Das verkannte Sicherheitsrisiko

Mittlerweile vergeht kaum eine Woche, in der das Thema Datensicherheit mit teilweise spektakulären Cyberangriffen nicht in die Schlagzeilen gerät. Aber haben Sie in dem Zusammenhang schon einmal an Ihren Bürodrucker gedacht? Nein? Warum auch – das Gerät steht irgendwo im Flur, tut, was es soll und ist ansonsten nicht weiter auffällig. So zumindest die Vorstellung der meisten Büroangestellten. Doch es gibt einen Haken.

Denn auch wenn sich Drucker und Multifunktionsgeräte in den letzten zehn Jahren rein optisch kaum verändert haben, so hat sich doch die Technologie erheblich weiterentwickelt. Mittlerweile haben wir es mit komplexen, hocheffizienten Computersystemen zu tun, die an das Unternehmensnetzwerk angeschlossen sind, mit zahlreichen anderen Anwendungen kommunizieren und damit bei einer Vielzahl von Aufgaben assistieren, die am Arbeitsplatz anfallen. Da sie sowohl analoge als auch digitale Informationen gleichermassen verarbeiten können, schaffen sie die entscheidende Brücke zwischen analoger und digitaler Arbeitswelt – man könnte sogar sagen, dass ohne sie die digitale Transformation nicht möglich wäre. Als einer der wichtigsten Informationsknotenpunkte im Unternehmen sind sie im modernen Büroalltag nicht mehr wegzudenken.

Gerade diese Schlüsselposition macht sie aber auch zu einem attraktiven Ziel für Cyberkriminelle. Diese haben es in der Regel nicht nur auf sensible Daten aus Druck-, Scan- und Faxaufträgen abgesehen: Vielmehr nutzen sie den Drucker als Einfallstor, um sich unbemerkt im ganzen Unternehmensnetzwerk auszubreiten. Ein solcher Sicherheits­vorfall kann schwerwiegende datenschutzrechtliche Konsequenzen und Schäden in Milliardenhöhe nach sich ziehen.

Während die meisten Unternehmen ihre Hardware-Komponenten wie PCs und Laptops auf technischer Ebene inzwischen akribisch gegen Cyberangriffe absichern, wird das Thema Druckersicherheit bislang eher nachlässig behandelt. Warum das so ist, hat Sharp in einer europäischen Studie zum Thema Druckersicherheit in Unternehmen unterschiedlicher Branchen untersucht. Befragt wurden vorrangig Büroangestellte aus Betrieben mit 10 bis 250 Beschäftigten. Das Ergebnis: Fast die Hälfte der Befragten wusste nicht, dass Drucker überhaupt gehackt werden können. Nur einer von zehn war sich darüber im Klaren, dass Drucker, die ungeschützt an das Unternehmensnetzwerk angeschlossen sind, ein Sicherheitsrisiko darstellen.

Mit dem internen Datenschutz verhält es sich ähnlich: Die Mehrheit der Befragten hat noch nie eine Schulung oder Weiterbildung zum Thema sicheres Drucken und Scannen erhalten. Dies belegt, dass das Thema von den meisten Unternehmen als nicht besonders relevant eingestuft wird. Das wiederum führt unbewusst zum nachlässigen Umgang mit teilweise sensiblen Informationen: Kopien und gedruckte Dokumente verbleiben häufig über mehrere Stunden unbeaufsichtigt in der Druckablage oder werden nach Gebrauch in öffentlich zugänglichen Papierkörben entsorgt. So berichten 25 Prozent der Studienteilnehmenden, dass sie auf dem Bürodrucker schon häufiger vertrauliche oder persönliche Informationen gefunden haben, die nicht für sie bestimmt waren.

Nicht minder besorgniserregend: Mehr als die Hälfte der Angestellten gab an, dass in ihrem Unternehmen kein spezielles Authentifizierungsverfahren für den Zugang zum Drucker zum Einsatz kommt. Demnach können auch auswärtige Personen jederzeit problemlos auf das Gerät zugreifen. Mit anderen Worten: Cyberkriminelle könnten beispielsweise ohne Probleme Scans von ungesicherten Geräten abfangen, Kopien von Dokumenten und Daten auf der Festplatte anfertigen und im Grunde den gesamten Drucknetzwerkverkehr belauschen. Zudem lässt sich das Gerät als perfekte Ausgangsplattform zur Infiltration des Unternehmensnetzwerks nutzen. So können über Monate unbemerkt Daten abfliessen oder Angriffe auf andere Systeme des Netzwerks verübt werden.

Hacker nutzen immer das schwächste Glied im System. Mit geringem Aufwand lässt sich sicherstellen, dass es nicht ausgerechnet ein Schlüsselsystem wie der Drucker ist. Besonders wichtig ist dabei – nebst der technischen Komponente – die Aufklärung und Stärkung des Risikobewusstseins bei den eigenen Mitarbeitern. Verbindliche Richt­linien und Awareness-Trainings zur Nutzung der Multifunktionsgeräte helfen, eine durchgängige Sensibilität für mögliche Risiken zu schaffen und die Sorgfalt im Umgang mit Dokumenten zu schärfen.

Um Drucker und Multifunktionsgeräte darüber hinaus vor Angriffen von aussen zu schützen, müssen eine Reihe von technischen Vorkehrungen getroffen werden. Funk­tionen wie IP-Filter, Berechtigungsvergaben und Zugriffskontrolle helfen dabei zu verwalten, wer das Gerät zu welchem Zweck verwenden darf. Die Datenverschlüsselung sorgt dafür, dass sämtliche an den Drucker gesendeten Informationen geschützt bleiben und sicher im Gerät gespeichert werden. Eingebettete Anwendungen und interne Prozesse befinden sich auf einer Whitelist, um jede potenzielle Malware-Operation zu blockieren. Darüber hinaus lassen sich auch visuelle Warnsignale einstellen, die beispielsweise dann reagieren, wenn ein Dokument im Scanner oder in der Druckerablage vergessen wurde. Wichtig sind zudem Funktionen zur automatischen Löschung und Überschreibung der Druckerfestplatte: Sie sorgen dafür, dass am Ende der Nutzungsdauer keine Benutzerdaten auf dem Gerät zurückbleiben.

Anders als viele andere Bereiche rund um die IT-Security wird das Thema Druckersicherheit in Firmen weniger diskutiert, weniger verstanden und weniger publik gemacht. Das spielt potenziellen Angreifern in die Hände. Viele Menschen betrachten den Multifunktionsdrucker immer noch als das nützliche, aber sonst völlig unscheinbare Gerät in der Ecke des Büros oder des Flurs. Oft übersehen sie aber, dass vernetzte MFPs vollwertige Informationsknotenpunkte sind, die genau wie PCs gegen unbefugten Zugriff abgeschirmt werden müssen. Man kann sagen, dass sich die Geräte selbst schneller weiterentwickelt haben als die Sicherheitsarchitektur um sie herum und der Umgang der Anwenderinnen und Anwender mit ihnen.

Höchste Zeit also, das nachzuholen: Jedes Unternehmen sollte sich zunächst einmal die Frage stellen, wie wertvoll die Informationen sind, die intern gedruckt und gescannt werden, und sich klarmachen, was es bedeutet, wenn diese Informationen in die falschen Hände geraten. Das gilt insbesondere auch im Hinblick auf datenschutzrechtliche Bestimmungen: Gemäss DSGVO sind Unternehmen dazu verpflichtet, personenbezogene Daten durch angemessene Sicherheitsvorkehrungen bestmöglich zu schützen. Um zu verhindern, dass Drucker oder MFPs in diesem Gefüge zur kostspieligen Schwachstelle werden, gilt es, entsprechende technische Massnahmen umzu­setzen und durchgängige Sensibilität für das Thema unter den eigenen Angestellten zu schaffen.