Das ist ein BlindtextDas ist ein Blindtext

IT-Sicherheit in Banken: Datenschutz und sichere Ge-schäftsprozesse

Seite

IT-Sicherheit in Banken: Datenschutz und sichere Geschäftsprozesse ������������������������������������������� 4

Das Unternehmen Ricoh Deutschland GmbH ���������������������������������������������������������������������������������� 5

Bankenaufsicht und daraus resultierende Vorgaben und Gesetze ������������������������������������������������ 6

Sicherheit bei Ricoh − Leitlinien und Maßnahmen ������������������������������������������������������������������������ 7

Wo genau befinden sich potentielle Sicherheitslücken? �������������������������������������������������������������� 10

Prävention und Empfehlungen ����������������������������������������������������������������������������������������������������� 15

Inhaltsverzeichnis

4

Die Banken und Finanzdienstleistungsunternehmen in Deutschland unterliegen zahlreichen und umfangreichen regulatorischen und gesetzlichen Vorgaben bezüglich der Einhaltung und Gewährleistung von sicheren Prozessen und der sicheren Nutzung von Informationstechnologien� Aufgrund der Finanzkrise und zahlreichen Vorkommnissen in den letzten Jahren, sind die Vorgaben noch strikter ge-worden� Die Beweggründe hierfür sind einleuchtend: Risi-ken und Schwächen innerhalb einer Bank sollen möglichst frühzeitig erkannt und entsprechende Gegenmaßnahmen ergriffen werden können� Dabei bringen die Regularien sowohl Vor- als auch Nachteile mit sich� Geregelte Prozes-se ermöglichen eine höhere Transparenz für Kunden und Mitarbeiter, eine einheitliche Unternehmenssteuerung und ein einheit¬liches Berichtswesen� Gut umgesetzte Vor-gaben können sogar auch Kosten¬einsparungen für die Kreditinstitute mit sich bringen und dadurch die Wettbe-werbsfähigkeit erhöhen� Die Nachteile ergeben sich ins-besondere durch erhöhte Aufwendungen zur Umsetzung der Vorgaben, Überregulierungen und Haftungsrisiken� Um die deutschen, nationalen Vorgaben in einer Bank um-zusetzen, sind entsprechende Lösungen zu fi nden, welche

schnell und umfassend die Gegebenheiten einer Bank ab-bilden, Risiken reduzieren und eine prüfungsrelevan¬te Absicherung und Zertifi zierung ermöglichen können�

So müssen Banken gewährleisten, dass die verwendeten Technologien in einer Bank den Anforderungen des Mark-tes entsprechen� Mit diesem Whitepaper möchten wir spe-zifi sch darstellen, wie die RICOH DEUTSCHLAND GmbH den Banken- und Versicherungssektor dabei unterstützen kann, den steigenden Sicherheitsanforderungen gerecht zu werden� Als Berater und Dienstleister hat Ricoh durch-aus eigene Vorgaben defi niert, die wir bei der Herstellung und Erbringung unserer Lösungen und Dienstleistungen berücksichtigen� Wie Ricoh entsprechende Maßnahmen im Unternehmen umsetzt und vor allem wie die angebotenen Produkte und Leistungen den Anforderungen von Banken in puncto Sicherheit gerecht werden, wird in diesem Whi-tepaper näher vorgestellt� Ricoh stellt damit ein Dokument zur Verfügung, welches unseren Kunden bei kritischen und prüfungsrelevanten Fragestellungen schnell eine entspre-chende Antwort bietet, indem spezielle Sicherheitslücken näher betrachtet werden�

IT­Sicherheit in Banken: Datenschutz und sichere Geschäftsprozesse

Einführung

5

Ricoh ist ein globales Technologieunternehmen, das sich auf Bürokommunikation, Produktionsdruck, Dokumen-tenmanagement und IT Services spezialisiert hat� Die Ri-coh-Gruppe mit Hauptsitz in Tokio operiert in über 200 Ländern und Regionen�

Den Großteil des Umsatzes erzielt das Unternehmen mit Produkten, Lösungen und Dienstleistungen, die das Zu-sammenspiel von Mensch und Information verbessern� Darüber hinaus stellt Ricoh preisgekrönte Digitalkameras und spezielle Industrieprodukte her� Ricoh ist bekannt für die Qualität seiner Technologie, seinen einzigartigen Kun-denservice und sein Engagement für Nachhaltigkeit und Umweltschutz�

Unter dem Slogan imagine� change� hilft Ricoh Unterneh-men dabei, ihre Arbeitsweise zu verändern und sich die kollektive Vorstellungskraft ihrer Mitarbeiterinnen und Mitarbeiter zu Nutze zu machen�

Ricoh hat sich zur Aufgabe gemacht, die Herausforde-rungen von Banken und Finanzdienstleistungsunterneh-men zu verstehen und geeignete Lösungen zu kreieren, um Prozesse zu verbessern� Im Jahr 2009 sind wir mit der Ratio data IT-Lösungen & Services GmbH eine strategische Partnerschaft eingegangen und entwickeln seitdem kon-tinuierlich das Leistungsportfolio weiter� Dies geschieht immer unter dem Fokus der Anforderungen der Banken� Stetige Weiterentwicklungen und dynamische Märkte er-fordern eine kontinuierliche Überprüfung der bisherigen Prozesse� Durch unsere Partnerschaft mit Ratiodata, einem Unternehmen der GAD-Gruppe, können wir sicherstellen, dass neue Anforderungen schnell und fl exibel umgesetzt werden können� Das Angebot eines ganzheitlichen Doku-mentenmanagements, durch die Kombination des Portfo-lios von Ricoh und Ratiodata, macht unsere Partnerschaft so erfolgreich�

Das Unternehmen Ricoh Deutschland GmbH

6

Bankenaufsicht und daraus resultierende Vorgaben und Gesetze

Um ein funktionstüchtiges Banken- und Finanzdienstleis-tungswesen sicherzustellen, sind eine Bankenaufsicht und damit verbundene gesetzliche und rechtliche Vorgaben unerlässlich� In Deutschland wird die rechtliche Grundlage der Bankenaufsicht überwiegend durch das Kreditwesen-gesetz (KWG) festgelegt� Weitere Gesetze, die die Aufsicht und auch die Geschäftsaktivitäten von Banken regulie-ren, sind z�B� das Pfandbrief-, Wertpapierhandelsgesetz, das Bausparkassengesetz und die Sparkassengesetze der Bundesländer� Das KWG gibt Regeln zur Vorbeugung von Fehlentwicklungen vor, um den einwandfreien Betrieb des Bankwesens nicht zu gefährden� Die risikoorientierte Aufsicht von Banken hängt immer von der Art und dem Umfang der Bankgeschäfte und mit den verbundenen Risi-ken ab� Hauptaugenmerk der Bankenaufsicht ist die Eigen-kapitalquote, Liquidität der Banken und die Prozesse für die regelmäßige Risikokontrolle1� Das KWG, insbesondere §25a KWG, wird durch die Mindestanforderung an ein Ri-sikomanagement (MaRisk) näher definiert� Auch das Bun-desdatenschutzgesetz und das Strafgesetzbuch legen ge-setzliche Vorschriften fest, die Banken im Allgemeinen und insbesondere beim Betrieb von Informationstechnologien einhalten müssen (Gewährleistung des Schutzes von per-sonenbezogenen Daten, Computersabotage, und weitere)�

Neben diesen teils allgemeingültigen als auch spezifischen Vorgaben, existieren zahlreiche andere Ordnungsmäßig-keits- und Sicherheitsanforderungen in Form von Richtli-nien und gesetzlichen Bestimmungen, die Banken bei ih-ren täglichen Aktivitäten, insbesondere in Bezug auf den Einsatz von IT-Systemen, berücksichtigen müssen� Das Insti-tut der Wirtschaftsprüfer hat bestimmte Verlautbarungen festgelegt, die dazu dienen, dass das IT-gestützte Rech-nungslegungssystem einer Bank den regulatorischen und gesetzlichen Anforderungen im Hinblick auf die Nutzung von Informationstechnologien entspricht2� Grundsätzlich müssen Hardware- und Softwarekomponenten sowie auch die IT-Prozesse die Sicherheitsziele der Verfügbarkeit, In-tegrität, Vertraulichkeit und die Authentizität von Daten sicherstellen� Die zwei wichtigsten IT Sicherheitsstandards sind wohl die ISO27001/27002 Norm sowie der BSI-Grund-

schutz vom Bundesamt für Sicherheit in der Informati-onstechnik� Diese Normen regeln die IT-Sicherheitsma-nagementprozesse, deren Umsetzung und geben weitere Vorgaben zum Aufbau von IT-Sicherheitsmanagementsys-temen in Banken vor�

Darüber hinaus werden weiterführende, meist eigene, Vorgaben und Regularien von den Banken, um die Ord-nungsmäßigkeit der internen Abläufe abzusichern, fest-gelegt� Im genossenschaftlichen Umfeld werden zusätzlich gemeinsame Vorgehensweisen von den Rechenzentralen als auch von Prüfungsverbänden festgelegt� Die Imple-mentierung des IT-Sicherheitsmanagements einer Bank obliegt dem Vorstand, die operative Umsetzung wird von IT-Sicherheitsbeauftragten durchgeführt� Ziel eines IT-Si-cherheitsmanagementsystems ist es, Vorgehensweisen für regelmäßige Risikoanalysen festzulegen, IT-Sicherheits-maßnahmen für alle eingesetzten Systeme zu definieren und letztendlich einen Handlungskatalog zur Verfügung zu stellen, falls ernstzunehmende Risiken auftreten sollten� Darüber hinaus sollten Anwenderrichtlinien, Konzepte zur Datensicherheit und Dokumentationen über die jeweili-gen IT-Systeme und deren Konfiguration ein wesentlicher Bestandteil des IT-Sicherheitskonzepts einer Bank darstel-len� Um Sicherheitsmängel zu vermeiden, ist eine regel-mäßige Risikoüberwachung notwendig� Zu diesem Zweck finden kontinuierliche Berichterstattungen und Prüfungen statt, um eine zielgerichtet Risikosteuerung in der Bank zu gewährleisten3�

All diese Vorgaben für IT-Sicherheitskonzepte und Ma-nagementsysteme in Banken beeinflussen den Einsatz von Informationstechnologien in Banken enorm und sind Teil von regelmäßigen internen als auch externen Prüfungen in Banken� Aus diesem Grund sind eine einwandfreie und sichere IT-Umgebung sowie die zugehörige Dokumentati-on von eingesetzten Systemen in jeglicher Hinsicht unab-dingbar�

1 BaFin: http://www�bafin�de/DE/Aufsicht/BankenFinanzdienstleister/bankenfinanzdienstleister_node�html2 IDW: http://www�idw�de/idw/portal/n281334/n281114/n302246/index�jsp3 Bankinformation: IT-Sicherheit im Fokus der Aufsicht, 02-2013

7

Das Unternehmen Ricoh sorgt nicht nur dafür, dass das Thema Sicherheit bei seinen Kunden im Fokus steht und alles Notwendige dafür getan wird, dass Daten, Dokumen-te und Informationen sicher im Unternehmen bearbeitet werden� Auch bei Ricoh fi nden Anweisungen, Regularien

und Hinweise ihre Anwendung um Datenschutz zu ge-währleisten und Risikoprävention und Notfallmanage-ment erfolgreich umzusetzen� Der Geschäftsführer der RI-COH DEUTSCHLAND GmbH gibt die wichtigsten Punkte der internen Informationssicherheitspolitik wie folgt bekannt:

Sicherheit bei Ricoh – Leitlinien und Maßnahmen

Informations- sicherheits- politik

Für Ricoh gehören die eigenen Informationen und die Informationen der Kunden zu den wichtigsten Werten, die das Unternehmen besitzt. Deshalb hat die RICOH DEUTSCHLAND GmbH ein Managementsystem aufgebaut, dass die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellt. Das Managementsystem richtet sich am weltweiten ISMS der Ricoh Gruppe aus. Auf diese Weise wird sichergestellt, dass die globalen Sicherheitsstandards der Ricoh Gruppe erfüllt werden.

Unsere Informationssicherheits-Leitsätze sind:

• Ricoh ist sich bewusst, dass allen Mitarbeitern eine entscheidende Rolle bei der Einführung und Aufrechter-haltung des ISMS zukommt. Die Führungskräfte sind Vorbild und unterstützen ihre Mitarbeiter aktiv, damit diese ihrer Verantwortung im Umgang mit internen und externen Informationen nachkommen.

• Ein Schulungssystem stellt sicher, dass jeder Mitarbeiter die erforderliche Qualifikation erlangt, um seine Aufgaben in Übereinstimmung mit den Anforderungen des ISMS durchführen zu können.

• Informationssicherheitsrelevante Gesetze und Richtlinien sowie vertragliche Vereinbarungen werden von uns geprüft und umgesetzt.

• Durch ein Risikomanagement gewährleistet Ricoh die Angemessenheit und Wirksamkeit seiner Sicherheits-maßnahmen und Managementpraktiken. Diese orientieren sich an den Auswirkungen eines möglichen Sicherheitsvorfalls bei Ricoh, seinen Kunden, Geschäftspartnern oder anderen Interessengruppen.

• Ricoh erfasst sicherheitsrelevante Vorfälle, prüft den Betrieb und die Effektivität des Informations-sicherheitssystems und strebt seine kontinuierliche Verbesserung an.

Uwe Jungk (Geschäftsführer)

(Stand: 01.12.2012)

8

Die Aufgabe des Information Security Management Sys-tem (ISMS) bei Ricoh ist es, Informationssicherheit bei Ricoh dauerhaft zu gewährleisten und unter Berücksich-tigung der unternehmensspezifischen Risiken fortlaufend zu verbessern� Daher hat sich Ricoh nach der ISO 27001

ausgerichtet und führt das Zertifikat seit 2007 als erstes Unternehmen der Branche� Innerhalb dieses Management-systems wurden 11 Bereiche als Sicherheitsanforderung definiert:

1. Weisungen und Richtlinien zur Infor­mationssicherheit

2. Organisatorische Sicherheitsmaß­nahmen und Managementprozess

3. Verantwortung und Klassifizierung von Informationswerten

4. Personelle Sicherheit: Aufgaben und Verantwortlichkeiten, Sensibilisierung von Mitarbeitern für Informations­sicherheit

5. Physische Sicherheit: Sicherheits­bereiche, Zutritts kontrollen und der Einsatz von sicheren Betriebsmitteln

6. Netzwerk­ und Betriebssicherheit

7. Zugriffskontrolle

8. Systementwicklung und Wartung

9. Umgang mit Sicherheitsvorfällen

10. Notfallvorsorgeplanung

11. Einhaltung rechtlicher Vorgaben, der Sicherheitsricht linien und Überprü­fungen durch Audits

9

Jeder Mitarbeiter im Hause Ricoh wurde zu den Grundsät-zen des ISMS unterwiesen und ist dazu angehalten diese Vorgaben und Regularien im alltäglichen Geschäft einzu-halten� Die Umsetzung dieser Grundsätze wird in internen Audits regelmäßig überprüft�

Eine weitere wichtige Komponente der Unternehmens-steuerung ist das Risikomanagement der Ricoh Deutsch-land GmbH� Ziel hierbei ist es, alle Risiken und Notfälle, die

zu einer Beeinträchtigung des Geschäftsbetriebs führen können, zu erkennen und zu bewerten, um so ein opti-males Sicherheitsniveau zu erreichen� Hierfür werden re-gelmäßige Risikoanalysen durchgeführt und Maßnahmen zur Risikoreduzierung beschlossen und umgesetzt� Ricoh hat sein Risikomanagement auf zwei verschiedene Schwer-punkte ausgerichtet: Risiken der Informationssicherheit (ISMS) und Risiken im Hinblick auf die Korrektheit der Bi-lanzposten (SOX)�

Mit diesem vordefinierten Pro-zess stellt Ricoh sicher, dass Ri-siken im Vorfeld erkannt und bewertet werden können und Maßnahmen zur Prävention frühzeitig ergriffen werden können� Dabei geschieht eine Einordnung in Gefahrenstufen, basierend auf der Eintrittswahr-scheinlichkeit und der anzu-nehmenden Schadenshöhe des jeweiligen Szenarios� Somit ist eine fortlaufende Geschäfts-fortführung sichergestellt�

Die Sicherheit von Verfahren und Informationstechnologie, insbesondere im Umgang mit externen und internen Daten, ist Ricoh besonders wichtig� Aus diesem Grunde werden Beein-trächtigungen der Verfügbar-keit, Vertraulichkeit und Integ-rität unserer Informationswerte als Sicherheitsvorfälle aufge-nommen und bewertet, damit im Eintrittsfall schnellstmöglich Gegenmaßnahmen ergriffen werden können und die Ursa-che für ein wiederholtes Eintre-ten abgestellt werden kann�

10

In fast jedem Unternehmen werden sensible Kundenda-ten als auch interne Daten und Informationen tagtäglich bearbeitet, weitergeleitet und abgelegt� Aufgrund der be-reits beschriebenen Vorgaben und Gesetze im Rahmen der Bankenaufsicht, sind Finanzdienstleister dazu angehalten, ganz besondere Vorkehrungen zu treffen, um unerlaubte Zugriffe auf Daten und Informationen zu verhindern und

Sicherheitslücken zu schließen� Die folgende Abbildung soll schematisch darstellen, welche Sicherheitslücken bei Finanzdienstleistern generell und beim Betrieb von Mul-tifunktionssystemen (MFP) existieren� Darüber hinaus wer-den mögliche Optionen dargestellt, wie diese Lücken künf-tig geschlossen werden können und Ricoh Ihnen im Thema Sicherheit zur Seite stehen kann�

Wo genau befinden sich potentielle Sicherheitslücken?

11

12

Nicht autorisierte Personen öffnen und betrachten vertrauliche Dokumente an den Arbeits plätzen der Bankmitarbeiter.

Insbesondere bei Banken ist dieser Schutz von vertrau-lichen und sensiblen Daten von Kunden in Dokumenten relevant� Für Finanzdienst-leistungen als auch für jedes andere Unternehmen, wird hier der bestmögliche Schutz von Dokumente durch die Einrichtung von Passwörtern und Zugangsbeschränkungen

an den einzelnen Arbeitsplätzen erzielt� So sind Sie auf der sicheren Seite, wenn es um das Dokument, wie z� B� Kredit-antrag, Kreditkartenantrag, Kontoeröffnung etc�, an sich geht�

Ein Außenstehender kann die an den Drucker ge-sendeten Daten in der Bank abfangen.

Die Ricoh Lösungen bieten eine Verschlüsselung von Druckdaten mit SSL-Techno-logie via IPP (Internet Prin-ting Protocol) und 802�1x an, mit welchen die abgefan-genen Daten unbrauchbar gemacht werden� So können Sie sicher sein, dass sensible, abgefangene Daten keinerlei Verwendung fi nden können�

Um Druckdatenströme abzu-fangen muss sich ein poten-tieller Angreifer Zugang zu einem Unternehmensnetz-werk verschaffen� Das bedeu-tet, der Hacker hat entweder bereits die eigenen Sicher-heitsbarrieren des Netzwerks (Firewall, etc�) durchbrochen oder befi ndet sich bereits im Netz (interner Angriff)�

Zusätzlich bieten die Multifunktionssysteme von Ricoh auch hiergegen einen effektiven Schutz� So können bei-spielsweise die Druckdatenströme innerhalb eines Bank-netzwerks mittels SSL-Verschlüsselung geschützt werden� Werden diese Daten dann abgefangen, sind sie für den An-

greifer wertlos, da er die enthaltenen Informationen nicht entschlüsseln bzw� lesbar machen kann� Weitere Sicher-heitsmerkmale in diesem Zusammenhang ist das Sicher-heitsprotokoll IPsec oder die Authentifi zierung mittels IEEE 802�1x, welches besonders in großen Unternehmen immer mehr zum Standard wird� Befi ndet sich ein Angreifer be-reits im Netz, so ist die Wahrscheinlichkeit, dass er sich auf das Abfangen von Druckdatenströmen konzentriert, eher unwahrscheinlich� Die weit größere Gefahr besteht für die Server, Computer und die sonstige Netzwerkinfrastruktur in Banken�

Jemand hat im Vorübergehen Einsicht in im Drucker-Ausgabefach liegende Dokumente

Durch eine optionale Au-thentifi zierung am Gerät, z�B� mit einer Zutrittskar-te zu den Räumlichkeiten der Bank oder auch der Firmenausweis, werden die persönlichen Druckauf-träge durch den Benutzer erst freigegeben wenn er vor dem MFP steht� So-mit wird ein vertraulicher Druck generiert und es

wird verhindert, dass nicht berechtigte Personen relevante Informationen über Kunden, Mitarbeiter oder auch Vor-standsangelegenheiten bekommen�

Jemand kopiert unerlaubt ein Dokument.

Die optional erhältliche Ko-pierschutzfunktion der Ricoh Lösungen, verhindert das un-autorisierte Kopieren von Do-kumenten� Beim Druck über den PCL-Treiber haben Sie die Möglichkeit, einen Raster-typen auszuwählen� Dieser Rastertyp wird auf dem Aus-druck hinterlegt und ist dort mit dem bloßen Auge kaum

zu erkennen� Gleichzeitig haben Sie die Chance, einen Text einzugeben, der in das Raster mit aufgenommen wird� Die-ser Text ist frei defi nierbar� Wird dieses Dokument kopiert, so erkennt das System das Raster, entfernt dieses und auf der Kopie wird der im Treiber eingegebene Text sichtbar�

Wie wird verhin-dert, dass vertrau-liche Dokumente an Arbeitsplätzen eingesehen wer-den können?

Wie kann sicherge-stellt werden, dass während der Kom-munikation von PC und System keinerlei Daten abgefangen werden?

Können Hacker auf Druckdaten-ströme einer Bank zugreifen und diese umleiten?

Wie wird verhindert, dass kritische Doku-mente frei zugäng-lich im Ausgabefach der Drucker in Filialen, Büros und Meeting-Räumen liegen?

Wie kann verhindert werden, dass uner-laubte Kopien von Dokumenten erstellt werden?

1

2

3

4

13

Des Weiteren haben Sie beim Druck die Möglichkeit, die Funktion “Data security for copying” auszuwählen� Hier werden die Kopien des Dokuments durch “Ausgrauen” un-kenntlich gemacht wird� Der Zugang zur Kopierfunktion kann auch generell durch eine Authentifi zierung, z�B� über die persönliche Zutrittskarte oder auch durch den Firmen-ausweis, erfolgen�

Eine unautorisierte Person hat Zugang zum Gerät

Um sicherzustellen, dass nur Bankmitarbeiter einen Zu-griff auf die Systeme haben, können Sie unterschiedliche Authentifizierungsmöglich-keiten auswählen, um eine Einschränkung der Nutzung zu implementieren� Folgende Alternativen existieren:

• Benutzerauthentifi zierung über Windows®, LDAP, Basis- und Benutzercode

• Authentifi zierung über ein externes Gerät: Kartenleser oder PIN-Code

• Administratorauthentifi zierun

Jemand verteilt unrechtmäßig vertrauliche Do-kumente mit der Scan2E-Mail Funktion an eine falsche Adresse.

Das Scannen von sensiblen Bankdokumenten muss rei-bungslos durchgeführt wer-den können� Fehlleitungen von Dokumenten dürfen hier auf gar keinen Fall passieren� Durch zusätzlichen Einsatz von Ricoh Softwarekompo-nenten kann durch eine Au-thentifi zierung des Bankmit-arbeiters am MFP (Abgleich

mit dem fi rmeneigene Adressbuch) sichergestellt werden, dass ausschließlich seine persönliche Emailadresse oder sein Homefolder als Ziel hinterlegt werden�

Eine unbefugte Person verschafft sich Zugang zum Dokumentenserver.

Durch Zugriffsbeschränkungen (z� B� PIN Code Abfrage oder Kartenauthentifi zierung) auf den Dokumentenserver und Vergabe von Benutzerrechten können gespeicherter Informa-tionen geschützt werden�

Jemand verschafft sich Zugriff auf den Datenstrom zwischen PC und Ausgabesystem

Um eine sichere Kommunika-tion zwischen PC und System zu garantieren, sollte ein Fi-nanzdienstleister mindestens darauf achten, dass die Sys-temverwaltung verschlüsselt mit SSL Technologie geschieht oder mittels SNMP v3 zur Ab-wehr von Datendiebstahl�

Informationslecks aufgrund verbleibender Daten auf der Festplatte

Die in MFPs integrierten Fest-platten verfügen über ein spezielles, herstellereigenes Filesystem und ein individu-elles Komprimierungsver-fahren des Datenbereichs� Darüber hinaus wird der Indexbereich der Festplatte nach Beendigung eines Jobs oder beim Reset des Systems automatisch gelöscht� Bei

einer Vielzahl der Multifunktionssystemen mit Festplatte bietet Ricoh weiterführende Sicherheitsmechanismen wie das Data-Overwrite-Security Kit (DOS Kit) und Festplatten-verschlüsselung, HDD Encryption Unit, an�

Das DOS-Kit überschreibt Daten, die temporär auf der Fest-platte abgespeichert wurden mit Zufallszahlen� So wird sichergestellt, dass Daten, die von der MFP Festplatte ge-löscht wurden oder bereits abgeschlossene Druckaufträge,

Wie kann verhindert werden, dass Per-sonen Zugriff zum System bekommen?

Wie können fehlge-leitete Dokumente und Informationen beim Scanvorgang vermieden werden?

Wie kann verhindert werden, dass ein unerlaubter Zugriff auf den Dokumen-tenserver der Bank stattfi ndet?

Wie kann ein unau-torisierter Zugriff auf den Datenstrom vermieden werden?

Inwiefern stellt die Festplatte in einem MFP ein Risiko für die Datensicherheit in Banken dar?

6

7

9

5

8

14

nicht mehr wiederherzustellen sind� Der Überschreibungs-vorgang startet, sobald der Job abgeschlossen wurde� Die Kopier-, Fax- und Druckfunktionen haben stets Vorrang vor der automatischen Speicherlöschung� Daher wird die hohe Produktivität des Systems nicht beeinträchtigt�

Mit Hilfe der HDD Encryption Unit werden alle Daten durch eine AES 256Bit Verschlüsselung geschützt werden, sobald diese auf der Festplatte oder NVRAM abgelegt wer-den� Auch wenn die Festplatte gestohlen werden würde, sind die Daten vor ungewolltem Zugriff geschützt� Darü-ber hinaus schützt die Festplattenverschlüsselung Adress-buch- und Authentifi zierungsdaten sowie gespeicherte Dokumente vor einem unberechtigten Zugriff� Optional gibt es auch die Möglichkeit nach Vertragsende die Fest-platten vor Abholung der Geräte auszubauen und bei Ih-nen im Haus zu belassen oder diese durch Ricoh nochmals zu löschen und ein Löschprotokoll über die Löschung nach dem Common Criteria Standard zu übergeben�

Die Integration von Festplat-ten ermöglicht überhaupt erst die Vielzahl der Funkti-onen und gewährleistet so eine höhere Effi zienz� Um beim Drucken, Scannen und Kopieren die Verarbeitungs-geschwindigkeit zu erhöhen werden Daten auf der in-ternen Festplatte temporär zwischengespeichert� Darü-

ber hinaus können bei Bedarf auch Daten permanent hin-terlegt werden, z� B� vertrauliche Druckjobs die erst dann vom Gerät ausgedruckt werden, wenn der User sich direkt am Display authentifi ziert� Diese Sicherheitsfunktionalitä-ten sind in der Regel nur bei einem System mit Festplatte möglich� Der Datenbereich ist mit einem herstellereigenen Verfahren komprimiert� Des Weiteren können Java-Appli-kationen erst mit einer Festplatte verwendet werden�

Gefährdung vertraulicher E-Mail- und Fax-Adressen

Eine zusätzliche Verschlüsse-lung des Adressbuchs zur Ver-meidung von unerlaubtem Einsehen bzw� auch Lesen registrierter Daten, gewähr-leistet, dass diese Sicherheits-lücke in Banken geschlossen wird�

Eine unautorisierte Person verschafft sich Zugang zum Netzwerk

Das Scannen von sensiblen Bankdokumenten muss rei-bungslos durchgeführt wer-den können� Fehlleitungen von Dokumenten dürfen hier auf gar keinen Fall passieren� Durch zusätzlichen Einsatz von Ricoh Softwarekompo-nenten kann durch eine Au-thentifi zierung des Bankmit-arbeiters am MFP (Abgleich

mit dem fi rmeneigene Adressbuch) sichergestellt werden, dass ausschließlich seine persönliche Emailadresse oder sein Homefolder als Ziel hinterlegt werden�

Eine unautorisierte Person verschafft sich über eine kabellose Verbindung Zugang zum Netzwerk.

Zahlreiche gesetzliche und re-gulatorische Vorschriften für Banken geben bestimmte Si-cherheitsbestimmungen vor� Sofern kabellose Netzwerk-verbindungen (Wi-Fi) einge-setzt werden, können diese durch WPA 2 (Wi-Fi Protected Access) geschützt werden�

Anzapfen von Telefon- und/oder Faxleitungen

Es sind keinerlei Fälle be-kannt, in denen Dritte von außerhalb des Firmennetz-werks auf unsere vernetzten Systeme zugreifen konnten� Vielmehr wurden unsere Pro-dukte eigens für den Einsatz in Unternehmensnetzwer-ken (Intranet) entwickelt, in denen Client- und Serversys-teme durch Firewalls gegen-

über externen Zugriffen geschützt sind� Dies hat zur Folge, dass die Sicherheit unserer Systeme und Produkte auch da-von abhängt, weiche Sicherheitsmaßnahmen und Sicher-heitsstrategien die einzelnen Unternehmen anwenden, in deren Netz unsere Systeme integriert werden, ganz ähn-

Wieso haben MFPs überhaupt eine Festplatte?

Wie kann sicherge-stellt werden, dass sensible E-Mail- und Fax-Adressen vor un-autorisierten Zugriff geschützt werden?

Besteht eine Sicher-heitslücke, wenn MFPs in das Kunden-netzwerk eingebun-den werden?

Können verarbeitete Daten und Doku-mente über eine kabellose Internet-verbindung abgeru-fen werden?

Kann man über Faxleitungen in ein Firmennetzwerk gelangen?

10

11

13

12

15

lich wie im Falle von Netzwerkservern und Workstations� Dies gilt natürlich auch für unsere optional einsetzbaren Faxmodule� Die im Zusammenhang mit Ricoh-Controllern im Einsatz befi ndliche FCU (Fax Control Unit) unterstützt ausschließlich G3 und G4 Fax-Protokolle (andere Protokol-le führen zu Verbindungsfehlern)� Dadurch ist der Zugang zum internen Netzwerk über die Telefonleitung gesichert und es können keine Daten unbefugter Weise über diesen Weg ins Netzwerk gelangen� Die TÜV Secure IT GmbH be-stätigte uns, dass im Rahmen dieser Risikoanalyse es dem TÜV nicht gelungen ist ein Ricoh-Multifunktionssystem über die Faxschnittstelle erfolgreich zu Kompromittieren�

Ineffi ziente oder unerlaubte Nutzung von Netz-werkgeräten

Mit einer sicheren Rückver-folgung zum Beispiel durch die Auftragsprotokollierung, bei welcher Druck-, Kopier-, und Faxaktivitäten einzelner Benutzer zurückverfolgt wer-den, oder auch durch eine kontinuierliche Beobachtung der Netzwerktätigkeit, wo-mit Sie jederzeit Ihre Doku-ment von Anfang bis Ende im Auge behalten� Banken geschlossen wird�

Wie können uner-laubte Zugriffe auf Netzwerkgeräte überprüft werden?

Prävention und EmpfehlungenDer Umgang mit IT- Risiken ist in der Tat ein wesentlicher Bestand-teil von IT-Sicherheitskonzepten in Banken� Noch nie stand dieses Thema mehr im Fokus� Regelmäßige Überprüfungen von einge-setzten IT-Systemen und die kontinuierliche Anpassung von Hand-lungen zur Risikoprävention sind von enormer Bedeutung� Die in diesem Whitepaper aufgeführten Sicherheitslücken stellen poten-tielle Risiken bei der Erstellung, Verarbeitung und Weiterleitung von Dokumenten in Banken dar� Ricoh hat diese Schwachstellen identifi ziert und Lösungen entwickelt, um Ihnen den bestmögli-chen Schutz für Ihr Dokumentenmanagement zu bieten� Im Rah-men des Managed Document Services Ansatz steht Ihnen Ricoh langfristig als kompetenter und wertvoller Partner zur Seite ste-hen� Durch professionelle Beratung und unseren Lösungen und Services können wir Ihnen kontinuierlich Verbesserungspotentiale aufzeigen und die eingesetzten Lösungen an die aktuellen Anfor-derungen anpassen� Wir beraten Sie hinsichtlich der aufgeführten Themen und zeigen Ihnen, wie Ricoh Sie mit speziellen Lösungen für den Finanzdienstleistungssektor unterstützen kann�

14

www.ricoh.de

RICOH DEUTSCHLAND GmbHVahrenwalder Straße 315, 30179 Hannover Telefon 0511 6742-0, Telefax 0511 6742-2100

Alle Rechte vorbehalten. Diese Broschüre, deren Inhalt und/oder Layout dürfen ohne vorherige Erlaubnis von der Ricoh Deutschland GmbH nicht verändert und/oder angepasst, teilweise oder vollständig kopiert und/oder in andere Dokumente eingefügt werden.

3602/Stand: 6/2013