Schützen Sie Ihre Geschäftsdaten - canon.de
Schützen Sie Ihre Geschäftsdaten - canon.de
Schützen Sie Ihre Geschäftsdaten - canon.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Schützen</strong> <strong>Sie</strong> <strong>Ihre</strong><br />
<strong>Geschäftsdaten</strong><br />
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro.<br />
you can
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
So sorgt Canon für sichere<br />
Druckumgebungen<br />
Kontrollieren von gesicherten<br />
Inhalten, die das Unternehmen<br />
verlassen<br />
uniFLOW sorgt für erweiterte<br />
Sicherheit: Gedruckte, gescannte,<br />
kopierte und gefaxte Dokumente<br />
wer<strong>de</strong>n auf vertrauliche Inhalte<br />
überprüft, und bei einem Verstoß<br />
wird ein Administrator informiert.<br />
Vertrauliche Informationen<br />
können nachverfolgt wer<strong>de</strong>n<br />
Job Log Conceal – nach Ausdruck von<br />
vertraulichem Material wer<strong>de</strong>n alle<br />
Hinweise darauf gelöscht.<br />
Systemfestplatte im Visier von<br />
Datendieben<br />
Überschreiben und Verschlüsseln<br />
<strong>de</strong>r Festplatte entspricht Common<br />
Criteria EAL3: international<br />
zertifizierter Dokumentenschutz.<br />
Wechselfestplatte – Festplatte kann<br />
entfernt und sicher gelagert wer<strong>de</strong>n.<br />
Hacker, die unbefugt in Ihr<br />
Netzwerk einbrechen<br />
IP- und MAC-Adressenfilterung<br />
sorgt dafür, dass nur Aufträge von<br />
autorisierten Computern/Servern<br />
gedruckt wer<strong>de</strong>n.<br />
Keine Kontrolle, welche Aufträge<br />
wo gedruckt wer<strong>de</strong>n<br />
Mit uniFLOW können <strong>Sie</strong> Aufträge<br />
an das am besten geeignete<br />
System weiterleiten, und mit <strong>de</strong>m<br />
umfassen<strong>de</strong>n Abrechnungssystem<br />
nachvollziehen, wer welche<br />
Dokumente wo druckt.<br />
Sicheres Speichern von<br />
Authentifizierungs- und<br />
Sicherheitsdaten<br />
Das Trusted Platform Module<br />
bietet auf <strong>de</strong>r Systemhardware<br />
einen sicheren Speicherort<br />
für Authentifizierungs- und<br />
Sicherheitsdaten.<br />
2<br />
Vertraulichkeit<br />
Integrität<br />
Verfügbarkeit
Dokumentensicherheit muss sowohl für verschie<strong>de</strong>ne<br />
Mitarbeiter eines Unternehmens als auch für unterschiedliche<br />
Unternehmen angepasst wer<strong>de</strong>n. Der umfassen<strong>de</strong><br />
Sicherheitsansatz von Canon wird all diesen Anfor<strong>de</strong>rungen<br />
in <strong>de</strong>n Kernbereichen Vertraulichkeit, Integrität und<br />
Verfügbarkeit gerecht.<br />
Diese Übersicht weist auf potenzielle Sicherheitsrisiken in <strong>de</strong>n<br />
gezeigten Bereichen hin und listet entsprechen<strong>de</strong> Lösungen<br />
von Canon auf verschie<strong>de</strong>nen Sicherheitsebenen auf.<br />
Bei wechseln<strong>de</strong>n Arbeitsplätzen<br />
ist Dokumentensicherheit<br />
unmöglich<br />
Mitarbeiter ohne Mailbox können<br />
mithilfe <strong>de</strong>r Funktion Sicherer<br />
Druck trotz<strong>de</strong>m dafür sorgen, dass<br />
vertrauliches Material nicht offen am<br />
Drucker liegen bleibt.<br />
Personal ohne Berechtigung<br />
und vertrauliche Details<br />
SSL-Verschlüsselung verhin<strong>de</strong>rt,<br />
dass Daten von Unberechtigten<br />
eingesehen wer<strong>de</strong>n können.<br />
Vertrauliches Material offen in<br />
Ausgabefach<br />
Persönliche Mailbox – Druckaufträge<br />
wer<strong>de</strong>n auf <strong>de</strong>r Festplatte <strong>de</strong>s<br />
Systems gespeichert, bis sie vom<br />
Anwen<strong>de</strong>r abgerufen und gedruckt<br />
wer<strong>de</strong>n.<br />
Anwen<strong>de</strong>rmanagement<br />
Einrichten von Abteilungs-IDs<br />
und Kennwörtern für bis zu 1.000<br />
Abteilungen und Kontrolle <strong>de</strong>r<br />
Anzahl von Kopier-, Scan- und<br />
Druckaufträgen pro Abteilung.<br />
Vertrauliche Informationen<br />
können nachverfolgt wer<strong>de</strong>n<br />
uniFLOW gibt Aufträge am System<br />
NUR frei, wenn <strong>de</strong>r Anwen<strong>de</strong>r sich<br />
durch Transpon<strong>de</strong>r- o<strong>de</strong>r Chipkarte,<br />
PIN-Co<strong>de</strong> o<strong>de</strong>r Fingerabdruck<br />
ausweist.<br />
Vertrauliche Dokumente lan<strong>de</strong>n<br />
im Papierkorb<br />
Wasserzeichen kennzeichnen <strong>de</strong>utlich<br />
vertrauliche Informationen und<br />
warnen vor unberechtigtem Kopieren.<br />
3
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Inhalt<br />
EINFÜHRUNG<br />
Verwendung dieses Leitfa<strong>de</strong>ns 8<br />
Warum ist Sicherheit wichtig 10<br />
Schlüsselfragen zur Sicherheit 11<br />
Sicherheitsrisiken und Lösungsansätze 12<br />
Verbreitung von Sicherheitsverstößen 14<br />
Ursachen von Sicherheitsverstößen 16<br />
Vertraulichkeit<br />
Was ist Vertraulichkeit 18<br />
Dokumentenschutz 20<br />
Informationsübermittlung 24<br />
Zugriffsbeschränkungen 26<br />
Sichere Datenspeicherung 32<br />
Papierausgabekontrolle 36<br />
Geschäftskritische Informationen, wie<br />
Rechnungen und Strategiepläne (gedruckt o<strong>de</strong>r<br />
digital), bleiben vertraulich.<br />
Integrität<br />
Was ist Integrität 40<br />
Dokumentenechtheit 42<br />
Zugriffskontrolle 44<br />
Nutzungskontrolle 46<br />
Informationen sind immer zuverlässig, da<br />
Än<strong>de</strong>rungen und Löschungen nur von<br />
berechtigten Personen durchgeführt<br />
wer<strong>de</strong>n können.<br />
Verfügbarkeit<br />
Was ist Verfügbarkeit 50<br />
Dokumentenschutz 52<br />
Software, Einstellungen und Konfiguration 56<br />
Zugriffskontrolle 58<br />
Redundante Systeme 64<br />
Zusammenfassung<br />
Standard-Sicherheitsfunktionen 66<br />
Zusätzliche Sicherheitsfunktionen 68<br />
Glossar 70<br />
Informationen sind nicht nur sicher,<br />
son<strong>de</strong>rn bei Bedarf auch je<strong>de</strong>rzeit und<br />
im richtigen Format verfügbar.<br />
Schwerpunkt <strong>de</strong>r Hauptlösung<br />
4<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend
Dokumentenschutz<br />
Lösungsportfolio<br />
eCopy File<br />
Encryption<br />
PDF-<br />
Verschlüsselung<br />
Informationsübermittlung<br />
iW Desktop<br />
Encrypted PDA<br />
(Sicheres)<br />
Wasserzeichen<br />
Adobe<br />
LifeCycle Rights<br />
Management<br />
ES-Integration<br />
Document Scan<br />
Lock & Tracking<br />
IPsec Board<br />
eCopy Network<br />
Comm. Encrypt.<br />
Verschlüsselte<br />
Druckausgabe<br />
Protokollkonfiguration<br />
SSL-<br />
Zertifikate<br />
IP- und MAC-<br />
Adressenfilterung<br />
VERTRAULICHKEIT<br />
Zugriffsbeschränkungen<br />
Document<br />
Scan Lock<br />
& Tracking<br />
uniFLOW<br />
Login-Manager<br />
Sichere Datenspeicherung<br />
Therefore<br />
Access Rights<br />
Document<br />
Server Login<br />
Abteilungs-<br />
IDs, SSO, SDL<br />
IEEE 802.1X<br />
Security<br />
& Cost Control<br />
Proximity Card<br />
Authentication<br />
Trusted<br />
Platform<br />
Module<br />
Wechselfestplatte<br />
uniFLOW<br />
Encrypt Job Name<br />
eCopy Secure<br />
File Deletion<br />
HDD<br />
Encryption Kit<br />
HDD<br />
Erase Kit<br />
Job Log<br />
Conceal<br />
Papierausgabekontrolle<br />
uniFLOW<br />
Secure Printing<br />
iR Secure<br />
Printing<br />
Dokumentenechtheit<br />
iR Secure<br />
Mailbox<br />
Security &<br />
Cost Control Pack<br />
Serverless Secure<br />
Printing<br />
Therefore Digital<br />
Signature<br />
iR Digital User<br />
Signature<br />
Therefore<br />
Access Rights<br />
system<br />
Signature<br />
INTEGRITÄT<br />
Zugriffskontrolle<br />
Therefore<br />
Access<br />
Rights<br />
iW Document<br />
Server Login<br />
Nutzungskontrolle<br />
Wechselfestplatte<br />
Zugriffsverwaltungssystem<br />
uniFLOW<br />
Statistics<br />
eCopy Activity<br />
Tracking<br />
Therefore<br />
Access Rights<br />
iW Document<br />
Server Login<br />
Auftragsprotokoll<br />
uniFLOW<br />
Secure Scanning<br />
Dokumentenschutz<br />
eCopy File<br />
Encryption<br />
PDF-<br />
Verschlüsselung<br />
(Sicheres)<br />
Wasserzeichen<br />
Software, Einstellungen und Konfiguration<br />
Document Scan<br />
Lock & Tracking<br />
Adobe<br />
LifeCycle Rights<br />
Management<br />
ES-Integration<br />
VERFÜGBARKEIT<br />
iW<br />
Management<br />
Console<br />
Zugriffskontrolle<br />
Wechselfestplatte<br />
uniFLOW Login<br />
Manager<br />
iW Access<br />
Management<br />
System<br />
Therefore<br />
Access Rights<br />
iW Document<br />
Server Login<br />
eCopy Session<br />
Anmeldung<br />
iR Department<br />
ID’s, SSO, SDL<br />
Security &<br />
Cost Control Pack<br />
Serverless Secure<br />
Printing<br />
Redundante Systeme<br />
uniFLOW<br />
MyPrintAnywhere<br />
Therefore<br />
Redundant<br />
Back-up<br />
Storage
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Eine Einführung in die<br />
Dokumentensicherheit<br />
Geistiges Eigentum, Kun<strong>de</strong>ndaten, Vertrags<strong>de</strong>tails,<br />
Strategiepapiere: Die Liste gefähr<strong>de</strong>ter Informationen<br />
ist endlos. Daher ist es wichtig, die Ursachen dieser<br />
Risiken zu verstehen und wie sie mithilfe von<br />
Canon-Lösungen beseitigt wer<strong>de</strong>n können.<br />
6
Einführung<br />
Auf Seite 5 fin<strong>de</strong>n <strong>Sie</strong> eine <strong>de</strong>taillierte Übersicht<br />
<strong>de</strong>r einzelnen Sicherheitslösungen von Canon<br />
in diesen Kategorien.<br />
In einer kürzlich von Quocirca durchgeführten<br />
Unternehmensstudie gaben 52 % <strong>de</strong>r<br />
Befragten an, dass die Druckausgabe<br />
unverzichtbar für ihre Geschäftsaktivitäten sei.<br />
24 % räumten ihr immer noch eine wichtige<br />
o<strong>de</strong>r entschei<strong>de</strong>n<strong>de</strong> Rolle ein. Allerdings<br />
weisen viele Unternehmen ihren Druck- und<br />
Multifunktionssystemen eine <strong>de</strong>utlich<br />
geringere Priorität zu. Daher gaben 70 % <strong>de</strong>r<br />
Befragten an, bereits min<strong>de</strong>stens eine<br />
Datenschutzverletzung aufgrund von<br />
gedruckten Materialien erlitten zu haben.<br />
7
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Verwendung<br />
dieses Leitfa<strong>de</strong>ns<br />
Dieser Leitfa<strong>de</strong>n beleuchtet je<strong>de</strong>n <strong>de</strong>r zentralen<br />
Sicherheitsbereiche im Detail: Vertraulichkeit,<br />
Integrität und Verfügbarkeit.<br />
Die einzelnen Abschnitte sind ein<strong>de</strong>utig beschriftet und<br />
farblich markiert, damit <strong>Sie</strong> sich schnell zurechtfin<strong>de</strong>n.<br />
Nach einem Überblick über allgemeine<br />
Sicherheitsthemen und potenzielle Gefahren wer<strong>de</strong>n die<br />
spezifischen Probleme mit <strong>de</strong>r entsprechen<strong>de</strong>n<br />
Canon-Lösung im Einzelnen beschrieben.<br />
Inhalt dieses Leitfa<strong>de</strong>ns<br />
Dieser Leitfa<strong>de</strong>n listet sämtliche aktuellen<br />
Probleme und Herausfor<strong>de</strong>rungen auf und<br />
beschreibt, wie Canon sie in <strong>de</strong>n Griff bekommt.<br />
Unabhängige Studien und Pressestimmen<br />
beleuchten die Punkte jeweils aus einer an<strong>de</strong>ren<br />
Perspektive.<br />
Als Verständnishilfe dienen die „5 Kernpunkte“<br />
am En<strong>de</strong> je<strong>de</strong>s Abschnitts.<br />
8
Einführung<br />
Verwendung dieses Leitfa<strong>de</strong>ns<br />
„Führen<strong>de</strong> IT-Manager und Branchenanalysten sind sich darüber im Klaren,<br />
dass Unternehmen ihre Daten proaktiv schützen müssen, statt sich<br />
ausschließlich auf einmal aufgestellte Richtlinien, Verfahren und Schulungen<br />
zu verlassen.“<br />
Ponemon Institute, LLC, Februar 2008,<br />
2007 Annual Study: U.K. Cost of a Data Breach‘<br />
VERTRAULICHKEIT<br />
Geschäftskritische<br />
Informationen, wie<br />
Rechnungen und<br />
Strategiepläne (gedruckt<br />
o<strong>de</strong>r digital), bleiben<br />
vertraulich.<br />
Beispiel: Verschlüsselte<br />
Datenübermittlung<br />
zwischen PC und System.<br />
INTEGRITÄT<br />
Informationen sind immer<br />
zuverlässig, da Än<strong>de</strong>rungen<br />
und Löschungen nur von<br />
berechtigten Personen<br />
durchgeführt wer<strong>de</strong>n<br />
können. In vielen Branchen<br />
muss die Integrität von<br />
Dokumenten von Rechts<br />
wegen sichergestellt<br />
wer<strong>de</strong>n.<br />
Beispiel: Zuweisen von<br />
Berechtigungen, um das<br />
Löschen vertraulicher<br />
Dateien zu verhin<strong>de</strong>rn.<br />
VERFÜGBARKEIT<br />
Informationen sind nicht nur<br />
sicher, son<strong>de</strong>rn bei Bedarf<br />
auch je<strong>de</strong>rzeit und im<br />
richtigen Format verfügbar.<br />
Beispiel: Kontrolle <strong>de</strong>s<br />
Zugriffs auf Drucksysteme.<br />
9
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Warum ist Sicherheit<br />
wichtig<br />
In mo<strong>de</strong>rnen Unternehmen ist es heute üblich,<br />
digitale Informationen durch Firewalls, Kennwörter<br />
und Antivirenprogramme schützen zu lassen.<br />
Allerdings wird dabei die Rolle von<br />
Multifunktionssystemen (MFPs) häufig<br />
unterschätzt. Rechnungen, Formulare,<br />
Kontoauszüge und vertrauliche Mitarbeiterdaten<br />
wer<strong>de</strong>n ständig zwischen PCs und Drucksystemen<br />
übermittelt, weshalb Unternehmen sich dringend<br />
bewusst machen müssen, welche hohe Priorität<br />
diesen Systemen in <strong>de</strong>r Sicherheitskette zukommt.<br />
Und da mo<strong>de</strong>rne MFPs über Funktionen wie<br />
Scannen an E-Mail- und Faxempfänger verfügen<br />
und daher vernetzt sein müssen, sind sie <strong>de</strong>m<br />
Internet und damit potenziell <strong>de</strong>m Zugriff durch<br />
unbefugte Dritte ausgesetzt.<br />
10
Einführung<br />
Warum ist Sicherheit wichtig<br />
Über die Lösungsübersicht auf Seite 5 können <strong>Sie</strong> sich je<strong>de</strong>rzeit über<br />
einen spezifischen Bereich und die entsprechen<strong>de</strong>n Canon-Lösungen<br />
informieren. Und wenn <strong>Sie</strong> mit einem bestimmten Begriff nicht<br />
vertraut sind, schlagen <strong>Sie</strong> einfach hinten im Glossar nach.<br />
Schlüsselfragen<br />
zur Sicherheit<br />
Viele Unternehmen verfügen bereits über<br />
angemessene Sicherheitssysteme und -richtlinien.<br />
Allerdings ist zu vermuten, dass dabei bestimmte<br />
Bereiche nicht ausreichend berücksichtigt sind.<br />
Folgen<strong>de</strong> Fragen sollte sich je<strong>de</strong>s Unternehmen<br />
stellen, <strong>de</strong>m die Sicherheit seiner Daten wichtig ist:<br />
Die Kosten für einen Sicherheitsverstoß belaufen sich im<br />
Durchschnitt auf 1,8 Millionen Euro, wobei fast ein Viertel<br />
aller Fälle auf gedruckte Dokumente zurückzuführen ist. Sind<br />
<strong>Sie</strong> von <strong>de</strong>r Sicherheit <strong>Ihre</strong>r Druckumgebung überzeugt<br />
Haben <strong>Sie</strong> sich schon einmal Gedanken über die Folgen von<br />
Datenverlust gemacht<br />
Über welche Sicherheitsrichtlinien verfügt Ihr Unternehmen<br />
Fahren <strong>Sie</strong> mit <strong>de</strong>m Abschnitt zu Vertraulichkeit, Integrität o<strong>de</strong>r Verfügbarkeit<br />
fort, um herauszufin<strong>de</strong>n, wie diese Fragen mithilfe von Canon-Lösungen<br />
beantwortet wer<strong>de</strong>n können.<br />
11
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Sicherheitsrisiken<br />
und Lösungsansätze<br />
Sicherheitsverstöße können für Unternehmen ernste<br />
Folgen nicht nur im finanziellen Bereich haben. Allein in<br />
diesem Jahr mel<strong>de</strong>te die Presse immer wie<strong>de</strong>r<br />
Datenpannen, wobei die Kosten im Durchschnitt bei<br />
1,8 Millionen Euro pro Fall lagen. *<br />
Laut ENISA (European Network and Information Security<br />
Agency) ist „eine unkontrollierte Druckumgebung ein<br />
erhebliches Risiko“.<br />
12<br />
* Quelle: Ponemom Institute, 2008
Einführung<br />
Sicherheitsrisiken und Lösungsansätze<br />
Hilfreiche Tipps<br />
1. Drucker sind mehr als nur Drucker<br />
Mo<strong>de</strong>rne Multifunktionssysteme (MFPs) sind<br />
mit eigenen Servern ausgestattet und stellen<br />
eine Reihe von Netzwerkdiensten zur<br />
Verfügung, so zum Beispiel E-Mail,<br />
FTP-Übermittlung, sowie Web- und<br />
eFax-Server. Einige Systeme bieten zu<strong>de</strong>m<br />
Festplatten mit erheblicher Speicherkapazität.<br />
Entsprechend müssten sie ebenso<br />
sicherheitsbewusst behan<strong>de</strong>lt wer<strong>de</strong>n wie<br />
E-Mail- o<strong>de</strong>r Webserver <strong>de</strong>s Unternehmens,<br />
wer<strong>de</strong>n aber häufig nur unzureichend<br />
kontrolliert.<br />
Unternehmen je<strong>de</strong>r Größe sollten einen<br />
Konfigurationsleitfa<strong>de</strong>n erstellen und dafür<br />
sorgen, dass dieser je<strong>de</strong>rzeit beachtet wird.<br />
Dadurch wird sichergestellt, dass alle<br />
Funktionen <strong>de</strong>s MFP genauestens untersucht<br />
und bei Bedarf aktiviert bzw. <strong>de</strong>aktiviert<br />
wer<strong>de</strong>n können.<br />
2. Kennwortschutz ist ein Muss<br />
Aufgrund <strong>de</strong>r hohen Beliebtheit von sozialen<br />
Netzwerken ist <strong>de</strong>r Diebstahl von<br />
Kennwörtern heute einfacher als je zuvor. So<br />
können sich zum Beispiel Trojaner und<br />
an<strong>de</strong>re Schadprogramme mithilfe gefälschter<br />
Benachrichtigungen zum Zurücksetzen von<br />
Kennwörtern auf Anwen<strong>de</strong>rrechnern<br />
installieren. Da bekanntermaßen etwa ein<br />
Drittel aller PC-Anwen<strong>de</strong>r dasselbe Kennwort<br />
für alle Websites und Unternehmenskonten<br />
verwen<strong>de</strong>n, ist es nach einem erfolgreichen<br />
Angriff möglich, nicht nur auf die privaten<br />
Daten einer Person zuzugreifen, son<strong>de</strong>rn<br />
auch auf <strong>de</strong>ren berufliche Informationen.<br />
Damit das MFP nicht zur Schwachstelle im<br />
Informationsfluss wird, sollten Unternehmen<br />
Standardkennwörter <strong>de</strong>aktivieren und darauf<br />
bestehen, dass Mitarbeiter zum Zugriff auf<br />
ihre Druckaufträge möglichst komplizierte,<br />
ein<strong>de</strong>utige Kennwörter verwen<strong>de</strong>n und diese<br />
alle 90 Tage än<strong>de</strong>rn.<br />
3. Papierbasierte Verstöße sind eine Tatsache<br />
Fast ein Viertel aller Sicherheitsverstöße sind<br />
papierbasiert. Unternehmen können das<br />
Risiko verringern, in<strong>de</strong>m sie die sichere<br />
Auftragsfreigabe („Secure Job Release“)<br />
verwen<strong>de</strong>n, wobei Druckaufträge in <strong>de</strong>r<br />
Warteschlange auf <strong>de</strong>m Gerät gehalten<br />
wer<strong>de</strong>n, bis <strong>de</strong>r zur Freigabe erfor<strong>de</strong>rliche<br />
PIN-Co<strong>de</strong> eingegeben wird. Dadurch wird<br />
einerseits die Zahl <strong>de</strong>r im Ausgabefach<br />
verbliebenen Blätter verringert, und<br />
an<strong>de</strong>rerseits wer<strong>de</strong>n Dokumente nur<br />
gedruckt, wenn sie wirklich gebraucht<br />
wer<strong>de</strong>n.<br />
4. Interne Bedrohungen sind eine Tatsache<br />
Neben Angriffen von außerhalb <strong>de</strong>s<br />
Unternehmens sind interne Bedrohungen<br />
eines <strong>de</strong>r Kernprobleme für<br />
Sicherheitsexperten. Seien es verärgerte<br />
Ex-Mitarbeiter, die Informationen gegen Geld<br />
weitergeben, aktuelle Mitarbeiter mit <strong>de</strong>n<br />
besten Absichten o<strong>de</strong>r einfach nur<br />
menschliches Versagen – die Kontrolle von<br />
Mitarbeitern, die mit vertraulichen Daten<br />
umgehen, ist äußerst schwierig.<br />
Mit <strong>de</strong>r oben bereits beschriebenen sicheren<br />
Auftragsfreigabe wird verhin<strong>de</strong>rt, dass<br />
Mitarbeiter auf nicht für sie bestimmte<br />
Informationen im Ausgabefach stoßen o<strong>de</strong>r<br />
sich rechtswidrig Zugriff auf die Mailbox eines<br />
Kollegen verschaffen. Ebenso wichtig ist, was<br />
am En<strong>de</strong> <strong>de</strong>r Lebensdauer eines Systems mit<br />
diesem geschieht. Die Festplatte eines<br />
Drucksystems muss zuverlässig gelöscht und<br />
sicher entsorgt wer<strong>de</strong>n.<br />
13
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Datenschutzverstoß<br />
durch Verwirrung<br />
um Drucker<br />
Verbreitung von<br />
Sicherheitsverstößen<br />
Vor einigen Jahren führte das Ponemon Institute in<br />
Großbritannien eine lan<strong>de</strong>sweite Umfrage zu<br />
Datenschutzverstößen durch, um die Häufigkeit<br />
und Gefahren solcher Verstöße zu ermitteln.<br />
Die Ergebnisse gaben Anlass zur Besorgnis:<br />
Ca. 11,6 % <strong>de</strong>r<br />
Befragten gaben an,<br />
im vergangenen<br />
Jahr über einen<br />
Datensicherheitsverstoß<br />
informiert wor<strong>de</strong>n<br />
zu sein.<br />
Ca. 86 % aller<br />
Sicherheitsverstöße<br />
betrafen <strong>de</strong>n Verlust bzw.<br />
Diebstahl von<br />
Kun<strong>de</strong>n- o<strong>de</strong>r<br />
Verbraucherinformationen.<br />
Ca. 14 %<br />
betrafen Mitarbeiter-,<br />
Stu<strong>de</strong>nten-,<br />
Patienten- und<br />
Steuerdaten.<br />
19 % <strong>de</strong>r Befragten<br />
haben die<br />
Geschäftsbeziehung mit<br />
<strong>de</strong>m Unternehmen<br />
aufgrund <strong>de</strong>s<br />
Datenverstoßes<br />
abgebrochen.<br />
14
Einführung<br />
Wie <strong>de</strong>r britische<br />
Datenschutzbeauftragte heute mitteilte,<br />
verstieß die Stadtverwaltung von York<br />
durch die versehentliche Offenlegung<br />
persönlicher Daten gegen gelten<strong>de</strong>s<br />
Datenschutzrecht.<br />
Die Stadtverwaltung mel<strong>de</strong>te <strong>de</strong>n<br />
Verstoß am 10. Februar, nach<strong>de</strong>m<br />
irrtümlicherweise gemeinsam mit<br />
an<strong>de</strong>ren Dokumenten persönliche<br />
Daten an unbefugte Dritte übermittelt<br />
wor<strong>de</strong>n waren. Diese vertraulichen<br />
Daten waren versehentlich von einem<br />
gemeinsam genutzten Drucker<br />
eingesammelt und dann von einem<br />
Mitarbeiter weitergeleitet wor<strong>de</strong>n, ohne<br />
zu prüfen, ob alle versen<strong>de</strong>ten Papiere<br />
für seinen Fall relevant waren.<br />
Zwar räumte <strong>de</strong>r<br />
Datenschutzbeauftragte ein, die<br />
Stadtverwaltung setze grundsätzlich<br />
sinnvolle Richtlinien und Verfahren<br />
zum Umgang mit persönlichen Daten<br />
ein, <strong>de</strong>r Fall lasse aber mangelhafte<br />
Qualitätskontrollen und unzureichen<strong>de</strong><br />
Verbreitung von SicherheitsverstöSSen<br />
Überwachungsstrukturen bei <strong>de</strong>r<br />
Behör<strong>de</strong> erkennen.<br />
Die amtieren<strong>de</strong> Exekutivbeauftragte<br />
Sally-Anne Poole sagte:<br />
„Dieser Fall zeigt, wie wichtig es ist, dass<br />
Mitarbeiter selbst die Verantwortung<br />
für <strong>de</strong>n Umgang mit persönlichen Daten<br />
übernehmen. Wären die Dokumente<br />
nicht unbeaufsichtigt am Drucker<br />
zurückgelassen und zu<strong>de</strong>m sorgfältig<br />
geprüft wor<strong>de</strong>n, hätte diese Situation<br />
problemlos vermie<strong>de</strong>n wer<strong>de</strong>n können.“<br />
„Die Stadtverwaltung von York hat neue<br />
Sicherheitsmaßnahmen zur Nutzung<br />
ihrer Drucksysteme eingeführt und<br />
Mitarbeiter müssen jetzt geeignete<br />
Qualitätsprüfungen durchführen, um die<br />
Offenlegung vertraulicher Informationen<br />
in Zukunft zu vermei<strong>de</strong>n.“<br />
Britischer Datenschutzbeauftragter,<br />
April 2011.<br />
Schon ein relativ kleiner Sicherheitsverstoß kann dazu<br />
führen, dass fast 20 % <strong>de</strong>r Kun<strong>de</strong>n <strong>de</strong>m Unternehmen<br />
<strong>de</strong>n Rücken kehren. Dieser Wert sollte ausreichen,<br />
Unternehmen zur Umsetzung strikter und umfassen<strong>de</strong>r<br />
Sicherheitsrichtlinien zu bewegen.<br />
Dieser Leitfa<strong>de</strong>n zeigt, wie Canon helfen<br />
kann.<br />
15
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Ursachen von<br />
Sicherheitsverstößen<br />
Die Ponemon-Umfrage befasste sich auch mit <strong>de</strong>n Ursachen von<br />
Sicherheitsverstößen.<br />
Böswilliger Insi<strong>de</strong>r 3 %<br />
Elektronische<br />
Datensicherung 6 %<br />
Schädlicher Co<strong>de</strong> 3 %<br />
Gehackte Systeme 6 %<br />
Nicht genannt<br />
9 %<br />
Verlorenes<br />
Notebook<br />
o<strong>de</strong>r an<strong>de</strong>res<br />
Gerät 36 %<br />
Externer<br />
Dienstleister<br />
12 %<br />
Papierdokumente 24 %<br />
16
Einführung<br />
Ursachen von SicherheitsverstöSSen<br />
„Die Tatsache, dass über ein Drittel aller Verstöße auf die gemeinsame<br />
Nutzung von Daten mit Dritten im ganz normalen Tagesgeschäft<br />
zurückgeführt wer<strong>de</strong>n können, ist ein <strong>de</strong>utliches Signal, dass<br />
Unternehmen ihre Metho<strong>de</strong>n zum Datenverkehr mit externen<br />
Dienstleistern, Zulieferern und Partnern über<strong>de</strong>nken müssen.“<br />
Joseph Ansanelli, Vice Presi<strong>de</strong>nt<br />
für Datensicherheitslösungen, Symantec.<br />
Erwartungsgemäß waren verlorene o<strong>de</strong>r<br />
gestohlene Notebooks die häufigste Ursache für<br />
Sicherheitsverstöße. An zweiter Stelle stan<strong>de</strong>n<br />
jedoch – mit fast einem Viertel aller Fälle –<br />
papierbasierte Sicherheitsverstöße.<br />
5 Kernpunkte zum<br />
Thema Sicherheit<br />
• Papierbasierte Sicherheitsverstöße<br />
machen 25 % aller Verstöße aus.<br />
• 86 % aller Sicherheitsverstöße<br />
betrafen <strong>de</strong>n Verlust<br />
bzw. Diebstahl von<br />
Kun<strong>de</strong>ninformationen.<br />
• Mo<strong>de</strong>rne Drucksysteme sind<br />
komplexe Multifunktionssysteme,<br />
die zahlreiche Netzwerkservices<br />
bieten und daher ebenso sorgfältig<br />
geschützt wer<strong>de</strong>n müssen wie IT-<br />
Server.<br />
• Kennwortschutz ist ein Muss,<br />
da Kennwörter immer häufiger<br />
gestohlen wer<strong>de</strong>n.<br />
• Sicherheitslösungen von Canon<br />
<strong>de</strong>cken die Kernbereiche<br />
Vertraulichkeit, Integrität und<br />
Verfügbarkeit ab.<br />
17
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Was ist<br />
Vertraulichkeit<br />
Bei Vertraulichkeit geht es darum, sicherzustellen,<br />
dass we<strong>de</strong>r gedruckte noch digitale Informationen<br />
offengelegt wer<strong>de</strong>n und in falsche Hän<strong>de</strong> geraten.<br />
Dies betrifft zahlreiche Dokumenttypen, von<br />
Kun<strong>de</strong>ndaten über Rechnungen bis hin zu<br />
strategischen Geschäftsinformationen.<br />
18
Denkanstöße<br />
• Wussten <strong>Sie</strong>, dass 33 % <strong>de</strong>r<br />
Büroangestellten schon<br />
einmal vertrauliche<br />
Dokumente auf Druckern und<br />
Kopierern gefun<strong>de</strong>n haben<br />
• Wie können <strong>Sie</strong> verhin<strong>de</strong>rn,<br />
dass vertrauliche Dokumente<br />
offen auf <strong>de</strong>m Drucker<br />
herumliegen<br />
• Ist Ihnen bewusst, dass <strong>Sie</strong><br />
Dokumente nur für<br />
berechtigte Personen<br />
zugänglich machen können<br />
• Wissen <strong>Sie</strong>, wie <strong>Sie</strong> Probleme<br />
mit <strong>de</strong>m Schutz geistigen<br />
Eigentums lösen können<br />
• Wissen <strong>Sie</strong>, dass es möglich<br />
ist, Sicherheitsprotokolle zu<br />
erstellen, die<br />
Personalrichtlinien in Bezug<br />
auf die Nutzung von<br />
Unternehmensdaten<br />
entsprechen<br />
Vertraulichkeit<br />
Dies sind die Kernbereiche:<br />
• Dokumentenschutz<br />
• Informationsübermittlung<br />
• Zugriffsbeschränkungen<br />
• Sichere Datenspeicherung<br />
• Papierausgabekontrolle<br />
19
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Dokumentenschutz<br />
Ursachen von Sicherheitsverstößen<br />
Sicheres Wasserzeichen<br />
Das sichere Wasserzeichen ist ein kaum sichtbarer Text, <strong>de</strong>r beim Drucken<br />
von Dokumenten in diese eingebettet wird. Beim Kopieren solcher<br />
Dokumente wird das Wasserzeichen verdunkelt und ist so <strong>de</strong>utlicher<br />
sichtbar. Dies ist eine sichtbare Abschreckung vor Sicherheitsverstößen<br />
durch das unbefugte Kopieren vertraulicher Informationen, wie<br />
persönlichen Daten, Zertifikaten usw.<br />
eCopy File Encryption<br />
Diese Funktion zur Dateiverschlüsselung ist Bestandteil aller Editionen von<br />
eCopy ShareScan ® .<br />
Mit <strong>de</strong>r 128-Bit-Dateiverschlüsselung von eCopy ShareScan können<br />
Anwen<strong>de</strong>r gescannte Informationen verschlüsseln (nur PDFs), sodass zum<br />
Öffnen ein Kennwort erfor<strong>de</strong>rlich ist. Länge und Art <strong>de</strong>s Kennworts können<br />
an Richtlinien für sichere Kennwörter angepasst wer<strong>de</strong>n. Die<br />
Dateiverschlüsselung kann für Endanwen<strong>de</strong>r als obligatorische o<strong>de</strong>r<br />
optionale Funktion konfiguriert wer<strong>de</strong>n. Außer<strong>de</strong>m kann sie je Konnektor<br />
für je<strong>de</strong> Verbindung mit Backend-Systemen eingerichtet wer<strong>de</strong>n.<br />
Dateinutzung<br />
Mit <strong>de</strong>r ShareScan-Dateiverschlüsselung können Anwen<strong>de</strong>r Kennwörter für<br />
PDF-Dokumente einrichten, um das Öffnen, Bearbeiten o<strong>de</strong>r Drucken eines<br />
gescannten Dokuments einzuschränken.<br />
Der Empfänger <strong>de</strong>r PDF-Datei kann diese Aktionen nur nach Eingabe <strong>de</strong>s<br />
entsprechen<strong>de</strong>n Kennworts durchführen.<br />
20
Vertraulichkeit<br />
Dokumentenschutz<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Geeignete Kontrollmechanismen schützen<br />
die Informationen in einem Dokument.<br />
PDF-Verschlüsselung<br />
Bei <strong>de</strong>r PDF-Verschlüsselung wird das gescannte Bild in einer PDF-Datei vor<br />
<strong>de</strong>r Übermittlung vom System verschlüsselt. Diese Funktion ist kompatibel<br />
mit Adobe Acrobat-Standards. Ein Server ist für die Verschlüsselung nicht<br />
erfor<strong>de</strong>rlich. Verschlüsselte PDFs können nur nach Eingabe eines<br />
Kennworts mit 128-Bit-Verschlüsselung gedruckt und exportiert wer<strong>de</strong>n.<br />
Adobe LifeCycle Rights<br />
Management ES-Integration<br />
Mit Adobe LifeCycle Rights Management ES-Integration können Anwen<strong>de</strong>r<br />
PDF-Dateien absichern und permanente sowie dynamische Richtlinien auf<br />
sie anwen<strong>de</strong>n, um ihre Vertraulichkeit zu gewährleisten, ihre Nutzung zu<br />
kontrollieren und ihre Verfügbarkeit zu verwalten. Über <strong>de</strong>taillierte<br />
Protokolle können Anwen<strong>de</strong>r genau überwachen, wann und wie oft diese<br />
Dateien aufgerufen wer<strong>de</strong>n. Der Server erlaubt Anwen<strong>de</strong>rn, Zugriff und<br />
Berechtigungen zu kontrollieren und so wertvolle vertrauliche<br />
Informationen vor versehentlicher o<strong>de</strong>r böswilliger Offenlegung zu<br />
schützen.<br />
Da Sicherheitsrichtlinien auf <strong>de</strong>m Server gepflegt wer<strong>de</strong>n, können<br />
Anwen<strong>de</strong>r Berechtigungen auch dann noch än<strong>de</strong>rn, wenn die Datei bereits<br />
weitergegeben wur<strong>de</strong>.<br />
Damit diese Funktionalität genutzt wer<strong>de</strong>n kann, müssen Adobe LifeCycle<br />
Rights Management ES-Server und -Software installiert sein. Außer<strong>de</strong>m<br />
muss ein System <strong>de</strong>r imageRUNNER ADVANCE-Serie über Internet o<strong>de</strong>r<br />
Intranet mit diesem Server verbun<strong>de</strong>n sein.<br />
21
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Document Scan Track & Lock<br />
Mit dieser optionalen Funktion kann ein Co<strong>de</strong> zum Sperren und<br />
Nachverfolgen in gedruckte Dokumente eingebettet wer<strong>de</strong>n, um<br />
unberechtigtes Kopieren, Sen<strong>de</strong>n und Faxen dieser Dokumente zu<br />
verhin<strong>de</strong>rn und <strong>de</strong>ren Ursprung nachzuvollziehen. So können wichtige<br />
Dokumente mit Sicherheitsbeschränkungen versehen wer<strong>de</strong>n, die wirksam<br />
<strong>de</strong>ren Weitergabe an Unbefugte unterbin<strong>de</strong>n. Anhand <strong>de</strong>r eingebetteten<br />
Informationen darüber, wer was an welchem System kopiert/gedruckt hat,<br />
können bei Dokumenten, die am System vergessen wur<strong>de</strong>n, sowohl die<br />
Person, die unberechtigte Kopien davon erstellt hat, als auch <strong>de</strong>r<br />
Eigentümer <strong>de</strong>s Dokuments ermittelt wer<strong>de</strong>n.<br />
22<br />
Hinweis: Diese Funktion ist nur bei ausgewählten imageRUNNER ADVANCE-Systemen<br />
verfügbar.
Vertraulichkeit<br />
Dokumentenschutz<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Dokumentenschutz<br />
Mit <strong>de</strong>m iW Desktop Print Publishing Tool können <strong>Sie</strong> Druckaufträge als<br />
PDF exportieren und die Datei mit einem Kennwort schützen. Die<br />
128-Bit-Verschlüsselung sorgt dafür, dass nur berechtigte Personen <strong>de</strong>n<br />
Inhalt einsehen können. Diese Funktion ist vor allem für die Weitergabe<br />
vertraulicher Informationen an eine größere Zielgruppe nützlich.<br />
23
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Informationsübermittlung<br />
Verschlüsselte Druckausgabe<br />
Bei <strong>de</strong>r verschlüsselten Druckausgabe wird <strong>de</strong>r Druckauftrag vom PC an<br />
<strong>de</strong>n MFP verschlüsselt übermittelt.<br />
Damit die Druckdaten verschlüsselt wer<strong>de</strong>n können, sind ein Plug-in für<br />
<strong>de</strong>n Druckertreiber und die Aktivierung <strong>de</strong>r Funktion am System<br />
erfor<strong>de</strong>rlich.<br />
eCopy Network Communication Encryption<br />
Bestandteil aller Editionen von eCopy ShareScan<br />
Der Netzwerkverkehr zwischen MFP und ShareScan-Server wird über HTTPS<br />
verschlüsselt. Diese Standar<strong>de</strong>instellung kann vom Anwen<strong>de</strong>r nicht<br />
geän<strong>de</strong>rt wer<strong>de</strong>n.<br />
IPsec Board<br />
Mit <strong>de</strong>m optionalen IPsec Board kann die Sicherheit vertraulicher<br />
Informationen durch Verschlüsselung <strong>de</strong>r IP-Kommunikation über das<br />
Netzwerk gewährleistet wer<strong>de</strong>n.<br />
Was ist IPsec<br />
IPsec steht für „Internet Protocol security“. Es han<strong>de</strong>lt sich dabei um eine<br />
Suite von Netzwerkprotokollen zur Absicherung <strong>de</strong>s IP-Datenverkehrs durch<br />
Authentifizierung und/o<strong>de</strong>r Verschlüsselung einzelner IP-Pakete in einem<br />
Datenstrom. Ebenfalls enthalten sind Protokolle für die Einrichtung<br />
kryptografischer Schlüssel. Der Datenverkehr wird so verschlüsselt, dass er<br />
nur von <strong>de</strong>n jeweiligen Empfängern gelesen wer<strong>de</strong>n kann, eine<br />
Modifizierung <strong>de</strong>s Datenstroms von einem vertrauenswürdigen Absen<strong>de</strong>r<br />
während <strong>de</strong>r Übermittlung verhin<strong>de</strong>rt wird und eine erneute Wie<strong>de</strong>rgabe<br />
<strong>de</strong>r sicheren Sitzung unmöglich ist.<br />
24
Vertraulichkeit<br />
Informationsübermittlung<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Sichere Übermittlung von Informationen<br />
über ein Netzwerk.<br />
Protokollkonfiguration<br />
Über die Protokollkonfiguration kann <strong>de</strong>r Administrator Netzwerkprotokolle<br />
aktivieren und <strong>de</strong>aktivieren.<br />
Dies betrifft die folgen<strong>de</strong>n Protokolle:<br />
TCP/IP<br />
SNTP<br />
AppleTalk<br />
FTP-Druck<br />
Novell (IPX)<br />
SSL<br />
Windows (SMB)<br />
IPP<br />
Dedizierter Canon-Port<br />
IPP(S)<br />
POP<br />
HTTP<br />
SNMP<br />
HTTP(S)<br />
Für alle Mo<strong>de</strong>lle <strong>de</strong>r imageRUNNER ADVANCE-Serie und imageRUNNER<br />
32xx-Serie<br />
SSL-Zertifikate<br />
Mit SSL-Zertifikaten wer<strong>de</strong>n HTTPS-Funktionen auf <strong>de</strong>m MFP aktiviert.<br />
Von einer Zertifizierungsstelle ausgestellte SSL-Zertifikate können registriert<br />
wer<strong>de</strong>n, o<strong>de</strong>r <strong>Sie</strong> können ein selbst signiertes Zertifikat auf <strong>de</strong>m System<br />
generieren.<br />
Dies ermöglicht die sichere Übermittlung von Informationen über die<br />
Remote-Benutzeroberfläche o<strong>de</strong>r MEAP-Anwendungen auf <strong>de</strong>m MFP.<br />
IP- und MAC-Adressenfilterung<br />
Über die IP- und MAC-Adressenfilterung können Anwen<strong>de</strong>r bestimmte IPo<strong>de</strong>r<br />
MAC-Adressen blockieren o<strong>de</strong>r zulassen. Zum Beispiel kann <strong>de</strong>r<br />
Netzwerkadministrator festlegen, dass nur ein bestimmter Druckserver auf<br />
<strong>de</strong>n MFP zugreifen darf. Dazu muss <strong>de</strong>r MFP so eingerichtet wer<strong>de</strong>n, dass<br />
er nur Verbindungsanfragen von <strong>de</strong>r IP- o<strong>de</strong>r MAC-Adresse <strong>de</strong>s<br />
Druckservers akzeptiert und alle übrigen eingehen<strong>de</strong>n Verbindungen<br />
blockiert.<br />
25
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Zugriffsbeschränkungen<br />
uniFLOW Login Manager<br />
Optionales Modul für alle Editionen von uniFLOW.<br />
(Je<strong>de</strong> uniFLOW-Edition umfasst 1 beliebiges Gratis-Modul.)<br />
Der uniFLOW Login Manager sorgt dafür, dass nur<br />
berechtigte Anwen<strong>de</strong>r auf Druckdokumente in<br />
Warteschlangen o<strong>de</strong>r einem zentralen Dokumentenarchiv<br />
zugreifen können.<br />
Mit uniFLOW Login Manager ist Folgen<strong>de</strong>s möglich:<br />
• Anmeldung beim MEAP-fähigen MFP<br />
• Auswahl einer Kostenstelle über das Bedienfeld <strong>de</strong>s MFP<br />
• sicheres Speichern von Anwen<strong>de</strong>rdaten (Benutzername<br />
und E-Mail-Adresse), sodass an<strong>de</strong>re Anwendungen auf<br />
<strong>de</strong>m System darauf zugreifen können<br />
MEAP-Anwendung<br />
Auf <strong>de</strong>m MFP-Bedienfeld wer<strong>de</strong>n <strong>de</strong>m Anwen<strong>de</strong>r<br />
Informationen direkt angezeigt. Anwen<strong>de</strong>r müssen also<br />
nicht zu einem „Add-on“-Gerät eines an<strong>de</strong>ren Herstellers<br />
neben <strong>de</strong>m MFP wechseln.<br />
Mit <strong>de</strong>r MEAP-Anwendung ist Folgen<strong>de</strong>s möglich:<br />
• Auswahl und Druckfreigabe von Aufträgen direkt aus <strong>de</strong>r<br />
eigenen sicheren Warteschlange <strong>de</strong>s Anwen<strong>de</strong>rs<br />
• Auswahl und Druckfreigabe von Aufträgen direkt aus einer<br />
sicheren Gruppenwarteschlange<br />
• Auswahl von Aufträgen direkt aus einem zentralen<br />
Dokumentenarchiv, z. B. offizielle interne<br />
Unternehmensdokumente o<strong>de</strong>r Formulare<br />
Anmel<strong>de</strong>metho<strong>de</strong>n<br />
uniFLOW bietet verschie<strong>de</strong>ne Möglichkeiten zur Anmeldung<br />
beim MFP:<br />
• Eingabe eines numerischen (z. B. PIN-Co<strong>de</strong>) o<strong>de</strong>r<br />
alphanumerischen (z. B. Kostenstelle) Co<strong>de</strong>s<br />
• Chipkarte<br />
• Transpon<strong>de</strong>rkarte<br />
• Fingerabdruck<br />
Security & Cost Control Pack proximity<br />
cardauthentication<br />
Das Security & Cost Control Pack für Canon MEAP-Systeme<br />
bietet sicheren Zugriff auf das System sowie auf<br />
Druckaufträge über PIN-Co<strong>de</strong>, Benutzername und Kennwort<br />
o<strong>de</strong>r sogar Transpon<strong>de</strong>rkarte.<br />
Beachten <strong>Sie</strong>, dass das Security & Cost Control Pack nur<br />
HID-Transpon<strong>de</strong>rkarten <strong>de</strong>s Typs Canon MiCard 2<br />
unterstützt. uniFLOW unterstützt viele weitere Typen. Das<br />
Security & Cost Control Pack ist eine kostengünstige Lösung,<br />
die sich vor allem für kleine Unternehmen mit bis zu 5 MFPs<br />
und 50 Anwen<strong>de</strong>rn eignet. Größere Unternehmen müssen<br />
die skalierbare uniFLOW-Lösung verwen<strong>de</strong>n.<br />
26
Vertraulichkeit<br />
ZUGRIFFSBESCHRÄNKUNGEN<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Kontrollierter Zugriff auf die<br />
Plattform.<br />
Document Scan Track & Lock<br />
Mit dieser optionalen Funktion kann ein Co<strong>de</strong> zum Sperren und Nachverfolgen<br />
in gedruckte Dokumente eingebettet wer<strong>de</strong>n, um unberechtigtes Kopieren,<br />
Sen<strong>de</strong>n und Faxen dieser Dokumente zu verhin<strong>de</strong>rn und <strong>de</strong>ren Ursprung<br />
nachzuvollziehen.<br />
So können wichtige Dokumente mit Sicherheitsbeschränkungen versehen<br />
wer<strong>de</strong>n, die wirksam <strong>de</strong>ren Weitergabe per E-Mail o<strong>de</strong>r Fax an Unbefugte<br />
unterbin<strong>de</strong>n. Anhand <strong>de</strong>r eingebetteten Informationen darüber, wer was an<br />
welchem System kopiert/gedruckt hat, können bei Dokumenten, die am System<br />
vergessen wur<strong>de</strong>n, sowohl die Person, die unberechtigte Kopien davon erstellt<br />
hat, als auch <strong>de</strong>r Eigentümer <strong>de</strong>s Dokuments ermittelt wer<strong>de</strong>n.<br />
Hinweis: Diese Funktion ist nur bei ausgewählten imageRUNNER ADVANCE-Systemen<br />
verfügbar.<br />
27
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Therefore Access Rights For Documents<br />
Bestandteil aller Editionen von Therefore <br />
Zugriffsrechte können auf die meisten Bereiche eines Systems angewen<strong>de</strong>t<br />
wer<strong>de</strong>n, um festzulegen, wer welche Dokumente auflisten, öffnen,<br />
bearbeiten, kommentieren und drucken darf.<br />
Active Directory-Integration<br />
Therefore wird in die Netzwerkstruktur <strong>de</strong>s Kun<strong>de</strong>n eingebun<strong>de</strong>n, sodass<br />
vorhan<strong>de</strong>ne Sicherheitsrichtlinien angewen<strong>de</strong>t wer<strong>de</strong>n können. Die<br />
Sicherheitsadministration geschieht in <strong>de</strong>r Regel durch die Verwaltung von<br />
Gruppenmitgliedschaften in Active Directory.<br />
Rights Server<br />
Rights Server ist eine Schnittstelle, die mithilfe <strong>de</strong>r Therefore API/Developer<br />
Edition implementiert wird. <strong>Sie</strong> erlaubt Kun<strong>de</strong>n die Anwendung<br />
individueller Zugriffsrechte anhand bestehen<strong>de</strong>r Geschäftsprozesse.<br />
Beispiel:<br />
Delegierungsfunktionen – Anwen<strong>de</strong>rin A ist nicht im Büro, und<br />
Anwen<strong>de</strong>r B soll während ihrer Abwesenheit alle normalen<br />
Berechtigungen von Anwen<strong>de</strong>rin A erhalten.<br />
Ein Kun<strong>de</strong> verfügt über eine spezielle Zugriffstabelle, die festlegt,<br />
welcher Mitarbeiter/Anwen<strong>de</strong>r auf Dokumente von welchem Klienten<br />
zugreifen darf, z. B.: Mitarbeiterin A hat Zugriff auf Dokumente zu<br />
Klienten 1, 2 und 3; Mitarbeiter B verwaltet Klienten 4 und 5 und<br />
darf <strong>de</strong>ren Dokumente einsehen. In Abwesenheit von Mitarbeiterin A<br />
erhält Mitarbeiter B Zugriff auf alle Dokumente, die sich auf Klienten<br />
1, 2, 3, 4 und 5 beziehen.<br />
28
Vertraulichkeit<br />
ZUGRIFFSBESCHRÄNKUNGEN<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
iW Document Server Login – Zugriffsberechtigungen<br />
Zugriffsberechtigungen können für alle Kun<strong>de</strong>ndaten über Access<br />
Control List (ACL) festgelegt wer<strong>de</strong>n. Nur Administratoren können die<br />
Einstellungen für diese Berechtigungen än<strong>de</strong>rn. Dazu zählen: Vollzugriff,<br />
Bearbeiten, Aktualisieren und Anzeigen.<br />
Der Benutzerzugriff kann lokal o<strong>de</strong>r über Active Directory verwaltet wer<strong>de</strong>n.<br />
iW Document Server verwen<strong>de</strong>t Windows Internal Database (SQL Server<br />
Embed<strong>de</strong>d Edition) SQL Server 2005/SQL Server 2008.<br />
29
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Abteilungs-IDs, SSO, SDL, S&CCP<br />
Abteilungs-IDs<br />
Abteilungs-IDs können auf <strong>de</strong>m MFP aktiviert wer<strong>de</strong>n. Der<br />
Anwen<strong>de</strong>r gibt seine Abteilungs-ID mit <strong>de</strong>m<br />
entsprechen<strong>de</strong>n Kennwort ein und darf drucken, kopieren,<br />
faxen o<strong>de</strong>r scannen. Ohne ID und Kennwort stehen diese<br />
Funktionen nicht zur Verfügung.<br />
Abteilungs-IDs können verschie<strong>de</strong>ne Zugriffsebenen<br />
zugewiesen wer<strong>de</strong>n. So dürfen z. B. Mitarbeiter einer<br />
Abteilung in Farbe kopieren und drucken, während einer<br />
an<strong>de</strong>ren Abteilung nur die Funktion zum Kopieren in<br />
Schwarzweiß zur Verfügung steht.<br />
Mithilfe von Nutzungslimits kann die Nutzung bestimmter<br />
MFP-Funktionen nach Abteilungs-ID kontrolliert wer<strong>de</strong>n. Für<br />
folgen<strong>de</strong> Funktionen können unterschiedliche Limits<br />
festgelegt wer<strong>de</strong>n:<br />
• Drucke insgesamt<br />
• Kopieren<br />
• Scannen<br />
• Drucken<br />
Bei Bedarf kann zu<strong>de</strong>m eine <strong>de</strong>taillierte Nutzungsübersicht<br />
ausgedruckt wer<strong>de</strong>n.<br />
Damit die Nutzung von SSO möglich ist, muss auf einem<br />
Server ein Sicherheitsagent installiert wer<strong>de</strong>n, <strong>de</strong>r als<br />
Schnittstelle zwischen <strong>de</strong>n MFPs und Active Directory<br />
fungiert.<br />
SSO-H<br />
SSO-H ist eine Anwendung zur Anmeldung, die einen<br />
Anwen<strong>de</strong>r entwe<strong>de</strong>r mit einem Domänencontroller in einer<br />
Active Directory-Umgebung o<strong>de</strong>r mit einer Datenbank auf<br />
<strong>de</strong>m lokalen System authentifiziert. SSO-H sperrt das<br />
System, bis <strong>de</strong>r Anwen<strong>de</strong>r authentifiziert wur<strong>de</strong>. Der<br />
Hauptunterschied zu SSO besteht darin, dass für SSO-H kein<br />
Sicherheitsagent mehr erfor<strong>de</strong>rlich ist.<br />
Simple Device Login (SDL)<br />
Wenn Active Directory nicht verfügbar ist, können Anwen<strong>de</strong>r<br />
sich mithilfe von SDL am Canon-Multifunktionssystem<br />
anmel<strong>de</strong>n. Bei SDL sind die Benutzerlisten auf <strong>de</strong>m System<br />
selbst gespeichert, statt in einem zentralen Verzeichnis auf<br />
<strong>de</strong>m Server. Anwen<strong>de</strong>r und Gruppen können mit<br />
Abteilungs-IDs verknüpft wer<strong>de</strong>n, um eine zentrale<br />
Nutzungskontrolle zu ermöglichen. Die Daten zur<br />
Anwen<strong>de</strong>rverwaltung über SDL wer<strong>de</strong>n entwe<strong>de</strong>r über einen<br />
Webbrowser direkt eingetragen o<strong>de</strong>r können aus einer<br />
Textdatei importiert wer<strong>de</strong>n.<br />
Einmalige Anmeldung (SSO)<br />
Mithilfe <strong>de</strong>r einmaligen Anmeldung kann die<br />
Systemsicherheit weiter verbessert wer<strong>de</strong>n. Durch die<br />
Eingabe von Netzwerkbenutzername und Kennwort<br />
erhalten Anwen<strong>de</strong>r Zugriff auf sämtliche Funktionen <strong>de</strong>s<br />
Multifunktionssystems (Funktionen können einzeln<br />
kontrolliert wer<strong>de</strong>n).<br />
Durch die Verbindung mit Active Directory wird<br />
gewährleistet, dass nur beim Netzwerk angemel<strong>de</strong>te<br />
Benutzer auch auf <strong>de</strong>n MFP zugreifen können.<br />
Der Vorteil ist, dass je<strong>de</strong> Än<strong>de</strong>rung in Active Directory durch<br />
die IT-Abteilung sofort auch auf <strong>de</strong>m MFP verfügbar ist,<br />
sodass im gesamten Netzwerk die gleichen Berechtigungen<br />
gelten.<br />
30
Vertraulichkeit<br />
ZUGRIFFSBESCHRÄNKUNGEN<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
IEEE 802.1X<br />
Der 802.1X-Standard ermöglicht die Authentifizierung von Systemen, die<br />
über einen LAN-Port angebun<strong>de</strong>n sind, und stellt die direkte Verbindung<br />
her bzw. verhin<strong>de</strong>rt diese, wenn die Authentifizierung fehlschlägt.<br />
31
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Sichere Datenspeicherung<br />
uniFLOW Encrypt Job Name<br />
Bestandteil aller Editionen von uniFLOW<br />
Encrypt Job Name in Systemprotokollen<br />
Namen von Druckaufträgen sind normalerweise in freigegebenen<br />
Druckwarteschlangen sichtbar. In <strong>de</strong>r Regel wird ein Sicherheitskit auf das<br />
System angewen<strong>de</strong>t, um die Protokolle vollständig auszublen<strong>de</strong>n. Dadurch<br />
wird jedoch in <strong>de</strong>n meisten Umgebungen die Kostenabrechnung<br />
<strong>de</strong>aktiviert.<br />
Die Encrypt Job Name-Funktion ersetzt Auftrags- und Benutzername eines<br />
Druckauftrags durch eine von uniFLOW generierte ID. Die<br />
Druckauftragsnamen sind nicht mehr in <strong>de</strong>n Geräteprotokollen<br />
i<strong>de</strong>ntifizierbar, sodass die Auftragsprotokolle nicht verborgen wer<strong>de</strong>n<br />
müssen.<br />
Verfrem<strong>de</strong>n von Auftragsnamen<br />
Eine weitere Möglichkeit ist die Verfremdung von Auftragsnamen, um so<br />
Rückschlüsse auf <strong>de</strong>n Dokumentinhalt anhand <strong>de</strong>s Auftragsnamens in<br />
einer sicheren Warteschlange o<strong>de</strong>r Auftragsprofilwarteschlange im Spooler<br />
zu verhin<strong>de</strong>rn. Die verfrem<strong>de</strong>ten Auftragsnamen können nur vom<br />
uniFLOW-System erkannt und zugeordnet wer<strong>de</strong>n.<br />
eCopy Secure File Deletion<br />
Bestandteil aller Editionen von eCopy ShareScan<br />
Mit <strong>de</strong>r Secure File Deletion-Funktion von eCopy ShareScan wer<strong>de</strong>n alle<br />
temporären Dateien auf <strong>de</strong>m Server gelöscht und dreifach überschrieben.<br />
Dadurch wird die Wie<strong>de</strong>rherstellung von Dateien mit entsprechen<strong>de</strong>n<br />
Hilfsprogrammen verhin<strong>de</strong>rt.<br />
Diese Funktion entspricht <strong>de</strong>n Anfor<strong>de</strong>rungen <strong>de</strong>s US-<br />
Verteidigungsministeriums.<br />
Wechselfestplatte<br />
Mit <strong>de</strong>m optionalen Wechselfestplatten-Kit kann eine Festplatte entfernt<br />
wer<strong>de</strong>n, um sie an einem sicheren Standort zu lagern. Der Aus- und<br />
Wie<strong>de</strong>reinbau <strong>de</strong>r Festplatte geschieht einfach und sicher. Nach <strong>de</strong>r<br />
Installation kann das Kit mit einem Vorhängeschloss gesichert wer<strong>de</strong>n.<br />
32
Vertraulichkeit<br />
Sichere Datenspeicherung<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Geeignete Kontrollmechanismen<br />
schützen die Plattform-Daten.<br />
Trusted Platform Module<br />
Das Trusted Platform Module (TPM) ist ein offenen Standards<br />
entsprechen<strong>de</strong>r Sicherheits-Chip, <strong>de</strong>r als manipulationssicherer Speicher<br />
für hoch vertrauliche Daten fungiert. Millionen von Notebooks und Desktop-<br />
Rechnern wer<strong>de</strong>n mit TPM-Chips ausgeliefert. <strong>Sie</strong> helfen Unternehmen,<br />
sich wirkungsvoll gegen physische Angriffe zur Wehr zu setzen.<br />
Nach Aktivierung <strong>de</strong>s TPM-Chips schützt dieser das System vor physischen<br />
Angriffen. Wird <strong>de</strong>r Chip aus <strong>de</strong>m System entfernt, kann es nicht gestartet<br />
wer<strong>de</strong>n – das ist Sicherheit auf höchster Ebene.<br />
Mit <strong>de</strong>m TPM können Kennwörter, Zertifikate, IDs und Kryptografie-<br />
Schlüssel verschlüsselt wer<strong>de</strong>n. Codierte Daten können auf <strong>de</strong>r Hardware<br />
von Kennwörtern, Zertifikaten, IDs und Kryptografie-Schlüsseln auf <strong>de</strong>m<br />
TPM-Chip getrennt wer<strong>de</strong>n.<br />
Festplattenlöschung<br />
Das optionale HDD Data Erase Kit sorgt für zusätzliche Datensicherheit. Mit<br />
<strong>de</strong>m Kit wer<strong>de</strong>n automatisch Druckbilddaten überschrieben und gelöscht,<br />
sobald <strong>de</strong>r Auftrag abgeschlossen ist. So bleiben keine Spuren <strong>de</strong>r Daten<br />
auf <strong>de</strong>r Festplatte zurück.<br />
Je nach Einstellung durch <strong>de</strong>n Systemadministrator wer<strong>de</strong>n Daten bis zu<br />
drei Mal mit zufälligen Zeichen überschrieben, um maximale Sicherheit zu<br />
erreichen. Außer<strong>de</strong>m ist die einfache Überschreibung mit Nulldaten o<strong>de</strong>r<br />
zufälligen Daten möglich.<br />
33
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Hard Disk Data Erase Kit<br />
Mit <strong>de</strong>m Hard Disk Data Erase Kit können nicht mehr benötigte Daten<br />
permanent von <strong>de</strong>r Festplatte gelöscht wer<strong>de</strong>n.<br />
System Datenlöschung Datenverschlüsselung<br />
iR32xx-Serie Data Erase Kit C1 HDD Data Encryption Kit B5**<br />
imageRUNNER 6000-Series Data Erase Kit C1 HDD Data Encryption & Mirroring Kit C2*<br />
imageRUNNER 8000-Series Data Erase Kit C1 HDD Data Encryption & Mirroring Kit C2*<br />
imageRUNNER ADV C2000-Serie Data Erase Kit C1 HDD Data Encryption Kit C3*<br />
imageRUNNER ADV C5000-Serie Data Erase Kit C1 HDD Data Encryption & Mirroring Kit C1*<br />
imageRUNNER ADV C7000-Serie Data Erase Kit C1 HDD Data Encryption & Mirroring Kit C1*<br />
imageRUNNER ADV C9000-Serie Data Erase Kit C1 HDD Data Encryption & Mirroring Kit C1*<br />
*Umfasst „Canon MFP Security Kit 2.00“; entspricht Common Criteria, Stufe EAL3<br />
**Umfasst „Canon MFP Security Kit 1.50“; entspricht Common Criteria, Stufe EAL3<br />
34
Vertraulichkeit<br />
Sichere Datenspeicherung<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Job Log Conceal<br />
Mit dieser Funktion können <strong>Sie</strong> die Details zu kürzlich verarbeiteten<br />
Druckaufträgen ausblen<strong>de</strong>n, z. B. Auftragsname, -typ und -datum.<br />
Hard Disk Data Encryption Kit<br />
Das Hard Disk Data Encryption Kit kann auf <strong>de</strong>m MFP angewen<strong>de</strong>t wer<strong>de</strong>n,<br />
um dafür zu sorgen, dass die Daten auf <strong>de</strong>r Festplatte sicher verschlüsselt<br />
sind. Das HDD Data Encryption Kit enthält <strong>de</strong>n Canon MFP Security<br />
Chip 1.0/1.5/2.0, <strong>de</strong>r nach ISO15408 (Common Criteria) zertifiziert ist.<br />
35
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Papierausgabekontrolle<br />
uniFLOW Secure Printing (einschl.<br />
MyPrintAnywhere)<br />
Optionales Modul für alle Editionen von uniFLOW. (Je<strong>de</strong><br />
uniFLOW-Edition umfasst 1 frei wählbares Gratis-Modul.)<br />
Mit uniFLOW Secure Printing können Anwen<strong>de</strong>r die<br />
Ausgabe vertraulicher Dokumente sicher kontrollieren.<br />
Druckaufträge wer<strong>de</strong>n auf <strong>de</strong>m Server gespeichert und<br />
können nach erfolgreicher Anmeldung am MFP abgerufen<br />
wer<strong>de</strong>n. Ohne eine Metho<strong>de</strong> zur Anmeldung am MFP ist<br />
diese Funktion nicht verfügbar.<br />
Es gibt verschie<strong>de</strong>ne Konfigurationen für<br />
unterschiedliche Anfor<strong>de</strong>rungen:<br />
1. Device Centric Secure Printing: Der Anwen<strong>de</strong>r druckt die<br />
Dokumente von seinem PC aus. Die Druckaufträge<br />
wer<strong>de</strong>n auf <strong>de</strong>m Server gespeichert und erst nach<br />
Authentifizierung <strong>de</strong>s Anwen<strong>de</strong>rs am MFP freigegeben.<br />
2. MyPrintAnywhere Secure Printing: Der Anwen<strong>de</strong>r druckt<br />
die Dokumente von seinem PC aus. Die Druckaufträge<br />
wer<strong>de</strong>n auf <strong>de</strong>m Server gespeichert. Der Server gibt die<br />
Druckaufträge an je<strong>de</strong>n MFP frei, an <strong>de</strong>m <strong>de</strong>r Benutzer<br />
sich erfolgreich angemel<strong>de</strong>t hat.<br />
Anmel<strong>de</strong>metho<strong>de</strong>n<br />
uniFLOW bietet verschie<strong>de</strong>ne Möglichkeiten zur Anmeldung<br />
am MFP:<br />
• Eingabe eines numerischen (z. B. PIN-Co<strong>de</strong>) o<strong>de</strong>r<br />
alphanumerischen (z. B. Kostenstelle) Co<strong>de</strong>s<br />
• Chipkarte<br />
• Transpon<strong>de</strong>rkarte<br />
• Fingerabdruck<br />
MicroMIND- und MiCard-I<strong>de</strong>ntifikationssysteme wer<strong>de</strong>n per<br />
USB an das MFP angeschlossen und benötigen daher keine<br />
zusätzliche IP-Adresse. Dadurch wer<strong>de</strong>n die möglichen<br />
Angriffspunkte im Netzwerk reduziert.<br />
uniFLOW bietet umfangreiche Konfigurationsmöglichkeiten<br />
für Administratoren, um das System problemlos in<br />
vorhan<strong>de</strong>ne Kun<strong>de</strong>numgebungen einbin<strong>de</strong>n zu können.<br />
uniFLOW kann außer<strong>de</strong>m beliebig angepasst wer<strong>de</strong>n. Alle<br />
neuen Geräte, Metho<strong>de</strong>n und Systeme zur Authentifizierung<br />
können auf Projektbasis schnell und einfach integriert<br />
wer<strong>de</strong>n.<br />
36
Vertraulichkeit<br />
PAPIERAUSGABEKONTROLLE<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Verwaltung <strong>de</strong>s Zugriffs auf gedruckte<br />
Informationen.<br />
iR Secure Printing<br />
Mit iR Secure Printing kann <strong>de</strong>r Anwen<strong>de</strong>r beim Drucken am PC im<br />
Druckertreiber ein numerisches Kennwort festlegen. Damit das Dokument<br />
gedruckt wer<strong>de</strong>n kann, muss <strong>de</strong>r Anwen<strong>de</strong>r dieses Kennwort am<br />
Drucksystem selbst eingeben.<br />
iR Secure Mailbox<br />
Mit iR Secure Mailbox druckt <strong>de</strong>r Anwen<strong>de</strong>r das Dokument in einen<br />
Speicherbereich (Mailbox) auf <strong>de</strong>m Drucksystem. Die Mailbox ist<br />
kennwortgeschützt (durch <strong>de</strong>n Anwen<strong>de</strong>r) und <strong>de</strong>r Anwen<strong>de</strong>r kann durch<br />
Eingabe <strong>de</strong>s Kennworts am System auf die Druckaufträge zugreifen.<br />
37
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Security & Cost Control Pack<br />
Serverless Secure Printing<br />
Das Security & Cost Control Pack für Canon MEAP-Systeme umfasst die<br />
MyPrintAnywhere Secure Printing-Lösung, mit <strong>de</strong>r Anwen<strong>de</strong>r auch ohne<br />
Server von einem beliebigen MEAP-System sicher drucken können.<br />
Durch die Authentifizierung über Transpon<strong>de</strong>rkarten ist ein schneller<br />
und sicherer Zugriff auf das System möglich.<br />
Das Security & Cost Control Pack ist eine kostengünstige Lösung, die<br />
sich vor allem für kleine Unternehmen mit bis zu 5 MFPs und<br />
50 Anwen<strong>de</strong>rn eignet. Größere Unternehmen müssen die skalierbare<br />
uniFLOW-Lösung verwen<strong>de</strong>n.<br />
38
Vertraulichkeit<br />
PAPIERAUSGABEKONTROLLE<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
5 Kernpunkte zum<br />
Thema Vertraulichkeit<br />
• Gescannte Dokumente und PDFs<br />
können verschlüsselt wer<strong>de</strong>n,<br />
um <strong>de</strong>n unbefugten Zugriff zu<br />
verhin<strong>de</strong>rn.<br />
• IPsec sorgt für sichere IP-<br />
Kommunikation beim Übermitteln<br />
von Daten zwischen Systemen im<br />
Netzwerk.<br />
• Canon uniFLOW macht eine<br />
Authentifizierung von Anwen<strong>de</strong>rn<br />
an Systemen erfor<strong>de</strong>rlich, um<br />
<strong>de</strong>n unbefugten Zugriff auf<br />
Informationen zu verhin<strong>de</strong>rn.<br />
• Festplatten können für die<br />
sofortige Datenlöschung<br />
konfiguriert und zur sicheren<br />
Lagerung aus <strong>de</strong>m System<br />
entfernt wer<strong>de</strong>n.<br />
• Das Security & Cost Control Pack<br />
enthält MyPrintAnywhere, mit<br />
<strong>de</strong>m Drucke sicher an einem<br />
beliebigen Netzwerkdrucksystem<br />
abgerufen wer<strong>de</strong>n können.<br />
39
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Was ist<br />
Integrität<br />
Integrität be<strong>de</strong>utet, dass Informationen nicht ohne<br />
entsprechen<strong>de</strong> Autorisierung geän<strong>de</strong>rt o<strong>de</strong>r gelöscht<br />
wer<strong>de</strong>n können und so je<strong>de</strong>rzeit <strong>de</strong>m ursprünglichen<br />
Format entsprechen. Mit zunehmen<strong>de</strong>r Anzahl digitaler<br />
Dokumente müssen Unternehmen die Integrität effektiv<br />
verwalten.<br />
Dies wird angesichts zahlreicher Gesetzesvorschriften zur<br />
Gewährleistung <strong>de</strong>r Datenintegrität immer dringlicher.<br />
40
Denkanstöße<br />
• Ist Ihnen bekannt, dass <strong>Sie</strong><br />
mit einem Auditprotokoll<br />
sämtliche Aktivitäten von<br />
Drucksystemen überwachen<br />
können<br />
• Es gibt häufig<br />
Branchenanfor<strong>de</strong>rungen zum<br />
Umgang mit Dokumenten.<br />
Wie wird Ihr Unternehmen<br />
diesen Anfor<strong>de</strong>rungen<br />
gerecht<br />
• Müssen <strong>Sie</strong> mehrere<br />
Versionen von Dokumenten<br />
in <strong>Ihre</strong>r Datenbank<br />
aufbewahren<br />
• Wussten <strong>Sie</strong>, dass <strong>Sie</strong> je<strong>de</strong>m<br />
gescannten Dokument eine<br />
digitale Signatur hinzufügen<br />
und so <strong>de</strong>ssen unerwünschte<br />
Än<strong>de</strong>rung verhin<strong>de</strong>rn<br />
können<br />
Integrität<br />
Dies sind die Kernbereiche:<br />
• Dokumentenechtheit<br />
• Zugriffskontrolle<br />
• Nutzungskontrolle<br />
41
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Dokumentenechtheit<br />
Device Signature PDF<br />
Mit <strong>de</strong>m Device Signature PDF Kit können <strong>Sie</strong> je<strong>de</strong>r auf einem bestimmten<br />
MFP erstellten PDF eine systembasierte digitale Signatur zuweisen.<br />
Beim Scannen eines Dokuments wählt <strong>de</strong>r Anwen<strong>de</strong>r „Device Signature<br />
PDF“ als Dateityp aus. Das gescannte Dokument wird dann in eine<br />
PDF-Datei konvertiert und mit <strong>de</strong>r digitalen Systemsignatur versehen.<br />
Der Empfänger kann <strong>de</strong>r digitalen Systemsignatur die E-Mail-Adresse <strong>de</strong>s<br />
Absen<strong>de</strong>rs <strong>de</strong>r PDF entnehmen, welches System die Datei wann genau<br />
gesen<strong>de</strong>t hat und ob das Dokument geän<strong>de</strong>rt wur<strong>de</strong>.<br />
Die digitalen Zertifikate (von einer Zertifizierungsstelle wie VeriSign)<br />
können über die Remote-Benutzeroberfläche auf das Gerät gela<strong>de</strong>n<br />
wer<strong>de</strong>n.<br />
iW Desktop Digital Stamps<br />
signiert mit digitalen Zertifikaten<br />
Mit iW Desktop können Druckdaten- o<strong>de</strong>r PDF-Dokumente mit digitalen<br />
Stempeln versehen wer<strong>de</strong>n.<br />
Diese digitalen Stempel können digitalen Dokumenten im Rahmen eines<br />
elektronischen Genehmigungsprozesses angehängt wer<strong>de</strong>n. Die digitalen<br />
Stempel können mit einem digitalen Zertifikat signiert wer<strong>de</strong>n, um die<br />
Authentizität <strong>de</strong>r Anmerkung bzw. <strong>de</strong>s digitalen Stempels zu bestätigen.<br />
iW Desktop unterstützt digitale Zertifikate, die von Windows Server 2003/<br />
Windows Server 2008 ausgestellt wur<strong>de</strong>n, sowie digitale<br />
VeriSign-Zertifikate.<br />
Digital User Signature PDF Kit<br />
Mit <strong>de</strong>m Digital User Signature PDF Kit können <strong>Sie</strong> je<strong>de</strong>r auf einem<br />
bestimmten MFP erstellten PDF eine anwen<strong>de</strong>rbasierte digitale Signatur<br />
zuweisen.<br />
Beim Scannen eines Dokuments wählt <strong>de</strong>r Anwen<strong>de</strong>r „User Signature PDF“<br />
als Dateityp aus. Das gescannte Dokument wird dann in eine PDF-Datei<br />
konvertiert und mit <strong>de</strong>r digitalen Anwen<strong>de</strong>rsignatur versehen.<br />
Der Empfänger kann <strong>de</strong>r digitalen Anwen<strong>de</strong>rsignatur entnehmen, wer die<br />
PDF wann genau gesen<strong>de</strong>t hat und ob das Dokument geän<strong>de</strong>rt wur<strong>de</strong>.<br />
Die digitalen Zertifikate (von einer Zertifizierungsstelle wie VeriSign)<br />
können über die Remote-Benutzeroberfläche auf das Gerät gela<strong>de</strong>n wer<strong>de</strong>n.<br />
42
Integrität<br />
Dokumentenechtheit<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Gewährleisten, dass Daten, Transaktionen<br />
o<strong>de</strong>r Dokumente we<strong>de</strong>r geän<strong>de</strong>rt noch<br />
gefälscht o<strong>de</strong>r erfun<strong>de</strong>n sind.<br />
Therefore Digital Signature<br />
Bestandteil aller Editionen von Therefore<br />
Mit einer digitalen Signatur können Anwen<strong>de</strong>r sicher sein, dass das<br />
angezeigte Dokument genau <strong>de</strong>m ursprünglich gespeicherten Dokument<br />
entspricht.<br />
Therefore Access Rights For Documents<br />
Bestandteil aller Editionen von Therefore<br />
Zugriffsrechte können auf die meisten Bereiche eines Systems angewen<strong>de</strong>t<br />
wer<strong>de</strong>n, um festzulegen, wer welche Dokumente auflisten, öffnen,<br />
bearbeiten, kommentieren und drucken darf.<br />
Active Directory-Integration<br />
Therefore wird in die Netzwerkstruktur <strong>de</strong>s Kun<strong>de</strong>n eingebun<strong>de</strong>n, sodass<br />
vorhan<strong>de</strong>ne Sicherheitsrichtlinien angewen<strong>de</strong>t wer<strong>de</strong>n können. Die<br />
Sicherheitsadministration geschieht in <strong>de</strong>r Regel durch die Verwaltung von<br />
Gruppenmitgliedschaften in Active Directory.<br />
Rights Server<br />
Rights Server ist eine Schnittstelle, die mithilfe <strong>de</strong>r Therefore API/<br />
Developer Edition implementiert wird. <strong>Sie</strong> erlaubt Kun<strong>de</strong>n die Anwendung<br />
individueller Zugriffsrechte anhand bestehen<strong>de</strong>r Geschäftsprozesse.<br />
43
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Zugriffskontrolle<br />
Therefore Access Rights For Documents<br />
Bestandteil aller Editionen von Therefore<br />
Zugriffsrechte können auf die meisten Bereiche eines Systems angewen<strong>de</strong>t<br />
wer<strong>de</strong>n, um festzulegen, wer welche Dokumente auflisten darf. Nur<br />
angemel<strong>de</strong>te Anwen<strong>de</strong>r erhalten die Berechtigung, auf die Dokumente<br />
zuzugreifen.<br />
Active Directory-Integration<br />
Therefore wird in die Netzwerkstruktur <strong>de</strong>s Kun<strong>de</strong>n eingebun<strong>de</strong>n, sodass<br />
vorhan<strong>de</strong>ne Sicherheitsrichtlinien angewen<strong>de</strong>t wer<strong>de</strong>n können. Die<br />
Sicherheitsadministration geschieht in <strong>de</strong>r Regel durch die Verwaltung von<br />
Gruppenmitgliedschaften in Active Directory.<br />
Rights Server<br />
Rights Server ist eine Schnittstelle, die mithilfe <strong>de</strong>r Therefore API/<br />
Developer Edition implementiert wird. <strong>Sie</strong> erlaubt Kun<strong>de</strong>n die Anwendung<br />
individueller Zugriffsrechte anhand bestehen<strong>de</strong>r Geschäftsprozesse.<br />
Beispiel:<br />
Delegierungsfunktionen – Anwen<strong>de</strong>rin A ist nicht im Büro,<br />
und Anwen<strong>de</strong>r B soll während ihrer Abwesenheit alle<br />
normalen Berechtigungen von Anwen<strong>de</strong>rin A erhalten.<br />
Ein Kun<strong>de</strong> verfügt über eine spezielle Zugriffstabelle, die<br />
festlegt, welcher Mitarbeiter/Anwen<strong>de</strong>r auf Dokumente von<br />
welchem Klienten zugreifen darf, z. B.: Mitarbeiterin A hat<br />
Zugriff auf Dokumente zu Klienten 1, 2 und 3; Mitarbeiter B<br />
verwaltet Klienten 4 und 5 und darf <strong>de</strong>ren Dokumente<br />
einsehen. In Abwesenheit von Mitarbeiterin A erhält<br />
Mitarbeiter B Zugriff auf alle Dokumente, die sich auf Klienten<br />
1, 2, 3, 4 und 5 beziehen.<br />
44
Integrität<br />
ZUGRIFFSKONTROLLE<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Kontrollierter Zugriff auf die<br />
Plattform.<br />
iW Document Server Login – Zugriffsberechtigungen<br />
Zugriffsberechtigungen können für alle Kun<strong>de</strong>ndaten über<br />
Access Control List (ACL) festgelegt wer<strong>de</strong>n. Nur Administratoren<br />
können die Einstellungen für diese Berechtigungen än<strong>de</strong>rn.<br />
Dazu zählen: Vollzugriff, Bearbeiten, Aktualisieren und Anzeigen.<br />
Der Benutzerzugriff kann lokal o<strong>de</strong>r über Active Directory verwaltet wer<strong>de</strong>n.<br />
iW Document Server verwen<strong>de</strong>t Windows Internal Database (SQL Server<br />
Embed<strong>de</strong>d Edition) SQL Server 2005/SQL Server 2008.<br />
Wechselfestplatte<br />
Mit <strong>de</strong>m optionalen Wechselfestplatten-Kit kann eine Festplatte entfernt<br />
wer<strong>de</strong>n, um sie an einem sicheren Standort zu lagern. Der Aus- und<br />
Wie<strong>de</strong>reinbau <strong>de</strong>r Festplatte geschieht einfach und sicher. Nach <strong>de</strong>r<br />
Installation kann das Kit mit einem Vorhängeschloss gesichert wer<strong>de</strong>n.<br />
45
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Nutzungskontrolle<br />
uniFLOW iWSAM Express Server<br />
und Secure Scanning<br />
Über ein automatisches Protokoll können Administratoren ein Bild von<br />
je<strong>de</strong>m auf <strong>de</strong>m MFP bearbeiteten Druck-, Kopier-, Fax- o<strong>de</strong>r Scanauftrag<br />
erstellen lassen. Dabei wird <strong>de</strong>r Dokumentinhalt zur Prävention auf<br />
Schlüsselwörter überprüft.<br />
Je<strong>de</strong>r Auftrag wird nach bestimmten Schlüsselwörtern durchsucht. Wer<strong>de</strong>n<br />
Inhalte mit diesen Schlüsselwörtern von einem unbefugten Anwen<strong>de</strong>r<br />
gedruckt, kopiert, gefaxt o<strong>de</strong>r gescannt, wird <strong>de</strong>r Administrator<br />
benachrichtigt. Außer<strong>de</strong>m können Druck- und Scanaufträge gehalten<br />
wer<strong>de</strong>n, um sie auf diese Schlüsselwörter zu überprüfen und erst dann<br />
freizugeben.<br />
Überwachen<br />
Verhin<strong>de</strong>rn<br />
DRUC-<br />
KEN<br />
Kopieren<br />
SCAN-<br />
NEN<br />
IT-Manager<br />
Anwen<strong>de</strong>r<br />
Multifunktionssystem<br />
uniFLOW<br />
Server<br />
IT-Manager wird über<br />
das unzulässige Scannen<br />
eines Dokuments<br />
informiert<br />
Dokumente komprimiert<br />
und in DMS<br />
gespeichert<br />
Anwen<strong>de</strong>r scannt<br />
vertrauliches Dokument<br />
Kopien aller Druck-,<br />
Kopier-, Scan- und<br />
Faxaufträge wer<strong>de</strong>n<br />
an uniFLOW-Server<br />
gesen<strong>de</strong>t<br />
Dokumente wer<strong>de</strong>n<br />
auf Schlüsselwörter<br />
überprüft<br />
Dokumentenmanagementsystem<br />
46
Integrität<br />
Nutzungskontrolle<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Verwaltung <strong>de</strong>s Zugriffs<br />
auf bestimmte Funktionen.<br />
uniFLOW Accounting & Statistics<br />
Optionales Modul für alle Editionen von uniFLOW.<br />
(Je<strong>de</strong> uniFLOW-Edition umfasst 1 frei wählbares Gratis-Modul.)<br />
Die Accounting & Statistics-Funktion erlaubt die zuverlässige Überwachung<br />
<strong>de</strong>r gesamten Systemausgabe, einschließlich Benutzername,<br />
Auftragsname und Druckinformationen.<br />
Dadurch können Administratoren feststellen, ob ein System<br />
zweckentfrem<strong>de</strong>t genutzt wird. Außer<strong>de</strong>m ist es möglich, zu festgelegten<br />
Zeitpunkten Berichte an verantwortliche Mitarbeiter sen<strong>de</strong>n zu lassen.<br />
eCopy Activity Tracking<br />
Bestandteil aller Editionen von eCopy ShareScan<br />
Mit Activity Tracking von eCopy ShareScan kann ein Protokoll aller<br />
gescannten Dokumente erstellt wer<strong>de</strong>n mit Angaben dazu, welche<br />
Dokumente wann von wem versen<strong>de</strong>t wur<strong>de</strong>n. Außer<strong>de</strong>m wer<strong>de</strong>n bei<br />
aktivierter Dokumentenverfolgung Kopien <strong>de</strong>r gescannten Dokumente<br />
gespeichert. In Kombination mit <strong>de</strong>m Protokoll erhalten <strong>Sie</strong> so eine<br />
umfassen<strong>de</strong> Übersicht über gescannte und versen<strong>de</strong>te Dokumente.<br />
47
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Therefore Access Rights For Documents<br />
Bestandteil aller Editionen von Therefore<br />
Zugriffsrechte können auf die meisten Bereiche eines Systems<br />
angewen<strong>de</strong>t wer<strong>de</strong>n, um festzulegen, wer welche Dokumente auflisten,<br />
öffnen, bearbeiten, kommentieren und drucken darf.<br />
Active Directory-Integration<br />
Therefore wird in die Netzwerkstruktur <strong>de</strong>s Kun<strong>de</strong>n eingebun<strong>de</strong>n, sodass<br />
vorhan<strong>de</strong>ne Sicherheitsrichtlinien angewen<strong>de</strong>t wer<strong>de</strong>n können. Die<br />
Sicherheitsadministration geschieht in <strong>de</strong>r Regel durch die Verwaltung von<br />
Gruppenmitgliedschaften in Active Directory.<br />
Rights Server<br />
Rights Server ist eine Schnittstelle, die mithilfe <strong>de</strong>r<br />
Therefore API/Developer Edition implementiert wird. <strong>Sie</strong> erlaubt<br />
Kun<strong>de</strong>n die Anwendung individueller Zugriffsrechte anhand bestehen<strong>de</strong>r<br />
Geschäftsprozesse.<br />
iW Document Server Login – Zugriffsberechtigungen<br />
Zugriffsberechtigungen können für alle Kun<strong>de</strong>ndaten über<br />
Access Control List (ACL) festgelegt wer<strong>de</strong>n. Nur Administratoren können<br />
die Einstellungen für diese Berechtigungen än<strong>de</strong>rn. Dazu zählen:<br />
Vollzugriff, Bearbeiten, Aktualisieren und Anzeigen.<br />
48<br />
Access Management System (iW AMS)<br />
Optional auf allen iR-Systemen<br />
AMS authentifiziert <strong>de</strong>n Anwen<strong>de</strong>r mithilfe von uniFLOW Login Manager.<br />
Anschließend wer<strong>de</strong>n die Systemfunktionen für <strong>de</strong>n Anwen<strong>de</strong>r<br />
entsprechend aktiviert bzw. <strong>de</strong>aktiviert.<br />
Mit AMS haben Administratoren folgen<strong>de</strong> Möglichkeiten:<br />
Kontrolle <strong>de</strong>s Zugriffs auf Systemfunktionen anhand von Benutzername<br />
o<strong>de</strong>r Gruppenmitgliedschaft. Zum Beispiel sind Gastbenutzer nicht<br />
berechtigt, gescannte Informationen über FTP, SMB o<strong>de</strong>r E-Mail zu<br />
versen<strong>de</strong>n, normalen Benutzern ist dies dagegen möglich.<br />
Ausblen<strong>de</strong>n von Funktionen auf <strong>de</strong>m System, um <strong>de</strong>ssen Bedienung zu<br />
vereinfachen und Bedienungsfehler zu reduzieren.
Integrität<br />
Nutzungskontrolle<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Auftragsprotokoll<br />
Der MFP führt ein Auftragsprotokoll, das über die Remote-<br />
Benutzeroberfläche aufgerufen wer<strong>de</strong>n kann. Das Auftragsprotokoll enthält<br />
Informationen zu je<strong>de</strong>m von einem Anwen<strong>de</strong>r erstellten Druck-, Scan-,<br />
Faxauftrag usw. Bei <strong>de</strong>m angegebenen Benutzernamen kann es sich, je<br />
nach Authentifizierungsmetho<strong>de</strong>, um eine Abteilungs-ID o<strong>de</strong>r <strong>de</strong>n Namen<br />
<strong>de</strong>r Person han<strong>de</strong>ln.<br />
5 Kernpunkte zum<br />
Thema Integrität<br />
• Integrität hilft dafür zu<br />
sorgen, dass Informationen<br />
<strong>de</strong>m ursprünglichen Format<br />
entsprechen.<br />
• Ein Zugriffsverwaltungssystem<br />
kann verwen<strong>de</strong>t wer<strong>de</strong>n, um<br />
<strong>de</strong>n Zugriff auf bestimmte<br />
Systemfunktionen<br />
einzuschränken, um zum Beispiel<br />
zu verhin<strong>de</strong>rn, dass Gastbenutzer<br />
gescannte Informationen an<br />
externe Empfänger sen<strong>de</strong>n.<br />
• Administratoren können ein Bild<br />
von je<strong>de</strong>m auf einem System<br />
bearbeiteten Druck-, Kopier-, Faxo<strong>de</strong>r<br />
Scanauftrag erstellen lassen.<br />
• Administratoren können über<br />
gedruckte, kopierte, gefaxte o<strong>de</strong>r<br />
gescannte Inhalte informiert<br />
wer<strong>de</strong>n, die bestimmte<br />
Schlüsselwörter enthalten.<br />
• Systeme verfügen über ein<br />
Auftragsprotokoll, in <strong>de</strong>m<br />
sämtliche Aktionen festgehalten<br />
wer<strong>de</strong>n.<br />
49
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Was ist<br />
Verfügbarkeit<br />
Vertrauliche Informationen müssen je<strong>de</strong>rzeit und<br />
im richtigen Format von <strong>de</strong>n jeweils autorisierten<br />
Personen abgerufen wer<strong>de</strong>n können.<br />
50
Denkanstöße<br />
• Wissen <strong>Sie</strong>, wie sich<br />
gewährleisten lässt, dass<br />
Anwen<strong>de</strong>r je<strong>de</strong>rzeit über die<br />
benötigten Druckfunktionen<br />
verfügen<br />
• Wissen <strong>Sie</strong>, welche<br />
Authentifizierungssysteme<br />
<strong>de</strong>n Zugriff auf<br />
Informationen und <strong>de</strong>ren<br />
Verwendung vereinfachen<br />
• Ist Ihnen bewusst, dass<br />
einfache<br />
Verschlüsselungssysteme<br />
die Sicherheit erheblich<br />
verbessern können<br />
Verfügbarkeit<br />
Dies sind die Kernbereiche:<br />
• Dokumentenschutz<br />
• Software, Einstellungen und Konfiguration<br />
• Zugriffsbeschränkungen<br />
• Redundante Systeme<br />
51
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Dokumentenschutz<br />
Sicheres Wasserzeichen<br />
Das sichere Wasserzeichen ist ein kaum sichtbarer Text, <strong>de</strong>r beim Drucken<br />
von Dokumenten in diese eingebettet wird. Beim Kopieren solcher<br />
Dokumente wird das Wasserzeichen verdunkelt und ist so <strong>de</strong>utlicher<br />
sichtbar. Dies ist eine sichtbare Abschreckung vor Sicherheitsverstößen<br />
durch das unbefugte Kopieren vertraulicher Informationen, wie<br />
persönlichen Daten, Zertifikaten usw.<br />
eCopy File Encryption<br />
Bestandteil aller Editionen von eCopy ShareScan<br />
Mit <strong>de</strong>r 128-Bit-Dateiverschlüsselung von eCopy ShareScan können<br />
Anwen<strong>de</strong>r gescannte Informationen verschlüsseln (nur PDFs), sodass zum<br />
Öffnen ein Kennwort erfor<strong>de</strong>rlich ist. Länge und Art <strong>de</strong>s Kennworts können<br />
an Richtlinien für sichere Kennwörter angepasst wer<strong>de</strong>n. Die<br />
Dateiverschlüsselung kann für Endanwen<strong>de</strong>r als obligatorische o<strong>de</strong>r<br />
optionale Funktion konfiguriert wer<strong>de</strong>n. Außer<strong>de</strong>m kann sie je Konnektor<br />
für je<strong>de</strong> Verbindung mit Backend-Systemen eingerichtet wer<strong>de</strong>n.<br />
Dateinutzung<br />
Mit <strong>de</strong>r ShareScan-Dateiverschlüsselung können Anwen<strong>de</strong>r Kennwörter für<br />
PDF-Dokumente einrichten, um das Öffnen, Bearbeiten o<strong>de</strong>r Drucken eines<br />
gescannten Dokuments einzuschränken. Der Empfänger <strong>de</strong>r PDF-Datei<br />
kann diese Aktionen nur nach Eingabe <strong>de</strong>s entsprechen<strong>de</strong>n Kennworts<br />
durchführen.<br />
52
Verfügbarkeit<br />
Dokumentenschutz<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Geeignete<br />
Kontrollmechanismen<br />
schützen die Informationen<br />
in einem Dokument.<br />
iR PDF-Verschlüsselung<br />
Bei <strong>de</strong>r PDF-Verschlüsselung wird das gescannte Bild in einer PDF-Datei vor<br />
<strong>de</strong>r Übermittlung vom System verschlüsselt. Diese Funktion ist kompatibel<br />
mit Adobe Acrobat-Standards. Ein Server ist für die Verschlüsselung nicht<br />
erfor<strong>de</strong>rlich. Verschlüsselte PDFs können nur nach Eingabe eines<br />
Kennworts mit 128-Bit-Verschlüsselung gedruckt und exportiert wer<strong>de</strong>n.<br />
53
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Document Scan Track & Lock<br />
Mit dieser optionalen Funktion kann ein Co<strong>de</strong> zum Sperren und<br />
Nachverfolgen in gedruckte Dokumente eingebettet wer<strong>de</strong>n, um<br />
unberechtigtes Kopieren, Sen<strong>de</strong>n und Faxen dieser Dokumente zu<br />
verhin<strong>de</strong>rn und <strong>de</strong>ren Ursprung nachzuvollziehen.<br />
So können wichtige Dokumente mit Sicherheitsbeschränkungen versehen<br />
wer<strong>de</strong>n, die wirksam <strong>de</strong>ren Weitergabe per E-Mail o<strong>de</strong>r Fax an Unbefugte<br />
unterbin<strong>de</strong>n. Anhand <strong>de</strong>r eingebetteten Informationen darüber, wer was<br />
an welchem System kopiert/gedruckt hat, können bei Dokumenten, die<br />
am System vergessen wur<strong>de</strong>n, sowohl die Person, die unberechtigte<br />
Kopien davon erstellt hat, als auch <strong>de</strong>r Eigentümer <strong>de</strong>s Dokuments<br />
ermittelt wer<strong>de</strong>n.<br />
Diese Funktion ist nur bei ausgewählten imageRUNNER ADVANCE-Systemen verfügbar.<br />
54
Verfügbarkeit<br />
Dokumentenschutz<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Adobe LifeCycle Rights Management ES-Integration<br />
Mit Adobe LifeCycle Rights Management ES-Integration können Anwen<strong>de</strong>r<br />
PDF-Dateien absichern und permanente sowie dynamische Richtlinien auf<br />
sie anwen<strong>de</strong>n, um ihre Vertraulichkeit zu gewährleisten, ihre Nutzung zu<br />
kontrollieren und ihre Verfügbarkeit zu verwalten. Über <strong>de</strong>taillierte<br />
Protokolle können Anwen<strong>de</strong>r genau überwachen, wann und wie oft diese<br />
Dateien aufgerufen wer<strong>de</strong>n. Der Server erlaubt Anwen<strong>de</strong>rn, Zugriff und<br />
Berechtigungen zu kontrollieren und so wertvolle vertrauliche<br />
Informationen vor versehentlicher o<strong>de</strong>r böswilliger Offenlegung zu<br />
schützen.<br />
Da Sicherheitsrichtlinien auf <strong>de</strong>m Server gepflegt wer<strong>de</strong>n, können<br />
Anwen<strong>de</strong>r Berechtigungen auch dann noch än<strong>de</strong>rn, wenn die Datei bereits<br />
weitergegeben wur<strong>de</strong>.<br />
Damit diese Funktionalität genutzt wer<strong>de</strong>n kann, müssen Adobe LifeCycle<br />
Rights Management ES-Server und -Software installiert sein. Außer<strong>de</strong>m<br />
muss ein System <strong>de</strong>r imageRUNNER ADVANCE-Serie über Internet o<strong>de</strong>r<br />
Intranet mit diesem Server verbun<strong>de</strong>n sein.<br />
55
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Software, Einstellungen<br />
und Konfiguration<br />
iW Management Console<br />
Kostenloser Download von <strong>de</strong>r Canon-Website<br />
Zentrale Verwaltung <strong>de</strong>r Druckumgebung<br />
iWMC ermöglicht die zentrale Verwaltung einer Druckumgebung. Mit<br />
iWMC kann <strong>de</strong>r IT-Administrator Systemeinstellungen<br />
(Protokolleinstellungen, Administrator-Kontaktdaten usw.), Druckertreiber,<br />
Add-ins für Druckertreiber, Ressourcen (Schriftarten, PCL-Makros,<br />
Farbprofile usw.) aktiv auf Drucksysteme o<strong>de</strong>r Anwen<strong>de</strong>r-PCs übertragen.<br />
Durch die Zentralisierung dieser Aufgaben müssen Anwen<strong>de</strong>r nicht mehr<br />
selbst nach Software suchen und diese installieren, wodurch das Risiko<br />
durch ungeeignete o<strong>de</strong>r schädliche Software reduziert wird. Im Rahmen<br />
dieser Funktion können IT-Administratoren Einstellungen auf das System<br />
übertragen und dafür sorgen, dass Sicherheitseinstellungen je<strong>de</strong>rzeit<br />
einheitlich sind.<br />
Address Book Distribution (Adressbuch-Plug-in)<br />
Adressbücher auf Systemen können mit iWMC zentral verwaltet wer<strong>de</strong>n.<br />
Der Administrator kann Aufgaben einrichten, um Adressbücher regelmäßig<br />
automatisch aktualisieren und aktiv auf Systeme übertragen zu lassen.<br />
Dadurch wird das Risiko <strong>de</strong>r Versendung vertraulicher Informationen an<br />
veraltete Adressen (z. B. frühere Mitarbeiter) erheblich verringert<br />
Printer Driver Distribution (Druckertreiber-Plug-in)<br />
Druckertreiber können mit iWMC zentral verwaltet wer<strong>de</strong>n. Administratoren<br />
können Aufgaben einrichten, um Druckertreiber auf Anwen<strong>de</strong>r-PCs<br />
übertragen zu lassen. Anwen<strong>de</strong>r können dann die jeweils neuesten Treiber<br />
und Patches installieren, wodurch das Risiko veralteter o<strong>de</strong>r ungeeigneter<br />
Treiber reduziert wird.<br />
Benutzerauthentifizierung und Rechte<br />
Zugriff auf die iWMC-Software und <strong>de</strong>ren Funktionen wird über die lokale<br />
o<strong>de</strong>r Active Directory-Authentifizierung kontrolliert. Innerhalb von iWMC<br />
kann <strong>de</strong>r Administrator Anwen<strong>de</strong>rn o<strong>de</strong>r Anwen<strong>de</strong>rgruppen<br />
Berechtigungen für <strong>de</strong>n Zugriff auf Menüs und bestimmte Funktionen<br />
zuweisen.<br />
Systemprotokolle<br />
Im Systemprotokoll wer<strong>de</strong>n Anwen<strong>de</strong>raktionen festgehalten, darunter auch<br />
erfolgreiche und fehlgeschlagene Anmeldungsversuche.<br />
56
Verfügbarkeit<br />
SOFTWARE, EINSTELLUNGEN UND KONFIGURATION<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Pflegen von Softwareversionen, Patches,<br />
Einstellungen und Konfigurationen <strong>de</strong>r<br />
Plattform, um die ordnungsgemäße<br />
Verwaltung <strong>de</strong>r Datenverfügbarkeit durch<br />
kontrollierten Zugriff auf die Plattform zu<br />
gewährleisten.<br />
57
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Zugriffskontrolle<br />
uniFLOW Login Manager<br />
Optionales Modul für alle Editionen von uniFLOW.<br />
(Je<strong>de</strong> uniFLOW-Edition umfasst 1 frei wählbares Gratis-Modul.)<br />
Der uniFLOW Login Manager sorgt dafür, dass nur autorisierte<br />
Anwen<strong>de</strong>r Zugriff auf die Plattform erhalten.<br />
Der uniFLOW Login Manager basiert auf <strong>de</strong>rselben Technologie wie die<br />
MEAP-Anwendung, wird aber dazu eingesetzt, <strong>de</strong>n Zugriff auf die<br />
Systemfunktionen zu sichern und die Anmeldung von Anwen<strong>de</strong>rn am<br />
System zu kontrollieren.<br />
Mit uniFLOW Login Manager ist Folgen<strong>de</strong>s möglich:<br />
• Anmeldung beim MEAP-fähigen MFP<br />
• Auswahl einer Kostenstelle über das Bedienfeld <strong>de</strong>s MFP<br />
• sicheres Speichern von Anwen<strong>de</strong>rdaten (Benutzername und<br />
E-Mail-Adresse), sodass an<strong>de</strong>re Anwendungen auf <strong>de</strong>m System darauf<br />
zugreifen können<br />
Anmel<strong>de</strong>metho<strong>de</strong>n<br />
uniFLOW bietet verschie<strong>de</strong>ne Möglichkeiten zur Anmeldung am MFP:<br />
• Eingabe eines numerischen (z. B. PIN-Co<strong>de</strong>) o<strong>de</strong>r alphanumerischen<br />
(z. B. Kostenstelle) Co<strong>de</strong>s<br />
• Chipkarte<br />
• Transpon<strong>de</strong>rkarte<br />
• Fingerabdruck<br />
MEAP-Anwendung<br />
Auf <strong>de</strong>m MFP-Bedienfeld wer<strong>de</strong>n <strong>de</strong>m Anwen<strong>de</strong>r Informationen direkt<br />
angezeigt. Anwen<strong>de</strong>r müssen also nicht zu einem „Add-on“-Gerät eines<br />
an<strong>de</strong>ren Herstellers neben <strong>de</strong>m MFP wechseln.<br />
Mit <strong>de</strong>r MEAP-Anwendung ist Folgen<strong>de</strong>s möglich:<br />
• Auswahl und Druckfreigabe von Aufträgen direkt aus <strong>de</strong>r eigenen sicheren<br />
Warteschlange <strong>de</strong>s Anwen<strong>de</strong>rs<br />
• Auswahl und Druckfreigabe von Aufträgen direkt aus einer sicheren<br />
Gruppenwarteschlange<br />
• Auswahl von Aufträgen direkt aus einem zentralen Dokumentenarchiv,<br />
z. B. offizielle interne Unternehmensdokumente o<strong>de</strong>r Formulare<br />
58
Verfügbarkeit<br />
ZUGRIFFSKONTROLLE<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Kontrollierter Zugriff auf die<br />
Plattform.<br />
Security & Cost Control Pack<br />
Proximity Card Authentication<br />
Das Security & Cost Control Pack für Canon MEAP-Systeme bietet sicheren<br />
Zugriff auf das System sowie auf Druckaufträge über PIN-Co<strong>de</strong>,<br />
Benutzername und Kennwort o<strong>de</strong>r sogar Transpon<strong>de</strong>rkarte.<br />
Beachten <strong>Sie</strong>, dass das Security & Cost Control Pack nur<br />
HID-Transpon<strong>de</strong>rkarten <strong>de</strong>s Typs Canon MiCard 2 unterstützt. uniFLOW<br />
unterstützt viele weitere Typen.<br />
Das Security & Cost Control Pack ist eine kostengünstige Lösung, die sich<br />
vor allem für kleine Unternehmen mit bis zu 5 MFPs und 50 Anwen<strong>de</strong>rn<br />
eignet. Größere Unternehmen müssen die skalierbare uniFLOW-Lösung<br />
verwen<strong>de</strong>n.<br />
eCopy Session Logon<br />
Bestandteil aller Editionen von eCopy ShareScan<br />
Session Logon von eCopy ShareScan sperrt die eCopy-Konsole, sodass ein<br />
Anwen<strong>de</strong>r seine Anmel<strong>de</strong>daten eingeben muss, um auf die allgemeine<br />
eCopy-Benutzeroberfläche am MFP zugreifen zu können.<br />
Dadurch wird verhin<strong>de</strong>rt, dass nicht berechtigte Personen<br />
eCopy-Funktionen nutzen und zum Beispiel am System scannen.<br />
uniFLOW-Integration<br />
Bei <strong>de</strong>r uniFLOW-Integration wer<strong>de</strong>n Anwen<strong>de</strong>r am Gerät mithilfe <strong>de</strong>s<br />
uniFLOW Login Managers authentifiziert. Die Anmel<strong>de</strong>daten wer<strong>de</strong>n sicher<br />
an die eCopy-Anwendung weitergeleitet, um an<strong>de</strong>ren Systemen wichtige<br />
Anwen<strong>de</strong>rinformationen bereitzustellen.<br />
Anwen<strong>de</strong>r müssen sich für bei<strong>de</strong> Systeme nur einmal anmel<strong>de</strong>n. Dies<br />
geschieht über das Authentifizierungssystem, das für <strong>de</strong>n uniFLOW-Server<br />
konfiguriert ist.<br />
Ein einziges Authentifizierungssystem ist einfacher zu verwalten und stellt<br />
ein geringeres Sicherheitsrisiko dar.<br />
59
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Therefore Access Rights For Documents<br />
Bestandteil aller Editionen von Therefore<br />
Zugriffsrechte können auf die meisten Bereiche eines Systems angewen<strong>de</strong>t<br />
wer<strong>de</strong>n, um festzulegen, wer welche Dokumente auflisten, öffnen,<br />
bearbeiten, kommentieren und drucken darf.<br />
Active Directory-Integration<br />
Therefore wird in die Netzwerkstruktur <strong>de</strong>s Kun<strong>de</strong>n eingebun<strong>de</strong>n, sodass<br />
vorhan<strong>de</strong>ne Sicherheitsrichtlinien angewen<strong>de</strong>t wer<strong>de</strong>n können. Die<br />
Sicherheitsadministration geschieht in <strong>de</strong>r Regel durch die Verwaltung von<br />
Gruppenmitgliedschaften in Active Directory.<br />
Rights Server<br />
Rights Server ist eine Schnittstelle, die mithilfe <strong>de</strong>r<br />
Therefore API/Developer Edition implementiert wird. <strong>Sie</strong> erlaubt<br />
Kun<strong>de</strong>n die Anwendung individueller Zugriffsrechte anhand bestehen<strong>de</strong>r<br />
Geschäftsprozesse.<br />
Beispiel:<br />
Delegierungsfunktionen – Anwen<strong>de</strong>rin A ist nicht im Büro,<br />
und Anwen<strong>de</strong>r B soll während ihrer Abwesenheit alle<br />
normalen Berechtigungen von Anwen<strong>de</strong>rin A erhalten.<br />
Ein Kun<strong>de</strong> verfügt über eine spezielle Zugriffstabelle, die<br />
festlegt, welcher Mitarbeiter/Anwen<strong>de</strong>r auf Dokumente von<br />
welchem Klienten zugreifen darf, z. B.: Mitarbeiterin A hat<br />
Zugriff auf Dokumente zu Klienten 1, 2 und 3; Mitarbeiter B<br />
verwaltet Klienten 4 und 5 und darf <strong>de</strong>ren Dokumente<br />
einsehen. In Abwesenheit von Mitarbeiterin A erhält<br />
Mitarbeiter B Zugriff auf alle Dokumente, die sich auf Klienten<br />
1, 2, 3, 4 und 5 beziehen.<br />
60
Verfügbarkeit<br />
ZUGRIFFSKONTROLLE<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
iW Document Server Login – Zugriffsberechtigungen<br />
Zugriffsberechtigungen können für alle Kun<strong>de</strong>ndaten über<br />
Access Control List (ACL) festgelegt wer<strong>de</strong>n. Nur Administratoren können<br />
die Einstellungen für diese Berechtigungen än<strong>de</strong>rn. Dazu zählen:<br />
Vollzugriff, Bearbeiten, Aktualisieren und Anzeigen.<br />
Der Benutzerzugriff kann lokal o<strong>de</strong>r über Active Directory verwaltet wer<strong>de</strong>n.<br />
iW Document Server verwen<strong>de</strong>t Windows Internal Database (SQL Server<br />
Embed<strong>de</strong>d Edition) SQL Server 2005/SQL Server 2008.<br />
61
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Wechselfestplatte<br />
Mit <strong>de</strong>m optionalen Wechselfestplatten-Kit kann eine Festplatte entfernt<br />
wer<strong>de</strong>n, um sie an einem sicheren Standort zu lagern. Der Aus- und<br />
Wie<strong>de</strong>reinbau <strong>de</strong>r Festplatte geschieht einfach und sicher. Nach <strong>de</strong>r<br />
Installation kann das Kit mit einem Vorhängeschloss gesichert wer<strong>de</strong>n.<br />
Access Management System (AMS)<br />
Optional auf allen iR-Systemen<br />
AMS authentifiziert <strong>de</strong>n Anwen<strong>de</strong>r mithilfe von uniFLOW Login Manager.<br />
Anschließend wer<strong>de</strong>n die Systemfunktionen für <strong>de</strong>n Anwen<strong>de</strong>r<br />
entsprechend aktiviert bzw. <strong>de</strong>aktiviert.<br />
Mit AMS haben Administratoren folgen<strong>de</strong> Möglichkeiten:<br />
Kontrolle <strong>de</strong>s Zugriffs auf Systemfunktionen anhand von Benutzername<br />
o<strong>de</strong>r Gruppenmitgliedschaft. Zum Beispiel sind Gastbenutzer nicht<br />
berechtigt, gescannte Informationen über FTP, SMB o<strong>de</strong>r E-Mail zu<br />
versen<strong>de</strong>n, normalen Benutzern ist dies dagegen möglich.<br />
Ausblen<strong>de</strong>n von Funktionen auf <strong>de</strong>m System, um <strong>de</strong>ssen Bedienung zu<br />
vereinfachen und Bedienungsfehler zu reduzieren.<br />
62
Verfügbarkeit<br />
ZUGRIFFSKONTROLLE<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Abteilungs-IDs, SSO, SDL<br />
Abteilungs-IDs<br />
Abteilungs-IDs können auf <strong>de</strong>m MFP aktiviert wer<strong>de</strong>n.<br />
Der Anwen<strong>de</strong>r gibt seine Abteilungs-ID mit <strong>de</strong>m<br />
entsprechen<strong>de</strong>n Kennwort ein und darf drucken,<br />
kopieren, faxen o<strong>de</strong>r scannen. Ohne ID und Kennwort<br />
stehen diese Funktionen nicht zur Verfügung.<br />
Abteilungs-IDs können verschie<strong>de</strong>ne Zugriffsebenen<br />
zugewiesen wer<strong>de</strong>n. So dürfen z. B. Mitarbeiter einer<br />
Abteilung in Farbe kopieren und drucken, während einer<br />
an<strong>de</strong>ren Abteilung nur die Funktion zum Kopieren in<br />
Schwarzweiß zur Verfügung steht.<br />
Mithilfe von Nutzungslimits kann die Nutzung<br />
bestimmter MFP-Funktionen nach Abteilungs-ID<br />
kontrolliert wer<strong>de</strong>n. Für folgen<strong>de</strong> Funktionen können<br />
unterschiedliche Limits festgelegt wer<strong>de</strong>n:<br />
• Drucke insgesamt<br />
• Kopieren<br />
• Scannen<br />
• Drucken<br />
Bei Bedarf kann zu<strong>de</strong>m anhand <strong>de</strong>r nach Abteilungs-ID<br />
gesammelten Daten eine <strong>de</strong>taillierte Nutzungsübersicht<br />
ausgedruckt wer<strong>de</strong>n.<br />
Einmalige Anmeldung (SSO)<br />
Mithilfe <strong>de</strong>r einmaligen Anmeldung kann die<br />
Systemsicherheit weiter verbessert wer<strong>de</strong>n. Durch die<br />
Eingabe von Netzwerkbenutzername und Kennwort<br />
erhalten Anwen<strong>de</strong>r Zugriff auf sämtliche Funktionen <strong>de</strong>s<br />
Multifunktionssystems (Funktionen können einzeln<br />
kontrolliert wer<strong>de</strong>n).<br />
Durch die Verbindung mit Active Directory wird<br />
gewährleistet, dass nur beim Netzwerk angemel<strong>de</strong>te<br />
Benutzer auch auf <strong>de</strong>n MFP zugreifen können. Der<br />
Vorteil ist, dass je<strong>de</strong> Än<strong>de</strong>rung in Active Directory durch<br />
die IT-Abteilung sofort auch auf <strong>de</strong>m MFP verfügbar ist,<br />
sodass im gesamten Netzwerk die gleichen<br />
Berechtigungen gelten.<br />
Damit die Nutzung von SSO möglich ist, muss auf einem<br />
Server in <strong>de</strong>r Kun<strong>de</strong>numgebung ein Sicherheitsagent<br />
installiert wer<strong>de</strong>n, <strong>de</strong>r als Schnittstelle zwischen <strong>de</strong>n<br />
MFPs und Active Directory fungiert.<br />
SSO-H<br />
SSO-H ist eine Anwendung zur Anmeldung, die einen<br />
Anwen<strong>de</strong>r entwe<strong>de</strong>r mit einem Domänencontroller in<br />
einer Active Directory-Umgebung o<strong>de</strong>r mit einer<br />
Datenbank auf <strong>de</strong>m lokalen System authentifiziert.<br />
SSO-H sperrt das System, bis <strong>de</strong>r Anwen<strong>de</strong>r<br />
authentifiziert wur<strong>de</strong>. Der Hauptunterschied zu SSO<br />
besteht darin, dass für SSO-H kein Sicherheitsagent mehr<br />
erfor<strong>de</strong>rlich ist.<br />
Simple Device Login (SDL)<br />
Wenn Active Directory nicht verfügbar ist, können<br />
Anwen<strong>de</strong>r sich mithilfe von SDL am Canon-<br />
Multifunktionssystem anmel<strong>de</strong>n. Bei SDL sind die<br />
Benutzerlisten auf <strong>de</strong>m System selbst gespeichert, statt<br />
in einem zentralen Verzeichnis auf <strong>de</strong>m Server.<br />
Anwen<strong>de</strong>r und Gruppen können mit Abteilungs-IDs<br />
verknüpft wer<strong>de</strong>n, um eine zentrale Nutzungskontrolle<br />
zu ermöglichen. Die Daten zur Anwen<strong>de</strong>rverwaltung<br />
über SDL wer<strong>de</strong>n entwe<strong>de</strong>r über einen Webbrowser<br />
direkt eingetragen o<strong>de</strong>r können aus einer Textdatei<br />
importiert wer<strong>de</strong>n.<br />
63
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Redundante Systeme<br />
uniFLOW Secure Printing (einschl. MyPrintAnywhere)<br />
Optionales Modul für alle Editionen von uniFLOW.<br />
(Je<strong>de</strong> uniFLOW-Edition umfasst 1 frei wählbares Gratis-Modul.)<br />
Mit uniFLOW MyPrintAnywhere können Anwen<strong>de</strong>r ihren Druckauftrag auf<br />
je<strong>de</strong>m mit <strong>de</strong>m uniFLOW-Server verbun<strong>de</strong>nen System freigeben. Dies ist<br />
zum Beispiel nützlich, um das System zu wechseln, wenn das gewünschte<br />
System aufgrund eines umfangreichen Druckauftrags belegt ist.<br />
Es gibt verschie<strong>de</strong>ne Konfigurationen für unterschiedliche<br />
Anfor<strong>de</strong>rungen:<br />
1. MyPrintAnywhere Secure Printing: Der Anwen<strong>de</strong>r druckt die Dokumente<br />
von seinem PC aus. Die Druckaufträge wer<strong>de</strong>n auf <strong>de</strong>m Server<br />
gespeichert. Der Server gibt die Druckaufträge an je<strong>de</strong>n MFP frei, an <strong>de</strong>m<br />
<strong>de</strong>r Benutzer sich erfolgreich angemel<strong>de</strong>t hat.<br />
2. Distributed Release Queue Management: Der Anwen<strong>de</strong>r druckt die<br />
Dokumente von seinem PC aus. Die Druckaufträge wer<strong>de</strong>n auf einem<br />
o<strong>de</strong>r mehreren Servern gespeichert. So ergibt sich ein sicherer globaler<br />
Freigabemechanismus für Druckaufträge, <strong>de</strong>r beliebig viele Server<br />
ab<strong>de</strong>ckt.<br />
Anmel<strong>de</strong>metho<strong>de</strong>n<br />
uniFLOW bietet verschie<strong>de</strong>ne Möglichkeiten zur Anmeldung am MFP:<br />
• Eingabe eines numerischen (z. B. PIN-Co<strong>de</strong>) o<strong>de</strong>r alphanumerischen<br />
(z. B. Kostenstelle) Co<strong>de</strong>s<br />
• Chipkarte<br />
• Transpon<strong>de</strong>rkarte<br />
• Fingerabdruck<br />
MicroMIND- und MiCard-I<strong>de</strong>ntifikationssysteme wer<strong>de</strong>n per USB an <strong>de</strong>n<br />
MFP angeschlossen und benötigen daher keine zusätzliche IP-Adresse.<br />
Dadurch wer<strong>de</strong>n die möglichen Angriffspunkte im Netzwerk reduziert.<br />
uniFLOW bietet umfangreiche Konfigurationsmöglichkeiten für<br />
Administratoren, um das System problemlos in vorhan<strong>de</strong>ne<br />
Kun<strong>de</strong>numgebungen einbin<strong>de</strong>n zu können.<br />
uniFLOW kann außer<strong>de</strong>m beliebig angepasst wer<strong>de</strong>n. Alle neuen Geräte,<br />
Metho<strong>de</strong>n und Systeme zur Authentifizierung können auf Projektbasis<br />
schnell und einfach integriert wer<strong>de</strong>n.<br />
64
Verfügbarkeit<br />
REDUNDANTE SYSTEME<br />
Drucken von<br />
Dokumenten<br />
Scannen von<br />
Dokumenten<br />
Verwalten von<br />
Dokumenten<br />
Übergreifend<br />
Hohe Verfügbarkeit <strong>de</strong>r Lösung, damit das<br />
System je<strong>de</strong>rzeit richtig funktioniert.<br />
Therefore Redundant Storage<br />
Die Funktion ist Bestandteil aller Editionen von Therefore,<br />
muss aber konfiguriert wer<strong>de</strong>n (zusätzliche Datenträger<br />
o<strong>de</strong>r Server für Backups sind nicht im Lieferumfang enthalten).<br />
Backup-Datenträger<br />
Dokumente sind vor Datenträgerausfällen geschützt.<br />
Wenn Dokumente nur an nur einem Speicherort<br />
abgelegt sind, können sie bei einer Beschädigung <strong>de</strong>s<br />
Datenträgers verloren gehen. Selbst bei<br />
RAID-Datenträgern ist es nicht auszuschließen, dass<br />
ein Anwen<strong>de</strong>r mit Administratorrechten versehentlich<br />
eine Datei aus <strong>de</strong>m Therefore-Speicher löscht. Mit<br />
Therefore Migrate können Daten zu einem<br />
bestimmten Zeitpunkt von einem Datenträger auf<br />
einen an<strong>de</strong>ren migriert wer<strong>de</strong>n.<br />
Der Kun<strong>de</strong> kann gewiss sein, dass seine wertvollen<br />
Daten an mehreren Speicherorten verfügbar sind und<br />
daher von einem Ausfall <strong>de</strong>s Hauptdatenträgers nicht<br />
betroffen sein wer<strong>de</strong>n.<br />
Backup-Server<br />
Ein Backup-Server ist ein zweiter Therefore-Server an<br />
einem externen Standort (Enterprise Edition<br />
erfor<strong>de</strong>rlich).<br />
Kun<strong>de</strong>n können ihre Therefore-Umgebung so<br />
einrichten, dass alle Dokumente automatisch auf<br />
einen zweiten Server migriert wer<strong>de</strong>n und so an zwei<br />
geografisch unterschiedlichen Standorten gespeichert<br />
sind. Dadurch sind die Dokumente auch im Fall von<br />
Katastrophen, wie Feuer o<strong>de</strong>r Erdbeben, völlig sicher.<br />
5 Kernpunkte zum<br />
Thema Verfügbarkeit<br />
• Verfügbarkeit be<strong>de</strong>utet, dass<br />
sichere Informationen bei Bedarf<br />
je<strong>de</strong>rzeit verfügbar sind.<br />
• Mit Dateiverschlüsselung können<br />
Anwen<strong>de</strong>r Dateien einfach<br />
verschlüsseln, speichern, sen<strong>de</strong>n<br />
und bei Bedarf entschlüsseln.<br />
• Mit MyPrintAnywhere können<br />
Anwen<strong>de</strong>r Druckaufträge einfach<br />
und sicher an einem gewünschten<br />
System im Netzwerk abholen.<br />
• Sichere Wasserzeichen wer<strong>de</strong>n<br />
beim Kopieren eines markierten<br />
Dokuments <strong>de</strong>utlich sichtbar.<br />
• Das Therefore-System bietet<br />
die Möglichkeit zur Verwendung<br />
eines Backup-Servers, sodass<br />
Dokumente gleichzeitig an zwei<br />
geografisch unterschiedlichen<br />
Standorten gespeichert sein<br />
können.<br />
65
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Zusammenfassung<br />
Es gibt zahlreiche Sicherheitsmaßnahmen, um die<br />
Vertraulichkeit, Verfügbarkeit und Integrität <strong>Ihre</strong>r<br />
<strong>Geschäftsdaten</strong> zu gewährleisten.<br />
66
Denkanstöße<br />
ZUSAMMENFASSUNG<br />
• Wussten <strong>Sie</strong>, dass es von<br />
Canon sowohl Standard- als<br />
auch Zusatzfunktionen für<br />
je<strong>de</strong>n beliebigen Bedarf<br />
gibt<br />
67
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Standard-<br />
Sicherheitsfunktionen<br />
Abteilungs-IDs<br />
Abteilungs-IDs können auf <strong>de</strong>m MFP aktiviert wer<strong>de</strong>n.<br />
Der Anwen<strong>de</strong>r gibt seine Abteilungs-ID mit <strong>de</strong>m<br />
entsprechen<strong>de</strong>n Kennwort ein und darf drucken,<br />
kopieren, faxen o<strong>de</strong>r scannen. Ohne ID und Kennwort<br />
stehen diese Funktionen nicht zur Verfügung.<br />
Einmalige Anmeldung<br />
Mithilfe <strong>de</strong>r einmaligen Anmeldung kann die<br />
Systemsicherheit weiter verbessert wer<strong>de</strong>n. Hier<br />
geben Anwen<strong>de</strong>r nicht eine Abteilungs-ID, son<strong>de</strong>rn<br />
ihren Netzwerkbenutzernamen und das Kennwort<br />
ein, die mit Active Directory authentifiziert wer<strong>de</strong>n.<br />
Dadurch wird die Verwaltung von Anwen<strong>de</strong>rn und<br />
Zugriffsrechten <strong>de</strong>utlich vereinfacht.<br />
Simple Device Login<br />
Falls Active Directory nicht verfügbar ist, gibt es eine<br />
an<strong>de</strong>re Lösung: Simple Device Login (SDL). Bei SDL<br />
sind die Benutzerlisten auf <strong>de</strong>m System selbst<br />
gespeichert, statt in einem zentralen Verzeichnis auf<br />
<strong>de</strong>m Server.<br />
Wasserzeichen<br />
Über <strong>de</strong>n Druckertreiber wird <strong>de</strong>r gedruckten Seite ein<br />
sichtbares Wasserzeichen hinzugefügt. Dadurch wird<br />
<strong>de</strong>r Sicherheitsstatus <strong>de</strong>s Dokuments <strong>de</strong>utlich sichtbar<br />
und Anwen<strong>de</strong>r wer<strong>de</strong>n vor <strong>de</strong>m unbefugten Kopieren<br />
<strong>de</strong>r Informationen gewarnt.<br />
Auftragsprotokoll<br />
Der MFP führt ein Auftragsprotokoll, das über die<br />
Remote-Benutzeroberfläche aufgerufen wer<strong>de</strong>n<br />
kann. Das Auftragsprotokoll enthält Informationen zu<br />
je<strong>de</strong>m von einem Anwen<strong>de</strong>r erstellten Druck-, Scan-,<br />
Faxauftrag usw. Bei <strong>de</strong>m angegebenen<br />
Benutzernamen kann es sich, je nach<br />
Authentifizierungsmetho<strong>de</strong>, um eine Abteilungs-ID<br />
o<strong>de</strong>r <strong>de</strong>n Namen <strong>de</strong>r Person han<strong>de</strong>ln.<br />
IEEE 802.1X<br />
Dieses Protokoll bietet eine<br />
Authentifizierungsmetho<strong>de</strong> für Systeme, die über LAN<br />
o<strong>de</strong>r WLAN in ein Netzwerk eingebun<strong>de</strong>n wer<strong>de</strong>n<br />
sollen.<br />
68
Zusammenfassung<br />
Standard-Sicherheitsfunktionen<br />
Sicherheitsfunktionen von Canon MFPs<br />
Nachfolgend sind die Standardsicherheitsfunktionen im<br />
Lieferumfang <strong>de</strong>r meisten Canon MFPs aufgelistet. Diese<br />
bieten ausreichen<strong>de</strong>n Schutz gegen viele potenzielle<br />
Angriffe. Auf <strong>de</strong>r nächsten Seite fin<strong>de</strong>n <strong>Sie</strong><br />
Sicherheitsfunktionen, die als „Add-ons“ verfügbar sind und<br />
für zusätzliche Sicherheit und Zuverlässigkeit sorgen.<br />
Sicheres Drucken<br />
Mit <strong>de</strong>r sicheren Druckfunktion kann <strong>de</strong>r Anwen<strong>de</strong>r<br />
beim Drucken am PC ein numerisches Kennwort<br />
festlegen. Damit das Dokument gedruckt wer<strong>de</strong>n<br />
kann, muss <strong>de</strong>r Anwen<strong>de</strong>r dieses Kennwort am<br />
Drucksystem selbst eingeben.<br />
Sichere Mailbox<br />
Bei <strong>de</strong>r sicheren Mailbox-Funktion druckt <strong>de</strong>r<br />
Anwen<strong>de</strong>r das Dokument in einen Speicherbereich<br />
(Mailbox) auf <strong>de</strong>m Drucksystem. Die Mailbox ist<br />
kennwortgeschützt (durch <strong>de</strong>n Anwen<strong>de</strong>r) und <strong>de</strong>r<br />
Anwen<strong>de</strong>r kann durch Eingabe <strong>de</strong>s Kennworts am<br />
System auf die Druckaufträge zugreifen.<br />
Protokollkonfiguration<br />
Über die Protokollkonfiguration kann <strong>de</strong>r<br />
Administrator Netzwerkprotokolle aktivieren und<br />
<strong>de</strong>aktivieren.<br />
SSL-Zertifikate<br />
Mit SSL-Zertifikaten wer<strong>de</strong>n HTTPS-Funktionen auf<br />
<strong>de</strong>m MFP aktiviert. Dies ermöglicht die sichere<br />
Übermittlung von Informationen über die<br />
Remote-Benutzeroberfläche o<strong>de</strong>r<br />
MEAP-Anwendungen auf <strong>de</strong>m MFP.<br />
IP- und MAC-Adressenfilterung<br />
Über die IP- und MAC-Adressenfilterung können<br />
Anwen<strong>de</strong>r bestimmte IP- o<strong>de</strong>r MAC-Adressen<br />
blockieren o<strong>de</strong>r zulassen. Zum Beispiel kann <strong>de</strong>r<br />
Netzwerkadministrator festlegen, dass nur ein<br />
bestimmter Druckserver auf <strong>de</strong>n MFP zugreifen darf.<br />
Dazu muss <strong>de</strong>r MFP so eingerichtet wer<strong>de</strong>n, dass er<br />
nur Verbindungsanfragen von <strong>de</strong>r IP- o<strong>de</strong>r<br />
MAC-Adresse <strong>de</strong>s Druckservers akzeptiert und alle<br />
übrigen eingehen<strong>de</strong>n Verbindungen blockiert.<br />
69
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Zusätzliche<br />
Sicherheitsfunktionen<br />
Sicherer Zugriff<br />
Durch die Kontrolle <strong>de</strong>s Zugriffs auf <strong>de</strong>n<br />
MFP können Unternehmen vertrauliche<br />
Informationen schützen.<br />
Abteilungs-IDs, einmalige Anmeldung und<br />
sicherer Druck sind einige <strong>de</strong>r<br />
Standardfunktionen, die sicheren Zugriff auf<br />
diese Informationen ermöglichen. Die<br />
uniFLOW-Optionen zur sicheren<br />
Druckausgabe bieten aber noch mehr.<br />
Mit uniFLOW Secure Printing können<br />
Anwen<strong>de</strong>r die Ausgabe vertraulicher<br />
Dokumente sicher kontrollieren.<br />
Druckaufträge wer<strong>de</strong>n auf <strong>de</strong>m Server<br />
gespeichert und können nach<br />
erfolgreicher Anmeldung am MFP<br />
abgerufen wer<strong>de</strong>n. Ohne eine Metho<strong>de</strong><br />
zur Anmeldung am MFP ist diese<br />
Funktion nicht verfügbar.<br />
Sichere Daten<br />
Ein wirksamer Schutz von vertraulichen<br />
Informationen ist nur möglich, wenn auch<br />
die Daten auf <strong>de</strong>m MFP sowie beim<br />
Übermitteln vom und an <strong>de</strong>n MFP sicher<br />
sind.<br />
Canon sorgt mit entsprechen<strong>de</strong>n Services<br />
dafür, dass die Daten am Lebensen<strong>de</strong> <strong>de</strong>s<br />
MFP geschützt sind. Aber es gibt auch<br />
Möglichkeiten, um während <strong>de</strong>r Nutzung<br />
<strong>de</strong>s Systems für Datensicherheit auf <strong>de</strong>r<br />
Festplatte zu sorgen.<br />
Der MFP kann durch das Hard Disk<br />
Encryption Kit erweitert wer<strong>de</strong>n, um<br />
eine sichere Verschlüsselung <strong>de</strong>r<br />
Festplattendaten zu gewährleisten.<br />
Dieses Kit ist nach ISO15408 (Common<br />
Criteria) zertifiziert. Außer<strong>de</strong>m kann die<br />
Wechselfestplatte bequem entnommen<br />
wer<strong>de</strong>n, um sie außerhalb <strong>de</strong>r<br />
Geschäftszeiten sicher zu lagern.<br />
70
Zusammenfassung<br />
Zusätzliche Sicherheitsfunktionen<br />
Es gibt zusätzliche Softwarepakete, die mit unseren<br />
Systemen verbun<strong>de</strong>n o<strong>de</strong>r auf diesen installiert<br />
wer<strong>de</strong>n können, jedoch nicht zum Lieferumfang<br />
<strong>de</strong>s MFP gehören.<br />
Sichere Dokumente<br />
Da die Druckausgabe eine Hauptfunktion<br />
<strong>de</strong>s MFP ist, liegt ein wichtiger<br />
Sicherheitsschwerpunkt auf <strong>de</strong>r Kontrolle<br />
gedruckter Dokumente.<br />
Sichtbare Wasserzeichen sind eine<br />
MFP-Standardfunktion und wirken<br />
abschreckend. Es bietet sich aber an,<br />
Wasserzeichen durch weitere<br />
Sicherheitsfunktionen zu ergänzen.<br />
Mit Document Scan Lock & Tracking<br />
kann ein Co<strong>de</strong> zum Sperren und<br />
Nachverfolgen in gedruckte Dokumente<br />
eingebettet wer<strong>de</strong>n, um unberechtigtes<br />
Kopieren, Sen<strong>de</strong>n und Faxen dieser<br />
Dokumente zu verhin<strong>de</strong>rn und <strong>de</strong>ren<br />
Ursprung nachzuvollziehen.<br />
Wenn <strong>Sie</strong><br />
Spezialanfor<strong>de</strong>rungen<br />
für die Sicherheit <strong>de</strong>r<br />
Dokumente <strong>Ihre</strong>s<br />
Unternehmens haben,<br />
wen<strong>de</strong>n <strong>Sie</strong> sich bitte an<br />
Canon.<br />
Unsere Berater helfen<br />
Ihnen gerne, die<br />
Informationen in <strong>Ihre</strong>n<br />
Dokumenten wirksam<br />
zu schützen.<br />
71
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Glossar<br />
72<br />
A<br />
B<br />
Administrative Schwachstelle<br />
Durch die Anmeldung bei einem Konto,<br />
das über mehr Benutzerrechte verfügt,<br />
als <strong>de</strong>r Anwen<strong>de</strong>r benötigt, wird eine<br />
administrative Schwachstelle<br />
herbeigeführt.<br />
Angriff<br />
Der mutwillige Versuch, die Sicherheit<br />
eines Computersystems zu<br />
kompromittieren o<strong>de</strong>r an<strong>de</strong>re Anwen<strong>de</strong>r<br />
an <strong>de</strong>r Nutzung <strong>de</strong>s Systems zu hin<strong>de</strong>rn.<br />
Authentifizierung<br />
Das Verfahren zur Bestätigung <strong>de</strong>r<br />
I<strong>de</strong>ntität einer Person, eines<br />
Computerprozesses o<strong>de</strong>r eines Systems.<br />
Um die I<strong>de</strong>ntität zu bestätigen, wer<strong>de</strong>n<br />
Anmel<strong>de</strong>daten bereitgestellt. Dies<br />
geschieht in <strong>de</strong>r Regel über<br />
Benutzername/Kennwort, Chipkarten<br />
o<strong>de</strong>r digitale Signaturen.<br />
Autorisierung<br />
Das Verfahren, mit <strong>de</strong>m einer Person,<br />
einem Computerprozess o<strong>de</strong>r einem<br />
System Zugriff auf bestimmte<br />
Informationen, Services o<strong>de</strong>r<br />
Funktionen gewährt wird. Die<br />
Autorisierung wird von <strong>de</strong>r I<strong>de</strong>ntität <strong>de</strong>r<br />
jeweiligen Person, <strong>de</strong>s<br />
Computerprozesses o<strong>de</strong>r <strong>de</strong>s Systems<br />
abgeleitet, die durch Authentifizierung<br />
bestätigt wird.<br />
Backdoor<br />
Ein verborgener Zugang zu einem<br />
Computersystem, über <strong>de</strong>n die<br />
Sicherheitsfunktionen <strong>de</strong>s Systems<br />
umgangen wer<strong>de</strong>n können.<br />
Basel<br />
Die Baseler Beschlüsse <strong>de</strong>s<br />
Ausschusses für Bankenaufsicht ist eine<br />
C<br />
Empfehlung für Gesetze und<br />
Vorschriften zur Stabilisierung <strong>de</strong>s<br />
Bankwesens. Sein Ziel ist die<br />
internationale Harmonisierung <strong>de</strong>r<br />
Eigenkapitalanfor<strong>de</strong>rungen von Banken,<br />
um diese wirksamer vor finanziellen<br />
und betrieblichen Risiken zu schützen.<br />
Berechtigungen<br />
Autorisierung zum Durchführen von<br />
Aktionen auf eine bestimmte<br />
freigegebene Ressource, z. B. Datei,<br />
Verzeichnis o<strong>de</strong>r Drucker.<br />
Berechtigungen müssen einzelnen<br />
Benutzerkonten o<strong>de</strong>r Benutzergruppen<br />
vom Systemadministrator zugewiesen<br />
wer<strong>de</strong>n.<br />
Böswilliger Anwen<strong>de</strong>r<br />
Ein Anwen<strong>de</strong>r, <strong>de</strong>r sich vorsätzlich<br />
Zugang zu einem System verschafft mit<br />
<strong>de</strong>m expliziten Ziel, Scha<strong>de</strong>n<br />
anzurichten.<br />
Common Criteria<br />
Das Zertifizierungssystem nach<br />
ISO15408 bestätigt, dass<br />
Sicherheitsfunktionen zuverlässig<br />
entwickelt und implementiert wur<strong>de</strong>n.<br />
Die Zertifizierung <strong>de</strong>ckt <strong>de</strong>n gesamten<br />
Lebenszyklus ab, von <strong>de</strong>r Produktion<br />
über Auslieferung, Verkauf und<br />
Installation bis hin zum Service. Es gibt<br />
sieben verschie<strong>de</strong>ne<br />
Konformitätsebenen, die durch die<br />
Bezeichnung EAL unterschie<strong>de</strong>n wer<strong>de</strong>n.<br />
Chipkarte<br />
Eine kreditkartengroße Karte, die in<br />
Kombination mit einem Zugriffsco<strong>de</strong><br />
verwen<strong>de</strong>t wird, um zertifikatbasierte<br />
Authentifizierung zu ermöglichen. Auf<br />
Chipkarten können Zertifikate,<br />
öffentliche und private Schlüssel,
Zusammenfassung<br />
Glossar<br />
D<br />
Kennwörter und an<strong>de</strong>re persönliche<br />
Daten sicher gespeichert wer<strong>de</strong>n.<br />
Datenschutz<br />
Datenschutz bezieht sich auf <strong>de</strong>n<br />
Umfang <strong>de</strong>r Kontrolle, die<br />
Einzelpersonen über die Erfassung,<br />
Verwendung und Weitergabe ihrer<br />
persönlichen Informationen haben.<br />
Datenübermittlung<br />
Einer <strong>de</strong>r Hauptaspekte im Datenschutz:<br />
die Übermittlung persönlicher Daten<br />
zwischen Einheiten, wie z. B. eine<br />
Kun<strong>de</strong>nliste, die von zwei Unternehmen<br />
gemeinsam genutzt wird.<br />
Denial of Service (DoS)<br />
Bei einem DoS-Angriff verhin<strong>de</strong>rt ein<br />
böswilliger Anwen<strong>de</strong>r <strong>de</strong>n Zugriff eines<br />
an<strong>de</strong>ren Anwen<strong>de</strong>rs, Prozesses o<strong>de</strong>r<br />
Systems auf eine Netzwerkressource.<br />
Beispiele für DoS-Angriffe sind das<br />
Überlasten von Netzwerkverbindungen,<br />
Überfüllen von Speicherplatz,<br />
Deaktivieren von Ports o<strong>de</strong>r das Kappen<br />
<strong>de</strong>r Energieversorgung.<br />
Digitales Zertifikat<br />
Ein digital signiertes Element, das die<br />
Authentifizierungsdaten eines<br />
Anwen<strong>de</strong>rs, Computers o<strong>de</strong>r Service mit<br />
einem öffentlichen/privaten<br />
Schlüsselpaar verknüpft. Digitale<br />
Zertifikate kommen bei <strong>de</strong>r<br />
Authentifizierung und <strong>de</strong>r Absicherung<br />
von Informationen in Netzwerken zum<br />
Einsatz.<br />
Digitale Signatur<br />
An gesen<strong>de</strong>te Informationen<br />
angehängte Daten zur I<strong>de</strong>ntifizierung<br />
<strong>de</strong>s Absen<strong>de</strong>rs. Eine digitale Signatur<br />
kann an beliebige Nachrichten, Dateien<br />
E<br />
o<strong>de</strong>r an<strong>de</strong>re digitale Informationen<br />
angehängt o<strong>de</strong>r separat übermittelt<br />
wer<strong>de</strong>n. Digitale Informationen, die mit<br />
einer digitalen Signatur übermittelt<br />
wer<strong>de</strong>n, können ohne Verlust <strong>de</strong>r<br />
Signatur nicht bearbeitet wer<strong>de</strong>n. In<br />
einigen Län<strong>de</strong>rn, darunter alle Län<strong>de</strong>r<br />
<strong>de</strong>r Europäischen Union, haben digitale<br />
Signaturen rechtliche Relevanz.<br />
Allerdings ist nicht ein<strong>de</strong>utig geklärt,<br />
inwieweit die entsprechen<strong>de</strong>n Gesetze<br />
auch auf kryptografische digitale<br />
Signaturen anwendbar sind, sodass<br />
<strong>de</strong>ren rechtliche Be<strong>de</strong>utung unsicher<br />
ist.<br />
Distributed Denial of Service (DDoS)<br />
Eine Son<strong>de</strong>rform <strong>de</strong>s DoS-Angriffs, bei<br />
<strong>de</strong>r ein Angreifer auf mehreren<br />
Computern einen schädlichen Co<strong>de</strong><br />
installiert, um ein einziges Ziel<br />
anzugreifen.<br />
DoD 5220.22-M<br />
DoD 5220.22-M wird gelegentlich als<br />
Standard für das Löschen ohne<br />
Datenremanenz zitiert. Er ist auch als<br />
NISPOM (NISP Operating Manual)<br />
bekannt und wur<strong>de</strong> vom National<br />
Industrial Security Program (NISP)<br />
herausgegeben, einer US-Behör<strong>de</strong>, in<br />
<strong>de</strong>ren Verantwortungsbereich <strong>de</strong>r<br />
Zugriff von Privatunternehmen auf<br />
klassifizierte Informationen fällt.<br />
Systeme von Canon sind <strong>de</strong>rzeit nicht<br />
mit <strong>de</strong>m Standard DoD 5220.22-M<br />
konform.<br />
Entschlüsselung<br />
Das Verfahren, mit <strong>de</strong>m verschlüsselte<br />
Inhalte wie<strong>de</strong>r in ihren Originalzustand<br />
zurückversetzt wer<strong>de</strong>n.<br />
73
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Glossar<br />
74<br />
F<br />
H<br />
EU-Datenschutzrichtlinie<br />
Ein Gesetz <strong>de</strong>r Europäischen Union<br />
(EU), das besagt, dass persönliche<br />
Daten aus EU-Län<strong>de</strong>rn nur dann in<br />
Nicht-EU-Län<strong>de</strong>r übermittelt wer<strong>de</strong>n<br />
dürfen, wenn diese über ausreichen<strong>de</strong><br />
Datenschutzmaßnahmen verfügen.<br />
Unternehmen sind verpflichtet,<br />
Einzelpersonen darüber zu informieren,<br />
warum Daten von ihnen erfasst wer<strong>de</strong>n,<br />
wie sie das Unternehmen mit<br />
Rückfragen und Beschwer<strong>de</strong>n<br />
kontaktieren können, an welche Dritte<br />
die Daten weitergeleitet wer<strong>de</strong>n und<br />
welche Möglichkeiten bestehen, <strong>de</strong>r<br />
Offenlegung bestimmter Informationen<br />
zu wi<strong>de</strong>rsprechen. Dabei muss eine<br />
ausreichen<strong>de</strong> Wi<strong>de</strong>rspruchsfrist<br />
eingeräumt wer<strong>de</strong>n, damit Personen<br />
die Möglichkeiten prüfen und ggf. auch<br />
<strong>de</strong>r Erfassung <strong>de</strong>r Daten durch das<br />
Unternehmen wi<strong>de</strong>rsprechen können.<br />
Firewall<br />
Eine Firewall schützt vor Angriffen,<br />
in<strong>de</strong>m sie einen Teil <strong>de</strong>s Netzwerkes<br />
von einem an<strong>de</strong>ren abtrennt und nur<br />
autorisierten Datenverkehr gemäß<br />
bestimmten Filterregeln passieren lässt.<br />
FTP<br />
Das File Transfer Protocol (FTP) ist ein<br />
Netzwerkprotokoll zur Übertragung von<br />
Daten von einem Computer auf einen<br />
an<strong>de</strong>ren über ein Netzwerk, wie zum<br />
Beispiel das Internet.<br />
Health Insurance Portability and<br />
Accountability Act (HIPAA)<br />
Eine US-Vorschrift, die Patienten <strong>de</strong>n<br />
Zugriff auf ihre eigene Krankenakte<br />
erleichtert und ihnen größere Kontrolle<br />
über die Verwendung aller<br />
personenbezogenen Krankheitsdaten<br />
I<br />
gibt. Die Vorschrift befasst sich auch mit<br />
<strong>de</strong>r Verpflichtung von Dienstleistern im<br />
Gesundheitswesen zum Schutz von<br />
Patientendaten. Betroffene Dienstleister<br />
im Gesundheitswesen, die bestimmte<br />
finanzielle und administrative<br />
Transaktionen mithilfe elektronischer<br />
Metho<strong>de</strong>n durchführen, mussten bis<br />
zum 14. April 2003 ihre Konformität mit<br />
dieser Vorschrift nachweisen.<br />
HTTP<br />
Das Hypertext Transfer Protocol (HTTP)<br />
ist ein Kommunikationsprotokoll für die<br />
Übermittlung von Informationen im<br />
Internet.<br />
HTTPS<br />
(HyperText Transport Protocol<br />
Secure)<br />
HTTPS ist kein eigenes Protokoll,<br />
son<strong>de</strong>rn bezieht sich auf die<br />
Kommunikation per HTTP über eine<br />
verschlüsselte SSL-Verbindung (Secure<br />
Sockets Layer). <strong>Sie</strong>he auch SSL.IPP<br />
Das Internet Printing Protocol (IPP) ist<br />
ein Standard-Netzwerkprotokoll für<br />
Remote-Druckvorgänge sowie zur<br />
Verwaltung von Druckaufträgen.<br />
Wie alle IP-basierten Protokolle erlaubt<br />
IPP sowohl <strong>de</strong>n Zugriff auf lokale<br />
Drucker als auch über das Internet auf<br />
Drucker an an<strong>de</strong>ren Standorten. Im<br />
Unterschied zu an<strong>de</strong>ren<br />
Druckprotokollen unterstützt IPP auch<br />
Zugriffskontrolle, Authentifizierung und<br />
Verschlüsselung und ist daher weitaus<br />
leistungsfähiger und sicherer als ältere<br />
Drucklösungen.<br />
IEEE P2600<br />
Die IEEE Standards Association (IEEE-SA)<br />
hat mit <strong>de</strong>r Arbeit an IEEE P2600(TM)
Zusammenfassung<br />
Glossar<br />
K<br />
begonnen, einem IT-Standard für die<br />
Sicherheit von Hardcopy-Systemen:<br />
Hardcopy System and Device Security:<br />
Dieser neue Standard <strong>de</strong>finiert<br />
Sicherheitsanfor<strong>de</strong>rungen für Hersteller,<br />
Software-Anbieter und Anwen<strong>de</strong>r von<br />
Druckern, Kopierern,<br />
Multifunktionssystemen und ähnlichen<br />
Geräten sowie für die<br />
Computersysteme, von <strong>de</strong>nen diese<br />
unterstützt wer<strong>de</strong>n. Der Standard wird<br />
zahlreiche Sicherheitsaspekte in Bezug<br />
auf Entwicklung, Auswahl, Installation,<br />
Konfiguration und Verwendung dieser<br />
Systeme ab<strong>de</strong>cken.<br />
IPPS<br />
Das sichere Internet Printing Protocol<br />
unterstützt verschlüsseltes Drucken.<br />
IPsec<br />
IPsec-Protokolle arbeiten auf <strong>de</strong>r<br />
Netzwerkebene (Ebene 3 <strong>de</strong>s<br />
OSI-Mo<strong>de</strong>lls). An<strong>de</strong>re sichere<br />
Internetprotokolle, wie z. B. SSL,<br />
arbeiten auf <strong>de</strong>r Transportebene und<br />
darüber (OSI-Ebenen 4 bis 7). Dadurch<br />
ist IPsec flexibler, da es zum Schutz von<br />
Protokollen auf <strong>de</strong>r Transportebene<br />
eingesetzt wer<strong>de</strong>n kann. IPsec hat<br />
gegenüber SSL und an<strong>de</strong>ren Metho<strong>de</strong>n<br />
auf höheren Ebenen einen<br />
wesentlichen Vorteil: Eine Anwendung<br />
muss nicht für die Verwendung von<br />
IPsec programmiert sein. Bei SSL und<br />
an<strong>de</strong>ren Protokollen auf höheren<br />
Ebenen ist dies dagegen ein Muss.<br />
Kennwort<br />
Eine Zeichenfolge zur Bestätigung <strong>de</strong>r<br />
eigenen I<strong>de</strong>ntität bei einem Netzwerk<br />
o<strong>de</strong>r einem lokalen Computer.<br />
L<br />
M<br />
N<br />
Kennwortsynchronisierung<br />
Eine Metho<strong>de</strong> zur Replizierung von<br />
Kennwörtern zwischen mehreren<br />
Computern, Systemen, Ordnern o<strong>de</strong>r<br />
Netzwerken, damit dasselbe Kennwort<br />
in allen Umgebungen verwen<strong>de</strong>t<br />
wer<strong>de</strong>n kann.<br />
Lokaler Angriff<br />
Ein Angriff auf <strong>de</strong>n Computer, bei <strong>de</strong>m<br />
<strong>de</strong>r Angreifer angemel<strong>de</strong>t ist.<br />
MEAP<br />
MEAP (Multifunctional Embed<strong>de</strong>d<br />
Application Platform) ist eine Plattform<br />
zur Anwendungsentwicklung, die das<br />
Erstellen integrierter Anwendungen für<br />
Multifunktions-Peripheriesysteme von<br />
Canon erlaubt. Angepasste<br />
Anwendungen können zur direkten<br />
Ausführung auf <strong>de</strong>m System erstellt<br />
wer<strong>de</strong>n.<br />
Message Authentication Co<strong>de</strong> (MAC)<br />
Ein Algorithmus, mit <strong>de</strong>ssen Hilfe ein<br />
Datenempfänger überprüfen kann, ob<br />
ein Datenblock zwischen <strong>de</strong>m Zeitpunkt<br />
<strong>de</strong>s Absen<strong>de</strong>ns und Empfangens<br />
geän<strong>de</strong>rt wur<strong>de</strong>.<br />
Netzwerk-Anmeldung<br />
Das Verfahren zur Anmeldung bei<br />
einem Computer über ein Netzwerk.<br />
Nichtwi<strong>de</strong>rlegbarkeit<br />
Die Zusicherung, dass eine Person, die<br />
auf einem Computer eine bestimmte<br />
Aktion durchgeführt hat, dies nicht<br />
leugnen kann. Bei <strong>de</strong>r<br />
Nichtwi<strong>de</strong>rlegbarkeit wird ein Beweis<br />
<strong>de</strong>r durchgeführten Aktion erbracht,<br />
z. B. <strong>de</strong>s Überweisens von Geldmitteln<br />
o<strong>de</strong>r <strong>de</strong>s Autorisierens eines Kaufs.<br />
75
Der umfassen<strong>de</strong> Leitfa<strong>de</strong>n zur<br />
Dokumentensicherheit im Büro<br />
Glossar<br />
O<br />
P<br />
Öffentlicher Schlüssel<br />
Einer von zwei bei <strong>de</strong>r<br />
Public-Key-Verschlüsselung<br />
verwen<strong>de</strong>ten Schlüsseln. Der Anwen<strong>de</strong>r<br />
macht diesen Schlüssel öffentlich<br />
zugänglich und je<strong>de</strong>r an<strong>de</strong>re Anwen<strong>de</strong>r<br />
kann ihn verwen<strong>de</strong>n, um Nachrichten<br />
zu verschlüsseln und zu sen<strong>de</strong>n o<strong>de</strong>r<br />
um die digitale Signatur <strong>de</strong>s Anwen<strong>de</strong>rs<br />
zu bestätigen.<br />
Personal I<strong>de</strong>ntification Number<br />
(PIN)<br />
Ein geheimer I<strong>de</strong>ntifikations-Co<strong>de</strong>,<br />
ähnlich einem Passwort. Wird als<br />
Zugang für Bank-Transaktionen o<strong>de</strong>r<br />
Authentifizierung an einem<br />
MFP genutzt.<br />
Personally I<strong>de</strong>ntifiable<br />
Information (PII)<br />
Je<strong>de</strong> Information, die sich ein<strong>de</strong>utig auf<br />
eine Einzelperson bezieht. Dies umfasst<br />
zum Beispiel Name, Land, Postanschrift,<br />
E-Mail-Adresse, Kreditkartennummer<br />
und IP-Adresse. Wird auch als<br />
„personenbezogene Daten“ o<strong>de</strong>r<br />
„persönliche Daten“ bezeichnet.<br />
S<br />
entschlüsseln, die mit <strong>de</strong>m<br />
entsprechen<strong>de</strong>n öffentlichen Schlüssel<br />
verschlüsselt wur<strong>de</strong>n.<br />
Public-Key-Verschlüsselung<br />
Eine Verschlüsselungsmetho<strong>de</strong>, bei <strong>de</strong>r<br />
ein Paar mathematisch verknüpfter<br />
Schlüssel verwen<strong>de</strong>t wird: ein<br />
öffentlicher und ein privater Schlüssel.<br />
Je<strong>de</strong>r Schlüssel kann zum Verschlüsseln<br />
von Daten verwen<strong>de</strong>t wer<strong>de</strong>n, die<br />
Entschlüsselung ist aber nur mit <strong>de</strong>m<br />
entsprechen<strong>de</strong>n Gegenstück möglich.<br />
Public Key Infrastructure (PKI)<br />
Das Framework zur Verwaltung <strong>de</strong>r<br />
Nutzung von Public-Key-Kryptografie in<br />
öffentlichen Netzwerken (z. B. Internet).<br />
Remote-Angriff<br />
Ein böswilliger Angriff auf einen<br />
an<strong>de</strong>ren Computer als <strong>de</strong>rjenige, bei<br />
<strong>de</strong>m <strong>de</strong>r Angreifer angemel<strong>de</strong>t ist.<br />
Schutzmaßnahme<br />
Eine Technologie, eine Richtlinie o<strong>de</strong>r<br />
ein Verfahren zur Abwehr von<br />
Bedrohungen.<br />
76<br />
Physische Schwachstelle<br />
Mangel an physischer Sicherheit für<br />
einen Computer. Beispiel: Ein offen<br />
zugänglicher Computer wird nicht<br />
heruntergefahren und kann von<br />
unbefugten Anwen<strong>de</strong>rn benutzt<br />
wer<strong>de</strong>n.<br />
Privater Schlüssel<br />
Einer von zwei bei <strong>de</strong>r<br />
Public-Key-Verschlüsselung<br />
verwen<strong>de</strong>ten Schlüsseln. Der Anwen<strong>de</strong>r<br />
hält <strong>de</strong>n privaten Schlüssel geheim und<br />
verwen<strong>de</strong>t ihn in <strong>de</strong>r Regel, um Daten<br />
digital zu signieren o<strong>de</strong>r Daten zu<br />
Schlüssel<br />
Ein Wert, <strong>de</strong>r in Kombination mit einem<br />
Algorithmus zum Ver- und<br />
Entschlüsseln von Daten verwen<strong>de</strong>t<br />
wird.<br />
Secure Sockets Layer (SSL)<br />
Ein Protokoll, das mithilfe von<br />
Verschlüsselung eine sichere<br />
Datenkommunikation ermöglicht.<br />
Es erlaubt Authentifizierung,<br />
Integritätssicherung und Datenschutz<br />
durch eine Kombination von digitalen<br />
Zertifikaten, Public-Key-Kryptografie und<br />
Massenverschlüsselung.
Zusammenfassung<br />
Glossar<br />
V<br />
Sekundäre Datennutzung<br />
Verwendung persönlicher<br />
Informationen für an<strong>de</strong>re als die bei <strong>de</strong>r<br />
Erfassung <strong>de</strong>r Informationen<br />
angegebenen Zwecke.<br />
SNTP<br />
Das (Simple) Network Time Protocol ist<br />
ein Standard zur Synchronisierung von<br />
Uhren in Computersystemen über<br />
paketbasierte Kommunikationsnetze.<br />
SOX<br />
SOX reguliert Finanzdaten von<br />
Unternehmen und verhängt Strafen bei<br />
<strong>de</strong>ren Missbrauch. Es legt fest, welche<br />
Art von Finanzdaten über welchen<br />
Zeitraum erfasst wer<strong>de</strong>n müssen. SOX<br />
trat nach <strong>de</strong>n Skandalen um Enron und<br />
WorldCom zu Beginn dieses<br />
Jahrtausends in Kraft und wirkt sich auf<br />
Datenspeicherkapazitäten und -planung<br />
aus. Nur relevant für Unternehmen, die<br />
an <strong>de</strong>r US-Börse notiert sind.<br />
Sicheres Kennwort<br />
Ein sicheres Kennwort bietet<br />
ausreichen<strong>de</strong>n Schutz vor <strong>de</strong>m Zugriff<br />
auf eine Ressource durch Unbefugte.<br />
Verschlüsselte Daten<br />
Daten, die von reinem Text in ein<br />
verschlüsseltes Format umgewan<strong>de</strong>lt<br />
wur<strong>de</strong>n.<br />
Verschlüsselung<br />
Das Verfahren zur Umwandlung von<br />
Daten in ein codiertes Format, um zu<br />
verhin<strong>de</strong>rn, dass sie von Unbefugten<br />
gelesen und interpretiert wer<strong>de</strong>n.<br />
W<br />
Z<br />
Verfügbarkeit<br />
Das Verfahren, um sicherzustellen, dass<br />
vertrauliche Informationen je<strong>de</strong>rzeit und<br />
im richtigen Format von <strong>de</strong>n jeweils<br />
autorisierten Personen abgerufen<br />
wer<strong>de</strong>n können.<br />
Vertrauliche Daten<br />
Aus Sicht <strong>de</strong>r Europäischen Union<br />
personenbezogene Daten zu Rasse<br />
o<strong>de</strong>r Hautfarbe, politischen, religiösen<br />
o<strong>de</strong>r philosophischen Überzeugungen,<br />
sexueller Orientierung o<strong>de</strong>r<br />
Mitgliedschaft in einer Gewerkschaft.<br />
Wi<strong>de</strong>rlegbarkeit<br />
Die Möglichkeit eines Anwen<strong>de</strong>rs, die<br />
Durchführung einer Aktion zu leugnen,<br />
ohne dass ihm dies von Dritten<br />
nachgewiesen wer<strong>de</strong>n kann. Zum<br />
Beispiel kann ein Anwen<strong>de</strong>r, <strong>de</strong>r eine<br />
Datei gelöscht hat, dies erfolgreich<br />
leugnen, wenn kein Mechanismus<br />
vorhan<strong>de</strong>n ist (z. B. Audit-Dateien), <strong>de</strong>r<br />
dieser Behauptung wi<strong>de</strong>rspricht.<br />
Zertifikat<br />
Eine verschlüsselte Datei, die<br />
Informationen zur I<strong>de</strong>ntität eines<br />
Anwen<strong>de</strong>rs o<strong>de</strong>r Servers enthält. Ein<br />
Zertifikat wird eingesetzt, um die<br />
I<strong>de</strong>ntität zu bestätigen und eine<br />
gesicherte Verbindung herzustellen.<br />
Zugriffskontrolle<br />
Zugriffskontrolle wird eingesetzt, um<br />
Informationen einzuschränken, auf die<br />
Anwen<strong>de</strong>r entsprechend ihrer I<strong>de</strong>ntität<br />
o<strong>de</strong>r Gruppenmitgliedschaft zugreifen<br />
dürfen. Die Kontrolle kann obligatorisch,<br />
nach Ermessen o<strong>de</strong>r rollenbasiert<br />
erfolgen.<br />
77
„Canon hat ein Netzwerk für <strong>de</strong>n sicheren<br />
Druck geliefert, das uns jährlich ca.<br />
1 Million Euro an Kosten einspart.“<br />
Dr. Roland Kreig, Chief Information Officer,<br />
Fraport AG, Deutschland<br />
Sprechen <strong>Sie</strong> mit <strong>de</strong>n Experten<br />
von Canon darüber, wie unsere<br />
Sicherheitslösungen die<br />
Informationen in <strong>Ihre</strong>n<br />
Dokumenten schützen<br />
können.<br />
78
www.<strong>canon</strong>.<strong>de</strong>/securitysolutions<br />
79
Canon Inc.<br />
<strong>canon</strong>.com<br />
Canon Europe<br />
<strong>canon</strong>-europe.com<br />
German Edition<br />
© Canon Europa N.V., 2011<br />
Canon Deutschland GmbH<br />
Europark<br />
Fichtenhain A10<br />
D-47807 Krefeld<br />
Tel.: +49 2151 345 0<br />
Fax: +49 2151 345 102<br />
<strong>canon</strong>.<strong>de</strong>