Datenschutzrisiko

Unternehmen sind laut Datenschutzgrundverordnung, DSGVO, zu einem sicheren und sparsamen Umgang mit Daten angehalten. Bei Verstößen drohen hohe Strafen. „Doch gerade bei der Netzwerkdrucker-Infrastruktur klaffen oft noch große Sicherheitslücken“, warnt der Informatiker Pascal Reinheimer, Geschäftsführer des in der Region Rhein-Main aktiven Systemhauses reinheimer systemloesungen in Darmstadt. Erfahren Sie mehr über das Risiko „Drucker“ in IT-Landschaften. Und wie Sie mehr Datensicherheit schaffen können.

Reinheimer-Überblick über Datenrisiken (Drucker)

Vielen ist das nicht bewusst: Intelligente Drucker verarbeiten und speichern heute große Datenmengen. Diese sind in vielen Fällen weithin ungeschützt, weil sie unverschlüsselt übertragen und vom Multifunktionsgerät ebenso unverschlüsselt gespeichert werden. Kollegen und Hacker haben leichten Zugriff auch auf vertrauliche Dokumente, so EDV-Fachmann Pascal Reinheimer. Dazu zählen beispielweise Bewerbungen, Personalakten, Arbeitsverträge, Angebote, vertrauliche Pläne und Zeichnungen.

„Das Problem drängt. Das ist auch vielen Unternehmen, bewusst – aber noch längst nicht allen“, so der Chef des Computer-Dienstleisters reinheimer systemloesungen in Darmstadt.

Die Analysten von Quocirca ermittelten in einer Studie, dass es für 67 Prozent der befragten Unternehmen eine sehr große Befürchtung ist, dass Eindringlinge über ungesicherte Drucker und Multifunktionsgeräte Zugang zum IT-Netzwerk finden. 61 Prozent aller befragten Unternehmen halten es für besorgniserregend, dass vertrauliche Dokumente über Drucker ausgegeben werden, die sich mehrere Mitarbeiter teilen. 56 Prozent befürchten, dass Druckaufträge in der Drucker-Warteschlange abgefangen werden könnten.

Abbildung aus der Quocirca-Studie (2017, Seite 8)

Die Experten bezeichnen Multifunktionsdrucker im Executive Summary ihrer Studie als „schwächstes Glied“ („weakest link“) in EDV-Systemlandschaften. Sie seien oft an allgemein zugänglichen Plätzen untergebracht. Unautorisierte Personen könnten so viel zu leicht absichtlich oder zufällig an vertrauliche oder sensible Informationen gelangen.

Beispielhafte Drucker-Gefahren sind:

• unverschlüsselter Datentransfer zum Drucker,
• Festplatte im Gerät, die Druckdaten enthalten und ausgebaut werden können,
• Unautorisierter Zugang zu den Druck-, Kopier- und Scanfunktionen des Multifunktionsdruckers
• und allgemeiner Zugang zu den Ausdrucken, wenn der Drucker beispielsweise auf dem Gang oder in einem Großraumbüro steht.

Reinheimer-Tipps für DSGVO-konforme Sicherheit beim Drucken

Grundsätzlich schreibt die DSGVO vor, dass Unternehmensverantwortliche organisatorisch und technisch Maßnahmen zu treffen haben, die für einen maximalen Schutz und höchste Sicherheit von Daten sorgen. Was tun, um das zu gewährleisten? Das Thema „DSGVO“ hat viele Facetten, sodass hier nur einige Aspekte angesprochen werden können, um grobe Fehler zu vermeiden.

Der Datentransfer muss gegen unbefugte Zugriffe gesichert werden.
Cyberkriminellen, die über die Drucker-Infrastruktur ins EDV-Herz Ihres Unternehmens eindringen wollen, können Sie die Tür vor der Nase zuschlagen, indem Sie ein ausschließlich Druckvorgängen vorgesehenes Subnetz installieren. Über ein solches Subnetz können sie auch definieren, welche Endgeräte auf welchen Druckern arbeiten dürfen. Sie können beispielsweise Smartphones, die höhere Sicherheitsrisiken darstellen, ausschließen oder nur bestimmte portable Geräte zulassen. Auch der Datentransfer zum Drucker sollte nur verschlüsselt stattfinden.

Datenspeicher sollten verschlüsselt arbeiten.
Und wenn der Drucker abgeschaltet wird, sollten sämtliche Inhalte im Druckerspeicher automatisch gelöscht werden.

Sie sollten sorgfältig bei der Auswahl Ihrer Hardware sein.
Moderne Multifunktionsgeräte sind heute selbst Computer mit eigener Festplatte und eigenem Rechner. Sie speichern Druckaufträge und beispielsweise auch Scans. Sie sollten zudem gegen das Entfernen und Mitnehmen ihrer Datenspeicher gesichert sein. Nach einer von Hewlett Packard in Auftrag gegebenen Umfrage unter 2000 IT-Sicherheitsexperten (Ponemon Institute) „60 Prozent der Befragten ein, dass wahrscheinlich bereits eine Datenschutzverletzung mit einem vernetzten Drucker aufgetreten ist“. Aber nur 34 Prozent der Befragten gaben an, dass ihr Unternehmen über ein Verfahren zur Zugriffsbeschränkung auf Drucker mit hohem Risiko, einschließlich gedruckter Dokumente, verfügt. Vor allem KMU ohne professionelle Systemadministration, die auch die Cybersicherheit der Netzwerkdrucker im Blick hat, sind hoch gefährdet. (Quelle: http://www.hp.com/sbso/hpinfo/newsroom/LaserJetSecurityLaunch2015/InsecurityOfNetworkConnectedPrinters.pdf).

Geräte, auf denen vertrauliche Unterlagen gedruckt werden, sollten nicht für alle zugänglich sein.
„Eine Aufstellung auf dem Korridor, wo sie nicht selten platziert sind, ist für Personal- oder Entwicklungsabteilungen nicht empfehlenswert“, gibt der Darmstädter Systemadministrator Pascal Reinheimer zu bedenken.

Sie sind auf der Suche nach sicherer Drucker-Hardware oder wollen die Sicherheit ihrer bestehenden Print-Infrastruktur auf den Prüfstand stellen? Sprechen Sie uns an. (Link zum Kontaktfeld.)

Viele Multifunktionsgeräte können auch als Faxgeräte genutzt werden – das ist eine Gefahrenquelle!
Der im Raum Frankfurt aktive IT-Berater Reinheimer empfiehlt deshalb, Netzwerkschnittstelle und Faxleitung streng zu trennen.

Ein weiteres Sicherheitsrisiko sind Firmware-Updates.
Grundsätzlich sollte nur der zentrale Systemverantwortliche sie aufspielen dürfen, um das Einschleichen von Schadsoftware zu unterbinden. Firmware muss das für den jeweiligen Drucker passende Format und einen symmetrischen Schlüssel haben. Idealerweise sollten sie mit einer digitalen Signatur des Herstellers versehen sein.

Nicht jeder sollte alles drucken und damit auch sehen dürfen.
Eine Nutzer-Authentifizierung kann dafür sorgen, dass nicht jeder Mitarbeiter vertrauliche Dokumente ausdrucken kann. Hilfreich sind auch Drucker-Richtlinien im Unternehmen.

Sie haben Fragen, wie Sie die Drucker-Infrastruktur in Ihrer Praxis oder Kanzlei, Ihrem Unternehmen oder Ihrer Organisation DSGVO-konform absichern können?
Sprechen Sie unsere Expertem im Systemhauses in Darmstadt an!

Sie haben Fragen dazu, wie Ihre IT-Landschaft sicher konfiguriert werden kann?

Sprechen Sie das Systemhaus in Darmstadt an.