Es müssen nicht unbedingt Hacker sein, die durch zielgerichtete Angriffe von außen Drucksysteme kompromittieren und dadurch Geschäftsdaten in ihren Besitz bringen. Ein Großteil der Datenverluste geht auf das Konto von Mitarbeitern oder von Beschäftigten, die für einen Dienstleister tätig sind. Oft sind dabei Unachtsamkeit oder Fahrlässigkeit im Spiel. Doch solche Risiken lassen sich mithilfe einer Sicherheitsstrategie für Dokumente und Drucksysteme auf ein Mindestmaß beschränken.
"Ja, was haben wir denn da?" Dieser Satz dürfte in Deutschland jeden Tag etliche Male zu hören sein, wenn ein Mitarbeiter vor einem Abteilungsdrucker oder Multifunktionssystem steht und seine Ausdrucke abholt. Denn diese Systeme sind eine wahre Fundgrube, wenn es um vertrauliche Informationen geht: Immer wieder kommt es vor, dass Kollegen einen Druckauftrag starten, die ausgedruckten Dokumente aber umgehend abholen. Das ist schnell passiert: Einmal kommt ein wichtiges Telefonat mit einem Kunden dazwischen, in einem anderen Fall ist es ein Kollege, der mal eben schnell eine Information benötigt. Und schon bleiben Personalunterlagen, die Präsentation der neuen Vertriebsstrategie oder Auftragsbestätigungen im Ausgabefach des Drucksystems liegen.
Die Folgen solcher Nachlässigkeiten können gravierend sein, speziell dann, wenn auf diesem Weg vertrauliche Unterlagen Unbefugten in die Hände fallen. Die amerikanische Beratungsfirma Ponemon Institute hat im Rahmen einer Studie ermittelt, dass der Verlust unternehmenskritischer Daten ein Unternehmen in Deutschland im Schnitt rund 1,44 Millionen Dollar kostet. Darin enthalten sind die Aufwendungen für die Suche nach den Ursachen des Datenverlustes, die Beseitigung des Lecks, die Information von betroffenen Kunden und Partnerfirmen sowie die Kosten, die durch das Stornieren von Aufträgen entstehen.
Doch es sind nicht unbedingt illoyale Mitarbeiter, die dafür verantwortlich sind, dass unternehmensinterne Informationen in falsche Hände geraten. Nach Angaben von Hewlett-Packard (HP) gehen 65 Prozent der Datenverluste auf das Konto von Nachlässigkeiten von Angestellten oder von Arbeitsabläufen, die Punkte wie Datenschutz und Informationssicherheit unzureichend berücksichtigen.
Erster Schritt: schutzwürdige Informationen und Risiken ermitteln
Um die Sicherheit von Unternehmensinformationen zu gewährleisten, die mit Drucksystemen oder Multi Function Printers (MFPs) gedruckt, gescannt, gefaxt oder per E-Mail weitergeleitet werden, raten führende Hersteller wie HP zunächst zu einer Bestandaufnahme der Datenbestände. Geklärt werden sollte,
welche Informationen geschützt werden müssen, beispielsweise Finanzdaten, Entwicklungsunterlagen oder personenbezogenen Informationen;
welche Risiken mit dem Verlust solcher Informationen verbunden sind, etwa finanzielle Schäden, der Verlust von Know-how oder die Gefahr, dass das Unternehmen wegen des Verstoßes gegen Datenschutz- und Compliance-Vorgaben bestraft wird.
Häufig sind sich weder Anwender noch die IT-Abteilung darüber im Klaren, dass mit dem Drucken, Scannen und Faxen sowie dem Weiterleiten von sensitiven Dokumenten mithilfe der Scan-to-E-Mail-Funktion Gefahren verknüpft sind. Eine Folge ist, so eine Studie der Beratungsfirma Quocirca von 2014, dass bereits rund 90 Prozent der Unternehmen mindestens in einem Fall unternehmenskritische Informationen durch Sicherheitslücken im Bereich Printing verloren haben.
Zweiter Schritt: eine Sicherheitsstrategie für Drucksysteme entwickeln
Nach der Risikobewertung und Klassifizierung der Daten- und Dokumentenbestände steht das Aufsetzen einer Sicherheitsstrategie auf dem Plan. Nach Praxiserfahrungen führender Anbieter von Drucklösungen wie HP sollte ein solcher Sicherheitsansatz folgende Bereiche abdecken:
- die Absicherung der Endgeräte, also Drucker und MFPs,
- den Schutz der Daten, die über das Firmennetzwerk oder das Internet zu Druckern übermittelt und dort zwischengespeichert werden,
- die Sicherung der Dokumente, die Nutzer drucken, scannen oder mittels Scan-to-E-Mail weiterleiten, sowie
- die zentrale Verwaltung und das Monitoring der Endgeräte, eventuell inklusive der Einbindung in das IT-System-Management.