Sicherheitsrisiko Bürodrucker

Es sind immer die, von denen man es am wenigsten erwartet. Diese bittere Erfahrung gilt auch für potenzielle Schwachstellen in der IT-Sicherheit. Über die Gefahren für die Unternehmens-IT, die von ungesicherten Laptops, Tablets und Smartphones ausgehen, sind sich die meisten IT-Entscheider, auch in kleinen und mittleren Unternehmen, inzwischen bewusst. Dass jedoch auch der vermeintlich «einfache» Bürodrucker ein ähnliches Risiko darstellen kann, ist noch nicht in allen Köpfen angekommen, wie eine aktuelle Studie von Sharp unter mehr als 500 IT-Entscheidern und Beschaffungsverantwortlichen aus KMU verschiedener Branchen in der Schweiz zeigt.

Rund jedes vierte Schweizer KMU (27 Prozent) war demnach bereits von einer IT-Sicherheitsverletzung betroffen, die über einen Multifunktionsdrucker (MFP) erfolgte. Gleichzeitig sind sich jedoch nur sechs Prozent aller Befragten der Sicherheitsrisiken, die von ungeschützten MFPs ausgehen, bewusst oder sehen diese als Grund zur Sorge. 17 Prozent aller Befragten gaben zudem an, dass ihr Unternehmen keinerlei druckerspezifische Sicherheitsmassnahmen getroffen hat, und nur rund ein Viertel schult seine Mitarbeiter hinsichtlich Drucker- (24 Prozent) und Scanner-Sicherheit (28 Prozent).

Die Gründe für diesen blinden Fleck in der IT-Sicherheit sind offensichtlich: Die Cyberangriffe, die es in die Schlagzeilen schaffen, erfolgen oft mittels komplexer Angriffsmethoden und -vektoren und betreffen überwiegend grosse, internationale Unternehmen. Im Vergleich zu diesen Fällen wirkt der Drucker im KMU-Büro zu unbedeutend, um das Ziel von Angreifern zu werden. Doch genau diese Fehleinschätzung nutzen Cyberkriminelle aus, um sich Zugang zu sensiblen Daten, Computern und Netzwerken zu verschaffen.

Allein die Tatsache, dass auf MFPs – im Gegensatz zu anderen Endpunkten – Informationen sowohl in Papierform (z.B. Ausdrucke, Kopien) als auch in digitaler Form (z.B. gescannte Dokumente) verarbeitet werden, bietet Angreifern eine Vielzahl zusätzlicher Möglichkeiten. Zugleich bedeutet es, dass diese Geräte Schutzmassnahmen benötigen, die beide Formate abdecken.

So viel zur Bedrohungslage. Es gibt jedoch auch gute Nachrichten: Die Risiken lassen sich bereits mit einigen einfachen Schritten signifikant reduzieren. Regelmässige Updates der Softwarekomponenten von Druckern und Scannern stellen beispielsweise sicher, dass mögliche Schwachstellen schnell behoben werden. Ebenso entscheidend sind Back-Ups wichtiger Daten. Sie gewährleisten, dass Unternehmen im Falle eines Cyberangriffs oder eines Datenverlusts ihre Betriebsabläufe wiederherstellen und damit Ausfallzeiten minimieren können.

Darüber hinaus sollten Unternehmen einheitliche, verbindliche Standards und Richtlinien für die MFP-Sicherheit einführen und ihre Mitarbeiter für diese sensibilisieren – ebenso für die Risiken, die ungeschützte MFPs darstellen können. Idealerweise finden dazu regelmässige Schulungen statt. Diese sollten beispielsweise die Nutzung sicherer Passwörter und Multi-Faktor-Authentifizierungsmethoden umfassen. Oder noch einfacher: Mitarbeiter sollten vor allem darauf achten, dass vertrauliche Ausdrucke und Kopien nicht unbeaufsichtigt im Ausgabefach des MFPs verbleiben oder ungesichert entsorgt werden. Denn oftmals sind es bereits solche Grundlagen in Sachen Cyberschutz, an denen es mangelt.

Sobald diese grundsätzlichen Sicherheitsmassnahmen im Unternehmen etabliert sind, gibt es für eine optimale MFP-Sicherheit noch einige spezifische Aspekte zu beachten. Zunächst sollten sich Verantwortliche ins Gedächtnis rufen, dass ein MFP als Drehscheibe für zahlreiche Geschäftsprozesse fungiert und dementsprechend über reichliche technische Touchpoints verfügt – von Bildschirmen und Benutzeroberflächen bis hin zu den Schnittstellen zu anderen Geräten im System. Ein umfangreiches MFP-Sicherheitskonzept schützt dementsprechend nicht nur die Druck- und Kopiervorgänge, sondern deckt ein breites Spektrum an vernetzten Touchpoints und Dokumentenverkehr ab.

So eignet sich eine (Multi-Faktor-)Authentifizierung, um den Bildschirm bzw. die Benutzeroberfläche eines MFPs gegen direkten Zugriff Unbefugter abzusichern – beim sogenannten Pull-Printing ist zum Beispiel die Eingabe einer PIN am MFP notwendig, um Druckvorgänge zu starten. Auch Anwendungs-Whitelists, die es nur bekannten, vertrauenswürdigen Anwendungen ermöglicht, auf das Gerät zuzugreifen, können effektiv dazu beitragen, den MFP und die darauf gespeicherten Daten zu schützen.

Sich in Bewegung befindliche Dokumente (zum Beispiel Scans) können hingegen auf dem Weg zu ihrem Bestimmungsort abgefangen werden. Deshalb sollten sie währenddessen durch Verschlüsselung geschützt werden, damit sie von niemandem ausser dem vorgesehenen Empfänger gelesen werden können. Auch Dokumente, die im Speicher und auf der Festplatte des Geräts «ruhen», sind dort idealerweise nur verschlüsselt gespeichert. Insbesondere für Unternehmen, die mit sensiblen Daten arbeiten, zum Beispiel im Gesundheitswesen oder juristischen Bereich, ist die Verschlüsselung wichtig. Im Idealfall setzen diese Unternehmen auf MFPs mit sogenannten Trusted Platform Modules (TPM), einer Industriestandardtechnologie, die mithilfe kryptographischer Werte die Verschlüsselung von Daten unterstützt.

Sowohl Anwendungs-Whitelists als auch TPMs sind Funktionen, die auf jedem modernen MFP vorhanden sein sollten, ebenso Audit-Protokolle zur Verfolgung und Überwachung der Gerätenutzung und eine End-of-Life-Funktion zur Löschung von Inhalten, die sich noch auf dem Speicher und auf der Festplatte des Geräts befinden.

Bei der Auswahl eines MFPs sind Sicherheitsfunktionen ein wesentliches Kriterium. Eine Beratung durch Experten kann dabei unterstützen, die Sicherheitsstrategie langfristig und ganzheitlich zu gestalten, um die richtigen Entscheidungen zum richtigen Zeitpunkt zu treffen. Wichtig ist, entschieden und schnell zu handeln: Die Studienergebnisse sowie die internationalen Prognosen in Sachen Cybersicherheit legen nahe, dass jegliche Nachlässigkeit früher oder später Folgen haben wird.