M 4.303 Einsatz von netzfähigen Dokumentenscannern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Über Dokumentenscanner können analoge Informationen digitalisiert werden, beispielsweise um ein Papierdokument auf IT-Systeme zu kopieren, zu archivieren oder weiter zu bearbeiten. Statt an jedem Arbeitsplatz-PC einen lokalen Scanner zu installieren, ist es besonders bei einer seltenen Nutzung solcher Geräte meist wirtschaftlicher, einen oder mehrere zentrale Scanner zur Verfügung zu stellen. Um geeignete Sicherheitsmaßnahmen auszuwählen, muss zwischen Scan-PCs und netzfähigen Dokumentenscannern unterschieden werden.

Ein Scan-PC ist ein Standard-PC, der im Allgemeinen an ein LAN angebunden ist und an den ein lokaler Scanner angeschlossen ist. Scan-PCs werden häufig in ähnlichen Räumlichkeiten wie Netzdrucker betrieben und können von diversen Benutzern bei Bedarf genutzt werden. Außerdem ist auf Scan-PCs üblicherweise auch die zur Nachbearbeitung der eingescannten Informationen erforderliche Software installiert, also beispielsweise OCR- oder Bildbearbeitungsprogramme.

Netzfähige Dokumentenscanner ("Büroscanner") sind Kompaktgeräte, an denen Papierdokumente und ähnliches ohne größeren Aufwand eingelesen und zur weiteren Bearbeitung über ein LAN an den Benutzer übertragen werden können, beispielsweise per E-Mail. Diese Funktion ist häufig auch in Faxgeräten integriert. Der Funktionsumfang von netzfähigen Dokumentenscannern ist meist deutlich geringer als bei Scan-PCs. Im Allgemeinen können nur einfache Papierdokumente in Standard-Formaten eingelesen werden, eine Nachbereitung direkt am Gerät ist meist nicht möglich.

Scan-PC

Wird ein Standard-PC zum Scannen verwendet, so sind die Empfehlungen aus den zutreffenden Client-Bausteinen der Schicht 3 der IT-Grundschutz-Kataloge umzusetzen.

Scan-PCs können im Produktivnetz, in einem Testnetz oder auch als Stand-Alone-System ohne einen Netzanschluss betrieben werden. Sie sollten so konfiguriert sein, dass sich die Benutzer authentisieren müssen. Die eingescannten Daten können über das Netz oder über transportable Datenträger zu den Arbeitsplatz-PCs übertragen werden.

Die analogen Scan-Vorlagen (Papier, Folien etc.) sollten nicht unbeaufsichtigt beim Gerät verbleiben. Auch die digitalen Scan-Ergebnisse sollten nach der Übertragung auf das gewünschte Zielsystem, zum Beispiel auf den Arbeitsplatz-PC des jeweiligen Benutzers, aus allen allgemein zugreifbaren Verzeichnissen gelöscht werden.

Netzfähige Dokumentenscanner

Mit diesen Kompaktgeräten können auch ohne einen angeschlossenen PC Dokumente gescannt werden. Dabei werden die Dokumente in Bild-Dateien mit gängigen Dateiformaten umgewandelt.

Zur weiteren Bearbeitung müssen die Geräte die eingescannten Dokumente an andere IT-Systeme im Netz versenden. Folgende Übertragungs- und Speicherverfahren werden in der Regel unterstützt:

Wenn die eingesetzten Komponenten dies unterstützen, sollten die Kommunikationsverbindungen möglichst verschlüsselt werden, um das Abhören der übertragenen Informationen zu erschweren. Hinweise, wie die Übertragung geschützt werden kann, sind unter anderem auch in der Maßnahme M 4.300 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten zu finden.

Scanner sollten auch vor Angriffen aus dem Netz geschützt werden. Hierfür sollte die Maßnahme M 4.301 Beschränkung der Zugriffe auf Drucker, Kopierer und Multifunktionsgeräte sinngemäß berücksichtigt werden.

Nach dem Scannen dürfen keine Restinformationen auf dem System verbleiben. Die Dokumentenspeicher des Geräts sollten möglichst automatisch gelöscht werden, wenn der Scan-Vorgang abgeschlossen ist. Ist dies nicht realisierbar, müssen die Benutzer darauf hingewiesen werden, dass sie die Dokumentenspeicher des Geräts nach der Benutzung manuell löschen müssen, damit nachfolgende Benutzer die eingescannten Informationen nicht einsehen können. Entsprechende Sicherheitsvorkehrungen müssen auch für sonstige Speicherbereiche getroffen werden, die im Rahmen des Scan-Vorgangs verwendet werden, beispielsweise für die dabei benutzten Netzlaufwerke.

Prüffragen: