Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai wurde auf europäischer Ebene endlich das heikle Thema im Zusammenhang mit der Datenverwaltung definiert, mit dem sich Privatunternehmen und öffentliche Einrichtungen täglich auseinandersetzen.
Die Gesetzgebung erlaubte es den einzelnen Ländern seit vielen Jahren, auf ausschließlich nationaler Ebene Regelungen umzusetzen, die zwar starr und klar, aber nicht ausreichend harmonisiert waren, um dem bereits vor einiger Zeit begonnenen Globalisierungsprozess gerecht zu werden. Dies könnte zu Lücken im System oder einer unklaren Definition der Zuständigkeiten führen, was offensichtlich zu einem inkonsistenten Schutz der Probanden führt.
Heutzutage sind Mitarbeiter aller Ebenen und Verantwortlichkeiten verpflichtet, die Gesetze zu kennen und Verhaltensweisen und Prozesse anzuwenden, die die persönlichen Daten von Kunden, Lieferanten und Mitarbeitern bestmöglich schützen.
Ohne auf die mittlerweile bekannten rechtlichen Grundlagen und die Konsequenzen einzugehen, die sich aus einer fehlerhaften Verwaltung der Daten oder der zu ihrer Speicherung verwendeten Systeme ergeben können (der Diebstahl derselben Daten oder ihre Verwendung für illegale Zwecke sind nur zwei Beispiele für eine fehlerhafte Verwaltung), ist es wichtig zu betonen, dass nicht nur Aspekte im reinen IT-Bereich Angriffen ausgesetzt sind.
Allzu oft herrscht die Meinung vor, dass Angriffe ausschließlich vom Netzwerk ausgehen können, beispielsweise durch eine Fehlfunktion des Intrusion-Protection-Systems (Firewall). Man sollte jedoch bedenken, dass Informationen nicht nur und ausschließlich über E-Mails oder soziale Netzwerke zirkulieren, sondern auch auf Papier (Ausdrucke von Akten und Fotokopien sind zwei Beispiele).
Multifunktionssysteme und Drucker sind ein integrierter Bestandteil des Verwaltungs- und Kommunikationsprozesses. Sie sind im Allgemeinen mit dem Netzwerk verbunden und generieren, erstellen und verwalten Informationen wie ein Personal Computer. Genau aus diesem Grund müssen sie angemessen beachtet und geschützt werden, da das gedruckte Dokument dieselben personenbezogenen Daten wie die Akte enthält, die aus rechtlicher Sicht sehr wichtig und daher geschützt sind. Darüber hinaus muss berücksichtigt werden, dass auch heute noch das Papierdokument zur Speicherung und Verwaltung der wichtigsten Informationen genutzt wird.
Es reicht daher aus, ein Dokument auf dem Papierausgabefach zu vergessen oder es einige Minuten lang unbeaufsichtigt zu lassen, bevor man es in die Hand nimmt, um die Daten des Unternehmens oder der dort arbeitenden Personen zu gefährden. Jeder kann den Inhalt lesen und diese sensiblen Informationen für persönliche Zwecke verwenden, wodurch – auch unbeabsichtigt – der betroffenen Person Schaden zugefügt wird oder dem Unternehmen, dem die Daten gehören, Schaden entsteht
Wenn man bedenkt, dass persönliche Peripheriegeräte heute in vielen Fällen durch Abteilungssysteme ersetzt werden, die aus Gründen der Kostenoptimierung mehr oder weniger große Personengruppen bedienen, ist die korrekte Verwaltung von Drucksystemen umso wichtiger, da immer mehr Menschen dasselbe Werkzeug nutzen. Deshalb muss noch mehr Sorgfalt darauf verwendet werden, dass klar ist, wer für einen Druckprozess verantwortlich ist.
Ein einfaches Beispiel dafür, was passieren kann:
Proband A, den wir der Einfachheit halber Antonio nennen, druckt seine Gehaltsabrechnung aus, der Ausdruck wird regelmäßig auf dem Tablett des Multifunktionsgeräts im Flur abgelegt. Zur gleichen Zeit fertigt Proband B, Bruno, eine Fotokopie an und nimmt dabei versehentlich zusammen mit seinem Umschlag auch den Zettel seines Kollegen mit.
Bruno entdeckt, dass Antonio viel mehr verdient als er und nutzt diese Informationen zu seinem Vorteil oder gibt sie einfach an andere weiter.
Antonio erleidet einen Schaden (Finanzdaten gelten als „sensibel“) und kann den Sachverhalt melden. Wenn das Unternehmen in Frage gestellt wird, muss es nachweisen, dass es den Mitarbeitern Tools und Prozesse zur Verfügung gestellt hat, um diese Situationen zu vermeiden. Bruno muss mit einem Bußgeld rechnen und das Unternehmen muss nachweisen, dass das Druckmanagementsystem ordnungsgemäß konzipiert wurde.
Die Einhaltung der DSGVO-Verordnung verlangt von Unternehmen unter anderem, den letztgenannten Aspekt bzw. Prozesse und Systeme zu nutzen, um den Diebstahl personenbezogener Daten von Dritten zu verhindern.
Doch was sind dann angesichts der Relevanz des Problems die wichtigsten Schritte, die Unternehmen und Institutionen umsetzen müssen, um die Einhaltung der DSGVO in Bezug auf ihre Drucksysteme zu erreichen?
Um dem logischen Ablauf der Abläufe zu folgen, ist es wichtig, drei grundlegende Schritte unter Kontrolle zu halten, die wir im Folgenden einfach zusammenfassen:
1. SICHERE NETZWERKINFRASTRUKTUR
Grundsätzlich ist es notwendig, dass die Netzwerkinfrastruktur sicher und kontrolliert ist. Anschließend müssen die Druckgeräte Systeme übernehmen, die ihren Schutz gewährleisten, wie z. B. Benutzerauthentifizierung, Löschen latenter Daten auf der Festplatte, verschlüsselte Netzwerkkommunikation und native Datenverschlüsselung. Nicht zuletzt die Einführung spezieller Software, die den Druckprozess sicher macht.
2. SICHERE DRUCKFLÜSSE
Die Ausgabe der Ausdrucke durch das Drucksystem darf nur in Anwesenheit des Benutzers erfolgen, der sich authentifizieren muss (vorzugsweise mit 2-Faktor-Authentifizierung), indem er Benutzername und Passwort am Display eingibt oder auch den Firmenausweis verwendet. Der Benutzer muss außerdem auf das Ende des Druckvorgangs warten, um die Dokumente abzuholen, um zu vermeiden, dass Informationen jeglicher Art unbeaufsichtigt auf dem Ausgabefach liegen bleiben. Es ist außerdem wichtig, dass die Druckwarteschlangenverwaltungssoftware auch Druckerfehler behandelt und so verhindert, dass ein Dokument unerwartet freigegeben wird, nachdem eine mögliche Fehlfunktion behoben wurde.
3. RÜCKVERFOLGBARKEIT ABGESCHLOSSENER ARBEITEN
Um ein Ereignis rekonstruieren zu können, ist es unerlässlich, dass Druckaufträge mithilfe spezieller Verwaltungssoftware mit speziellen IT-Registern und Berichten, die alle mit dem Dokument verbundenen Daten enthalten, nachverfolgt werden. Die zentralisierte Verwaltungssoftware und die zugehörigen Berichte sollten auch die Löschung aller Informationen eines bestimmten Benutzers im Falle eines Antrags auf das Recht auf Vergessenwerden ermöglichen.
Als weitere Sicherheitsfaktoren ist es möglich, Wasserzeichen und digitale Signaturen auf dem Dokument anzubringen, um die Quelle direkt zu identifizieren, und möglicherweise eine Kopie jedes erstellten Drucks auf einem sicheren Server zu speichern, um ein genaues und vollständiges historisches Register zu erhalten.
Fazit: Jeder muss sichere Drucksysteme verwenden, aber in manchen Organisationen ist dies ein Muss. Beispiele sind Banken, die Verteidigung und alle damit verbundenen Aktivitäten, Regierungsbehörden und auch alle Unternehmen, die zunehmend im Bereich E-Commerce tätig sind. In diesen Umgebungen ist es wichtig, zertifizierte Systeme zu verwenden. Die neueste Version ist HCD PPV1, die strenge Compliance-Standards vorschreibt und kürzlich von Sharp-Systemen übernommen wurde.
Natürlich passiert das alles nicht über Nacht.
Tatsächlich ist es neben der Kenntnis der unternehmensinternen Prozesse erforderlich, die internationalen Sicherheitsvorschriften zu beherrschen.
Um mehr zu erfahren:
https://www.sharp.it/cps/rde/xchg/it/hs.xsl/-/html/information-security.htm
(Foto: Web / US Army)
