Mit Sicherheit drucken (Teil 1 von 3)

von  Tobias Habermann

Der Schutz von Daten nimmt in den Unternehmen einen immer höheren Stellenwert ein. Mehr Ressourcen als je zuvor werden bereitgestellt, um diesen Schutz zu gewährleisten. Wenn es darum geht, ihre Daten zu schützen, konzentrieren sich die meisten IT Sicherheitsstrategien jedoch auf Rechenzentren und interne Netzwerke und lassen dabei Drucktechnologien häufig außen vor. Es stellt sich deshalb die Frage, was die besten Sicherheitsstrategien und Verschlüsselungsmechanismen nützen, wenn organisationsvertrauliche Dokumente nach der Entschlüsselung gedruckt werden und für „jeden“ zugänglich sind? In dieser dreiteiligen Serie auf unserem Blog stelle ich Ihnen typische Gefährdungslagen beim Drucken vor und zeige generelle Möglichkeiten auf, wie Sie solche Gefahren vermeiden können.

Risikofaktoren im Druckprozess

Das Bundesamt für Sicherheit in der Informationstechnik (BSI, 2016) unterscheidet generell vier Gefährdungslagen.

1. Menschliche Fehlhandlungenmultifunktionsdrucker

Zu diesen zählen vor allem die Nichtbeachtung von Sicherheitsmaßnahmen sowie die Sorglosigkeit im Umgang mit Informationen. In jedem Unternehmen werden Informationen verarbeitet, die nicht für die Öffentlichkeit bestimmt sind. Dazu zählen vor allem Dokumente mit personenbezogenen Daten, Strategiepapiere und so weiter. Selbst wenn diese Dokumente als streng vertraulich klassifiziert sind, werden diese beim Verteilen und Vervielfältigen häufig nicht so behandelt. Bei Netzwerkdruckern (Etagen- und Abteilungsdrucker) verbleiben die Dokumente im Ausgabefach des Druckers und können damit von einer Vielzahl von Personen eingesehen oder entwendet werden. Sind die gedruckten Dokumente nicht am Zielgeräte auffindbar, befassen sich die User dabei nicht mit den Ursachen. Stattdessen vermuten sie IT-Probleme und starten einen neuen Druckauftrag, da sie gewöhnt sind, dass immer wieder Probleme und auch unerklärliche Phänomene auftreten. Auch werden organisatorische und technische Sicherheitsverfahren durch sorglosen Umgang wieder ausgehebelt. Immer wieder sind in der Presse Artikel über Institutionen zu finden, bei denen vertrauliche Dokumente im Altpapiercontainer landen. Bekannt wurden auf diese Weise beispielsweise die Gehaltszahlen von Mitarbeitern eines Unternehmens und personenbezogene Daten von Unternehmensvorständen.

Oft ist der eigenen Belegschaft nur schwer der richtige Umgang mit geschäftskritischen Informationen und IT-Systemen vermittelbar. Bei Betriebsfremden kann grundsätzlich nicht vorausgesetzt werden, dass diese Vorgaben in Bezug auf Informationssicherheit in den jeweiligen Unternehmen kennen und mit diesen umzugehen wissen. Besucher, Reinigungs- und Fremdpersonal können interne Informationen, Geschäftsprozesse und IT-Systeme auf verschiedene Art und Weise gefährden. Bezogen auf den Druckprozess können Steckverbindungen an den Geräten gelöst werden, nicht abgeholte vertrauliche Unterlagen können verlegt oder sogar mit dem Abfall entfernt werden.

2. Organisatorische Mängel

Zu den wohl gravierendsten organisatorischen Mängeln zählen mangelnde Zugangs- und Zutrittskontrollen. Dazu zählen vor allem Räume, in welchen schutzbedürftige Information aufbewahrt und weiterverarbeitet sowie schutzbedürftige Druckgeräte betrieben werden. Verschaffen sich Unbefugte Zutritt, können durch vorsätzliche Handlungen wie Manipulationen oder Vandalismus, aber auch durch unbeabsichtigtes Fehlverhalten, gravierende Schäden verursacht werden. Beispielsweise konnte in einem Unternehmen jeder Mitarbeiter alle Druckerräume betreten. Dadurch gelang es einem Angreifer, physikalisch auf einen zentralen Drucker zuzugreifen und diesen zu manipulieren. Dabei wurden alle Dokumente auf die integrierte Druckerfestplatte geschrieben, jedoch nicht gelöscht. Die prall gefüllte Festpatte wurde gegen eine leere ausgetauscht und die darauf vorhanden Daten extern ausgelesen. Streng vertrauliche Entwicklungsdokumente wurden auf diese Art und Weise an die Konkurrenz verkauft, bevor die Manipulation enthüllt wurde.

Weitere Gefährungslagen sowie Möglichkeiten, zur Vermeidung solcher Gefahren, erfahren Sie in Teil 2 und Teil 3 dieser Serie.

Teilen

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert. *

* = Pflichtfeld

  • Blog-Kategorien

  • Anstehende Veranstaltungen

    1. Siemens PLM Connection

      4. Juli 2017 - 5. Juli 2017
    2. SAP for Utilities

      10. September 2017 um 08:00 - 14. September 2017 um 17:00
    3. TechEd

      25. September 2017 - 29. September 2017
    4. DSAG Jahreskongress

      26. September 2017 - 28. September 2017
    5. SEAL Systems Schulungstage

      7. November 2017 - 9. November 2017