Multifunktionsgeräte
Denn ganz gleich, ob es sich um Laser- oder Tintenstrahldrucker handelt (die weiteren Vertreter dieser Gattung wie etwa Thermosublimationsdrucker lassen wir aufgrund deren geringer Verbreitung mal Aussen vor) - immer steckt neben der Druckmechanik auch ein kleiner Computer darin. Viele Modelle besitzen zudem eingebaute Festplatten, auf denen sich so schön praktisch Dokumente sammeln und später erneut abrufen lassen. Und ein weiteres kommt hinzu, nämlich der Trend hin zum Multifunktionsgerät, dass ausser Kaffee kochen und für die Geburtstagskasse sammeln eigentlich so ziemlich alles kann: drucken, faxen, scannen, sortieren, lochen und heften. Alles schön und gut - aber an die Sicherheit denkt dabei kaum jemand.
Netzwerkdrucker sind eine unterschätzte Gefahrenquelle für die Sicherheit
Wer aber doch daran gedacht hat, ist einmal mehr das bundesdeutsche Institut für Sicherheit in der Informationstechnik (BSI) und dessen europäisches Pendant, die europäische Agentur für Netz- und Informationssicherheit (ENISA). Diese haben schon vor Jahren darauf hingewiesen, dass Netzwerkdrucker eine unterschätzte Gefahrenquelle für die Sicherheit in IT-Netzen sein können. Dafür gibt es viele Gründe:
- Die Übertragungen vom und zum Drucker respektive Scanner über das Netzwerk: Sind diese verschlüsselt, oder werden Dateien im Klartext über den Äther des lokalen Netzwerks gejagt?
- Standardpasswörter für administrative Zugänge (wie etwa admin/admin oder admin/password) wurden entweder gar nicht geändert, oder es werden bei Leasing oder sonst wie durch externe Dienstleister gewarteten Geräten dieselben Passwörter für mehrere Kunden verwendet.
- Die erwähnte Ablage von Daten auf internen Festplatten der Drucker stellt ein Sicherheitsrisiko und ist auch aus Gründen des Datenschutzes ein heikles Thema.
- Drucker werden teilweise von in die Jahre gekommenen (und teilweise fehlerträchtigen) Steuerungssprachen angesprochen.
- Die Updates der Geräte (Firmware) werden zumeist vernachlässigt
Letzteres ist eine Alltagserfahrung, die Sie in beliebigen Schweizer Unternehmen oder Institutionen machen können. Fragen Sie die jeweiligen Administratoren oder IT-Verantwortlichen doch einfach mal, wann das letzte Update an den Netzwerkdruckern durchgeführt wurde. Tatsache ist:
Nach der Installation werden Netzwerkdrucker von den IT-Verantwortlichen in der Regel nicht mehr beachtet. Das aber ist eine Nachlässigkeit, die sich rächen kann.
In PostScript wurde bereits eine ganze Reihe an Schwachpunkten und Fehlern aufgedeckt
Hinzu kommt, dass nicht allein nachlässig eingerichtete Drucker potentielle Angriffspunkte darstellen. Schon die zur Ansteuerung von Druckern verwendeten Treiber und Skriptsprachen sind voller Fehler, mit schlechtem Beispiel voran geht die Seitenbeschreibungssprache PostScript. Diese wurde in den 80er- und 90er-Jahren des vorigen Jahrhunderts von Adobe entwickelt. In PostScript wurde bereits eine ganze Reihe an Schwachpunkten und Fehlern aufgedeckt, die es Hackern leicht machen.
Netzwerkdrucker sind also nicht gegen die diversen Angriffstechniken gegen IT-Systeme allgemein geschützt - es sind eben selbst kleine Computer. «Gerade nach den Attacken des Mirai-Botnets auf IoT-Geräte muss man sich fragen, ob nicht auch Drucker Teil dieser DDoS-Botnetze sind», heisst es dazu auf security-insider.de: «Sie liefern schliesslich deutlich mehr Rechenleistung als etwa ein IoT-Sensor oder ein Router» (zit. n. ebd.).
Auf den Druckern werden Daten meist unverschlüsselt abgelegt
Wer erst einmal (berechtigten oder unberechtigten) Zugriff auf einen Drucker erlangt hat, kann eine ganze Menge über das Netzwerk des Unternehmens herausfinden. Zugangsdaten von Domänen, Ausdrucke, Scans, Faxe: auf den Druckern selbst werden solche Daten meist unverschlüsselt abgelegt. Neben den Daten können die Drucker selbst für Angriffe auf Ihr Netzwerk genutzt werden. Hinzu kommt, dass solche Geräte nicht nur administratorisch, sondern auch physikalisch gerne «übersehen» werden. Oftmals stehen sie seit Jahren mehr oder weniger unbeachtet in irgend einer Ecke herum, solange nicht wieder einmal Toner, Bildtrommel oder Fixiereinheit ausgewechselt werden müssen.
Um Angriffspunkte von Netzwerkdruckern herauszufinden, muss man nicht einmal ein gewiefter Hacker sein. Dafür gibt es sogar Tools - also kleine digitale Helferlein - für so etwas. Mit dem Printer Exploitation Toolkit lassen sich Schwachstellen von Netzwerkdruckern überprüfen und auflisten. Man kann solche Programme natürlich immer auch für böse Attacken missbrauchen. Bekannt wurde etwa der Angriff des Hackers Stackoverflowin im Jahr 2017, der mit einem selbst geschriebenen Script ohne weiteren Aufwand auf 143 000 Netzwerkdrucker, die auf das ganze Internet verteilt aufgefunden hatte, dazu brachte, beliebige Dokumente auszudrucken. Dies gelang ihm mit einem eher einfachen Portscan - also der Suche nach «offenen Flanken» dieser Geräte. Anschliessend schickte er auf die offen stehenden Ports 9100, 631 oder 515 Druckaufträge, die von den Druckern auch prompt ausgedruckt wurden. Immerhin richtete Stackoverflowin keinen weiteren Schaden an, der führte die ganze Aktion nach eigenen Worten nur durch, um den Anwendern und IT-Administratoren die Verwundbarkeit solcher Systeme vor Augen zu führen:
https://www.darknet.org.uk/2017/02/160000-network-printers-hacked/
Administratoren und IT-Verantwortliche sollten also unbedingt gegensteuern und auf die Einhaltung entsprechender Grundsicherungen achten:
- Auch Drucker und Multifunktionsgeräte müssen regelmässig auf Updates überprüft werden. eingebunden werden.
- Administrative Kennwörter und Zugangsdaten müssen geändert werden.
- Die Ausgabe von Dokumenten sollte nach Möglichkeit durch PINCodes abgesichert werden.
- Der Zugriff von Aussen sollte soweit wie möglich geblockt werden.
- LAN und WLAN-Zugänge müssen durch Verschlüsselung und eventuell ein System zur Kontrolle des Netzwerkzugriffs (NAC) abgesichert sein.
- Betagte und potenziell unsichere Skriptsprachen wie PostScript sollten, soweit es möglich ist, nicht zur Ansteuerung verwendet werden.