SKYTALE IT-Security Training Week 2021 – Tag 5: Der Drucker – die unbekannte Gefahr im HomeOffice

Nachdem wir in den letzten Tagen viel über Passwörter gesprochen haben, beschäftigen wir uns am fünften und letzten Tag unserer IT-Security Training Week mit der Frage, welche Gefahren heutzutage von Druckern im HomeOffice ausgehen.

Die Problematik

In den vergangenen 12 Monaten hat das Thema "HomeOffice" einen ordentlichen Schub erhalten. Ob Sie nun selbst schon einmal im HomeOffice gearbeitet haben oder nicht - vielleicht kennen Sie dieses Problem (zumindest haben wir diese Geschichte schon häufig mit Kunden diskutieren dürfen ... 😉 ).

Sie bekommen ein vertrauliches Dokument aus dem Unternehmen per Email, das Sie zur Durchsicht, Korrektur oder Erweiterung ausdrucken müssen. Sie haben zwar einen Drucker zuhause, aber leider ist dieser nicht mit dem Firmen-Laptop verbunden oder die Treiber lassen sich mangels Admin-Berechtigungen nicht installieren.

Was also tun?

Nicht wenige kommen schnell auf die Idee. "ich hab ja noch einen Privat-PC, mit dem kann ich das eben schnell ausdrucken." Aber halt - wie bekommen Sie die Datei dort hin? Per USB-Stick funktioniert nicht, das haben Sie schon ausprobiert. Der dumme Virenscanner sperrt den immer und beschwert sich, da sei irgendeine Malware drauf.

Die nächste Idee lässt meist nicht lang auf sich warten: man schickt sich das Dokument "mal eben" schnell per Email an seinen Privat-PC. Von dort kann es ja prima ausdrucken.

Wo liegt das Problem?

Aus Sicht von Datenschutz und Informationssicherheit gibt es hier gleich mehrere Auffälligkeiten:

  • Der private USB-Stick wird aus einem guten Grund in vielen Unternehmensgeräten nicht zugelassen bzw. geblockt. Wie in der fiktiven Geschichte kann sich auf USB-Geräten auch tatsächlich Malware oder andere unerwünschte Programme und Funktionen verstecken. In unserem Security Awareness Training erfahren Sie die Details über typische Angriffsmuster. Ein weiterer wichtiger Punkt: USB-Sticks behalten auch beim Löschen von Dateien meist noch Rückstände, aus denen sich die gelöschten Dateien rekonstruieren lassen. Wenn Sie den Stick also verlieren, verleihen, verschenken oder entsorgen, kann man mit vergleichsweise wenig Aufwand die vertrauliche Datei wiederherstellen.
  • Wenn Sie die Datei per Email an Ihren privaten Email-Account senden, geht die Email über Mailserver Ihres Internet- oder Email-Providers. Je nachdem, welcher Provider das ist, hat dieser mitunter Zugriff auf die Dateien. Auch wenn der Mail-Account gehackt werden sollte, besteht die gute Chance, dass die Email noch dort liegt. Zu guter letzt sollten Sie nicht vergessen, dass Emails in der Regel unverschlüsselt übertragen werden und damit unterwegs evtl. mitgelesen werden können.
    Wenn die Email innerhalb des Unternehmens verschickt wird, erfolgt dies hingegen in der Regel  verschlüsselt und zugriffsgeschützt.
  • Auf Ihrem Privat-PC liegt die Datei ja nun auch. Auch wenn Sie sie dort nur ausdrucken und die Mail löschen, kann sie ggf. noch als temporäre Datei dort liegen bleiben. Und Hand aufs Herz - die Festplatte Ihres Firmen-Laptops ist vermutlich verschlüsselt, die Berechtigungen werden von der Unternehmens-IT restriktiv verwaltet, aber ist das bei Ihrem Privat-PC auch so?
  • Als Endprodukt haben Sie noch das bedruckte Papier zuhause liegen. Was machen Sie damit, wenn die Arbeit erledigt ist? In die Papiertonne, die öffentlich zugänglich vorn an der Straße steht? Oder haben Sie zuhause einen Schredder für vertrauliche Dokumente?

Seien Sie auf der Hut

Seien Sie aus den genannten Gründen besonders vorsichtig. Nicht umsonst gibt es in einigen Berufszweigen wie Steuerberater, Anwälte, Banken, Krankenkassen häufig ein HomeOffice-Verbot, weil eben diese Grundsätze des Datenschutzes und der Informationssicherheit nicht gewährleistet werden können.

Fazit

Wenn Sie das nächste Mal in eine ähnliche Situation geraten sollten: denken Sie darüber nach, was dahinter stecken kann und dass eine simple (gut gemeinte) Aktion wie das Ausdrucken eines Dokuments schnell zum Sicherheitsrisiko werden kann. Und Sie wollen doch sicher nicht dafür verantwortlich sein, dass vertrauliche Unternehmens-Dokumente in die falschen Hände kommen, oder? 😉

Vielen Dank für Ihre Teilnahme!

Damit sind wir am Ende unsere IT-Security Woche 2021. Wir hoffen, es hat Ihnen Spaß gemacht und Sie haben ein wenig davon mitnehmen können. Wenn wir Ihr Interesse geweckt haben, schauen Sie doch einmal auf unseren Seiten zur Security Awareness, zum Datenschutz oder den Experten-Schulungen zur Web Application Security vorbei.

Gestern hatten wir Ihnen empfohlen, die SKYTALE Passwort-Karte bei uns anzufordern oder sie auszudrucken. Falls Sie das noch nicht getan haben, können Sie das einfach und kostenlos über das unten stehende Formular nachholen.

Abschließend noch einmal der Hinweis: Interessenten und -Kunden, die zwischen dem 26. April und dem 14. Mai ein vollständiges Security Awareness Training für ihre Mitarbeiter buchen, erhalten die Passwort-Lerneinheit kostenlos.

Herzliche Grüße,
Ihr SKYTALE-Team

Loading