In vielen Unternehmen sind die Sicherheitsvorkehrungen inzwischen streng, etwa wenn es um den Einsatz und die Verwendung von mobilen Endgeräten geht. Bei derlei Betrachtung bleiben Drucksysteme meist außen vor und spielen in Sicherheitskonzepten keine oder nur eine untergeordnete Rolle. Dabei sind heutige Drucksysteme weit mehr als plumpe Ausgabegeräte. Sie verfügen über Netzwerkschnittstellen, Arbeitsspeicher sowie Prozessoren und werden in der Regel über einen integrierten Webserver administriert. Weit mehr also als ein einfaches Endgerät.
Handelt es sich gar um ein multifunktionales Drucksystem, steigert sich der Funktionsumfang noch einmal deutlich. Features wie Faxen, Drucken, Scannen und Kopieren gehören zum Standard. Darüber hinaus versenden Drucker oder Multifunktionsgeräte E-Mails, speichern Daten in Mailboxen oder in Ordnern innerhalb des Netzwerks und besitzen meist sogar eine eigene E-Mail-Adresse. Die gesamte Funktionalität macht die Geräte zu praktischen Bürodienstleistern, aber auch zu anfälligen Teilen des Netzwerks. In vielen Netzwerken versehen Netzwerkdrucker mit integriertem Print-Server ihren Dienst völlig ungesichert. Der Zugangsschutz beschränkt sich häufig auf die Herstellerseitigen Standardpassworte. Damit stellen die Geräte ein Sicherheitsrisiko dar, auch wenn sie von außerhalb des Unternehmens dank ordentlicher Abschottung nicht erreichbar sind. Zahlreiche Studien belegen, dass Angriffe auf Daten meist innerhalb eines Unternehmens erfolgen. Grund genug, sich der Sicherheit der eigenen Drucker und Multifunktionssysteme zu widmen.
Es existieren viele Ansätze, die Datensicherheit in einem Unternehmen zu untergraben, der unbedachte Einsatz von Druckern ist in jedem Fall einer davon. Dabei bestehen hinsichtlich der Druckdaten unterschiedliche Risiken. Wie bei allen anderen Daten auch, kann das Sicherheitsrisiko unterschiedlicher Ausprägung sein. Wer sich den Inhalt seiner täglichen Druckjobs vergegenwärtigt, möchte sicher nicht, dass jemand diese unberechtigterweise mitliest. Tatsächlich landen auf vielen netzwerkfähigen Druckern und Multifunktionsgeräten sensible - und häufig personenbezogene - Daten. Offensichtlicher, aber nicht minder schädlich für ein Unternehmen ist der Verlust von Druckdaten. Bei vielen geschäftsbedingten Vorgängen ist ein entsprechender Ausdruck unabdingbar.
Ausführliche Informationen rund um das Thema IT-Sicherheit liefert Ihnen der Artikel IT-Sicherheit: Neue Pflichten für das Management. Grundwissen zum Thema Sicherheit vermittelt die Artikelserie Security im Überblick. Einen Vergleich von multifunktionalen Geräten bietet Ihnen der Test: Multifunktionsgeräte auf Farblaser-Basis.
Risiken im Betrieb
Heutige Netzwerke sind in der Regel durch umfangreiche Maßnahmen geschützt, von Firewalls über IDS bis hin zu Virenschutzprogrammen. Außerdem ist in der Regel sichergestellt, dass nur berechtigte Personen zum Netzwerk Zugriff haben. Bei Druckern hört die Sorgfalt allerdings meistens auf. Auf File-Servern werden Daten verschlüsselt und dezidierte Zugriffsrechte vergeben. Der Drucker wird hingegen häufig mit einer Standard-Setup-Routine ins LAN integriert und danach sicherheitstechnisch sich selbst – oder weit schlimmer – allen gleichermaßen überlassen. Häufig wird selbst der einfache Zugriff auf den integrierten Print-Server nicht durch ein Passwort geschützt.
Dabei kann ein Drucker annähernd genauso viele Daten über die Konfiguration des gesamten Netzwerks preisgeben, wie viele andere zu administrierende Geräte auch. Zudem erhält ein Drucker oder ein Multifunktionssystem meist ebenso vertrauliche und unternehmensrelevante Daten überstellt wie jedes Storage-System oder jeder Server. Als klassische Beispiele für Anwendungsfälle des sicheren Druckens werden vor allem Anwaltskanzleien oder Arztpraxen genannt. Tatsächlich fallen aber in jedem Unternehmen gleich welcher Branche zahlreiche vertrauliche Dokumente an. Da seien Entwicklungsunterlagen, Buchhaltungslisten oder Ausschreibungsdetails nur exemplarisch genannt.
Netzwerkfähige Ausgabegeräte bieten im Betrieb meist gleich mehrere Schwachpunkte: Die Netzwerkverwaltung beziehungsweise -karte arbeitet in der Regel ungesichert, alle Konfigurationsparameter des Netzwerks lassen sich so leicht auslesen. Auf den in die Systeme integrierten Festplatten bleiben die Dokumente für einen längeren Zeitraum liegen. Nicht selten passieren auch einfache Anwendungsfehler am Gerät selbst, Dokumente werden im Ausgabefach vergessen. Zudem lassen sich mit den Geräten Unterlagen leicht per Fax oder E-Mail außerhalb des Unternehmens versenden.
Spam aus dem Drucker
Anfang des Jahres 2008 hat Aaron Weaver, Sicherheitsexperte bei einem US-Finanzunternehmen, einen Weg erläutert wie man Spam über einen Browser an einen Drucker schicken kann. Cross Site Printing nennt der Experte diese Sicherheitslücke, die sich einer wenig bekannten Javascript-Funktion bedient. Über eine entsprechend präparierte Website lassen sich nicht nur Druckaufträge an einen Drucker senden, sondern auch andere Befehle auf dem Drucker ausführen. Bei entsprechender Tauglichkeit des Geräts ließe sich dieses auch zum Versand von Werbefaxen missbrauchen.
Mehrere Faktoren sorgen dafür, dass ein entsprechendes Cross Site Printing möglich wird. Zum einen lauschen viele Netzwerkdrucker auf Port 9100, ob Druckaufträge für sie vorliegen. Zudem befinden sich die entsprechenden Netzwerkdrucker häufig in demselben Netzwerksegment wie die PCs der Anwender. Und last but not least ist das Gros der Netzwerkdrucker in Sachen Sicherheit meist nur recht unzureichend konfiguriert.
So sei es laut Weaver prinzipiell möglich, sich via Telnet mit dem Port zu verbinden und Druckjobs sowie andere Kommandos abzusetzen. Im einfachsten Fall seien dies ASCII-Texte, mit Postscript oder PCL könnten aber auch formatierte Seiten ausgegeben werden. Das Prinzip würde darauf beruhen, dass in eine Website ein iFrame eingebettet wird, der ein Formular per Javascript an den Drucker sendet. Neben dem Ausdrucken von unerwünschten Inhalten lassen sich so prinzpiell aber auch andere Druckerbefehle ausführen sowie die Konfiguration des Netzwerkdruckers verändern.
Wie eingangs erwähnt, gehört zu den Grundproblemen, dass die Netzwerkdrucker in Sachen Sicherheit meist nicht entsprechend konfiguriert werden. Bereits die Beachtung einiger grundlegenden Vorgehensweisen beim Konfigurieren von Netzwerkdruckern kann die Sicherheit deutlich erhöhen.
Protokolle deaktivieren
Aktuelle Netzwerkdrucker sind in der Regel mit wenigen Mausklicks ins Netzwerk eingebunden. Die komfortablen Setup-Routinen erledigen nahezu alles automatisch. Derlei Bequemlichkeit bringt aber auch einen Nachteil mit sich: Aktuelle Drucker oder Multifunktionsgeräte unterstützen zahlreiche Protokolle, von denen die meisten für einen standardmäßigen Betrieb nicht erforderlich sind. Die Installationsroutinen setzen in der Regel alle Protokolle auf aktiv, um die Inbetriebnahme der unterschiedlichen Funktionalitäten zu erleichtern. Für einen sicheren Betrieb sollten Sie alle nicht benötigten Protokolle deaktivieren. Ganz nebenbei reduzieren Sie damit auch noch den Netzwerk-Traffic.
Wenn Sie Ihre Drucker über ein Verwaltungs-Tool wie HPs WebJet Admin, Lexmarks Markvision oder Vergleichbares von anderen Herstellern managen, können sie zumeist viele Protokolle deaktivieren. Wenn kein direkter Zugriff per Webbrowser auf den Print-Server nötig ist, weil alle Einstellungen per Management-Lösung vorgenommen werden, ist beispielsweise auch keine Unterstützung des http-Protokolls erforderlich. Über die entsprechenden Management-Tools können Sie in der Regel die entsprechenden Einstellungen an allen Druckern im Netz simultan vornehmen. Damit ist sichergestellt, dass diesbezüglich eine einheitliche Richtlinie eingehalten wird.
Verschlüsselt verwalten
Schon wer mehr als zwei Drucker in seinem Netzwerk betreibt, erleichtert sich die Administration der Geräte mit den eben erwähnten Management-Tools deutlich. Diese sind zumeist kostenlos bei den Druckerherstellern zu beziehen und erlauben es, einheitliche Einstellungen auf allen Druckern vorzunehmen. Zudem lassen sich in der Regel Updates von Treiber oder Firmware zentralisieren.
Die Verwaltung der Druck-Server im Netzwerk erfolgt traditionell via SNMP. Alle gängigen Verwaltungs-Tools kommunizieren über SNMP mit den Print-Servern. Sollten Sie keinerlei Verwaltungs-Tools einsetzen, können Sie die SNMP-Unterstützung komplett deaktivieren.
Andernfalls ist zur Verwendung von SNMPv3 anzuraten – vorausgesetzt Druck-Server und Verwaltungssoftware unterstützen dies. SNMPv3 unterstützt Benutzer-Authentifizierung und Datenverschlüsselung. Da SNMPv3 und SNMPv1/v2 parallel aktiviert sein kann, sollten Sie Letztere deaktivieren.
Darüber hinaus sollten Sie einen Community-Namen bestimmen, der beim SNMP-Zugriff Verwendung findet. Der Standardwert für den Get-Community-Namen ist üblicherweise auf „public“ voreingestellt und erlaubt so zumeist uneingeschränkten Lesezugriff.
Kontrollierter Zugang
Meist herrscht in Netzwerken auch keine Transparenz darüber, welche Anwender auf welche Drucker ausgeben. Zwar kommt häufig eine Standardinstallation mit einer bestimmten Druckereinrichtung zum Einsatz, richtet sich der User darüber hinaus weitere Drucker ein, ist dies in der Regel problemlos möglich.
Wie andere Netzwerkgeräte auch, bieten die meisten integrierten Print-Server das Anlegen einer Zugriffskontrollliste (ACL) an. Darin lassen sich IP-Adressen oder IP-Adressbereiche definieren, die auf den Drucker Zugriff haben. Je nach Ausführung lässt sich dabei der Zugriff auf den Drucker wie auch der Zugriff auf den Print-Server regeln. Einige Druckermodelle offerieren außerdem die Möglichkeit, die Zugriffe über die entsprechenden Benutzer zu regulieren.
Insbesondere bei Farb- oder multifunktionalen Modellen lassen sich darüber hinaus einzelne Funktionen für bestimmte Benutzer einschränken. Dies kann beispielsweise die Möglichkeit, in Farbe zu drucken, betreffen. Bei Geräten der neuesten Generationen lassen sich diese Einstellungen häufig noch weiter aufschlüsseln. Dies kann in der Praxis bedeuten, dass Anwender zum Beispiel ausschließlich aus Powerpoint in Farbe drucken dürfen.
All diese Sicherheitsbemühungen sind natürlich vergebliche Liebesmüh, wenn der direkte Zugang auf die Netzwerkeinstellungen am Gerät nicht entsprechend gesichert wird. Nahezu alle Geräte erlauben in der Werkseinstellung Zugriff auf alle Netzwerkeinsstellungen übers Bedienfeld sowie den Ausdruck derselben. Daher sollte das Bedienfeld entsprechend für Anwender gesperrt sein, hier bieten die Hersteller meist unterschiedlichste Funktionen von Komplettsperre über PIN-Abfrage oder andere Zugangskennungen. Differenzierter lässt sich dies meist bei multifunktionalen Geräten regeln, diese erfordern bei einigen Aufgaben ja eine Interaktion am Bedienfeld.
Sicher drucken
Zahlreiche Netzwerkdrucker bieten bereits ab Werk eine Basisfunktionalität in Sachen Druck von vertraulichen Dokumenten. Üblicherweise muss der Anwender dazu im Treiber einen PIN-Code für den Druckauftrag vergeben. Erst wenn dieser am Gerät aktiviert wird, lässt sich der Druckauftrag abrufen. Einige Druckermodelle müssen für diese Funktionalität mit einer Festplatte oder einem anderen Speichermedium ausgestattet sein.
Von nahezu allen namhaften Druckerherstellern und entsprechenden Sicherheitsspezialisten sind Lösungen erhältlich, bei denen sich der Anwender eindeutig am Gerät identifizieren muss, bevor der Druckauftrag im Ausgabefach landet. Die Authentifizierung kann beispielsweise über SmartCards, die herkömmlichen Zugangskarten oder Fingerprint-Sensoren erfolgen. Je nach System lässt sich damit nicht nur garantieren, dass nur berechtigte Anwender an die jeweiligen Druckaufträge kommen. Darüber hinaus bieten die meisten Lösungen eine Anbindung an die Kostenstellen, sprich die einzelnen Druckaufträge können entsprechenden Kostenstellen zugeordnet werden.
Für größere Installationen existieren Lösungen, bei denen der Anwender seinen Druckjob auf einem Drucker seiner Wahl im Unternehmen einfach durch eine Identifikationskarte abrufen kann. Je nach Hersteller kommen dabei unterschiedliche Technologien zum Einsatz, im Namen dieser Lösungen taucht meist das Wörtchen „Follow“ auf. Diese Lösungen lassen sich in der Regel mit herkömmlichen Zugangskarten kombinieren. Die Druckdaten verbleiben so lange auf dem Printserver, bis der Anwender sie an einem Endgerät abruft. Die erwähnte Kostentransparenz lässt sich mit entsprechenden Lösungen ebenfalls leicht realisieren.
Funktionen beschränken
Einige Netzwerkdrucker besitzen die Funktionalität, den letzten Druckauftrag am Gerät noch einmal abzurufen – also eine Art Wahlwiederholung des Druckjobs. Das kann durchaus praktisch sein, etwa wenn einem erst am Drucker einfällt, dass man doch gerne eine zweite Kopie gehabt hätte.
Allerdings dürfte man nicht bei jedem Dokument den Wunsch verspüren, dass der nächste Anwender dieses einfach am Gerät noch einmal für sich ausgeben darf. Dementsprechende Funktionen sollte man daher aus Sicherheitsgründen deaktivieren.
Druckdaten verschlüsseln
Mit den Funktionen zum sicheren Drucken ist zumeist der einfache Zugang zu den Ausdrucken verwehrt. Auf dem Weg vom Client zum Drucker sind die Druckdaten aber nach wie vor ungeschützt. Druckdaten in Form eines PCL- oder Postscript-Datenstroms über die Standardprotokolle TCP/LPR/LPD sind kein Hochsicherheitstrakt, schon eher ein Klartexttransport. Mit geeigneten Tools kann man die Datenströme mitschneiden. Die entsprechenden Daten lassen sich auf anderen Rechnern anzeigen, so als hätte man das Originaldokument vorliegen. Theoretisch sind so auch Szenarien vorstellbar, in denen ein Druckauftrag verändert wird, bevor er dem eigentlichen Ausgabegerät überstellt wird.
Abhilfe schafft hier eine Verschlüsselung der Druckdaten, idealerweise in Kombination mit einem Zertifikats-Management. Denn Druckjobs lassen sich nicht nur mitschneiden, sondern auch umleiten. Zertifikate können sicherstellen, dass der Druckauftrag nur beim gewünschten Empfänger angenommen wird.
Es gibt zahlreiche Anbieter von Verschlüsselungslösungen, exemplarisch seien ThinPrint, Stethos oder MSE genannt. Alle namhaften Druckerhersteller arbeiten mit einem oder mehreren entsprechenden Anbietern zusammen oder haben eigene Lösungen. Bei ThinPrint erfolgt beispielsweise eine 128-Bit-SSL-Verschlüsselung der Druckdaten. Dazu muss auf dem Client eine entsprechende Software installiert sein. Die verschlüsselten Druckdaten werden nur an einen per Zertifikat autorisierten Client beziehungsweise Print-Server ausgeliefert.
Multifunktion im Alltag
Üblichweise sollten sich Multifunktionsgeräte nicht an Orten aufgestellt sein, an denen Unbefugte oder Besucher Zugriff auf die Geräte haben können. Wie erwähnt, lassen sich die letzten Kopier- oder auch Druckaufträge je nach Konfiguration und Modell durchaus auf Tastendruck abrufen. Lässt sich der Ort nicht anders wählen, sollte in jedem Fall eine der oben erwähnten Authentifizierungslösungen zum Einsatz kommen. Bei Multifunktionsgeräte sollten die Nutzer dazu angehalten werden, Originale und Kopien immer sofort nach Nutzung aus dem Gerät zu entnehmen. Entsprechende deutliche Hinweise am oder über dem Gerät können die Anzahl der unbeabsichtigt zurück gelassenen Dokumente zumindest verringern. Damit die Anwender Ausdrucke oder Kopien, die zwar erstellt aber vielleicht fehlerhaft sind, an Ort und Stelle vernichten können, sollte sich in der Nähe des Abteilungsgerätes ein entsprechender Aktenvernichter befinden.
Gerade größere Drucker und Multifunktionsgeräte werden aktuell häufig nicht mehr käuflich erworben, sondern stehen für einen bestimmten Zeitraum gemäß eines Leasing- oder anderen Abrechnungsvertrag zur Verfügung. Spätestens, wenn diese Geräte ab Ende ihres Nutzungszyklus ausgetauscht werden, gilt hier die gleiche Sorgfalt wie für andere IT-Systeme auch. Ab Verkauf oder Austausch, es muss in jedem Fall sichergestellt sein, dass die Festplatten des Peripheriegerätes ebenso sorgfältig gelöscht werden, als würde es sich um Rechner handeln.
Multifunktionsgeräte lassen sich in der Regel so einrichten, dass bei der Scan-to-Folder-Funktionalität, dass Scannen in ein bestimmtes Verzeichnis erfolgt. Je nach Gerät können dabei auch Anwender-bezogene Verzeichnisse automatisch angesteuert werden, wenn sich dieser Anwender am Gerät authentifiziert. Diese Lösung ist der eines gemeinsamen Verzeichnisses zum Scannen in jedem Fall vorzuziehen. Dies ist in der Einrichtung zwar etwas aufwendiger, aus Datenschutzsicht aber anzuraten. Nicht selten bleiben in gemeinsamen Scan-Verzeichnissen sensible Daten längere Zeit für jeden Anwender zugänglich.
Fazit
Ein Netzwerkdrucker oder ein entsprechendes Multifunktionssystem sind komplexe Geräte. Es ist nicht damit getan, die Treiber auf dem neuesten Stand zu halten. Die Firmware des Print-Servers sowie das Administrationsprogramm müssen ebenfalls entsprechend gepflegt werden. Sowohl die Drucker selbst als auch die Verwaltungsprogramme finden in Sachen Sicherheitslücken regelmäßig Erwähnung in entsprechenden Security-Reports.
Ein automatisiertes Patch-Management ist daher bei netzwerkfähigen Ausgabegeräten genauso Pflicht wie bei jedem anderen Server auch. Denn nichts anderes sind netzwerkfähige Drucker mit Embedded Webserver. Wie leichtfertig die Anwender mit ihren sicher zugestellten Ausdrucken umgehen, lässt sich hingegen nicht per Software regeln. Eine Sicherheitsstrategie ohne eingehende Berücksichtigung von Druckern und Multifunktionsgeräten ist definitiv unvollständig. (mje)