Jede Hardware Entscheidung ist auch eine Sicherheitsentscheidung.

Ungeahnte Gefahrenquelle

Druckersicherheit gehört auf den Prüfstand

27.04.2018
Geht es um Sicherheit, werden Multifunktionsgeräte und Drucker von der Unternehmens-IT noch allzu häufig unterschätzt. Das muss sich schnellstens ändern, denn falsch konfigurierte und schlecht gesicherte Geräte dienen Hackern oftmals als Einfallstor in das Unternehmensnetzwerk.

Dass PCs und Notebooks vor Angriffen aus dem Internet geschützt werden müssen, ist mittlerweile jedem bewusst. Dass Smartphones und Tablets, die Zugang zu Unternehmensdaten und -anwendungen haben, ebenfalls Teil des IT-Security-Konzepts sein müssen, hat sich ebenfalls herumgesprochen. Aber wie sieht es eigentlich mit den Sicherheitsmaßnahmen bei Druckern und Multifunktionsgeräten aus? Nicht gut, moniert Matthias Zacher, Senior Consultant bei IDC, im aktuellen IDC-Whitepaper "Das unterschätzte Security-Risiko": "Die Gefahr, die von Druckern als Einfallstor in die Unternehmens-IT ausgeht, wird immer noch deutlich unterschätzt", bringt Zacher die Erkenntnisse auf den Punkt.

Sorglosigkeit bezüglich der Druckersicherheit

In einer von Hardware-Hersteller HP beauftragten Umfrage von IDC stuft lediglich die Hälfte der befragten Manager Drucker als ein Sicherheitsrisiko ein. Während sie beim Einsatz von Smartphones, Tablets, Speichermedien, PCs und Notebooks ein hohes Risiko für die Integrität der Daten und der Unternehmens-IT sehen, halten sie Drucker, Multifunktionsgeräte und Geräte aus der Präsentationstechnik eher für unbedenklich. Ein größeres Risikobewusstsein ist bei Firmen mit einer überdurchschnittlichen Druckerdurchdringung zu beobachten. Sie schätzen die Gefahren durch diese Gerätegruppe höher ein als andere Unternehmen und haben erkannt, dass ihrer Absicherung ebenso viel Aufmerksamkeit geschenkt werden muss wie der für andere IT-Komponenten.

Ein wesentlicher Grund für die Fehleinschätzung könnte laut IDC-Analyst Zacher sein, dass die Unternehmen bei diesen Geräten bislang keine oder eine nur geringe Anzahl von Angriffen registriert haben. Letzteres kann allerdings auch kaum verwundern, da die wenigsten Unternehmen ihre Management- und Monitoring-Lösung auf Drucker anwenden - entsprechende Vorfälle also unter Umständen gar nicht protokollieren.

Drucker sind zahlreichen Risiken ausgesetzt

Der IDC-Analyst nennt drei Bereiche im Lebenszyklus von Druckern und Peripheriegräten, in denen sich gefährliche Wissenslücken beziehungsweise fehlende Transparenz auftun:

- Fehlerhafte Risikobewertung: Die anfangs vorgenommene Risikoklassifizierung wird im Verlauf des Lebenszyklus der Drucker meist nicht mehr angepasst.

- Kein Update-Management: Sowohl Betriebssoftware als auch Konfiguration von Druckern werden nach der Inbetriebnahme meist nicht mehr erneuert. Außerdem haben laut IDC nur 38 Prozent der Unternehmen alle voreingestellten Passwörter geändert.

- Fehlendes Monitoring: Da Druckprozesse und -dienste selten überwacht werden, lassen sich Vorfälle im Nachhinein kaum mehr nachvollziehen. Auch vorhandene Sicherheitslücken bleiben deshalb häufig unentdeckt.

Sicherheitskonzept, das alle Bereiche abdeckt

Die Druckersicherheit in Unternehmen gehört also schnellstens auf den Prüfstand. Grundsätzlich sollten IT-Verantwortliche alle Clients in ein Sicherheitskonzept einbeziehen und nie aus den Augen verlieren, dass jedes Gerät mit einer IP-Adresse ein Angriffsziel von Hackern sein kann.

Eine grundlegende Verbesserung der Sicherheit kann man mit einfachen Maßnahmen erreichen. So sollte die Firmware der Geräte umgehend auf den neuesten Stand gebracht werden, um eventuell vorhandene Sicherheitslücken aufgrund nichteingespielter Patches zu schließen. Damit dabei nicht versehentlich kompromittierte Software installiert wird, sorgt beispielsweise HP Sure Start mit einem Whitelisting-Verfahren dafür, dass nur sicherer, vom Hersteller signierter Code in den Speicher gelangt. Die Lösung bietet außerdem einen BIOS-Schutz mit automatischer Fehlerbehebung. Detektiert HP Sure Start beim Einschalten Unstimmigkeiten im BIOS, erzwingt HP Sure Start einen Neustart und lädt automatisch eine sichere Kopie des BIOS.

Datenverschlüsselung schützt Dokumente

Besonderes Augenmerk verdienen auch die Daten, die zum Drucker gesendet werden. Um sie von jeder Kompromittierung auszuschließen, sollte der Versand verschlüsselt erfolgen. Dies gilt vor allem für Dokumente, die Mitarbeiter über ihre Smartphones, Tablets und Notebooks drucken können. Überdies sollte man schon bei der Beschaffung der Geräte darauf achten, dass sie über eine Festplattenverschlüsselung verfügen.

Auch bei der Ausgabe am Drucker können Datenschutz und -sicherheit ganz einfach ausgehebelt werden. Schicken die Mitarbeiter ihre Dokumente zu einem Gerät, das die Aufträge umgehend ausführt, kann jeder die ausgegebenen Dokumente an sich nehmen. Dies lässt sich mit einer Authentifizierungslösung wie beispielsweise HP Access Control Secure Authentication verhindern. Die Lösung schützt per PIN-Eingabe oder Smart Cards vor unbefugtem Zugriff. Druckaufträge werden erst dann vom Server abgerufen, wenn der "Auftraggeber" sich am Drucker authentifiziert und die Dokumente sofort an sich nehmen kann. Gleichzeitig sorgt eine Authentifizierungslösung mit einer entsprechenden Rechtevergabe dafür, dass nur autorisierte Mitarbeiter Einstellungen an der Hardware verändern können.

Sichere Außerbetriebnahme von Druckern

Auch wenn das Unternehmen diese und weitere Sicherheitsmaßnahmen für die Druckerinfrastruktur ergriffen hat, bleibt häufig trotzdem eine Sicherheitslücke offen. Dann nämlich, wenn ein Drucker ausgetauscht wird. Es genügt nicht, das Gerät einfach vom Strom und vom Netzwerk zu trennen und dem Recyclingkreislauf zuzuführen. Ohne korrekte Entsorgung verbleiben möglicherweise sensible Daten auf der integrierten Festplatte und können in die Hände Dritter geraten. Ein ordnungsgemäßes Recycling, das Umweltschutzvorgaben und Compliance-Richtlinien erfüllt, ist daher unabdingbar.

Managed Services für professionelle Sicherheit

Schon diese exemplarisch geschilderten Maßnahmen zeigen die Komplexität des Themas Druckersicherheit, die vom IT-Team viel Engagement erfordert. Es ist daher auch kaum verwunderlich, dass immer mehr Unternehmen bei der Drucksicherheit auf Managed Services zurückgreifen. Laut einer Marktanalyse von IDC zur Perspektive von Bürodruckern auf dem US-Markt werden bis 2019 33 Prozent aller Organisationen das Thema Druckersicherheit an einen externen Anbieter übergeben. Damit dürften sich dann einige bislang offene Türe zu den Unternehmensnetzwerken schließen.