Di, 14:20 Uhr
14.05.2013
Die unbekannte Gefahr!
In heutigen Büros werden Drucker und Kopierer zunehmend durch Multifunktionsgeräte (auch „Kombi- oder Mehrzweckgeräte“, „All in One“) ersetzt. Warum diese Geräte Ihre Datensicherheit echt gefährden können zeigt eine Pressemeldung des Thüringer Datenschutzbeauftragten.
Die Vorteile dieser Geräte im Vergleich zu klassischen Kopierern liegen auf der Hand:
Multifunktionsgeräte vereinen in sich Scanner, den automatischen Dokumenteneinzug – Automatic Document Feeder (ADF), Bildbearbeitungseinheit, Druck- sowie Sortier- und Heft-, Duplexeinheiten, Speichereinheiten, Netzwerk- und USB-Adapter, Router, Faxmodem, speicherprogrammierte Steuerungen (SPS) oder computergestützte Steuerung und Basis-Firmware.
Wer Multifunktionsgeräte nutzt, sollte wissen, dass jedes kopierte Dokument und die darin enthaltenen Daten im Gerät elektronisch gespeichert werden.
Diese werden auf Knopfdruck (Start des Kopiervorgangs) automatisch auf interne Speichereinheiten, wie magnetische Festplatten oder Solid State Disks (SSD), geschrieben und bleiben meist ein Geräteleben lang erhalten.
Gerade bei Leasing- oder Miet-Geräten ist es kaum nachvollziehbar, wie diese Geräte später durch zwischengeschaltete Vertriebsstellen weiter veräußert bzw. umgesetzt werden. In Presse und bei Fachtests wurde mehrfach darauf aufmerksam gemacht, dass manches Gerät die komplette Historie (~.log-Dateien) sowie alle kopierten/gescannten Dokumente aufbewahrt.
Aussagen der Gerätehersteller dazu sind widersprüchlich, tendenziell jedoch beruhigend. Manche Händler argumentieren: Keiner hätte je Kenntnis erhalten, dass von seinen Multifunktionsgeräten schon Geheimnisse gestohlen worden seien. Der Käufer hätte sich beim Kauf des Gerätes ausschließlich im Billigsektor orientiert und dabei ausdrücklich auf Sicherheit verzichtet.
Viele Dokumentationen verschleiern im Kleingedruckten, dass bei Multifunktionsgeräten explizit Datenschutzerfordernisse zu beachten und durch geeignete Maßnahmen umzusetzen sind.
Tatsächlich haben jedoch alle bekannten Hersteller Vorsorge getroffen, dass Speicherbereiche gelöscht werden können. Nur gibt es diese Funktionalität bzw. ein entsprechendes Security Kit (Sicherheitsoption) nicht bei jedem Hersteller zum Nulltarif.
Was bedeutet das nun praktisch für die Nutzung von Multifunktionsgeraten verantwortende Stellen?
- Fragen Sie den Hersteller/Verkäufer/Leasingeber/Vermieter Ihrer Wahl, ob Speicherbereiche tatsachlich gelöscht werden und ob es dazu integrierte Funktionalitäten (Sicherheitsoptionen) gibt.
- Achten Sie darauf, dass die Löschung der Daten nicht nur vorgetauscht wird, weil das Gerät nur den Verweis auf die Ablage der zu kopierenden Daten auf dem Speichermedium des Gerätes loscht ¡V zugunsten der Kopiergeschwindigkeit.
- Dazu sollten Sie vor Aufstellen des Gerätes sowie Freigabe für die Nutzer in die technische Dokumentation sehen und einen technisch Verantwortlichen Mitarbeiter - mit der Umsetzung der o. a. Erfordernisse gemäß ThurDSG bzw. ¡± 9 BDSG (technische und organisatorische Maßnahmen) beauftragen.
- Nutzen Sie die ggfs. als Sonderfunktion beschriebene periodische physische Löschung der Daten auf den eingebauten Speichermedien.
- Eine gute Losung ist die Realisierung des Speichermediums als sogenannte RAM-Disks, die ihren gesamten Inhalt .vergessen, sobald sie von der Stromversorgung getrennt werden. Hier ist die Netztrennung durch den Aus-Schalter für die Datenlöschung ausreichend ¡V und beansprucht nicht viel Zeit in Ihren betrieblichen Ablaufen.
- Ziehen Sie Geräte vor, welche die aufgezeichneten Daten sicher verschlüsseln.
- Nehmen Sie den Umgang mit Multifunktionsgeraten in Ihr Sicherheitskonzept auf und treffen Sie entsprechende technisch-organisatorische Maßnahmen.
- Wer ein Gerat mit Common Criteria Zertifizierung nach ISO 15408 betreibt, kann sich sicher sein, dass er über den aktuellen technischen Stand verfugt.
- Hersteller bieten für altere Gerate, die nicht die heutigen Standards erfüllen, ggfs. Sicherheitskits an, die Ihnen beim Losen der entsprechenden Datenschutzprobleme helfen können. Fragen Sie in diesem Falle beim jeweiligen Hersteller nach, wenn Sie ein solches Gerat betreiben.
Insgesamt stehen die Gerätehersteller vor einer permanenten Optimierungsaufgabe. Mit der Entwicklung schneller und größrer Speichermedien steigen auch die Anforderungen an den Datenschutz und die Datensicherheit.
Dr. Lutz Hasse
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Autor: khhDie Vorteile dieser Geräte im Vergleich zu klassischen Kopierern liegen auf der Hand:
Multifunktionsgeräte vereinen in sich Scanner, den automatischen Dokumenteneinzug – Automatic Document Feeder (ADF), Bildbearbeitungseinheit, Druck- sowie Sortier- und Heft-, Duplexeinheiten, Speichereinheiten, Netzwerk- und USB-Adapter, Router, Faxmodem, speicherprogrammierte Steuerungen (SPS) oder computergestützte Steuerung und Basis-Firmware.
Wer Multifunktionsgeräte nutzt, sollte wissen, dass jedes kopierte Dokument und die darin enthaltenen Daten im Gerät elektronisch gespeichert werden.
Diese werden auf Knopfdruck (Start des Kopiervorgangs) automatisch auf interne Speichereinheiten, wie magnetische Festplatten oder Solid State Disks (SSD), geschrieben und bleiben meist ein Geräteleben lang erhalten.
Gerade bei Leasing- oder Miet-Geräten ist es kaum nachvollziehbar, wie diese Geräte später durch zwischengeschaltete Vertriebsstellen weiter veräußert bzw. umgesetzt werden. In Presse und bei Fachtests wurde mehrfach darauf aufmerksam gemacht, dass manches Gerät die komplette Historie (~.log-Dateien) sowie alle kopierten/gescannten Dokumente aufbewahrt.
Aussagen der Gerätehersteller dazu sind widersprüchlich, tendenziell jedoch beruhigend. Manche Händler argumentieren: Keiner hätte je Kenntnis erhalten, dass von seinen Multifunktionsgeräten schon Geheimnisse gestohlen worden seien. Der Käufer hätte sich beim Kauf des Gerätes ausschließlich im Billigsektor orientiert und dabei ausdrücklich auf Sicherheit verzichtet.
Viele Dokumentationen verschleiern im Kleingedruckten, dass bei Multifunktionsgeräten explizit Datenschutzerfordernisse zu beachten und durch geeignete Maßnahmen umzusetzen sind.
Tatsächlich haben jedoch alle bekannten Hersteller Vorsorge getroffen, dass Speicherbereiche gelöscht werden können. Nur gibt es diese Funktionalität bzw. ein entsprechendes Security Kit (Sicherheitsoption) nicht bei jedem Hersteller zum Nulltarif.
Was bedeutet das nun praktisch für die Nutzung von Multifunktionsgeraten verantwortende Stellen?
- Fragen Sie den Hersteller/Verkäufer/Leasingeber/Vermieter Ihrer Wahl, ob Speicherbereiche tatsachlich gelöscht werden und ob es dazu integrierte Funktionalitäten (Sicherheitsoptionen) gibt.
- Achten Sie darauf, dass die Löschung der Daten nicht nur vorgetauscht wird, weil das Gerät nur den Verweis auf die Ablage der zu kopierenden Daten auf dem Speichermedium des Gerätes loscht ¡V zugunsten der Kopiergeschwindigkeit.
- Dazu sollten Sie vor Aufstellen des Gerätes sowie Freigabe für die Nutzer in die technische Dokumentation sehen und einen technisch Verantwortlichen Mitarbeiter - mit der Umsetzung der o. a. Erfordernisse gemäß ThurDSG bzw. ¡± 9 BDSG (technische und organisatorische Maßnahmen) beauftragen.
- Nutzen Sie die ggfs. als Sonderfunktion beschriebene periodische physische Löschung der Daten auf den eingebauten Speichermedien.
- Eine gute Losung ist die Realisierung des Speichermediums als sogenannte RAM-Disks, die ihren gesamten Inhalt .vergessen, sobald sie von der Stromversorgung getrennt werden. Hier ist die Netztrennung durch den Aus-Schalter für die Datenlöschung ausreichend ¡V und beansprucht nicht viel Zeit in Ihren betrieblichen Ablaufen.
- Ziehen Sie Geräte vor, welche die aufgezeichneten Daten sicher verschlüsseln.
- Nehmen Sie den Umgang mit Multifunktionsgeraten in Ihr Sicherheitskonzept auf und treffen Sie entsprechende technisch-organisatorische Maßnahmen.
- Wer ein Gerat mit Common Criteria Zertifizierung nach ISO 15408 betreibt, kann sich sicher sein, dass er über den aktuellen technischen Stand verfugt.
- Hersteller bieten für altere Gerate, die nicht die heutigen Standards erfüllen, ggfs. Sicherheitskits an, die Ihnen beim Losen der entsprechenden Datenschutzprobleme helfen können. Fragen Sie in diesem Falle beim jeweiligen Hersteller nach, wenn Sie ein solches Gerat betreiben.
Insgesamt stehen die Gerätehersteller vor einer permanenten Optimierungsaufgabe. Mit der Entwicklung schneller und größrer Speichermedien steigen auch die Anforderungen an den Datenschutz und die Datensicherheit.
Dr. Lutz Hasse
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit