In vielen Unternehmen sind die Sicherheitsvorkehrungen inzwischen streng, etwa wenn es um den Einsatz und die Verwendung von mobilen Endgeräten geht. Bei derlei Betrachtung bleiben Drucksysteme meist außen vor und spielen in Sicherheitskonzepten keine oder nur eine untergeordnete Rolle. Dabei sind heutige Drucksysteme weit mehr als plumpe Ausgabegeräte. Sie verfügen über Netzwerkschnittstellen, Arbeitsspeicher sowie Prozessoren und werden in der Regel über einen integrierten Webserver administriert. Weit mehr also als ein einfaches Endgerät.
Handelt es sich gar um ein multifunktionales Drucksystem, steigert sich der Funktionsumfang noch einmal deutlich. Features wie Faxen, Drucken, Scannen und Kopieren gehören zum Standard. Darüber hinaus versenden Drucker oder Multifunktionsgeräte E-Mails, speichern Daten in Mailboxen oder in Ordnern innerhalb des Netzwerks und besitzen meist sogar eine eigene E-Mail-Adresse. Die gesamte Funktionalität macht die Geräte zu praktischen Bürodienstleistern, aber auch zu anfälligen Teilen des Netzwerks. In vielen Netzwerken versehen Netzwerkdrucker mit integriertem Print-Server ihren Dienst völlig ungesichert. Damit stellen diese ein Sicherheitsrisiko dar, auch wenn sie von außerhalb des Unternehmens dank ordentlicher Abschottung nicht erreichbar sind. Zahlreiche Studien belegen, dass Angriffe auf Daten meist innerhalb eines Unternehmens erfolgen. Grund genug, sich der Sicherheit der eigenen Drucker zu widmen.
Es existieren viele Ansätze, die Datensicherheit in einem Unternehmen zu untergraben, der unbedachte Einsatz von Druckern ist in jedem Fall einer davon.
Risiken im Betrieb
Heutige Netzwerke sind in der Regel durch umfangreiche Maßnahmen geschützt, von Firewalls über IDS bis hin zu Virenschutzprogrammen. Außerdem ist in der Regel sichergestellt, dass nur berechtigte Personen zum Netzwerk Zugriff haben. Bei Druckern hört die Sorgfalt allerdings meistens auf. Auf File-Servern werden Daten verschlüsselt und dezidierte Zugriffsrechte vergeben. Der Drucker wird hingegen häufig mit einer Standard-Setup-Routine ins LAN integriert und danach sicherheitstechnisch sich selbst – oder weit schlimmer – allen gleichermaßen überlassen. Häufig wird selbst der einfache Zugriff auf den integrierten Print-Server nicht durch ein Passwort geschützt.
Dabei kann ein Drucker annähernd genauso viele Daten über die Konfiguration des gesamten Netzwerks preisgeben, wie viele andere zu administrierende Geräte auch. Zudem erhält ein Drucker oder ein Multifunktionssystem meist ebenso vertrauliche und unternehmensrelevante Daten überstellt wie jedes Storage-System oder jeder Server. Als klassische Beispiele für Anwendungsfälle des sicheren Druckens werden vor allem Anwaltskanzleien oder Arztpraxen genannt. Tatsächlich fallen aber in jedem Unternehmen gleich welcher Branche zahlreiche vertrauliche Dokumente an.
Netzwerkfähige Ausgabegeräte bieten im Betrieb meist gleich mehrere Schwachpunkte: Die Netzwerkverwaltung beziehungsweise -karte arbeitet in der Regel ungesichert, alle Konfigurationsparameter des Netzwerks lassen sich so leicht auslesen. Auf den in die Systeme integrierten Festplatten bleiben die Dokumente für einen längeren Zeitraum liegen. Nicht selten passieren auch einfache Anwendungsfehler am Gerät selbst, Dokumente werden im Ausgabefach vergessen. Zudem lassen sich mit den Geräten Unterlagen leicht per Fax oder E-Mail außerhalb des Unternehmens versenden.
Protokolle deaktivieren
Aktuelle Netzwerkdrucker sind in der Regel mit wenigen Mausklicks ins Netzwerk eingebunden. Die komfortablen Setup-Routinen erledigen nahezu alles automatisch. Derlei Bequemlichkeit bringt aber auch einen Nachteil mit sich: Aktuelle Drucker oder Multifunktionsgeräte unterstützen zahlreiche Protokolle, von denen die meisten für einen standardmäßigen Betrieb nicht erforderlich sind.
Die Installationsroutinen setzen in der Regel alle Protokolle auf aktiv, um die Inbetriebnahme der unterschiedlichen Funktionalitäten zu erleichtern. Für einen sicheren Betrieb sollten Sie alle nicht benötigten Protokolle deaktivieren. Ganz nebenbei reduzieren Sie damit auch noch den Netzwerk-Traffic.
Wenn Sie Ihre Drucker über ein Verwaltungs-Tool wie HPs WebJet Admin, Lexmarks Markvision oder Vergleichbares von anderen Herstellern managen, können sie zumeist viele Protokolle deaktivieren. Wenn kein direkter Zugriff per Webbrowser auf den Print-Server nötig ist, weil alle Einstellungen per Management-Lösung vorgenommen werden, ist beispielsweise auch keine Unterstützung des http-Protokolls erforderlich. Über die entsprechenden Management-Tools können Sie in der Regel die entsprechenden Einstellungen an allen Druckern im Netz simultan vornehmen. Damit ist sichergestellt, dass diesbezüglich eine einheitliche Richtlinie eingehalten wird.
Verschlüsselt verwalten
Schon wer mehr als zwei Drucker in seinem Netzwerk betreibt, erleichtert sich die Administration der Geräte mit den eben erwähnten Management-Tools deutlich. Diese sind zumeist kostenlos bei den Druckerherstellern zu beziehen und erlauben es, einheitliche Einstellungen auf allen Druckern vorzunehmen. Zudem lassen sich in der Regel Updates von Treiber oder Firmware zentralisieren.
Die Verwaltung der Druck-Server im Netzwerk erfolgt traditionell via SNMP. Alle gängigen Verwaltungs-Tools kommunizieren über SNMP mit den Print-Servern. Sollten Sie keinerlei Verwaltungs-Tools einsetzen, können Sie die SNMP-Unterstützung komplett deaktivieren.
Andernfalls ist zur Verwendung von SNMPv3 anzuraten – vorausgesetzt Druck-Server und Verwaltungssoftware unterstützen dies. SNMPv3 unterstützt Benutzer-Authentifizierung und Datenverschlüsselung. Da SNMPv3 und SNMPv1/v2 parallel aktiviert sein kann, sollten Sie Letztere deaktivieren.
Darüber hinaus sollten Sie einen Community-Namen bestimmen, der beim SNMP-Zugriff Verwendung findet. Der Standardwert für den Get-Community-Namen ist üblicherweise auf „public“ voreingestellt und erlaubt so zumeist uneingeschränkten Lesezugriff.
Kontrollierter Zugang
Meist herrscht in Netzwerken auch keine Transparenz darüber, welche Anwender auf welche Drucker ausgeben. Zwar kommt häufig eine Standardinstallation mit einer bestimmten Druckereinrichtung zum Einsatz, richtet sich der User darüber hinaus weitere Drucker ein, ist dies häufig problemlos möglich.
Wie andere Netzwerkgeräte auch, bieten die meisten integrierten Print-Server das Anlegen einer Zugriffskontrollliste (ACL) an. Darin lassen sich IP-Adressen oder IP-Adressbereiche definieren, die auf den Drucker Zugriff haben. Je nach Ausführung lässt sich dabei der Zugriff auf den Drucker wie auch der Zugriff auf den Print-Server regeln. Einige Druckermodelle offerieren außerdem die Möglichkeit, die Zugriffe über die entsprechenden Benutzer zu regulieren.
Insbesondere bei Farb- oder multifunktionalen Modellen lassen sich darüber hinaus einzelne Funktionen für bestimmte Benutzer einschränken. Dies kann beispielsweise die Möglichkeit, in Farbe zu drucken, betreffen. Bei Geräten der neuesten Generationen lassen sich diese Einstellungen häufig noch weiter aufschlüsseln. Dies kann in der Praxis bedeuten, dass Anwender zum Beispiel ausschließlich aus Powerpoint in Farbe drucken dürfen.
Sicher drucken
Zahlreiche Netzwerkdrucker bieten bereits ab Werk eine Basisfunktionalität in Sachen Druck von vertraulichen Dokumenten. Üblicherweise muss der Anwender dazu im Treiber einen PIN-Code für den Druckauftrag vergeben. Erst wenn dieser am Gerät aktiviert wird, lässt sich der Druckauftrag abrufen. Einige Druckermodelle müssen für diese Funktionalität mit einer Festplatte oder einem anderen Speichermedium ausgestattet sein.
Von nahezu allen namhaften Druckerherstellern befinden sich zudem Lösungen im Angebot, bei denen sich der Anwender eindeutig am Gerät identifizieren muss, bevor der Druckauftrag im Ausgabefach landet. Die Authentifizierung kann beispielsweise über SmartCards, die herkömmlichen Zugangskarten oder Fingerprint-Sensoren erfolgen. Je nach System lässt sich damit nicht nur garantieren, dass nur berechtigte Anwender an die jeweiligen Druckaufträge kommen. Darüber hinaus bieten die meisten Lösungen eine Anbindung an die Kostenstellen, sprich die einzelnen Druckaufträge können entsprechenden Kostenstellen zugeordnet werden.
Einige Netzwerkdrucker besitzen die Funktionalität, den letzten Druckauftrag am Gerät noch einmal abzurufen – also eine Art Wahlwiederholung des Druckjobs. Das kann durchaus praktisch sein, etwa wenn einem erst am Drucker einfällt, dass man doch gerne eine zweite Kopie gehabt hätte.
Allerdings dürfte man nicht bei jedem Dokument den Wunsch verspüren, dass der nächste Anwender dieses einfach am Gerät noch einmal für sich ausgeben darf. Dementsprechende Funktionen sollte man daher aus Sicherheitsgründen deaktivieren.
Druckdaten verschlüsseln
Mit den Funktionen zum sicheren Drucken ist zumeist der einfache Zugang zu den Ausdrucken verwehrt. Auf dem Weg vom Client zum Drucker sind die Druckdaten aber nach wie vor ungeschützt. Druckdaten in Form eines PCL- oder Postscript-Datenstroms über die Standardprotokolle TCP/LPR/LPD sind kein Hochsicherheitstrakt, schon eher ein Klartexttransport. Mit geeigneten Tools kann man die Datenströme mitschneiden. Die entsprechenden Daten lassen sich auf anderen Rechnern anzeigen, so als hätte man das Originaldokument vorliegen. Theoretisch sind so auch Szenarien vorstellbar, in denen ein Druckauftrag verändert wird, bevor er dem eigentlichen Ausgabegerät überstellt wird.
Abhilfe schafft hier eine Verschlüsselung der Druckdaten, idealerweise in Kombination mit einem Zertifikats-Management. Denn Druckjobs lassen sich nicht nur mitschneiden, sondern auch umleiten. Zertifikate können sicherstellen, dass der Druckauftrag nur beim gewünschten Empfänger angenommen wird.
Es gibt zahlreiche Anbieter von Verschlüsselungslösungen, exemplarisch seien ThinPrint, Stethos oder MSE genannt. Alle namhaften Druckerhersteller arbeiten mit einem oder mehreren entsprechenden Anbietern zusammen oder haben eigene Lösungen. Bei ThinPrint erfolgt beispielsweise eine 128-Bit-SSL-Verschlüsselung der Druckdaten. Dazu muss auf dem Client eine entsprechende Software installiert sein. Die verschlüsselten Druckdaten werden nur an einen per Zertifikat autorisierten Client beziehungsweise Print-Server ausgeliefert.
Fazit
Ein Netzwerkdrucker oder ein entsprechendes Multifunktionssystem sind komplexe Geräte. Es ist nicht damit getan, die Treiber auf dem neuesten Stand zu halten. Die Firmware des Print-Servers sowie das Administrationsprogramm müssen ebenfalls entsprechend gepflegt werden. Sowohl die Drucker selbst als auch die Verwaltungsprogramme finden in Sachen Sicherheitslücken regelmäßig Erwähnung in unseren Security-Reports.
Ein automatisiertes Patch-Management ist daher bei netzwerkfähigen Ausgabegeräten genauso Pflicht wie bei jedem anderen Server auch. Denn nichts anderes sind netzwerkfähige Drucker mit Embedded Webserver. Wie leichtfertig die Anwender mit ihren sicher zugestellten Ausdrucken umgehen, lässt sich hingegen nicht per Software regeln.