Kopiergeräte Voller Geheimnisse

Was kopiert wird, landet bei modernen Kopierern im Speicher. Und dort bleibt es länger, als manchem lieb ist.

Von Güven Purtul

Für die meisten Menschen ist Datenschutz am Fotokopierer ein Zweischritt:

(Foto: Foto: Vera Thiessat)

Erstens: Kurz über die Schulter blicken, bevor sie die Gehaltsabrechnung auf das Vorlagenglas legen.

Zweitens: Kontrollieren, ob sie Original und Kopie aus dem Gerät genommen haben, wenn der Leuchtbalken das Blatt abgetastet hat. Fertig. Doch viele Nutzer von Kopiergeräten ahnen nicht, dass sie dennoch Spuren hinterlassen: Wer weiß schon, dass moderne Kopierer, ebenso wie Drucker und Faxgeräte, eine Festplatte besitzen?

"Wer vertrauliche Unterlagen kopiert, sollte sich bewusst sein, dass eine Kopie des Dokuments auf der internen Festplatte gespeichert wird", warnt Martin Rost vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein.

Noch ist das Problem kaum bekannt, auch manche Firmen unterschätzen es offenbar. Andere aber nutzen die Daten bereits. Und die Hersteller von Kopiergeräten wittern schon ein Zusatzgeschäft mit Sicherheitssoftware, deren Nutzen jedoch nicht immer belegt ist.

Verräterische Datenreste

Kopierer mit eingebauter Festplatte erkennt man daran, dass der Scanner nur einmal über das Papier wandert, auch wenn zwei oder mehr Abzüge von dem Dokument geordert werden. Das spart Zeit, weil weitere Ausdrucke von einer Datei im Speicher des Geräts gemacht werden.

Wer also im Büro Privatkopien macht, muss damit rechnen, dass sein Chef die Dokumente zu sehen bekommt. Datenschützern bereitet das Kopfzerbrechen: "Private Daten auf dem Betriebs-PC zu speichern, ist schon heute nicht erlaubt, weil jeder Befugte reinschauen kann", sagt Rost.

"Für Fotokopierer aber gibt es noch keine Betriebsvereinbarungen." Dabei seien Kopierer wie PCs zu behandeln. "Und das wird auch bald kommen", so der Experte.

Bisher hätten die meisten Firmen das Problem nicht als solches erkannt, sagt der Datenschützer. Deshalb befinden sich geheime Daten, wie Angebote, Konstruktionszeichnungen oder Kontoauszüge oft auch dann noch auf den Festplatten, wenn geleaste Geräte die Firma verlassen.

"Das ist eine Sicherheitslücke, die die Hersteller von Kopiergeräten stopfen müssen", sagt Karl-Friedrich Flammersfeld von der Firma Ibas, die sich auf Datenrettung spezialisiert hat.

"Wir bekommen hier oft Festplatten zur Analyse, die voll sind mit Daten." Mithilfe der Computerforensik suchen die Ibas-Experten nach Datenspuren, etwa wenn eine Firma Mitarbeiter verdächtigt, Interna zu verraten.

Offenbar heben einige Firmen bereits heute die Datenschätze auf den Kopierer-Festplatten, etwa um Spione zu enttarnen.

Diese Daten können freilich auch gegen die Firmen eingesetzt werden, etwa wenn sie von Unberechtigten ausgelesen werden: Zwar nutzen die Geräte besondere Dateiformate - "wenn man sich bemüht, kann man die Abbilder aber wieder herstellen", sagt Flammersfeld. Der Ibas-Mann sieht darin gar ein "Einfallstor für Wirtschaftsspionage".

Zum Schnüffeln müssen die Täter nicht einmal unbedingt die Festplatte ausbauen. Auf Kopierer, die am Firmennetzwerk hängen, weil sie gleichzeitig als Computer-Drucker fungieren, können Berechtigte jederzeit zugreifen.

"Alles, was ein Hacker für den unerlaubten Zugriff auf Informationen in Ihrem Netzwerk benötigt, sind die Konfigurationseinstellungen einer ungeschützten Netzwerkkarte", warnt eine Broschüre des Kopierer-Herstellers Konica-Minolta.

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist das Problem bekannt. Ein Mitarbeiter bestätigt, dass Firmen durch solche Spionage bereits Aufträge verloren hätten.

Namentlich zitieren lassen möchte er sich nicht. "Wir bräuchten zwar einen Aufrüttler", erklärt Pressesprecher Matthias Gärtner die Zurückhaltung, "aber das BSI will im Moment nicht rütteln."

Dabei stammt aus seinem Haus ein besonders sicheres Verfahren zur Löschung der Daten auf Festplatten: Es überschreibt die Festplatte in sieben Durchgängen.

Doch solche Methoden werden nur selten angewandt. "Im Normalfall wird die Festplatte voll geschrieben", sagt Thomas Zirpel von der Firma NRG, die Kopierer der Marke Nashuatec vertreibt.

Die Dateien bleiben einfach auf dem Speicher, bis der Platz für neue Kopien nicht mehr ausreicht. Bei anderen Herstellern arbeitet die Software im Gerät ähnlich wie in einem Computer: Gespeicherte Dateien werden nach dem Kopieren "als gelöscht markiert, aber nicht physikalisch überschrieben", sagt Markus Kress von der Firma Canon.

Dieser einfache Löschbefehl beseitigt nur die Einträge im Dateiverzeichnis, sodass das System die Daten nicht mehr auf der Festplatte findet. "Die Daten selbst bleiben aber von diesem Vorgang unberührt und können von professionellen Datenrettern wiederhergestellt werden", warnt Peter Franck, Entwicklungschef von Ibas. "Das ist, als ob Sie aus einem Buch das Inhaltsverzeichnis herausreißen."

Spätestens am Ende der Leasing-Dauer, wenn das Gerät die Firma verlässt, sollten die Daten von der Festplatte verschwinden: Canon stattet die eigenen Kopierer dafür mit einem Befehl aus, der angeblich alle Anwenderdaten auf einmal löscht. Bei Nashuatec-Kopierern werden die Festplatten nach dem Ende des Leasing-Vertrags formatiert, sodass alle Daten "unwiderruflich gelöscht" würden, verspricht Zirpel.

Peter Franck ist da skeptisch: Beim Formatieren werde nur die Struktur der Festplatte verändert, die meisten Daten blieben intakt. "Herkömmliche Software-Tools können die Daten rekonstruieren." Auch beim Löschen blieben Zweifel, denn "Befehle, die mit dem DOS-Befehl DEL vergleichbar sind, betreffen nur kleine Bereiche des Datenträgers und sind alles andere als sicher".

Sprich: Wirklich weg sind die Daten nur, wenn sie überschrieben werden. Die Hersteller von Kopiergeräten bieten dafür kostenpflichtige Löschprogramme an. NRG etwa verweist auf die Software "Dos-Kit" (Data Overwrite Security Kit).

Falls deren Einsatz gewünscht sei, würden die Kosten dafür im Seitenpreis berücksichtigt. Canon bietet ein "Security Kit" an, das für jedes Kopiergerät einzeln bestellt werden muss.

Geringes Sicherheitsbedürfnis

Ein Großkunde habe schon mehrere tausend Geräte damit ausgerüstet, sagt Canon-Sprecher Kress. "Bei den meisten Kunden ist das Sicherheitsbedürfnis jedoch nicht so stark, sodass noch immer die meisten Systeme ohne die Sicherheitsfunktion ausgeliefert werden", räumt er ein. Kein Wunder, bei einem Preis von 354 Euro plus Mehrwertsteuer.

Doch auch wer den Aufpreis für die Sicherheit zahlt, kann sich nicht in Sicherheit wiegen. Peter Franck nennt mögliche Fehlerquellen: Zum einen nehme "echtes Datenlöschen viel Zeit in Anspruch" - bei viel benutzten Geräten ein Problem. Wenn aber nur gelegentlich gelöscht werde, könnten Datenreste übrig bleiben.

Wer sicher gehen möchte, sollte die Daten sofort nach jedem Vorgang überschreiben und zwar mehrfach und mit verschiedenen Mustern. Zudem sei "oft nicht überprüfbar, wie sicher die Datenlöschung tatsächlich ist". Das mehrfache Überschreiben von Festplatten mit verschiedenen Mustern sei nur dann sicher, wenn wirklich alle Datenblöcke erfasst werden. "Das ist bei schlechten Löschtools nicht der Fall", sagt Franck.

Überprüfen lässt sich das kaum. NRG zum Beispiel will die beim Dos-Kit verwendeten Algorithmen "aus Sicherheitsgründen" nicht preisgeben, was der Ibas-Experte nicht versteht: "Es liegt aus meiner Sicht kein Grund vor, die Algorithmen geheim zu halten". Doch selbst wenn die verwendeten Löschverfahren effektiv sind, können Daten auf angeblich gelöschten Datenträgern verbleiben. Etwa dann, "wenn das Programm den Löschvorgang nicht sauber abarbeitet und dennoch O.K. meldet."

Hohe Sicherheit gegen unberechtigten Datenzugriff biete die verschlüsselte Speicherung der Daten auf der Festplatte, sagt Franck. Hierbei muss der Anwender bei jedem Start des Geräts den Schlüssel entweder manuell oder per Smart-Card eingeben. "Allerdings benötigt die Online-Verschlüsselung viel Rechenkapazität und dürfte wohl nur für sehr hochwertige Geräte in Frage kommen."

Werden sensible Daten vervielfältigt, rät Franck daher zum Ausbau der Festplatte, sobald der Kopierer die Firma verlässt. Beim US-Verteidigungsministerium werden Festplatten mit streng geheimen Daten nicht gelöscht, sondern zerstört. Umsonst ist der Ausbau freilich nicht, wie Markus Kress von Canon betont: "Der Ausbau der Festplatte ist eine Dienstleistung und muss vom Kunden bezahlt werden." Dazu seien "nur wenige Kunden" bereit.