NIST 800-88 wurde aktualisiert und niemand hat es Ihnen gesagt

Wenn Sie das lesen, ist die Wahrscheinlichkeit recht hoch, dass Ihr Datenbereinigungsprozess auf einer Version von NIST 800-88 basiert, die geschrieben wurde, als die meisten Laptops noch rotierende Festplatten hatten. Das ist keine Beleidigung — es ist eine Aussage darüber, wie schnell sich Speichertechnologie bewegt und wie langsam Compliance-Prozesse aktualisiert werden.

Die Revision 2025 von NIST SP 800-88 (Guidelines for Media Sanitization) hat das Grundframework nicht geändert. Clear, Purge und Destroy bleiben die drei Kategorien. Die Hierarchie ist dieselbe. Die Logik ist dieselbe. Was sich geändert hat, sind die Details — und in Compliance entscheiden Details darüber, ob man besteht oder scheitert.

Was sich tatsächlich geändert hat

Guidance für moderne Speichermedien: Der ursprüngliche Standard wurde für HDDs geschrieben. Die Revision erkennt an, dass SSDs, NVMe-Laufwerke, Embedded Storage und controllerbasierte Architekturen nicht auf dieselben Sanitization-Methoden reagieren. Eine SSD, die mit HDD-Techniken "überschrieben" wurde, kann weiterhin Daten in over-provisioned Zellen behalten. Die Revision adressiert das ausdrücklich.

Verifizierungsanforderungen: "Wir haben es gelöscht" reicht nicht. Die Revision verstärkt die Erwartung, dass Sanitization verifiziert wird — dass nach dem Purge- oder Clear-Vorgang ein Verifizierungsschritt bestätigt, dass die Daten tatsächlich weg sind. Das klingt offensichtlich. In der Praxis überspringen viele Operationen die Verifizierung, weil die Löschsoftware "complete" sagt und alle annehmen, dass das "verified" bedeutet. Tut es nicht. Completion und Verification sind unterschiedliche Schritte.

Dokumentation pro Medium: Der Fokus auf Dokumentation pro Gerät wurde zu Dokumentation pro Medium verfeinert. Ein Gerät mit zwei Speichermedien braucht zwei Sanitization Records. Das passt zu IEEE 2883-2022 und adressiert das "Laptop mit zwei SSDs"-Problem, das viele Operationen noch nicht gelöst haben (siehe: früherer Artikel, unangenehme Stille).

Audit-Trail-Anforderungen: Die Revision legt mehr Gewicht auf Auditierbarkeit. Verifizierbare Logs, Automatisierung, dokumentierte Kontrollen. Die Erwartung ist, dass Sie nicht nur nachweisen können, dass Sanitization stattgefunden hat, sondern dass sie gemäß Ihrem definierten Prozess, durch eine autorisierte Person, mit einer genehmigten Methode und mit verifizierten Ergebnissen stattgefunden hat.

Die NIST-Revision 2025 ändert nicht, was Sie tun sollten. Sie ändert, was Sie beweisen müssen, dass Sie tun. Für viele Operationen ist das eine größere Verschiebung, als es klingt.

IEEE 2883-2022: Der Standard, über den niemand spricht

Während alle auf NIST 800-88 schauen, verdient ein Begleitstandard Aufmerksamkeit: IEEE 2883-2022 (Standard for Sanitizing Storage). Dieser Standard verfeinert und erweitert das NIST-Modell speziell für moderne Speichergeräte.

Was IEEE 2883 ergänzt:

Technologiespezifische Methoden. NIST gibt Kategorien (Clear, Purge, Destroy). IEEE 2883 gibt spezifische Methoden für spezifische Medientypen. NVMe-Laufwerke bekommen eigene Sanitization Commands. SATA SSDs ebenfalls. Embedded Storage wird separat behandelt. Die Zeit von "eine Methode passt für alles" ist vorbei.

Herstellerunterstützte Commands. Der Standard betont die Nutzung der eigenen Sanitization Commands des Speichergeräts statt softwarebasierter Überschreibmethoden. Für NVMe-Laufwerke bedeutet das Format NVM oder Sanitize statt Nullen schreiben. Das ist wichtig, weil softwarebasierte Methoden over-provisioned Bereiche verfehlen können, die die Firmware des Laufwerks kennt, das Hostsystem aber nicht.

Nachhaltige Ergebnisse. IEEE 2883 ermutigt ausdrücklich zu Wiederverwendung und Recycling, wenn dies mit Sicherheitsanforderungen vereinbar ist. Destroy ist der letzte Ausweg, nicht der Default. Das passt zum Kreislaufwirtschaftsdruck im ITAD und bedeutet, dass korrekt gepurgte Geräte mit Vertrauen wieder in den Markt gehen können.

Was das für Ihren Prozess bedeutet

Wenn Ihr Sanitization-Prozess aussieht wie "Löschsoftware laufen lassen, Häkchen setzen, weiter", haben Sie Lücken. Nicht unbedingt große. Aber solche, die in Audits auftauchen und Zeit zur Behebung kosten.

Fangen Sie mit den Grundlagen an. Können Sie diese Fragen für jedes datentragende Gerät beantworten, das Sie verarbeiten?

Welche Sanitization-Methode wurde verwendet? War sie für den Medientyp geeignet? Wurde das Ergebnis unabhängig verifiziert? Ist die Verifizierung dokumentiert? Können Sie sie pro Speichergerät nachvollziehen, nicht nur pro Maschine? Ist der Prozess dokumentiert und auditierbar? Ist die Person, die ihn durchgeführt hat, geschult und autorisiert?

Wenn Sie alle Fragen sicher mit "ja" beantworten, sind Sie voraus. Wenn Sie bei einer "wahrscheinlich" oder "ich glaube schon" sagen, hat die Revision 2025 die Latte genau dorthin gelegt, wo Ihr aktueller Prozess Risse hat.

NIST 800-88 wurde aktualisiert. IEEE 2883 existiert. Die Standards holen die Technologie ein. Die Frage ist, ob Ihr Prozess die Standards einholt. Denn Ihr Auditor liest die neue Revision ganz sicher. Wahrscheinlich seit ihrer Veröffentlichung. Und er hat Fragen.