27.11.2006 | Autor / Redakteur: Bill Brenner, Senior News Writer SearchSecurity.com / Achim Karpf
Während eines Computer-Upgrade wird man unter Umständen dazu verleitet, alte Festplatten zu entsorgen oder sie auf eBay zu verkaufen. Aber es könnte besser sein, sie mit einem Baseballschläger zu zerschlagen. Ansonsten, warnt der Computer Forensiker Simson L. Garfinkel, könnten empfindliche Daten auf der Festplatten eines Tages in den falschen Händen landen.
Garfinkel, ein promovierter Stipendiat am Centre for Research on Computation and Society at Harvard University, drängt auf eine richtiger Festplattenentsorgung auf dem MIS Training Institute‘s Annual Conference and Expo on Control and Audit of Information Technology, das letzte Woche in Boston stattfand.
„Wenn Sie eine Festplatte ausmustern, verhindert physische Zerstörung den Zugriff auf die Information vollständig“, erklärt er.
Nach einer intensiven Untersuchung hat er festgestellt, dass viele alte Festplatten im Umlauf sind, die immer noch sensible Daten enthalten. Viele werden wieder in Betrieb genommen oder verkauft und enden später bei eBay. „Ein Unternehmen hatte 300 Rechner aufgerüstet und musste die alten Festplatten ausmustern“, erläutert Garfinkel. Sie wurden als Ersatzteile verkauft.
„Seit 1998 habe ich 1.000 und mehr Festplatten auf dem sekundären Markt gekauft und sie von FedEx liefern lassen“, fuhr Garfinkel fort.
Garfinkel und sein Forscherkollege Abhi Shelat betrieben ihre Forschungen unter diesen Aspekten, als sie 158 Festplatten bei Online-Auktionen, Tauschtreffen und in Computergebrauchthandel kauften.
Sie durchwühlten die alten Geräte und fanden Tausende von Kreditkartennummern, Finanzdaten, medizinische Informationen, Betriebsgeheimnissen und andere hoch persönliche Informationen.
„Sie nennen etwas, wir haben es gefunden“ erläuterte Garfinkel.
Er wandte sich dann an 20 Unternehmen und fragte sie, wie es sein konnte, dass er an ihre Daten kam. Die Auswertung der Rückmeldungen ergab, dass Organisationen sich zu oft ihren Dienstleistern vertrauten, die die Platten und Speichergeräte fachgerecht entsorgen sollten. Stattdessen wurden die Geräte mit allen enthalten Daten in der Weltgeschichte herumgeschickt. Ein Autohändler zum Beispiel stellte einen Berater ein, um seine Computer zu aktualisieren, und nahm an, dass die alten Maschinen zerstört wurden. Stattdessen verkaufte der Auftragnehmer die Teile bei eBay.
Ein weiteres Problem ist, dass Angestellte nicht richtig in Datenzerstörungstechniken ausgebildet wurden. Das Ergebnis war, dass sensible Daten eines kalifornischen Elektronikherstellers, ein Kreditkartenverarbeitungssystem eines Supermarktes und ein Geldautomat einer Bank in Chicago ihren Weg in die weite Welt fanden.
In einigen Fällen stellte er fest, dass die betroffenen Partner sich einfach nicht für den Verbleib der Geräte interessierten. Zwei Beispiele waren ein bankrotter Internet-Software-Entwickler und eine Computerzeitschrift, die Entlassungen vorgenommen hatten und die Rechner einfach verschwanden. „Es interessierte die Unternehmen einfach nicht“, sagte Garfinkel. „Sie passten nicht auf.“
Das Festplattenproblem ist nur ein Beispiel dafür, warum Organisationen ihre Sicherheitskontrollen prüfen müssen, analysierte Garfinkel. In der Tat handelte seine größere Präsentation bei der MIS-Veranstaltung vom Wert der Forensik und der Selbstüberwachung (Self-Audit).
Er sagte, dass Unternehmen Forensik in ihrem Netzwerk verwenden können „um zu verstehen, was eigentlich über ihr Netzwerk läuft und um die Wirksamkeit von Abwendungs-Performance und Sicherheit zu testen.“ Die Forensik kann auch dazu verwendet werden, um regulative Compliance-Anstrengungen zu überprüfen und den Datenfluss über Netzgrenzen zu verfolgen.
Und die Forensik kann natürlich auch verwendet werden, um alte Festplatten zu verfolgen und zu überprüfen, ob sie richtig entsorgt wurden.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2001127)
