Deutsche Forscher veröffentlichen Sicherheitslücken
Angefacht wurde die Diskussion im Frühjahr 2017 durch eine Veröffentlichung der Ruhruniversität Bochum. Bei Recherchen für eine Doktorarbeit stießen drei Studenten auf eine ganze Reihe schwerwiegender Sicherheitslücken, von denen Modelle nahezu aller namhaften Hersteller wie HP, Dell, Canon, Epson, Lexmark und Samsung betroffen sind. Besonders brisant: Einige von ihnen sind bereits seit Jahren bekannt – trotzdem sah sich keiner der Produzenten zum Handeln veranlasst. Die Studenten veröffentlichten ihre Informationen zusammen mit einem von ihnen geschriebenen Programm, das über das Internet oder USB auf betroffene Drucker zugreifen kann. Bereits eine Woche nach der Publikation nutzte ein Hacker mit dem Pseudonym „Stackoverflowin“ diese Lücken um zeitweilig die Kontrolle über Drucker auf der ganzen Welt zu übernehmen. Nach eigener Aussage drang er in mehr als 150.000 Geräte ein und druckte auf vielen von ihnen Nachrichten aus.
Sensible Daten können ausgelesen werden
Netzwerkdrucker sind insbesondere unter dem Aspekt der Datensicherheit extrem problematisch. In einem Unternehmen, aber auch in Arztpraxen, Krankenhäusern und staatlichen Einrichtungen werden sensible Informationen in großen Mengen durch die Drucker geschleust. Diese sind mittlerweile in der Regel leistungsfähige Multifunktionsgeräte, die über einen eigenen Speicher und immer häufiger auch eine Festplatte verfügen. Über die Sicherheitslücken können Angreifer auf diese Dokumente zugreifen und sie über Netzwerk herunterladen. Besonders gefährlich macht dieses Szenario die Tatsache, dass Drucker die Daten unverschlüsselt im Klartext speichern. Das bedeutet, selbst bei einem ansonsten funktionsfähigen und umfangreichen Sicherheitskonzept hebeln die Drucker sämtliche Sperren aus. Die mangelnde Absicherung könnte für Unternehmen teuer werden. Nach dem Bundesdatenschutzgesetz sind diese nämlich dazu verpflichtet – den Verlust personenbezogener Daten ahndet Paragraf 43 mit einem Bußgeld zwischen 50.000 und 300.000 Euro. Druckerexperten raten deshalb zu einer besonderen Vorsicht.
Brisante Unterlagen im Ausgabeschacht
Nicht immer ist es jedoch notwendig, in einen Drucker einzudringen um an sensible Informationen zu gelangen. In vielen Unternehmen stehen die Geräte an leicht zugänglichen, öffentlichen Orten. Für die Ausgabe von Dokumenten ist keine persönliche Identifikation notwendig. Obwohl es bereits Lösungen gibt, bei denen der Ausdruck erst nach Eingabe einer persönlichen PIN-Nummer oder bei einer individuellen Anmeldung beispielsweise über den Fingerabdruck startet, werden diese nur selten nachgefragt. Selbst wenn ein Drucker über diese Funktionen verfügt, verzichten viele Unternehmen auf deren Einrichtung um die Benutzung zu erleichtern. Damit werden auch Verwechslungen ermöglicht, bei denen Papiere versehentlich an den falschen Empfänger versandt werden. So wurde etwa im November 2012 die Stadt Plymouth von einem englischen Gericht zu einer Strafe von umgerechnet rund 70.000 Euro verurteilt. Ein Sachbearbeiter hatte den Ausgabeschacht verwechselt und private Daten über Kindesvernachlässigung aus Versehen in den falschen Umschlag gesteckt.
Viele Unternehmen vernachlässigen die Druckersicherheit
Trotz hoher Bußgelder, Gefahren wie Industriespionage und einer möglichen Beeinträchtigung der gesamten Netzwerksicherheit – nur eine Minderheit der Unternehmen ist sich des Problems überhaupt bewusst. 2013 befragte ein IT-Analyst mehr als 150 große Konzerne mit 1000 oder mehr Mitarbeitern und Niederlassungen in Frankreich, Deutschland und Großbritannien zu diesem Thema. Die Ergebnisse waren erschreckend: 92 Prozent aller Befragten gaben an, die Druckersicherheit wäre für sie unwichtig. Zu dieser Einschätzung kamen die Verantwortlichen, obwohl 63 Prozent gleichzeitig einräumten, 2013 mindestens einmal Datenmissbrauch durch ausgedruckte Dokumente erlitten zu haben. Im Gegensatz zu anderen Bereichen der IT-Branche hat sich das Problembewusstsein im Bereich der Netzwerkdrucker kaum entwickelt. Während sich im vergangenen Jahrzehnt die Verwendung von Firewalls und Virenscanner als minimaler Standard etablierte, basieren viele Drucker noch immer auf unsicheren Protokollen ohne einen effektiven Schutz gegen Missbrauch. Mitunter bieten einige Hersteller zwar optional Programme an, die die Sicherheit deutlich erhöhen. Allerdings müssen diese erst aufwendig installiert werden und gehören nicht zum regulären Lieferumfang. Angesichts des geringen Interesses ist ihr Einsatz bislang auf wenige Vorreiter beschränkt – die Mehrheit der Unternehmen ignoriert hingegen die Problematik und setzt sich damit einem nicht unerheblichen Risiko aus.
