Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Physische Kontrolle

A.7.10 — Speichermedien

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.7.10 ISO 27001ISO 27002BSI SYS.4.5

Beim Umzug ins neue Büro werden alte Rechner an einen Aufkäufer abgegeben. Die Festplatten wurden „formatiert”. Sechs Monate später tauchen Kundendaten auf einer Gebrauchtplattform auf — ein Käufer hatte die Festplatten mit Standardtools wiederhergestellt. A.7.10 regelt den gesamten Lebenszyklus von Speichermedien: Beschaffung, Nutzung, Transport, Aufbewahrung und sichere Entsorgung.

Die Kontrolle umfasst alle Medientypen: digitale Datenträger (USB, Festplatten, Bänder, SSDs), optische Medien (CDs, DVDs) und Papier. Für jede Phase des Lebenszyklus gelten Schutzanforderungen, die sich am Klassifizierungsschema der Organisation orientieren.

Was verlangt die Norm?

  • Klassifizierungsschema anwenden. Speichermedien werden gemäß dem Klassifizierungsschema der Organisation behandelt: Kennzeichnung, Aufbewahrung, Transport und Entsorgung richten sich nach der Vertraulichkeitsstufe.
  • Sichere Aufbewahrung. Medien werden an einem sicheren Ort gelagert, geschützt vor Wasser, Feuer, Diebstahl und unbefugtem Zugriff. Sensible Medien werden bei Bedarf verschlüsselt.
  • Autorisierte Nutzung. Richtlinien regeln, wer welche Speichermedien verwenden darf, wie sie aufbewahrt werden und wie Informationsübertragungen überwacht werden.
  • Sichere Entsorgung. Vor der Entsorgung oder Wiederverwendung werden alle sensiblen Informationen sicher gelöscht oder der Datenträger physisch vernichtet. Jede Aktion wird protokolliert.
  • Externe Entsorgungspartner kontrollieren. Wenn die Organisation mit Dritten für die Entsorgung zusammenarbeitet, wird sichergestellt, dass diese Partner angemessene Kontrollen haben. Vernichtungszertifikate werden eingeholt.

In der Praxis

Medieninventar führen. Erfasse alle Speichermedien mit Klassifizierung, Standort und verantwortlicher Person. Das Inventar wird regelmäßig abgeglichen — insbesondere bei Umzügen, Gerätewechseln und beim Ausscheiden von Beschäftigten.

Entsorgungsprozess formalisieren. Definiere für jede Medienart das Entsorgungsverfahren: Software-Löschung (für Wiederverwendung), physische Vernichtung (Shredder, Degausser) oder Beauftragung eines zertifizierten Entsorgungsunternehmens. Jede Entsorgung wird mit Datum, Medium-ID, Verfahren und verantwortlicher Person protokolliert.

Papiershredder bereitstellen. Papier ist das am häufigsten vergessene Speichermedium. Stell Shredder (mindestens Sicherheitsstufe P-4, für vertrauliche Dokumente P-5 oder höher nach DIN 66399) an zentralen Stellen bereit. Sammelbehälter für vertrauliche Dokumente sind die Alternative für Organisationen ohne eigene Shredder.

Transport absichern. Beim Transport von Datenträgern (z. B. Backup-Bänder zum externen Tresor) werden verschlüsselte Medien in versiegelten Behältern transportiert. Die Übergabe wird dokumentiert, die Empfangsperson quittiert.

Typische Audit-Nachweise

Auditoren erwarten bei A.7.10 typischerweise diese Nachweise:

  • Richtlinie zur Medienverwaltung — dokumentierte Regelung für Klassifizierung, Nutzung, Transport und Entsorgung (→ Physische Sicherheitsrichtlinie im Starter Kit)
  • Medieninventar — Aufstellung aller Speichermedien mit Klassifizierung und Standort
  • Entsorgungsprotokolle — Nachweis der sicheren Löschung oder Vernichtung
  • Vernichtungszertifikate — bei externer Entsorgung
  • USB-Richtlinie und GPO-Nachweis — Konfigurationsnachweis der USB-Einschränkung
  • Transportprotokolle — Nachweis der sicheren Übergabe bei externem Transport

KPI

Anteil der Speichermedien, die gemäß Klassifizierungs- und Entsorgungsrichtlinie verwaltet werden

Gemessen als Prozentsatz: Wie viele deiner inventarisierten Speichermedien werden nachweislich gemäß Richtlinie verwaltet und entsorgt? Ziel: 100%. Typische Lücke: Alt-Medien in Schubladen und Schränken, die nie erfasst wurden.

Ergänzende KPIs:

  • Anteil der entsorgten Medien mit dokumentiertem Vernichtungsnachweis
  • Anzahl der unkontrollierten USB-Sticks, die bei Stichproben gefunden werden
  • Anteil der Drucker mit aktivierter Festplattenverschlüsselung

BSI IT-Grundschutz

A.7.10 mappt auf mehrere BSI-Bausteine:

  • SYS.4.5 (Wechseldatenträger) — Kernbaustein: Richtlinie für die Nutzung, Kennzeichnung, Verschlüsselung und Entsorgung von Wechselmedien.
  • CON.6 (Löschen und Vernichten) — Verfahren für die sichere Löschung und physische Vernichtung von Datenträgern nach DIN 66399.
  • CON.3.A12 — Sichere Löschung vor Weitergabe oder Entsorgung von Datenträgern.
  • OPS.1.2.2.A3 — Inventarisierung und Nachverfolgung von Speichermedien.
  • CON.7.A10, CON.7.A13 — Schutz von Datenträgern auf Dienstreisen.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Was zählt alles als Speichermedium im Sinne von A.7.10?

Alles, worauf Informationen gespeichert werden können: USB-Sticks, externe Festplatten, SD-Karten, CDs/DVDs, Magnetbänder, SSD-Laufwerke — und Papier. Auch Drucker mit internem Speicher und Kopierer mit Festplatten fallen darunter.

Reicht normales Löschen, oder muss ich Datenträger überschreiben?

Normales Löschen (Papierkorb leeren, Formatieren) entfernt nur die Verzeichniseinträge, die Daten bleiben physisch vorhanden. Für sensible Daten ist ein zertifiziertes Löschverfahren erforderlich (z. B. NIST 800-88, BSI-Empfehlung). Bei SSDs mit Wear-Leveling kann zusätzlich ATA Secure Erase oder physische Vernichtung nötig sein.

Müssen wir die Entsorgung protokollieren?

Ja. Für jeden Datenträger, der entsorgt oder zur Wiederverwendung aufbereitet wird, muss ein Nachweis existieren: was wurde vernichtet, wann, durch wen, mit welchem Verfahren. Bei externer Entsorgung kommt ein Vernichtungszertifikat des Dienstleisters hinzu.