Ein
Bericht des Senders CBS News sorgt derzeit in den USA für Aufregung: Viele (professionelle, digitale) Kopiergeräte speichern Kopien der Vorlagen auf einer internen Festplatte ab, von wo sie sich später wieder auslesen lassen. Das kann beispielsweise bei einem Verkauf des Kopierers relevant sein, wenn man vergisst, die Daten zu löschen. Die Kopierer speichern das eingescannte Image, um sich bei mehreren Kopien das mehrfache Scannen der Vorlage zu sparen.
Reporter von CBS haben testweise mehrere gebrauchte Kopierer gekauft und fanden auf (ausgebauten) Festplatten medizinische Berichte, Polizeiberichte, Baupläne, Zahlungsanweisungen und Kopien von Schecks. Teilweise waren Forensik-Programme oder Datei-Restaurierer notwendig, um die Daten wieder herzustellen.
Neu ist der Sachverhalt jedoch nicht. Ähnlich wie bei den restaurierten Lohnsteuerabrechnungen etwa einer auf eBay ersteigerten Festplatten kehren solche Berichte alle Jahre wieder. Laut CBS soll der Hersteller Sharp im Jahre 2008 in einer Umfrage festgestellt haben, dass immerhin 60 Prozent der Anwender von der Speicherung ihrer Dokumenten auf der Festplatte nichts wussten.
Prinzipiell muss man zum Zugriff auf die Daten auch gar nicht die Festplatte ausbauen. Viele Geräte haben einen Netzwerkanschluss, über den man per Telnet, Web oder FTP Dateien einsehen oder herunterladen kann.
Grundsätzlich unterstützen die Hersteller aus Sicherheitsgründen das sofortige (Immediate Image Overwrite, IIO) oder spätere Löschen ( On Demand Image Overwrite, ODIO) der Kopien in den meisten Geräten. Allerdings sind die unter Umständen nur als kostenpflichtige Option nachzuerwerben. Wie zuverlässig dies ist, variiert zudem. Xerox schreibt in seiner Dokumentation beispielsweise, dass das Löschen nicht immer hundertprozentig funktioniert, insbesondere bei unerwarteten Abbrüchen des Kopiervorganges.
Samsung folgt in der Implementierung der Sicherheitsfunktion in seiner MultiXpress-Reihe sogar Common-Criteria-Vorgaben und überrschreibt die Daten auf der Platte gemäß DoD-Standard 5200.28- M drei Mal. Damit finden auch Forensik-Tools keine verwertbaren Daten mehr. Geschäftskunden sollte etwa bei geleasten oder gemieteten Geräten darauf bestehen, dass die Daten vor der Weitergabe zuverlässig gelöscht werden.
Das Problem betrifft aber nicht nur den Einsatz im Unternehmen, auch private Anwender im Copyshop sollten sich bewußt sein, dass ihre Unterlagen als Kopie unter Umständen auf der Festplatte landen. Ob das jeweilige Gerät für die sofortige Löschung konfiguriert ist, sollte der Betreiber des Copyshops verraten können. Genau genommen müsste er die Funktion bereits aktiviert haben, weil das Speichern von Unterlagen mit personenbezogenen Daten ohne Zustimmung bereits eine Datenschutzverletzung darstellt.
Quelle :
www.heise.de
