Was an den Printer geht, kann jeder mitlesen
Von Uli Ries
Binsenweisheiten haben die unschöne Eigenschaft, dass sie nicht nur wahr, sondern meist auch hoch relevant sind. So auch diese hier: „Beinahe jedes in einem Unternehmen gedruckte oder gespeicherte Dokument ist vertraulich und geht die Außenwelt in der Regel nichts an.“ Während andere Infrastrukturkomponenten – z.B. E-Mail– oder Fileserver – die ebenso mit sensiblen Informationen umgehen, meist mit viel Aufwand abgesichert werden, bleiben die vernetzten Drucker oft außen vor.
Dies belegt eine Studie der European Network and Information Security Agency (ENISA): Lediglich knapp 50 % aller europäischen Unternehmen sichern ihre Drucker ab. Branchenexperten vermuten, dass selbst diese Zahl noch viel zu gut ausfällt und die Dunkelziffer erheblich höher ist.
Aber warum sollte man die Drucker eigentlich mit ins Sicherheitskonzept einschließen? Antwort: Aus dem gleichen Grund, aus dem auch Server oder PCs im Konzept sind. Die Druckgeräte sind zumeist vernetzt, und jedes Gerät, das per Netzwerkkabel Kontakt hat, ist ein potenzielles Angriffsziel für Datendiebe. IT-Sicherheitskonzepte und auch das Patch Management müssen daher Drucker mit einbeziehen, da sonst die übrigen – oftmals teuren – Schutzmechanismen wirkungslos sind. Der beste Schutz des E-Mail-Servers ist nutzlos, wenn Schnüffler den Inhalt der elektronischen Nachrichten per Mitschnitt des Netzwerkverkehrs zwischen PC und Drucker ergattern.
Der Feind in meinem Netz
IT-Verantwortliche dürfen sich nicht in Sicherheit wiegen: Das Schnüffeln im Netz ist auch für technische Laien und nicht nur für Linux-Konsolenfreaks zu bewerkstelligen. Notwendig sind lediglich zwei frei im Internet zugängliche Netzwerktools, um einerseits das so genannte ARP-Spoofing zu bewerkstelligen und andererseits den mitgeschnittenen Datenstrom auszuwerten.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Es genügt, die Helfer auf einem beliebigen PC zu installieren, der im gleichen Netzwerksegment (IP-Subnetz) arbeitet wie die Drucker. Wurden im Netzwerk keine besonderen Schutzmaßnahmen getroffen, kann ein gelangweilter, frustrierter oder sich auf dem Absprung befindlicher Mitarbeiter in aller Regel sämtliche Netzwerkkommunikation zwischen Druckern und Arbeitsstationen mitschneiden und im Klartext auslesen.
Abriegeln und verschlüsseln
Auch ein Ethernet-Switch schützt nicht vor dieser Man-in-the-Middle-Attacke. Es stimmt zwar, dass ein Switch die Datenpakete nur an den jeweiligen Port des Empfängers weiterleitet und alle übrigen Ports den Traffic nicht zu sehen bekommen. Eine ARP-Spoofing-Attacke nimmt diese Hürde jedoch, da sich hiermit jeder beliebige Client im Subnetz dazu anweisen lässt, sämtlichen Netzwerkverkehr an den PC des Lauschers zu adressieren – anstatt ihn zum eigentlichen Gateway oder Router zu schicken.
In schlecht gesicherten Netzwerken liest demnach z.B. der Praktikant – oder noch schlimmer: der im Konferenzraum sitzende, per Ethernet verbundene Gast – all das mit, was Vorstand oder Geschäftsführung zum Drucker schicken. Die Opfer bemerken hiervon rein gar nichts.
Die im Datenstrom befindlichen Dokumente macht der Angreifer anschließend mit entsprechenden Tools wieder sichtbar – je nach Druckersprache PostScript oder PCL kommen dabei unterschiedliche Programme zum Einsatz.
Pfeffer gegen Schnüffler
Elementare Schutzmaßnahmen, die Spoofing-Attacken wirksam ausbremsen, sind keineswegs aufwändig zu bewerkstelligen und teilweise gratis zu bekommen:
- Keine Vergabe von lokalen Administratorenrechten für Mitarbeiter. Dies verhindert Installation und Einsatz der gängigen ARP-Spoofing-Tools.
- PCs und Notebooks von Fremden oder Gästen sollte entweder per (MAC-Adress-)Filter der Zugang zum Intranet verwehrt werden oder diese Rechner sollten in ein eigenes Subnet gepackt werden, in dem keinerlei kritische Infrastruktur zu finden ist.
- Werden sämtliche Drucker und Intranet-Clients durch einen zwischengeschalteten IP-Router in unterschiedliche IP-Subnetze eingeteilt, laufen ARP-Spoofing-Attacken ebenfalls ins Leere. Denn die ARP-Datenpakete werden von Routern nicht weitergeleitet.
- Der Datenstrom zwischen Clients und Druckern sollte durch zusätzliche Produkte wie zum Beispiel die Druckserver von SEH verschlüsselt werden. Manche Drucker sind im Zusammenspiel mit passenden Treibern schon ab Werk in der Lage, die Druckdaten verschlüsselt zu übertragen, zum Beispiel mit IPsec.
Server, die drucken können
Leistungsfähigere, netzwerkfähige Drucker sind in der Regel vollwertige Server: Vom gängigen Betriebssystem (oft NetBSD) über einen IP-Stack (Telnet, SMNP, FTP, SMTP etc.) bis hin zum Webserver ist alles an Bord. Die aus Kosten- und Effizienzgründen als Abteilungsdrucker sehr beliebten Netzwerk-MFPs kommen zudem meist mit integrierter Festplatte. Vom tumben Drucker sind diese Geräte meilenweit entfernt. Insofern sollten sie dem gleichen Regelwerk unterworfen werden wie alle übrigen Netzwerkgeräte.
Hinsichtlich der drohenden Gefahren werden oft vor allem die Betriebssysteme und Serverkomponenten der MFPs unterschätzt. Sie sind genauso anfällig wie ihre Pendants, die auf Servern installiert sind. 2006 führte ein US-Sicherheitsexperte z.B. vor, wie leicht sich Xerox-Work-Centre-Geräte angreifen lassen: Durch ausnutzen einer Sicherheitslücke konnte der Angreifer innerhalb weniger Minuten den Drucker aus der Ferne vollständig kontrollieren und so z.B. alle auf der Druckerfestplatte gespeicherten Dokumente auslesen.
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.
Einfallstor war der schlecht konfigurierte Apache-Webserver im Drucker. Da auch diese weit verbreitete Serversoftware nicht frei von Bugs ist, sollten die auftauchenden Sicherheitsupdates natürlich auch auf Druckern installiert werden. Oft ist von außen aber gar nicht erkennbar, welches Betriebssystem und welche anderen Softwarekomponenten auf dem Drucker laufen. Daher sollte man die Websites der betreffenden Druckerhersteller regelmäßig besuchen, um von neuen Firmware-Updates – diese aktualisieren im Zweifel alle Komponenten – zu erfahren.
Wenn Google in der Firma sucht
Eine wahre Fundgrube für Datendiebe sind die integrierten Festplatten der MFPs. Per Default-Einstellung landen auf ihnen normalerweise alle Druck-, Scan-, Fax- oder Kopierjobs. Diese werden erst dann gelöscht, wenn die selten unter 80 GByte große Festplatte voll läuft.
Extrem problematisch wird die Situation, wenn die Platten die gespeicherten Dokumente durch das Web-Interface des Druckers preisgeben. Diese Schnittstellen sind im Auslieferungszustand der Maschine oft nicht mit einem Passwort versehen, so dass sich jeder Mitarbeiter die Kopier- und Druckjobs der Kollegen bequem im Intranet abholen kann.
Sollte das Web-Interface durch ein Passwort geschützt sein, sind zumindest vernetzte HP-Drucker noch in Gefahr. Das Freewaretool Hijetter bietet im Intranet Zugriff auf den Platteninhalt. Per Hijetter können die Daten nicht nur ausgelesen werden, es lassen sich auch beliebige Dateien auf die Druckerfestplatte kopieren. So entsteht ein von Virenscannern und IT-Sicherheitsrichtlinien unbehelligter Untergrunddateiserver im Intranet.
Vollends zur Datenschleuder mutieren die Multifunktionsgeräte, wenn Google den Webserver im Drucker entdeckt hat. Denn dann kann jedermann per passender Anfrage (Suchbefehle siehe http://johnny.ihackstuff.com) das Netz nach Druckermodellen aller Hersteller durchforsten und sich bei schlecht gesicherten Geräten den Festplatteninhalt kopieren. Für eine derartige Lücke gibt es keine gute Entschuldigung, denn es dürfte kaum einen Grund geben, das Web-Interface auch gegenüber dem Internet zu öffnen.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing