Druckersicherheit

Inhaltsverzeichnis
1. Intelligente Helden des Alltages
2. Drucker haben ein Gedächtnis
2.1 Zweck und Inhalt des Codes
2.2 Sichtbar machen und Entschlüsseln des Codes
3. Ungeschützt Drucker sind eine Bedrohung für die Unternehmenssicherheit
3.1 Vom Drucken unerwünschter Botschaften bis hin zum Zugriff aus sensible Daten
3.2 Seit längerem bekannt und ignoriert
3.3 3Ds für Sicherheit
4. Druckersicherheit kann nicht mehr ignoriert werden!
4.1 DSGVO und Druckersicherheit
4.2 ePrivacy- Richtlinien
5. Druckersicherheitslösungen
5.1 FollowMe Printing
5.2 Pull Printing
5.3 Print Server
5.4 NFC Lesegerät
5.5 Druckermanagement
5.6 Druckerrichtlinien
5.7 Sicherer Systemstart
5.8 SIEM
5.9 Compliance Tool
5.10 Datenübertragung nur über SSL-Verschlüsselung/FTP/TSL

1. Intelligente Helden des Alltages

Die Menschheit druckt schon seit Jahrhunderten mit den verschiedensten Techniken. Zunächst wurden die mechanischen Druckmaschinen immer weiter verbessert. Im 18. Jahrhundert kam die Schreibmaschine auf den Markt, welche Zeichen über Farbband direkt auf Papier druckt. Es folgten Nadel-, Kugelkopf- und Typenraddrucker. Als nächster Schritt folgten die ersten Tintenstrahldrucker, die Tinte nicht aufdruckten, sondern aufs Papier spritzten. Heutzutage werden vor allem Laserstrahldrucker genutzt, die den Toner über Laserstrahlen steuern und sehr exakte Ergebnisse erzeugen. Eine Revolution auf dem Markt der Drucker war der 3D-Drucker: Mit ihm lassen sich dreidimensionale Gegenstände unterschiedlichster Form und Größe ausdrucken.

Hintergrundwissen: Bekannt geworden ist so vor allem Johann Gutenberg: Er gilt als Erfinder des Buchdrucks und entwickelte bereits vor über 500 Jahren seine mechanische Druckmaschine.

Ein Alltag ohne Internet erscheint uns heutzutage so gut wie unmöglich. Ständig werden wir mit Situationen konfrontiert, in denen sich Problem nur oder am einfachsten mit Hilfe des Internets lösen lassen. Mittlerweile bedienen wir unsere internetfähigen Geräte nicht mehr nur selber, sondern lassen diese über zentrale Datenbanken miteinander kommunizieren und interagieren. Das Fitnessarmband schickt die ermittelten Daten automatisch aufs Smartphone, sogenannte Smarthomes steuern Licht, Heizung und Rolladen. Auch Drucker sind ein wichtiger Bestandteil des Internet of Things (kurz: IoT). Sie können Druckaufträge von einem beliebigen Gerät bekommen, solange es ins Netzwerk integriert ist. Sie können automatisch wichtige Dokumente erkennen und ausdrucken oder sich bei einem kritischen Tintenfüllstand neue Patronen bestellen. Mithilfe bestimmter Programme ist es sogar möglich, weltweit von einem beliebigen Gerät aus Dokumente auf dem heimischen Drucker auszudrucken.

© Seanbatty | pixbay.com

2. Drucker haben ein Gedächtnis

Steganographie, abgeleitet aus dem griechischen und wörtlich übersetzt mit "verdeckt schreiben", ist eine Verschlüsselungsmethode zur versteckten Übermittlung von Daten. Diese Technik wird von einigen Farblaserdruckern und -kopierern verwendet um bestimmte Informationen auf bedruckten oder kopierten Seiten zu hinterlassen. Dieser Code wird als Machine Identification Code, kurz MIC, bezeichnet. Kleine gelbe Punkte, die mit dem bloßen Auge kaum zu erkennen sind, werden dabei in einem bestimmten Muster über die gesamte Druckfläche verteilt.

2.1 Zweck und Inhalt des Codes

Die Markierung soll die Fälschung von Dokumenten und Banknoten erschweren und Unterlagen vor einem unberechtigten Zugriff schützen. Dabei soll der MIC bei der Identifikation des Geräts helfen, mit dem die Vervielfältigung bzw. Fälschung angefertigt wurde. Der Code beinhaltet daher spezifische Informationen eines Geräts. Neben der Seriennummer sind dies beispielsweise das Datum und die Uhrzeit des Drucks bzw. der Kopie.

2.2 Sichtbar machen und Entschlüsseln des Codes

Um die kleinen gelben Punkte sichtbar zu machen, ohne zeitaufwendig eine Lupe oder ein Mikroskop zu bemühen, wir ein hoch auflösender Scanner benötigt. Nach einer starken Erhöhung der gelben Farbtöne und des Kontrastes werden die Punkte im Scan sichtbar. Den Schlüssel ihres Codes geben die Hersteller nicht preis. Die meisten Unternehmen weisen nicht einmal darauf hin, dass ein solcher Code von ihren Geräten aufgebracht wird. Die Verbraucherschutzorganisation Electronic Frontier Foundation hat daher ein eigenes Python-Skript zur Dekodierung der Markierungen entwickelt.

3. Ungeschützt Drucker sind eine Bedrohung für die Unternehmenssicherheit

Im privaten Bereich wie auch in Firmen werden häufig Netzwerke genutzt, um Laptops, Desktop-PCs, Drucker und Multifunktionsgerät miteinander zu verbinden. Die Geräte, die über WLAN miteinander und mit dem Internet verbunden sind, haben jeweils eine eigene IP-Adresse. Sie sind also auch auffindbar, wenn man nicht im jeweiligen Netzwerk beteiligt ist. Und das macht sie angreifbar: Denn während PCs und Laptops, oft auch Tablet-PCs und Smartphones regelmäßig mit Updates auf den neuesten (Sicherheits-)Stand gebracht werden, kümmerst sich in der Regel niemand um die Drucker und Multifunktionsgerät. Es ist dementsprechend einfach, diese Geräte von außen zu manipulieren oder über sie Zugang zu sensiblen Daten zu erhalten. Regelmäßige Updates von Treibern und anderer Software würden für eine höhere Sicherheit sorgen, werden aber in der Regel nicht durchgeführt.

3.1 Vom Drucken unerwünschter Botschaften bis hin zum Zugriff aus sensible Daten

Die einfachste Art, einen Drucker zu manipulieren ist, ihn anzuwählen und einen Druckauftrag zu senden. Das können einfache Botschaften sein, die nur aus einer einzelnen Zeile bestehen. Das dürfte in einem Betrieb für Irritation sorgen, mehr nicht. Was aber, wenn ein komplexer Druckauftrag von mehreren Tausend Seiten den oder die Drucker für einige Stunden beschäftigt oder gar überfordert, so dass das Gerät nicht nutzbar ist? Die Arbeitsabläufe im Unternehmen dürften dadurch empfindlich gestört sein.

Ganz anders sieht die Sache aus, wenn sich jemand unbefugt Zugang zu den Daten verschafft, die sich im Zwischenspeicher des Druckers oder Multifunktionsgerät befinden. Die Daten können abgegriffen, manipuliert, gelöscht werden. Das kann ein Unternehmen durchaus kompromittieren, abhängig davon, um welche Art von Daten es sich handelt.

Eine dritte Möglichkeit ist, über den Drucker Zugang zum Firmennetzwerk zu haben. Denn der Drucker kann beim Ausführen von Druckaufträgen auf die Daten der einzelnen mit ihm verbundenen Rechner zugreifen. Mit ein wenig Geschick lässt sich der Drucker soweit manipulieren, dass auch Zugriff auf Daten besteht, die nicht aktuell als Druckauftrag an den Drucker gegeben wurden. Und auch diese Daten können nicht nur eingesehen, sondern geladen, manipuliert, in veränderter Form zurückgespielt oder gelöscht werden. Das Thema ist also durchaus sensibel.

3.2 Seit längerem bekannt und ignoriert

Dass man über den Drucker und Multifunktionsgerät in ein Netzwerk eindringen kann, ist bekannt. Trotzdem kümmern sich die wenigsten Unternehmen um ein zufrieden stellendes Sicherheitsniveau aller Komponenten des Netzwerks. Besonders brisant ist das, weil Unternehmen durch das IT-Sicherheitsgesetz vom Bundesamt für Sicherheit in der Informationstechnik eigentlich dazu verpflichtet sind, auch die Sicherheit von Druckern zu gewährleisten.

3.3 3Ds für Sicherheit

Um den Drucker und die Druckumgebung wirklich sicher zu gestalten, müssen sich die Unternehmen nicht nur um den Druckertreiber kümmern. Es gilt, die 3D zu beachten: Drucker, Daten, Dokumente. Zum Schutz des Druckers müssen Sicherheitsbedrohungen wie Schadprogramme oder Cyberangriffe abgewehrt werden. Die modernen Geräte bringen normalerweise schon einige Sicherheitsfunktionen mit und bieten daher einen grundsätzlichen Schutz. Gegeben ist der durch:

1. einen speziellen BIOS-Schutz, der kompromittiertes BIOS erkennt und automatisch repariert. Dazu kann der Drucker eine BIOS-Kopie auf einem separaten Speicher anlegen und bei Bedarf aufspielen.
2. Whitelisting. Nur signierte und nach Prüfung nicht manipulierte Firmware wird geladen und ausgeführt.
3. im Betriebsmodusdurchgeführte systeminterne Speicherüberwachung, die böswillige Angriffe und Unregelmäßigkeiten im Gerät erkennt.

Die Daten müssen abgesichert, verschlüsselt und überwacht werden. Das passiert durch eine sichere Gerätekonfiguration. Administratorkennwörter müssen wirklich gesetzt werden, unnötige Netzwerkprotokolle und Schnittstellen müssen deaktiviert werden, und die Verschlüsselung der internen Festplatten muss sichergestellt sein. Verschlüsselungsprotokolle verhindern außerdem, dass Druckjobs oder Dokumente in der Übertragung im Netzwerk oder im Druckerspeicher abgefangen werden. Das alles ist nicht so einfach in der Einrichtung. Moderne Multifunktionsdrucker können über Software sicher und schnell eingerichtet werden. Die Software stellt Drucksicherheit-Richtlinien mit wenig Aufwand bereit, rollt die auf jedem Drucker im Netzwerk aus und überwacht sie. Kommt es irgendwo zu abweichenden Einstellungen, werden diese gefunden und korrigiert. Die Software sorgt sogar dafür, dass der gesetzlich vorgeschriebenen Dokumentationspflicht Genüge getan ist.

Die Dokumente im Ausgabeschacht müssen ebenfalls geschützt werden. Dafür gibt es das sogenannte Pull-Printing, auch als Follow-Me Konzept bezeichnet. Es stellt sicher, dass der Druckauftrag jeweils auf einem geschützten Server im Zwischenspeicher landet. Ausgegeben wird er erst, wenn sich der Absender am Drucker authentifiziert, per PIN oder Chipkarte kann das geschehen. Dieses Vorgehen stellt sicher, dass unbefugte Personen Aufträge nicht sehen oder entnehmen können. Dazu kommt, dass es keine Fehldrucke oder nicht abgeholte Drucke mehr gibt, was die Druckkosten senken dürfte. Eine andere Möglichkeit sind Drucker mit Verriegelungen (einem physischen Schloss beispielsweise) und abgeschirmten Ablagefächern.

4. Druckersicherheit kann nicht mehr ignoriert werden!

Studien ergeben, dass bei etwa 63% aller Unternehmen Datenschutzverletzungen vorliegen, die im Zusammenhang mit Druckern stehen. Diese Sicherheitslücken werden oftmals unterschätzt.

4.1 DSGVO und Druckersicherheit

Im März 2018 trat EU-weit die DSGVO in Kraft, ein einheitliches Datenschutzgesetz für alle EU-Mitgliedsstaaten. Ziel der Verordnung ist es, personenbezogene Daten besser zu schützen und einen sichereren Datenaustausch bereitzustellen. Die Pfeiler der DSGVO sind Rechtmäßigkeit, Datensparsamkeit, zeitliche Beschränkungen, Integrität und Vertraulichkeit. Hinzu kommt eine strengere Dokumentationspflicht des Datenflusses und die Verpflichtung, jegliche Datenlecks sofort zu melden. Die User sollen so besser vor Datenmissbrauch und Datenklau geschützt werden. Unternehmen, die diese Regelungen missachten, drohen hohe Bußgelder. Auch die Sicherheit ihrer Drucker müssen die Firmen neu aufstellen. Hierzu kann ganz neue Hardware angeschafft werden, oder aber bestimmt Programme wie ThinPrint, die sichereres Drucken ermöglichen. Darüber hinaus müssen Unternehmen für eine lückenlose Verschlüsselung der Daten während der Übertragung über den Drucker sorgen und bei Abschalten des Gerätes den Festplattenspeicher löschen. Anders kann die Einhaltung der DSGVO kaum bewältigt werden.

4.2 ePrivacy- Richtlinien

Zusätzlich zur DSGVO soll es ab 2019 eine deutliche Verschärfung der ePrivacy Richtlinien geben. Schon seit 2002 regelt ePrivacy vor allem den Umgang mit Daten durch Internet- und Telemedienanbieter. Die neue Verordnung sieht eine Ausweitung der Schutzmaßnahmen vor. Zu diesen vorgesehenen Maßnahmen zählt ein Tracking-Verbot, dass das räumliche Tracking durch Prorgramme, die nicht aktiv genutzt werden, illegal macht. Zudem sollen die User Datennutzungen durch die Anbieter aktiver zustimmen müssen. Generell sollen über Cookies nur noch Daten gesammelt werden, die für die Dienste des jeweiligen Unternehmens notwendig sind. Der Datenabgriff durch Dritte soll verhindert werden. Auch für die Druckersicherheit bedeutet das zusätzliche Verschärfungen. So müssen Anbieter verstärkt darauf achten, dass Userdaten nicht unrechtmäßig zwischengespeichert werden oder über dritte Geräte auf diese zugegriffen werden kann.

5. Druckersicherheitslösungen

Unterschieden werden interne und externe Lösungen, die einer erhöhten Datensicherheit dienen sollen.

5.1 FollowMe Printing

In vielen Unternehmen stehen mehrere Drucker, die Dokumente dann ausgeben, wenn der Druckauftrag eingeleitet wird. Die Dokumente bleiben dann in dem Drucker liegen, bis sie abgeholt werden. Dies ist aus Sicht der Datensicherheit bedenklich. FollowMe Printing sorgt dafür, dass alle Dokumente an einen einzigen Drucker geleitet werden. Ein Mitarbeiter löst den Druckauftrag aus und holt die Dokumente von diesem einen Drucker ab. So kann verhindert werden, dass Dokumente in fremde Hände gelangen.

5.2 Pull Printing

Bei diesem System werden alle Dokumente auf einem Server gesammelt. Drucken darf nur, wer eine entsprechende Identifikation besitzt und die Daten mit dieser Identifikation frei schaltet. Alle Dokumente werden danach auf einem zentralen Drucker ausgegeben und eingesammelt.

5.3 Print Server

Hierbei handelt es sich um eine externe Lösung, die ähnlich wie das Pull Printing funktioniert. Druckaufträge, die von verschiedenen Rechnern ausgelöst werden, landen nicht direkt auf dem Drucker, sondern zunächst auf einem Server. Dort werden sie gesammelt. Ein weiterer Druckbefehl ist notwendig, um die Aufträge auf einem zentralen Drucker auszugeben.

5.4 NFC Lesegerät

Das NFC Lesegerät gehört ebenfalls zu den externen Druckerlösungen. Dank dieser besonderen digitalen Übertragungstechnik ist es möglich, Informationen zwischen Geräten auszutauschen, die dicht beieinander liegen. Die Verbindung wird nach dem Entfernen der Geräte voneinander sofort wieder gelöst. Auf diese Weise wird verhindert, dass Informationen von unberechtigten Dritten abgefangen werden können. Moderne Drucker sind mit einem NFC-Chip ausgestattet und ermöglichen das direkte Drucken von einem Smartphone nur durch das Anhalten des Gerätes an den Leser. So ist ein individuelles, mobiles und sicheres Arbeiten möglich.

5.5 Druckermanagement

Ein Druckermanagement arbeitet online. Über einen gesicherten Server ist es möglich, alle Druckaufträge zu verwalten und diese auch abzumelden. Das Druckermanagement gehört zu den externen Sicherheitslösungen. Es empfiehlt sich, wenn in einem Unternehmen verschiedene Drucker an unterschiedlichen Orten zum Einsatz kommen. Auf einer übersichtlichen Benutzeroberfläche werden die Aktivitäten aller Drucker zusammengefasst. Es wird auf einen Blick erkennbar, welcher Drucker gerade einen Druckauftrag angenommen hat oder sich in der Warteschleife befindet. Die grafische Darstellung bietet beste Übersicht. Auch Alarmmeldungen der Drucker werden schnell erfasst. Auf diese Weise arbeiten Drucker nicht mehr einzeln für sich, sondern eine flächenübergreifende Kontrolle ist möglich. Ein Druckermanagement kann kostenlos für alle Drucker des Unternehmens eingerichtet werden und bietet eine größtmögliche Sicherheit. Abhängig vom Hersteller des Druckers ist es auch möglich, neue Updates zentral einzuspielen. Mit diesen Updates werden die Drucker sicherer und sie bekommen neue Informationen.

5.6 Druckerrichtlinien

Beim Einsatz eines Druckservers ist es empfehlenswert, wenn Druckerrichtlinien konfiguriert werden. Auf diese Weise kann verhindert werden, dass unbefugte Mitarbeiter Zugriffe auf das System bekommen und diese Konfigurationen des Druckers oder die Sicherheitseinstellungen eigenmächtig ändern können. Es ist empfehlenswert, wenn jedes Unternehmen dafür sorgt, dass für die installierten Drucker entsprechende Richtlinien vorgegeben werden. Es handelt sich um eine externe Sicherheitslösung, an die sich alle Mitarbeiter des Unternehmens halten müssen. Die Druckerrichtlinien können bei der Installation des Druckers festgelegt werden. Eine spätere Anpassung an neue Vorgaben ist jederzeit möglich. So wird beispielsweise festgelegt, wer Drucker hinzufügen oder entfernen darf. Ein Hinzufügen und ein Löschen von Druckern kann über entsprechende Schaltflächen verhindert werden. Auf diese Weise wird die Bedienung der Drucker gesteuert. Sie kann nur über angeschlossene Rechner erfolgen. Einzelne Mitarbeiter können daran nichts ändern. Auf diese Weise ist eine erhöhte Sicherheit bei allen Druckvorgängen gewährleistet.

5.7 Sicherer Systemstart:

Ein sicherer Systemstart ist eine der Grundvoraussetzungen dafür, dass der Computer und somit auch die angeschlossenen Drucker unauffällig für Bedrohungen von außen werden. Bei der Nutzung von HP-Systemen hat sich der HP Sure Start bewährt. Dabei wird das Betriebssystem bereits während des Starts auf Fehler und Bedrohungen überprüft. Sollten sich im Zusammenhang mit dem Start Probleme ergeben, werden diese behoben, bevor der Computer in den Arbeitsmodus übergeht. Auf diese Weise wird ein hohes Maß an Sicherheit bei der Arbeit mit dem System garantiert.

5.8 SIEM

Drucker gehören zu den schwächsten Gliedern der Sicherheitskette eines IT-Systems und sie werden sehr häufig vernachlässig. Hinter SIEM verbirgt sich der Begriff Security Information and Event Management. Dies bedeutet, dass nicht nur das System selbst, sondern auch die Drucker in die hohen Sicherheitsstandards einbezogen werden, die für die Übertragung und die Freigabe der Daten in den Unternehmen definiert werden.

5.9 Compliance Tool

Hinter einem Compilance Management System verbirgt sich das Bestreben eine höchstmöglichen Datensicherheit innerhalb von Unternehmen, aber auch in kleineren Betrieben. Es gilt, die dem System angeschlossenen Drucker in dieses System zu integrieren. Auf den Ausdrucken befinden sich oftmals sensible Daten und Informationen, die nicht weitergegeben werden dürfen. Mit verschiedenen Mechanismen wird erreicht, dass diese Daten vor Dritten zuverlässig geschützt werden.

5.10 Datenübertragung nur über SSL-Verschlüsselung/FTP/TSL

Ein sehr wichtiges Instrument gegen Bedrohungen von außen stellt die gesicherte Datenübertragung dar. Diese wird in vielen Bereichen des Internets schon seit Jahren sehr erfolgreich eingesetzt. Die Daten werden vor der Übertragung nach einem Protokoll verschlüsselt. Somit können sie theoretisch zwar immer noch abgefangen werden. Sie sind aber wertlos, da sich die Informationen nicht entschlüsseln lassen. Damit die Datei gelesen werden kann, erfolgt die Entschlüsselung erst am anderen Ende des Systems, und auch nur dann, wenn das System dafür geöffnet wurde. Diese Art der Datenübertragung kann auch auf Duckerprotokolle angewendet werden. Bewährte Methoden sind die SSL-Verschlüsselung, aber auch die Verschlüsselung nach FTP und TSL.