Drucker: Unterschätzte Gefahr im Netzwerk

29.08.2022
G DATA Blog

Drucker sind ein oft übersehenes Einfallstor in ein Unternehmensnetz - ob aufgrund von Sicherheitslücken oder Fehlkonfigurationen. Die gute Nachricht: Beides lässt sich beheben.

Cybersecurity hat in vielen Unternehmen mittlerweile eine hohe Priorität. Das findet sich in Sicherheitspolicies für das interne Netzwerk, in Updaterichtlinien, neuen Awarenesskampagnen gegen Phishing und Nutzungspolicies für Mobilgeräte. Aber was ist mit all den Druckern, die in Ecken und kleinen Abstellräumen stehen und dort still ihren Dienst verrichten? Sind sie auch Teil des Sicherheitskonzeptes? Falls nein, dann lohnt sich hier ein genauerer Blick. Sonst finden sich hier zahlreiche Angriffspunkte, die es Angreifenden unnötig einfach machen, das Sicherheitskonzept auszuhebeln. Und dabei rede ich nicht einmal von den Kolleg*innen, die versehentlich vertrauliche Dokumente im Ausgabeschacht des Druckers liegenlassen.  

In letzter Zeit war oft die Rede vom “Internet of things” und allen erdenklichen Arten von Geräten, die mit dem Internet verbunden sind und eine potenzielle Gefahr für die Sicherheit von kleinen und mittelständischen Betrieben darstellen. Drucker, wie sie in zahlreichen Büros zum Einsatz kommen, bilden hier keine Ausnahme. Eine 2022 von Quocirca durchgeführte Studie kam zu dem Ergebnis, dass 68 Prozent aller Zwischenfälle, bei denen Sicherheitslücken in Druckern eine Rolle spielten im Verlust von Daten resultierten. Das kostet die betroffenen Unternehmen Geld – im Schnitt 800.000 Euro, laut der Studie. Moderne Drucker sin dim Prinzip nichts anderes als durchaus leistungsfähige Computer. Daher bieten sie sich ebenso als Einfallstor in ein Netzwerk an wie ein normaler Büro-PC. Zum Glück lassen sich Drucker ohne großen Aufwand absichern.  

Es gibt jedoch noch mehr Probleme mit der Sicherheit von Druckern. Der finnische Sicherheitsanbieter WithSecure ( vormals F-Secure) schlug im November 2021 Alarm, nachdem Forscher Sicherheitslücken in bestimmten Druckermodellen von HP entdeckt hatten. Diese Sicherheitslücken ermöglichten Angriffe, entweder unter Zuhilfenahme der Anschlussbuchsen den Geräten selbst oder über die sogenannte Schriftartenverarbeitung. Dabei konnten Angreifer potenziell die Kontrolle über die Drucker übernehmen und sich dort Zugriffsrechte verschaffen. Nach Aussage von HP waren über 150 verschiedene Modelle von den Sicherheitslücken betroffen. Das Aunutzen dieser Lücken erforderte einiges an technischem Verständnis sowie (im Falle der Anschlüsse am Gerät selbst) Zugang zu dem Drucker – ein erfahrener Angreifer hätte jedoch großen Schaden anrichten können.  

Eine der Sicherheitslücken ermöglichte einen so genannten Cross-Site-Printing-Angriff. Bei einem solchen sendet ein Webserver einen Druckauftrag mit einer manipulierten Schriftarten-Datei an den Drucker. Diese wiederum verschafft dem Angreifer Zugriffsrechte auf den Drucker selbst und damit auch auf das Netzwerk, an das er Drucker angeschlossen ist. Mit diese Berechtigungen haben Angreifer direkten Zugriff auf alle Daten, die an das Gerät gesendet (beziehungsweise auf diesem zwischengespeichert) werden. Alternativ lassen sich auch bösartig manipulierte Dokumente auf dem Drucker selbst zur Ausführung bringen.  

Die gute Nachricht: Mit den jeweils aktuellsten Sicherheitspatches lassen sich all diese Sicherheitslücken stopfen. Daher sollte all das kein Hindernis darstellen, wenn ein neuer Drucker ins Netzwerk gehängt wird. Werfen wir jetzt noch einen Blick auf die anderen Möglichkeiten, wie sich Multifunktionsdrucker wirksam absichern lassen 

Mit den folgenden Tipps machen Sie es kriminellen Hackern wesentlich schwerer,ins Netzwerk, zu gelangen:  

 

  • Drucker-Firmware aktualisieren, sobald Updates verfügbar sind
    Genau wie bei anderen Geräten auch, sollten eine Drucker-Firmware regelmäßig aktualisiert werden. Neue Firmware-Versionen enthalten Patches, die Drucker weniger angreifbar machen. Stellen Sie auch sicher, dass für die Druckerverwaltung ein selbst gewähltes und ausreichend starkes Passwort zum Einsatz kommt statt des Standardpasswortes (oder statt überhaupt keines gesetzt zu haben).   
  • Nicht benötigte Dienste deaktivieren
    Netzwerkdrucker stellen eine große Bandbreite an Funktionen zur Verfügung. Der beste Tipp ist an dieser Stelle, einfach die Dienste zu deaktivieren, die nicht im Alltag benötigt werden und sie nicht zu einem Einfallstor für Angriffe werden zu lassen. Beherrscht der Drucker beispielsweise Dateiuploads per FTP? Wird das im Alltag benötigt? Wenn nicht: Funktion deaktivieren.  

    Übrigens: Nach einem Firmware-Update lohnt es sich, die Einstellungen noch einmal zu überprüfen – denn einige Geräte setzen nach einem Update alle Optionen auf Werkseinstellungen zurück. Damit wären auch all die Funktionen wieder aktiviert, die eigentlich deaktiviert sein sollten. Einige Geräte bieten auch die Möglichkeit, die Einstellungen in einer Datei zu sichern – diese Option kann den Alltag in solchen Fällen wesentlich erleichtern.

  • Physikalischen Zugang zum Drucker absichern
    Manchmal lässt es sich nicht vermeiden, vertrauliche Informationen zu drucken. Um sicher zu stellen, dass diese Informationen in die falschen Hände geraten, sollte der Drucker an einem abgesicherten Ort stehen, wie etwa in einem gesonderten und verschlossenen Raum. Auch die Unterbringung in der Nähe des Administratorenteams kann eine Option sein – die Teammitglieder können so etwa auch sicher stellen, dass keine Ausdrucke mit sensiblen Daten im Ausgabefach des Druckers verbleiben. Einige Drucker bieten auch die Möglichkeit der Absicherung mit einem Passwort, das zum Starten des Druckauftrages eingegeben werden muss. Aktivieren Sie diese Features nach Möglichkeit. So ist sichergestellt, dass tatsächlich jemand neben dem Gerät steht, wenn sensible Daten auf Papier gebracht werden  
  • Eine Person mit der Verwaltung beauftragen
    Es gibt im Unternehmen meistens eine Person oder ein Team, das mit der Verwaltung und Verteilung von Updates betraut ist, oder auch mit der Ausgabe von Zugangskarten für die Unternehmensräume. Für Drucker sieht es meistens anders aus. Drucker sind oftmals eine “lokale” Angelegenheit, wo Teams ihre Netzwerkdrucker selbst verwalten. Oder die Drucker sind irgendwann einmal installiert worden und erfahren – vom Nachfüllen von Verbrauchsmaterial abgesehen – keinerlei weitere Beachtung.  

    Daher sollte auch für die Absicherung der Druckerlandschaft jemand die Verantwortung erhalten. Diese Aufgabe kann eventuell auch ein externer Dienstleister (wie etwa der Systemintegrator) übernehmen – oder eben jemand aus dem internen IT-Team.  

  • Den Drucker vom öffentlichen Internet trennen 
    Dies ist vielleicht neben der laufenden Aktualisierung der Firmware einer der wichtigsten Schritte. Warum sollte jemand außerhalb des Netzwerkes Zugriff auf den Drucker benötigen? Isolieren Sie also den Drucker vom Internet und erstellen Sie eine Firewall-Regel, die sowohl eingehenden als auch ausgehenden Netzwerkverkehr mit dem öffentlichen Internet blockiert.    

  • Überwachen Sie, wer druckt
    Die beste Möglichkeit, die Druckernutzung zu überwachen und zu kontrollieren, wer Zugriff auf Ihre Drucker hat, ist ein IAM-Programm (Identity Access Management). Sie können diese Benutzerprofile auch für andere IT-bezogene Aufgaben verwenden. Wenn Sie zum Beispiel Microsoft Office verwenden, können Sie das Microsoft Active Directory nutzen, um diese Passwörter zu verwalten und die Druckeraktivitäten zu regeln. Sie können Profile so einrichten, dass nur Personen aus bestimmten Teams bestimmte Drucker benutzen können. Oder dass die Personalverantwortlichen ihre Dokumente nur mit dem Drucker der Personalabteilung drucken können. 
  • Überwachen Sie verdächtige Aktivitäten
    Zusätzlich zu den oben genannten Maßnahmen sollten Sie Ihr Druckernetz auf ungewöhnliche Aktivitäten überwachen. Aktuelle Drucker bieten diese Funktionen bereits: Audit, Tracking und Protokollierung. Dadurch erhalten Sie Daten über Dinge wie Nutzungsstatistiken oder laufende Kosten und können sich auch ein Bild davon machen, welche Benutzer welche Druckaufträge erteilt haben. Wenn der Drucker diese Option nicht bietet, sollten Sie sich nach Software-Add-ons umsehen, die Auditing und Tracking ermöglichen. 
  • Erwägen Sie ein Upgrade Ihrer Druckerflotte
    Viele neue Drucker verfügen über integrierte Sicherheitsfunktionen, die es einfacher machen, Ihr Netzwerk zu sichern und vor Cyberangriffen zu schützen. Zum Beispiel eine Funktion für zugelassene Absender, mit der Sie festlegen können, ob jemand etwas von seiner E-Mail-Adresse zum Drucken senden darf. Oder die Funktion, die alte Druckaufträge automatisch aus dem Druckerspeicher löscht. 

Eddy Willems
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein