Jede Hardware Entscheidung ist auch eine Sicherheitsentscheidung.

Druckersicherheit

So bleibt Ihr Printer sauber

22.05.2018
Moderne Drucker sind intelligente, vernetzte Multifunktionsgeräte. Und sie stellen ein enormes Sicherheitsrisiko dar. Wir verraten Ihnen, wie Sie Hacker fernhalten.

Drucker fallen in vielen Unternehmen durch das Sicherheitsraster. Warum das so ist, weiß Michael Gieseke, Produktmanager bei HP aus erster Hand: "Ein Drucker ist heute so zu sehen wie ein PC. Viele Anwender vernachlässigen die Sicherheit beim Thema Drucken und Output-Management."

Kommt es zum Hackerangriff, ist ein Drucker die erste Barriere oder die letzte Hürde, um Daten zu schützen.
Kommt es zum Hackerangriff, ist ein Drucker die erste Barriere oder die letzte Hürde, um Daten zu schützen.
Foto: jijomathaidesigners - shutterstock.com

Sicherheitsrisiko Drucker

Dabei sind die Bedrohungen, die von einem ungeschützten Drucker ausgehen, vielfältig. Kriminelle Hacker können mit Hilfe von Printern zum Beispiel Denial-of-Service-Angriffe ausführen, gespeicherte Kopien von Dokumenten abrufen oder Daten während der elektronischen Übertragung zum Drucker abfangen. Über einen Angriff auf das Drucker-BIOS oder die Firmware sind Cyberkriminelle sogar in der Lage, Zugriff auf das gesamte Firmennetz bekommen.

Doch das ist nur die eine Seite. Was auch sicherheitssensible Unternehmen oft vergessen: Es müssen nicht zwingend böswillige Angreifer von extern sein, die durch zielgerichtete Angriffe auf Printer-Systeme die Sicherheit gefährden. Großes Gefahrenpotenzial geht in Unternehmen auch von den eigenen Mitarbeitern aus - egal, ob es sich dabei um das nicht abgesicherte Kopieren eines vertraulichen Dokuments, einen anonymen und damit nicht nachvollziehbaren Scan-to-E-Mail-Vorgang oder den Diebstahl von Medien handelt.

Hinter solchen, für die Security kritischen, Prozessen steckt in den wenigsten Fällen Absicht. Oft vergessen die Mitarbeiter beispielsweise einfach einen Ausdruck im Papierschacht - wo er nicht vor unbefugtem Zugriff geschützt ist. Laut einer Untersuchung des Ponemon Institute haben fast 65 Prozent der Sicherheitsverstöße in Unternehmen interne Ursachen - durch Versehen, fahrlässiges Verhalten oder durch Fehler in Geschäftsprozessen.

Am Anfang steht die Hardware

Die Sicherheit von Druckern und Multifunktionsgeräten sollte deshalb nicht nur rein technisch, sondern ganzheitlich im Sinne eines Schichtenmodells betrachtet werden. Das bedeutet, dass nicht die Hardware alleine im Fokus steht, sondern auch das Umfeld, die User und die Richtlinien, die in einem Unternehmen gelten. "Die zu schützende Information kann man als Kern einer Kugel betrachten", erklärt HP-Experte Gieseke. "Um diese Information werden rundherum die technischen Maßnahmen, die Softwareschichten und die Handlungsanweisungen aufgebaut."

Die Basis für den Schutz der Printer-Flotte bilden Maßnahmen im Bereich der Hardware- und Netzwerksicherheit. Moderne Drucker haben diesen Schutz oft bereits integriert - dann können sie böswillige Angriffe auf das Drucker-BIOS erkennen und abwehren. Durch Whitelisting wird zudem sichergestellt, dass nur signierte und nicht manipulierte Firmware auf einem Printer installiert werden kann. Zudem lassen sich Manipulationen und Angriffe auf Drucker im Netzwerk dank systeminterner Speicherüberwachung und Funktionen wie HP Sure Start erkennen und durch einen automatischen Reboot des Gerätes verhindern. Die Entscheidung für das Endgerät ist bereits eine sicherheitsrelevante Entscheidung.

Keine Printer Security ohne Authentifizierung

Auf der nächsten Stufe gilt es, Sicherheitskomponenten in Hinblick auf die Zugangsrechte zu implementieren. Drucker und Multifunktionssysteme sollten dabei über mehrere Authentifizierungsebenen verfügen. Passwörter für Administratoren und Nutzer sind ein wesentlicher Aspekt, um den Zugriff auf das Netzwerk oder bestimmte Funktionen rollenbasiert zu regeln. Scan-to-Email-Funktionen sollten beispielsweise nur von entsprechend berechtigten Mitarbeitern verwendet, beziehungsweise E-Mails ausschließlich mit der Identifikation des versendeten Mitarbeiters versendet werden. Authentifizierungsabfragen am Printer, auf dem Computer oder dem Smartphone des Benutzers stellen sicher, dass sich dieser vor der Verwendung des Druckers identifizieren muss. Nur die Person, die den Auftrag sendet, kann ihn dann auch direkt am Drucker abrufen. Beim Pull-Printing wird beispielsweise ein Auftrag auf einem geschützten Server hinterlegt und erst dann gedruckt, wenn sich der Absender identifiziert. So wird verhindert, dass Dokumente im Ablagefach liegen bleiben und dem falschen Mitarbeiter in die Hände geraten.

Immer noch viel zu häufig werden sensible Daten beim Drucken unverschlüsselt über das Netzwerk übertragen. Neben der Authentifizierung ist die Datenverschlüsselung deshalb eine essenzielle Maßnahme. Sie verhindert das Abfangen von Daten während der Übertragung über ein Netzwerk oder aus dem Druckerspeicher. Informationen, die von Endgeräten an die Drucker übertragen werden, können beispielsweise durch die Verschlüsselungsprotokolle TLS/SSL geschützt werden.

Awareness-Pflicht - nicht nur beim Drucken

Den äußeren Rand des Schichtenmodells bildet die Sensibilisierung der User. Mitarbeiter sollten über interne Gefahren aufgeklärt werden und im Rahmen von Trainings im Umgang mit Druckern - aber auch generell mit Sicherheitsaspekten - geschult werden. Allgemein verbindliche Richtlinien können den Usern zusätzlich ein verbindliches Regelwerk an die Hand geben. Dazu gehören zum Beispiel Grundlagen wie Mail-Anhänge von unbekannten Absendern nicht zu öffnen oder keine unbekannten USB-Sticks dem Unternehmensnetzwerk zuzuführen.

Alle diese Maßnahmen zielen in ihrer Gänze darauf ab, einen breiteren Blickwinkel einzunehmen und nicht nur darauf zu fokussieren, wie das Drucker-System konfiguriert ist. "Sicherheit ist kein Produkt, das man kauft und das dann fertig ist", verdeutlicht Gieseke. "Sich ständig ändernde Angriffsszenarien und gesetzliche Regularien erfordern es, Sicherheit als Prozess zu sehen, der permanent angepasst und weiterentwickelt werden muss."

HP bietet mit seinem Advisory Service ganzheitlich orientierte Dienstleistungen von der Ist-Analyse (in der bestimmte Schwachstellen offengelegt werden) über daraus abgeleitete Empfehlungen zu Implementierungen, bis hin zu Nachhaltigkeitsservices: "Je nach Kundensituation können wir das komplette Programm modularisiert anbieten", so Gieseke. "Wobei die Sicherheitsfunktionen in HP-Systemen sowieso vorhanden sind - das sind Standardfunktionen. Entsprechend wichtig ist es natürlich, diese zu nutzen."