Wie gefährlich ist der Einsatz von Druckern, Kopierern, Scannern und Multifunktionssystemen?
Die EU-Datenschutzgrundverordnung (DSGVO), welche am 25.05.2018 europaweit inkraft getreten ist, regelt unseren Büroalltag und setzt dabei neue Maßstäbe.
Denn sie ersetzt alle bisher geltenden Datenschutzrechte und gilt ausnahmslos für alle Unternehmen. Dabei werden viele Vorgaben getroffen, was künftig bei der Verarbeitung von personenbezogenen Daten beachtet werden und wie man diese Daten schützen muss. Jedes Unternehmen ist ab dann selbst für den Schutz der Daten verantwortlich und kann bei Verstößen mit teils empfindlichen Strafen belegt werden.
Viele Unternehmen, welche sich mit der neuen Datenschutzgrundverordnung DSGVO auseinandersetzen, erarbeiten etliche Maßnahmen, wie sie Ihre Daten vor unbefugtem Zugriff und Datenmissbrauch schützen können. Doch die meisten denken dabei in erster Linie an den Schutz aller elektronischen Dokumente:
- welcher Benutzer hat wann, wo und wie Zugriff auf bestimmte Daten – der Zugriff wird reglementiert. Nicht mehr jeder Mitarbeiter hat unter Umständen Zugriff auf alle Funktionen und / oder Netzlaufwerke
- ebenso muss der Zugriff auf den PC mit einer Benutzeranmeldung gesichert sein
- wenn der Nutzer seinen Arbeitsplatz verlässt muss dieser gesperrt werden
- mobile Endgeräte müssen ebenso mit der Zwei-Faktor-Authentifizierung gesichert sein – niemand darf spielend leicht und ungehindert an Daten auf den Geräten gelangen.
Des Weiteren achten viele bei der Umsetzung auch auf folgende Punkte. Zum Bespiel:
- die Website eines Unternehmens muss DSGVO-konform gestaltet werden (neue Datenschutzerklärung, Hinweis auf Datenspeicherung bei Kontaktformularen oder in Loginbereichen, Nutzung von Social Plugins, etc.)!
- dies gilt auch beim Betreiben von Online-Shops!
- Lieferanten, welche bestimmte Dienstleistungen ausführen oder Zugang zum Unternehmen haben müssen eine ADV-Vereinbarung unterzeichnen!
- Mitarbeiter müssen geschult, Datenschutzvereinbarungen und Richtlinien vorgelegt werden, welche sie unterschreiben müssen!
- Hinweise auf Datenspeicherung müssen erstellt werden!
Datenmissbrauch bei der Nutzung von Druckern und Multifunktionssystemen
Ein ebenso wichtiges Thema, welches bei der Umsetzung von Datenschutzrichtlinien allerdings in den wenigsten Unternehmen Beachtung findet, ist der Einsatz von Druckern, Kopierern, Scannern und Multifunktionssystemen!
Die eben erwähnten Systeme sind heute ein notwendiger und wichtiger Bestandteil der Geschäftsabläufe in unseren Unternehmen und somit auch der damit verbundenen Datenverarbeitung. Dokumente werden gedruckt, eingescannt, weiterverarbeitet und verschickt. Dadurch stellen auch diese Geräte einen potenziellen Schwachpunkt in der Informations- und Datensicherheit in Unternehmen dar.
Gerade Multifunktionssysteme stehen oftmals an schnell zugänglichen Orten, sodass Ihre Mitarbeiter kurze Wege zu den Arbeitsgruppengeräten haben. In öffentlichen Behörden sind die MFP’s teilweise sogar frei zugänglich für jedermann.
Sind die Geräte nicht gesperrt können so unbefugte Personen auf sämtliche Funktionen der Geräte zugreifen:
- Adressbuch mit den Mitarbeiter-E-Mail-Adressen auslesen!
- Dokumente scannen und wahllos verschicken!
- gerade gedruckte, aber noch nicht abgeholte Dokumente mit personenbezogenen oder sensiblen Daten einsehen und sogar mitnehmen!
- evtl. auf der Festplatte der Systeme gespeicherte Dokumente ansehen und drucken!
- oder die Dokumente aus den Ausgabefächern einfach kopieren!
Der Weg zum einfachsten Datenmissbrauch ist frei!
Das Risiko der Benutzung im Netzwerk
Ein weiterer Schwachpunkt kann ebenso die Netzwerksicherheit sein. In vielen Unternehmensnetzwerken sind viele, nicht-benötigte Protokolle aktiv und die Kommunikation der Geräte untereinander erfolgt unverschlüsselt. Sind diese nicht ausreichend gesichert und ein Hacker hätte Zugriff auf das Netzwerk könnte dieser schnell und einfach Daten im Netzwerk abfangen!
Aber auch die Benutzung der Geräte durch die eigenen Mitarbeiter selbst stellt eine gewisse Gefahr dar! Das Scannen an E-Mail-Adressen ist die meist genutzte und eingerichtetste Funktion, wenn es um das Thema Scannen geht:
- Mitarbeiter gehen an die Multifunktionssysteme
- legen Ihre Dokumente ein
- und verschicken diese durch Auswahl der Adressen aus dem Adressbuch, im schlimmsten Fall sogar per Eingabe von externen E-Mail-Adressen relativ schnell und einfach!
Alle Geräte nutzen dabei im Hintergrund eine allgemeine Absenderadresse. Eine eindeutige Identifizierung desjenigen, der gerade scannt, ist nicht möglich. Im schlimmsten Fall könnten Dokumente mit personenbezogenen oder hoch sensiblen Daten äußerst schnell und unbemerkt das Unternehmen verlassen!
Maßnahmenkatalog des Bundesamtes für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationspolitik hat deshalb auch den BSI Maßnahmenkatalog aktualisiert und erläutert unter anderem wichtige Maßnahmen beim Einsatz von Drucker, Kopierern, Scannern und Multifunktionssystemen im Büroalltag. Die wichtigsten Punkte finden Sie nachfolgend in der Übersicht:
- M2.397: Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten
- M2.398: Benutzerrichtlinien für den Umgang mit Druckern, Kopierern und Multifunktionsgeräten
- M2.399: Kriterien für die Beschaffung und geeignete Auswahl von Druckern, Kopierern und Multifunktionsgeräten
- M2.52: Versorgung und Kontrolle der Verbrauchsgüter
- M2.13: Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln
- M2.400: Sichere Außerbetriebnahme von Druckern, Kopierern und Multifunktionsgeräten
Auch uns ist das Thema Datenschutzgrundverordnung im Bezug auf den Einsatz unserer Bürotechniksysteme sehr wichtig! Gerne bieten wir Ihnen unsere Hilfe an. Unsere Consultants aus dem Technischen Vertrieb beraten Sie zum Thema „DSGVO und Bürotechnik“.