Mehrere nicht ordnungsgemäß entsorgte Router der Wüstenrot & Württembergische AG haben dafür gesorgt, dass das Firmennetz des Konzerns den neuen Besitzern praktisch offen stand. Zum Glück für das Unternehmen gerieten die Geräte nicht in falsche Hände, die Sicherheitslücke war enorm.
Der Inhalt im Überblick
Sichere Entsorgung oder Extra-Gewinn?
In vielen Unternehmen wird ausgemusterte Hardeware nicht fachgerecht und sicher entsorgt, sondern an Zwischenhändler oder über eBay verkauft. Dort findet man nicht nur Router und Firewalls, sondern auch mobile Endgeräte wie Handys oder Notebooks aus Unternehmensbesitz.
Bei diesen Geräten ist den meisten Verantwortlichen zumindest klar, dass vorhandene Daten gelöscht werden müssen. Anders sieht es meist bei den Festplatten der Multifunktionskopierer aus. Hier wissen nur die wenigsten IT-Mitarbeiter, dass überhaupt Daten dauerhaft gespeichert werden.
Aktueller Fall: Sicherheit zum Schleuderpreis
Nach dem Kauf einiger Router mit umfangreichem Leistungsangebot, unter anderem Firewall- und VPN-Funktionen, stellte der Käufer fest, dass die Software der Geräte nicht auf die Standard-Konfiguration zurück gesetzt war und auch ein Einloggen nicht möglich war. Wie die Zeitschrift iX berichtet, war es aufgrund einer Fehlkonfiguration sogar möglich, den VPN-Zugang zum Firmennetz nutzen und das Passwort auszulesen:
„Der VPN-Zugang hätte sich dafür missbrauchen lassen, nach unsicheren Systemen im Intranet zu suchen, die interne Daten preisgeben oder auf denen sich Hintertüren oder Schadprogramme installieren lassen.“
Nach Aussage des Unternehmens waren die Geräte nach einem Upgrade an den Lieferanten zurück gegangen. Wie sie am Ende bei eBay landeten, konnte bislang nicht geklärt werden. Beachtlich ist allerdings die Relation von Gefahr und Gewinn: Für nur 19,99 Euro stand dem Käufer das ganze Unternehmensnetzwerk offen.
Versteckte Gefahren in Multifunktionsgeräten
Dass es ein Fehler war, in diesem Fall die Geräte nicht auf die Standardkonfiguration zurück zu setzen, leuchtet jedem ein. Auch dass personenbezogene Daten und wichtige Betriebsgeheimnisse vor einem Verkauf von Festplatten oder Notebooks gelöscht werden sollten, ist in den Unternehmen bekannt.
Neben diesen offensichtlichen Gefahren lauert jedoch in den allgegenwärtigen Multifunktionsgeräten noch eine versteckte Gefahr. Um mehrere Kopien anfertigen zu können oder die immer komplexeren Druckaufträge abzuarbeiten, verfügen moderne Kopierer über einen großen internen Speicher.
Oftmals werden die dort gespeicherten Daten nicht nach einem Kopier- oder Druckauftrag gelöscht, sondern die Festplatte wird erst dann überschrieben, wenn kein Speicher mehr zur Verfügung steht. Bis dahin lassen sich die Daten mit einfachen Mitteln auslesen. Geht das Gerät nach Ende des üblichen Leasingvertrages zurück an den IT-Dienstleister, ist das Datenleck vorprogrammiert.
Verschlüsselung und sicheres Löschen gegen Aufpreis
Einige Hersteller dieser Geräte sind inzwischen dazu übergegangen, die gespeicherten Daten zu verschlüsseln. Welche Verschlüsselung verwendet wird und ob der jeweilige Hersteller dieses Verfahren anbietet, sollte vor der Nutzung geklärt werden.
Für die endgültige Löschung der Daten bieten viele Hersteller kostenpflichtige Softwarepakete an, so dass die Daten sicher entsorgt werden können. Voraussetzung ist jedoch, dass die Existenz des internen Speichers in der IT-Abteilung des Unternehmens überhaupt bekannt ist.
Empfehlungen für Multifunktionsgeräte
- Während des Betriebes sicher stellen, dass die Daten verschlüsselt gespeichert werden.
- Bereits im Leasingvertrag vereinbaren, dass die Festplatte des Gerätes zum Ablauf der Vertragslaufzeit im Unternehmen verbleibt.
- Die nicht mehr benötigte Festplatte zur sicheren Entsorgung an einen vertrauenswürdigen Dienstleister übergeben.