Datenlöschung scheint nicht so einfach zu sein

Irgendwann ist es so weit: Der PC oder das Notebook sind in die Jahre gekommen und müssen einem jüngeren Nachfolger weichen. Was macht man mit dem alten Gerät? Verkaufen, verschenken, entsorgen – oder auseinanderschrauben. Gebrauchte Grafikkarten werden zurzeit hoch gehandelt, aber auch mit Festplatten lassen sich noch recht gute Geschäfte machen. Dass die Festplatten vor dem Verkauf gelöscht werden sollte man annehmen, man will ja nicht, dass jemand die eigenen privaten oder sensiblen Daten zu sehen bekommt. Aber machen das wirklich alle?

Ontrack wollte wissen, inwieweit gelöschte Festplatten wirklich keine Daten mehr enthalten und kaufte fünf Dutzend gebrauchte Laufwerke von privaten Verkäufern in der ganzen Welt. Mit großem Interesse prüften die Techniker, ob sich noch irgendwelche Informationen auf den Datenträgern befanden – und mussten mit Erstaunen zur Kenntnis nehmen, dass dieses auf knapp der Hälfte der Laufwerke der Fall war. Und es waren nicht nur private Bilder, es kamen auch sensible Informationen zu Tage, die nicht in die Hände von Fremden kommen sollten.

Ein Beispiel gefällig? Bei den gebrauchten Festplatten war eine dabei, die aus einem Unternehmen stammte und von einem Dienstleister „gelöscht“ wurde. Nicht gelöscht sondern (für unsere Spezialisten) lesbar waren aber noch eine ganze Menge von Benutzernamen, privaten Adressen, Telefonnummern und Kreditkartendaten. Dazu eine Mitarbeiterliste mit rund 100 Namen, dazugehörige Informationen zu Berufserfahrung, Position, Telefonnummern, Sprachkenntnissen und Urlaubsdaten sowie ein großes Offline-Adressbuch.

Knapp ein Drittel der Festplatten enthielt solche personenbezogenen Informationen aber auch persönliche Fotos, private Dokumente, E-Mails, Videos, Hochzeitsfotos, Audio- oder Musikdateien – und ein bisschen Pornographie. Und – natürlich – fanden sich Anmeldedaten zu Internetportalen inklusive Passwörtern (acht Laufwerke), dazu Gehaltsabrechnungen, Kreditkartennummern, Bankkontoinformationen, Investitionsdetails und Steuererklärungen von Firmen (neun Laufwerke). Auf weiteren Laufwerken konnten die Techniker kritische Geschäftsdaten sichtbar machen, komplette Online-Shop-Setups, CAD-Dateien und interne PDFs, Schlüssel und Passwörter sowie Bestellungen und Rechnungen.

Der Grund für die noch vorhandenen Informationen – die garantiert nicht zum Verkauf gestanden hätten, wüsste der Vorbesitzer darum – liegt häufig in schlichter Nachlässigkeit: Acht Vorbesitzer hatten anscheinend überhaupt nicht daran gedacht das Speichermedium zu löschen.

Was für Privatmenschen unter Umständen dann ein Problem werden kann, wenn mit den gefundenen Daten Hacker zum Beispiel einen Identitätsdiebstahl oder Online-Einkäufe durchführen, ist für Unternehmen unter Umständen ein ernster Gesetzesverstoß – spätestens ab dem 25. Mai 2018, wenn die neue EU-Datenschutz-Grundverordnung in Kraft tritt und nicht nur europäische Firmen davon betroffen sind, sondern auch diejenigen in Übersee, die mit ihnen Geschäfte machen.