Sicherheitskonzept für den Schutz sensibler Druckdaten Sicherheit beim Drucken

Autor / Redakteur: Sandra Schneider / Peter Schmitz

Unternehmensdaten müssen angemessen geschützt werden. Hierbei gibt es eine Schwachstelle an den Arbeitsplätzen, die kaum jemandem bewusst ist: Jeder Druckauftrag ist ein potenzielles Sicherheitsrisiko.

Firmen zum Thema

Mindestens ein Drittel aller Unternehmen hat keine Sicherheitsstrategie für seine Drucksysteme geplant. Dabei sind Netzwerkdrucker ein noch immer stark unterschätztes Risiko für die Datensicherheit.
Mindestens ein Drittel aller Unternehmen hat keine Sicherheitsstrategie für seine Drucksysteme geplant. Dabei sind Netzwerkdrucker ein noch immer stark unterschätztes Risiko für die Datensicherheit.
(Bild: Cortado AG)

Trotz vernetzter Systeme, global agierender Anwendungen und E-Mail-Kommunikation bleibt das papierlose Büro weiterhin Fiktion. Täglich wird gedruckt, zumeist in Büros oder auf den Gängen, lokal oder auf netzwerkfähigen Laserdruckern. Dabei wird allzu leichtfertig unterschätzt, dass Drucker nicht nur ein einfaches Ausgabe- und Kopiergerät sind, sondern einen entscheidenden Baustein in der Kommunikationsstruktur darstellen, der geschützt werden muss.

Laut der Studie "IT-Security in Deutschland 2010" von IDC wird das Thema sicheres Drucken jedoch bisher vernachlässigt. Nur ein Drittel der Befragten gibt an, über eine Strategie zu verfügen. 30 Prozent haben keine Sicherheitsstrategie für Ihre Druckumgebung geplant.

Bildergalerie

Bereits ein einfacher Ausdruck reicht schon, um einen ungewollten Datenabfluss oder gar einen Datendiebstahl zu ermöglichen. Leider ist dieser Umstand nicht jedem bewusst. Aktuell wurde bei einigen Samsung-Druckern eine Sicherheitslücke festgestellt. Gewisse Samsung-Druckermodelle, so das CERT (Computer Emergency Response Team) an der Carnegie Mellon University in Pittsburgh, könnten durch das fest eingestellte Administratorenkennwort manipuliert werden.

Und 2011 wurde der Druckerhersteller Hewlett-Packard im US-Bundesstaat Kalifornien verklagt, da seine Laserjet-Drucker schwerwiegende Sicherheitsmängel aufwiesen. Hacker konnten aufgrund einer Schwachstelle am Drucker in das Netzwerk eindringen, Daten entwenden und die Druckgeräte durch Überhitzung beschädigen.

Forscher der Columbia University in New York fanden in diesem Zusammenhang heraus, dass insbesondere bei älteren Laser-Drucker-Modellen das Firmware-Update über das Internet erfolgen kann, ohne dass dafür eine Authentifizierung mittels digitaler Signatur notwendig ist. Diese gravierende Sicherheitslücke ebnet den Weg für Hacker, um auf den Drucker und dahinter liegende Computer zuzugreifen, sofern diese nicht per Firewall geschützt sind.

Es reicht also bei weitem nicht aus, nur das Netzwerk mit einer Firewall zu schützen und eine aktuelle Anti-Malware-Software zu benutzen. Es ist auch unerlässlich, die integrierten Sicherheitsfunktionen in den Druckern zu aktivieren oder zusätzliche Maßnahmen zu ergreifen, um eine End-To-End Verschlüsselung zu gewährleisten.

Netzwerkdruck sicher gestalten

Tatsächlich wird das Netzwerkdrucken als Gefahrenquelle häufig unterschätzt. Sobald Daten über das Netz geschickt werden, können sie leicht ausspioniert werden, da letztlich jedes Druckprotokoll mehr oder minder Klartext überträgt. So enthalten die gängigen Seitenbeschreibungssprachen PCL (Printer Control Language) oder Postscript neben Steuer- und Befehlszeichen die Information des Dokuments im Klartext.

Ein im ASCII-Format übertragener Text ist sogar noch leichter auszulesen. Angreifer brauchen dazu weder Spezialwissen noch komplizierte Tools, um die ungeschützten Druckdaten auszuspionieren und zu manipulieren. Bei der Übertragung lassen sich die Daten leicht mitschneiden. Solche Programme, wie zum Beispiel Wireshark, eigentlich ein wichtiges Troubleshooting-Werkzeug für Netzwerk-Administratoren, sind im Internet frei zugänglich.

Genauso problemlos gelangt man an Anwendungen, welche die mitgeschnittenen Daten auf dem Bildschirm anzeigen. Ab hier ist es nur noch ein kleiner Schritt, um die Druckdaten zu manipulieren und in veränderter Form auszudrucken. Insbesondere sensible Daten müssen also verschlüsselt werden.

Sicherheitsrisiken beim Cloud-Printing

Mit dem vermehrten Einsatz von Smartphone und Co. stellt sich aber auch die Frage, wie sicher das mobile Drucken über das Internet wirklich ist. Zwar ist Cloud-Printing – also das mobile Drucken mit einem browserfähigen Gerät auf einem freigegebenen Drucker mit Internetzugang bzw. WLAN- oder Bluetooth-Anschluss – gerade für Außendienstmitarbeiter eine zunehmend verlockende Option. Doch sollten Unternehmen auch hier prüfen, inwieweit Datenschutz und Datensicherheit gewährleistet sind.

Was passiert zum Beispiel mit dem Ausdruck, wenn dieser nicht beim freigegebenen Drucker herauskommt, sondern versehentlich ein anderer Drucker angewählt wurde? Wie sicher ist der Zieldrucker? Schließlich können auch hier Datendiebe über das Netzwerk-Sniffing die Internetverbindung belauschen, um die sensiblen Daten abzufangen, auszulesen und zu manipulieren.

Ebenso könnte der Cloud-Printing-Provider unerlaubt Kopien der zu druckenden Dateien speichern. Beim Cloud-Printing gelten also ganz eigene Sicherheitsanforderungen für Zieldrucker und Provider. Daher sollten vorab die Sicherheitsvorkehrungen der Cloud-Printing-Dienste wie Google Cloud Print, HP ePrint oder Cortado Workplace geprüft und die möglichen Zieldrucker stets nach entsprechendem Sicherheitsstatus ausgewählt werden.

Bei HP ePrint werden die zu druckenden Daten per E-Mail an den HP Dienst gesendet. HP kann nicht gewährleisten, dass das über sichere Mails läuft. Das hängt von der Maileinstellung am Smartphone ab. Nur der Druck zum Drucker wird von HP per SSL verschlüsselt. Bei Google Cloud Print, wie bei Cortado Workplace oder der On Premise-Lösung Cortado Corporate Server für Unternehmen werden die Druckdaten SSL-verschlüsselt.

Schwachstelle Druckausgabe

Bei der Druckausgabe am Drucker zeigt sich eine weitere Schwachstelle. Schnell können vertrauliche Informationen über Personaldaten, Gehälter, Provisionen oder persönliche Daten der Mitarbeiter in die falschen Hände gelange, wenn diese auf einem Unternehmensdrucker ausgedruckt werden, der für alle leicht zugänglich ist.

Bis der Mitarbeiter von der Personalabteilung zum Drucker geeilt ist, hat unter Umständen bereits schon ein anderer ohne böse Absicht im Vorbeigehen den Papierstapel kontrolliert – es könnte ja etwas aus seiner Abteilung dabei sein.

So belegen Statistiken immer wieder, dass die meisten Sicherheitsverstöße tatsächlich im Unternehmen selbst geschehen und nicht von außen. Dabei muss nicht einmal Vorsatz im Spiel sein. Allein schon durch Versehen, Übereifer oder Neugierde mit mangelndem Problembewusstsein können große Schäden entstehen.

Authentifizierung am Drucker schützt vertrauliche Druckdaten

Der erste Schritt sollte sein, einen geeigneten Standort für Unternehmensdrucker zu wählen. Eingangsbereiche mit häufig offenstehenden Türen sind hier wohl eher ungeeignet. Auch macht es wenig Sinn, dass ein Kollege aus der Personalabteilung auf den Druckjob am Netzwerkprinter wartet, um ihn hier abzupassen.

Die bessere Alternative, um den Ausdruck vor fremden Blicken zu schützen, ist den Druckauftrag zu personalisieren per PIN-Vergabe, Smart Card oder über ein biometrisches Verfahren, wie zum Beispiel durch Fingerabdruck. Da der Ausdruck immer persönlich abgeholt werden muss, können vertrauliche Dokumente hier weder im Druckausgabefach vergessen werden, noch in die falschen Hände gelangen.

Bei sogenannten Pull-Printing-Lösungen starten Anwender den Druckauftrag erst mit der Authentifizierung am Druckgerät. Positiver Nebeneffekt: Durch die „Ausweispflicht“ am Drucker wird nur das gedruckt, was auch tatsächlich gebraucht wird.

Nach Berechnungen von Gartner-Analysten ließen sich so 10 Prozent des Papierverbrauchs in Unternehmen sparen. Aus Kostengründen empfiehlt es sich, bei der Auswahl einer geeigneten Lösung darauf zu achten, dass die Druckerflotte nicht komplett durch neue Geräte ersetzt werden muss, sondern dass auch die bisher verwendeten Modell pullprintingfähig gemacht werden können.

(ID:37347730)