Wenn der Drucker zum Sicherheitsrisiko wird – Security-Praxis in Druck- und Dokumenteninfrastrukturen

Bei der Umsetzung technischer und organisatorischer Maßnahmen zur Erhöhung des Sicherheitsniveaus in einem Unternehmen oder einer Behörde, werden Systeme zum Drucken, Scannen, Faxen und Kopieren oftmals als geringfügiges Sicherheitsrisiko eingestuft. Dieses ist ein Trugschluss, denn die Druck- und Dokumenteninfrastruktur verarbeitet die gleichen vertraulichen und geschäftskritischen Informationen wie andere IT-Systeme. Informationen aus behördlichen und wirtschaftlichen Vorgängen können, wenn diese in falsche Hände gelangen, einen erheblichen Schaden anrichten.

Mit simplen Methoden können Außenstehende auf vertrauliche Informationen zugreifen. Speziell zentrale Geräte sind lohnende Ziele, da Dokumente vieler Mitarbeiter über  einzelne, oft schlecht gesicherte Maschinen, laufen.

Doch auch ohne kriminelle Absichten kommt es täglich Datenschutzverstößen, wie unbeabsichtigtes Lesen von Dokumenten im Ausgabefach. Dabei werden finanzielle und strafrechtliche Risiken oft schlicht ignoriert.

Ein weiteres Problemfeld ist die Absicherung von kritischen, papierbasierenden Geschäftsprozessen. Zwar ist die Digitalisierung von Verfahren oftmals weit fortgeschritten, auf Papier kann heute dennoch nicht gänzlich verzichtet werden. Damit sind Organisationen weiterhin von papierbasierenden Prozessen abhängig. Der Ausfall der Druckinfrastruktur kann zum Beispiel im Verwaltungsbereich, in der Produktion und der Logistik erhebliche wirtschaftliche Schäden verursachen.

Neben kurzfristigen Korrekturen für die drängendsten Probleme ist die Etablierung von stabilen Prozessen auch für die Druck- und Dokumenteninfrastruktur zwingend notwendig. Diese müssen dokumentiert sein um möglichen Schadensersatz abwehren zu können. Die Datenschutzgrundverordnung bringt zusätzlichen Handlungsbedarf auch in dieses Feld der Informationsverarbeitung.

Das Seminar beleuchtet die gesamte Druck- und Dokumenteninfrastruktur inklusive der sie unterstützenden digitalen Systeme. Sehr praxisnah wird Wissen vermittelt und die notwendige Sensibilität zum Erkennen von Lücken aufgebaut. Mit Abschluss des Tages sollen die Teilnehmer in die Lage versetzt werden, die eigene Druck- und Dokumenteninfrastruktur aus technisch-organisatorischer Sicht zu analysieren, die notwendigen Korrekturen einzuleiten und damit einen weiteren Baustein zur Compliance zu realisieren. Das Seminar vermittelt anhand der erarbeiteten Punkte Grundlagen für die ab Mai 2018 verpflichtenden Dokumentationen in Bezug auf die Anforderungen der DS-GVO (Stichworte: Verzeichnisse / Technische und Organisatorische Maßnahmen). Zusätzlich erhalten die Teilnehmer eine Checkliste zur Beurteilung der eigenen Infrastruktur. Diese beinhaltet technische sowie organisatorische Elemente.

Seminarablauf

  • Block 1, 9:30h: Die Druckinfrastruktur ist kein rechtsfreier Raum – Rechtliche und organisatorische Grundlagen
    • rechtliche Risiken: finanziell, betrieblich, persönlich
    • DS-GVO im Kontext mit anderen deutschen Gesetzen
    • Änderung von Regeln und Verfahrensweisen
    • Verantwortlichkeiten
    • Reparaturdienstleister, Managed Print Services, Entsorger: die Pflichten des Auftraggebers
    • Erforderliche Maßnahmen zur Risikosenkung
    • Handlungsempfehlungen
    • Erläuterung am Praxisbeispiel

Pause 11:00h – 11:15h

  • Block 2, 11:15h: Druck und Dokumenteninfrastruktur: Sicherheitsrisiken praxisnah
    • Einleitung:
      • Alltägliche Fälle von Datenschutz und IT Sicherheitsverstößen
      • Social-Engineering
    • Datenschutz:
      • Problemfelder und Gegenmaßnahmen
      • Absicherung der Informationen vom Client bis zur Entsorgung
      • Druck, Fax, Scan, Kopie, Metadaten, Netzwerk, Server
    • IT Sicherheit:
      • Härtung der Infrastruktur
      • Erhalt der IT-Sicherheit in der Betriebsphase
      • Technisch organisatorische Risiken und Maßnahmen
    • Praxis:
      • Praxis-Beispiele von Angriffs auf Drucker und Multifunktionsgeräte (Demonstration)

Mittagspause: 12:45h – 13:30h

  • Block 3, 13:30h: Bewertung der Risiken und Handlungsempfehlungen
    • Risiken: Analyse von Informationsquellen und Informationen
    • Verantwortliche und Verantwortlichkeiten
    • Technische und organisatorische Maßnahmen
    • Design, Dokumentation, Umsetzung, Kommunikation, Kontrolle, Audit
    • Best Practice
    • Gruppenarbeit: Security-Praxis

Pause 15:00h – 15:20h

  • Block 4, 15:20: Er- und Bearbeitung einer Checkliste

Eine vorbereitete Checkliste wird mit den Teilnehmern besprochen. Die Liste kann als Basis für die Beurteilung des Sicherheitsstatus in der eigenen Organisation verwendet werden. Zusätzlich werden  Umsetzungsempfehlungen für die vertraglichen Vereinbarungen mit Dienstleistern gegeben.

Ende des Seminars circa 16:30h

  • Martin Stolle

Die Druckinfrastruktur ist kein rechtsfreier Raum – Rechtliche und organisatorische Grundlagen / Druck und Dokumenteninfrastruktur: Sicherheitsrisiken praxisnah / Bewertung der Risiken und Handlungsempfehlungen

Technologierberater
Martin Stolle

Martin Stolle

Technologierberater

Noch Fragen?

Details

10. November 2020 9:30
10. November 2020 16:30
Stuttgart

Zielgruppe

Datenschutzbeauftragte, IT-Sicherheitsverantwortliche, IT-Beschaffer, Mitarbeiter im IT-Systemsupport und im Compliance-Management.