Datenschutzpanne: Ausgemusterte Hardware eröffnet Zugang zu Firmennetz

hardware 01
News

Mehrere nicht ordnungsgemäß entsorgte Router der Wüstenrot & Württembergische AG haben dafür gesorgt, dass das Firmennetz des Konzerns den neuen Besitzern praktisch offen stand. Zum Glück für das Unternehmen gerieten die Geräte nicht in falsche Hände, die Sicherheitslücke war enorm.

Sichere Entsorgung oder Extra-Gewinn?

In vielen Unternehmen wird ausgemusterte Hardeware nicht fachgerecht und sicher entsorgt, sondern an Zwischenhändler oder über eBay verkauft. Dort findet man nicht nur Router und Firewalls, sondern auch mobile Endgeräte wie Handys oder Notebooks aus Unternehmensbesitz.

Bei diesen Geräten ist den meisten Verantwortlichen zumindest klar, dass vorhandene Daten gelöscht werden müssen. Anders sieht es meist bei den Festplatten der Multifunktionskopierer aus. Hier wissen nur die wenigsten IT-Mitarbeiter, dass überhaupt Daten dauerhaft gespeichert werden.

Aktueller Fall: Sicherheit zum Schleuderpreis

Nach dem Kauf einiger Router mit umfangreichem Leistungsangebot, unter anderem Firewall- und VPN-Funktionen, stellte der Käufer fest, dass die Software der Geräte nicht auf die Standard-Konfiguration zurück gesetzt war und auch ein Einloggen nicht möglich war. Wie die Zeitschrift iX berichtet, war es aufgrund einer Fehlkonfiguration sogar möglich, den VPN-Zugang zum Firmennetz nutzen und das Passwort auszulesen:

„Der VPN-Zugang hätte sich dafür missbrauchen lassen, nach unsicheren Systemen im Intranet zu suchen, die interne Daten preisgeben oder auf denen sich Hintertüren oder Schadprogramme installieren lassen.“

Nach Aussage des Unternehmens waren die Geräte nach einem Upgrade an den Lieferanten zurück gegangen. Wie sie am Ende bei eBay landeten, konnte bislang nicht geklärt werden. Beachtlich ist allerdings die Relation von Gefahr und Gewinn: Für nur 19,99 Euro stand dem Käufer das ganze Unternehmensnetzwerk offen.

Versteckte Gefahren in Multifunktionsgeräten

Dass es ein Fehler war, in diesem Fall die Geräte nicht auf die Standardkonfiguration zurück zu setzen, leuchtet jedem ein. Auch dass personenbezogene Daten und wichtige Betriebsgeheimnisse vor einem Verkauf von Festplatten oder Notebooks gelöscht werden sollten, ist in den Unternehmen bekannt.

Neben diesen offensichtlichen Gefahren lauert jedoch in den allgegenwärtigen Multifunktionsgeräten noch eine versteckte Gefahr. Um mehrere Kopien anfertigen zu können oder die immer komplexeren Druckaufträge abzuarbeiten, verfügen moderne Kopierer über einen großen internen Speicher.

Oftmals werden die dort gespeicherten Daten nicht nach einem Kopier- oder Druckauftrag gelöscht, sondern die Festplatte wird erst dann überschrieben, wenn kein Speicher mehr zur Verfügung steht. Bis dahin lassen sich die Daten mit einfachen Mitteln auslesen. Geht das Gerät nach Ende des üblichen Leasingvertrages zurück an den IT-Dienstleister, ist das Datenleck vorprogrammiert.

Verschlüsselung und sicheres Löschen gegen Aufpreis

Einige Hersteller dieser Geräte sind inzwischen dazu übergegangen, die gespeicherten Daten zu verschlüsseln. Welche Verschlüsselung verwendet wird und ob der jeweilige Hersteller dieses Verfahren anbietet, sollte vor der Nutzung geklärt werden.

Für die endgültige Löschung der Daten bieten viele Hersteller kostenpflichtige Softwarepakete an, so dass die Daten sicher entsorgt werden können. Voraussetzung ist jedoch, dass die Existenz des internen Speichers in der IT-Abteilung des Unternehmens überhaupt bekannt ist.

Empfehlungen für Multifunktionsgeräte

  • Während des Betriebes sicher stellen, dass die Daten verschlüsselt gespeichert werden.
  • Bereits im Leasingvertrag vereinbaren, dass die Festplatte des Gerätes zum Ablauf der Vertragslaufzeit im Unternehmen verbleibt.
  • Die nicht mehr benötigte Festplatte zur sicheren Entsorgung an einen vertrauenswürdigen Dienstleister übergeben.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.