Sicherheit bei Netzwerkdruckern. Das müssen Sie wissen.
Der Sicherheit von Netzwerkdruckern wird in vielen Unternehmen noch immer wenig Beachtung geschenkt. Solche Systeme sind in der Regel jedoch mit Festplatten, USB-Anschlüssen und anderen Schnittstellen ausgestattet und stellen Dienste wie HTTP, FTP und SMTP im Netzwerk bereit. Damit sind die Geräte vollwertige IT-Systeme mit einem erheblichen Risikopotential. Insbesondere, weil auf Netzwerkdruckern auch sehr sensible Informationen verarbeitet werden, sind sie für Angreifer ein potentielles Zielsystem. Daher müssen Sie als Datenschutzbeauftragter auch die Sicherheit dieser Geräte in Ihrem Unternehmen überprüfen.
Sicherheit. Diese Risiken müssen Sie kennen.
Netzwerkdrucker sind zum einen an das interne Netzwerk, die Telefonanlage (FAX), das E-Mailgateway (SMTP) und zumeist auch das Internet (Fernwartung) angeschlossen. Diese Verbindungen können auch für unberechtigte Zugriffe oder Angriffe missbraucht werden. Über die bereitgestellten Dienste wie HTTP (Web-Bedieneroberfläche), FTP (Dateitransfer) und SMTP (E-Mail) können Angreifer über einen lokalen Client oder das Internet Zugriff auf den Drucker erhalten.
Solche Angriffe können wie auf PC’s unter Ausnutzung von Sicherheitslücken der Betriebssysteme oder Firmware durchgeführt werden. Ebenso können unerlaubte Zugriffe über fehlerhaft konfigurierte Bedieneroberflächen erfolgen. Oftmals werden Netzwerkdrucker noch mit den Standardpasswörtern betrieben. Diese können sehr einfach für die unterschiedlichen Geräte im Internet aus den jeweiligen Handbüchern in Erfahrung gebracht werden.
Mein Tipp:
Laden Sie sich aus dem Internet das Administrationshandbuch eines Ihrer Netzwerkdrucker herunter. Notieren Sie sich den Namen des Adminaccounts (Meistens User: Admin, PW: Admin). Bringen Sie den Namen oder die IP Adresse eines Netzwerkdruckers in Erfahrung. Meistens stehen diese Informationen auf den Druckern. Geben Sie den Namen oder die IP-Adresse in Ihren Browser ein. In der Regel werden Sie jetzt auf die Bedieneroberfläche des Druckers verbunden. Nun können Sie sich im schlimmsten Fall mit dem Adminaccount anmelden. Andernfalls können Sie sich durch die Menüs klicken und haben vielleicht auf Funktionen Zugriff, die Ihnen Einblicke in Ausdrucke von Kollegen gewähren. In beiden Fällen ist der Drucker nicht ordnungsgemäß installiert.
Netzwerkdrucker werden in der Regel gemietet und von Fremdfirmen gewartet. Diese haben dann auch oftmals einen Wartungszugang über das Internet und damit auch Zugriff auf die Daten der Drucker. Druckdaten von Netzwerkdruckern werden auf Festplatten gespeichert. Eine Verschlüsselung der Festplatten muss in der Regel kostenpflichtig gebucht werden. Aus Kostengründen wird diese zentrale Sicherheitsmaßnahmen jedoch nicht immer umgesetzt. Dies birgt zum einen das Risiko, dass ein Angreifer oder Wartungstechniker auf diese unverschlüsselten Daten zugreifen kann. Ebenso können die Festplatten beim Austausch oder Reparatur in die falschen Hände kommen.
Mein Tipp:
Als Datenschutzbeauftragter müssen Sie entsprechende vertragliche Regelungen mit dem Dienstleister zur datenschutzkonformen Vernichtung und zur sicheren Durchführung von Wartungsarbeiten prüfen. Prüfen Sie aber auch, ob interne Täter unbeobachtet Festplatten ausbauen können oder die Geräte offen zugänglich in Fluren stehen.
Das sind die wesentlichsten Risiken:
- Zugriff auf gescannte oder gespeicherte Dokumente.
- fremde Dokumente zum Drucken hochladen.
- Gerätekongurationen ändern (z. B. IP-Adresse ändern, Zugriffsberechtigungen modifizieren, Druckaufträge einsehen und umleiten usw.).
- Drucker als Einfallstor für Angriffe auf das lokale Netzwerk nutzen.
- Einschleusen von Schadsoftware über FTP, E-Mail oder USB-Schnittstellen.
Druckersicherheit. Diese Maßnahmen sollten Sie umsetzen.
Als Datenschutzbeauftragter sollten Sie in Ihrem Unternehmen darauf hinwirken, dass die nachfolgenden Sicherheitsmaßnahmen -soweit dies technisch möglich ist- umgesetzt werden.
- Einschränkung des Zugriffs von Druckern aus dem Internet.
- Verwendung eines von Clients und Servern separierten Netzbereichs für Drucker. Der Zugriff auf Drucker sollte nicht direkt von Clients aus erfolgen, sondern nur über Druckerserver.
- Änderung sämtlicher Standardpasswörter. Eventuell sind mehrere separate Passworte zu ändern.
- Aktivieren einer sicheren Kommunikation zwischen den Geräten (Druckern Endgeräte, Druckserver) mittels SSL/TLS.
- Nutzung von Benutzerberechtigungen (Access Control List, eingeschränkte Rechte usw.)
- Aktivieren der Verschlüsselung der Festplatten und des Arbeitsspeichers.
- Aktivieren des sicheren Löschens der internen Datenträger nach Abarbeitung von Druckaufträgen.
- Härtung der Systemkonfiguration. Deaktivieren unsicherer bzw. nicht benötigter Dienste (z. B. FTP, SNMP, TELNET, etc.)
- Sicherstellung der Aktualität der Soft- und Firmware (Patchmanagement).
- Nutzung weiterer Sicherheitsmaßnahmen, wie z. B. privater Druck (Ausgabe von Dokumenten nur nach PIN-Eingabe oder mittels Smartcard)
Fazit:
Netzwerkdrucker stellen ein ernstzunehmendes Risiko für die Datensicherheit im Unternehmensnetz dar. Als Datenschutzbeauftragter sollten Sie die IT-Abteilung entsprechend sensibilisieren und darauf hinwirken, dass die oben aufgeführten Sicherheitsmaßnahmen umgesetzt werden. Auch wenn die Druckkosten dadurch eventuell steigen, sollten Sie darauf hinweisen, dass bei Datenschutzverstößen mit in Kraft treten der DSGVO Bußgelder bis zu 10 MIO € verhängt werden können. Datenschutz hat seinen Preis. Aber Anbetracht der Risiken und der Bußgelder, sollte auch Ihre IT-Abteilung und Ihre Unternehmensleitung einsichtig werden.