Tags: Hardware, Sicherheit
Drucker und Kopierer sind bei der Erstellung und Überwachung von IT-Sicherheitskonzepten oft vernachlässigte Geräte. Dabei ist es für einen potentiellen Datendieb hier ein Leichtes, vertrauliche Informationen abzugreifen. Das Szenario ist sehr simpel, so dass es keines in IT-Sicherheitslücken bewanderten Spiones bedarf, einen Angriff durchzuführen.
Ein verärgerter Mitarbeiter etwa – die immer und überall unterschätzte Gefahrenquelle – reicht völlig aus, besondere Kenntnisse sind nicht vonnöten.
So einfach ist der Ausdruck weg
Im Sinne von Kosten- und Energiesparmaßnahmen haben oft auch Executive-Büros oder die der dazugehörigen Assistenzen oft keinen Arbeitsplatzdrucker mehr. Am Etagendrucker sind alle gleich – auch dessen Druckaufträge reihen sich in die Warteschlange ein. Diese lässt sich einfach und effektiv blockieren, etwa durch einen Druckauftrag im falschen Papierformat. Im Gegensatz zu den einfachen Bedien-Panels von Arbeitsplatzdruckern sind die von kombinierten Fax/Kopierer/Etagendruckern kompliziert genug, dass man unter Termindruck immer dankbar sein wird darüber, dass bereits jemand das Problem „behebt“. Diese „Hilfe“ wird in aller Regel darin bestehen, den fehlerhaften Auftrag zu löschen und sich das zu erschleichende Dokument anzueignen. Der Datendieb kann noch freundlich sein Bedauern ausdrücken, einen Auftrag gelöscht zu haben, um die Queue wieder frei zu kriegen, und in aller Regel wird niemand einen Verdacht schöpfen, sondern seinen Auftrag einfach noch einmal absenden.
Sicheres Drucken: So einfach ist der Schutz
Praktisch jeder Business-Drucker bietet in irgendeiner Form die Einstellung „Sicheres Drucken“ als Ausgabemodus an, bei dem der Druck-Job zunächst nur im Drucker gespeichert und erst nach PIN- oder Passwort-Eingabe wirklich gedruckt wird. Da der Ausdruck dann auch schon aufbereitet ist, fallen keine Wartezeiten mehr an und die berechtigte Person befindet sich im Augenblick des Ausdrucks auch wirklich am Gerät.
Ein Problem bleibt: Die Einrichtung kann schlecht zentral per GPO vorgegeben werden da die Funktion treiberabhängig ist. Mit Hilfe von Login-Scripts oder Group Policy Preferences sollte sich jedoch in den meisten Fällen zumindest eine zentrale Vorgabe realisieren lassen. Dringend zu empfehlen ist auch eine Benutzerschulung: Bei vielen Druckermodellen sind Wechsel zur sicheren Dokumentenbox und Authentifizierung nicht gerade einfach intuitiv gestaltet. Die Erfahrung lehrt, dass als lästig empfundene Sicherheitsmaßnahmen von den Benutzern oft als Einschränkung wahrgenommen und wenig akzeptiert werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Andreas Kroschel ist Buchautor und Verfasser von Fachartikeln zu Hardware, Windows und Linux sowie IT-Sicherheit. Er arbeitete als Redakteur unter anderem für BYTE Deutschland und die PC-Welt.
Ähnliche Beiträge
- Installation von (USB)-Geräten kontrollieren mit Gruppenrichtlinien
- TPM und Virtualisierung: Hardware-basierte Sicherheitsfunktionen zur Abwehr von Malware in Windows
- Trend Micro: Intrusion-Prevention-System mit 100 GBit
- InvizBox Go baut anonyme Internet-Verbindungen über WLAN auf
- Fujitsu mit Hochsicherheits-Rack fürs Rechenzentrum
Weitere Links
1 Kommentar
Die Sicherheit ist natürlich an erster Stelle, deshalb freue ich mich sehr auf diese Möglichkeit.