Anders als Arbeitsplatzdrucker stehen die Multifunktionsgeräte häufig nicht in Sichtweite der Anwender auf Fluren oder sogar in separaten Räumen und bieten somit potenziell ein leichtes Spiel für Datendiebe. Sie sind ein durchaus attraktives Ziel. Denn über sie laufen vertraulich zu behandelnde, sensitive Daten, beispielsweise Kundenverträge, Gehaltsabrechnungen, Finanzberichte, Wettbewerbs- oder Marktanalysen.
Zudem enthalten Multifunktionsgeräte komplexe Netzwerktechnik. Dazu gehört zum einen ein Web-Server, den ein Administrator zum Beispiel für die Konfiguration der Funktionen nutzt. Zum anderen muss prinzipiell ein Controller - entweder im Gerät selbst oder als separates Device - vorhanden sein. Er empfängt die Druckdaten aus dem Netzwerk und bereitet sie für den Druck vor. Diese Dateien werden auf der Festplatte des Geräts gespeichert und bleiben auch nach Beendigung des Ausdrucks bestehen. Der Netzwerkzugriff auf die Druckerfestplatte stellt also eine potenzielle Schwachstelle dar, denn prinzipiell können Unbefugte die Daten von den Festplatten der Geräte auslesen.
Ein solches System ist einerseits in die interne Infrastruktur des Unternehmens eingebunden und somit dem potenziellen Missbrauch durch Mitarbeiter ausgesetzt. Andererseits öffnet es durch die Anbindung etwa an einen Mail-Server und nicht zuletzt durch die vorhandene Faxleitung externen Angreifern Tür und Tor. Denial-of-Service-Attacken über das Internet oder Virenangriffe per E-Mail wären denkbare Angriffsszenarien.
Verräterische Festplatten
Um die Druckerfestplatten vor unbefugtem Zugriff zu schützen, gibt es beispielsweise Wechsellaufwerke als Zubehör: Somit kann der Administrator diese Festplatten bei Bedarf aus den Geräten entfernen, um den Zugriff auf geheime Daten zu verhindern. Die Verwaltung dieser Laufwerke stellt jedoch Administratoren vor neue Probleme.
Eine sichere Alternative dazu liefert die Funktion des so genannten Image Overwrite. Diese Option überschreibt automatisch nach Beendigung jedes Ausdrucks alle im Rahmen der Auftragsverarbeitung gespeicherten Dateien von der Festplatte. Um auch deren Wiederherstellung durch ausgeklügelte forensische Methoden vorzubeugen, bietet Xerox beispielsweise zusätzlich einen dreimal durchlaufenden Algorithmus, der die Daten "schreddert". Diese Image-Overwrite-Option ist Common-Criteria-zertifiziert.
Der Möglichkeit für Unbefugte, sich über eine Faxleitung eines Multifunktionsgerätes Zugang zum firmeninternen Netzwerk zu verschaffen, lässt sich mit einem Faxmodul entgegenwirken, das von allem anderen unabhängig ist. Die Fax- oder Telefonleitungen sind in diesem Fall physikalisch von den anderen Netzwerkeinheiten getrennt. Dies bedeutet, dass von außerhalb lediglich Faxe, also Grafiken, ankommen, die sich automatisch an eine kennwortgeschützte Fax-Mailbox oder auf das Gerät leiten lassen, wo ein berechtigter Benutzer sie für den Ausdruck abholt.
Anwender authentifizieren
Darüber hinaus sollten Unternehmen für das Scannen und Verschicken von Dokumenten per E-Mail die Authentifizierung von Netzwerknutzern mit User-Namen und Kennwort in Betracht ziehen. Dann nämlich erhält die Mail als Absender die Adresse des Anwenders und nicht die des Gerätes. Damit lässt sich Datenmissbrauch verhindern.
Die Gewährleistung der Vertraulichkeit von Daten ist gerade bei Druckern, die auf die Nutzung durch mehrere Personen ausgelegt sind, besonders wichtig. Damit ausgedruckte Dokumente nicht in falsche Hände geraten, hat der Anwender die Möglichkeit, das zu druckende Dokument mit einer persönlichen Identifikationsnummer (PIN), die er frei wählen kann, an das Ausgabegerät zu schicken. Der Job wird erst dann ausgeführt, wenn der Anwender diese PIN selbst am Drucker eingibt. Bei manchen Herstellern liegen diese druckfertigen Dokumente bereits in fertig aufbereiteter Form vor, so dass die Wartezeit am Gerät während der Ausgabe verkürzt wird.
Der Web-Server im Drucker steht nicht nur Administratoren für ihre Aufgaben zur Verfügung. Auch Anwender können ihn nutzen, etwa um sich Warteschlangen anzeigen zu lassen oder den Papierstand im Gerät zu kontrollieren. Damit ungewollte Manipulationen oder ein Netzwerkangriff über diesen Weg ausgeschlossen sind, lässt sich der Zugriff auf den Web-Server auf bestimmte IP-Adressen einschränken.
Protokollzugriff begrenzen
Neben dem Zugang von IP-Adressen sollte auch der Zugriff anderer Protokolle restriktiv gehandhabt werden. Zum Beispiel kann es der Sicherheit dienlich sein, FTP (File Transfer Protocol) für das Übertragen von Druckdateien (PCL und Postscript), Bildern (Tiff) oder PDF-Dateien zu sperren. Der Grund: Mit Hilfe des Protokolls lassen sich auch Dateien für eine Denial-of-Service-Attacke oder sonstige Angriffe auf das Netz transportieren.
Unabhängig davon, wie ein Unternehmen die Sicherheit der einzelnen Funktionen eines Multifunktionsgeräts gewährleistet, sollte es das System in die allgemeine interne Sicherheitsstrategie einbinden. Dazu gehört selbstverständlich auch die Integration des Gerätes in die Firewall.
Für die Zugriffs- und Funktionsbeschränkungen oder die Authentifizierung der Benutzer empfiehlt es sich dringend, die bereits vorhandenen Sicherheitsvorkehrungen und -einstellungen beispielsweise in einem LDAP-Verzeichnis zu verwenden. Das bedeutet, dass die Anwender dieselben Benutzernamen und Kennwörter sowohl für ihren Zugang zum Netzwerk als auch zum Drucker eingeben können. Das Gerät nimmt dann Verbindung zur "Sicherheitsautorität" im Unternehmensverzeichnis auf, und diese prüft die Angaben des Benutzers.
Der Vorteil eines solchen Vorgehens liegt in der einheitlichen Administration der Sicherheitsinformationen der Anwender. Die größte Herausforderung bei der Absicherung eines Multifunktionsgeräts besteht jedoch darin, die richtige Balance zwischen möglichst lückenloser Sicherheit und komfortabler Nutzbarkeit eines solchen Systems zu erreichen. (ls)