Netzwerkdrucker und Druckdaten schützen

    Xerox-MultifunktionssystemeEine "Mär" ist, dass nur Client-Systeme und Server Angriffspunkte für Hacker sind. Ein weiteres Einfallstor sind Netzwerk­drucker und Multi­funktions­systeme. Das belegen Attacken auf HP-Systeme, die Ende vergangenen Jahres stattfanden. Zudem zeigte Xerox den Teilnehmern der McAfee FOCUS 12 Security Conference im Rahmen einer Demonstration, dass jedes vernetzte Gerät angreifbar ist.

    Xerox - DruckersicherheitXerox und McAfee haben daher eine Lösung entwickelt, die netzwerkfähige Multifunktions­drucker von Xerox vor Malware und Viren schützt. Die Embedded-Control- und -Management-Software von McAfee soll ab nächstem Jahr für die Xerox-Systeme der Reihe WorkCentre und ColorQube verfügbar sein.

    Zum Einsatz kommt die Embedded-Control-Software von McAfee. Sie basiert auf einem White-List-Verfahren. Das heißt, nur dediziert dazu autorisierte Anwendungen erhalten Zugriff auf die Multifunktionssysteme.

    White List versus Black List

    Xerox-Studie 2012 - Ignorieren von Sicherheitsregeln in UnternehmenEine White List laut McAfee effizienter und bietet einen höheren Schutzfaktor. Auf einer Black List sind IP-Adressbereiche, Applikationen et cetera aufgeführt, die NICHT auf ein System, Netzwerk oder einen Drucker zugreifen dürfen. Diese Listen müssen ständig überprüft und aktualisiert werden. Der Aufwand ist somit höher, auch das Risiko, dass eine (noch) nicht aufgeführte Applikation Zugang zum System erhält.

    Beim Ansatz von Xerox und McAfee wird die Schutzsoftware in den Controller des Multifunktionsgerätes integriert. Versucht eine nicht autorisierte Applikation auf das System zuzugreifen, wird der Administrator informiert. Der Nachteil der Methode: Im Vorfeld muss eine Liste mit denjenigen Applikationen erstellt werden, die das Multifunktionssystem nutzen dürfen. Auch dieses Verzeichnis muss zudem up to date gehalten werden. Dies ist allerdings weniger aufwändig als beim Black-List-Verfahren.

    Studie: User scheren sich nicht um Sicherheitsrichtlinien

    Eine Befragung von IT-Usern, die Xerox und McAfee Anfang 2012 in den USA durchführten, zeigt, dass in puncto Sicherheit einiges im Argen liegt. Demnach gab mehr als die Hälfte (54 Prozent) der befragten Büroangestellten an, die IT-Sicherheitsrichtlinien entweder nicht in jedem Fall zu befolgen (33 Prozent) oder sie gar nicht zu kennen (21 Prozent).

    Xerox Phaser 8860 - MultifunkionsdruckerImmerhin 39 Prozent der Beschäftigten, die vertrauliche Unterlagen im Büro kopieren, scannen oder drucken, fragen sich laut der Studie zumindest hin und wieder, ob diese Informationen auf einem vernetzten Gerät sicher sind. Allerdings nutzt das wenig, wenn keine entsprechenden Gegenmaßnahmen ergriffen werden.

    Und laut einer Umfrage von HP haben 68 Prozent der Unternehmen keine Sicherheits-Policies für Drucker und Multifunktionssysteme implementiert.

    Tipps für Schutz von Druckern und Dokumenten

    Auf den Web-Seiten und in White Papers von Drucker-Herstellern sind etliche Hinweise zu finden, wie sich Drucker, Multifunktionssysteme und Dokumente gegen den Zugriff Unbefugter sichern lassen. Hier eine Auswahl:

    • Die Festplatten von Drucksystemen verschlüsseln: Oft verfügen Drucker und MFP (Multi Functional Printers) über Harddisks, um Druckjobs zwischenzuspeichern (zu "spoolen"). Diese HDDs sollten sich verschlüsseln lassen.
    • Ausgabe nach PIN-Eingabe: Zu den "Klassikern" zählt, Ausdrucke im Ausgabefach des Druckers zu vergessen. Das lässt sich vermeiden, indem der Druckjob erst dann startet, wenn der Benutzer am Gerät eine PIN oder ein Passwort eingibt. Das kostet zwar Zeit, ist aber sicherer als das "Einfach-Losdrucken". Einige Systeme nutzen auch Smartcards oder biometrische Verfahren wie Fingerabdruck-Scanning, um den Nutzer zu identifzieren und anschließend den Druckvorgang zu starten.
    • Wasserzeichen verwenden: Einige Drucker integrieren in vertrauliche Dokumente Wasserzeichen, wenn diese kopiert werden oder ein Dritter die Unterlagen ausdruckt. Das Wasserzeichen macht transparent, wenn von einem Dokumente mehrere Ausgaben erstellt respektive gedruckt oder kopiert werden.
    • Scans verschlüsseln: Auch beim Einscannen vertraulicher Dokumente sollte Verschlüsselung zum Zuge kommen. Das gilt auch für den Transport der gescannten Informationen über das Netzwerk zum Arbeitsplatzrechner des Users.
    • Kontrolle bei Scan-to-Fax und Scan-to-E-Mail: Auch hier sollten User-Authentifizierung und Verschlüsselung eingesetzt werden.
    • Trennung der Fax-Leitungen vom MFP: Lokales Netzwerk (LAN) und Telefonnetz (Fax) müssen mithilfe eines Fax-Subsystems separiert werden. Das verhindert, dass ein Angreifer über das Telefonnetz (Modem, ISDN, IP-basierte Telekommunikationsnetze) auf das MFP zugreift und darüber Zugang zu Firmennetz erhält.
    • SNMP v3 verwenden: Das Management von Drucksysteme erfolgt häufig mittels SNMP. In diesem Fall die Default-Passwörter und SNMP-Community-Namen der Systeme ändern. Außerdem empfiehlt sich der Einsatz von SNMP v3. Es verfügt im Gegensatz zu SNMP v1 und v2 über Authentifizierungs- und Verschlüsselungsfunktionen.
    • WLANs absichern: Vor allem Arbeitsplatzdrucker verfügen mittlerweile über ein WLAN-Interface. Wird ein Drucker via Wireless LAN in Netz eingebunden, Verschlüsselung und Authentifizierung mittels WPA2 nutzen, keinesfalls das überholte WEP.
    • Zentrales Management der Drucker-/MFP-Umgebung: Dies klingt banal, ist aber in jedem Fall zu empfehlen, wenn mehr als fünf oder zehn Netzwerkdrucker im Einsatz sind. Mit einem zentralen Management lassen sich Security Policies umsetzen, etwa welche Client-Rechner Zugriff auf welchen Drucker haben und wann Updates und Patches der Scan- und Druckersoftware eingespielt werden.
    • Sicherheitstests (Assessments) durchführen und Security-Lücken identifizieren: Das ist sicherlich nicht einfach und erfordert Zeit. Einige Printer-Management- und –Security-Softwarepakete, wie etwa HP Imaging and Printing Security Center (IPSC), führen solche Assessments automatisch durch. Eine solche Lösung ist allerdings nur für größere Unternehmen erschwinglich und sinnvoll.
    • Sicheres Löschen der Festplatte vor Verkauf oder Entsorgung: Ebenfalls zu den klassischen Sicherheitslücken, ebenso wie bei ausgemusterten PCs, zählen die Festplatten eine Druckers oder MFP. Bevor ein solches System ausgemustert wird, sollte dessen Festplatte auf sichere Weise gelöscht werden. Formatieren reicht nicht, sondern die Platten müssen mithilfe spezieller Tools mehrfach überschrieben werden. Einige Firmen, darunter Xerox, bieten dem Nutzer an, die Festplatte auszubauen und ihm zu übergeben. Auch das ist ein akzeptables Vorgehen.

    1 Kommentar

    Bild von fireshadow
    fireshadow sagt:
    31. Oktober 2012 - 17:13

    Als ich vor einigen Monaten einen neuen Netzwerkdrucker (ein verbreitetes Modell) gekauft hatte, und nach einigen Informationen dazu googelte, bin ich fast vom Stuhl gefallen, wieviele dieser Drucker per Webinterface mehr oder weniger ungeschützt im Internet zugänglich sind. Bei den vielen konnte man z.B. völlig problemlos den Ausdruck der Konfigurationsdaten auslösen, womit z.B. selbst ein Möchtegern-Hacker mal eben über Nacht die Papierkassetten leerdrucken kann (ok, kein allzu grosser Schaden, aber doch sehr ärgerlich).

    Die Firmware-Stände, die praktischerweise auch gleich angezeigt werden, waren z.T. völlig veraltet, so dass ein fähiger Hacker vermutlich oft gute Chancen hätte, weiter in das lokale Netz vorzudringen. Das IT-Sicherheits-Wissen und -Bewusstsein ist verbreitet nach wie vor auf einem beunruhigend niedrigen Niveau.