Sofern es diese Sicherheitsregeln gibt. Die müssen erstens schriftlich fixiert werden und dann durch regelmäßige Hinweise und besser noch Schulungen in Fleisch und Blut der Mitarbeiter übergehen. Doch selbst Unternehmen mit ausgeklügelten Compliance-Richtlinien für den sicheren Umgang mit IT-Systemen werden erstaunlich schwammig, wenn es um vermeintlich so unkritische Geräte wie Drucker geht. Doch das ist gefährlich. Einerseits weil wie schon erwähnt geschäftskritische Informationen in die Hände von Wettbewerbern fallen können. Dann hat das Unternehmen einen finanziellen Schaden, in der Regel wird so ein Vorfall aber nicht publik, so dass es zumindest nicht am Image kratzt.
Mit ihrer Sorglosigkeit können sich Unternehmen unter Umständen aber auch strafbar machen. Dann gelangen Vergehen schnell in die Öffentlichkeit und richten nicht nur finanziellen Schaden an, sondern setzen die Reputation des Unternehmens aufs Spiel. Wenn zum Beispiel mit den geklauten Daten personenbezogene Informationen – etwa Kundendaten oder Stammdaten von Mitarbeitern – in falsche Hände gelangen, greift das Bundesdatenschutzgesetz und hier kennen die Gerichte in der Regel kein Pardon. Haftbar ist in solchen Fällen der Verantwortliche, was in Unternehmen immer die oberste Leitungsperson also Vorstand, Direktor, Inhaber oder eine Person vergleichbaren Ranges ist. Die Schuld nach unten zu delegieren, etwa an einen Administrator in der IT-Abteilung oder an einen Mitarbeiter, der vielleicht einen Ausdruck im Ausgabeschacht vergessen hat, ist nur möglich, wenn dieser Person eine Schädigungsabsicht oder grob fahrlässiges Verhalten nachzuweisen ist.
Unachtsamkeiten einzelner Personen fallen also immer auf das Unternehmen zurück. Strenge Sicherheitsrichtlinien dienen deshalb nicht nur dazu, Hackerangriffe zu vermeiden, sondern auch sich vor Strafverfolgung zu schützen. Denn wer nachweisen kann, dass er alles getan hat, um seine Drucker wasserdicht zu machen, ist auf der sicheren Seite.
Auf die Hersteller der Geräte kann man bei Rechtsstreitigkeiten übrigens nicht hoffen. Das EU-Parlament hat versucht, bei der Neuregelung der Datenschutzgrundverordnung die Hersteller verstärkt in die Pflicht zu nehmen, doch dies ist nicht gelungen. Wer einen Drucker oder ein Multifunktionsgerät kauft, muss nach wie vor selbst darauf achten, dass er Hackern nicht die Tür öffnet und so Daten abhandenkommen.
<Drucker – das unterschätzte Sicherheitsrisiko
Drucker im Unternehmen: Offen wie ein Scheunentor
Aus der Praxis: Wie man einen Multifunktionsdrucker absichert
Sicher Drucken: organisatorische Maßnahmen gegen Datenverluste