Smart Printing ist ein Sicherheitsrisiko, welches häufig unterschätzt wird. Wo die Schwachstellen liegen und was Behörden tun können, um Risiken zu minimieren und eine ganzheitliche IoT Security zu erreichen, lesen Sie in diesem Blogbeitrag.
Der Drucker gehört so selbstverständlich zum Büroalltag wie die Kaffeemaschine. Er ist ein hilfreiches, aber vermeintlich harmloses Gerät. Die grösste Gefahr, welche von ihm auszugehen scheint, ist ein Papierstau kurz vor der Sitzung. Es erstaunt deshalb nicht, dass die Sicherheit von Druckern häufig überschätzt wird: Während zwischen 85 und 95 Prozent der Behördenorganisationen in Umfragen angeben, Massnahmen zum Schutz von Notebooks und Servern umzusetzen, investiert nur knapp die Hälfte in eine zumindest rudimentäre Druckersicherheit.
In Behördenorganisationen wird das Sicherheitsrisiko von Druckern unterschätzt, wie die Umfragen aus Europa und den USA zeigen. Dies hat mit Irrtümern zu tun, die weitverbreitet sind, und sich wider besseren Wissens in vielen Köpfen hartnäckig halten. Drei Beispiele:
1. «Drucker sind ‘dumme’ Devices, die nicht die gleichen Sicherheitsmassnahmen brauchen wie PCs, Notebooks oder Server.»
Falsch. Drucker sind multifunktionale Geräte, die «always on» sind und fast dieselben Computertechnologien beinhalten wie Notebooks oder PCs. Netzwerkfähige Drucker haben Zugang in ein oder mehrere Netzwerke und werden von einer Vielzahl von Personen benutzt. Sie dienen dazu, teils sensitive Informationen auszudrucken, einzulesen oder zu versenden. Dafür können E-Mail- oder Netzwerkverzeichnis-Dienste eingesetzt werden, wofür sie dann zusätzliche Rechte und Zertifikate benötigen.
2. «Drucker haben kurze Lebenszyklen, darum lohnt es sich gar nicht, in ihre Sicherheit zu investieren.»
Falsch. Heutige Drucker haben eine ähnlich lange Einsatzdauer bei Behörden wie die Benutzerendgeräte, also Notebooks oder PCs. Oft ist aber ein notwendiges Security Patch Management nicht vorhanden oder wird vernachlässigt. Dadurch werden Soft- und Firmware auf Druckern selten aktualisiert.
3. «Drucker werden ohnehin mitgeschützt, wenn PCs, Notebooks und Server mit einem Sicherheitsperimeter ausgestattet sind.»
Falsch. Aus Kostengründen mieten heute sogar viele Organisationen ihre Drucker beim Hersteller oder Partner. Was bei der Wartung oder der Rückgabe mit den auf dem Gerät gespeicherten Daten passiert, ist auch im Behördenumfeld nicht vollständig gelöst; die dadurch entstehenden Risiken werden stillschweigend in Kauf genommen.
Diese Irrtümer und das fehlende Risikobewusstsein können schwerwiegende Folgen haben. Denn werden Drucker nicht angemessen geschützt, stellen sie ein potenzielles Einfallstor für Cyber-Attacken dar.
Gefährlich ist insbesondere die Tatsache, dass Netzwerkdrucker zusehends keine isolierten Geräte mehr sind. Die vielen Schnittstellen sowie die Vernetzung mit anderen intelligenten Devices innerhalb und ausserhalb des Behördennetzwerks schaffen zusätzliche Angriffsflächen. Drucker können beispielsweise über WLAN und Mobile-Apps erreicht werden, sind via IP-Netz miteinander verknüpft und mit den Managed Print Services der Druckeranbieter über einen Cloud Service verbunden. Diese so geschaffenen IoT-Funktionalitäten erzeugen Risse in der Schutzwand zwischen öffentlichem Internet und internen sensitiven Netzwerken von Behördenorganisationen.
IoT Security ist unentbehrlich – nicht nur beim Drucken. Lesen Sie mehr dazu in unserem kostenlosen Wissens-Update «IoT-Sicherheit steht auch im Behördenumfeld im Fokus».
Zu diesen externen Faktoren gesellen sich gerätespezifische Risiken: Drucker stehen häufig fast pausenlos in Betrieb, verfügen über einen vergleichsweise grossen Speicher und entsprechend hohe Rechenleistung. Deshalb sind Drucker prädestiniert, um als Wirte und Verbreiter von Schadsoftware missbraucht zu werden. Und weil die Soft- und Firmware von Druckern üblicherweise nicht ebenso häufig und regelmässig aktualisiert wird wie diejenige von Notebooks und PCs, können Sicherheitslücken über einen langen Zeitraum unbemerkt bleiben und durch Cyber-Kriminelle ausgenutzt werden, um in das entsprechende Behördennetz einzudringen.
Deshalb gilt: Werden Gerätemanagement, Sicherheitseinstellungen und Updates vernachlässigt, können Cyber-Kriminelle über den Netzwerkdrucker in das interne Netzwerk eindringen und Behörden infiltrieren, wodurch sensible Informationen schnell in falsche Hände geraten können.
Damit es nicht soweit kommt, braucht es eine ganzheitliche Herangehensweise. Die Sicherheit darf sich nicht nur auf einzelne Geräte beschränken, sondern muss systemübergreifend angegangen werden. Cyber-Attacken können nur mit einem umfassenden Security In Depth-Konzept für das gesamte IoT-Ökosystem wirksam bekämpft werden.
Um Netzwerkdrucker in einem Behördennetz umfassend schützen zu können, müssen zusätzliche Schutzmassnahmen umgesetzt werden. Dies beinhaltet klassische Schutzmassnahmen wie:
• Separierung der Drucker in eine eigene Zone bzw. ein eigenes Netzwerk
• Benutzergesteuerte Zugangskontrollen zum Drucker
• Sicheres Deaktivieren von nicht benötigten Schnittstellen
• Härtung und Schutz von Speichern und Firmware
• Prozesse für die Beschaffung, Inbetriebnahme und sichere Entsorgung von Hardware
Abhängig vom Schutzgrad der Information empfiehlt Ihnen die CyOne Security, eines oder mehrere zusätzliche Schutzmodule (Add-ons) in Ihrer Netzwerkdrucker-Umgebung umzusetzen:
Roland Odermatt
Leiter Verkauf Behörden
«Diskutieren Sie in einem kostenlosen Expertengespräch mit uns die Schlüsselfaktoren und Sicherheitsanforderungen aus dem Bereich Secure Printing und lernen Sie unsere projektspezifischen Dienstleistungen kennen, damit Ihre vernetzten Peripheriegeräte und damit auch die klassifizierten Informationen vor heutigen und künftigen Cyber-Risiken geschützt sind.»