Der Laptop mit zwei SSDs und null Zertifikaten

Hier ist ein unterhaltsames Gespräch für Ihr Compliance-Team um 9 Uhr an einem Montag:

"Wie viele Löschzertifikate erzeugen wir pro Gerät?"

"Eines pro Gerät. Natürlich."

"Und wie viele Storage Devices hat ein Dell Latitude 5430?"

"Eines. Es ist ein Laptop. Er hat ein Laufwerk."

"Schau ins Datenblatt."

"...Zwei. Er hat zwei NVMe-Slots. Und unsere Konfiguration nutzt beide."

"Wie viele Löschzertifikate sollten wir also für 340 davon haben?"

Stille. Die Art Stille, die Geld kostet.

Der Per-Device-Irrtum

Die meisten ITAD-Systeme tracken Löschung auf Geräteebene. "Laptop RV-003412: gelöscht." Ein Gerät, ein Status, eine Checkbox. Einfach. Sauber. Gefährlich unvollständig.

Ein moderner Dell Latitude kann zwei NVMe-SSDs haben. Ein HP EliteBook 850 hat manchmal eine NVMe plus ein SATA-Laufwerk. Ein Dell PowerEdge Server kann zwölf Laufwerke haben. Ein Storage Array? Fragen Sie lieber nicht.

Wenn Ihr System sagt "Gerät gelöscht", bedeutet das: etwas wurde gelöscht. Wahrscheinlich das primäre Laufwerk. Vielleicht beide. Vielleicht. Sie hoffen es. Das System weiß es nicht, weil es Geräte trackt, nicht Storage Media.

Ihr ADISA-Auditor trackt jedoch Storage Media. Weil ADISA versteht, dass Daten nicht auf Laptops leben. Daten leben auf Laufwerken. Und ein Laptop mit zwei Laufwerken, aber nur einem Löschzertifikat, hat eine Lücke. Eine Lücke, die für einen Compliance-Auditor wie eine Liability aussieht. Weil sie eine ist.

Per-Device-Löschtracking ist wie Anwesenheit prüfen, indem man Schreibtische statt Menschen zählt. Die Zahl könnte stimmen. Tut sie aber wahrscheinlich nicht. Und wenn nicht, kann niemand sagen, wer fehlt.

680 Zertifikate, nicht 340

Rechnen wir ein realistisches Szenario. Eine Leasinggesellschaft gibt 340 Dell Latitude 5430 zurück. Jedes Gerät hat zwei NVMe-Laufwerke. Das sind 680 einzelne Storage Devices, die unabhängig gelöscht, verifiziert und zertifiziert werden müssen.

Ihr System erzeugt 340 Zertifikate. Eines pro Laptop. Der Auditor fragt nach 680. Sie können 340 liefern. Wo sind die anderen 340?

"Wir haben einen Prozess."

"Ist er dokumentiert?"

"...Wir haben eine Tabelle."

Die Tabelle hat zwangsläufig 280 Einträge statt 340, weil jemand vergessen hat, die letzten zwei Arbeitstage zu loggen. Der Auditor schreibt ein Finding. Das Finding wird eine Action. Die Action wird ein Projekt. Das Projekt wird eine Budgetzeile. Alles, weil das System Laptops statt Laufwerke gezählt hat.

Mit moderner Hardware wird es schlimmer

Der Laptop mit zwei SSDs ist erst der Anfang. Moderne Hardware wird komplexer, nicht einfacher.

Intel Optane-Module sitzen neben NVMe-Laufwerken und cachen Daten unabhängig. Manche Business-Laptops haben eMMC-Storage für das OS plus NVMe für User Data. Workstations können drei oder vier Laufwerke in unterschiedlichen Konfigurationen haben. Und Server — Server sind ein eigenes Universum, mit RAID-Controllern, die physische Laufwerke in logische Volumes abstrahieren, die mit den tatsächlichen Medien, die sanitized werden müssen, übereinstimmen können oder auch nicht.

Das Update 2025 von NIST 800-88 adressiert diese Komplexität ausdrücklich. IEEE 2883-2022 geht weiter und bietet Sanitization Guidance speziell für SSDs, NVMe-Laufwerke und Embedded Storage. Beide Standards betonen Per-Media-Verifikation. Nicht Per-Device. Per-Media.

Wenn Ihr System nicht auf dieser Granularität tracken kann, ist es nicht einfach alt. Es wurde für eine Welt gebaut, in der Laptops eine Festplatte hatten und Server zwei. Diese Welt endete vor etwa fünf Jahren. Die Compliance-Standards haben aufgeholt. Hat Ihr System das auch?

Die Zertifikatskette

Ein korrekter Löschdatensatz für diesen Dell Latitude 5430 sollte ungefähr so aussehen:

Device: Dell Latitude 5430 — RV-000003412
Storage Device A: WD SN740 512GB — SN: WD-2026-44821
Erasure method: NIST 800-88 Purge
Completed: 2026-03-03 at 14:22:07 CET
Verified: Pass
Certificate: BLC-2026-44821

Storage Device B: WD SN740 256GB — SN: WD-2026-44822
Erasure method: NIST 800-88 Purge
Completed: 2026-03-03 at 14:24:31 CET
Verified: Pass
Certificate: BLC-2026-44822

Zwei Laufwerke. Zwei Löschereignisse. Zwei Verifikationen. Zwei Zertifikate. Verbunden mit einem Gerät. Verbunden mit einer Inbound Order. Verbunden mit einem Kunden. Das ist die Kette. Und jedes Glied zählt, denn der Auditor kann an jedem Glied ziehen und erwarten, dass der Rest folgt.

Der Laptop mit zwei SSDs ist kein Edge Case. Er ist die neue Normalität. Und die Lücke zwischen Per-Device-Tracking und Per-Drive-Tracking ist kein theoretisches Compliance-Risiko. Sie ist ein praktisches — die Art, die in Audits auftaucht, Findings erzeugt und Geld kostet.

Ihr Auditor kann zählen. Die Frage ist, ob Ihr System auf dieselbe Weise zählen kann.