Datei in den Papierkorb verschiebst oder eine Festplatte formatierst. Das Betriebssystem markiert den Speicherplatz lediglich als „frei“ – die eigentlichen Daten bleiben physisch erhalten und sind mit forensischen Tools oft wiederherstellbar.

    Echte Data Destruction per Software bedeutet deshalb: gezieltes Überschreiben des gesamten Speicherbereichs mit definierten Bitmustern. Dafür existieren verschiedene international anerkannte Standards, die sich in ihrer Sicherheitsstufe und ihrem Aufwand unterscheiden.

    DoD 5220.22-M – der Standard, der seinen Zenit überschritten hat
    Der vom US-Verteidigungsministerium entwickelte DoD-Standard war jahrzehntelang eine der bekanntesten Referenzen. Das Verfahren schreibt drei Überschreibungsdurchgänge vor: zunächst mit einem festen Bitmuster (z. B. alle Nullen), dann mit dem invertierten Muster (alle Einsen) und schließlich mit Zufallsdaten.

    Das war für magnetische Festplatten der damaligen Zeit sinnvoll. Für moderne Flash-basierte Speichermedien gilt der Standard heute jedoch als technisch überholt und nur eingeschränkt verlässlich. SSDs verfügen über Wear-Leveling-Algorithmen, die bestimmen, welche physischen Speicherzellen beschrieben werden – und diese Logik lässt sich von außen nicht vollständig kontrollieren.

    NIST SP 800-88 – der aktuelle Goldstandard
    Das National Institute of Standards and Technology hat mit der Richtlinie NIST SP 800-88 einen modernen Standard entwickelt, der explizit die Anforderungen heutiger Hardware berücksichtigt. Er unterscheidet drei Stufen:

    • Clear – grundlegendes Überschreiben, geeignet für weniger sensible Daten ohne erhöhtes Wiederherstellungsrisiko
    • Purge – intensivere Bereinigung durch kryptografische Löschverfahren oder Degaussing; das Gerät bleibt danach unter Umständen weiterverwendbar
    • Destroy – physische Vernichtung durch Schreddern, Schmelzen oder Verbrennen

    Der entscheidende Fortschritt gegenüber älteren Standards: NIST betrachtet bei modernen magnetischen Datenträgern einen vollständigen Überschreibungsdurchgang in der Regel als ausreichend, sofern die Löschung korrekt verifiziert wird. Mehrfaches Überschreiben bringt nach aktuellem Stand der Technik meist keinen zusätzlichen Sicherheitsgewinn, verursacht aber erheblich mehr Zeit- und Ressourcenaufwand. Globale Sicherheitsbehörden wie das BSI und das britische NCSC teilen diese Einschätzung.

    Moderne SSD-Löschung: ATA Secure Erase & NVMe Sanitize
    Moderne SSDs unterstützen häufig hardware- bzw. firmwarebasierte Löschfunktionen wie ATA Secure Erase oder NVMe Sanitize. Dabei wird der Löschvorgang direkt vom Controller des Laufwerks durchgeführt. Dadurch lassen sich auch interne Reservebereiche adressieren, die klassische Softwaretools oft nicht zuverlässig erreichen. Voraussetzung ist allerdings eine vertrauenswürdige und korrekt implementierte Firmware des Herstellers. Gerade in professionellen Umgebungen gelten diese Verfahren heute als deutlich geeigneter als klassische Mehrfachüberschreibungen.

    BSI VSITR – historisch relevant, heute ergänzt
    Das Bundesamt für Sicherheit in der Informationstechnik empfahl mit dem VSITR-Ansatz lange Zeit ein siebenstufiges Überschreibungsverfahren. Die Daten wurden dabei mehrfach mit unterschiedlichen Bitmustern überschrieben. Der VSITR-Ansatz hat historisch hohe Bedeutung in Deutschland, wird heute jedoch weitgehend durch modernere Empfehlungen und medienabhängige Löschverfahren ergänzt. Besonders in Behörden und sicherheitskritischen Bereichen ist der Begriff weiterhin bekannt.

    Die Gutmann-Methode – historisch interessant, praktisch überdimensioniert
    Für maximale Sicherheit galt lange Zeit die von Peter Gutmann entwickelte 35-Pass-Methode. Sie wurde ursprünglich für ältere MFM/RLL-Festplatten konzipiert und schrieb 35 Überschreibungsdurchgänge mit unterschiedlichen Mustern vor. Heute gilt die Gutmann-Methode vor allem als historisch relevantes Verfahren, das für moderne Speichermedien praktisch keinen zusätzlichen Sicherheitsgewinn bietet. Selbst Peter Gutmann weist darauf hin, dass die Methode für heutige Datenträger weitgehend unnötig geworden ist.

    IEEE 2883-2022 – moderner Standard für Unternehmen
    Seit 2022 existiert mit IEEE 2883 ein moderner Standard, der speziell auch auf den privatwirtschaftlichen Einsatz abzielt. Er orientiert sich am Clear-Purge-Destroy-Framework von NIST 800-88 und definiert detaillierte Anforderungen für verschiedene Medientypen und Schutzklassen. Der Standard stellt dabei insbesondere hohe Anforderungen an physische Vernichtungsverfahren und berücksichtigt auch Gerätekategorien, die ältere Standards bislang nur eingeschränkt adressieren.

     

    Der blinde Fleck: SSDs und Flash-Speicher

    Hier liegt einer der häufigsten Fehler in der Praxis. Viele Teams wenden Löschmethoden, die für klassische HDDs entwickelt wurden, unverändert auf SSDs an – und wiegen sich dabei in falscher Sicherheit.

    SSDs speichern Daten nicht auf magnetisierten Platten, sondern in NAND-Flash-Zellen. Der interne Controller entscheidet eigenständig, welche physischen Zellen beim Schreiben genutzt werden. Das bedeutet: Ein Softwaretool, das einen Überschreibungsbefehl an die SSD sendet, kann nicht garantieren, dass tatsächlich alle physischen Speicherzellen – inklusive reservierter Over-Provisioning-Bereiche – überschrieben wurden.

    Für SSDs gelten heute vor allem zwei Ansätze als zuverlässig:

    1. Krypto-Schreddern (Cryptographic Erasure)
    Wenn die Daten auf dem Laufwerk von Anfang an verschlüsselt gespeichert wurden, genügt es, den kryptografischen Schlüssel zu löschen. Ohne Schlüssel bleiben die Daten zwar physisch vorhanden, sind aber praktisch nicht mehr nutzbar. Voraussetzung ist allerdings, dass die Daten durchgängig verschlüsselt gespeichert wurden. Diese Methode ist schnell, ressourceneffizient und besonders für moderne SSD-Infrastrukturen geeignet.

    2. Physische Zerstörung
    Wenn absolut sichergestellt werden muss, dass keine Datenfragmente rekonstruierbar sind, bleibt bei SSDs letztlich nur die physische Vernichtung.

     

    Physische Data Destruction: Wenn Software an ihre Grenzen stößt

    Für Datenträger am Ende ihres Lebenszyklus oder mit defekter Hardware ist physische Vernichtung oft die einzig praktikable Lösung. Dabei ist die technische Ausführung entscheidend.

    Schreddern nach DIN 66399
    Die DIN 66399 definiert medienabhängige Partikelgrößen und Sicherheitsklassen für die physische Vernichtung. Bei hohen Sicherheitsstufen werden Datenträger auf extrem kleine Fragmente reduziert, sodass eine Rekonstruktion praktisch ausgeschlossen ist. Industrieschredder, die diese Anforderungen erfüllen, kommen überwiegend bei spezialisierten Dienstleistern zum Einsatz.

    Degaussing – präzise Entmagnetisierung
    Degaussing nutzt ein starkes Magnetfeld, um die Magnetisierung eines Speichermediums vollständig zu zerstören. Das Verfahren eignet sich hervorragend für magnetische Datenträger wie klassische HDDs oder Magnetbänder. Für SSDs, USB-Sticks und andere Flash-Speicher ist Degaussing dagegen wirkungslos. Flash-Speicher arbeiten mit elektrischen Ladungszuständen in Transistoren – Magnetfelder beeinflussen diese nicht.

    Schmelzen und Verbrennen
    Für maximale Sicherheit – etwa in Regierungsbehörden, militärischen Umgebungen oder bei hochsensiblen Daten – gelten Einschmelzen und Verbrennen weiterhin als besonders robuste Vernichtungsverfahren. Sie hinterlassen keine praktisch rekonstruierbaren Datenreste.

     

    Was das in der Praxis bedeutet

    Die technischen Methoden sind vorhanden, etabliert und erprobt. Die eigentliche Schwachstelle in vielen Unternehmen ist nicht fehlendes Wissen, sondern fehlende Prozessdisziplin. Folgende Best Practices sollten in jeder IT-Governance verankert sein:

    • Medientyp bestimmt Methode: HDD, SSD, Magnetband oder USB-Stick benötigen unterschiedliche Verfahren.
    • Klassifizierung vor Entsorgung: Vor der Aussonderung muss klar sein, welche Schutzklasse die Daten hatten.
    • Lückenlose Dokumentation: Jeder Lösch- oder Vernichtungsvorgang sollte nachvollziehbar protokolliert werden.
    • Defekte Geräte separat behandeln: Nicht ansprechbare Laufwerke können nicht softwarebasiert gelöscht werden.
    • Zertifizierte Dienstleister einsetzen: Besonders bei physischer Vernichtung sind DIN-66399-konforme Anbieter mit Vernichtungsnachweisen essenziell.

     

    Die Frage beantwortet sich im Prozess

    Nutzt dein Unternehmen sichere Methoden zur Vernichtung von Daten? Die ehrliche Antwort hängt nicht davon ab, ob du die Methoden kennst. Die meisten kennen sie. Entscheidend ist, ob Data Destruction konsequent, medienspezifisch und dokumentiert umgesetzt wird.

    Ein formatiertes Laufwerk ist kein sicher gelöschtes Laufwerk. Eine SSD, die mit einem klassischen HDD-Verfahren behandelt wurde, ist keine verlässliche Data Destruction. Und ein Datenträger im Hausmüll ist ein potenzielles Datenleck.

    Die gute Nachricht: Die Standards existieren, die Methoden sind etabliert und die Umsetzung ist bei richtiger Planung weder teuer noch kompliziert. Was es braucht, ist eine bewusste Entscheidung – und die Konsequenz, sie sauber umzusetzen.

    NEWS & EVENTS