Arbeitsablauf: Ausmusterung und Wiederverwendung von IT-Systemen

Zweck

Zweck dieses Arbeitsablaufs ist es, ungewollten Datenabfluss oder Datenweitergabe bei der
Ausmusterung und Wiederverwendung von IT-Systemen zuverlässig zu verhindern.

Die hier beschriebene Vorgehensweise richtet sich an Fachpersonal.
Sie ist keine Schritt-für-Schritt-Anleitung, sondern definiert Ziele und Rahmenbedingungen,
die von den Durchführenden verbindlich einzuhalten sind.

Verantwortung

• Gesamtverantwortung: Geschäftsführung
  → trägt die Verantwortung für die korrekte und vollständige Umsetzung dieses Verfahrens.

• Durchführungsverantwortung: Administrator
  → ist verantwortlich für die ordnungsgemäße Durchführung der einzelnen Arbeitsschritte.

Beschreibung / Ablauf / Regelungen

Bei der Ausmusterung oder Wiederverwendung eines IT-Systems sind folgende Arbeitsschritte auszuführen:

1. Inventarisierung

• Die Inventarisierung der IT-Systeme wird aktualisiert
  → Excel-Datei im Verzeichnis: OneDrive / Verwaltung / IT
  → Siehe auch 5 IT-Systeme für generelle Anforderungen

2. Prüfung auf gespeicherte Informationen

Das IT-System wird auf gespeicherte Informationen untersucht. Dabei ist insbesondere zu prüfen, ob:

• sich Datenträger in Laufwerken befinden
• auf fest eingebauten Datenträgern (z. B. Festplatten, SSDs) noch Daten gespeichert sind
• Konfigurationsdaten in der Firmware (z. B. BIOS) vorhanden sind

3. Bewertung und Archivierung von Informationen

• In Rücksprache mit dem Nutzer bzw. dessen Vorgesetzten wird entschieden,
  ob und wie vorhandene Informationen gesichert oder archiviert werden müssen.
• Es wird sichergestellt, dass relevante Informationen archiviert sind,
  wenn sie dauerhaft verfügbar bleiben müssen.

4. Sicheres Löschen von Informationen

Alle Informationen werden vollständig und zuverlässig gelöscht, überschrieben oder entfernt.
Die folgenden Werkzeuge und Verfahren kommen dabei zum Einsatz:

Datenträgerlöschung

• Festplatten, SSDs, SD-Karten, USB-Sticks:
  → DBAN (einmaliges Überschreiben ist ausreichend)

Apple-Geräte

• iPhone, iPad, MacBook mit fest verbauten Speichern:
  → Die aktuelle Apple-Dokumentation zur Weitergabe oder zum Verkauf des Geräts ist strikt einzuhalten

  • MacBook: Apple Support
  • iOS-Geräte: Apple Support

5. Zerstörung nicht löschbarer Datenträger

Wenn Informationen nicht entfernt werden können
(z. B. wegen Defekt oder fehlendem Zugriff auf das IT-System):

• Das Gerät wird vollständig zerstört, oder
• Die Zerstörung der Informationen wird mit einem autorisierten Dienstleister vereinbart
  → Das Gerät wird dem Dienstleister zur sicheren Vernichtung übergeben

Dokumentation

• Nach Abschluss der Arbeiten wird die Inventarisierung der IT-Systeme aktualisiert
  → Erfassung aller durchgeführten Maßnahmen im Arbeitsblatt IT-Systeme.xlsx
  → Dokumentation, ob und wie der Basisschutz umgesetzt und die Datenlöschung bestätigt wurde

Hinweis:
Ziel dieses Verfahrens ist die nachvollziehbare und prüfbare Löschung aller sensiblen Informationen
gemäß den Anforderungen der VdS 10005 und der Datenschutz-Grundverordnung (DSGVO).