Drucken, Scannen, Kopieren als Sicherheitsproblem

Business Planning Manager bei der Canon (Schweiz) AG Eine kürzlich vom US-amerikanischen Fernsehsender CBS durchgeführte Untersuchung «entlarvte» Multifunktionsdrucker als digitale Zeitbomben, weil diese Geräte mit Festplatten zur Datenspeicherung ausgestattet seien. Diese Erkenntnis ist nun aber wahrhaftig nicht neu. Trotzdem nehmen viele Unternehmen die Sicherheitsrisiken ihrer Multifunktions-geräte oft nicht so richtig ernst - ein Fehler. Weil am Arbeitsplatz immer mehr elektronische Informationen aufbewahrt werden müssen, steigt auch die potenzielle Gefahr von Datenlecks. Computer-gestützte Workflows zählen zu den treibenden Kräften von Innovationen und Effizienzsteigerungen, sie werden also weiter zunehmen.

Geräte mit Druck-, Kopier-, Fax- und Scan-to-E-Mail-Fähigkeiten erhöhen zweifellos die Produktivität. Aber wie bei jeder Datenübermittlung kann dies ohne einen angemessenen Schutz zu Sicherheitsrisiken führen. Organisationen sind sich in der Regel der externen Bedrohungen durch Viren und Hacker bewusst und schützen sich entsprechend. Obwohl die meisten Unternehmen weiterhin in die Netzwerksicherheit investieren und Firewalls sowie andere Sicherheitsmassnahmen nutzen, werden weniger offensichtliche Bedrohungen aber oft übersehen. Als Informationszentrum für das Büro stellt ein mangelhaft verwalteter Drucker ein ebenso grosses Sicherheitsrisiko dar wie ein mangelhaft verwalteter PC. Denken Sie nur daran, wie viele vertrauliche, persönliche und sonstige Informationen aus den verschiedenen Unternehmensabteilungen Ihre Drucker durchlaufen. Wenn solche Informationen in die falschen Hände geraten, kann dies für die betroffene Organisation schwerwiegende finanzielle oder rechtliche Folgen haben - vom Reputationsschaden ganz zu schweigen.  

IT-Abteilungen sind nicht nur für die Sicherheit der gängigen IT-Infrastruktur verantwortlich, sondern auch für die Dokumentensicherheit. Die Daten-sicherheit hat für Unternehmen immer noch absolute Priorität, doch während sich die IT-Direktoren um den Schutz des Netzwerks mithilfe bedarfsgerechter Software-Lösungen kümmern, ist die Druckerbeschaffung oft Sache der einzelnen Fachbereiche oder Finanzabteilungen. Die Kauf-entscheidung beruht dann auf Kosten- und nicht auf Sicherheitsüberlegungen - der falsche Weg. Dabei können die Unternehmen heute aus einer Vielzahl von Lösungen auswählen, um das Risiko von Informationsverlusten beim Dokumentenmanagement-prozess einzudämmen: Dokumenten- und Hardware-Sicherheitslösungen wie Datenverschlüsselung, sicheres Datenlöschen, austauschbare Drucker-festplatten, Zugriffsmanagement und mehr. Diese Tools und Funktionen helfen auf jeder Stufe des Dokumentenzyklus", vertrauliche Kundendaten zu schützen. Es sollte nichts dem Zufall überlassen werden. Wer die geeigneten Sicherheitsvorkehrungen getroffen hat, kann die Risiken beträchtlich vermindern. Es gibt allerdings keine Einheitslösungen, für jedes Unternehmen muss eine individuelle Lösung gesucht werden, die dem spezifischen Umfang und Sicherheitsbedarf entspricht. Abgesehen davon sollte für die Sicherheit von Unternehmensinformationen nicht nur das IT-Personal zuständig sein. Auch die Mitarbeitenden müssen beim Zugriff auf vertrauliche Informationen und deren Verteilung besonders vorsichtig sein.

Es geht aber nicht nur um die Sicherung von Dokumenten, die innerhalb einer Organisation zirkulieren. Genauso wichtig oder sogar noch wichtiger ist die Frage, was mit der Festplatte geschieht, wenn das Gerät verkauft oder ausgemustert wird. Die meisten Unternehmen verfügen über Richtlinien, die sicherstellen, dass die Daten zuverlässig von allen stillgelegten PCs gelöscht werden. Das Gleiche muss auch für Multifunktions-drucker gelten. Falls Ihr Unternehmen den Druckerpark extern managen lässt oder die Multifunktions-geräte geleast hat, achten Sie darauf, dass der beauftragte Dienstleister bei der Entsorgung bzw. beim Recycling alter Geräte strenge Sicherheitsvorkehrungen befolgt. Bei Canon sorgen zum Beispiel entsprechende Richtlinien dafür, dass bei der Rücknahme des Geräts je nach Kundenwunsch und Modell jegliche Daten auf der Festplatte entweder gelöscht werden oder die Festplatte physisch entfernt wird. Beim Verkauf oder Recycling eines Druckers muss eine Organisation stets sicherstellen können, dass alle Daten auf der Festplatte gelöscht wurden.

Multifunktionsgeräte sind im Bezug auf die Datensicherheit unterschiedlichen Bedrohungen ausgesetzt. Potenzielle Sicherheitslücken müssen sowohl im Multifunktionsdrucker selbst als auch beim Nutzer am Gerät sowie bei der Datenübertragung von und zum Gerät lückenlos ausgeschlossen werden. Die nachfolgende Auflistung zeigt die unterschiedlichen Gefahren und Lösungsansätze auf.

Gefahren im Gerät

Im Gerät selbst lassen sich zwischengespeicherte Informationen zu einem späteren Zeitpunkt - beispielsweise nach der Entsorgung des Geräts - wieder herstellen. So können Unbefugte Zugriff auf vertrauliche Daten erhalten. Zudem sind auch DOS-Attacken oder das Einschleusen von Viren bei modernen, an einem Netzwerk angeschlossenen Multifunktionsdruckern grundsätzlich möglich. Die Verfügbarkeit der Systeme könnte so massgeblich gestört werden. Zu den wichtigsten Schutzmöglichkeiten innerhalb des Multifunktionsgeräts gehören:

Werden Druckaufträge von einem Arbeitsplatz aus an das Multifunktionsgerät gesendet, so besteht immer die Gefahr, dass Unbefugte den Ausdruck im Ausgabefach einsehen und möglicherweise kopieren. Es kann auch vorkommen, dass vertrauliche Informationen direkt am Multifunktionsgerät per E-Mail oder Fax weitergeleitet werden. Ein weiteres Problem stellt der Identitätsdiebstahl dar. Es gilt zu vermeiden, dass an einem Multifunktionsgerät beispielsweise jemand vom Benutzerprofil eines Arbeitskollegen aus sensitive oder verbotene Inhalte (z.B. rassistische Aussagen) über das Firmennetzwerk versenden kann. Die folgenden Schutzmöglichkeiten sind für die Sicherheit am Multifunktionsgerät verfügbar:

Bei der Datenübertragung von und zum Multifunktionsgerät besteht ein weiteres Sicherheitsrisiko. Datenströme können «gesnifft» und Ferndiagnose- und Fernwartungsverbindungen abgefangen werden. Zudem stellen USB-Schnittstellen und -Ports ein weiteres Sicherheitsrisiko dar, über die Daten unauffällig von einem Multifunktionsgerät entwendet oder Schädlinge ins System eingeschleust werden können. Um Sicherheitsrisiken bei der Datenübertragung zu minimieren, stehen folgende Schutzmöglichkeiten zur Verfügung: