Christian Pudzich
24. November 2021

Ob in Papier­form oder digi­tal – die Sicher­heit von Doku­men­ten ist für jedes Unter­neh­men von zen­tra­ler Bedeu­tung. Die zuneh­mende Digi­ta­li­sie­rung ver­leiht dem Thema beson­dere Bri­sanz, da auch Cyber­an­griffe zuneh­men. Cars­ten Meer­pohl, IT-Sicher­heits­experte bei Kyocera Docu­ment Solu­ti­ons Deutsch­land, ver­rät, wie sich die Doku­men­ten­si­cher­heit im digi­ta­len Zeit­al­ter gewähr­leis­ten lässt.

Die Zunahme von mobi­len Arbeits­wei­sen und Home­of­fice sorgte auch für einen Anstieg an Cyber­at­ta­cken. In der Umfrage gaben 59 Pro­zent der Unter­neh­men an, dass es IT-Sicher­heits­vor­fälle gege­ben habe, die auf die Heim­ar­beit zurück­zu­füh­ren sind. Wie erklä­ren Sie sich die­sen Zuwachs?

Cars­ten Meer­pohl: Die Gewähr­leis­tung der IT-Sicher­heit stellt viele Unter­neh­men vor Her­aus­for­de­run­gen. Das war auch vor Corona schon der Fall. Die Absi­che­rung von Devices, die sich im Home­of­fice und somit zum Teil außer­halb der IT-Infra­struk­tur befin­den, macht es zusätz­lich schwer. Daher über­rascht es nicht, dass durch die Zunahme von mobi­len Arbeits­wei­sen auch die Zahl der Angriffe deut­lich gestie­gen ist. Laut Bit­kom ver­zeich­ne­ten 59 Pro­zent der Unter­neh­men, bei denen Home­of­fice grund­sätz­lich mög­lich ist, seit Beginn der Pan­de­mie IT-Sicher­heits­vor­fälle, die auf die Heim­ar­beit zurück­zu­füh­ren sind. Daten­diebe haben durch Home­of­fice und Remote Working eine Viel­zahl an wei­te­ren Ein­fall­mög­lich­kei­ten, um Kom­mu­ni­ka­ti­ons­da­ten oder geis­ti­ges Eigen­tum zu erbeuten.

Machen es Unter­neh­men Hackern zu leicht?

Meer­pohl: Mehr Sicher­heit hat auch mit der Ände­rung gewohn­ter Ver­hal­tens­wei­sen zu tun. Gleich­zei­tig sol­len in der glo­ba­li­sier­ten Arbeits­welt Daten immer und über­all ver­füg­bar sein – die­ser Spa­gat ist die eigent­li­che Her­aus­for­de­rung. Das Pro­blem ist, dass viele Unter­neh­men nicht ein­mal mer­ken kön­nen, dass sie ange­grif­fen wer­den – weil ent­spre­chende tech­ni­sche Vor­aus­set­zun­gen feh­len. Oft mer­ken Unter­neh­men zudem gar nicht, dass sie ange­grif­fen wer­den, weil im klas­si­schen Sinne ja nichts gestoh­len, son­dern nur kopiert wurde.

Viele Unter­neh­men haben also gar kein Bewusst­sein, dass Sicher­heits­lü­cken bestehen?

Cars­ten Meer­pohl: Tat­säch­lich ist das Bewusst­sein in vie­len Unter­neh­men nicht groß aus­ge­prägt – das gilt vor allem für die Anwen­der. Viele Mit­ar­bei­ter emp­fin­den zum Bei­spiel das regel­mä­ßige Ändern des Pass­worts, das durch die IT vor­ge­ge­ben ist, eher als Stö­rung. Hier muss gene­rell das Bewusst­sein der Mit­ar­bei­ter geschärft wer­den. Zudem zie­len viele Sicher­heits­maß­nah­men in Unter­neh­men auf die Absi­che­rung der Ser­ver oder Anti-Viren-Soft­ware für Note­books und PCs ab – die Dru­cker­flotte aber wird bei­spiels­weise häu­fig über­se­hen. Dabei sind Dru­cker und Mul­ti­funk­ti­ons­ge­räte heute voll­wer­tige Rech­ner oder eben Ser­ver – sie kön­nen mai­len, auf Netz­werk­ord­ner zugrei­fen, ver­ar­bei­ten Infor­ma­ti­ons­da­ten und haben Inter­net­zu­gang. Damit stel­len Dru­cker und MFP ein poten­zi­el­les Ein­falls­tor für Hacker­an­griffe und Mani­pu­la­tio­nen dar, wer­den von IT-Ver­ant­wort­li­chen aber nicht in die IT-Sicher­heits­stra­te­gie eingebunden.

Wel­che Gefah­ren bestehen kon­kret durch Dru­cker und Mul­ti­funk­ti­ons­sys­teme für die Dokumentensicherheit?

Cars­ten Meer­pohl: Eine Umfrage, die wir unter Büro­an­ge­stell­ten durch­ge­führt haben, zeigt, dass jeder fünfte Befragte regel­mä­ßig Unter­la­gen im Aus­ga­be­fach eines Dru­ckers fin­det, die nicht für ihn bestimmt sind und dort von dem­je­ni­gen, der den Druck­auf­trag ange­sto­ßen hat, ver­ges­sen oder eben nicht abge­holt wurde. Dies kann zum einen Fol­gen haben, wenn es sich um sen­si­ble Unter­la­gen han­delt – etwa Ver­träge oder Gehalts­ab­rech­nun­gen –  zum ande­ren liegt ein Ver­stoß gegen die Daten­schutz­grund­ver­ord­nung vor. Das kann schnell teuer wer­den. Hier wird die Dis­kre­panz klar: So gibt es kaum ein Unter­neh­men, in dem man ein Note­book oder Desk­top-PC ver­wen­den kann, ohne sich zuerst für das Netz­werk zu authen­ti­fi­zie­ren. Gleich­zei­tig kön­nen aber Mul­ti­funk­ti­ons­sys­teme oder andere Geräte zum Dru­cken, Kopie­ren, Scan­nen ohne Authen­ti­fi­zie­rung genutzt wer­den. Dabei gibt es eine Reihe von Soft­ware-Lösun­gen, die das Dru­cken siche­rer machen.

Es wer­den IT-Sicher­heits-Lösun­gen also nur unzu­rei­chend angewandt?

Cars­ten Meer­pohl: Die größ­ten Risi­ken sind neben unsi­che­ren Pass­wör­tern immer noch Unacht­sam­keit und Bequem­lich­keit. Ver­trau­li­che Doku­mente, die abends vom Rei­ni­gungs­team im Dru­cker­aus­ga­be­schacht ent­deckt wer­den, sind kein Ein­zel­fall. Mit­ar­bei­ter müs­sen für Doku­men­ten­si­cher­heit sen­si­bi­li­siert wer­den, das Thema muss vom Unter­neh­men gelebt wer­den, und es muss inves­tiert wer­den. Es ist also immer ein Zusam­men­spiel aus Bewusst­sein und Tech­no­lo­gie. Anders aus­ge­drückt: Auch die sicherste IT-Lösung nützt nichts, wenn Mit­ar­bei­ter unacht­sam mit Daten umgehen.

Was kann man tun, um Infor­ma­tio­nen bzw. sen­si­ble Daten zu schützen?

Cars­ten Meer­pohl: Im Zuge der Digi­ta­li­sie­rung sind Daten immer ver­füg­ba­rer gewor­den. Mit jeder E‑Mail ver­las­sen Doku­mente das Unter­neh­mens­netz­werk – was bei der ver­trau­li­chen Papier­akte undenk­bar war. Daher gilt es, den gesam­ten Doku­men­ten­work­flow sicher zu gestal­ten. Wel­che Doku­mente sind über­haupt vor­han­den, wer darf sie sehen und wie sind sie abge­legt? Es beginnt mit der Ana­lyse von Struk­tu­ren und geht wei­ter mit der Opti­mie­rung der Pro­zesse von der Erstel­lung bis zur Ablage des Dokuments.

Was sind die Gründe für die­ses feh­lende Bewusstsein?

Cars­ten Meer­pohl: Das hat sicher­lich damit zu tun, dass die Mög­lich­kei­ten der Über­wa­chung kaum genutzt wer­den: Wäh­rend PCs und Ser­ver seit Jahr­zehn­ten über­wacht wer­den, bleibt die Dru­cker­flotte häu­fig außen vor. So ste­hen unter­schied­li­che Flot­ten­ma­nage­ment-Tools zur Ver­fü­gung. Diese über­wa­chen den Sta­tus jedes Sys­tems. Im Unter­neh­men ist das auch gar nicht das große Thema, da ein Dru­cker oder MFP bekannte Netz­werk­teil­neh­mer sind. Im Home­of­fice sieht dies ganz anders aus: Hier hängt das Sys­tem an einem pri­va­ten oder von der Firma bereit­ge­stell­ten Rou­ter. Hier ist es nicht immer sim­pel auf das Device zuzugreifen.

Wie lässt sich ein Bewusst­sein für die IT-Sicher­heit in der Unter­neh­mens­kul­tur verankern?

Cars­ten Meer­pohl: Es ist wich­tig hier regel­mä­ßig auf die Gefah­ren hin­zu­wei­sen und Anwen­der zu schu­len. Das größte Sicher­heits­ri­siko ist der Mit­ar­bei­ter. Daher liegt das größte Poten­zial auch im Bereich der Schu­lung und Ver­trau­ens­bil­dung. Die Ein­füh­rung von neuen Lösun­gen und Devices sollte immer auch mit einer Schu­lung für mög­li­che Risi­ken ein­her­ge­hen. Denn klar ist, dass die­ses Thema Sicher­heit in einer digi­ta­len und agi­len Arbeits­welt wei­ter an Rele­vanz gewinnt.

Wie unter­stützt Kyocera Unter­neh­men hierbei?

Cars­ten Meer­pohl: Wir bie­ten im Bereich Secu­rity und  Com­pli­ance eine Reihe von Soft­ware-Lösun­gen, mit denen sich die Doku­men­ten­si­cher­heit ver­bes­sern lässt. Hierzu gehö­ren Print-&-Follow-Lösungen wie der Kyocera Net Mana­ger oder Kyocera Con­trol oder auch unsere DMS-Lösung Kyocera Work­flow Mana­ger sowie viele wei­tere Soft­ware-Solu­ti­ons, die auf die unter­schied­lichs­ten Anfor­de­run­gen bei einem Kun­den zuge­schnit­ten sind. Zudem betrei­ben wir eine kon­ti­nu­ier­li­che Kom­mu­ni­ka­tion zu End­kun­den und Part­nern, um auf die IT-Sicher­heit auf­merk­sam zu machen. Ein Bei­spiel ist unser Live­stream-For­mat Kyocera Insights, in dem wir uns am 1. Dezem­ber gemein­sam mit it-daily.net aus­führ­lich die­sem Thema widmen.

 

Tipp: Live­stream IT-Sicher­heit im New Normal

Sie sehen gerade einen Platz­hal­ter­in­halt von You­Tube. Um auf den eigent­li­chen Inhalt zuzu­grei­fen, kli­cken Sie auf die Schalt­flä­che unten. Bitte beach­ten Sie, dass dabei Daten an Dritt­an­bie­ter wei­ter­ge­ge­ben werden.

Mehr Infor­ma­tio­nen

E‑Rechnung – bis­her Kür, ab 2025 Pflicht für Unternehmen

E‑Rechnung – bis­her Kür, ab 2025 Pflicht für Unternehmen

Bist du schon auf die E-Rechnung vorbereitet? Im März 2024 wurden die neuen Regelungen zur elektronischen Rechnung im Rahmen des Wachstumschancengesetzes beschlossen, die am 1. Januar 2025 für alle Unternehmen wirksam werden. Das neue E-Rechnungsgesetz übersetzt die...

Newsletter Anmeldung

Bleibe immer auf dem Laufenden mit unserem Newsletter!

Kategorien