Datenschutz im IT-Bereich

Wer sich auf den IT-Dienstleister verlässt, kann schnell verlassen sein

Das Leasing von IT-Geräten ist heutzutage eine etablierte Form der Geschäftsausstattung. Hierbei werden die Geräte am Ende der Laufzeit an den Leasinggeber zurückgegeben und durch neue, modernere ersetzt. Wo bei klassischen Datenspeichern wie Festplatten, Laptops oder Smartphones noch an eine Löschung gedacht wird, wird dies bei Multifunktionsgeräten (Drucker, Scanner, Kopierer) oder Routern oftmals vergessen. Dies kann große Gefahren bergen, schließlich können auf den Geräten noch vertrauliche Informationen gespeichert sein.

Bei Multifunktionsgeräten ist es recht naheliegend, dass noch Daten gespeichert sind. So werden zu druckende oder kopierende Unterlagen in einem Zwischenspeicher abgelegt und dann rollierend gelöscht. Unter den kopierten Unterlagen können sich natürlich auch vertrauliche Angebote des Vertriebs, Protokolle der Geschäftsführung oder des Aufsichtsrats oder einfach „nur“ Teile aus Personalakten befinden.

Dass auch die Rückgabe eines Routers – also eine Netzwerk-Hardware ohne nennenswerten Datenspeicher – eine Gefahr darstellen kann, musste vor Kurzem ein großer deutscher Finanzdienstleistungskonzern feststellen. So wurden die Router ausgetauscht, jedoch die alten nicht vernichtet, sondern an den Händler zurückgegeben. Dieser hat sie dann bei ebay zu einem Preis von EUR 19,90 zum Sofortkauf angeboten, zuvor aber diese nicht auf Werkseinstellungen zurückgesetzt. Dadurch konnte sich der Käufer – ein klein wenig Fachkenntnis vorausgesetzt – in das Intranet des Finanzdienstleisters einwählen und sogar eine IPSec-Verbindung aufbauen sowie verschlüsselte Datenpakete mit einer Gegenstelle austauschen. Der VPN-Zugang hätte dafür genutzt werden können, im Intranet nach Hintertüren, nach unsicheren Systemen und nach „interessanten“ Daten zu suchen oder einfach Schad- und Schnüffelprogramme zu installieren. Der Finanzdienstleister hat somit quasi den Schlüssel für sein Netzwerk mit „aus der Hand gegeben“.

Was in diesem Fall schief gelaufen ist, liegt auf der Hand. Es sollte niemals IT-Sicherheits- bzw. Datenschutz-kritische Hardware nach dem eigenen Gebrauch – zumindest nicht ohne vorherige gewissenhafte Löschung der Daten – verkauft werden. Die Erfahrung der UIMC ist hierbei, dass entweder die internen Strukturen fehlen, die sicherstellen, dass vor Rückgabe sicherheitsrelevanter Hardware sämtliche Daten zu löschen sind, oder, dass das Wissen um diese Problematik nicht vorhanden ist.

Bei einer Vielzahl von IT-Sicherheitsschwachstellenanalysen oder Datenschutz-Checkups musste die UIMC feststellen, dass der Austausch von Hardware bzw. Datenträgern und die damit verbundene Entsorgung oder Rückgabe an den Dienstleister intern gar nicht oder nur unzureichend geregelt sind. Auch vertragliche Regelungen fehlten oftmals. Durch das strukturierte Prüfen der eigenen Organisation werden solche Schwachpunkte entdeckt. Diesen Mängeln kann dann durch verbindliche Regelungen begegnet werden, wie z. B. in einem IT-Sicherheits- und/oder Datenschutz-Handbuch.