Drei leicht bekleidete Kinder strahlen in die Kamera. Sie haben einen Wettlauf gewonnen. Das Foto stammt von einem Canon-Kopierer, der in einem Betrieb in Frauenfeld stand. Es gibt weitere private Fotos auf dem Gerät.
Die Bilder gefunden hat die Zürcher IT-Sicherheitsfirma Scip. Sie prüfte im Auftrag von saldo, welche Daten Kopiergeräte und Multifunktionsgeräte ohne Wissen der Nutzer speichern. In vielen Geräten ist eine Festplatte eingebaut. Multifunktionsgeräte können in der Regel auch scannen, faxen, drucken und E-Mails versenden.
Für den Test kaufte saldo sechs gebrauchte Kopierer und grosse Multifunktionsgeräte von Firmen, unter anderem über die Auktionsplattform Ricardo. saldo baute die Festplatten aus und übergab sie Scip. Deren Experten durchforschten sie mit einer Software, die jedermann im Internet gratis herunterladen kann.
Heikle Daten auf 3 von 6 gebrauchten Kopierern
Resultat: Die Experten stiessen auf drei der sechs Festplatten auf heikle Daten. Auf dem Canon-Kopierer fand Scip neben Privatfotos auch Systemdateien, mit deren Hilfe man indirekt in das Netzwerk eindringen kann, in dem der Kopierer angeschlossen war. So könnten Daten der angeschlossenen Computer ausgespäht werden. Auf einem Kyocera-Gerät stiess Scip auf Dokumente einer medizinischen Klinik, darunter Rechnungen, Lieferscheine und Gutschriften. Ein Océ-Kopierer enthielt vertrauliche Versicherungsdokumente, Skizzen für Lüftungsanlagen, Messdaten und Quittungen.
Laut Veit Hailperin von Scip war es «sehr einfach», an die Daten zu gelangen. Grund: Sie waren unverschlüsselt, die früheren Besitzer hatten die Festplatten nicht gelöscht. Hailperin: «Die wenigsten Nutzer wissen, dass Dokumente, die gescannt, kopiert, gefaxt oder per E-Mail verschickt werden, auch auf der Festplatte lokal gespeichert sind.» Die Hersteller von Kopierern und Multifunktionsgeräten könnten Daten besser vor fremdem Zugriff schützen, wenn die Festplatten standardmässig verschlüsselt würden. Das machen nur wenige. Vor allem bei Geräten, die älter als zwei bis drei Jahre sind, ist dies kaum je der Fall. Einige Hersteller bieten Firmenkunden kostenpflichtige Programme an, um die Daten durch mehrfaches Überschreiben der Festplatte regelmässig zu löschen. Laut Hersteller Ricoh wird solche Software aber nicht standardmässig installiert. Das Risiko von Datenklau sei bei Kopiergeräten «sehr gering».
Die Herstellerfirma Kyocera schreibt: «Der Kunde entscheidet, welche Sicherheitsmassnahmen er ergreifen will und muss.» Samsung meint lapidar: «Der Kunde muss genau wie bei einem PC, einem Smartphone oder einem anderen Gerät mit einem Speicher seine Daten löschen, bevor er das Gerät entsorgt.»
Der Zürcher IT-Dienstleister Net Competence Center handelt mit gebrauchten Firmengeräten. Verkaufsleiter Silvan Hörnlimann versichert, alle Daten würden vor dem Weiterverkauf gelöscht. Hörnlimann: «Die meisten Kunden vernachlässigen den Datenschutz bei solchen Geräten.» Das bestätigt der Bürodienstleister Witzig in Frauenfeld. Zu seinen Kunden zählen Banken, Versicherungen, Industrie und KMUs. Vielen Kunden fehle das Fachwissen. Bereichsleiter Ueli Graf: «Daher verkaufen sie die Geräte weiter, ohne dass die Daten sauber gelöscht werden.»
Fazit der saldo-Stichprobe: Wer Kopierer oder Multifunktionsgeräte benutzt, muss sich bewusst sein, dass er persönliche Daten preisgibt. Das kann auch bei öffentlich zugänglichen Kopierern der Fall sein. In rund 800 Poststellen stehen Kopierer. Laut Post-Sprecher Bernhard Bürki gehen ausgediente Geräte zurück an den Importeur. Er sei verpflichtet, kundenbezogene Daten unter Beachtung des Datenschutzgesetzes zu verarbeiten und das Datengeheimnis zu wahren. Importeur Graphax versichert saldo, keines der Geräte speichere sensible Daten.
Daten löschen oder Festplatten vernichten
Copy-Quick-Filialen bieten Kopierservices für Private und Firmen an. Pascal Keller von den Zürcher Copy-Quick-Filialen sagt, die Daten würden vor der Rückgabe der Geräte an den Hersteller gelöscht.
Im Universitätsspital Basel stehen knapp 2000 Multifunktionsgeräte. Daten defekter Geräte werden laut Spital gelöscht. Die Kantonspolizei Solothurn und das kantonale Steueramt Luzern zerstören die Festplatten nach eigener Aussage vor Ort. Das Berner Inselspital und das Zuger Obergericht lassen die Daten vernichten.
Die Zürcher Kantonalbank und die Credit Suisse gaben keine Auskunft. Ein Kantonsgericht antwortete zurückhaltend. Man gehe davon aus, dass die Daten «durch die Informatik» gelöscht würden.
So schützen Sie Ihre Daten
Daten auf Festplatten von Kopierern und Multifunktionsgeräten lassen sich schützen, indem man sie verschlüsselt. Dann kann man sie nur noch mit einem Passwort einsehen.
Das müssen Sie beachten:
- Wenn Sie einen Kopierer kaufen: Ist eine Festplatte eingebaut? Werden Dokumente darauf gespeichert? Falls ja, sind sie verschlüsselt? Ist eine automatische Löschfunktion enthalten? Lassen sich zusätzliche Sicherheitsoptionen installieren?
- Wenn Sie einen Kopierer besitzen: Ist eine Datenverschlüsselung vorhanden und aktiviert? Nicht benötigte Funktionen sollte man deaktivieren (Beispiel: Zugang zum Internet oder WLAN).
- Wenn Sie einen Kopierer verkaufen: Alle Daten sollten mit einer installierten – oder vom Hersteller angebotenen – Löschfunktion vernichtet werden. Dabei wird die Festplatte überschrieben, die Dokumente sind nicht mehr lesbar. Besonders gründlich sind Löschfunktionen, die den Speicher mindestens dreimal überschreiben.
Wird der Kopierer entsorgt, kann man die Festplatte auch ausbauen und physisch zerstören. Das Verbiegen mit einem Hammer oder das Bohren eines Lochs reicht, um die Daten unlesbar zu machen.
