Hallo zusammen,
wir haben in unseren Betrieben neue Drucker bekommen.
Alle Drucker können ausserdem faxen und Scannen.
Alle Drucker in alle 30 Betrieben sind über die Zentale miteinander vernetzt.
Bestünde technisch generell die Möglichkeit,von dritten, auf gedruckte, gefaxt und gescannte Dokumente über das Netztwerk zuzugreifen ? Das wird von unserer IT bestritten.
Ich frage aus dem Grunde, weil hier ja auch vom Betriebsrat Dokumente versendet werden, die sensible und persönliche Daten enthalten.
Drucker, Scanner, Kombis 11.491 Themen, 46.735 Beiträge
Hallo,
was verstehst du unter "Dritte"? Meinst du damit Angestellte eurer Firma oder betriebsfremde Personen?
BG mv2k.
Personalabteilung,Geschäftsführung......
Moin,
nein, mit normalen Mitteln ist kein Zugriff möglich. Die von dir genannten Daten werden allerdings eine Zeitlang auf der Festplatte des Gerätes zwischengespeichert und automatisch wieder überschrieben, wenn das Gerät für einen folgenden Auftrag wieder Speicherkapazität der Festplatte nutzen muß. Vergleichbar mit dem Cache-Speicher deines PCs, wo Daten vorübergehend zwischengespeichert werden.
Nun ist es theoretisch möglich, dass jemand die Festplatte des Gerätes ausbaut und die entsprechenden Kenntnisse mitbringt, um die herstellereigenen Speichermethoden zu entschlüsseln. Wer auch nur ein wenig die Augen offen hält, liest ja auch hie und da, dass Spielekonsolen, dBoxen von ehemals Premiere, Smartphones und diverse andere geschlossene Systeme geknackt werden. Otto Normalanwender, auch mit guten PC-Kenntnissen, kann das nicht, man muß also schon gut wissen, was man da tut. Ist das in einigen Umgebungen evtl. gefährlich (Stichwort Industriespionage, ein Kunde von uns hatte da gerade mit zu kämpfen), bietet es sich an, die von den Herstellern angebotenen Security-Kits zu erwerben, diese löschen sofort die benötigten Speicherplätze auf der Festplatte ohne jede Möglichkeit, die Daten wieder rekonstruieren zu können.
Soweit jedenfalls, wenn ganz normal gedruckt wird, die Druckertreiber bieten aber auch die Möglichkeit zur Speicherung an, aber das muß explizit so ausgewählt werden, das passiert nicht zufällig.
Jetzt gibt es aber zwei "Aber":
Viele Kopiererhersteller bieten externe Druckcontroller der Marke "Fiery" von der Firma efi an. Diese können entsprechend konfiguriert werden, dass Druckaufträge relativ lange gespeichert werden. Diese Controller hat man allerdings in der Regel nur im Grafikgewerbe, wo es absolut auf Qualität ankommt, die Controller sind nämlich oft teurer als der Kopierer, 15.000 Euro sind da keine ungewöhnlichen Beträge. Da ist die Speicherung in der Regel auch erwünscht, da es sich gerne um Dokumente handelt, die extrem komplex sind und der Ausdruck durchaus Minuten dauern kann, weil die reinen Druckerdaten erst berechnet ("gerippt") werden müssen. Sind die Dokumente hingegen abgespeichert, liegen schon die reinen Druckdaten vor, die sofort ohne Wartezeit wieder ausgedruckt werden können, das braucht man in der Werbung häufig.
Und "aber" Nr. 2: Dateinamen nebst Anwendername werden in der Regel mitprotokolliert. Wir hatten gerade einen Fall, dass jemand beim Arbeitgeber das Gerät genutzt hat, um Bewerbungsunterlagen auszudrucken und recht dumm geguckt hat, als gerade dann das Gerät ausgefallen ist.Gegebenenfalls sollte man heikle Dokumente also vielleicht nicht "Lebenslauf" und "Bewerbung" nennen, wenn man dieses Risiko zur Entdeckung ausschließen möchte. Lieber das Dokument dann in "ToDo-Liste" oder andere unverfängliche Namen umbenennen, bevor es gedruckt wird. "Klageentwurf wegen Überstundenregelung" wäre also vielleicht für den Betriebsrat ein suboptimaler Dateiname, falls die Geschäftsleitung mal neugierig ist.
Gruß
Jürgen
HalloJürgen, vielen Dank für Deine ausführlichen Informationen.
Dann ist der Gau nicht ganz so schlimm, wie ich erwartet habe.
Ich werde jedoch unsere Geschäftsleitung an Ihre Auskunftspflicht erinnern und eben die von Dir angeführten Details hinterfragen.
Wir benutzen im Betriebsrat schon aus Vorsicht Mailaressen , die nicht über den firmeneingenen Mailserver laufen. Wobei ich mir ziemlich sicher bin, das z. B. eine GMX - Adresse, die via Firefox bedient wird, im Exrtemfall auch mitgelesen werden könnnte.
Erschwerend, und das hatte ich in meinem Eröffnungspost vergessen zu erwähnen, kommt noch die Tatsache hinzu , das der Mitarbeiter nur noch via Chip drucken kann. Jedes Dokument kann also einen bestimmten Mitarbeiter zugeordnet werden. Ich denke, dass das auch ein Fall für unseren Datenschutzbeauftragten sein könnte.
Ich sage es mal so, wenn man neugierig ist, geht das Spionieren auch mit einem 08/15-Laserdrucker, dafür braucht man kein Gerät mit integrierter Festplatte. Das kannst du bei deinem eigenen PC überprüfen. Systemsteuerung - Drucker (Geräte und Drucker, Drucker und Faxgeräte, je nach Windows-Version), Eigenschaften (ab Windows 7 Druckereigenschaften), Reiter "Erweitert", den Haken setzen bei "Druckaufträge nach dem Drucken nicht löschen". Schon hätte eure IT-Abteilung schon immer alles mitprotokollieren können. Zwar läßt sich die so archivierte Spool-Datei nicht im Klartext lesen, aber jederzeit auf einen baugleichen Drucker wieder ausgeben. Dagegen hilft dann wohl wirklich nur ein vollkommen abgeschottetes eigenes Netzwerk des Betriebsrats. Gruß Jürgen
Moin Crusty,
ich sehe da spontan sogar noch eine weitere Möglichkeit die man auf dem lokalen System nicht sehen würde: Wenn die Druckdaten unverschlüsselt übers Netz gesendet werden, dann könnte man die auch per PortMirroring (im Switch) mitschneiden und anderweitig ausgeben lassen…
Gruß
bor
Moin Bor,
auch das geht natürlich, aber auch das ist eine Möglichkeit, die schon vorher möglich war und sich nicht erst mit der Aufstellung moderner Multifunktionssysteme ergeben hat.
Ich habe gerade eine Aufstellung bei einem großen Projektkunden mit mehr als 200 Geräten hinter mir, bei dem das Verhältnis zwischen Geschäftsführung und Betriebsrat mehr als angespannt ist, da würde sprichwörtlich Mord und Totschlag herrschen, wenn der Betriebsrat nicht ein vollkommen
eigenständiges und selbstadministriertes Netzwerk hätte.
Das eine Extrem.
Die andere Seite ist ein Kunde, bei dem ein Mitarbeiter die moderne Technik dazu genutzt hat, Geschäftsgeheimnisse zu kopieren oder zu scannen, da haben auch alle serienmäßigen Logdateien nichts genützt, den Täter im eigenen Haus zu überführen. Da hat auch die moderne Technik nur dem Täter genützt und Geschäftsleitung nebst IT-Abteilung kein bischen weitergeholfen.
Für sich allein ist ein moderner Kopierer mit all seinen Funktionen also noch lange kein Teufelswerkzeug, auch wenn wir hier in der Vergangenheit schon Diskussionen hatten, bei denen manche Teilnehmer die Technik schon deswegen verteufelt hatten, weil plötzlich eine Festplatte im Gerät ist. Ich kann ruhigen Gewissens sowohl dem oben genannten Betriebsrat gegenüber stehen oder der Geschäftsleitung des zweiten genannten Kunden, ohne jeden Hintergedanken in Richtung "wenn du wüsstest...".
Gruß
Jürgen
das ist eine Möglichkeit, die schon vorher möglich war und sich nicht erst mit der Aufstellung moderner Multifunktionssysteme ergeben hat.
Natürlich. Wobei sich mir hier eher noch die Frage stellt ob die modernen Geräte nicht vielleicht auch eine Verschlüsselte Übertragung bieten. Wobei so etwas dann sicher auch eher den kostenpflichtigen optionalen Sicherheitsfeatures zugeordnet werden müsste.
Ich sehe da auch keinen Anlass darin diese Geräte zu verteufeln. Zumal ich die beschriebenen Phänomene (zumindest auf den ersten Blick) eher als ein Symptom für ein schlechtes Betriebsklima sehe. Ein fairer Umgang mit Mitarbeitern und eine angemessene Bezahlung helfen da im Zweifelsfall mehr als technische Schutzmaßnahmen. Einer 100%ige Garantie hat man damit allerdings auch nicht.
Gruß
bor
Ich sehe da auch keinen Anlass darin diese Geräte zu verteufeln. Zumal ich die beschriebenen Phänomene (zumindest auf den ersten Blick) eher als ein Symptom für ein schlechtes Betriebsklima sehe.Da stimme ich Dir voll und ganz zu.
Man weiss ja wie so was kommt, da werden Betriebsvereinbarunge nicht eingehalten, man möchte unangenehme Leute loswerden, Tarfverträge werden ignoriert.....
Aber sei's drum, ich werden die Kollegen in den Standorten infomieren und wieder die alten Tintenstrahler einfordern, die Lokal am Rechner hängen. Im Zweifelsfall könnte man ja hier auch das Netzwerkkabel abklemmen, Word läuft ja lokal.
Vielen Dank noch mal an alle, die sich Gedanken gemacht haben und mir den einen oder anderen Gedanken gegeben haben.