Sicherheitsrisiko Drucker minimieren

Drucker und MFPs als Einfallstore

Cyberangriffe werden nicht nur schneller und raffinierter, sondern zielen verstärkt darauf ab, Unternehmen operativ lahmzulegen, anstatt nur Daten zu stehlen. Jene besorgniserregende Entwicklung offenbart der aktuelle »2025 Global Incident Response Report« des Unit 42-Teams von Palo Alto Networks. Die Analyse von über 500 schwerwiegenden Sicherheitsvorfällen in 38 Ländern zeigt unter anderem, dass 70 Prozent der Vorfälle drei oder mehr Bereiche betrafen. Dies unterstreicht die Notwendigkeit, Endgeräte, Netzwerke, Cloud-Umgebungen und den Faktor Mensch gleichermaßen zu schützen.

Zu den zu schützenden Endgeräten zählen auch Drucker und Multifunktionsgeräte, die heute oftmals vollwertige Rechner sind – und damit ein potenzielles Einfallstor für Hackerangriffe und Manipulationen. »Im Wesentlichen weisen intelligente MFPs mehrere Schwachstellen auf Geräte- und Netzwerkebene auf«, betont auch Louella Fernandez, CEO des Marktforschungsunternehmens Quocirca. »Wenn sie kompromittiert werden, können sie einen Zugangspunkt zum Unternehmensnetzwerk darstellen.«

Steigendes Sicherheitsbewusstsein im Druckerbereich

Obwohl die Palette der Angriffsmöglichkeiten sehr groß ist, haben viele Verantwortliche in den IT-Abteilungen die Gefahr lange Zeit nicht ernst genug genommen. »Jedoch ist die Sensibilität in den letzten Jahren deutlich gestiegen«, berichtet Ondrej Hartmann, Teamleiter Pre-Sales bei Brother. »Besonders Auftraggeber im öffentlichen Bereich haben ein sehr großes Augenmerk auf die Sicherheit – und dies auch bei Druckern. Wenn man als Administrator hört, wie viele Unternehmen Hacker-Angriffe erleiden, wird alles in der Infrastruktur geprüft und dazu gehören dann auch Druckgeräte.«

Zu den gängigsten Sicherheitsrisiken zählen Hartmanns Erfahrung nach, dass auf den Geräten eine veraltete Firmware betrieben wird. Dass sich hier immer wieder Sicherheitslücken auftun können, zeigen die aufgeführten Beispiele.

Firmware up-to-date halten

Um die Druckgeräte immer auf dem neuesten Stand der Technik zu halten, aktualisiert auch Brother immer wieder die Firmware seiner Druckgeräte. Da die Firmware mit einer Signatur versehen ist, erkennen die Geräte automatisch, ob es sich beim Update um eine echte von Brother zertifizierte Firmware handelt. »Somit kann man keine gehackte Version aufspielen«, betont Hartmann.

Der Stand der verwendeten Firmware und deren Update lässt sich auch mit dem Software-Tool »BRAdmin« zur zentralen Überwachung und Verwaltung der Druckinfrastruktur herausfinden und anstoßen. Daneben kann die kostenfreie Software für den unternehmensinternen Gebrauch Verbrauchsmaterialien überwachen, Papierstau melden und Konfigurationen übertragen. Zur Überwachung und Verwaltung mittels Flottenmanager renommierter Softwarehersteller, stellt brother MIB-Informationen zur Verfügung.

Als sicherheitstechnische Besonderheit hebt Hartmann die Möglichkeit hervor, kundenspezifische Firmware bereitzustellen: »Bei Brother sind wir recht flexibel, was die individuelle Anpassung angeht. Um ein hohes Maß an Sicherheit zu bieten, können wir auch schon bei kleinen Stückzahlen Firmware nach Kundenwunsch entwickeln. Dabei sind Sonderkonfigurationen voreingestellt und beispielsweise bestimmte Schnittstellen wie USB-Ports deaktiviert und auch nicht aktivierbar.«

Sperrung von USB-Ports

USB-Ports bieten in der regulären Anwendung erweiterte Möglichkeiten, stellen aber gleichzeitig ein Sicherheitsrisiko dar. So ist es an frei zugänglichen Druckgeräten einfach möglich, per USB-Stick Malware einzuschleusen und Daten auszulesen. USB-Ports zu deaktivieren, bedeutet jedoch – wie bei vielen sicherheitstechnischen Maßnahmen – Einschränkungen im Nutzerverhalten.

Um eventuelle Änderungen des Druckgeräts festzustellen und zu protokollieren, lassen sich die Brother-Lösungen mittels Syslog an externe Software anbinden. Per Alert werden Administratoren bei entsprechenden Updates informiert.

Übertragungsprotokolle lassen sich ebenfalls nach Kundenwunsch sperren oder freischalten. So ist das beliebte aber sicherheitstechnische heikle Protokoll Telnet bei Brother zunächst deaktiviert. Es lässt sich jedoch freischalten, wenn der Administrator dies bewusst möchte. Insgesamt erfolgt die Datenübertragung zwischen Geräten, Servern und Cloud-Diensten verschlüsselt.

Hohe Nachfrage nach Pull-Printing

Zu den für Administratoren beliebtesten Sicherheitsfunktionen von Druckgeräten zählen laut Hartmann Pull-Printing-Lösungen. Bei diesen werden Druckaufträge im Gerät vorgehalten, bis die Nutzenden am Gerät sind und sich mittels PIN oder Smartcard authentifizieren. »Es ist die gängigste und wichtigste Sicherheitsfunktion, die Unternehmen im Alltag verwenden. So kann man verhindern, dass der Druckjob am Gerät rausläuft bevor die Mitarbeiterin oder der Mitarbeiter am Drucker ist und ein anderer die gedruckten Unterlagen mitnimmt. Gerade bei vertraulichen Unterlagen ist so eine Absicherung immens wichtig«, erläutert Hartmann.

Brother bietet zwei Varianten von Pull-Printing an: Bei »Secure Print+« verbleibt der Druckauftrag im Druckerspeicher eines bestimmte Druckgeräts, während bei »Secure Print Advanced« der Druckauftrag am Server vorgehalten wird. Nutzende können sich dann an einem beliebigen Endgerät authentifizieren und den Druckauftrag dort abholen. Sollten dennoch bedruckte Blätter am Druckgerät vergessen werden, ertönt ein Warnton.

Generell werden bei Brother die Druckaufträge im Arbeitsspeicher gespeichert, da der Hersteller als weitere Sicherheitsmaßnahme keine Festplatten in den Druckgeräten verbaut. Werden die Geräte abgeschaltet, sind so alle Druckdaten unwiderruflich gelöscht und können nicht ausgelesen werden.

Hersteller und Kunden sind in der Pflicht

Hersteller von Druckgeräten bieten inzwischen zahlreiche Sicherheitsfunktionen, die sich den aktuellen Entwicklungen und Risiken sowie dem neuesten Stand der Technik anpassen. Allerdings müssen auch die Verantwortlichen auf Kundenseite ihren Beitrag zur Sicherheit leisten und immer up-to-date bleiben. Wichtigster Punkt ist, dass sie sich bewusst werden, dass Drucker ein Sicherheitsrisiko darstellen können und die Situation bei sich erfassen. Wo sind die Geräte im Einsatz und welche Anforderungen gibt es? Was es allerdings nicht gibt, ist eine absolute Sicherheit. Sicherheit ist immer relativ.