IT Asset Disposition neu denken: Diese Fehler sollten Sie vermeiden

Wie Sie IT-Geräte und Datenträger verantwortungsvoll, sicher und effizient vernichten, recyceln oder wiedervermarkten

5 typische Fehler bei der IT Asset Disposition, die Sie vermeiden sollten

Haben Sie schon einmal ein gebrauchtes Smartphone oder Laptop gekauft und dann festgestellt, dass sich noch persönliche Daten von den Vorbesitzern darauf befanden?

Oder vielleicht haben Sie von bekannten Unternehmen gehört, die Strafen in Millionenhöhe zahlen mussten, weil sie ihre IT-Geräte nicht ordnungsgemäß entsorgt hatten.

Höchstwahrscheinlich haben Sie auch die verstörenden Bilder von Mülldeponien in Entwicklungsländern gesehen, auf denen sich weggeworfene Elektronik türmt – was eine Katastrophe für die Umwelt ist und außerdem Cyberkriminelle einlädt, die genau wissen, dass sich mitten im Müll noch wertvolle Informationen finden lassen.

Die Anschaffung von IT-Geräten spielt in jeder technologieabhängigen Geschäftsstrategie eine wichtige Rolle. Doch was mit diesen Geräten passiert, wenn sie das Ende ihrer Nutzungsdauer erreichen und immer noch Informationen über das Unternehmen und seine Kunden enthalten, darüber wird oft zu wenig nachgedacht.

Angesichts immer kürzerer Produktzyklen, einer immer schnelleren technologischen Entwicklung und einer zunehmenden Umstellung auf Cloud-Services ist es höchste Zeit, die Entsorgung, das Recycling und die Wiederverwendung von IT-Geräten (IT Asset Disposition, ITAD) mehr in den Fokus zu rücken. Die Menge der ausgemusterten Assets wächst und wächst. Um das Risiko für Ihr Unternehmen gering zu halten und die Umwelt zu schützen, müssen Sie bei Ihrer ITAD-Strategie die richtigen Entscheidungen treffen.

Elektroschrott: der am schnellsten wachsende Abfallstrom

Weltweit produzieren wir jedes Jahr ca. 53 Millionen Tonnen Elektroschrott, und diese Zahl wird sich nach Prognosen der Vereinten Nationen bis 2050 sogar noch verdoppeln. Damit ist Elektroschrott der weltweit am schnellsten wachsende Abfallstrom. Die IT – nicht nur ihr Energieverbrauch, sondern die Hardware selbst – macht heutzutage einen großen Teil unseres ökologischen Fußabdrucks aus. Und dieser ist toxisch: Schwermetalle (u. a. Quecksilber, Blei und Cadmium) können aus diesen Geräten in das Ökosystem gelangen und zu zahlreichen Problemen führen. Da wundert es nicht, dass immer mehr Länder sich weigern, Elektroschrott anzunehmen. Thailand war im September 2020 das jüngste Beispiel.

Sicherheitsfragen und juristische Probleme

Elektroschrott wirft auch unmittelbare sicherheitsrelevante und juristische Probleme auf. In vielen Ländern gilt eine gesetzliche Pflicht, Elektroschrott zu recyceln. Die WEEE-Richtlinie der EU beispielsweise verlangt die umweltverträgliche Entsorgung bestimmter Elektro- und Elektronikgeräte, bei Nichteinhaltung drohen Bußgelder. Außerdem existieren zahlreiche Datenschutzgesetze und -regelungen, die weitreichende Auswirkungen auf die IT Asset Disposition haben. Beispielsweise drohen Unternehmen, die der DSGVO unterliegen, bei einem Verstoß empfindliche Strafen – bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes, je nach Schweregrad und den jeweiligen Umständen.

Typische Fehler bei der IT Asset Disposition

Klar definierte Verfahren für eine sichere IT Asset Disposition sind wichtig, doch allzu leicht passieren dabei Fehler. Das sind die häufigsten:

1. Zu kurz denken.

Viele Unternehmen halten die Entsorgung ausgemusterter Hardware für einen Klacks – einfach alle Daten löschen und die Geräte abholen lassen. Leider ist es nicht so einfach. Die Feinheiten der Bereinigung, Vernichtung und Entmagnetisierung erfordern bewährte Verfahren und eine effiziente Durchführung. Einfaches Löschen, Formatieren oder Zurücksetzen reicht oft nicht aus. Wenn die Daten nicht richtig – und das heißt endgültig – entfernt oder Datenträger nicht ordnungsgemäß vernichtet werden, können immer noch Informationen gestohlen werden.

2. Alles der IT überlassen.

Die Verantwortung für ITAD der IT-Abteilung zu übertragen, mag logisch und naheliegend scheinen, aber das ist es nicht unbedingt. Die sichere Entsorgung von IT-Geräten hat technische, rechtliche, logistische und administrative Aspekte, die Ihr IT Team unter Umständen nicht vollständig abdecken kann:

- Koordination mit den Mitarbeitern und Teams, die die betreffenden Daten und die zu entsorgenden Geräte nutzen

- Umsetzen der für die vollständige Löschung aller vorhandenen Daten erforderlichen Verfahren

• Prüfen, ob die Nachweiskette korrekt erfasst wird (Nachverfolgen, wer wann Zugriff auf die Geräte hatte)
• Bewerten von Anbietern hinsichtlich Umweltverträglichkeit und Datensicherheit

Natürlich muss die IT hier ihren Beitrag leisten, aber auch andere Abteilungen und das Führungsteam sind gefragt.

3. Die rechtlichen Risiken unterschätzen.

Nicht nur der Elektroschrott nimmt zu, auch die Gesetze und Bestimmungen, die dessen Entsorgung regeln, sowie die Bußgelder für Verstöße. Ein Finanzdienstleister musste kürzlich umgerechnet 51 Millionen Euro Strafe zahlen, weil er zwei Rechenzentren nicht ordnungsgemäß außer Betrieb genommen hatte. Und das ist bei weitem nicht der einzige Fall.

Auch sind es nicht nur die konkret auf Elektroschrott bezogenen Gesetze und Bestimmungen, mit denen Sie sich befassen sollten: Wie oben bereits erwähnt, fällt Elektroschrott auch in den Geltungsbereich der DSGVO, von Branchenstandards wie PCI-DSS, von Datenschutzgesetzen einzelner US-Bundesstaaten wie dem California Consumer Privacy Act (CCPA) sowie von weiterreichenden Bestimmungen wie HIPAA, dem MEGABYTE Act und Sarbanes-Oxley (SOX).

4. Einen kostenlosen Service nutzen.

Es gibt Firmen, die ITAD-Services kostenlos oder sehr günstig anbieten, oft mit der Begründung, sie würden ihr Geld mit dem Weiterverkauf Ihrer Geräte verdienen. Leider hat die Sache in aller Regel mindestens einen der folgenden Haken:

• Die Anbieter verdienen tatsächlich sehr viel Geld mit dem Recycling Ihrer Geräte. Dieses Geld lassen Sie sich entgehen.
• Wichtige Maßnahmen wie eine sichere Nachweiskette oder die Prüfung, ob wirklich alle Daten von Ihren Geräten gelöscht wurden, werden vernachlässigt.
• Ihre Geräte werden auf umweltschädliche Art und Weise entsorgt (z. B. durch Verschiffung ins Ausland oder auf illegalen Deponien).

Mit solchen Services sparen Sie kurzfristig vielleicht Geld, aber Sie setzen Ihr Unternehmen auch einem nicht unerheblichen Risiko aus und tragen ausgerechnet zu der Umweltverschmutzung bei, die das Recycling doch vermeiden soll.

5. Die Nachweiskette ignorieren.

Vielleicht erschließt sich nicht auf den ersten Blick, was ein juristisches Konzept wie die Nachweiskette mit ITAD zu tun hat, doch tatsächlich ist sie für die richtige Umsetzung ganz entscheidend. Unabhängig davon, ob Sie Ihre IT-Geräte selbst entsorgen oder einen Anbieter damit beauftragen, benötigen Sie vollständige Aufzeichnungen über den Verbleib dieser Geräte, um nachweisen zu können, dass Ihr ITAD-Prozess verantwortungsvoll und gesetzeskonform abgelaufen ist – sowohl was die Umwelt als auch was die Datensicherheit angeht. Außerdem hat die sichere Nachweiskette noch einen weiteren Vorteil: Sie beugt Diebstahl vor. Diebstahl während der ITAD kann ein ernsthaftes Problem sein. Je kleiner und wertvoller ein Gerät, desto wahrscheinlicher ist es, dass es unterwegs „verloren geht“. Von Assets, die bekanntermaßen nachverfolgt werden, werden Diebe aber eher die Finger lassen.

Über die beschriebenen Fehler können selbst die verantwortungsvollsten Unternehmen stolpern. Der größte Fehler wäre aber, die Entsorgung ausgemusterte IT-Geräte als Nebensache abzutun.

Betrachten Sie ITAD stattdessen als festen Teil des Lebenszyklus Ihres Informationsmanagements, der für den Schutz der Umwelt und Ihrer sensiblen Informationen unerlässlich ist.