Sicheres Drucken im Unternehmensnetz
Unterschätztes Risiko
Unternehmensdaten sind auf dem Weg vom Eingabegerät zum Drucker oft ungeschützt und für jedermann zugänglich. Doch viele Unternehmen haben diese Schwachstelle in der IT-Sicherheit noch nicht erkannt oder unterschätzen die Gefahr, die von einem unsicheren Druckernetzwerk ausgeht. Dabei können die Folgen des Verlusts sensibler Druckdaten schwerwiegend und unkalkulierbar ausfallen.Um aufzuzeigen, wo die Schwachstellen der Datensicherheit im Output-Bereich liegen und wie sich diese beseitigen lassen, ist zunächst der Weg zu betrachten, auf dem die Daten vom Computer zum Drucker gelangen. Üblicherweise werden die Druckdaten unverschlüsselt an ein Ausgabegerät gesendet. Zum Einsatz kommen dabei meistens der Standard-Port 9100, der LDP-Port 515 oder neuerdings auch der WSD-Port (Microsoft Web-Services for Devices). Somit ist es ein Leichtes, mit einem Netzwerkscanner an die Druckdaten heranzukommen. Einzige Hürde sind dabei die Switches, die zwischen Ausgabegerät und Angreifer liegen. Doch auch dort existieren einfache Techniken, diese in eine Art "Abhörmodus" zu versetzen oder die Daten mit einem MITM-Angriff (Man in the Middle) abzugreifen. Übertragungswege zwischen Ein- und Ausgabegerät Ein beliebtes Tool zum Ausspionieren stellt Wireshark dar. Damit lassen sich auf einfachste Weise sämtliche Druckdaten aufspüren und kopieren. Mit diesen Daten kann ein Angreifer die Druckdateien extrahieren und beispielsweise auf einen anderen Drucker mit der gleichen Emulation ausgeben. Dazu benötigt er noch nicht einmal ein baugleiches System - entscheidend ist lediglich die richtige Druckeremulation wie PCL oder Postscript. Auch das Drucken von mobilen Endgeräten wie beispielsweise Smartphones oder Tablet-PCs birgt ein großes Gefahrenpotenzial für die Datensicherheit im Unternehmen. Speziell das Drucken über E-Mail, wie es einige Herstellern anbieten, ist risikoreich. Da die genutzten Cloud-Server meist im Ausland stehen, lässt sich nie genau sagen, wie und wo die Druckdaten verarbeitet werden und ob unbefugte Dritte diese eventuell auf ihrer Reise um die Welt abgreifen und speichern. Deshalb sollten Anwender sensible Daten besser nicht über solche Dienste ausdrucken. Die gute Nachricht: Es gibt sichere Alternativen für Mobile Printing. Lösungen wie beispielsweise der Cortado Corporate Server ermöglichen die Verarbeitung von Druckdaten mobiler Endgeräte innerhalb des Unternehmens, sodass die Dokumente in einer sichereren Umgebung verbleiben. Häufig handelt es sich bei unbefugten Zugriffen aber weniger um externe Hacker-Angriffe sondern vielmehr um interne Sicherheitslücken - ob ungewollt, durch versehentliches Zurücklassen vertraulicher Druckdaten auf Gruppen- oder sogar Etagendruckern oder bewusst durch illoyale Mitarbeiter. Gerade Multifunktionsgeräte mit anonymen Zugangsmöglichkeiten bieten dabei die größte Angriffsfläche. Die Gefahr, dass sensible Daten auch über Drucker an nicht befugte Personen oder an die Außenwelt gelangen können, wird dabei häufig unterschätzt. Schon mit einfachsten Hilfsmitteln wie kostenlos erhältlichen Tools lassen sich Druckdaten abgreifen und ausspionieren. Mehr Sicherheit im Output-Bereich Wenn ein Unternehmen Sicherheits- und Abwehrmaßnahmen für seine Netzwerkdrucker implementieren will, darf dies den täglichen Arbeitsablauf allerdings nicht einschränken oder behindern. Daher stellt eine passive Maßnahme wie ein ausgewogenes Verhältnis zwischen Arbeitsplatz- und Arbeitsgruppengeräten den ersten Schritt für eine sichere Druck- und Multifunktions-Landschaft dar. Einige Anbieter wie beispielsweise Oki bieten hard- und softwareseitig ein breites Spektrum an Sicherheitsoptionen an, die bereits standardmäßig ab Werk installiert sind. Neben Verschlüsselung der Druckdaten bei Druckern mit Speicherkarte oder Festplatte steht etwa auch PIN-Druck zur Verfügung, bei dem der Anwender die Dokumente nur mit einer individuellen PIN-Nummer am Ausgabegerät abrufen kann. Die IPSec-Funktion oder das Abschalten nichtbenötigter Protokolle sichern zudem auf Netzwerkebene gegen externe Angriffe ab. Drucksicherheitssoftware wie beispielsweise "Oki Print Job Accounting" bietet zusätzlich die Möglichkeit, Nutzer in ihren Druckrechten zu beschränken und zu überwachen. Damit ist eine anonyme Weitergabe brisanter Dokumente an unbefugte Dritte - beispielsweise als "Scan to Mail" oder "Scan to Fax" - nicht mehr möglich. Eine zusätzliche Authentifizierung mit ID-Karten rundet das Sicherheitsangebot bei einigen Gerätemodellen ab. Dabei sollten alle verwendeten Sicherheitsprotokolle auf Standards basieren wie zum Beispiel 802.1X, SSL/TLS, HTTPS sowie RSA-Verschlüsselung mit bis zu 2.048 Bit Tiefe. Bei einigen Multifunktionsdruckern lässt sich etwa auch bei "Scan to PDF" die Datei zusätzlich verschlüsseln und passwortgeschützt versenden. Dadurch stellt sogar die Übermittlung an einen falschen Empfänger kein Problem mehr dar. Neben allen technischen Maßnahmen zur Abwehr von Sicherheitsproblemen im Druckernetzwerk sind aber natürlich auch das Unternehmens-Management, die IT-Fachleute und jeder einzelne Mitarbeiter selbst gefordert. Dabei gilt es, seitens der Führungsebene klare Regeln für das Drucken im Büro aufzustellen und diese auch durchzusetzen. Fachhändler, Hersteller und Distributoren sind darüber hinaus angehalten, sowohl ihre Kunden als auch die Nutzer auf die Gefahren aufmerksam zu machen und über Möglichkeiten der Minimierung von Sicherheitslecks aufzuklären.
Lesen Sie mehr zum Thema
