Ist iShredder NIST SP 800‑88 kompatibel? Wie lautet die Konformitätserklärung?

Diese Selbstdeklaration belegt, dass die iShredder™-Software (für Android, iOS, Windows, macOS und Windows Server) die Richtlinien der NIST Special Publication 800‑88 Revision 1 – Guidelines for Media Sanitization umsetzt. Dieses vom U.S. National Institute of Standards and Technology (NIST) veröffentlichte Dokument beschreibt Best Practices zur unwiederbringlichen Datenlöschung („Media Sanitization“).

NIST SP 800‑88 unterscheidet drei Sicherheitsstufen:

1. Clear (logisches Löschen/Überschreiben)
2. Purge (erweiterte Methoden, inkl. Hardware-basierten Löschbefehlen oder Kryptografie)
3. Destroy (physische Zerstörung)

Da NIST SP 800‑88 kein zertifizierbarer Standard im klassischen Sinne ist, erfolgt der Konformitätsnachweis durch die Implementierung der empfohlenen Methoden und die lückenlose Dokumentation der Löschvorgänge. Viele Organisationen – von Regierungsbehörden bis hin zu Cloud-Anbietern – orientieren sich an diesen Vorgaben, um eine sichere Datenentsorgung zu gewährleisten.
 

1. Datenklassifizierung und Auswahl der Löschmethode

Die NIST SP 800‑88 betont, dass die Auswahl der geeigneten Löschmethode (Clear, Purge oder Destroy) auf einer Datenklassifizierung basieren sollte:

• Clear: Für weniger sensible Daten ausreichend.
• Purge: Für Daten, die auch gegenüber fortgeschrittenen forensischen Analysen geschützt werden müssen.
• Destroy: Für Daten, die in keinem Fall wiederhergestellt werden dürfen und bei denen eine Wiederverwendung des Datenträgers nicht erforderlich ist (physische Zerstörung).

iShredder™ unterstützt diesen Prozess, indem die Software alle relevanten Methoden zur Verfügung stellt. Administratoren und Verantwortliche können anhand ihrer Sicherheitsstufe (Clear/Purge) die passende Funktion auswählen und dokumentieren.

 

2. NIST SP 800‑88 – Anforderungen an die Datenlöschung

2.1 Clear (Löschen)

• Definition:
  Logische Löschmethode mittels (mindestens) einmaligem Überschreiben aller benutzeradressierbaren Speicherbereiche mit vordefinierten Mustern (z. B. Nullen, Zufallszahlen).
• Ziel:
  Mit einfachen Software-Tools soll keine Wiederherstellung mehr möglich sein.
• Grenzen:
  In seltenen Fällen könnten spezialisierte Laborverfahren (z. B. bei älteren HDDs) noch Spuren finden, weshalb Clear für hochsensible Daten nicht immer ausreicht.

2.2 Purge (sicher Bereinigen)

• Definition:
  Erweiterte Methoden, die auch gegen fortgeschrittene forensische Analysen Bestand haben. Neben (mehrfachen) Überschreibverfahren schließt dies besonders Hardware-Kommandos (Secure Erase, Sanitize) und kryptografisches Löschen (Crypto Erase) ein.
• Ziel:
  Auch schwer zugängliche Datenbereiche (z. B. HPA/DCO, Wear-Leveling-Reserven bei SSDs) werden zuverlässig entfernt.
• Beispielverfahren:
  ATA Secure Erase oder Sanitize-Befehle (Block Erase, Crypto Erase).
  Entfernen/Deaktivieren von HPA (Host Protected Area) und DCO (Device Configuration Overlay).
  Kryptografisches Löschen durch Vernichtung des Verschlüsselungsschlüssels (Self-Encrypting Drives, iOS-Geräte mit Secure Enclave etc.).

2.3 Destroy (Vernichten)

• Definition:
  Physische Zerstörung (z. B. Schreddern, Pulverisieren, Verbrennen), wodurch eine Wiederherstellung praktisch ausgeschlossen ist.
• Anwendung:
  Empfohlen, wenn Datenträger nicht weiterverwendet werden sollen oder massiv beschädigt sind, sodass Software-Methoden (Clear/Purge) nicht greifen können.
   

3. Umsetzung in iShredder™

iShredder™ wurde konzipiert, um die Löschverfahren gemäß NIST SP 800‑88 – sowohl Clear als auch Purge – in verschiedenen Plattformumgebungen (Android, iOS, Windows, macOS, Windows Server) nutzbar zu machen. Die Software unterstützt darüber hinaus automatisierte Verifizierung und erstellt detaillierte Löschberichte (Erasure Reports).

3.1 Clear-Verfahren in iShredder™

• Einmaliges Überschreiben:
  iShredder™ überschreibt standardmäßig alle logischen Sektoren des Datenträgers mit einem festen oder zufälligen Muster (z. B. 0x00, 0xFF oder zufälligen Bytes).
• Verifizierung:
  Nach dem Schreibvorgang kann wahlweise eine stichprobenartige (Spot Check) oder eine vollständige (Full Verify) Prüfung der überschriebenen Sektoren erfolgen. Damit wird sichergestellt, dass alle Bereiche korrekt überschrieben wurden.
• Dokumentation:
  iShredder™ erstellt für jeden Löschvorgang ein Löschprotokoll, das u. a. folgende Informationen enthält:
  - Datum und Uhrzeit
  - Verantwortlicher Operator
  - Geräte- oder Laufwerksdaten (Seriennummer, Modell)
  - Verwendetes Löschmuster
  - Ergebnis der Verifizierung (Anzahl gelesener Sektoren, etwaige Fehler)

Damit erfüllt iShredder™ die NIST-Anforderungen für Clear.
 

3.2 Purge-Verfahren in iShredder™

Purge setzt auf teils identische Techniken wie Clear, allerdings erweitert um hardwaregestützte oder kryptografische Löschansätze, um fortgeschrittene forensische Wiederherstellungsversuche zu vereiteln:

Hardware-Kommandos:

• ATA Secure Erase oder Sanitize (Overwrite EXT, Block Erase, Crypto Erase) für kompatible HDDs/SSDs.
• Deaktivieren/Entfernen von HPA und DCO, damit keine versteckten Sektoren unberührt bleiben.
• Je nach Gerät: Ausführung von nativen Hersteller-Resets, die den internen Speichercontroller anweisen, sämtliche Flash-Blöcke oder Cache-Bereiche zu löschen.
   

Kryptografisches Löschen (Crypto Erase):
Bei selbstverschlüsselnden Laufwerken (SEDs) oder iOS-Geräten (Secure Enclave) kann iShredder den Verschlüsselungsschlüssel gezielt entfernen. Ohne diesen Key sind die Daten unlesbar.
Ergänzend wird ein Verifizierungsschritt angeboten, der z. B. prüft, ob alle Sektoren neu beschrieben oder nicht mehr lesbar sind.
 

Verifizierung & Reporting:
iShredder™ führt nach dem gewählten Purge-Verfahren eine Validierung durch. Sämtliche Ergebnisse werden in einem signierten Erasure Report festgehalten (inkl. „NIST-Purge-Status“).

Damit erfüllt iShredder™ die NIST-Anforderungen für Purge. Dies ist besonders wichtig für SSDs und mobile Endgeräte, bei denen Wear-Leveling-Mechanismen einfache Mehrfachüberschreibungen unterwandern könnten.
 

3.3 Destroy-Verfahren

iShredder™ selbst führt keine physische Zerstörung durch (Destroy). Falls ein Datenträger:
Stark beschädigt ist und sich nicht vollständig überschreiben lässt, oder Daten enthält, die einer besonders hohen Schutzklasse unterliegen und keine Wiederverwendung zulassen, kann gemäß NIST SP 800‑88 die physische Vernichtung die einzige Option sein.
iShredder™ dokumentiert in solchen Fällen, wenn ein Löschvorgang unvollständig blieb (z. B. aufgrund defekter Sektoren), sodass die Organisation ggf. Destroy einleiten kann.
 

4. Umgang mit besonderen Speicherszenarien

4.1 Defekte oder „schwierige“ Datenträger

Gemäß NIST SP 800‑88 kann es bei beschädigten Laufwerken vorkommen, dass nicht alle Sektoren per Software erreicht werden. iShredder™ erkennt und protokolliert fehlerhafte Bereiche. Sollte es unmöglich sein, diese logisch zu überschreiben, empfiehlt sich die physische Zerstörung (Destroy), um Restdaten zuverlässig unzugänglich zu machen.

4.2 Virtualisierte Umgebungen / Cloud-Speicher

Virtual Disks: iShredder™ kann innerhalb einer VM sämtliche Datenbereiche überschreiben (Clear/Purge), bevor das virtuelle Laufwerk entsorgt wird.

Kryptografische Löschung in der Cloud: Viele Cloud-Anbieter verwenden standardmäßig eine Verschlüsselung der Kundendaten und löschen nach der Deprovisionierung schlicht den Key (Crypto Erase). iShredder™ kann ergänzend zur Cloud-seitigen Schlüsselvernichtung eingesetzt werden, sofern physischer Zugriff auf die darunterliegenden Laufwerke besteht.

4.3 Mobile Geräte (iOS/Android)

• iShredder™ iOS: nutzt den hardwaregestützten Sicherheitskern (Secure Enclave) und kann den System-Verschlüsselungsschlüssel entfernen, um Purge zu realisieren.
• iShredder™ Android: implementiert Überschreib-Verfahren und plant die Unterstützung herstellerspezifischer Befehle, um auch dort ein Purge-Level zu erreichen (z. B. via OEM-Secure-Erase-Funktion bei kompatiblen Smartphones).
   

5. Verifizierung und Reporting

Eine zentrale NIST-Vorgabe ist die Überprüfung (Verify), ob das Löschverfahren erfolgreich war. iShredder™ bietet dazu automatisch während des Löschvorgangs:

Full Verify:
Full Verify (vollständige Prüfung) für höchste Sicherheit.

 

Erasure Report:

Enthält alle relevanten Informationen (z. B. Seriennummer, Zeitpunkt, Löschmethode, Verifikationsergebnis). Wird auf Wunsch manipulationssicher signiert und lässt sich in Audits (ISO 27001, GDPR, interne Asset-Disposal-Prozesse) einbinden. Unterstützt die Anforderungen aus Anhang G (Sample Certificate of Sanitization) der NIST SP 800‑88 Revision 1.

6. Organisatorische Aspekte und Compliance

• Verantwortung der Organisation:
  Die Einhaltung von NIST SP 800‑88 setzt voraus, dass die Organisation intern definiert, wann Clear, Purge oder Destroy angewandt wird. iShredder™ liefert die technischen Werkzeuge, die Entscheidung liegt beim Anwender.
• Weitere Standards (GDPR, ISO 27001, HIPAA etc.):
  NIST SP 800‑88 wird in vielen Fällen als „Stand der Technik“ akzeptiert und kann die Konformität zu anderen Datenschutz- und Sicherheitsregeln (z. B. DSGVO, PCI-DSS, HIPAA) unterstützen. Ein NIST-konformer Löschprozess erleichtert z. B. eine GDPR-konforme Datenentfernung.
• Einschränkungen:
  In seltenen Fällen (z. B. beschädigte Datenträger, manipulationsanfällige Firmware) kann kein vollständiges Purge oder Clear durchgeführt werden. Dann muss auf Destroy-Verfahren oder alternative Methoden zurückgegriffen werden. iShredder™ weist auf solche Ausnahmefälle hin.
   

7. Zusammenfassung

Die iShredder™ Lösungen erfüllen alle zentrale Anforderungen der NIST SP 800‑88 Revision 1:

• Clear: Mindestens einmaliges Überschreiben aller adressierbaren Speicherbereiche, gefolgt von einer Verifizierung.
• Purge: Hardwaregestützte Secure-Erase-/Sanitize-Befehle oder Kryptografisches Löschen zur Erfüllung des erhöhten Sicherheitsbedarfs (insbesondere für SSDs und mobile Geräte).
• Destroy: Wird in iShredder™ nicht softwareseitig umgesetzt, da eine physische Zerstörung außerhalb des Funktionsumfangs liegt. Wo nötig, dokumentiert iShredder™ den Löschstatus, sodass Organisationen eigenständig das Destroy-Verfahren einleiten können.

Durch den NIST-Konformitätsansatz und die umfassende Dokumentation (inkl. Verifizierungs- und Reporting-Funktionalität) wird sichergestellt, dass gelöschte Daten nicht mehr wiederhergestellt werden können. Damit unterstützt iShredder™ Unternehmen, Behörden und andere Organisationen bei der gesetzeskonformen, auditierbaren und international anerkannten Datenentsorgung.
 

Rechtlicher Hinweis

NIST SP 800‑88 ist ein anerkannter Leitfaden, aber keine formale Zertifizierungsnorm. Die Verantwortung zur Auswahl und Durchführung (Clear, Purge, Destroy) trägt der Anwender bzw. die Organisation.
Physische Zerstörung kann bei hochsensiblen oder defekten Medien erforderlich sein. iShredder führt ausschließlich softwarebasierte Löschmethoden durch.
Haftungsausschluss: Die Wirksamkeit der Löschverfahren setzt intakte Hardware und eine ordnungsgemäße Laufwerksfunktion voraus. Bei Firmware-Fehlern oder Hardware-Schäden ist ggf. kein vollständiges Löschen über Software möglich.
 

Quellenverzeichnis

NIST Special Publication 800‑88 Revision 1 – Guidelines for Media Sanitization
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

Öffentliche Compliance-Erklärungen und Whitepapers
- Beispiele: AWS (aws.amazon.com), Microsoft Azure (azure.microsoft.com)
- Umsetzung von NIST SP 800‑88 in Cloud-Infrastrukturen

Interne Produktdokumentationen und technische Whitepapers zu iShredder™
- Detaillierte Informationen zu Algorithmen, Verifizierung und Gerätekompatibilität
- https://www.protectstar.com
 

Diese Erklärung wurde nach bestem Wissen erstellt und reflektiert den aktuellen Entwicklungsstand der iShredder™-Software. Mit den in iShredder™ implementierten Funktionen (Clear/Purge inklusive Verifizierung und Dokumentation) wird den Vorgaben der NIST SP 800‑88 Revision 1 entsprochen. Organisationen können damit einen auditierbaren Nachweis über die erfolgreiche Datenlöschung führen.