Gebrauchte Kopierer

Tools zur sicheren Datenlöschung wichtig

Im Interview erklärt Norbert Höpfner, Head of Printing Solutions bei der Samsung Electronics GmbH, dass es in der Regel nicht genügt, ein gebrauchtes Multifunktionsgerät einfach nur an den Anbieter zurückzugeben und sich darauf zu verlassen, dass dieser alle Daten komplett löscht. Hierfür bieten moderne multifunktionale Kopiersysteme meist entsprechende Werkzeuge an, mit denen alle vorhandenen Daten sicher und endgültig vernichtet werden.

Norbert Höpfner, Samsung

„Wenn die Expertise zum Schutz von sensiblen Daten im Unternehmen nicht vorhanden ist, sollte unbedingt ein Partner mit dem entsprechenden Fachwissen konsultiert werden“, rät Norbert Höpfner von Samsung.

IT-DIRECTOR: Herr Höpfner, inwieweit sind sich Unternehmen über die Sicherheitsrisiken von Multifunktionsgeräten im Klaren?
N. Höpfner:
Obwohl es sicherlich viele Unternehmen gibt, die sich möglicher Risiken bewusst sind, herrscht noch großer Aufklärungsbedarf, wie sich Anwender gegen Sicherheitslecks schützen können. Fachhändler sollten ihre Kunden für dieses Thema sensibilisieren. Samsung bietet seinen Partnern und Kunden hierzu umfangreiches Informationsmaterial.

IT-DIRECTOR: Problem 1 „Vernetzung“: Inwiefern stellen Drucker/Kopierer heutzutage ein Einfallstor für Hacker dar?
N. Höpfner:
Grundsätzlich ist ein Multifunktionsgerät genauso Teil der IT-Ausrüstung eines Unternehmens wie etwa ein Notebook und kann daher prinzipiell auch angegriffen werden – das erfordert allerdings ein hohes Maß an krimineller Energie und ist sehr aufwändig. Ein aus unserer Sicht viel größeres Sicherheitsrisiko für Unternehmen ist das Verhalten einzelner Nutzer. Beispielsweise dann, wenn sie ihre Ausdrucke im Ausgabefach vergessen oder ihre Authentifizierungspasswörter weitergeben.

IT-DIRECTOR: Wie kann dem Datendiebstahl während des Einsatzes eines Multifunktionsgerätes entgegengewirkt werden?
N. Höpfner:
Zuerst sollten unbedingt die Sicherheitstools der Multifunktionsgeräte verwendet werden. Wir statten unsere Multifunktionssysteme mit integrierten Festplatten daher schon von Haus aus mit Sicherheitsfunktionen aus, die die Systeme weitgehend absichern. Dazu zählen beispielsweise Festplattenverschlüsselung, Verschlüsselung der Datenströme, sicheres Überschreiben von Speicherinhalten oder die Eingabemöglichkeit von PINs oder Passwörtern. Mitarbeiter, die sensible Daten drucken oder kopieren, sollten darüber hinaus in entsprechend fundierten Schulungen zum sicheren Umgang mit Ausgabegeräten geschult werden.

IT-DIRECTOR: Inwieweit haben eigentlich Anbieter von Managed-Print-Services Zugang zu den Daten ihrer Kunden?
N. Höpfner:
Dies lässt sich nicht pauschal beantworten, denn es hängt zuerst einmal von den Vereinbarungen mit dem Anbieter ab. Dabei geht es in erster Linie um Daten zum System, der Nutzung oder der Möglichkeit der Fernwartung. Wird beispielsweise bei knappem Toner automatisch eine Nachbestellung beim Anbieter ausgelöst, könnte er sicherlich Rückschlüsse über das Nutzungsverhalten, das Druckvolumen und ähnliches ziehen, das hat allerdings nichts mit den persönlichen Daten der Kunden oder Nutzer zu tun. Auf diese Informationen haben wir keinerlei Zugriff, wenn die entsprechenden Sicherheitsprotokolle von den Nutzern aktiviert und eingerichtet sind.

IT-DIRECTOR: Problem 2 „Gebrauchtgeräte“: In einem Beitrag von ARD Plusminus Ende letzten Jahres wurde das Thema „Datensicherheit bei Multifunktionsdruckern“ beleuchtet. Das TV-Team erwarb mehrere gebrauchte Geräte verschiedener Hersteller und konnte mittels einer kostenlosen Software sensible Daten aus dem vorherigen Gebrauch nachweisen. Was ist hier wohl seitens des vorherigen Besitzers schief gelaufen?
N. Höpfner:
Hierbei ging es schlicht um Prozessprobleme und auch um Anwendungsfehler der Vorbesitzer. Der Bericht suggerierte, dass nahezu jede Kopie auf einem Multifunktionsgerät gespeichert wird – das kommt allerdings nur bei sehr umfangreichen Kopieraufträgen vor und selbst dann sollten die Daten nach Beendigung schnell automatisch gelöscht sein. Das Auslesen der Daten hätte verhindert oder zumindest erheblich erschwert werden können, wenn die Festplatten verschlüsselt gewesen wären. Das Gerät einfach nur an den Anbieter zurückzugeben und sich darauf zu verlassen, dass dieser alle Daten komplett löscht, genügt in der Regel nicht. Hierfür bieten moderne multifunktionale Kopiersysteme meist entsprechende Werkzeuge an, mit denen alle vorhandenen Daten sicher und endgültig vernichtet werden. Verantwortlich hierfür ist letztendlich immer der Betreiber des Systems selbst. In den von Plusminus dargestellten Fällen hätte unbedingt ein für die sichere Löschung und fachgerechte Entsorgung zertifizierter Partner eingeschaltet werden müssen, mit dem entsprechend schriftliche Vereinbarungen zu treffen gewesen wären.

IT-DIRECTOR: Inwieweit können Nutzer einen Einfluss darauf nehmen, welche Daten auf ihren Kopierern/Druckern gespeichert werden?
N. Höpfner:
Der einzelne Anwender kann hierbei nur selten direkt Einfluss nehmen, beispielsweise dann, wenn er Secure- oder Pull-Printing einsetzt. Ansonsten hängen Art und Umfang der Datenspeicherung von den internen Richtlinien der Unternehmen ab. Informationen hierzu können Anwender meist direkt bei der IT-Abteilung, dem Datenschutzbeauftragten oder auch beim Betriebsrat bekommen. Am besten vor, aber spätestens während des Rollouts für neue Systeme, sollten Unternehmen mit ihrem Fachhandelspartner genau festlegen, wie mit Daten auf den Geräten zu verfahren ist und welche Sicherheitsstandards eingehalten werden müssen.

IT-DIRECTOR: Gerade für Geheimnisträger wie Polizei, Ärzte oder Steuerberater dürfte dies ein heikles Thema sein. Wer haftet, wenn sensible Daten von Gebrauchtgeräten in falsche Hände geraten bzw. wer ist generell verantwortlich für die Datenlöschung?
N. Höpfner:
Verantwortlich für den Umgang mit Daten – und damit auch deren Löschung vom Gerät – ist der Nutzer. Unternehmen tun gut daran, sich über die Sicherheit ihrer Daten tiefgehende Gedanken zu machen, besonders dann, wenn es um sensible und vertrauliche Daten geht. Das Datenschutzgesetz geht sogar so weit, dass mitunter Geschäftsführer von Unternehmen persönlich in die Haftung genommen werden können, wenn Richtlinien grob verletzt wurden.

IT-DIRECTOR: Mit welchen Strafen müssen Anwender bei Datenlecks rechnen?
N. Höpfner:
Das kommt natürlich immer auf die Situation an. Bei Datendiebstahl durch einen Mitarbeiter greifen andere Instrumentarien, als wenn damit „nur“ grob fahrlässig umgegangen wird. Auf Ärzte, Steuerberater, Notare oder Rechtsanwälte könnten mitunter empfindliche Schadenersatzforderungen zukommen, wenn sensible Daten ihrer Klienten durch deren Verschulden in falsche Hände gelangen.

IT-DIRECTOR: Wie können Anwender sichergehen, dass keinerlei Daten auf ihren ausrangierten Geräten zurückbleiben? Welche konkreten Schutzmechanismen gibt es für Multifunktionsgeräte?
N. Höpfner:
Hier greifen die Tools, die zum Lieferumfang professionell genutzter multifunktionaler Kopiersysteme mit Festplattenspeicher gehören. Wir bieten schon im Lieferumfang einen hohen Grad an Sicherheit, wenn die Kunden die sicherheitsrelevanten Tools entsprechend konfigurieren und einsetzen: Im Netzwerk kann die Sicherheit über den Standard IEEE 802.1x gewährleistet werden. Werden IP- oder Mac-Adressenfiltern eingesetzt, kann festgelegt werden, dass nur zugelassene Geräte eine Netzwerkverbindung zu den Ausgabegeräten aufbauen und Druckaufträge absetzen können. Die Druckdatenströme lassen sich darüber hinaus durch die Protokolle TLS/SSL verschlüsseln. Die internen Festplatten, wie auch die lokal darauf gespeicherten Informationen, können mit dem Standard AES 256 Bit verschlüsselt werden. Gepufferte Daten aus Druck- oder Scanvorgängen lassen sich nach der Ausgabe automatisch überschreiben und damit sicher löschen. Vor dem Austausch eines Gerätes kann dazu auch die Festplatte sicher durch eine Mehrfachüberschreibung der Daten gelöscht werden. Die Tools sind dabei so stark, dass sie nach IEEE 2600-2009.2, dem Standard für die Sicherheit von netzwerkfähigen Druckern und Peripheriegeräten sowie nach den Common-Criteria-Anforderungen der Stufe EAL3 zertifiziert sind. Weitere sicherheitsrelevante Vorkehrungen sind beispielsweise die Einrichtung von Secure- und Pull-Print-Lösungen sowie Authentifizierungen via PIN, Passwort oder RFID- bzw. NFC-Chipkarte.

IT-DIRECTOR: Mit welchem Investitionsaufwand müssen Anwender beim Schließen von Sicherheitslecks rechnen?
N. Höpfner:
Auch dies lässt sich nicht pauschal beantworten, denn es kommt natürlich immer auf den speziellen Fall an. Verantwortungsbewusste Hersteller liefern ihre Systeme mit entsprechenden Tools aus, um ihren Kunden eine gesicherte Druck-, Kopier- und Scanumgebung anbieten zu können. Die größten Investitionen sind dann dabei die Strategiefestlegung zum Sicherheitslevel sowie der Zeitaufwand für die Einrichtung der Systeme und Tools, was aber durch die gewonnene Sicherheit eine durchaus lohnende Investition darstellt.

IT-DIRECTOR: Inwieweit sollten Anwender hier auf Spezialisten zurückgreifen?
N. Höpfner:
Wenn die Expertise zum Schutz von sensiblen Daten im Unternehmen nicht vorhanden ist, sollte unbedingt ein Partner mit dem entsprechenden Fachwissen konsultiert werden. Unsere Lösungsspezialisten und Fachhandelspartner bieten den Kunden hier Unterstützung in allen Belangen rund um dieses Thema und erarbeiten mit ihnen die für sie richtige Strategie zur Datensicherheit.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok