11.06.2019

Netzwerkdrucker: Unterschätzte Sicherheitslücke?

Jeder kennt sie, jeder nutzt sie - Drucker, die an beliebige IT-Systeme angeschlossen sind. Da lokal an einen PC angeschlossene Geräte heutzutage die Ausnahme sein dürften, beherrschen Netzwerkdrucker das Bild in praktisch allen Büros, Schulen, Werkstätten und heutzutage sogar in vielen privaten Haushalten. Wie sieht es aber mit der Sicherheit dieser Systeme aus? Sind Netzwerkdrucker als unterschätzte Sicherheitslücke eine «vergessene» Gefahr für die Sicherheit Ihrer IT?

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Netzwerkdrucker

Multifunktionsgeräte

Denn ganz gleich, ob es sich um Laser- oder Tintenstrahldrucker handelt (die weiteren Vertreter dieser Gattung wie etwa Thermosublimationsdrucker lassen wir aufgrund deren geringer Verbreitung mal Aussen vor) - immer steckt neben der Druckmechanik auch ein kleiner Computer darin. Viele Modelle besitzen zudem eingebaute Festplatten, auf denen sich so schön praktisch Dokumente sammeln und später erneut abrufen lassen. Und ein weiteres kommt hinzu, nämlich der Trend hin zum Multifunktionsgerät, dass ausser Kaffee kochen und für die Geburtstagskasse sammeln eigentlich so ziemlich alles kann: drucken, faxen, scannen, sortieren, lochen und heften. Alles schön und gut - aber an die Sicherheit denkt dabei kaum jemand.

Netzwerkdrucker sind eine unterschätzte Gefahrenquelle für die Sicherheit

Wer aber doch daran gedacht hat, ist einmal mehr das bundesdeutsche Institut für Sicherheit in der Informationstechnik (BSI) und dessen europäisches Pendant, die europäische Agentur für Netz- und Informationssicherheit (ENISA). Diese haben schon vor Jahren darauf hingewiesen, dass Netzwerkdrucker eine unterschätzte Gefahrenquelle für die Sicherheit in IT-Netzen sein können. Dafür gibt es viele Gründe:

  • Die Übertragungen vom und zum Drucker respektive Scanner über das Netzwerk: Sind diese verschlüsselt, oder werden Dateien im Klartext über den Äther des lokalen Netzwerks gejagt?
  • Standardpasswörter für administrative Zugänge (wie etwa admin/admin oder admin/password) wurden entweder gar nicht geändert, oder es werden bei Leasing oder sonst wie durch externe Dienstleister gewarteten Geräten dieselben Passwörter für mehrere Kunden verwendet.
  • Die erwähnte Ablage von Daten auf internen Festplatten der Drucker stellt ein Sicherheitsrisiko und ist auch aus Gründen des Datenschutzes ein heikles Thema.
  • Drucker werden teilweise von in die Jahre gekommenen (und teilweise fehlerträchtigen) Steuerungssprachen angesprochen.
  • Die Updates der Geräte (Firmware) werden zumeist vernachlässigt

Sie möchten Ihr Unternehmen konsequent vor Systemstörungen und Risiken schützen? Das Buch «IT Sicherheit» kann Ihnen dabei behilflich sein.

Letzteres ist eine Alltagserfahrung, die Sie in beliebigen Schweizer Unternehmen oder Institutionen machen können. Fragen Sie die jeweiligen Administratoren oder IT-Verantwortlichen doch einfach mal, wann das letzte Update an den Netzwerkdruckern durchgeführt wurde. Tatsache ist:

Nach der Installation werden Netzwerkdrucker von den IT-Verantwortlichen in der Regel nicht mehr beachtet. Das aber ist eine Nachlässigkeit, die sich rächen kann.

In PostScript wurde bereits eine ganze Reihe an Schwachpunkten und Fehlern aufgedeckt

Hinzu kommt, dass nicht allein nachlässig eingerichtete Drucker potentielle Angriffspunkte darstellen. Schon die zur Ansteuerung von Druckern verwendeten Treiber und Skriptsprachen sind voller Fehler, mit schlechtem Beispiel voran geht die Seitenbeschreibungssprache PostScript. Diese wurde in den 80er- und 90er-Jahren des vorigen Jahrhunderts von Adobe entwickelt. In PostScript wurde bereits eine ganze Reihe an Schwachpunkten und Fehlern aufgedeckt, die es Hackern leicht machen.

Netzwerkdrucker sind also nicht gegen die diversen Angriffstechniken gegen IT-Systeme allgemein geschützt - es sind eben selbst kleine Computer. «Gerade nach den Attacken des Mirai-Botnets auf IoT-Geräte muss man sich fragen, ob nicht auch Drucker Teil dieser DDoS-Botnetze sind», heisst es dazu auf security-insider.de: «Sie liefern schliesslich deutlich mehr Rechenleistung als etwa ein IoT-Sensor oder ein Router» (zit. n. ebd.).

Auf den Druckern werden Daten meist unverschlüsselt abgelegt

Wer erst einmal (berechtigten oder unberechtigten) Zugriff auf einen Drucker erlangt hat, kann eine ganze Menge über das Netzwerk des Unternehmens herausfinden. Zugangsdaten von Domänen, Ausdrucke, Scans, Faxe: auf den Druckern selbst werden solche Daten meist unverschlüsselt abgelegt. Neben den Daten können die Drucker selbst für Angriffe auf Ihr Netzwerk genutzt werden. Hinzu kommt, dass solche Geräte nicht nur administratorisch, sondern auch physikalisch gerne «übersehen» werden. Oftmals stehen sie seit Jahren mehr oder weniger unbeachtet in irgend einer Ecke herum, solange nicht wieder einmal Toner, Bildtrommel oder Fixiereinheit ausgewechselt werden müssen.

Um Angriffspunkte von Netzwerkdruckern herauszufinden, muss man nicht einmal ein gewiefter Hacker sein. Dafür gibt es sogar Tools - also kleine digitale Helferlein - für so etwas. Mit dem Printer Exploitation Toolkit lassen sich Schwachstellen von Netzwerkdruckern überprüfen und auflisten. Man kann solche Programme natürlich immer auch für böse Attacken missbrauchen. Bekannt wurde etwa der Angriff des Hackers Stackoverflowin im Jahr 2017, der mit einem selbst geschriebenen Script ohne weiteren Aufwand auf 143 000 Netzwerkdrucker, die auf das ganze Internet verteilt aufgefunden hatte, dazu brachte, beliebige Dokumente auszudrucken. Dies gelang ihm mit einem eher einfachen Portscan - also der Suche nach «offenen Flanken» dieser Geräte. Anschliessend schickte er auf die offen stehenden Ports 9100, 631 oder 515 Druckaufträge, die von den Druckern auch prompt ausgedruckt wurden. Immerhin richtete Stackoverflowin keinen weiteren Schaden an, der führte die ganze Aktion nach eigenen Worten nur durch, um den Anwendern und IT-Administratoren die Verwundbarkeit solcher Systeme vor Augen zu führen:

https://www.darknet.org.uk/2017/02/160000-network-printers-hacked/

Administratoren und IT-Verantwortliche sollten also unbedingt gegensteuern und auf die Einhaltung entsprechender Grundsicherungen achten:

  • Auch Drucker und Multifunktionsgeräte müssen regelmässig auf Updates überprüft werden. eingebunden werden.
  • Administrative Kennwörter und Zugangsdaten müssen geändert werden.
  • Die Ausgabe von Dokumenten sollte nach Möglichkeit durch PINCodes abgesichert werden.
  • Der Zugriff von Aussen sollte soweit wie möglich geblockt werden.
  • LAN und WLAN-Zugänge müssen durch Verschlüsselung und eventuell ein System zur Kontrolle des Netzwerkzugriffs (NAC) abgesichert sein.
  • Betagte und potenziell unsichere Skriptsprachen wie PostScript sollten, soweit es möglich ist, nicht zur Ansteuerung verwendet werden.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Datenschutz erfolgreich umsetzen

Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

Nächster Termin: 25. Juni 2019

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Newsletter Datenschutz

    Newsletter Datenschutz

    Für Schweizer Unternehmen und Institutionen.

    Mehr Infos

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 24. September 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Der Datenschutzbeauftragte nach DSGVO (GDPR)

    Die neuen Anforderungen für Schweizer Unternehmen, die unter die DSGVO fallen, erfolgreich umsetzen

    Nächster Termin: 30. Oktober 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 21. November 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos