Drucker und Multifunktionsgeräte als Datenschleuder

Leistungsfähige, netzwerkfähige Multifunktionsgeräte sind in der Regel vollwertige Server: Vom Betriebssystem – oft NetBSD – über einen IP-Stack (etwa Telnet, SMNP, FTP, SMTP) bis hin zum Webserver ist alles an Bord. Die aus Kosten- und Effizienzgründen als Abteilungsdrucker sehr beliebten Netzwerk-MFPs sind zudem meist mit einer Festplatte ausgerüstet. Von simplen „Papierausgabegeräten“ sind diese Geräte weit entfernt. Daher sollten sie dem gleichen Regelwerk unterworfen werden wie alle übrigen Netzwerkgeräte.

Vor allem das Gefährdungspotenzial der Betriebssysteme und Serverkomponenten der MFPs wird unterschätzt. Sie sind genauso anfällig wie ihre auf Servern installierten Pendants. Bereits 2006 führte ein US-Sicherheitsexperte vor, wie leicht sich Xerox-Workcentre-Geräte angreifen lassen. Durch ausnutzen einer Sicherheitslücke konnte der Angreifer innerhalb weniger Minuten den Drucker aus der Ferne vollständig kontrollieren und so beispielsweise alle auf der Druckerfestplatte gespeicherten Dokumente auslesen.

Einfallstor war der schlecht konfigurierte Apache-Webserver im Drucker. Da auch diese weit verbreitete Serversoftware nicht frei von Bugs ist, sollten die auftauchenden Sicherheitsupdates natürlich auch auf Druckern installiert werden. Oft ist von außen aber gar nicht erkennbar, welches Betriebssystem und welche anderen Softwarekomponenten auf dem Drucker laufen. Daher sollten die Websites der betreffenden Druckerhersteller regelmäßig besucht werden, damit man von neuen Firmwareupdates – diese aktualisieren im Zweifel alle Komponenten – erfährt.

Eine wahre Fundgrube für Datendiebe sind die integrierten Festplatten von MFPs. Per Default-Einstellung landen auf ihnen alle Druck-, Scan-, Fax- oder Kopierjobs. Gelöscht werden sie erst dann, wenn die selten unter 80 GByte große Festplatte voll ist. Extrem problematisch wird die Situation, wenn die Platten die gespeicherten Dokumente über das Webinterface des Druckers preisgeben. Diese Schnittstellen sind im Auslieferungszustand der Maschine oft nicht mit einem Passwort versehen, so dass sich jeder Mitarbeiter die Kopier- und Druckjobs der Kollegen bequem im Intranet abholen kann.

Sollte das Webinterface durch ein Passwort geschützt sein, sind zumindest vernetzte HP-Drucker noch in Gefahr. Das Freewaretool Hi-Jetter bietet im Intranet Zugriff auf den Platteninhalt. Per Hi-Jetter können die Daten nicht nur ausgelesen werden, es lassen sich auch beliebige Dateien auf die Druckerfestplatte kopieren. So entsteht ein von Virenscannern und IT-Sicherheitsrichtlinien unbehelligter Untergrund-Dateiserver im Intranet.

Vollends zur Datenschleuder mutieren Multifunktionsgeräte, wenn Google den Webserver im Drucker entdeckt hat. Denn dann kann jedermann per Suchanfrage (Suchbefehle: siehe http://johnny.ihackstuff.com) das Netz nach Druckermodellen aller Hersteller durchforsten und sich bei schlecht gesicherten Geräten den Festplatteninhalt kopieren. Für eine derartige Lücke gibt es keine gute Entschuldigung, denn es dürfte kaum einen Grund geben, das Webinterface auch gegenüber dem Internet zu öffnen.

Vortrag Druckgeräte-Sicherheit auf der DOMK09

Mehr Informationen, wie man Druckgeräte effektiv in die IT-Sicherheitsstruktur einbindet, gibt es auf der Output-Management-Konferenz DOMK09. ZDNet vergibt zehn Freikarten (regulärer Ticketpreis 169 Euro) zur Konferenz am 22. Oktober in München-Ismaning. Interessenten schicken dazu eine Mail an domk2009@dokulife.de mit dem Stichwort „ZDNet-DOMK“. Einsendeschluss ist der 21. Oktober 2009.

Themenseiten: Compliance, IT-Business, Mittelstand, Technologien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Drucker und Multifunktionsgeräte als Datenschleuder

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *