Sicherheitslücken in Druckern – ein eher klassisches Beispiel des IoT

Multifunktionsdrucker – die unterschätzte Gefahr

Sicherheitslücken in Druckern klingen für das ungeschulte Ohr nach einer eher exotischen Herausforderung im alltäglichen IT-Betrieb. Doch wirklich neu ist das Thema nicht. Immer mal wieder hört man von solchen Sicherheitslücken. Und es waren alle namhaften Hersteller betroffen.

Für lokal angeschlossene Geräte mag die Gefahr vergleichsweise gering sein. Hier benötigt ein Angreifer zumeist physischen Zugang, um den Drucker zu manipulieren. Ein ausreichender Zutrittsschutz kann hier also schon helfen.

Allerdings sieht die Sache ganz anders aus, wenn man sich Multifunktionsgeräte ansieht, egal ob im SMB- oder im Enterprise-Bereich. Diese Systeme verfügen schon seit einiger Zeit über viele Möglichkeiten: Sie besitzen eine Netzwerk-Schnittstelle und können neben der reinen Druckerfunktion auch als Scanner, Kopierer und Faxgerät dienen. All diese Funktionen setzen natürlich eine entsprechende Rechenleistung und eine gewisse Intelligenz voraus. Dazu gehören immer häufiger Datenspeicher für die Ablage von Dokumenten oder Scans. Ein heutiger Drucker ist somit einem Server ähnlicher als man zunächst denken mag! Eigentlich stellt ein Multifunktionsdrucker damit eine der ersten Ausprägungen des „Internet of Things“ (IoT) dar.

Damit ergibt sich bei einem Drucker eine ähnliche Gefahr wie bei vielen anderen IoT-Geräten: Hat ein Angreifer einmal einen Drucker übernommen, stehen ihm vielfältige Möglichkeiten zur Verfügung, zum Beispiel:

• Nutzung der Rechenleistung für das Schürfen von Kryptowährungen:
  Dieses Szenario ist vielleicht das auffälligste: Die vorhandene Rechenleistung wird verwendet, die Auswirkungen sind langsamere Druck-, Scan- und Kopiervorgänge. Übertreibt es ein Angreifer, werden die Grundfunktionen sogar gestört. Das Feedback der Nutzer wird schnell auf ein Problem mit dem Drucker hinweisen, und der Drucker wird ggf. zurückgesetzt und (hoffentlich) mit der neuesten Firmware ausgestattet.
• Ausspähen oder Verändern der auf dem Drucker verarbeiteten Daten:
  Auf einem Multifunktionsgerät werden häufig ebenfalls vertrauliche Daten verarbeitet, von Geheimhaltungsvereinbarungen über vertrauliche Kommunikation bis hin zu Verträgen und sonstigen Dokumenten, die nicht an Außenstehende gelangen sollen. Ein Angreifer auf einem Drucker kann all diese Informationen mitlesen, egal ob ein solches Dokument ausgedruckt, gescannt oder kopiert wird. Damit gibt es zumindest eine starke Einschränkung der Vertraulichkeit. Doch wo Daten verarbeitet werden, können diese ebenso verändert werden. Ein achtsamer Nutzer wird Änderungen an ausgedruckten Dokumenten vielleicht erkennen, doch vielleicht auch nicht.
• Nutzung des Druckers als „Brückenkopf“ im Netzwerk:
  Die dritte große Gefahr besteht darin, dass ein Angreifer sich vom Drucker aus im Netzwerk ausbreitet. Mindestens andere Drucker sollten erreichbar sein, häufig auch Client-Systeme und – vielleicht am interessantesten – Dateiserver, auf denen die Drucker Scans ablegen können. Ist hier keine entsprechende Einschränkung beim Zugriff vorgesehen, kann der Drucker sogar als Ausgangspunkt für Ransomware-Angriffe genutzt werden, die aktuell vielleicht größte Bedrohung in Unternehmensnetzen.

Gegenmaßnahmen

Wenn ein Drucker mit Sicherheitslücken eine solche Gefahr darstellt, was kann man dann dagegen tun? Hier eine Übersicht typischer Sicherheitsmechanismen und ihrer Möglichkeiten, der hier dargestellten Gefährdung etwas entgegenzusetzen:

• Netzwerk-Zugangskontrolle (Network Access Control – NAC):
  Eine Netzwerk-Zugangskontrolle kann nur dann vor einem kompromittierten Gerät schützen, wenn die Kompromittierung entdeckt wird. Dafür benötigt man erweiterte Funktionen wie Profiling der Geräte, die sich mit dem Netzwerk verbinden wollen. Ob und wie gut diese Mechanismen funktionieren, hängt von vielen Faktoren ab, insbesondere vom Hersteller der NAC-Lösung. Werden die Drucker aus Kompatibilitätsgründen nur über ihre MAC-Adresse identifiziert, schützt NAC an dieser Stelle nur dadurch, dass es eine Netzwerk-Segmentierung durch dynamische VLAN-Zuweisung unterstützen kann.
• Netzwerk-Segmentierung:
  Eine Netzwerk-Segmentierung kann einerseits den Angriff auf den Drucker erschweren, andererseits die Auswirkungen abschwächen. Es sollte speziell darauf geachtet werden, dass ein Drucker nur mit den für seine Funktion zwingend erforderlichen Systemen kommunizieren kann. Das umfasst je nach Betriebsmodell vor allem Mail-Server, falls Scans per E-Mail verschickt werden sollen, oder Fileserver, falls die Scans als Datei abgelegt werden.
• Strenge Vergabe von Zugriffsrechten auf Datei-Servern:
  Es muss besonders bei der Anbindung eines Datei-Servers darauf geachtet werden, dass der Drucker nur auf ein dediziertes Verzeichnis Zugriff erhält, in dem die Scans abgelegt werden sollen. Auf andere Verzeichnisse sollte weder schreibender noch lesender Zugriff möglich sein. Ersteres schützt vor Informationsabfluss, z.B. per E-Mail, Letzteres vor einem Ransomware-Angriff. Man muss sich jedoch darüber im Klaren sein, dass das dedizierte Verzeichnis des Druckers immer noch sowohl ausgelesen als auch manipuliert werden kann.
• Patch-Management:
  Für Clients, Server und sogar Netzwerk-Komponenten ist ein umfassendes Patch-Management üblich. Jedoch werden Drucker leider häufig vernachlässigt. Dabei können schnell eingespielte Patches das Risiko einer Kompromittierung deutlich reduzieren.

Am sinnvollsten ist es natürlich, alle schon im Einsatz befindlichen Sicherheitsmechanismen und –maßnahmen im eigenen Netzwerk ebenso für Multifunktionsdrucker einzusetzen, sofern dies möglich ist. Wie so oft erhält man das optimale Ergebnis durch eine Kombination verschiedener Mechanismen, auch bekannt als „Defense in Depth“.

Fazit

Die gefundenen Sicherheitslücken können hier noch einmal als Erinnerung dienen, dass ein moderner Multifunktionsdrucker und andere IoT-Geräte zusätzliche Systeme im eigenen Netzwerk sind, die sich nicht sehr von dem unterscheiden, was man üblicherweise als „richtige“ IT betrachtet: Ob ich einen Client, einen Server, einen Drucker oder eine IP-fähige Kamera einsetze: Die Sicherheit darf niemals außer Acht gelassen werden. Man sollte seine Sicherheitsmaßnahmen auf alle dafür geeigneten Geräte im Netzwerk ausweiten.