Malte Jeschke schreibt für die Computerworld-Schwesterpublikation TecChannel.

Drucksysteme spielen in vielen Sicherheitskonzepten kaum eine Rolle. Dabei sind gerade Drucker weit mehr als reine Ausgabegeräte. Sie verfügen über Netzwerkschnittstellen, Arbeitsspeicher sowie Prozessoren und lassen sich in der Regel über integrierte Webserver administrieren.

Multifunktionale Drucksysteme bieten noch mehr: Faxen, Drucken, Scannen und Kopieren gehören zum Standard. Darüber hinaus versenden sie E-Mails, speichern Daten in Mailboxen oder in Ordnern innerhalb des Netzwerks und haben meist eine eigene E-Mail-Adresse. Diese Funktionalität macht die Geräte zu praktischen Bürodienstleistern, aber auch zu anfälligen Komponenten des Netzwerks.

In vielen Netzwerken sind Drucker mit integriertem Printserver völlig ungesichert. Damit sind sie ein Sicherheitsrisiko, auch wenn sie von ausserhalb der Firma dank ordentlicher Abschottung nicht erreichbar sind. Zahlreiche Studien belegen, dass Angriffe auf Daten meist innerhalb eines Unternehmens erfolgen. Grund genug, sich der Sicherheit der Drucker zu widmen.

Netzwerke sind in der Regel durch umfangreiche Massnahmen geschützt, von Firewalls über IDS (Intrusion Detection System) bis hin zu Virenschutzprogrammen. Zudem ist sichergestellt, dass nur berechtigte Personen Zugriff zum Netzwerk haben. Bei Druckern hört diese Sorgfalt meistens auf: Die Geräte werden mit einer Standard-Set-up-Routine ins LAN integriert und danach sicherheitstechnisch sich selbst - oder weit schlimmer - allen Mitarbeitern überlassen.

Häufig wird selbst der einfache Zugriff auf den integrierten Printserver nicht durch ein Passwort geschützt. Dabei kann ein Drucker fast gleich viele Daten über die Konfiguration des Netzwerks preisgeben wie andere zu administrierende Geräte auch. Zudem werden ihm genauso vertrauliche und unternehmensrelevante Daten überstellt wie jedem Storage-System oder Server.

Netzwerkfähige Ausgabegeräte bieten im Betrieb gleich mehrere Schwachpunkte: Die Netzwerkverwaltung beziehungsweise -karte arbeitet meist ungesichert. Somit lassen sich alle Konfigurationsparameter des Netzwerks leicht auslesen. Auf den integ-rierten Festplatten bleiben die Dokumente für einen längeren Zeitraum gespeichert. Nicht selten passieren auch Fehler durch Nutzer: Vertrauliche Dokumente werden ganz einfach im Ausgabefach vergessen.

Moderne Drucker sind mit wenigen Mausklicks ins Netzwerk eingebunden. Die komfortablen Setup-Routinen erledigen nahezu alles automatisch. Diese Bequemlichkeit bringt aber auch einen Nachteil mit sich: Die Drucker oder Multifunktionsgeräte unterstützen zahlreiche Protokolle, von denen die meisten für einen standardmässigen Betrieb nicht erforderlich sind. Die Installationsroutinen setzen in der Regel alle Protokolle auf aktiv, um den Einsatz der diversen Funktionen zu erleichtern. Für einen sicheren Betrieb sollten jedoch alle nicht benötigten Protokolle deaktiviert werden. Ganz nebenbei reduziert sich damit auch der Netzwerkverkehr.

Sind die Drucker mit Tools wie HPs WebJet Admin, Lexmarks Markvision oder Vergleichbarem verwaltet, lassen sich viele Protokolle abschalten. Braucht es zum Beispiel keinen direkten Webbrowser-Zugriff auf den Printserver, da alle Einstellungen über die Management-Lösung vorgenommen werden, ist auch keine Unterstützung des HTTP-Protokolls erforderlich. Über Management-Tools können die entsprechenden Einstellungen an allen Druckern im Netz simultan vorgenommen werden. Damit ist sichergestellt, dass eine einheitliche Richtlinie eingehalten wird. Wer bereits mehr als zwei Drucker in seinem Netzwerk betreibt, erleichtert sich die Administration der Geräte mit den erwähnten Verwaltungs-Tools erheblich. Diese sind meist kostenlos bei den Druckerherstellern erhältlich.

Die Verwaltung der Druckerserver im Netzwerk erfolgt traditionell via SNMP (Simple Network Management Protocol). Alle gängigen Verwaltungs-Tools kommunizieren über dieses Protokoll mit den Printservern. Ist kein Verwaltungs-Tool im Einsatz, sollte die SNMP-Unterstützung komplett deaktiviert werden. Andernfalls ist der Einsatz von SNMPv3 zu empfehlen - vor-ausgesetzt Druckserver und Verwaltungs-Software unterstützen dieses. Das Protokoll bietet Benutzerauthentifizierung und Datenverschlüsselung. Da SNMPv3 und SNMPv1/v2 parallel aktiviert sein können, sollten Letztere abgeschaltet werden.

Darüber hinaus empfiehlt es sich, einen Community-Namen für den SNMP-Zugriff zu verwenden. Der Standardwert ist üblicherweise auf «public» gesetzt und erlaubt so uneingeschränkten Lesezugriff.

Oft herrscht in Netzwerken keine Transparenz, wer welche Drucker verwendet. Wie andere Netzwerkgeräte auch unterstützen viele Printserver das Anlegen einer Zugriffskontrollliste (ACL). Darin lassen sich IP-Adressen oder IP-Adressbereiche definieren, die auf den Drucker zugreifen dürfen. Je nach Ausführung kann dabei der Zugang zum Gerät und zum Printserver geregelt werden. Einige Modelle offerieren die Möglichkeit, die Zugriffe über die entsprechenden Benutzer zu definieren.

Bei Farb- oder multifunktionalen Modellen lassen sich zudem einzelne Funktionen für bestimmte Benutzer einschränken (beispielsweise der Farbdruck). Geräte der neusten Generation gehen noch weiter: Anwender der Abteilung XYZ dürfen beispielsweise ausschliesslich aus PowerPoint in Farbe drucken.

All diese Sicherheitsbemühungen sind vergebliche Liebesmüh, wenn der direkte Zugang auf die Netzwerkeinstellungen am Drucker nicht gesichert wird. Nahezu alle Geräte erlauben über das Bedienfeld den Zugriff auf die Netzwerkeinsstellungen und deren Ausdruck. Daher sollte das Bedienfeld für Anwender gesperrt werden. Dazu bieten die Hersteller meist unterschiedlichste Funktionen an - von der Komplettsperre bis zur PIN-Abfrage. Differenzierter lässt sich dies oft bei multifunktionalen Geräten regeln. Diese erfordern bei einigen Aufgaben eine Interaktion am Bedienfeld.

Zahlreiche Netzwerkdrucker bieten bereits ab Werk eine Basisfunktionalität für den Ausdruck von vertraulichen Dokumenten. Üblicherweise muss der Anwender dazu im Treiber einen PIN-Code für den Druckauftrag vergeben. Erst wenn dieser PIN-Code am Gerät aktiviert wird, lässt sich das Dokument ausgeben.

Von nahezu allen namhaften Druckerherstellern gibt es zudem Lösungen, bei denen sich der Anwender am Gerät identifizieren muss, bevor der Druckauftrag im Ausgabefach landet. Die Authentifizierung kann beispielsweise per SmartCards, herkömmlicher Zugangskarten oder Fingerprint-Sensoren erfolgen. Darüber hinaus bietet der Grossteil der modernen Modelle eine Anbindung an die Kostenstellen. Damit können die einzelnen Druckaufträge entsprechend zugeordnet werden.

Für grössere Installationen existieren Lösungen, bei denen der Anwender sein Dokument auf einem Drucker seiner Wahl mit einer Identifikationskarte abruft. Je nach Hersteller kommen dabei unterschiedliche Technologien zum Einsatz. Sie tragen meist das Wörtchen «Follow» im Namen. Diese Systeme lassen sich in der Regel mit herkömmlichen Zugangskarten kombinieren. Die Druckdaten verbleiben so lange auf dem Printserver, bis der Anwender sie an einem Endgerät abruft. Die erwähnte Kostentransparenz lässt sich mit diesen Lösungen ebenfalls leicht realisieren.

Bei einigen Netzwerkdruckern ist es möglich, den letzten Druckauftrag noch einmal abzurufen. Das kann durchaus praktisch sein, wenn einem am Drucker einfällt, dass man gerne eine zweite Kopie hätte. Solche Funktionen sollte man jedoch aus Sicherheitsgründen deaktivieren.

Mit den bisherigen Tipps wird zwar der Zugang zu den Ausdrucken verwehrt, auf dem Weg vom Client zum Drucker sind die Daten aber nach wie vor ungeschützt. Werden Informationen in Form von PCL- oder Postscript-Daten über die Standardprotokolle TCP/LPR/LPD transferiert, lassen sie sich mit den geeigneten Tools mitschneiden und auf anderen Rechnern anzeigen - gerade so, als hätte man das Originaldokument vor sich. Theoretisch ist es auch möglich, den Druckauftrag zu verändern, bevor dieser das Ausgabegerät erreicht.

Abhilfe schafft eine Verschlüsselung der Druckdaten, idealerweise in Kombination mit einem Zertifikatsmanagement. Denn Druckjobs lassen sich nicht nur mitschneiden, sondern auch umleiten. Zertifikate können sicherstellen, dass der Druckauftrag ausschliesslich beim gewünschten Empfänger ankommt.

Es gibt zahlreiche Anbieter von Verschlüsselungslösungen. Als Beispiel seien ThinPrint, Stethos oder MSE genannt. ThinPrint verwendet beispielsweise eine 128-Bit-SSL-Verschlüsselung der Druckdaten. Dazu muss auf dem Client eine entsprechende Software installiert sein. Die verschlüsselten Druckdaten werden nur an einen per Zertifikat autorisierten Client respektive Printsserver ausgeliefert. Alle namhaften Druckerhersteller arbeiten mit einer oder mehreren Verschlüsselungsfirmen zusammen oder bieten eigene Lösungen an.

Ein Netzwerkdrucker oder ein Multifunktionssystem sind komplexe Netzwerkgeräte. Es ist nicht damit getan, die Treiber auf dem neusten Stand zu halten. Die Firmware des Printservers und das Administrationsprogramm müssen ebenfalls gepflegt werden. Ein automatisiertes Patch-Management ist bei netzwerkfähigen Ausgabegeräten genauso Pflicht wie bei jedem anderen Server.

Äusserst wichtig sind zudem die Sicherheitseinstellungen: Unnötige Protokolle sollten deaktiviert, der Zugriff und die Benutzerrechte geregelt sowie der Datentransfer verschlüsselt werden. Einzig, wie leichtfertig die Anwender mit ihren Ausdrucken umgehen, lässt sich nicht per Software bestimmen.