Sicherheitsrisiko Kopierer

Authentifizierung am Drucksystem

Im Interview bemängelt Frank Breitenbach, Produkt Marketing Manager bei der Oki Systems (Deutschland) GmbH, dass viele Unternehmen vergessen, dass sie grundsätzlich bei Systemen, die von mehreren Nutzern bedient werden, mit einer Authentifizierung am System arbeiten sollten.

Frank Breitenbach, Oki

„Die Datenlöschung kann je nach System auch automatisch erfolgen“, weiß Frank Breitenbach, Produkt Marketing Manager bei Oki.

IT-DIRECTOR: Herr Breitenbach, inwieweit sind sich Unternehmen über die Sicherheitsrisiken von Multifunktionsgeräten im Klaren?
F. Breitenbach:
Dieses Thema ist seit mehreren Jahren in den Medien präsent, sprich die meisten Unternehmen dürften bereits über die Risiken informiert sein. Allerdings ist der Aufwand, den ein Hacker betreiben müsste, um sich in ein Multifunktionsgerät einzuhacken, so hoch, dass nur die wenigsten Unternehmen davon betroffen sein dürften. Das größte Sicherheitsrisiko stellen daher immer noch die eigenen Mitarbeitern dar.

IT-DIRECTOR: Sprich, Drucker/Kopierer stellen heutzutage kein Einfallstor für Hacker dar?
F. Breitenbach:
Drucker und Kopierer stellen ein sehr geringes Risiko dar. Ein etwas höheres Risiko besteht bei Druckern und Multifunktionssystemen, wenn „Standard“-Betriebssysteme wie Linux oder Android verwendet werden. Und selbst dann greifen interne Schutzmechanismen der Drucksysteme, die nicht zertifizierte Firmware abblocken. Zuerst muss ein Hacker auch in ein Unternehmensnetzwerk eindringen – je sicherer also ein Unternehmensnetzwerk geschützt wird, desto sicherer sind auch alle Systeme innerhalb des Netzwerkes. Und dort gibt es weitaus interessantere Ziele für einen Hacker als ein Multifunktionssystem oder Drucker.

IT-DIRECTOR: Wie kann dem Datendiebstahl während des Einsatzes eines Multifunktionsgerätes entgegengewirkt werden?
F. Breitenbach:
Mit einer durchgängigen Datenverschlüsselung vom PC bis hin zum Endgerät. Gleiches gilt der Datenablage auf eventuell installierten Festplatten oder Flashspeichern.

IT-DIRECTOR: Inwieweit haben eigentlich Anbieter von Managed-Print-Services Zugang zu den Daten ihrer Kunden?
F. Breitenbach:
Bei uns bestimmt der Kunde, welche Daten wir von ihm erhalten. Neben einer Cloud-Software bieten wir auch eine lokal installierte Server-Software zur Ermittlung von Zählerständen, Fehlermeldungen und dem Status des Verbrauchsmaterials an.

IT-DIRECTOR: In einem Beitrag von ARD Plusminus Ende letzten Jahres wurde das Thema „Datensicherheit bei Multifunktionsdruckern“ beleuchtet. Das TV-Team erwarb mehrere gebrauchte Geräte verschiedener Hersteller und konnte mittels einer kostenlosen Software sensible Daten aus dem vorherigen Gebrauch nachweisen. Was ist hier wohl seitens des vorherigen Besitzers schief gelaufen?
F. Breitenbach:
Systeme, die in einer sicherheitsrelevanten Umgebung eingebunden sind, sollten immer mit einer Löschfunktion für die Nutzerdaten ausgestattet sein. Die Löschung kann je nach System auch automatisch erfolgen. Bei den Systemen, die eine solche Funktion nicht anbieten, muss ein externes Löschen der Festplatte erfolgen. Dies scheint im angesprochen Fall nicht passiert zu sein.

IT-DIRECTOR: Inwieweit können Nutzer einen Einfluss darauf nehmen, welche Daten auf ihren Kopierern/Druckern gespeichert werden?
F. Breitenbach:
Entsprechende Kontrollfunktionen müssen schon im Vorfeld beim Roll-Out der Systeme eingerichtet werden. Hier sind die Netzwerkadministratoren gefragt. Der Nutzer selber muss sich auf die Verantwortlichen im Unternehmen verlassen können! Hier sind auch die Fachhändler in der Pflicht, die Kunden auf mögliche Sicherheitsrisiken aufmerksam zu machen.

IT-DIRECTOR: Gerade für Geheimnisträger wie Polizei, Ärzte oder Steuerberater dürfte dies ein heikles Thema sein. Wer haftet, wenn sensible Daten von Gebrauchtgeräten in falsche Hände geraten bzw. wer ist generell verantwortlich für die Datenlöschung?
F. Breitenbach:
Der Kunde selbst bzw. der Administrator des Netzwerkes. Ein Unternehmen sollte heutzutage in der Lage sein, bei der Anschaffung der Systeme Sicherheitsfunktionen anzufordern. Bei den meisten Ausschreibungen ist das auch schon der Fall. Bei kleineren Installationen sollte der Fachhändler den Kunden auf mögliche Risiken hinweisen. Das ist natürlich beim Kauf über das Internet schlecht möglich. Daher sollten Berufsgruppen, die auf Sicherheit achten müssen, den Fachhandel nach entsprechenden Lösungen fragen.

IT-DIRECTOR: Mit welchem Investitionsaufwand müssen Anwender beim Schließen von Sicherheitslecks rechnen?
F. Breitenbach:
Das kommt auf das System an. Bei kleineren Multifunktionssystemen von uns sind solche Funktionen bereits ab Werk eingebaut, sofern diese Maschinen überhaupt einen nicht flüchtigen Speicher besitzen und diesen für die Zwischenspeicherung von Daten nutzen. Bei den größeren Systemen können Mehrkosten von ca. 500 bis 900 Euro entstehen.

IT-DIRECTOR: Inwieweit sollten Anwender hier auf Spezialisten zurückgreifen?
F. Breitenbach:
Eigentlich immer dann, wenn es um sensible Daten geht. Viele Unternehmen vergessen, dass sie grundsätzlich bei Systemen, die von mehreren Nutzern bedient werden, mit einer Authentifizierung am System arbeiten sollten. Es gibt nichts Schlimmeres, als wenn geheime Daten einfach per Fax oder E-Mail an Jedermann verschickt werden – ohne dass ersichtlich ist, wer denn eigentlich die Daten versendet hat. Die Hemmschwelle bei Systemen mit Authentifizierung ist weitaus höher als bei Systemen, die frei zugänglich sind.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok