18. April 2026

NIST 800-88

US-Standard für zertifizierte Datenlöschung auf Speichermedien.

NIST 800-88 ist der de-facto-Standard für die zertifizierte Löschung von Daten auf Speichermedien. Wer im Schweizer Audit-Kontext (revDSG, ISO 27001, branchenspezifische Anforderungen) Nachweise liefern muss, kommt an diesem Standard nicht vorbei.

Was NIST 800-88 ist

Die NIST Special Publication 800-88 "Guidelines for Media Sanitization" des U.S. National Institute of Standards and Technology definiert, wie Daten auf Speichermedien so gelöscht werden, dass sie mit vertretbarem Aufwand nicht wiederherstellbar sind. Der Standard unterscheidet drei Stufen, basierend auf Datenklassifizierung und weiterem Einsatz des Mediums.

Die drei Stufen

  • Clear: Überschreiben mit bekannten Mustern oder Factory Reset — genügt für den gleichen Kontext (Gerät bleibt im Unternehmen).
  • Purge: kryptografisches Löschen oder spezifisches OS-Kommando (Secure Erase, Instant Secure Erase) — genügt für Weitergabe an Dritte.
  • Destroy: physische Zerstörung des Mediums (Schreddern, Degaussen) — nur nötig bei höchstklassifizierten Daten oder defekten Medien, die nicht gelöscht werden können.

Warum NIST und nicht Factory Reset?

Ein einfacher Factory Reset ist bei modernen Geräten (iOS, Android mit File-Based Encryption) technisch nahe an einem Purge — aber ohne Protokoll, ohne Zertifizierung, ohne Nachvollziehbarkeit. NIST-konforme Löschung liefert ein Protokoll pro Gerät mit Seriennummer, Methode, Datum und bestandener Verifizierung. Im Audit-Fall ist das der Unterschied zwischen "wir glauben es" und "wir belegen es".

NIST-Löschung in der Rückkauf-Praxis

Bei einem strukturierten Rückkauf ist NIST-konforme Löschung Standard. Jedes Gerät wird nach definiertem Verfahren behandelt, das Protokoll wird archiviert. Für Pflege- und Finanzbranche ist das regulatorisch erforderlich; für alle anderen wird es zum Qualitätsmerkmal. Mehr zum Prozess: Geräte-Rückkauf und Rückkauf im Mobil-Portal.

Häufige Fehler

  • Factory Reset als Äquivalent zu NIST verkaufen — bei echtem Audit reicht das nicht.
  • Kein Protokoll pro Gerät — im Zweifel ist der Nachweis nicht führbar.
  • Defekte Geräte werden "irgendwie" entsorgt — physische Zerstörung muss auch dokumentiert sein.
  • Verlust der Seriennummer im Prozess: das Protokoll ist dann nicht einem konkreten Gerät zuordenbar.

Aus unseren Projekten

In Schweizer Audits — sei es nach ISO 27001 oder im Rahmen von revDSG-Prüfungen — wird fast immer nach dem Nachweis der Datenlöschung gefragt. Ein per E-Mail versandtes Factory-Reset-Protokoll reicht nicht. Gefordert sind Seriennummer, Methode (z. B. "Purge mit Secure Erase"), Datum, verantwortliche Person und Verifikation. Der Unterschied zwischen akzeptiert und nicht akzeptiert liegt oft in der strukturierten Dokumentation — die technische Löschung selbst ist meist unstrittig. Unternehmen, die Rückkauf-Prozesse sauber dokumentieren, sparen im Audit erfahrungs­gemäss mehrere Stunden Rückfragen.

Weiterlesen

Regulatorischer Kontext: revDSG, AVV. Operativ: Rückkauf, Lifecycle Management.