Jede Hardware Entscheidung ist auch eine Sicherheitsentscheidung.

Security Management für Printer

„Drucker sind gefährlicher als Smartphones“

06.06.2018
Sicherheitstechnisch werden Drucker in Unternehmen häufig stiefmütterlich behandelt. Das kann dazu führen, dass kriminelle Hacker über Printgeräte ins Unternehmensnetz eindringen. Das sollten Sie unbedingt verhindern! Wir sagen Ihnen wie.

Beim Thema Druckersicherheit denken Viele an Dokumentensicherheit und daran, wie man verhindert, dass vertrauliche Dokumente an der Druckausgabe entwendet werden. Solche Gedanken und entsprechende Vorsichtsmaßnahmen sind zwar richtig und unverzichtbar, aber leider nur ein kleiner Teil der Herausforderung. "Wir müssen Drucker mehr ins Bewusstsein der Sicherheitsverantwortlichen in den Unternehmen bringen und deutlich machen, dass Drucker sicherheitstechnisch wie alle anderen Endgeräte behandelt werden müssen", sagt Stefan Dydak, Senior Security Advisor bei HP. Drucker sind eben nicht nur die unscheinbaren, aber unverzichtbaren Geräte, sondern dienen Hackern häufig als Einfallstor in das Unternehmensnetzwerk. Sie sind ein lohnenswertes Ziel, da sie im Netzwerk häufig an ein Active Directory angeschlossen sind. So könnten Hacker mit Zugriff auf einen Printer leicht privilegierte Zugangsrechte abgreifen und damit Zugang zum ganzen Netzwerk bekommen.

"Wir erleben bei unseren Audits in Unternehmen immer wieder, dass wir schon bei Stichproben Geräte finden, die nicht den vorgegebenen Sicherheitsrichtlinien entsprechen" - Stefan Dydak, Senior Security Advisor bei HP
"Wir erleben bei unseren Audits in Unternehmen immer wieder, dass wir schon bei Stichproben Geräte finden, die nicht den vorgegebenen Sicherheitsrichtlinien entsprechen" - Stefan Dydak, Senior Security Advisor bei HP
Foto: Sergey Nivens - shutterstock.com

Drucker sind nicht im CISO-Fokus

"Aus sicherheitstechnischer Sicht sind Drucker gefährlicher als Smartphones, da sie häufig nicht auf dem Radar der IT Security sind", bringt es Dydak auf den Punkt. Zwei Umfragen bestätigten die in vielen Audits gewonnene Ansicht des Sicherheitsberaters: IDC-Analysten zufolge betrachtet nur jeder zweite befragte IT-Verantwortliche Drucker überhaupt als Sicherheitsrisiko. Und laut einer Spiceworks-Studie hat weniger als die Hälfte der Unternehmen die Drucker ins Netzwerksicherheitskonzept integriert.

Weil sich das - nicht zuletzt wegen der jüngst in Kraft getretenenDSGVO - schleunigst ändern muss, empfiehlt Dydak den CISOs, die Druckerflotte unbedingt in die allgemeine, unternehmensweite Sicherheitsstrategie einzubeziehen. "Der CISO und das IT-Team brauchen ein Dashboard, das ihnen permanent eine globale, holistische Sicht auf die komplette IT-Infrastruktur gibt", sagt der Sicherheitsexperte. Hierfür ist eine Sicherheitsmanagement-Lösung für Drucker unerlässlich - wie beispielsweise der HP JetAdvantage Security Manager.

Monitoring der Sicherheitseinstellungen von Druckern

Mit dem Security Manager kann das IT-Team die Sicherheitsfunktionen von HP-Druckern automatisch konfigurieren und - was für das Druckerflotten-Security-Management noch wichtiger ist - permanent kontrollieren. Entdeckt der Security Manager bei der Überwachung der Drucker eine Abweichung von der vorgegebenen Richtlinie, korrigiert er umgehend und automatisch die erkannten falschen Einstellungen. Außerdem hat die Lösung im Rahmen des permanenten Monitorings der Druckerinfrastruktur jeden neu ans Netzwerk angeschlossenen HP-Drucker sofort im Radar. Unterstützt das "Neugerät" HP Instant-on Security, dann spielt der Security Manager automatisch die gemäß der Sicherheitsstrategie definierte Security-Konfiguration auf. So ist der Drucker von Anfang an automatisch geschützt.

Das alles wird in einem Bericht dokumentiert, sodass das IT-Security-Team die sicherheitstechnischen Vorgänge innerhalb der Druckerflotte jederzeit nachvollziehen kann. Das permanente Monitoring und automatisierte Reporting sind die Gründe, warum Sicherheitsexperte Stefan Dydak den Security Manager als Security Compliance Tool bezeichnet. "Wir erleben bei unseren Audits in Unternehmen immer wieder, dass wir schon bei Stichproben Geräte finden, die nicht den vorgegebenen Sicherheitsrichtlinien entsprechen", berichtet Dydak. "Meist stellt sich dann heraus, dass die Konfiguration bereits vor langer Zeit vorgenommen wurde, mangels Überwachung aber unbemerkt verändert werden konnte. Mit dem Security Manager als einem von vielen Tools zur Umsetzung der Sicherheitspolitik des Unternehmens und einem Dashboard, das dem IT-Security-Team ständig den Zustand aller Netzwerkkomponenten zeigt, kann so etwas nicht passieren."

Access Management für Druckerberechtigungen

Auch wenn Sicherheitsspezialist Dydak die Integration der Druckerflotte ins unternehmensweite Security-Monitoring einfordert, warnt er davor, sich mit der technischen Überwachung zufrieden zu geben. Denn häufig stellen organisatorische Risiken die größte Gefahr dar. Der Mensch ist immer das schwächste Glied. Um auch solche prozessbezogene Risiken zu adressieren, braucht es noch die Integration der Druckerinfrastruktur in die organisatorischen Kontrollabläufe. Die Verantwortlichen in den Unternehmen sollten zum Beispiel Klarheit darüber haben, wer in der Firma die Drucker administriert, wer Kenntnis von den Administrationspasswörtern hat und wer darüber hinaus Administrationsrechte für andere IT-Komponenten hat.

"Was ist, wenn diese Leute ihre Rolle wechseln, oder das Unternehmen verlassen? Wird dann der Zugang zur Druckerflotte gelöscht?", fragt Dydak. Für normale Angestellte wird das über das Active Directory geregelt. Aber gilt das auch für das Druckumfeld? "Ich stelle bei unseren Analysen in Unternehmen oft fest, dass das eben nicht der Fall ist. Dabei häufen Admins oft Zugangsrechte in der Druckerverwaltung und als Administrator für Server und Datenbanken an. Hat einer dieser Admins schlechte Absichten, oder kann ein Angreifer diese Credentials abgreifen, ist oft ein vollständiger Zugriff auf das Netzwerk und somit auf Daten die Folge."

Nur ein weiterer Grund, warum CISOs die Sicherheitsstrategie Ihres Unternehmens - falls nicht bereits geschehen - umgehend auf die Druckerflotte in ihrem Unternehmen ausweiten sollten.