Vom blinden Fleck zur strategischen Sicherheitsaufgabe IT-Asset Disposal - Wie entsorgt man richtig?

Anbieter zum Thema

Iron Mountain Deutschland GmbH

RITTAL GmbH & Co. KG

VON ZUR MÜHLEN'SCHE GmbH

DeRZ - Deutsche Rechenzentren GmbH

In der IT-Sicherheitslandschaft deutscher Unternehmen ist vieles bis ins Detail durchdacht: Firewalls werden fortlaufend aktualisiert, Zero-Day-Exploits analysiert, Mitarbeitende regelmäßig im sicheren Umgang mit Phishing-Mails geschult. Doch ein Bereich fristet nach wie vor ein Schattendasein: die sichere Entsorgung von IT-Geräten, auch IT Asset Disposal (ITAD) genannt.

IT Asset Disposal ist essenziell, wenn es um die ganzheitliche Absicherung von Daten geht. Doch das Wissen kommt nicht überall an.

Eine aktuelle Untersuchung von Iron Mountain und Foundry Research verdeutlicht die Dimension des Problems: 56 Prozent der IT-Entscheider sehen das Risiko von Datenexposition am Ende des Gerätelebenszyklus als besonders kritisch an. Trotzdem fließen im Schnitt nur fünf Prozent der Sicherheitsbudgets in ITAD-Maßnahmen, häufig weniger.

Diese Diskrepanz zwischen Risikowahrnehmung und tatsächlichem Handeln führt in Deutschland wie international zu gefährlichen Lücken. Die befragten Führungskräfte beziffern die durchschnittlichen Kosten einer Datenpanne infolge unsachgemäßer Entsorgung auf 27,1 Millionen Dollar.

Gerade in Deutschland wiegt die Bedrohung doppelt schwer: Zum einen durch die strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO), die empfindliche Strafzahlungen vorsieht, bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Zum anderen durch das gewachsene Bewusstsein in der Öffentlichkeit.

Vernichtung! Vergessen.

Ein Vorfall, bei dem Kundendaten auf nicht gelöschten Festplatten wieder auftauchen, zerstört Vertrauen unwiederbringlich. Die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) weisen deshalb seit Jahren darauf hin, dass Datenträger vor der Entsorgung nach anerkannten Standards wie NIST 800-88 oder BSI-TL-03423 sicher gelöscht oder physisch vernichtet werden müssen.

Trotz dieser Rahmenbedingungen behandeln viele Unternehmen ITAD immer noch als reine Logistikaufgabe, die in den Verantwortungsbereich von Beschaffung oder Facility Management fällt. Damit fehlt jedoch der entscheidende Blick auf die Risiken für Informationssicherheit, Compliance und Reputation. Die Folge sind fragmentierte Prozesse, unklare Zuständigkeiten und eine Abhängigkeit von Drittanbietern, deren Zertifizierungen und Methoden nicht immer den Anforderungen entsprechen.

Ein Umdenken ist daher dringend geboten. ITAD muss genauso wie Endpoint-Security oder Incident Response als strategische Sicherheitsmaßnahme verstanden werden, mit klarer Governance, zentralem Management und regelmäßiger Erfolgskontrolle. Wer diesen Schritt geht, profitiert gleich mehrfach: Die Sicherheitslage verbessert sich messbar, Audit-Prozesse verkürzen sich erheblich und die Transparenz im Gerätelebenszyklus steigt. Besonders wertvoll: Mit einem zentral gesteuerten ITAD-Programm lassen sich Benchmarks etablieren, die verhindern, dass sich jedes Rechenzentrum oder jede Abteilung eigene, unzureichende Vorgehensweisen aneignet.

In Zeiten, in denen Unternehmen zunehmend in hybride Infrastrukturen investieren und verteilte Arbeitsmodelle etablieren, gewinnt das Thema zusätzlich an Bedeutung. Laptops, Smartphones und externe Speichermedien wandern durch Homeoffices, Coworking-Spaces und Cloud-Umgebungen. Je dezentraler die Hardware, desto komplexer die sichere Entsorgung. Ohne klare Prozesse entsteht ein Flickenteppich, der nicht nur Sicherheitsrisiken, sondern auch erhebliche Mehrkosten produziert.

ITAD ist daher längst kein reines Entsorgungsthema mehr, sondern integraler Bestandteil der Sicherheitsstrategie. Deutsche Unternehmen, die ITAD strategisch verankern, gewinnen nicht nur regulatorische Sicherheit, sondern auch handfeste Wettbewerbsvorteile. Der blinde Fleck am Ende des Gerätelebenszyklus sollte endlich zum festen Bestandteil des Sicherheitsradars werden.

(ID:50864959)