Drucker und Multifunktionsgeräte (MFP) sind ein immer attraktiveres Ziel für Hacker, da viele Unternehmen diese Geräte beim Thema IT-Sicherheit vernachlässigen. Schon jetzt bleiben Angriffe oft unentdeckt. HP-Security-Experte Stefan Dydak erklärt in unserer Reihe "Drei Fragen an...", wie der Personalmangel in der IT die Sicherheit der Druckumgebung und damit auch der gesamten Unternehmens-IT gefährdet, welche Schwachstellen die immer professioneller agierenden Angreifer ausnutzen und wie Unternehmen typische Fehler vermeiden.
Stefan Dydak verfügt über einen fundierten Hintergrund in forensischer Wissenschaft und digitaler Forensik und hat den Großteil seiner Karriere mit der Untersuchung von Sicherheitsvorfällen verbracht. Als Senior Security Advisor bei HP unterstützt er Kunden bei der Risikobewertung und der Erstellung von Sicherheitsplänen zum Schutz von Unternehmensressourcen vor neuen Bedrohungen, die auf vernetzte Endpunkte abzielen.
Typische Sicherheitslücken entstehen oft durch fehlendes Bewusstsein für Bedrohungen und einen Mangel an qualifiziertem Personal. Viele Unternehmen sehen Drucker und Multifunktionsgeräte nicht als vollwertige Netzwerk-Teilnehmer an und betrachten das Thema Printing nur als Kostenstelle. Das führt dazu, dass selbst in Unternehmen mit 5.000 bis 10.000 Mitarbeitenden nur ein oder zwei Administratoren für Hunderte von Geräten zuständig sind. Infolgedessen steht für diese begrenzte Anzahl an Fachkräften im Vordergrund, dass die Leute scannen und drucken können. Obwohl es theoretisch wünschenswert wäre, die Geräte zu sichern, wird dies in der Praxis oft nicht umgesetzt. Dies führt zu vielen Schwachstellen, die leicht vermeidbar wären.
Zum Beispiel ist der Datenstrom des Druckers oft unverschlüsselt, so dass Hacker ihn im Netzwerk mit gängigen Tools wie Wireshark auslesen können. Bei einem nachlässig konfigurierten Gerät ist es zudem ein Leichtes, gefälschte E-Mails zu verschicken. Ein Krimineller kann über das Control Panel bei der Scan-to-E-Mail-Funktion im Absenderfeld eine beliebige E-Mail-Adresse verwenden und damit gefälschte Anweisungen an Mitarbeiter senden, wie zum Beispiel die Aufforderung, dringend einen Betrag auf ein angegebenes Konto zu überweisen. Solche E-Mails sehen dann etwa so aus, als kämen sie vom CEO. Dieser sogenannte Business E-Mail Compromise (BEC) verursacht weltweit bereits Schäden in Milliardenhöhe.
Fehlkonfigurationen und fehlende Sicherheitsupdates sorgen nicht zuletzt für Lücken, die ein Angreifer ausnutzen kann, um sich Zugang zum gesamten Firmen-Netzwerk zu verschaffen. Da viele Unternehmen die Geräte nicht einmal so konfiguriert haben, dass sie sicherheitsrelevante Ereignisse melden, bemerkt das IT-Personal oft nicht, dass Hacker auf diese Weise ins Netzwerk eingedrungen sind.
Wir beobachten seit einiger Zeit den Trend, dass Cyberkriminalität immer mehr zu einer Dienstleistung wird. Ich muss also kein Hacker sein, um Cybercrime zu betreiben, sondern kann diesen Dienst einfach einkaufen. Es gibt organisierte kriminelle Gruppen, die erstaunlich professionell vorgehen. Wenn ich zum Beispiel Opfer einer Ransomware-Attacke werde und die eigenen Firmendaten verschlüsselt sind, kann ich eine 24-Stunden-Hotline anrufen, die mir bei der Entschlüsselung hilft, sofern ich die erpresste Summe bezahle. Der Service ist teilweise professioneller als der Helpdesk bei legalen Unternehmen. Wir befürchten, dass solche Gruppen zunehmend auch Drucker und ähnliche Internet-of-Things(IoT)-Geräte ins Visier nehmen werden.
Ein weiteres Problem ist die Komplexität der heutigen Arbeitswelt. Seit viele Mitarbeitende mobil arbeiten, fällt es den IT-Administratoren schwer, den Überblick über alle Geräte zu behalten. Ich erlebe es immer wieder, dass Unternehmen nicht wissen, wie viele Drucker mit welcher Firmware und Konfiguration im Netzwerk sind und wann sie zuletzt genutzt wurden. Dieses Phänomen nennen wir Schatten-IT und es stellt an sich schon eine Sicherheitslücke dar. Ist etwa ein vernetzter privater Drucker im Internet erreichbar, wäre es theoretisch möglich, darüber in das Firmen-Notebook des Mitarbeitenden einzudringen und von dort über die VPN-Verbindung in das Unternehmensnetzwerk zu gelangen.
Das Homeoffice kann zudem durch Unachtsamkeiten zu Datenschutzverletzungen führen. Ein Beispiel aus einer unserer Risikoanalysen: Ein Homeoffice-Mitarbeiter druckte einen Vertrag aus und ließ die Seite auf seinem Drucker liegen. Seine vierjährige Tochter malte ein Pony auf die Rückseite des Blatts und nahm es mit in den Kindergarten. Dort fand eine Erzieherin das Dokument und gab es glücklicherweise dem Vater zurück. Soweit sollte es allerdings gar nicht erst kommen.
Schließlich entwickelt sich der Bereich der Künstlichen Intelligenz rasant weiter. Noch vor zwei bis drei Jahren hätte ich das, was ChatGPT heute kann, für unrealistisch gehalten. Es ist schwer vorherzusagen, was das für die Sicherheit von Druckern und ähnlichen IoT-Geräten bedeutet, aber wir können davon ausgehen, dass KI enorme Veränderungen in der IT-Security mit sich bringt und wenn Sie dann bestimmte Geräte in ihrem Netzwerk vernachlässigen, geraten diese vermutlich als erstes in das Visier neuer Angriffsmethoden. Natürlich ermöglicht KI es auch, gute Defensivmaßnahmen zu automatisieren und Security-Analysten zu entlasten. Jede neue Technologie bringt sowohl Risiken wie Möglichkeiten mit sich. Die Zeit wird zeigen, wie sich diese Thematik entwickelt.
Für die Sicherheit ist es wichtig, einen zentralen Überblick über verwaltete Systeme zu haben. Das gilt sowohl für kleine Unternehmen als auch für globale Konzerne. Wenn alles dezentral organisiert ist, entstehen Undurchsichtigkeiten und damit potenzielle Sicherheitslücken. Mit entsprechenden Tools kann ich aber eine Druckerflotte zentral verwalten und absichern. Es gibt Softwarelösungen, welche die Sicherheitseinstellungen aller Geräte monitoren und berichten, welche Geräte den Richtlinien entsprechen und welche nicht. Automatisiert lassen sich die Einstellungen aller nicht konformen Geräte wieder in Übereinstimmung bringen. Konfiguriere ich die Drucker zudem so, dass Event-Logs zentral gesammelt und überwacht werden, erhalte ich einen weiteren Sicherheitsmehrwert, ohne dass es zu Komfort- und Effizienzverlusten im Betrieb kommt.
Letztendlich kann ich viele Risiken mit einfachen Mitteln und Lösungen minimieren. Geeignete Tools erhöhen nicht nur die Sicherheit, sondern entlasten auch die IT-Abteilung bei der täglichen Arbeit. Unternehmen sollten sich zudem fragen, ob sie in der Lage sind und über die Ressourcen verfügen, einen sicheren Betrieb der Druckerflotte aufrechtzuerhalten – insbesondere in Zeiten von Personalmangel und chronischer Überlastung. Für viele Unternehmen ist es sicherer und kosteneffizienter, erforderliche Aufgaben – vom Konfigurationsmanagement bis hin zum Hosting und Sicherheitsmonitoring – an Hersteller und Dienstleister auszulagern. So habe ich als Unternehmer weniger Sorgen.
