Sicherheitstechniken beim Netzwerkdruck
Schutz für Vertrauliches
Beim Thema sicheres Drucken in Netzwerken denken die meisten Anwender zuerst daran, Druckdatenströme vor unberechtigtem Zugriff zu schützen. Wenn wichtige, sicherheitsrelevante Dokumente über ein Netzwerk ausgedruckt werden, sollte der Datenstrom verschlüsselt sein. Doch das Thema Sicherheit beim Netzwerkdruck ist noch viel umfassender: Es geht beispielsweise auch um Zugriffsberechtigungen auf Drucker oder die benutzergesteuerte Freigabe vor Ort.
Die Einbindung von Druckern ins Netzwerk erfolgt in der Regel über externe beziehungsweise
interne Printserver oder über Onboard-LAN-Schnittstellen. Einige Druckerhersteller integrieren
heute zudem in ihre professionellen Highend-Drucker und Multifunktionsgeräte ab Werk umfassende
Sicherheitspakete. Für weniger aufwändig ausgestattete Drucker können zusätzliche Hardwarelösungen
wie Printserver die Sicherheit wirksam verbessern. Einige dieser Lösungen unterstützen
SSL/TLS-Verschlüsselung (Secure Sockets Layer/Transport Layer Security) vom Client bis zum
Drucker.
Umfassende Sicherheitspakete in Highend-Geräten
Um den Schutz der Druckdaten bis an den Drucker und sogar bis ins Ausgabefach zu gewährleisten,
existieren verschiedene Möglichkeiten. Einige Druckerhersteller wie Canon, Lexmark oder Ricoh
setzen bei ihren Highend-Druckern und Multifunktionsgeräten zunehmend auf integrierte
Sicherheitslösungen. Solche Geräte enthalten beispielsweise auch Festplatten – also Komponenten,
auf denen Daten ihre digitalen Spuren hinterlassen. Daher statten die Hersteller solche
Produktlinien mittlerweile serienmäßig mit umfassenden Sicherheits-Features aus. Dazu zählen
typischerweise die Verwaltung von Zugriffsrechten, Konfigurationsschutz sowie die Aktivierung und
Deaktivierung der Netzwerkprotokolle, Anwendungen und Ports. Einige Modelle von Lexmark bieten
zusätzlich zur Unterstützung von SSL und IPSec beispielsweise 802.1X-Authentifizierung, die
Verschlüsselung der optionalen Festplatte und Funktionen wie die Druckersperre. Auch bei einigen
Ricoh-Produktlinien findet der Anwender serienmäßige Funktionen wie SSL-Verschlüsselung und die
Übertragung der Daten über ein gesichertes Netzwerkprotokoll.
Zum Standard solcher Netzwerkdrucker zählen Lösungen, die die Ausgabe von Druckjobs erst dann
ermöglichen, wenn der berechtigte Benutzer am Gerät den Druck auslöst. Um sich am Drucker
anzumelden, stehen wahlweise die Eingabe eines PINs, Magnet- oder Chipkarten, berührungslose Karten
oder biometrische Verfahren zur Auswahl. So genannte "Security Kits" sorgen dafür, dass Druckdaten,
die auf der Festplatte des Druckers gespeichert sind, verschlüsselt und nach Beendigung des
Druckjobs gelöscht beziehungsweise überschrieben werden. Auch ist es möglich, den Inhalt der
Festplatte bei einem Standortwechsel des Druckers oder vor seiner endgültigen Entsorgung komplett
und unwiderruflich zu löschen.
Verschlüsselung von Druckdaten
Eine solche Ausstattung hat ihren Preis und rechnet sich für professionell genutzte
Highend-Geräte. Doch auch Nutzer weniger aufwändig ausgestatteter oder älterer Drucker müssen nicht
auf Sicherheit beim Drucken im Netz verzichten. Für diese Output-Geräte existieren
Hardwarelösungen, die die wichtigsten Sicherheitsfunktionen ermöglichen, die in Highend-Druckern
integriert sind. Follow-me- oder Private-Printing, wie es unter anderem Ringdale ("Followme
Printing"), Jetmobile ("Megatrack") oder MSE ("Card?n?Print/Card?n?Copy") anbieten, kommt dabei
häufig zum Einsatz. Dieses Verfahren benötigt zusätzlich zur Netzwerkanbindung über die
Druckerschnittstelle eine Box, die sich am Drucker anbringen lässt. Follow-me-Printing bietet
außerdem Verschlüsselung der Druckdaten sowie Managementanwendungen wie Druckkosten-Controlling
oder Zugangsregelungen zum Drucker.
Als Trend zeichnen sich aber auch externe und interne Printserver ab, die die Verschlüsselung
von Druckdaten unterstützen. So bietet beispielsweise das gesamte Printserver-Produktportfolio von
SEH Druckdatenübertragung mit SSL-Verschlüsselung. Doch auch Hewlett-Packard und Lexmark bieten
mittlerweile solche Produkte an. Herstellerübergreifend existiert zur Verschlüsselung der
Druckdaten nur das Internet Printing Protocol (IPP) in der Version 1.1, das in den RFCs
2910/2911/3196 beschrieben ist (siehe www.pwg.org/ipp). IPP v1.1 basiert auf HTTP 1.1 und
kann alle Erweiterungen für HTTP verwenden, wozu der Einsatz von SSL/TLS zählt. Allerdings
unterstützen Windows-Betriebssysteme derzeit noch nicht IPP v1.1. SEH löst dieses Problem mit einer
selbst entwickelten Software für Windows, das Druckjobs verschlüsselt. Windows-Clients haben mit
diesem Tool die Wahl zwischen Socket-Printing (Port 9100) oder HTTP-Printing (Port 80). Nutzer
können dann entscheiden, ob sie unverschlüsselt (Port 80) oder verschlüsselt über HTTPS (Port 431)
drucken wollen. Ein weiteres Beispiel für proprietäre Verfahren ist die kürzlich von Thinprint
entwickelte Thinprint-SSL-Verschlüsselung, die der Hersteller in seine Lösung zum
bandbreitenoptimierten Drucken integriert hat. Doch auch hier kommt es zu Kooperationen: So
unterstützt beispielsweise die jüngste Printserverfamilie von SEH auch "Thinprint SSL".
Netzwerkzugangskontrolle via Radius-Server
Zur weiteren Verbesserung der Sicherheit stehen dem Anwender Verfahren der Authentifizierung
beim Drucken im Netz zur Verfügung. Als Schnittstelle vom Drucker zum Netzwerk sorgen Printserver
dafür, dass sich die Geräte korrekt am Netzwerk anmelden. Bei der Kommunikation eines Clients mit
einem Printserver lässt sich die Identität des Letzteren sicher bestimmen. Dabei handelt sich in
der Regel um eine Authentifizierung auf der Basis von IEEE 802.1X. Dieses Verfahren ist typisch für
die WLAN-Technologie, in der die Authentifizierung über Access Points und Radius-Server erfolgt. In
Kabelnetzen übernimmt ein Switch die Aufgabe des Access Points. Während in drahtlosen Netzen IEEE
802.1X schon seinen festen Platz hat, findet dieser Standard inzwischen auch in verkabelten Netzen
immer breitere Verwendung.
Schutz vor Manipulationen
Da Printserver unter Sicherheitsaspekten – bis hin zur Verschlüsselung von Druckdaten –
zunehmend eine wichtige Rolle spielen, ist es notwendig, auch die Zugriffsrechte auf die
Konfiguration der Printserver stärker zu reglementieren. Die Konfiguration eines Printservers lässt
sich wirkungsvoll und einfach mit einem Passwortschutz vor Manipulation und nicht berechtigtem
Zugriff schützen. Häufig können jedoch alle Netzwerkteilnehmer Einsicht in die Konfiguration eines
Printservers über seine Managementoptionen nehmen, zum Beispiel über Browser oder herstellereigene
Management-Tools. Änderungen der Konfiguration sind allerdings meist nur nach Eingabe eines
festgelegten Passworts zugelassen. Manche Printserver – beispielsweise von SEH – bieten mit der
Funktion "Zugangskontrolle" zusätzlich die Möglichkeit, die Konfiguration eines Printservers per
Mausklick für nicht zugriffsberechtigte Netzwerkteilnehmer unsichtbar zu machen. Bei einigen
Druckermodellen lässt sich mit dieser Funktionalität auch die Konfiguration des Printservers via
Drucker-Panel sperren.
Zugangsschutz via Printserver
Auch der Zugriff zum Drucken auf bestimmte Netzwerkdrucker lässt sich effizient über Printserver
regeln. Viele professionelle Printserver bieten hierfür einen entsprechenden
Konfigurationsparameter. Die Bezeichnung für diese Funktionalität ist allerdings je nach Hersteller
unterschiedlich: beispielsweise "IP Sender" (SEH), "IP Filtering" (Silex), "Access Control"
(Hewlett-Packard) oder "Protected IP Printing" (Epson). Diese Filterfunktion lässt sich über die
jeweiligen Management-Tools der Produkte konfigurieren. Sie schützt Drucker vor unberechtigter
Nutzung, indem Zugriffsrechte auf einen Netzwerkdrucker nur bestimmten IP-Adressen – und damit
User-Arbeitsplätzen – zugewiesen sind. Dazu stehen Felder zur Eingabe von IP-Adressen oder
Hostnamen beziehungsweise zur Eingabe von IP-Adressbereichen via "Wild Card" zur Verfügung.
Sicherheitslücke: Dokumente drucken
Mit solchen Techniken können Administratoren die Anwendergruppe präzise definieren: Von
einzelnen Usern über kleine Gruppen bis hin zu ganzen Abteilungen lässt sich so der Zugriff auf
bestimmte Drucker festlegen. Ein mögliches Anwendungsszenario: So steht beispielsweise der
A3-Farbdrucker in der Marketing-Abteilung nur den Mitarbeitern zur Verfügung, die ihn wirklich
beruflich benötigen – und erzeugt auch nur hier Kosten. Alle anderen Mitarbeiter haben kein
Zugriffsrecht.
Ist der Druckauftrag einmal unterwegs, hilft auch die Verschlüsselung der Druckdaten nicht vor
unberechtigtem Zugriff, wenn das Dokument am Drucker selbst ungeschützt im Fach landet – und damit
frei einsehbar ist oder von jedermann mitgenommen werden kann. Hier greifen die
Follow-me-Printing-Lösungen. Ein Beispiel einer aufeinander abgestimmten Lösung ist die Kombination
des erwähnten "Card?n?Print" mit SEH-Printservern für Kyocera-Drucker. Das MSE-Identifikations- und
Abrechnungssystem lässt sich dabei über einen seriellen Anschluss mit dem Printserver verbinden.
Bei dieser Lösung spoolt ein Serverrechner die Druckjobs der jeweiligen Anwender. Die Benutzer
authentifizieren sich mit einer MSE-Magnetkarte am Drucker. Wenn der Anwender berechtigt ist, gibt
das System die Druckjobs frei. Auf diese Weise ist sichergestellt, dass nur berechtigte Nutzer auf
bestimmte Drucker zugreifen können und beim Ausdruck auch persönlich vor Ort sind.
Fazit
Während strenge Sicherheitsvorkehrungen in vielen Unternehmen wichtige, sensible und
vertrauliche Daten schützen, wird das Thema Drucken im Netz in dieser Hinsicht noch vielfach
übersehen. Doch Druckerhersteller und Anbieter von Netzwerkdrucklösungen haben eine Palette von
Lösungen im Angebot, die Druckdaten während der Übertragung im Netz und auch bei der Druckausgabe
sicher vor unberechtigtem Zugriff schützen. Ebenso wichtig ist, dass sich diese Lösungen selbst vor
unberechtigtem Zugriff und Manipulation schützen lassen. Stichworte sind Verschlüsselung,
Authentifizierung, Zugriffsrechte, Benutzeridentifikationssysteme und die sichere Ausgabe von
gedruckten Dokumenten an die berechtigten Nutzer.
Lesen Sie mehr zum Thema
