Wie der Drucker zum Sicherheitsrisiko werden kann

Sie verrichten still ihren Dienst, doch als Sicherheitsrisiko haben Unternehmen sie nicht auf dem Schirm: Drucker und Multifunktionsgeräte arbeiten wie kleine Computer und sind ins Firmennetz eingebunden. Anders als Computer werden sie oft nicht vor Cyberangriffen geschützt.

 

Viren, Würmer und Erpressungssoftware kommen oft mit niedlichen Namen daher: Iloveyou, Wannacry, Petya, Locky und Emotet. Doch sie hinterlassen massive Schäden bei den betroffenen Unternehmen.

Im vergangenen Jahr wurden nach Angaben des IT-Marktforschungs- und Beratungsunternehmen IDC weltweit knapp acht Milliarden Datensätze gestohlen. Doch nicht nur Computer und Server von Unternehmen öffnen Hackern Einfallstore auf deren Datenschätze.

Wie Computer verfügen auch Drucker und Multifunktionsgeräte nicht nur über eine Festplatte, sondern auch über eine IP-Adresse und sind ins Firmennetzwerk integriert. „Jede IP-Adresse ist ein potenzielles Angriffsziel“, erklärt Matthias Zacher, IDC Senior Consulting Manager Deutschland/Schweiz.

Zacher verfasste als Experte im Auftrag des Druckerherstellers HP das Whitepaper „Das unterschätzte Security-Risiko: Clients, Drucker und Multifunktionsgeräte im Unternehmensnetzwerk“.

Sein Fazit: Bei Druckern zeigen sich über den gesamten Security-Lifecycle „deutliche Lücken“. Lediglich 44 Prozent der Unternehmen führen regelmäßige Updates ihrer Drucker-Firmware und -Betriebssysteme durch. Und nur 43 Prozent verfügen über eine zentrale Administration ihrer Geräte.

Das Thema Drucker und Kopierer wird zunehmend zu einem Problem, wie das britische IT-Forschungs- und Analyseunternehmen Quocirca berichtet.

In dessen Druckersicherheitsreport „Global Print Security Landscape, 2019“ meldeten im vergangenen Jahr 59 Prozent der befragten 250 Unternehmen in Großbritannien, Frankreich, Deutschland und in den USA einen druckerbedingten Datenverlust.

 

Unterschätzte Gefahr

So real die Sicherheitslücken, so ahnungslos geben sich Firmen und Anwender. Das Bewusstsein für die Gefahren, die von ungesicherten vernetzten Druckern und Multifunktionsgeräten ausgehen, fehlt komplett.

Nach einer aktuellen Studie des japanischen Elektronikkonzerns Sharp sehen 91 Prozent der befragten 5.500 Büroangestellten in kleinen und mittleren Unternehmen (KMU) in Europa und quer durch alle Branchen in Druckern und Multifunktionsgeräten kein ernstzunehmendes IT-Sicherheitsrisiko.

„Hacker haben es in der Regel nicht nur auf sensible Daten aus Druck-, Scan- und Faxaufträgen abgesehen – vielmehr nutzen sie den Drucker als Einfallstor.“

Jens Müller, Ethical-Hacker

Bei unzureichendem Schutz stellen diese Geräte aber ein perfektes Ziel für Hacker dar.

„Hacker haben es in der Regel nicht nur auf sensible Daten aus Druck-, Scan- und Faxaufträgen abgesehen – vielmehr nutzen sie den Drucker als Einfallstor, um sich unbemerkt im ganzen Unternehmensnetzwerk auszubreiten“, erklärt Ethical-Hacker Jens Müller, der für Sharp einen Leitfaden zum Thema Datensicherheit entwickelt hat.

„Ein solcher Sicherheitsvorfall kann schwerwiegende rechtliche Konsequenzen und Schäden in Milliardenhöhe nach sich ziehen“, sagt er. Drucker übertragen nämlich auch persönliche Daten, die im Sinne der Datenschutz-Grundverordnung (DSGVO) streng geschützt werden müssen.

Dieses Risiko wollte die ZEB Zentraleinkauf Baubedarf GmbH & Co. KG in Paderborn gar nicht erst eingehen. Die Kooperation vertritt die Interessen von Baustoffhändlern in ganz Deutschland.

Ob im Einkauf, in der Logistik oder im Marketing: Zahlreiche Dokumente werden täglich gedruckt, sodass ZEB insgesamt 25 Hochleistungsdrucker einsetzt. Als es um die Anschaffung neuer Geräte ging, wollte ZEB von Anfang an auf Nummer sicher gehen.

„Zunächst haben wir uns von unserem Anbieter über die neuesten Sicherheitsfeatures beraten lassen und einen Workshop zum Sicherheitsthema durchgeführt“, erklärt Michael Redekop, Mitarbeiter IT & Controlling bei ZEB.

Im Einsatz sind heute moderne Multifunktionsgeräte der Marken Sharp und Lexmark, die über eine Software in die Sicherheitsarchitektur des Unternehmens eingebunden sind.

Darüber können Redekop und seine Kollegen in der IT-Abteilung die Sicherheitsrichtlinie für die gesamte Druckerflotte zentral erstellen, die Systeme aus der Ferne überwachen und spätere Updates automatisch auf alle Geräte aufspielen.

Die Geräte bieten bereits vom Start weg zahlreiche Sicherheitsmerkmale, die Redekop lediglich aktivieren muss.

„Wir haben beispielsweise nicht für alle die Möglichkeit freigeschaltet, Ausdrucke am Gerät direkt via Mail zu versenden, oder vorgegeben, in welchen Ordnern eingescannte Dokumente automatisch gespeichert werden“, erklärt er.

Hier lauern die Gefahren

Die größten Risiken für die Druck­sicherheit sehen die Experten des britischen IT-Forschungs- und Analyseunternehmens Quocirca in folgenden Punkten:

• Ausgabefach: Vertrauliche Informationen werden versehentlich oder absichtlich von einem Unbefugten weggenommen.
• Festplatte: Alle Dokumente, die gedruckt, kopiert, gescannt, gefaxt oder gespeichert werden, werden zuerst auf der Festplatte gespeichert. Diese kann gehackt werden oder am Ende des Lebenszyklus des Geräts kann ihr Inhalt bei unsachgemäßem Löschen wieder hergestellt werden.
• Nicht autorisierter Zugriff auf Drucker-Funktionen: Druckaufträge lassen sich ändern und umleiten, gespeicherte Kopien von Dokumenten öffnen oder der Drucker wieder auf die Werkseinstellungen zurücksetzen. Hacker können Kopien von eingescannten Dokumenten und Benutzer­zugriffsdaten abfangen.
• Netzwerksicherheit: Druckaufträge be­finden sich häufig in der Warteschlange. Diese lässt sich an­halten und Dokumente lassen sich kopieren. Schlimmstenfalls gelangen vertrauliche Informationen in die Hände von Unbefugten. Über offene Netzwerk-Ports können die Geräte aus der Ferne über eine Internetverbindung gehackt werden. Sind die an den Drucker übertragenen Daten nicht verschlüsselt, ­können Hacker sie bequem auslesen.

Quelle: Report „Global Print Security Landscape 2019“

Eingebaute Sicherheitsfunktionen nutzen

In die Hardware eingebaute Sicherheitsmerkmale schützen die Geräte zuverlässig vor unberechtigtem Zugriff von außen und sorgen auch im Unternehmen dafür, dass nur berechtigte Mitarbeiter bestimmte Druckaufträge abholen dürfen.

Pull-Printing nennt sich diese Lösung. Dabei wird der Druckauftrag erst dann ausgegeben, wenn der Mitarbeiter sich am Gerät etwa mit seinem Firmenausweis authentifiziert.

Noch einfacher ist der sogenannte PIN-Druck, bei dem der Auftrag nur nach Eingabe der PIN am Gerät gestartet werden kann.

Schon vor dem Start prüfen die Business-Geräte von HP etwa sowohl das BIOS (Basic Input/Output System – grundlegendes Betriebssystem eines Computers) als auch das Betriebssystem selbst und stellen Manipulationen oder Veränderungen fest.

Sie verhindern, dass ein verdächtiges BIOS geladen wird und stellen das Original-BIOS von einem geschützten Speicher wieder her.

Im laufenden Betrieb erkennen die Geräte Einbruchsversuche, aktivieren automatisch einen Sperrmodus und informieren sofort den Administrator.

Mit jeder neuen Gerätegeneration statten die Hersteller ihre Profi-Drucker, Kopierer und Multifunktionsgeräte mit ausgefeilteren Sicherheitsmerkmalen aus, die aber nach Bedarf aktiviert werden müssen.

So gilt es denn auch, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen. Der Sharp-Studie zufolge hat erst weniger als Hälfte der Befragten eine Schulung oder Weiterbildung zum Thema sicheres Drucken und Scannen erhalten; und rund sieben von zehn Studienteilnehmern berichten, dass sie kein spezielles Authentifizierungsverfahren für den Zugang zum Drucker nutzen.

„Verbindliche Richtlinien und Awareness-Trainings zur Nutzung der Multifunktionsgeräte helfen, eine durchgängige Sensibilität für Risiken und sicherheitskonformes Verhalten zu schaffen“, erklärt Torsten Bechler, Manager Product Marketing bei Sharp Business Systems Deutschland.

Dazu zählt ganz banal auch der Standort der Geräte.

Ein wichtiger Aspekt, den ZEB im Vorfeld beachtet: „Die Abteilungsdrucker stellen wir so auf, dass immer ein Kollege in der Nähe ist“, erklärt Redekop.

„Damit wird effektiv verhindert, dass Unbefugte sich daran zu schaffen machen oder sie Ausdrucke einfach mitnehmen könnten.“

5 Tipps für mehr Sicherheit beim Drucken

Darauf sollten Unternehmen bei der Anschaffung und beim Umgang mit ihren Druckern und Multifunktionsgeräten achten.

1. Bei der Anschaffung: Profi-Geräte ­wählen, die bereits Sicherheitsmerkmale integriert haben. Wichtig: Mitarbeiter zum Thema Druckersicherheit schulen.
2. Beim Aufstellen: Drucker nicht unbeaufsichtigt und in frei zugänglichen Räumen aufstellen. Die Monitoring-Funktion aktivieren, die den Administrator via E-Mail direkt über Sicherheitsverletzungen informiert.
3. Bei der Einrichtung: Die Geräte nicht mit dem öffentlichen Internet verbinden; für Unbefugte die USB-Ports oder die Bedienteile an den Geräten sperren und nicht benötigte Dienste und Netzwerkprotokolle löschen. Eine Verschlüsselung stellt sicher, dass Druckdaten aus dem Netzwerk heraus nicht abgefangen und ausgelesen werden können. Die Druckerwartung sollte nur von autorisiertem Personal durchgeführt werden, das stets die neuesten Sicherheitspatches und Firmware-Updates aufspielt.
4. Bei der Bedienung: Standardkenn­wörter sollten geändert und Benutzer­authentifizierung eingeführt werden. Lösungen wie Pull-Printing einsetzen: Die Geräte drucken erst dann, wenn der Mit­arbeiter diese durch eine Magnetkarte oder eine PIN freigibt. Vor allem: Keine vertraulichen Dokumente im ­Ausgabefach liegen lassen.
5. Beim Ausrangieren: Wie bei Computerfestplatten bleiben auch beim einfachen Löschen von Druckerfestplatten Datenspuren aller kopierten und gescannten Dokumente auf dem Gerät, die sich ­wieder herstellen lassen. Einen „Leit­faden zum sicheren Datenlöschen“ gibt es beim Bitkom: tinyurl.com/y4mooxux