Multifunktionsgeräte als Sicherheitsrisiko

(13.3.2013)

Multifunktionsgeräte können viel – und viel verraten

Wenn Sie die Anschaffung von Multifunktionsgeräten in Ihrem Unternehmen planen, sollten Sie folgende Punkte berücksichtigen:

  1. Was brauchen wir genau?
    Beziehen Sie in das Anforderungsprofil nicht nur technische Daten wie Druckgeschwindigkeit und Tonerverbrauch ein, sondern auch administrative Konfigurationsmöglichkeiten und zusätzliche Sicherheitsoptionen wie z. B. Festplattenverschlüsselung oder Security-Kits der Hersteller.
  2. Wo sollen die Geräte stehen?
    Analysieren Sie, an welchen Orten die Geräte aufgestellt werden sollen: Ein Multifunktionsgerät, dass an einem gut zugänglichen und unbeaufsichtigten Platz aufgestellt wird, muss besonders gut abgesichert sein. Ein Angreifer könnte beispielsweise das Gerät vom Netzwerk trennen und seinen Laptop anschließen. Über den DHCP-Server bekommt er eine IP-Adresse und hat nun physikalischen Zugriff auf alle Rechner in Ihrem Netzwerk.
  3. Wie sollen die Geräte konfiguriert werden?
    • Dienste/Protokolle
      Die Geräte verfügen häufig über Dienste oder Protokolle, die Sie nicht benötigen: Diese sollten deaktiviert werden.
    • Passwortänderungen
      Das administrative Standardpasswort sowie das Masterpasswort (das Passwort, mit dem Techniker das Admin-Passwort zurücksetzen kann, wenn der Kunde es vergessen hat) müssen unverzüglich geändert werden.
    • Secure Printing
      Konfigurieren Sie die Geräte so, dass Mitarbeiter den Druckauftrag für vertrauliche Dokumente am Arbeitsplatz starten und dann am Gerät per PIN-Eingabe freischalten können.
      Löschung von Speicherinhalten und Protokollen gemäß dem Gebot der Datensparsamkeit sollten Daten auf der Festplatte des Gerätes regelmäßig automatisch gelöscht werden.
  4. Anweisungen an die Mitarbeiter
    Secure Printing
    Mitarbeiter, die vertrauliche bzw. personenbezogene Informationen ausdrucken, müssen dazu verpflichtet werden, Secure Printing zu nutzen: Der Druckauftrag wird vom Arbeitsplatz an das Gerät geschickt und dann am Drucker per PIN-Eingabe der Ausdruck gestartet.
  5. Allgemeine Sicherheitshinweise
    • Sicherheitsupdates
      Regelmäßige Sicherheitsupdates, die vom Hersteller herausgegeben werden, sollten selbstverständlich installiert werden.
    • Dokumentation
      Dokumentieren Sie alle Einstellungen, die Sie in Verbindung mit den Multifunktionsgeräten vornehmen.
    • Web-Frontend
      Viele Geräte werden mit einer Administrationsoberfläche angeboten, die über einen Browser aufgerufen wird. Klären Sie, inwieweit dies notwendig ist – oder ob Sie sich auf die Administration am Gerät beschränken können.
    • Schredder
      Neben jedem Abteilungsdrucker sollte ein Schredder (Cross- oder X-Cut) stehen: Unsachgemäße Entsorgung von Fehldrucken ist eine häufig vorkommende Sicherheitslücke.
    • Umgang mit dem Gerät
      Legen Sie klare Regeln für Ihre Mitarbeiter für den Umgang mit dem Multifunktionsgerät fest.
    • Stellen Sie sicher, dass Geräte im Rahmen von Reklamationen oder Rückgaben am Ende einer Mietzeit nur nach sicherer Löschung der Daten auf der Festplatte das Haus verlassen.
      Fragen Sie in Zweifelsfällen uns.

Wie immer gilt: Wir fassen hier einige allgemein-gültige Informationen zusammen, um Ihnen das Thema grundsätzlich nahe zu bringen.
Sollten Sie konkret die Anschaffung von Multifunktionsgeräten planen: Binden Sie uns als Datenschutzbeauftragte frühzeitig ein, damit Sie bereits in Ihren Anforderungen an potenzielle Lieferanten die wesentlichen Parameter abfragen können.

Verwandte Beiträge