Drucker und Kopierer sind bei der Erstellung und Überwachung von IT-Sicher­heits­konzepten oft vernachlässigte Geräte. Dabei ist es für einen potentiellen Datendieb hier ein Leichtes, vertrauliche Informationen abzugreifen. Das Szenario ist sehr simpel, so dass es keines in IT-Sicherheits­lücken bewanderten Spiones bedarf, einen Angriff durchzuführen. Ein verärgerter Mitarbeiter etwa – die immer und überall unterschätzte Gefahrenquelle – reicht völlig aus, besondere Kenntnisse sind nicht vonnöten.

So einfach ist der Ausdruck weg

Im Sinne von Kosten- und Energiesparmaßnahmen haben oft auch Executive-Büros oder die der dazugehörigen Assistenzen oft keinen Arbeitsplatzdrucker mehr. Am Etagendrucker sind alle gleich – auch dessen Druckaufträge reihen sich in die Warteschlange ein. Diese lässt sich einfach und effektiv blockieren, etwa durch einen Druckauftrag im falschen Papierformat. Im Gegensatz zu den einfachen Bedien-Panels von Arbeitsplatzdruckern sind die von kombinierten Fax/Kopierer/Etagendruckern kompliziert genug, dass man unter Termindruck immer dankbar sein wird darüber, dass bereits jemand das Problem „behebt“. Diese „Hilfe“ wird in aller Regel darin bestehen, den fehlerhaften Auftrag zu löschen und sich das zu erschleichende Dokument anzueignen. Der Datendieb kann noch freundlich sein Bedauern ausdrücken, einen Auftrag gelöscht zu haben, um die Queue wieder frei zu kriegen, und in aller Regel wird niemand einen Verdacht schöpfen, sondern seinen Auftrag einfach noch einmal absenden.

Sicheres Drucken: So einfach ist der Schutz

Praktisch jeder Business-Drucker bietet in irgendeiner Form die Einstellung „Sicheres Drucken“ als Ausgabemodus an, bei dem der Druck-Job zunächst nur im Drucker gespeichert und erst nach PIN- oder Passwort-Eingabe wirklich gedruckt wird. Da der Ausdruck dann auch schon aufbereitet ist, fallen keine Wartezeiten mehr an und die berechtigte Person befindet sich im Augenblick des Ausdrucks auch wirklich am Gerät.

Ein Problem bleibt: Die Einrichtung kann schlecht zentral per GPO vorgegeben werden da die Funktion treiberabhängig ist. Mit Hilfe von Login-Scripts oder Group Policy Preferences sollte sich jedoch in den meisten Fällen zumindest eine zentrale Vorgabe realisieren lassen. Dringend zu empfehlen ist auch eine Benutzerschulung: Bei vielen Druckermodellen sind Wechsel zur sicheren Dokumentenbox und Authentifizierung nicht gerade einfach intuitiv gestaltet. Die Erfahrung lehrt, dass als lästig empfundene Sicherheits­maßnahmen von den Benutzern oft als Einschränkung wahrgenommen und wenig akzeptiert werden.