Schwachstelle Druckfunktion

Verstecktes Sicherheitsrisiko in Passwortmanagern

25.07.2019

Von

Carsten Mickeleit ist Gründer und Vorstandsvorsitzender der Cortado Holding AG mit seinen Unternehmen ThinPrint GmbH, Teamplace GmbH und Cortado Mobile Solutions GmbH. Seit Gründung seines ersten Unternehmens 1990 - der Carano GmbH - ist er am IT-Markt aktiv, seit 1996 insbesondere im Virtualisierungs/Cloud Computing und seit 2001 im Enterprise Mobility Bereich.

Alle Posts des Autors Email: Connect:

Drucken, das unterschätze Sicherheitsproblem

Drucken bleibt ein Sicherheitsproblem. Zwar ist es grundsätzlich möglich, eine Druckumgebung abzusichern, doch leider ist dies in der Praxis sehr selten der Fall. Drucker sind im Auslieferungszustand relativ offen konfiguriert, um möglichst kompatibel zu vielen Anwendungsfällen zu sein. Deshalb ist die Absicherung des Druckers Aufgabe der internen IT oder des Servicepartners. Geschieht dies nicht, werden Druckaufträge unverschlüsselt in Form von Postscript- oder PCL-Dateien über das Netzwerk zum Drucker gesendet.

Wird der Netzwerk-Traffic mit einem Analyse-Tool wie zum Beispiel Wireshark ausgelesen, dann lassen sich diese Dateien relativ einfach herausfiltern und nach Abtrennung des IP-Headers mittels PCL oder Postscript Viewer anzeigen. Verfügt der Drucker über eine Festplatte, so kann es auch passieren, dass diese Druckdateien auf der Festplatte verbleiben. Dies ist insbesondere dann kritisch, wenn der Drucker das Unternehmen verlässt - und sei es auch nur zur Verschrottung.

Ein weiteres Problem sind Druckaufträge, die nicht abgeholt werden oder wegen fehlerhafter Druckerauswahl oder Drucker-Mappings auf andere Drucker umgeleitet werden. Letztendlich stellt sich zusätzlich die Frage, ob es überhaupt wünschenswert ist, dass jeder Anwender im Unternehmen die gesamte Passwortliste in einer derart handlichen Form zur Verfügung gestellt bekommt, denn die meisten Angriffe auf die Unternehmens-IT geschehen von innen.

Nicht nur der Druckauftrag im Gerät kann eine Schwachstelle sein. Oft wird auf dem Rechner des Anwenders eine bleibende HTML-Datei erstellt, die ebenfalls die Klar-Logins enthält.
Foto: Carsten Mickeleit

Doch muss sich der Hacker bei einigen Passwortmanagern nicht einmal die Mühe machen, den Druckauftrag abzufangen. Denn zur Erzeugung des Druckauftrages wird bei der Mac-Version von Roboform, bei Lastpassund Keepass eine HTML-Seite erzeugt und auf dem Desktop des Gerätes abgelegt. Dort verbleibt die Datei in einigen Fällen, wenn der Druckauftrag bereits beendet ist. Wenn nun Anwender einen Cloud-Service wie Dropbox oder iCloud aktiviert haben, dann wird diese Datei auch recht zügig in die Cloud verschoben.

KeePass erläutert in seinen FAQ, dass ein Druckvorgang ohne die temporäre HTML-Datei nicht möglich wäre; diese soll bei KeePass unter bestimmten Voraussetzungen aber wieder automatisch gelöscht werden. Wer es anders haben möchte, den verweist KeePass darauf, dass man sich ja selbst ein Plug-In schreiben kann. Die HTML-Datei auf dem Desktop des Rechners ist zwar hoffentlich durch das Benutzerlogin geschützt, kann aber auch leicht von dem Anwender in andere, vielleicht ungeschützte Bereiche verschoben werden.

Fazit

Unternehmen sollten sich bewusst sein, dass Passwortmanager über eine Druckfunktion verfügen, die auch dazu führen kann, dass die Passwörter in unverschlüsselten Dateien auf dem Desktop eines Anwenders liegen. Darüber hinaus sollte dies auch Anlass sein, seine Druckinfrastruktur in Bezug auf Sicherheit zu überprüfen.

Letztendlich hat Roboform für die nächste Version Abhilfe versprochen und wird das Sperren der Druckfunktion einführen. Einem Beispiel, dem die anderen Hersteller zügig folgen sollten. (jd)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren